Che cos'è la gestione del rischio di terze parti (TPRM)?

Le terze parti sono importanti per il successo dell'azienda, ma possono introdurre rischi in vari modi.

Lavorare con una terza parte può introdurre dei rischi nella tua azienda. Se queste hanno accesso a dati sensibili potrebbero rappresentare un rischio per la sicurezza; se forniscono un componente o un servizio essenziale per la tua azienda potrebbero introdurre un rischio operativo, e così via. La gestione del rischio di terze parti permette alle organizzazioni di monitorare e valutare il rischio derivante da terze parti per individuare in quali casi esso supera la soglia stabilita dall'azienda. Questo permette alle organizzazioni di prendere decisioni tenendo conto del rischio che corrono e di ridurre il rischio stesso posto dalle parti fornitrici a un livello accettabile.

Le terze parti sono una chiave importante per il successo di un'azienda. Le organizzazioni di tutte le dimensioni stanno facendo sempre più affidamento sulle terze parti per l'innovazione, la crescita e la trasformazione digitale.

Tuttavia, una forte dipendenza da terze parti può essere rischiosa. Il profilo di rischio delle terze parti è fondamentale per definire il profilo di rischio, la resilienza e la reputazione di un'azienda che utilizza tali terze parti. Può essere molto costoso e difficile gestire un incidente di terze parti, con conseguenze quali azioni normative, danni alla reputazione e perdita di ricavi. Per garantire la protezione e la sicurezza di un'organizzazione, è necessario esaminare attentamente le terze parti mediante valutazioni continue dei rischi.

Finora, la gestione del rischio delle parti fornitrici è stata dispendiosa in termini di tempo e soggetta a errori, nonché costituita da processi manuali che utilizzavano e-mail, fogli di calcolo e strumenti di gestione del rischio dei fornitori isolati. Questi processi e strumenti sono semplicemente inadeguati: né gli strumenti né i team possono tenere il passo con il crescente numero di terze parti. Le sfide comuni affrontate dalle aziende che non hanno implementato soluzioni moderne o complete includono:

  • Processi manuali: bassa efficienza nel monitoraggio di terze parti e un tempo più lungo per individuare e mitigare i problemi.
  • Mancanza di scalabilità: i team non possono tenere il passo con la gestione delle terze parti se utilizzano uno strumento non scalabile, il che può aumentare il rischio.
  • Silos: troppi silos possono creare difficoltà nell'accedere alle informazioni sul rischio in tutta l'organizzazione.
  • Disconnessione: nessun contesto aziendale rende difficile assegnare priorità ai rischi di terze parti attraverso il ciclo di vita della parte fornitrice o quando i requisiti cambiano.

Di seguito sono riportate alcune considerazioni importanti da tenere in conto quando si sceglie una terza parte. Le risposte determineranno il livello di rischio che tale terza parte rappresenta per l'azienda:

  • A che tipo di dati accede? Che tipo di accesso è stato concesso?
  • Lavora con quarte parti che potrebbero presentare problemi di consegna?
  • Si trova in una parte instabile del mondo?
  • Fornisce un prodotto o un servizio critico? In caso affermativo, dovremmo disporre di una parte fornitrice alternativa? 
  • Qual è la sua storia in termini di sicurezza, quali best practice ha in atto e quali ha implementato (sicurezza di base, applicazione di patch per SLA, storico delle violazioni, ecc.)?
  • Ha in atto piani di continuità operativa?
  • È conforme alle normative identificate dalla tua organizzazione?
  • Qual è la sua situazione finanziaria? 

Rischio strategico

La strategia può essere minacciata quando le terze parti e l'organizzazione non sono allineate su decisioni e obiettivi. È fondamentale monitorare le terze parti per assicurarsi che il rischio strategico non determini una mancanza di conformità o un eventuale rischio finanziario.

Grafico che mostra i diversi tipi di rischio delle terze parti.

Rischio per la reputazione

La reputazione di un'azienda può anche dipendere dalla reputazione di una terza parte con cui opera. Se una terza parte ha un problema di reputazione o di violazione dei dati, la fiducia della clientela in un'azienda che lavora con la terza parte può ridursi.

Rischio operativo

Le operazioni a volte possono dipendere da applicazioni e servizi di terze parti e sussiste sempre il rischio che la terza parte possa subire un attacco informatico o un'interruzione del servizio che può portare a interruzioni operative, una perdita di dati o una violazione della privacy. Se sono coinvolte quarte parti, le stesse preoccupazioni si applicano anche a loro.

Rischio per le transazioni

Possono verificarsi problemi con la fornitura di un prodotto o di un servizio effettuata da terze parti che possono causare problemi transazionali all'interno di un'organizzazione.

Rischio per la conformità

Le normative stanno lentamente iniziando a incorporare il rischio di terze parti come requisito per la conformità, quindi la tolleranza al rischio per la conformità dovrebbe essere estesa anche alle terze parti.

Rischio per la sicurezza delle informazioni

Indipendentemente dalla forma che i dati possono assumere, c'è un certo grado di rischio che deriva dal permettere a una terza parte di interagire con tali dati, compreso il rischio di accesso non autorizzato, interruzione, modifica, registrazione, ispezione o distruzione delle informazioni.

Rischio finanziario

È importante lavorare con terze parti finanziariamente solide per evitare interruzioni della catena di approvvigionamento. Inoltre, le terze parti che sono in difficoltà finanziarie potrebbero non essere molto concentrate sulle misure di sicurezza, esponendosi a rischi inutili.

Esistono alcune fasi essenziali per la gestione del rischio di terze parti:

Onboarding

Quando si considera di lavorare con una terza parte, è importante effettuare una valutazione iniziale del rischio nell'ambito del processo decisionale, prima di passare formalmente all'onboarding di quella terza parte. È possibile utilizzare dati esterni per ottenere un quadro più ampio del rischio delle terze parti utilizzando, ad esempio, valutazioni sulla sicurezza informatica per determinare il proprio profilo di sicurezza, riducendo così la possibilità di ereditare inconsapevolmente rischi indesiderati.

Livello

Nell'ambito della valutazione iniziale del rischio, idealmente eseguita prima o subito dopo l'onboarding della terza parte, deve essere eseguita una valutazione di livello. Questa valutazione viene eseguita internamente e determina che la terza parte viene inserita in un livello che determina il tipo e la frequenza delle valutazioni che la terza parte riceverà. Le parti fornitrici di livello 1 o di importanza critica sono il livello più alto. Alcune parti fornitrici potrebbero trovarsi a un livello che non richiede valutazioni regolari (ad esempio le terze parti che fanno regolari controlli di sicurezza). I dati esterni provenienti, ad esempio, dalle parti fornitrici di rating sulla sicurezza possono essere utilizzati per adeguare il livello, se necessario.

Valutazione

Le terze parti di livello superiore devono eseguire regolarmente valutazioni dei rischi, che devono basarsi sull'area di rischio posta dalla terza parte. Per esempio, le parti fornitrici che producono un componente possono prevedere domande relative a dipendenti, salute e sicurezza, mentre le società di consulenza potrebbero non prevedere questo tipo di domande. Tuttavia, tutte le terze parti dovrebbero prevedere domande riguardanti il loro profilo di sicurezza e di redditività finanziaria. La frequenza di queste valutazioni potrebbe essere basata sul livello e prevedere che il livello più alto abbia valutazioni più frequenti.

Generazione di risultati

Quando viene restituita una valutazione, potrebbero esserci risposte insoddisfacenti o incomplete. Inoltre, qualsiasi dato esterno oggettivo raccolto sul profilo finanziario o di sicurezza di terze parti deve essere valutato in questo momento per eventuali problemi. I problemi o i risultati possono quindi essere restituiti alla terza parte affinché possa rispondere.

Risoluzione dei problemi

Vi può essere un periodo in cui una valutazione va dall'organizzazione alla terza parte e viceversa, vengono generate le attività, vengono fornite risposte ai problemi e, se necessario, vengono fornite prove. Tutte le comunicazioni devono essere registrate per riferimento futuro. Alla fine, alcuni rischi potrebbero essere accettati.

Segnalazione del rischio

Dopo avere identificato, analizzato e risolto il rischio, è necessario segnalarlo alle parti interessate. Tutti e tutte le stakeholder devono essere in grado di ottenere il livello di visibilità desiderato.

Monitoraggio

Come menzionato in precedenza, le terze parti devono essere continuamente valutate, il che idealmente significa monitorare eventuali variazioni del rischio o delle prestazioni. Questo può avvenire attraverso valutazioni più frequenti o feed di dati esterni, come ad esempio rating di sicurezza informatica costantemente aggiornati. Le variazioni dovrebbero attivare automaticamente un problema, una valutazione e/o un cambiamento di livello. È fondamentale un monitoraggio costante per garantire che tutte le terze parti adempiano ai propri obblighi e non rappresentino rischi indesiderati per l'organizzazione.

Ritiro

Tutte le organizzazioni dovrebbero avere un processo formale per interrompere le partnership con le terze parti e garantire che tutte le informazioni che non dovrebbero essere conservate siano eliminate in modo permanente.

  • Visibilità totale su tutte le relazioni con terze parti
  • Valutazione formale e due diligence prima del contratto
  • Utilizzo di termini standardizzati e mitigazione del rischio
  • Monitoraggio e supervisione basati sul rischio
  • Offboarding formale alla fine del rapporto

  • Digitalizzare e integrare tutti gli aspetti del ciclo di vita della gestione delle parti fornitrici. La valutazione del rischio dovrebbe essere parte delle fasi iniziali.
  • Consolidare le informazioni sulle parti fornitrici e collaborare con terze parti mantenendo un audit trail di tutte le collaborazioni.
  • Ottenere e mantenere la comprensione e la visibilità dei rischi e delle prestazioni delle terze parti, comprese le loro filiali (o le loro quarte parti).
  • Sviluppare una valutazione dettagliata del punto in cui ha origine il rischio.
  • Creare punteggi di rischio per confrontare, assegnare priorità e comunicare il rischio.
  • Utilizzare sistemi di automazione e apprendimento automatico per ottenere di più riducendo i costi.
  • Creare un piano di resilienza e integrare un piano in ogni aspetto del sistema di gestione delle parti fornitrici.
  • Integrare il tutto con altre applicazioni (come i feed di dati per i tassi di sicurezza informatica) e sistemi di terze parti.

  • Miglioramento delle esperienze della clientela
  • Miglioramento del profilo di sicurezza generale
  • Miglioramento dell'efficienza operativa
  • Miglioramento dell'acquisizione e della fidelizzazione della clientela
  • Miglioramento della fiducia della clientela
  • Miglioramento dei ricavi, delle proiezioni e della redditività
  • Prestazioni delle terze parti coerenti che soddisfano le aspettative
  • Miglioramento della capacità di realizzare gli obiettivi strategici dell'organizzazione sia a livello aziendale sia a livello di progetto
  • Riduzione al minimo delle interruzioni delle aziende
  • Recupero più rapido in caso di interruzioni

Inizia a usare ServiceNow Governance, Risk, and Compliance

Gestisci il rischio e la resilienza in tempo reale con ServiceNow.