随着一些经济指标显示可能出现经济衰退,现在是时候确保您的供应商、供货商和合作伙伴具备必要的业务应变能力,以抵御金融风暴并降低由此导致的服务或交付中断的风险。如果供应商或供货商未能达到其财务预期,可能会被迫裁员、取消合同或调整业务开发工作或投资。
即使经济没有走向衰退,拥有强大的第三方业务复原力程序也能让您的组织做好应对其他潜在干扰的准备。为帮助您制定流程基准,以下是评估第三方供应商业务复原力的 5 项最佳实践。
1.在供应商合同中制定并执行可用性、交付和业务连续性措施
与销售商和供应商商定并管理服务水平、交付时限和业务连续性流程的过程可能相当复杂。这要从合同说起。以人工方式商定条款、跟踪关键条款的变更并分发批准,几乎肯定会导致关键绩效指标(KPI)的缺失,并使合同续签讨论复杂化。这就是为什么必须实现合同生命周期的自动化--从分发和讨论到保留和审查。合同生命周期管理解决方案将
- 集中跟踪所有合同和合同属性,例如类型、关键日期、价值、提醒和状态
- 提供工作流程功能(基于用户或合同类型),在合同的生命周期内有效地移动合同
- 自动提醒和逾期通知,简化合同审查
- 集中进行合同讨论、存储和意见跟踪,并对所有访问进行审计跟踪
- 提供版本控制跟踪,以便各方查看当前版本的合同
- 将完成的合同迁移到风险评估平台,以进行全面尽职调查
简化管理和跟踪供应商合同、红线、日期和其他关键属性的流程,可确保从合作关系一开始就对关键的可用性、交付或业务连续性条款进行妥善管理。然后,可以从合同中提取服务水平协议(SLA)和关键绩效指标(KPI),以便进行持续审查和管理,从而为主动跟踪关键指标提供一个中央存储库。如果供应商因财务困难而无法履行承诺,商定的合同条款可帮助减轻对企业的影响。
2.对第三方进行简介和分级,以了解其关键性
了解哪些第三方销售商和供应商对贵公司的运营至关重要,是评估一旦他们出现故障贵公司所面临风险的重要一步。如果供应商直接支持向客户提供服务或产品,请考虑以下分级标准:
- 地点:是否有特定的法律或监管考虑(如针对 GDPR 的额外数据保护措施)?是否面临地缘政治风险,或位于可能需要故障转移站点的自然灾害多发地区?
- 流程和数据:第三方是否直接与面向客户的流程交互?他们是否与您受保护的客户数据交互?
- 第 N 方依赖性:是否存在分包安排,或者第三方是否严重依赖于某个第四方技术供应商(表明存在集中风险)?
- 财务状况和声誉:销售商/供应商的财务状况是否健康,是否有良好的声誉?
有效的分层和分类流程使您能够计算固有风险,同时为持续评估和其他尽职调查工作的范围和频率提供信息。
3.根据最佳实践框架评估第三方业务复原力实践
一旦第三方供应商加入并进行了固有风险评估以确定其关键性,您就应根据行业标准框架对第三方进行业务弹性评估。NIST、ISO、SIG 和其他标准的框架中都包含业务弹性条款。业务复原力评估解决方案将:
- 提供灵活的评估模板,自动将回答映射到衡量最佳实践或合规性的框架中
- 调查完成后自动生成风险登记册,以便您查看遗漏的或表现不佳的第三方控制措施,并对其进行优先排序
- 找出需要进一步调查的评估异常值
- 根据评估结果自动采取行动,例如提高风险评分或启动分析流程
- 提供补救建议,帮助第三方降低风险或控制失效
- 绘制第 4方和第 N 方关系图,显示依赖关系和信息流
第三方业务复原力评估应定期进行,而不是在合作关系开始时才进行,以确保供应商的计划是最新的。
4.持续监控第三方的财务和运营中断情况
时间点评估是第三方风险管理中有价值且必要的一部分,但在定期评估之间可能会发生很多事情。因此,除了网络安全数据外,您还应持续跟踪和分析供应商业务和财务信息的公共和私人来源,以验证评估响应。常见来源包括
- 网络: 犯罪论坛;洋葱页面;暗网特殊访问论坛;威胁源;泄漏凭证粘贴网站;安全社区;代码库;漏洞数据库;数据泄露历史
- 商业新闻并购活动、业务更新、负面新闻、监管和法律信息、运营更新
- 财务状况:组织变革与财务业绩、营业额、损益、股东资金、流动性
- 声誉制裁名单、政治公众人物简介
许多组织在试图监控其供应商时面临的挑战是需要定期手动整理的数据源数量庞大。综合第三方风险监控解决方案将整理这些来源的数据,并与评估平台集成,以验证调查结果。更加自动化的方法将帮助您更加主动地发现潜在的第三方业务中断或财务问题,并在公司受到影响之前采取适当的行动。
5.整理好自己的房间
在向销售商和供应商询问他们的业务恢复计划之前,请确保贵公司已经制定了相关计划。业务恢复和连续性计划的关键要素包括
- 供应商和资产清单: 分层和剖析计划在这方面很有帮助。
- 业务连续性程序:
确定中断或故障的严重程度,并记录实施应对措施的计划。 - 针对中断的通信计划:
整理内部和第三方联系人名单,以便随着情况的变化随时更新。 - 故障转移或备份计划:计划是什么,何时实施,什么是正常运行。
- 时间表:确定恢复和重返工作岗位。
贵组织的业务连续性和复原力计划应由多学科团队定期审查,以确保其与业务的所有部分保持同步和相关。值得注意的是,在发生自然灾害、大流行病、供应商中断、财务问题或勒索软件攻击等网络安全事件时,业务恢复计划同样具有价值。
下一步:下载免费的第三方运营和财务复原力调查问卷
为了帮助您和您的团队开始确定供应商的业务复原力实践(并加强您自己的业务复原力),我们开发了一份包含 10 个问题的评估问卷,用于评估运营和财务风险。该问卷专门用于确定第三方是否实施了必要的业务弹性措施,以便在经济衰退和其他经济中断期间维持运营。该调查问卷还可根据贵组织的具体要求和政策进行调整。我们还提供其他业务复原力资源模板,以解决更广泛的复原力问题。
下载第三方运营和财务复原力问卷或安排演示
了解 Prevalent 如何提供帮助。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
