Posted On 10 Maggio 2022 By In Supply Chain With 169 Views

Tre step per mitigare il rischio di terze parti

Gli eventi globali stanno determinando un aumento dei livelli di rischio nella catena di approvvigionamento di quasi tutte le organizzazioni.

Per le aziende diventa fondamentale mantenere la resilienza con un approccio reattivo attraverso una serie di azione mirate a mitigare e a prevenire il rischio connesso alle terze parti.

In un articolo firmato Procurious sono analizzate tre best practice di gestione del rischio di terze parti per contrastare potenziali pericoli, indipendentemente dalle risorse dell’organizzazione.

 

  1. Gestione del rischio del fornitore (Vendor management)

 Creare una solida base con processi standardizzati per ogni fase del ciclo di vita del fornitore consente di ottenere maggiori informazioni sullo stato di salute del proprio pacchetto supplier.

I passaggi fondamentali per il processo di gestione del rischio fornitore includono una serie di azioni:

FASE 1: Identificare i tuoi fornitori e crea un inventario

FASE 2: Definire la propensione al rischio della tua azienda

FASE 3: Determinare il rischio intrinseco e le classificazioni

FASE 4: Stabilire questionari di valutazione

FASE 5: Creare un programma di valutazione

FASE 6: Definire chi guida il processo

FASE 7: Delineare un piano di emergenza in caso di problemi

Infine, è fondamentale collaborare con il proprio team per sviluppare processi completi e ripetibili per ogni fase.

 

  1. Monitoraggio continuo dei fornitori

L’aspetto più cruciale del ciclo di vita del rischio di terze parti è il monitoraggio continuo dei fornitori. Questa fase è anche la più lunga, poiché si svolge durante tutta la relazione.

L’obiettivo del monitoraggio continuo è verificare regolarmente la sicurezza di ciascun fornitore. Ciò aiuterà a garantire affidabilità, integrità e sicurezza.

Le principali aree di rischio da monitorare per le modifiche includono:

– Fusioni e acquisizioni

– Eventi di continuità operativa (calamità naturali)

– Cambiamenti normativi

– Salute finanziaria

– Valutazioni sulla sicurezza informatica

– Modifiche ai processi aziendali

– Sostenibilità (ESG)

Non è necessario monitorare queste aree allo stesso modo e con la stessa frequenza per ogni fornitore. Assegnare ai singoli fornitori livelli di criticità differenti è importante per rendere il processo più efficiente e valutare le successive mosse da intraprendere. Ad esempio, un fornitore nel livello “alto rischio” dovrebbe essere valutato più frequentemente e in modo più approfondito rispetto a un fornitore nel livello “basso rischio”.

 

  1. Cybersecurity

Il rischio per la sicurezza informatica è uno dei maggiori rischi che le organizzazioni devono affrontare, sia direttamente che indirettamente attraverso i loro fornitori. I gruppi di hacker prendono di mira più frequentemente le terze parti di un’organizzazione che fungono da “porta sul retro” per accedere ai sistemi più difficili da violare.

Ci sono alcune aree di rischio per la sicurezza informatica che le organizzazioni dovrebbero valutare con le loro terze parti per ottenere una migliore visibilità delle loro politiche, procedure e controlli:

Rischi di conformità: a seconda del tipo o dell’ubicazione del servizio di terze parti, è probabile che i requisiti di conformità siano diversi rispetto a quelli della propria organizzazione. In questo senso è importante acquisire familiarità con le normative e gli standard applicabili alle terze parti e comprendere i passaggi per raggiungere la piena conformità.

Rischi operativi: un’organizzazione potrebbe fare affidamento su terze parti per fornire un servizio essenziale per le proprie operazioni quotidiane o per l’infrastruttura IT. In questo caso diventa necessario verificare che la terza parte disponga di controlli adeguati per affrontare le vulnerabilità nella propria infrastruttura IT.

Rischi per la sicurezza delle informazioni: indipendentemente dal fatto che gestiscano i dati sensibili della propria o di un’altra organizzazione, le terze parti devono disporre di controlli per la protezione dei dati. Chiarisci per quanto tempo le tue terze parti conservano questi dati e assicurati che siano contrattualmente obbligati a distruggerli dopo la conclusione del tuo rapporto commerciale.

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.