Správa třetích stran - Third-party management
Správa třetích stran je proces, při kterém společnosti monitorují a spravují interakce se všemi externími stranami, se kterými má vztah. To může zahrnovat smluvní i nesmluvní strany. Vedení třetích stran se provádí především za účelem posouzení průběžného chování, výkonnosti a rizika, které pro společnost představuje každý vztah třetí strany. Oblasti sledování zahrnují dodavatele a správu informací dodavatele, odpovědnost podniků a sociální soulad, dodavatele řízení rizik , IT riziko dodavatele, proti podplácení / protikorupční (ABAC) compliance , bezpečnosti informací (INFOSEC) compliance, měření výkonnosti a řízení rizik smlouva . Význam správy třetích stran byl zvýšen v roce 2013, kdy americký úřad kontrolora měny stanovil, že všechny regulované banky musí řídit riziko všech svých třetích stran.
Třetí strany
„Třetí stranou“, jak je definována v OCC 2013–29 , je jakýkoli subjekt, se kterým společnost obchoduje. To může zahrnovat dodavatele, dodavatele , smluvní výrobce , obchodní partnery a pobočky, makléře, distributory, prodejce a zástupce. Třetí strany mohou být jak „dodavatelé“ (dodavatelé a prodejci), tak „dodavatelé“ (distributoři a další prodejci) i nesmluvní strany.
Firmy nemusí provádět kritické činnosti, aby byly považovány za „třetí stranu“; firma úklidových služeb odpovědná za údržbu kancelářských prostor společnosti je třetí stranou stejně jako primární dodavatel dodavatelského řetězce. Role nebo velikost třetí strany není tak důležitá jako povaha vztahu, kritičnost jejích činností, úroveň přístupu, který má k citlivým údajům nebo majetku, a odpovědnost společnosti za nevhodné akce jejích třetích stran. Úklidová společnost s přístupem do kartotéky generálního ředitele představuje jiné, ale stále významné riziko ve srovnání s dodavatelem, který poskytuje kritickou součást výrobní linky.
Nekritický poskytovatel služeb-například dodavatel klimatizace-působící v zemi s nízkým rizikem korupce může být mylně považován za nízké riziko. Pokud má však tento dodavatel slabé kybernetické zabezpečení a je schopen odesílat faktury zákazníkovi elektronicky přes firewall zákazníka, může to pro společnost zákazníků představovat vysoké kybernetické riziko. Únik dat společnosti Target Corporation z prosince 2013, při kterém bylo odcizeno přibližně 70 milionů informací o kreditních a debetních kartách zákazníků Target, zdůrazňuje riziko kybernetické bezpečnosti, které představují nevinné třetí strany - a to i v zemích s nízkým rizikem, jako jsou USA. Hackeři zneužili dodavatele HVAC se špatnou kybernetickou bezpečností, který prováděl elektronické platby pomocí Targetu, a měl tak přístup za bránu firewall .
Kvůli trendům směřujícím ke specializaci a outsourcingu společnosti stále více zaměřené na klíčové kompetence zapojují větší počet třetích stran k plnění klíčových funkcí v jejich obchodním hodnotovém řetězci ; za řízení přibližně 60% celkových příjmů je obvykle zodpovědná činnost třetích stran. Tento trend vytváří v celé ekonomice větší počet kritických vztahů se třetími stranami, což-v případě společností s desítkami tisíc a dokonce statisíců vztahů se třetími stranami-může být těžkopádné sledovat a spravovat ručně.
Nařízení
Vzhledem k regulačním požadavkům je ve finančním sektoru nejrozšířenější správa třetích stran. Použití systémů řízení třetích stran je nařízeno Úřadem kontrolora měny pro americké národní banky a federální spořitelní asociace. Bulletin OCC 2013–29 vysvětluje požadavky na správu finančních institucí na třetí strany. British Financial Conduct Authority (FCA) požaduje, aby podle SYSC 8.1 „Požadavky na outsourcing“ byly nepřetržitě monitorovány kritické funkce prováděné třetími stranami.
Sektor zdravotnictví má také rostoucí regulační požadavky, které vyžadují správu třetích stran. HIPAA, zákon o přenositelnosti a odpovědnosti zdravotního pojištění , stanoví standard pro ochranu osobních údajů pacientů. Existují předpisy týkající se ukládání a uchovávání informací o chráněném zdravotním stavu PHI, které mohou být ještě cennější než informace o kreditní kartě. Zákon HITECH, podepsaný v roce 2009, vyžaduje zvýšené povinnosti v oblasti ochrany osobních údajů a zabezpečení a rozšiřuje tyto povinnosti na obchodní partnery.
Zatímco jiná průmyslová odvětví nemají ze zákona zavedeny systémy řízení třetích stran, většina nefinančních společností je vázána protikorupčním/protikorupčním (ABAC) a dalšími předpisy. V důsledku toho mnoho z nich spravuje své třetí strany a přijalo řešení pro správu třetích stran.
Řešení pro správu třetích stran
Řešení pro správu třetích stran jsou technologie a systémy určené k automatizaci výkonu jednoho nebo více procesů nebo funkcí správy třetích stran. Taková řešení jsou zaměřena na vnější strany a jsou navržena tak, aby doplňovala interní systémy a procesy správy, řízení rizik a souladu ( GRC ). Běží na podnikových platformách instalovaných na místě i na platformě SaaS .
Služby popularity hodnocení bezpečnosti (SRS), předplatitelské služby, které „poskytují nepřetržitou, nezávislou kvantitativní bezpečnostní analýzu a bodování pro organizační entity“, si také získávají na popularitě. Trh pro SRS se stává stále více konkurenceschopným, protože poskytovatelé, jako jsou BitSight a Panorays, nabízejí společnostem kompilaci různých rizikových faktorů pro výpočet kvantitativního skóre pro srovnání prodejců.