如何優化供應商風險管理資源

原標題:如何優化供應商風險管理資源

Ponemon Institute 在對第三方風險研究中發現，78%的受訪者表示在第三方風險方面網路攻擊將產生重大影響，76%表示物聯網也將產生重大影響。面對新技術，目前供應商風險管理過程不具備處理日益增長的對新的或者已有的供應商進行安全風險評估的強烈需求。

同樣，德勤在之前的研究報告中也提到，45%的受訪者認為靈活性和可擴展性是供應商風險管理中的最大價值。有一個降低第三方風險的過程是至關重要的並確保你的供應商沒有讓你暴露未知風險。

然而，對供應商風險管理的一個主要挑戰是需要在委託評估供應商時能夠區分不同層面的風險。在 Shared Assessment 的《2015年供應商風險管理基準研究》中，有關供應商風險識別與分析成熟度領域的測量結果顯示，從2014年到2015年，成熟度並無改善，評分還是2.7分(總分5.0)

以下3步我們將向您展示如何改善你的VRM的過程開始識別每個供應商的風險水平，並且確定供應商進行現場評估和滲透測試的優先順序。

第1步 識別和分析您的特定風險偏好

在普華永道第三方風險管理報告中，有必要從供應商服務的範圍角度考慮採取更有效的風險評估方法。

對您公司來說，並不是所有的風險都是關鍵。根據所在行業，需要首先識別公司特定的潛在風險，然後進行高、中、低風險分級。這將幫助你確定處置重要安全風險的優先順序，確保您基於重要標準來評估供應商。

一個好的參考框架如下:

如果第三方發生泄密時，哪些信息帶來的損失更大?

專利信息

客戶財務信息

員工身份信息

其他第三方數據

財務和戰略相關的信息

評估這些風險需要考慮與供應商的交互性和依賴性。針對帶來的潛在影響來準確的進行分級:

聲譽損害?

經濟處罰或損失?

可能引起訴訟?

股東的不滿?

這種風險識別和分析提供了一個更全面的評估方法，您能更好的評估供應商。

第2步 針對企業特性將你的供應商風險進行分級

詳細的評估公司風險，你應該考慮組織和供應商之間關係來定義風險類型。

他們會訪問你的員工或客戶數據嗎?

他們會和你的系統進行網路對接嗎?

他們會和第三方或分包商交換你的信息嗎?

如果他們進行信用卡交易相關應用，必須要符合PCI合規要求。

定義您的供應商的服務風險之後對這些風險進行排序。前面提到的德勤研究中提供了一個標準化方法來評估現有和未來的供應商，風險分為5個等級，極高、高、中、低和極低。

在改善和更新您的供應商風險管理過程中，結合自定義的風險偏好去了解供應商服務風險是一個重要的步驟。區分風險對公司和你的供應商風險至關重要，這讓你有把握對高、中、低風險供應商進行定義。讓你能夠對最關鍵的供應商開展委託評估進行核查，從而確定預算。

第3步 評估高風險供應商

首先，利用必要的資源選擇評估方法執行評估。要考慮的三個最重要的資源是:

1 財務成本

2 時間投入

3 員工需要

現場評估這種高資源投入方法是昂貴的，需要在現場投入多名專業人員，並且需要一段時間才產生結果。你應該只對高風險供應商採取這些方法。對於其他供應商，您可以委託評估，花費更少的資源，如調查問卷或供應商自我評估。

在完成對供應商和關鍵風險分級之後，開始評估供應商。這樣可以確保你對最有可能使你發生泄密的供應商進行資源的投入。

這種靈活的和可擴展的框架可以應用於所有現有的和即將合作的供應商優化資源，減輕你的供應商的風險。

例如國外的 SecurityScorecard 產品等，國內的「安全值(aqzhi.com)能夠幫助你利用合理的資源優先評估關鍵供應商，通過簡單的安全量化評估來對供應商安全風險進行排列。