Недавно на сайте Forbes появилась хорошая статья John Beattie из Sungard AS, посвященная оценке поставщиков. Полемизируя с воображаемым оппонентом, автор опровергает распространенный стереотип о том, что, даже если есть проблемы с поставщиками, то все равно организация не может достаточным образом повлиять на эту ситуацию. Для тех, кто не любит читать на английском, приведу немного вольный перевод фрагмента статьи.
«… К счастью, существует масса вариантов избежать данного риска, равно как и многих других, которые могут быть обнаружены в процессе оценки рисков третьих сторон. Чтобы проанализировать все возможные решения, нужно собрать в одном месте необходимых людей из вашей организации. Предложенные варианты могут выглядеть следующим образом:
- Руководство: «Почему бы нам не перенести производство этих продуктов/услуг внутрь компании вместо того, чтобы продолжать пользоваться услугами аутсорсинга»
- Юристы: «Мы можем ужесточить требования контракта с тем, чтобы повысить уверенность, что поставщик обеспечит необходимый уровень сервиса»
- Закупки: «Мы можем предложить поиск альтернативных поставщиков»
- Служба непрерывности бизнеса: «Мы можем рекомендовать разработать альтернативные процедуры для обеспечения непрерывности бизнеса в случае проблем у поставщика»
- Информационная безопасность: «Поставщик имеет доступ к нашей важной информации, и если они сами не провели анализ критичных третьих сторон, то нам необходимо запланировать визит к ним для обсуждения того, как они управляют отношениями с третьими сторонами, т.к. это может в конечном счете повлиять и на нас».
- Информационные технологии: «Мы изучили применяемые поставщиком защитные меры, и считаем, что в данном случае безопасность и доступность находятся на достаточном уровне, несмотря на отсутствие BIA»
- Комплайенс: «Мы должны потребовать, чтобы поставщик провел BIA и предоставил доказательства того, что программа непрерывности бизнеса поддерживается в актуальном состоянии».
Каждый из этих подходов является возможным вариантом для снижения рисков, при том, что часть из них выполняется внутри организации, а часть представляет требования к поставщику. Вам просто необходимо оценить их все, и решить, какие из них представляют собой наиболее подходящую стратегию для вашей организации.»
Джон вообще пишет о довольно интересных вещах, очевидно применимых на практике, при этом очень легким и доступным языком — можете в этом убедиться сами, посмотрев его статьи в колонке Forbes.