减轻与第三方供应商相关的风险是组织企业风险管理策略的一个重要方面. At the 2023 AICPA® & CIMA® SOC & 第三方风险管理会议, 我们听取了Warren Averett的风险咨询和保证服务实践领域负责人的意见, LLC, 谁知道怎么降低风险.
在他的会议“如何处理供应商管理”中,Paul M. Perry, CPA, CITP, CDPSE, CISM, 强调了公司在管理第三方供应商时面临的挑战. Perry阐明了需求和最佳实践,并解释了在SOC项目中审查第三方供应商活动的正确方法.
作为企业风险管理的一个组成部分, Perry敦促公司采用正式的供应商管理政策,概述以下程序:
识别和排序供应商
Selecting vendors
评估供应商风险
进行尽职调查
确保在供应商合同中包含适当的语言和要求
供应商管理的挑战和解决方案
1. 外包缺乏问责制
Problem: 公司经常外包供应商管理,特别是当他们的内部资源有限的时候. 但是外包可能导致缺乏问责制:谁负责维护安全性和法规遵从性? 如果有安全漏洞,谁来负责?
Solution: 开放的沟通:一种平衡的方法,公司的团队和供应商分享责任,保持开放的沟通渠道,以防止混乱,并及时解决出现的问题.
2. 供应商合作关系文件不足
Problem: 当公司不能正确地记录他们的供应商关系时——当没有记录和归档这些信息的集成系统时——当关键人员离开公司时,这些信息可能会丢失.
Solution: 使用软件创建一个在线系统,以准确记录供应商,跟踪供应商操作中的任何变化, financial health, 业务实践和法规遵从性,以确保它们符合不断发展的标准.
3. 未能进行供应商评审
Problem: 不充分的供应商审查会带来负面后果,并可能导致对第三方供应商问题的理解控制不力.
Solution: 根据已建立的审查流程和文件存档框架,执行例行的供应商审查.
4. 与供应商沟通不足
Problem: 公司将责任外包给第三方,而没有建立沟通渠道和报告机制.
Solution: 创建一个包括管理层成员的供应商管理团队, IT和合规人员以及直接与供应商互动的其他人员. 一个指定的团队负责监督供应商的管理,并维护沟通渠道,使员工相互负责并合作解决问题.
“找到合适的团队很重要,”佩里说. “不要只依靠一个人来做所有的事情,当你有一个团队的时候总是会更好.”
5. 服务范围不明确
Problem: 当领导或供应商管理团队对供应商的责任没有清晰的理解时, 重要的任务可能无法完成,可预防的风险可能被忽视.
Solution: 使供应商的角色和责任与公司的价值观保持一致, 战略目标和遵从性需求. 清楚地定义和记录供应商提供的服务.
每个公司或组织都将有一个供应商管理系统,旨在满足其特定的目标和目的, 但是,任何这样的系统都必须定义供应商的工作范围, 记录交易并提供定期审查.
专为有兴趣为服务机构考试提供SOC的188bet亚洲真人体育下载网址事务所设计- SOC 1®, SOC 2®, 和SOC 3®考试 服务组织工具包的SOC 包括学习资源、模板、定价考虑等.
另外,加入我们在线或在拉斯维加斯 AICPA & CIMA Engage 2024 了解有关降低风险的紧迫需求的最新情况和解决方案.