Các yếu tố cơ bản trong quản lý rủi ro của bên thứ ba
Theo truyền thống, quản lý rủi ro của bên thứ ba (TPRM) tập trung vào mua sắm, thực hiện hợp đồng, quản lý các mối quan hệ và thực hiện đánh giá kinh doanh hằng quý. Tuy nhiên, khi DN ngày càng phụ thuộc vào các nhà cung cấp để hoàn thành mục tiêu kinh doanh cốt lõi và tạo lợi thế cạnh tranh, các biện pháp quản lý rủi ro như cũ không còn đủ nữa.
Xác định đúng và đủ về rủi ro bên thứ ba
Các vụ việc về vi phạm bảo mật, tiền phạt theo quy định và thiệt hại kinh tế do sự cố của bên thứ ba đang ngày càng gia tăng. Mặc dù các nhà cung cấp có lỗi về mặt kỹ thuật nhưng DN lại là đối tượng phải chịu trách nhiệm cuối cùng.
Mỗi DN có thể ký hợp đồng với hàng nghìn bên thứ ba, bao gồm nhà cung cấp, nhà sản xuất, nhà cung cấp dịch vụ, đối tác kinh doanh, chi nhánh, nhà môi giới, nhà phân phối, người bán lại và đại lý. Mặc dù ngay từ đầu DN đã xây dựng một quy trình để xác minh sự tuân thủ và quản lý rủi ro nhưng với hàng loạt biến động diễn ra hằng ngày, DN vẫn có thể bỏ qua những rủi ro tiềm ẩn và biến nó trở thành vấn đề lớn theo thời gian.
Theo nghiên cứu của Công ty chuyên về phần mềm Galvanize với chủ đề “Các yếu tố cơ bản về quản lý rủi ro của bên thứ ba”, các rủi ro được xác định bao gồm: Rủi ro tuân thủ – tất cả các yêu cầu về quy định của DN, chẳng hạn như lưu trữ, bảo mật dữ liệu; an ninh mạng – các giao thức bảo mật không gian mạng của nhà cung cấp có đảm bảo mức độ nghiêm ngặt; rủi ro danh tiếng – các nhà cung cấp có vi phạm luật hoặc quy định, để mất dữ liệu khách hàng do sơ suất hoặc đưa ra các tuyên bố gây tranh cãi; rủi ro tài chính liên quan đến khả năng ngừng kinh doanh hoặc phá sản của bên thứ ba.
Trong đó, rủi ro an ninh mạng được xem là loại rủi ro không xác định. Các nhà cung cấp về công nghệ thông tin chỉ chiếm một phần nhỏ trong hệ sinh thái bên thứ ba của DN nhưng tầm ảnh hưởng lại rất lớn. Theo Báo cáo đe dọa truy cập đặc quyền của Beyondtrust (công ty hàng đầu trên toàn thế giới về quản lý quyền truy cập), trung bình mỗi tuần, DN có 182 nhà cung cấp kết nối với hệ thống của họ và 58% DN tin rằng họ đã phát sinh vi phạm do hậu quả trực tiếp của nhà cung cấp bên thứ ba.
Trong khi đó, các DN lại thiếu tầm nhìn về rủi ro công nghệ thông tin khi có tới 57% DN không biết liệu các biện pháp bảo vệ của mình có đủ để ngăn chặn vi phạm dữ liệu hay không và chỉ 34% DN có một kho dữ liệu toàn diện về tất cả các bên thứ ba liên quan đến dữ liệu. Rõ ràng, để ngăn ngừa rủi ro, DN cần có cách tiếp cận mang tính hệ thống để quản lý các biện pháp kiểm soát và đánh giá mức độ rủi ro trong thời gian thực.
Tối ưu hóa quản lý rủi ro bên thứ ba
Theo hướng dẫn của Galvanize, trước tiên, các DN cần kiểm kê tất cả các rủi ro bên thứ ba, bao gồm các yếu tố như địa lý, công nghệ và rủi ro tín dụng, đồng thời đánh giá mức độ ưu tiên cho từng rủi ro dựa trên khả năng xảy ra và tác động của nó đối với hoạt động của DN. DN cũng có thể phân loại các nhà cung cấp theo mức độ rủi ro và hiệu chỉnh việc giám sát rủi ro cho phù hợp.
Cùng với đó, DN xây dựng kế hoạch giảm thiểu rủi ro thông qua việc phát triển các chỉ số rủi ro chính (KRI) để làm tiêu chuẩn cho thời điểm DN hành động. Xác định các bên liên quan trong toàn bộ tổ chức, bao gồm những người chịu trách nhiệm vạch ra các kế hoạch giảm thiểu và áp dụng chúng vào thực tế khi cần thiết.
Khi tiếp cận một nhà cung cấp mới hoặc khi kết thúc một dịch vụ, DN cần thiết lập một bộ kiểm soát chặt chẽ và mọi bước của quy trình phải được tuân thủ, bao gồm: Xem xét các hợp đồng của nhà cung cấp, các giao thức an ninh mạng, kế hoạch ứng phó sự cố, kế hoạch liên tục kinh doanh và hồ sơ tín dụng. Các kiểm soát này phải được tự động hóa trong phạm vi có thể để DN nhận được thông báo nhanh nhất khi có vấn đề phát sinh.
Ngoài ra, DN có thể sử dụng nền tảng quản lý rủi ro tập trung, tích hợp cung cấp quyền truy cập vào tất cả dữ liệu bên thứ ba và cho phép các bộ phận phân tích rủi ro trên toàn bộ tổ chức trong thời gian thực. Bằng cách xây dựng một nền tảng hợp tác, DN có thể đảm bảo rằng mọi thành viên trong nhóm đều có khả năng hiển thị đầy đủ và đang đo lường rủi ro dựa trên cùng một số liệu.
Một cách tiếp cận nữa là DN sử dụng phân tích để kiểm tra các kịch bản và đánh giá mức độ rủi ro trong thời gian thực. Giải pháp này bao gồm nhiều bảng điều khiển phân tích giúp DN đánh giá các tình huống khác nhau và tích hợp nguồn cấp dữ liệu thời gian thực để cập nhật đánh giá rủi ro. Nó cũng sẽ tạo ra các báo cáo trực quan giúp ban điều hành đưa ra quyết định tốt hơn và nhanh hơn.
Bằng cách xây dựng và triển khai các giao thức nghiêm ngặt xung quanh việc quản lý rủi ro bên thứ ba, việc phân loại nhà cung cấp và xác định nhà cung cấp nào phải được giám sát cẩn thận sẽ trở nên dễ dàng hơn. DN cũng dễ dàng truy cập vào dữ liệu thời gian thực để phát hiện các vấn đề ngay lập tức, từ đó thắt chặt các biện pháp kiểm soát và nâng cao bảo mật từ đầu đến cuối./.
Trích nguồn
Thùy Lê (tổng hợp)