 |
| Ảnh minh họa - Nguồn: internet |
Những rủi ro thường gặp của bên thứ ba
Hầu hết các DN đều có nhà cung cấp, thậm chí tập đoàn lớn còn có đến hàng nghìn nhà cung cấp. Do đó, rủi ro của các đối tượng này cũng được chia theo nhiều loại khác nhau, cụ thể:
An ninh mạng: Một vi phạm về dữ liệu có thể khiến dữ liệu khách hàng hoặc nguồn tin độc quyền của DN dễ bị tấn công. Vì vậy, điều cần thiết là đảm bảo rằng mỗi nhà cung cấp đều có các giao thức bảo mật mạng nghiêm ngặt để giảm thiểu khả năng và kết quả của vi phạm. DN nên tạo cho mỗi nhà cung cấp bộ tiêu chuẩn phù hợp được nêu rõ trong hợp đồng thông qua phụ lục về bảo mật thông tin.
Tuân thủ: DN cần đảm bảo rằng bất kỳ quy định nào mà các đối tác cần tuân thủ như các chính sách và quy định về lưu trữ dữ liệu liên quan đến mọi bộ phận nào của DN mà nhà cung cấp tiếp xúc... đều phải được tôn trọng.
Rủi ro về danh tiếng: Bất kỳ sự cố công khai nào xung quanh nhà cung cấp cũng có thể ảnh hưởng đến danh tiếng của DN. Điều này có thể là các sự cố như vi phạm pháp luật hoặc quy định, mất dữ liệu khách hàng do sơ suất hoặc vi phạm dữ liệu, hay những phát biểu gây tranh cãi... của bên thứ ba.
Rủi ro tài chính: Các nhà cung cấp có khả năng bị vỡ nợ về tài chính hoặc ngừng hoạt động kinh doanh, từ đó gây tổn hại đáng kể cho DN với sự gián đoạn bất ngờ của dịch vụ hoặc phá vỡ chuỗi cung ứng. Điều này đồng nghĩa với việc DN sẽ không thể hoàn thành các nghĩa vụ theo hợp đồng đối với khách hàng, gây mất doanh thu và tổn hại đến danh tiếng.
Rủi ro hoạt động: Khả năng nhà cung cấp không thể thực hiện nghĩa vụ của họ đối với DN cũng là một rủi ro cần lường trước. DN cần liên tục cập nhật kế hoạch kinh doanh của nhà cung cấp và có phương án đề phòng của riêng mình.
Rủi ro chiến lược: Các quyết định của nhà cung cấp cần được xem xét theo hướng phù hợp với các mục tiêu chiến lược của DN, bao gồm các quyết định xung quanh việc sử dụng công nghệ hoặc vấn đề đạo đức. DN phải đảm bảo rằng mình hiểu rõ về các giá trị của nhà cung cấp và kế hoạch dài hạn để đảm bảo quy trình làm việc lâu dài.
Xây dựng kế hoạch ứng phó rủi ro nhà cung cấp
Giải quyết rủi ro của nhà cung cấp không phải là một việc đơn giản và có một danh sách dài về quản lý rủi ro nhà cung cấp mà DN cần triển khai như: Tiến hành kiểm tra những loại dữ liệu nhân viên hoặc khách hàng mà mỗi nhà cung cấp cần quyền truy cập và đảm bảo rằng quyền truy cập của họ bị giới hạn trong phạm vi đó;
Xem xét các hợp đồng và chính sách của từng nhà cung cấp để kiểm tra các vấn đề tuân thủ với các chính sách tiêu chuẩn của riêng DN và các yêu cầu trong ngành, đồng thời yêu cầu điều chỉnh nếu cần;
Xem xét các giao thức bảo mật không gian mạng của từng nhà cung cấp và xác định xem họ có tuân thủ các yêu cầu của ngành và nguyên tắc tổ chức của DN hay không;
Đánh giá mức độ nguy hại tiềm ẩn đối với tổ chức hoặc khách hàng của DN trong trường hợp vi phạm thông qua nhà cung cấp và xác định xem liệu các chiến lược giảm thiểu có cần thiết hay không;
Đánh giá kế hoạch liên tục kinh doanh của mỗi nhà cung cấp; giám sát từng nhà cung cấp về rủi ro tín dụng và hồ sơ phá sản; quản lý rủi ro nhà cung cấp theo cách thủ công.
Hiện nay, nhiều DN đang xem xét từng dòng một về các yêu cầu tuân thủ của nhà cung cấp. Họ cũng thực hiện các cuộc phỏng vấn với từng nhà cung cấp để xác định liệu chính sách của họ có phù hợp với mình hay không và tiến hành đánh giá tại chỗ để đánh giá môi trường làm việc. Quá trình này rất thủ công, tốn nhiều thời gian và dễ xảy ra sai sót, bởi các nhân viên từ các bộ phận khác nhau có thể tiến hành các cuộc đánh giá tương tự mà không chia sẻ thông tin.
Ngoài ra, các câu trả lời thường không đáng tin cậy. Theo Báo cáo Tình hình quản lý rủi ro của bên thứ ba của RiskRecon, chỉ 14% người quản lý rủi ro tin tưởng rằng các biện pháp phòng ngừa bảo mật của bên thứ ba đúng như những gì họ đã báo cáo thông qua bảng câu hỏi của DN. Trên thực tế, 31% số người được hỏi cho biết họ đang có các nhà cung cấp vi phạm dữ liệu.
Với quy trình thủ công như vậy, hầu hết hoạt động quản lý rủi ro được thực hiện trong giai đoạn giới thiệu và sau đó là hằng quý, thậm chí mỗi năm một lần. Cùng với đó, các vấn đề về công nghệ, hiệu suất tài chính hoặc chiến lược kinh doanh của nhà cung cấp rất khó được hiển thị và kiểm soát.
Để giải quyết các vấn đề trên, nhiều tổ chức đã chuyển sang quy trình quản lý rủi ro được thúc đẩy bởi trí tuệ nhân tạo và tự động hóa. Quy trình tự động sẽ giảm đáng kể lượng lao động thủ công và tạo cơ hội giám sát liên tục, cho phép DN xác định sớm các rủi ro. Bằng cách này, DN có thể khắc phục chúng trước khi bên thứ ba gây hại cho DN.
Một quy trình quản lý rủi ro tự động sẽ bao gồm các yếu tố như: Tích hợp dữ liệu để kiểm tra hiệu suất bảo mật của nhà cung cấp tiềm năng trước khi DN cam kết làm việc với họ; phân loại các nhà cung cấp theo mức độ rủi ro; tự động hóa việc tuân thủ và đánh giá rủi ro bằng các công cụ tự báo cáo; thực hiện giám sát rủi ro liên tục; cung cấp báo cáo rủi ro của bên thứ ba một cách rõ ràng, toàn cảnh.
Bằng cách chuyển sang tự động, DN sẽ vượt ra khỏi sự tuân thủ đơn thuần và chuyển sang giám sát rủi ro liên tục, mang lại thông tin cần thiết để phát hiện sớm các rủi ro mới và giảm thiểu chúng ngay lập tức. Đồng thời, với giải pháp quản lý rủi ro bên thứ ba tự động, thông minh, DN có thể hợp lý hóa và nâng cao quy trình quản lý rủi ro tổng thể./.
THÙY LÊ (tổng hợp)
