Зміст

Ханна Грейс Холладей/12 січня 2024 р.

Перевірка та вибір постачальників є одними з найважливіших рішень, які ви приймаєте для свого бізнесу, особливо коли це стосується інформаційної безпеки.

Вони можуть робити все, починаючи від управління вашим кол-центром і закінчуючи збереженням ваших даних, моніторингом ваших систем або знищенням ваших записів. Так, ви можете передати процес або відділ постачальникам, але ніколи не зможете передати ризик. Незалежно від постачальника, вони становлять певний рівень ризику для вашої організації – особливо фінансовий ризик, операційний ризик, ризик для репутації та кіберризик – оскільки вони мають доступ до ваших даних, мережі, апаратного забезпечення, хмари тощо.

Ось чому ви повинні ретельно перевірити потенційних постачальників, використовуючи контрольний список належної перевірки постачальників.

Після того, як ви звузили вибір постачальників до тих, які можуть задовольнити ваші потреби, настав час зібрати інформацію, яка допоможе вам застосувати підхід до вибору постачальника, заснований на оцінці ризику – це процес належної перевірки постачальника. Ця інформація має допомогти вам оцінити ризики, які потенційні постачальники становлять для вашої організації, що зміцнить вашу організацію та захистить вас від незахищених або безвідповідальних постачальників.

Оптимізація процесу належної перевірки постачальника має важливе значення для його успіху, щоб він не став важким і страшним. Крім того, перевірка ваших постачальників — це не одноразовий процес; вам слід постійно оцінювати, чи створюють вони більше ризику для вашого середовища чи відповідають вашим стандартам безпеки.

Щоб спростити цей процес, ми склали контрольний список належної перевірки постачальника як керівництво.

Цей контрольний список невеликий – запитання можуть змінюватися залежно від ваших вимог або компанії, галузі, розміру чи регіону. Він просить потенційних постачальників надати загальну інформацію про свою компанію, фінансовий огляд, інформацію про репутаційний ризик, докази страхування, технічну документацію щодо інформаційної безпеки та свою політику. Чим більше ви знаєте про потенційних постачальників, тим легше вам оцінити їхній ризик.

Перевірка відповідності за контрольним списком належної перевірки постачальника

Є 6 основних сфер, які слід враховувати під час виконання своїх обов’язків ретельна перевірка потенційного постачальника:

  1. Загальна інформація про компанію
  2. Фінансовий аналіз
  3. Ризик репутації
  4. Страхування

    5. < li>Технічний огляд інформаційної безпеки

  5. Огляд політики

Загальна інформація

Є очевидні базові документи, які абсолютно необхідно отримати від потенційних постачальників.< /p>

Ця загальна інформація підтвердить, що компанія є законною та має ліцензію на виконання роботи, яка вам потрібна. Сюди входять такі елементи, як статут, підтвердження місця розташування, будь-яка інформація dba, aka або fka, а також огляд структури компанії.

Фінансовий огляд

Оцінка фінансових показників може здатися неактуальною для вашого процесу вибору постачальника, але ви хочете переконатися, що потенційні постачальники є фінансово платоспроможними. Чи хотіли б ви співпрацювати з компанією, яка може не працювати наступного року? Щоб провести фінансову перевірку, вам потрібно буде знати основні активи, основних власників, кредити тощо.

Репутаційний ризик

Коли ви обираєте співпрацю з постачальником, ви ставите частина вашого бізнесу в їхніх руках.

Взяти, наприклад, вибір аудиторської фірми. Чи хотіли б ви найняти фірму, чий керуючий партнер з питань якості аудиту був засуджений за шахрайство? Абсолютно ні – ось чому оцінка репутаційного ризику є такою важливою, навіть для компаній, яким ви зазвичай довіряєте (наприклад, фірми Великої четвірки чи навіть відомі імена).

Якщо ви не включаєте репутаційний ризик у свою належну обачність Ви можете пропустити інформацію, яка б змінила ваше рішення, як-от скарги чи звіти від CFPB або BBB.

Страхування

Збір інформації про страхування від потенційних постачальників подібний до збору загальної інформації – це обов’язкова інформація та основа для прийняття рішень. Збирайте інформацію про загальне страхування цивільної відповідальності, кіберстрахування або страхування, що стосується послуг.

Технічний огляд інформаційної безпеки

Коли постачальник надає для вас послугу, яка впливає на ваші програми захисту даних або конфіденційності, ви повинні ретельно перевірити його програму захисту інформації. Чим більше вони захочуть показати вам під час перевірки, тим краще. Гарною відправною точкою є збір звітів про внутрішній або зовнішній аудит, звітів про тестування пера та історії порушень даних.

Перегляд політики

Політики та процедури є основою будь-якої організації. Якщо потенційний постачальник не може надати політику, яка охоплює керування змінами, збереження даних або конфіденційність, він, ймовірно, не має засобів контролю, необхідних для захисту мережі даних, апаратного забезпечення чи хмари вашої організації.

Вибір сумісного постачальника< /h3>

Коли ваші потенційні постачальники нададуть усі свої відповіді з контрольного списку належної обачливості, ви можете опинитися в одній із наведених нижче ситуацій:

  • Потенційний постачальник не бажає відповісти на всі ваші запитання. Залежно від характеру вашого запитання ви можете мати право підозрювати їхні процеси та визначити, що вони не розуміють ваших стандартів.
  • Потенційний постачальник відповідає на всі ваші запитання, але його докази доводять, що він становить значний ризик для вашої компанії, і намагатися його пом’якшити нерозумно. Викресліть їх зі свого списку!
  • Потенційний постачальник не зовсім відповідає вашим стандартам, але ризик, який він представляє, незначний, і він готовий покращити свою практику інформаційної безпеки в обмін на ваш бізнес. Тепер ви повинні визначити, що ви хочете від них змінити – частіше перевіряти ручку? Звіт SOC 1 типу II? Включення нових критеріїв довірчих послуг до аудиту SOC 2? Краща документація про політику?
  • У вас є більше запитань на основі перших відповідей потенційного постачальника. Запитайте їх! Якщо вони дуже хочуть ваш бізнес, вони співпрацюватимуть із вашим процесом належної обачності.
  • Процеси безпеки одного потенційного постачальника виділяються серед інших – ваш вибір простий!

Якщо ви зараз не перевіряєте постачальника, скористайтеся нашим контрольним списком належної перевірки постачальника. Якщо ви обираєте постачальника без перевірки й оцінки типів ризиків постачальників, які вони становлять, і чи допоможуть ці відносини досягти ваших цілей, ви можете поставити свій бізнес під загрозу.

Завчасно захищайте свою організацію. Ми вважаємо, що проведення якісної оцінки відповідності постачальників вимогам є життєво важливим для міцності вашої програми керування постачальниками, але ми розуміємо, наскільки важко створити надійну програму.

Якщо у вас все ще є запитання щодо відносин із постачальниками, і вони можуть вплинути на інформаційну безпеку, або якщо ви хочете включити KirkpatrickPrice до списку належної перевірки постачальників, давайте поговоримо сьогодні! Наші експерти пристрасно прагнуть допомогти вашій організації досягти впевненості, на яку вона заслуговує.

Більше ресурсів для перевірки належної перевірки постачальників

Що шукати в якості постачальника

Як Прочитайте звіт вашого постачальника SOC 1 або SOC 2

Поширені прогалини в управлінні відповідністю постачальника

Усі ресурси щодо відповідності постачальника

Поділитися Твіт Поділитися Електронна пошта

Пов’язані публікації

  • Належна перевірка постачальників під час кризи

    Роками компанії покладалися на сторонніх постачальників для забезпечення критичних бізнес-функцій, і це…

  • Як читати звіт вашого постачальника SOC 1 або SOC 2

    Все більше організацій просять своїх постачальників отримати SOC 1 або SOC 2…

  • Академія SOC 2: Управління ризиками постачальників

    Коли обслуговуюча організація проходить аудит SOC 2, аудитори перевірять, чи вони відповідають вимогам…

Читайте також:
  1. 34 професійних сертифікати, які можна отримати з бухгалтерського обліку, оподаткування, аудиту тощо
  2. 8 найкращих методів безпечного кодування
  3. Як вирішити проблеми зі звуком у GoToWebinar
  4. Список дня: бухгалтерські фірми у списку 100 найкращих стажувань Vault 2024 року
  5. Промені сонця, щоб освітлювати аудиторії — і можливість перевірки
  6. Покрокова інсталяція багатокористувацького бухгалтерського програмного забезпечення
  7. Турбота про обліковий запис
  8. 71 місце, де можна знайти нових клієнтів для своєї бухгалтерської фірми чи бухгалтерії
  9. Чому перетворення Sage на Xero є розумним рішенням?
  10. Як додати постачальника з іноземною валютою в QuickBooks Online
  11. Як перейти до ручного розрахунку заробітної плати в QuickBooks Desktop
  12. Ніколи раніше не були на вебінарі? Ось покрокова інструкція, яка допоможе вам спробувати щось нове
  13. Турбота про обліковий запис – QuickBooks Desktop Cloud Hosting
  14. Як легко та швидко імпортувати транзакцію в QuickBooks
  15. Вибір постачальника настільних комп’ютерів у хмарі – 5 неймовірних переваг
  16. Дізнайтеся, як імпортувати банківські транзакції в QuickBooks
  17. Понад 50 сертифікатів програмного забезпечення, які ви можете отримати як бухгалтер
  18. 44 нагороди, які ви можете виграти як спеціаліст з бухгалтерського обліку
  19. Блог
  20. Як додати адресу електронної пошти в білий список
  21. Простий крок, щоб ввести відшкодування від постачальника в QuickBooks Online
  22. Інструкції CPE для вебінару в прямому ефірі
  23. Як утримується федеральний податок у фінансовому програмному забезпеченні – Account Cares
  24. Як виправити помилки щодо заробітної плати в QuickBooks
  25. Повний список консультаційних послуг для бухгалтерів
  26. 105 способів пришвидшити грошовий потік у вашому малому бізнесі
  27. Утримання найкращих виконавців: чи достатньо ви робите, щоб зберегти свої MVP?
  28. Невичерпний перелік причин, чому ви не збираєтесь скорочуватись як фінансовий директор
  29. Ви знаєте свої послуги Quickbooks… давай прийдемо
  30. 100 позитивних і продуктивних справ, які ви можете зробити вдома прямо зараз