Если сравнивать, что хуже: срыв поставки важного для вашего производства продукта по причине потопа на фабрике поставщика или сбоя в его информационной системе, ответом будет – ОБА. В обоих случаях вам грозят простой и убытки.
К сожалению, большинство компаний оценивают своих поставщиков на предмет качества и характеристик их продукции, мощности производства, экологических рисков и финансовой состоятельности, но никак не на предмет уязвимости их информационной системы. И этот факт действительно вызывает опасения, т.к. недавнее исследование в области бизнес устойчивости показало, что погодные катаклизмы уходят на второй план в рейтинге главных причин сбоев в цепях поставок.
Лидером в этой области сегодня являются незапланированные сбои в области телекоммуникаций, IT и Кибер атаки.
Если прибавить к этому факту еще и «эффект домино» – поскольку сбой в любом из звеньев может сорвать работу других, и сильно повредить бизнесу – становится совершенно очевидным, что директора по IT должны подходить к оценке информационных рисков поставщиков своих компаний более ответственно, чем раньше.
Оценка IT рисков поставщиков
Следующие ключевые аспекты помогут правильно оценить IT риски поставщика, вне зависимости от поставляемого им продукта или услуги:
- Доступность данных – уровень доступности и как она обеспечивается.
- География – где размещены дата-центры поставщика, и имеется ли вариант резервирования.
- Взаимозависимости – понимает ли поставщик взаимозависимость ваших операций; использует ли он приложения требуемого уровня, чтобы обеспечить стабильность и восстанавливаемость своей системы.
- Уровень зрелости программного обеспечения – каков он; имеется ли детальный, пошаговый план восстановления в аварийных ситуациях; насколько он выполним; тестируется и обновляется ли он каждый год.
- Безопасность – насколько физически и виртуально сильна информационная защита поставщика от несанкционированного доступа собственного персонала и от кибератак; как осуществляется защита неиспользуемой и используемой информации; насколько часто и каким образом создаются резервные копии информации.
- Правдивость – как узнать, что информация в информационных системах соответствует действительности.
- Частота – какие механизмы обеспечивают необходимую вам периодичность предоставления информации.
- Соответствие – соответствует ли ваш поставщик всем нормативно-правовым требованиям, если они применимы к вашей отрасли бизнеса.
Делать необоснованные предположения об устойчивости и стабильности поставщика сегодня может быть чревато большими потерями для компании. И если при аудите IT функций поставщика/подрядчика/перевозчика обнаружится, что эти функции выполняются третьей стороной – подрядчиком, то он тоже становится звеном в вашей цепи поставок и также нуждается в оценке.
Будьте предельно строги по отношению ко всем звеньям Вашей цепи, требуя от них соответствия заданному Вами стандарту. И помните об «эффекте домино»: сбой в одном звене может вызвать цепную реакцию и ударить по Вашему бизнесу и клиентам.
Supplycains.ru: Насколько глубоко Вы оцениваете и аудируете своих поставщиков? Доводилось ли Вам проводить аудит IT систем контрагента? Поделитесь с нами.
Pingback: Сбои в Цепях Поставок Остаются в Центре Внимания Страховых Компаний | SUPPLYCHAINS.RU