La gestione delle terze parti (Third-Party Management, TPM) migliora la visibilità sulle relazioni di un'azienda con entità esterne come vendor e fornitori di servizi. Questa pratica mira a ottimizzare il valore e mitigare i rischi associati a terze parti.

Per comprendere cosa comporta una gestione completa dei rapporti con terze parti, è importante sapere da dove ha inizio e in che modo coinvolge l'intera attività aziendale. 

Dati importanti della TPM

• Fornitori: forniscono materie prime o prodotti di base nelle prime fasi della catena di fornitura.
• Vendor: offrono prodotti o servizi a valle della catena di fornitura, che talvolta include partner tecnologici.
• Fornitori di servizi: forniscono servizi o tecnologie piuttosto che prodotti o materie prime.

Tutte le terze parti hanno accesso ai sistemi aziendali e alla proprietà intellettuale, rendendo necessaria una gestione dinamica del rischio.

Scopri di più sul ciclo di vita della gestione delle terze parti con questo eBook scaricabile.

Evoluzione della gestione del rischio terze parti

• Dalla gestione del rischio alla gestione completa a tutto tondo: La gestione tradizionale del rischio terze parti (Third-Party Risk Management, TPRM) era incentrata principalmente sulla sicurezza. Tuttavia, oggi questo settore pone l'accento sulla privacy, l'etica e la resilienza operativa, compresi i rischi emergenti come l'intelligenza artificiale. Questo passaggio a un approccio più ampio alla gestione delle terze parti (Third-Party Management, TPM) comporta l'integrazione di più funzioni aziendali al fine di affrontare i rischi operativi in modo più completo.

Qual è il ciclo di vita della gestione delle terze parti?

Come ogni rapporto, anche quello tra un'azienda e i suoi fornitori esterni è destinata a evolversi nel tempo. È importante disporre di una strategia di gestione dei fornitori esterni che tenga conto adeguatamente di ogni fase e di un software che aiuti ad attuare tale strategia. Di seguito sono sono riportate alcune fasi del ciclo di vita della gestione delle parti.

1. Assunzione di terze parti: crea e gestisci un inventario completo delle terze parti utilizzando integrazioni software o questionari.
2. Definisci la propensione al rischio: allinea la tolleranza al rischio con gli obiettivi organizzativi, coinvolgendo le parti interessate più importanti per stabilire soglie per livelli di rischio accettabili e comunica chiaramente questi limiti alle terze parti.
3. Calcola il rischio intrinseco: valuta i rischi correlati alle terze parti in base a fattori come settore, posizione e prestazioni. Confronta i rischi intrinseci con la propensione al rischio della tua organizzazione per decidere se sono necessari controlli aggiuntivi.
4. Fasi di valutazione
   • Esamina i dati relativi al rischio e alla conformità: utilizzare dati esterni per identificare segnali di allarme e problemi etici. I controlli di due diligence sono fondamentali per individuare potenziali problemi come violazioni normative o pratiche non etiche.
   • Valuta certificazioni e attestazioni: rivedi le certificazioni delle terze parti, come ad esempio ISO 27001, per verificare la conformità agli standard di settore e alle pratiche di sicurezza.
   • Invia questionari dinamici: personalizza i questionari per affrontare rischi specifici e raccogliere informazioni dettagliate per valutare l'allineamento con la propensione al rischio.
5. Trattamento e controllo del rischio: analizza le risposte ai questionari per interpretare le implicazioni del rischio e implementare controlli appropriati. Integra la gestione del rischio con la contrattazione per adattare le protezioni in base ai rischi identificati.
6. Monitora, rispondi e rivaluta: monitora continuamente le attività delle terze parti e rivaluta i rischi man mano che le relazioni si evolvono. Implementa avvisi e revisioni regolari per affrontare i rischi emergenti e i cambiamenti nei rapporti con le terze parti.
7. Creazione di report e segnalazioni: tieni traccia e visualizza le metriche più importanti relative alla gestione delle terze parti. Gestisci registri automatizzati per trasparenza e conformità.

Ruoli e responsabilità per diverse unità aziendali

I ruoli che le diverse unità aziendali svolgono nella gestione delle terze parti sono determinati principalmente dai tipi di rischio che più le riguardano. Ad esempio, il team addetto alla sicurezza vorrà sapere se qualche terza parte è mai stata vittima di una violazione dei dati e, in tal caso, come ha reagito.

Ogni unità aziendale ha esigenze diverse per quanto riguarda le terze parti, quindi richiede anche un sistema definito di ruoli e responsabilità per garantire la sicurezza della propria organizzazione all'interno dell'azienda.

Ruoli fondamentali delle unità aziendali

• Sicurezza: si concentra sui rischi di sicurezza informatica posti dalle terze parti, compresa la loro storia di violazioni e le misure che hanno messo in atto per proteggersi. Assicura che le terze parti dispongano di adeguati controlli di sicurezza e rispettino i requisiti di continuità.

• Privacy: gestisce i rischi relativi alla protezione dei dati e alla conformità alle normative in vigore, in particolare per quanto riguarda i dati personali sensibili. Coordina con il team addetto alla sicurezza per proteggere i dati e garantire la conformità legale.

• Etica e conformità: esamina i rischi normativi e reputazionali, comprese le pratiche non etiche e le violazioni delle policy. Utilizza strumenti di due diligence e monitoraggio per identificare potenziali problemi.

• Approvvigionamento e acquisti: gestisce la selezione dei vendor, le offerte competitive e la negoziazione dei contratti. Svolge un ruolo fondamentale nel controllo iniziale delle terze parti e nella gestione del processo di onboarding.

Cosa ci prospetta il futuro

Una gestione efficace delle terze parti richiede la comprensione e la capacità di gestire il ciclo di vita delle relazioni con entità esterne. Ciò richiede il coordinamento tra varie unità aziendali al fine di affrontare i rischi relativi alla sicurezza, alla privacy, all'etica e alla conformità. Le organizzazioni possono ottimizzare il loro valore e proteggersi da potenziali minacce gestendo sistematicamente queste relazioni e integrando i processi di gestione dei rischi.

Informazioni su OneTrust Third-Party Management

OneTrust Third-Party Management consente una maggiore visibilità del rischio quando si gestiscono terze parti in tutta l'azienda. La soluzione fornisce accesso a una serie di funzionalità, ciascuna costruita pensando all'automazione e al risparmio di tempo. La soluzione include Third-Party Due Diligence parti per lo screening delle entità, Third-Party Risk Management per la mitigazione del rischio e la gestione del ciclo di vita. Inoltre, offre anche dati sul rischio pronti all'uso su migliaia di terze parti grazie a Third-Party Risk Exchange, un prodotto che offre informazioni proveniente da SecurityScorecard, RiskRecon, ISS Corporate Solutions (formerly FICO) e altre fonti. 

Queste funzionalità lavorano insieme per facilitare la collaborazione con terze parti in tutta sicurezza: riducono i punti ciechi nei diversi ambiti di rischio, semplificano la conformità e consentono un time-to-value più rapido durante l'onboarding e la valutazione delle terze parti. Inoltre, migliorano anche la resilienza aziendale attraverso il monitoraggio continuo e la raccolta di dati per un processo decisionale più rapido durante l'intero ciclo di vita delle terze parti.

Per saperne di più su come OneTrust Third-Party Management può aiutarti a comprendere e affrontare i rischi in tutta la tua attività, richiedi subito una demo.