Správa třetích stran - Third-party management

Správa třetích stran je proces, při kterém společnosti monitorují a řídí interakce se všemi externími stranami, se kterými má vztah. To může zahrnovat smluvní i mimosmluvní strany. Správa třetích stran se provádí primárně za účelem posouzení průběžného chování, výkonu a rizika, které každý vztah třetích stran pro společnost představuje. Mezi oblasti monitorování patří správa informací o dodavatelích a prodejcích, společenská a sociální odpovědnost dodržování, Řízení rizik dodavatele, Riziko dodavatele IT, dodržování předpisů proti úplatkům / korupci (ABAC), informační bezpečnost (infosec) dodržování, měření výkonu a řízení rizik smlouvy.[1] Význam správy třetích stran byl zvýšen v roce 2013, kdy americký úřad měny stanovil, že všechny regulované banky musí řídit riziko všech svých třetích stran.[2]

Třetí strany

„Třetí strana“ ve smyslu definice v OCC 2013–29, je jakýkoli subjekt, se kterým společnost obchoduje.[2] To může zahrnovat dodavatele, prodejci, smluvní výrobci, obchodní partneři a přidružené společnosti, makléři, distributoři, prodejci a agenti.[2] Třetími stranami mohou být jak „dodavatelé“ (dodavatelé a prodejci), tak „dodavatelé“ (distributoři a opětovní prodejci) i nesmluvní strany.[2]

Aby společnosti mohly být považovány za „třetí stranu“, nemusí provádět rozhodující činnosti; firma poskytující úklidové služby odpovědná za údržbu kancelářských prostor společnosti je stejně jako primární dodavatel dodavatelského řetězce třetí stranou. Role nebo velikost třetí strany není tak důležitá jako povaha vztahu, kritičnost jejích aktivit, úroveň přístupu, který má k citlivým datům nebo majetku, a odpovědnost společnosti za nevhodné jednání jejích třetích stran. Čisticí společnost s přístupem k registrační skříňce generálního ředitele představuje jiné, ale stále významné riziko ve srovnání s dodavatelem, který dodává kritickou součást výrobní linky.

Nekritický poskytovatel služeb - například dodavatel klimatizace - působící v zemi s nízkou úrovní riziko korupce může být mylně považováno za nízké riziko. Pokud má však tento dodavatel špatnou kybernetickou bezpečnost a je schopen zákazníkovi elektronicky odesílat faktury přes bránu firewall zákazníka, může to pro zákaznickou společnost představovat vysoké kybernetické riziko. Target Corporation Únik dat z prosince 2013, při kterém bylo odcizeno přibližně 70 milionů informací o kreditních a debetních kartách zákazníků Target, zdůrazňuje riziko kybernetické bezpečnosti, které představují nevinné třetí strany - dokonce i v zemích s nízkým rizikem, jako jsou USA. Hackeři vykořisťovali HVAC dodavatel se špatnou kybernetickou bezpečností, který prováděl elektronické platby se společností Target, a měl tak přístup za firewall.[3]

Vzhledem k trendům směrem k specializaci a outsourcingu společnosti stále více zaměřené na klíčové kompetence zapojují větší počet třetích stran k plnění klíčových funkcí ve svém podnikání řetězec hodnot;[4] Činnost třetích stran je obvykle zodpovědná za řízení přibližně 60% celkových příjmů.[5] Tento trend vytváří větší počet kritických vztahů s třetími stranami v celé ekonomice, což - v případě společností s desítkami tisíců a dokonce stovkami tisíc vztahů s třetími stranami - může být obtížné sledovat a spravovat ručně.

Nařízení

Vzhledem k regulatorním požadavkům je ve finančním sektoru převládající správa třetích stran. Úřad pro kontrolu měny je pro americké národní banky a federální spořitelní sdružení povinen používat systémy správy třetích stran.[2] Bulletin OCC 2013–29 vysvětluje požadavky na správu třetích stran pro finanční instituce. Britové Financial Conduct Authority (FCA) požaduje, aby v rámci požadavků SYSC 8.1 „Požadavky na outsourcing“ byly neustále sledovány kritické funkce prováděné třetími stranami.[6]

Ve zdravotnictví rostou také regulační požadavky, které vyžadují správu třetích stran. HIPAA,[7] the Zákon o přenositelnosti a odpovědnosti v oblasti zdravotního pojištění, nastavuje standard pro ochranu soukromých údajů o pacientech. Kolem ukládání existují předpisy [8] a ukládání PHI, chráněných zdravotních informací[9] což může být ještě cennější než informace o kreditní kartě.[10] Zákon HITECH,[11] podepsaná v roce 2009 vyžaduje zvýšené povinnosti v oblasti ochrany soukromí a zabezpečení a rozšiřuje tyto povinnosti na obchodní partnery.

Zatímco ostatní průmyslová odvětví nemají podle zákona povinnost mít zavedeny systémy správy třetích stran, většina nefinančních společností je vázána protikorupčními / protikorupčními (ABAC) a dalšími předpisy.[1] V důsledku toho mnoho z nich spravuje své třetí strany a přijalo řešení pro správu třetích stran.[12]

Řešení pro správu třetích stran

Řešení správy třetích stran jsou technologie a systémy určené k automatizaci výkonu jednoho nebo více procesů nebo funkcí správy třetích stran. Taková řešení jsou zaměřena na vnější prostředí a jsou navržena tak, aby doplňovala vnitřní řízení, rizika a dodržování předpisů (GRC ) systémy a procesy. Běží na místně nainstalovaných i SaaS -dodávané podnikové platformy.[13]

Popularitu si získávají také služby pro hodnocení zabezpečení (SRS), předplacené služby, které „poskytují nepřetržitou, nezávislou kvantitativní analýzu zabezpečení a hodnocení pro organizační entity“.[14] Trh pro SRS se stává stále konkurenceschopnějším jako poskytovatelé jako např BitSight a Panoramata nabídnout společnostem kompilaci různých rizikových faktorů pro výpočet kvantitativního skóre pro srovnání prodejců.

Reference

  1. ^ A b „Odborníci na mezinárodní právo a daně - CMS international law firm“. cms.law. Citováno 15. září 2019.
  2. ^ A b C d E „OCC: Vztahy s třetími stranami: Pokyny k řízení rizik“. occ.gov.
  3. ^ Gregory Wallace (6. února 2014). „Prodejce HVAC si prohlížel vstupní bod pro porušení cíle“. CNNMoney.
  4. ^ „Outsourcing: na vzestupu, protože firmy zdokonalují základní kompetence“. Osney Buy-Side.
  5. ^ „Použít případy pro správu třetích stran“, Bílá kniha Hiperos 15:00
  6. ^ „Kombinované zobrazení“. fshandbook.info.
  7. ^ „Ochrana osobních údajů v oblasti zdraví“. HHS.gov. 26. srpna 2015. Citováno 15. září 2019.
  8. ^ Práva (OCR), Office for Civil (10. září 2009). „Pravidlo zabezpečení“. HHS.gov. Citováno 15. září 2019.
  9. ^ „HIPAA.com -“. HIPAA.com. Citováno 15. září 2019.
  10. ^ „Lékařské záznamy jsou pro hackery 10krát cennější než informace o kreditní kartě“. www.beckershospitalreview.com. Citováno 15. září 2019.
  11. ^ Práva (OCR), Office for Civil (28. října 2009). „Prozatímní závěrečné pravidlo pro prosazování zákona HITECH“. HHS.gov. Citováno 15. září 2019.
  12. ^ „Řízení rizik třetích stran v měnícím se regulačním prostředí“ McKinsey & Company (Working Papers on Risk, Number 46)
  13. ^ „Rozdíl mezi podnikovým softwarem a softwarem poskytovaným jako služba“. effectivedatabase.com.
  14. ^ „Hype Cycle for Risk Management Solutions, 2016“. Gartner. Citováno 15. září 2019.