외부 공급업체 위험 관리(TPRM)란?

외부 공급업체와의 협력은 비즈니스에 위험 가능성을 초래할 수도 있습니다. 중요한 데이터에 액세스할 수 있는 경우 보안 위험이 될 수 있고 비즈니스에 필수적인 구성요소 또는 서비스를 제공한다면 운영 위험이 발생할 수 있습니다. 외부 공급업체 위험 관리를 통해 조직은 외부 공급업체가 야기하는 위험을 모니터링하고 평가하여 비즈니스에서 설정한 임계치를 초과하는 영역을 식별할 수 있습니다. 따라서 조직은 위험 정보에 입각한 결정을 내리고 벤더로 인해 나타나는 위험을 수용 가능한 수준으로 줄일 수 있습니다.

회사가 받는 평판은 비즈니스를 수행하는 외부 공급업체의 평판에 달려 있기도 합니다. 외부 공급업체에 평판 또는 데이터 유출 문제가 있는 경우 외부 공급업체와 협력하는 비즈니스에 대한 고객의 신뢰는 낮아질 수 있습니다.

운영은 경우에 따라 외부 공급업체 애플리케이션 및 서비스에 의존할 수 있으며, 외부 공급업체는 사이버 공격의 피해를 입거나 운영 중단, 데이터 손실 또는 개인정보 침해로 이어질 수 있는 서비스 중단에 관한 위험이 항상 존재합니다. 관련된 제4의 공급업체가 있는 경우에도 동일한 문제가 적용됩니다.

외부 공급업체의 제품 또는 서비스 제공에 문제가 있을 수 있으며, 이로 인해 조직 내에서 거래 문제가 발생할 수 있습니다.

표준은 서서히 외부 공급업체 위험을 준수 요구 사항으로 통합하기 시작하므로 준수에 대한 위험 감수 성향을 외부 공급업체에도 확장해야 합니다.

데이터 형식에 관계없이 정보의 무단 액세스, 중단, 수정, 기록, 검사 또는 폐기로 인한 위험을 비롯하여 외부 공급업체가 데이터에 상호작용하도록 허용하면 다소 위험이 있습니다.

공급망 중단을 방지하기 위해 재무적으로 실행 가능한 외부 공급업체와 협력해야 합니다. 또한 재무적인 어려움에 처한 외부 공급업체는 보안 조치에 집중하지 않아 불필요한 위험에 노출될 수 있습니다.

외부 공급업체와의 협력을 고려할 때 외부 공급업체를 정식으로 도입하기 전에 의사 결정 프로세스의 일부로 초기 위험 심사를 수행해야 합니다. 외부 공급업체 위험에 대한 보다 전체적인 상황을 외부 데이터를 사용(예: 사이버 보안 등급으로 보안 태세를 평가)하여 확인할 수 있습니다. 이렇게 하면 원치 않는 위험을 무의식적으로 이어갈 가능성을 줄입니다.

초기 위험 심사의 일부로 온보딩 전에 이상적으로 수행하거나 외부 공급업체가 온보딩되는 즉시 계층 심사를 수행해야 합니다. 이 심사는 내부적으로 수행되며 외부 공급업체가 받을 심사 유형과 빈도를 결정하는 계층에 외부 공급업체가 배치됩니다. 1계층 또는 중요 벤더가 가장 높은 계층입니다. 일부 벤더는 정기적인 심사가 필요하지 않은 계층에 있을 수 있습니다(예: 잔디를 깎는 외부 공급업체). 예를 들어 보안 등급 제공자에게 받은 외부 데이터는 필요한 경우 계층 수준을 조정하는 데 사용할 수 있습니다.

상위 계층에 있는 외부 공급업체는 정기적인 위험 평가를 수행해야 합니다. 이때 외부 공급업체가 야기하는 위험 영역을 기반으로 해야 합니다. 예를 들어 구성요소를 제조하는 벤더는 직원, 건강 및 안전에 대한 질문을 할 수 있지만 컨설팅 회사는 그렇지 않을 수 있습니다. 그러나 모든 외부 공급업체는 보안 상태와 재무적 실용성에 대해 의문을 가질 것입니다. 이러한 평가의 빈도는 계층을 기반으로 하며 가장 높은 계층이 가장 빈번하게 평가를 받습니다.

심사가 반환되면 불만족스럽거나 불완전한 응답이 있을 수 있습니다. 또한 외부 공급업체 재무 또는 보안 상태와 관련하여 수집된 객관적인 외부 데이터는 이 시점에서 문제에 대해 평가되어야 합니다. 그런 다음 문제 또는 결과를 외부 공급업체에 환원하여 대응할 수 있습니다.

심사가 계속 이어지고, 작업을 생성하고, 문제에 응답하고, 필요한 경우 증거를 제시하는 기간이 있을 수 있습니다. 모든 커뮤니케이션은 나중에 참조할 수 있도록 캡처해야 하며, 마침내 일부 위험을 감수할 수도 있습니다.

위험을 식별, 분석 및 정정한 후 필요한 공급업체에 보고합니다. 모든 이해 관계자는 원하는 수준의 가시성을 얻을 수 있어야 합니다.

앞서 설명한 대로 외부 공급업체는 지속적으로 평가되어야 하며, 이상적으로는 위험 또는 성과에 대한 변화를 모니터링하는 것을 의미합니다. 이때 더 자주 평가하거나 계속해서 업데이트되는 사이버 보안 등급과 같은 외부 데이터 피드를 통해 수행할 수 있습니다. 변경 사항은 문제, 평가 및/또는 계층 변경을 자동으로 트리거해야 합니다. 모든 외부 공급업체가 의무를 이행하고 조직에 바람직하지 않은 위험을 초래하지 않도록 지속적으로 모니터링하는 것이 중요합니다.

모든 조직은 외부 공급업체의 데이터를 폐기하고 저장해서는 안 될 모든 정보를 영구적으로 삭제하는 공식 프로세스를 마련해야 합니다.

• 모든 외부 공급업체 관계에 대한 완전한 가시성
• 공식적인 계약 사전 평가 및 실사
• 표준화된 위험 완화 용어 사용
• 위험 기반 모니터링 및 감독
• 관계 종료 시 공식적인 등록 취소

• 벤더 관리 수명주기의 모든 측면을 디지털화하고 통합합니다. 위험 평가는 초기 단계에 속해야 합니다.
• 모든 공동 작업에 대한 감사 추적을 유지하면서 벤더 정보를 통합하고 외부 공급업체와 협업합니다.
• 자회사(또는 제4의 공급업체)를 비롯한 외부 공급업체 위험 및 성과에 대한 이해와 가시성을 확보하고 유지합니다.
• 위험이 발생하는 위치에 대한 세부적인 심사 방안을 마련합니다.
• 위험 점수를 생성하여 위험을 비교하고 우선순위를 지정하며 전달합니다.
• 머신 러닝 및 자동화 시스템을 사용하여 비용을 절감하면서 더 많은 목표를 달성합니다.
• 복원성 계획을 수립하고 벤더 관리 시스템의 각 측면에 계획을 포함합니다.
• 사이버 보안 비율에 대한 데이터 피드와 같은 다른 애플리케이션 및 외부 공급업체 시스템과 통합합니다.

• 고객 경험 향상
• 전반적인 보안 태세 개선
• 운영 효율성 강화
• 고객 확보 및 유지 개발
• 고객 신뢰 증대
• 수익, 예측 및 수익성 강화
• 기대에 부합하는 외부 공급업체 성과 지속
• 전략적 비즈니스 및 프로젝트 수준 목표에서 모두 조직의 목적을 실행하는 역량 발전
• 비즈니스 중단 최소화
• 중단으로부터 복구하는 시간 단축