Стороннее управление - Third-party management

Стороннее управление это процесс, с помощью которого компании контролируют и управляют взаимодействием со всеми внешними сторонами, с которыми они связаны. Это может включать как договорные, так и внедоговорные стороны. Управление третьими сторонами осуществляется в первую очередь с целью оценки текущего поведения, эффективности и риска, которые каждая третья сторона представляет для компании. Области мониторинга включают в себя управление информацией о поставщиках и поставщиках, корпоративная и социальная ответственность согласие, Управление рисками поставщиков, Риск поставщика ИТ, соблюдение требований по борьбе со взяточничеством и коррупцией (ABAC), информационная безопасность (информационная безопасность) согласие, Измерение производительности, и управление рисками контрактов.[1] Важность управления третьими сторонами была повышена в 2013 году, когда Управление финансового контролера США постановило, что все регулируемые банки должны управлять рисками всех своих третьих сторон.[2]

Третьи лица

«Третья сторона», как определено в OCC 2013–29, это любое лицо, с которым компания ведет бизнес.[2] Это могут быть поставщики, продавцы, контрактные производители, деловые партнеры и аффилированные лица, брокеры, дистрибьюторы, реселлеры, и агенты.[2] Третьи стороны могут быть как «восходящими» (поставщики и продавцы), так и «нисходящими» (дистрибьюторы и перепродавцы), а также недоговаривающими сторонами.[2]

Фирмам не нужно проводить критически важную деятельность, чтобы считаться «третьей стороной»; Фирма по оказанию услуг по уборке, отвечающая за содержание офиса компании, является третьей стороной в такой же степени, как и основной поставщик цепочки поставок. Роль или размер третьей стороны не так важны, как характер отношений, критичность ее деятельности, уровень доступа к конфиденциальным данным или имуществу, а также ответственность компании за ненадлежащие действия третьих сторон. Клининговая компания, имеющая доступ к картотеке генерального директора, представляет другой, но все же значительный риск по сравнению с поставщиком, который обеспечивает критически важный компонент производственной линии.

Поставщик некритичных услуг, например подрядчик по кондиционированию воздуха, работающий в стране с низким риск коррупции может ошибочно считаться низким риском. Однако, если у этого подрядчика низкая кибербезопасность и он может отправлять счета клиенту в электронном виде через брандмауэр клиента, это может представлять высокий кибер-риск для компании-заказчика. Target Corporation Утечка данных в декабре 2013 года, в результате которой была украдена информация о кредитных и дебетовых картах примерно 70 миллионов целевых клиентов, подчеркивает риск кибербезопасности, создаваемый невиновными третьими сторонами - даже в странах с низким уровнем риска, таких как США. Хакеры использовали HVAC подрядчик с плохой кибербезопасностью, который проводил электронные платежи с Target и, таким образом, имел доступ к брандмауэр.[3]

Из-за тенденций к специализации и аутсорсингу компании, все больше ориентирующиеся на ключевые компетенции, привлекают большее количество третьих лиц для выполнения ключевых функций в своем бизнесе. цепочка значений;[4] Сторонняя деятельность обычно приносит примерно 60% общего дохода.[5] Эта тенденция приводит к увеличению числа критически важных взаимоотношений со сторонними организациями по всей экономике, которые - в случае компаний с десятками тысяч и даже сотнями тысяч взаимоотношений с третьими сторонами - могут стать неудобными для отслеживания и управления вручную.

Регулирование

В соответствии с нормативными требованиями в финансовом секторе наиболее распространено стороннее управление. Использование сторонних систем управления санкционировано Управлением финансового контролера американских национальных банков и федеральных сберегательных ассоциаций.[2] Бюллетень OCC 2013–29 разъясняет требования к стороннему управлению финансовыми учреждениями. Британский Управление финансового поведения (FCA) требует, согласно SYSC 8.1 «Требования к аутсорсингу», что критические функции, выполняемые третьими сторонами, должны постоянно контролироваться.[6]

В секторе здравоохранения также растут нормативные требования, которые требуют стороннего управления. HIPAA,[7] то Медицинское страхование Портативность и Акт об ответственности, устанавливает стандарт защиты личных данных пациентов. Есть правила сохранения [8] и хранение PHI, защищенной медицинской информации[9] которые могут быть даже более ценными, чем информация о кредитной карте.[10] Закон HITECH,[11] подписанный в 2009 году, требует повышенных обязательств по обеспечению конфиденциальности и безопасности и распространяет эти обязательства на деловых партнеров.

В то время как в других отраслях по закону не требуется наличие сторонних систем управления, большинство нефинансовых компаний связаны обязательствами по борьбе со взяточничеством / коррупцией (ABAC) и другими нормативными актами.[1] Следовательно, многие из них управляют своими третьими сторонами и приняли сторонние решения для управления.[12]

Сторонние решения для управления

Сторонние решения для управления - это технологии и системы, предназначенные для автоматизации выполнения одного или нескольких сторонних процессов или функций управления. Такие решения предназначены для внешних пользователей и предназначены для дополнения внутреннего управления, управления рисками и соответствия (GRC ) системы и процессы. Они работают как на локально установленных, так и на SaaS -поставленные корпоративные платформы.[13]

Услуги по оценке безопасности (SRS), услуги по подписке, которые «обеспечивают непрерывный, независимый количественный анализ безопасности и оценку для организационных единиц», также набирают популярность.[14] Рынок SRS становится все более конкурентным, поскольку такие поставщики, как BitSight и Панорайс предлагают компаниям собрать различные факторы риска для расчета количественной оценки для сравнения поставщиков.

Рекомендации

  1. ^ а б «Международное право и налоговые эксперты - международная юридическая фирма CMS». cms.law. Получено 15 сентября 2019.
  2. ^ а б c d е «OCC: отношения с третьими сторонами: руководство по управлению рисками». occ.gov.
  3. ^ Грегори Уоллес (6 февраля 2014 г.). «Поставщик HVAC рассматривается как точка входа для взлома Target». CNNMoney.
  4. ^ «Аутсорсинг: рост, поскольку фирмы оттачивают ключевые компетенции». Osney Buy-Side.
  5. ^ «Примеры использования для стороннего управления», Белая книга Hiperos, 15:00
  6. ^ «Комбинированный вид». fshandbook.info.
  7. ^ «Конфиденциальность информации о здоровье». HHS.gov. 26 августа 2015 г.. Получено 15 сентября 2019.
  8. ^ Права (OCR), Управление по гражданским делам (10 сентября 2009 г.). «Правило безопасности». HHS.gov. Получено 15 сентября 2019.
  9. ^ "HIPAA.com -". HIPAA.com. Получено 15 сентября 2019.
  10. ^ «Медицинские записи в 10 раз ценнее для хакеров, чем информация о кредитной карте». www.beckershospitalreview.com. Получено 15 сентября 2019.
  11. ^ Права (OCR), Управление по гражданским делам (28 октября 2009 г.). «Временное окончательное постановление о применении закона HITECH». HHS.gov. Получено 15 сентября 2019.
  12. ^ «Управление рисками третьих лиц в меняющейся нормативно-правовой среде» McKinsey & Company (Рабочие документы по рискам, номер 46)
  13. ^ «Разница между корпоративным программным обеспечением и программным обеспечением как услуга». Effectivedatabase.com.
  14. ^ «Цикл ажиотажа в отношении решений по управлению рисками, 2016 г.». Gartner. Получено 15 сентября 2019.