问第三方风险管理:验证供应商的反应？

EN

我猜"FS“是金融服务。虽然我在这个行业没有经验，但我在其他行业也做过类似的工作，我可以勾勒出我所见过的东西，既包括我工作过的公司，也包括使用我们作为供应商的公司。

第一步通常是内部评估。您构建了一个业务案例，确定了需要供应商的原因。您还将识别一个或多个可能的供应商。如果你有能力构建，一个构建-vs-购买的决定也可能是这个内部评估的一部分。这通常是基于公开的信息，以缩小范围并确定与哪些供应商接触。这还将考虑产品或服务的预期用途，如果需要，还需要做什么额外的工作。

如果内部评估需要从质量的角度进行进一步评估(这意味着不仅仅是与供应商的销售团队谈判合同)，下一步将是标准问卷。许多问题与各种标准(如ISO27001、SOC2等)有重叠之处。如果组织有这样的认证，我通常希望看到这个问题的答案，说明这个问题是由认证报告解决的(如果它们真的很好，请引用我可以阅读的一个或多个特定章节)。如果他们没有适当的证明涵盖这一情况，那么我希望对这个问题有一个具体的答案。

根据内部评估确定的风险以及第二步对调查表的答复(其中可能包括内部认证)，第三步将是审计。这通常发生在供应商没有相关证书的情况下。除最高风险系统外，调查表加上相关认证几乎总是不需要进行审计。

您的建议和我经常看到的不同之处在于，第1层不需要重要的评估或认证--最低的关键度和风险供应商。第2级收到一份调查表，预期它们将编制有关的认证报告或进行评估。第3级将进行评估，原因要么是缺乏认证、认证报告提出的问题，要么是初步供应商评估中确定的风险水平。我要指出的是，评估可以是虚拟的，例如在Microsoft、WebEx或其他一些会议应用程序上。

最大的差别就是风险。这取决于你如何定义你认为是你的风险，以及你对不同类型的风险有多大的承受能力。产品或服务的成本、无法获得产品或服务的影响、产品或服务如何集成到您的核心业务等都是您必须考虑的例子。我不知道这里有没有人能告诉你，除了你以外，你最关心的是什么。

就像我们不能告诉你如何进行风险评估一样，我不确定如果你进行自己的评估，我们能告诉你收集什么证据。作为执行过供应商评估的人，我通常由供应商来提供他们的流程描述，最好是在评估之前，这样我就有时间对其进行审查。然后，在评估时，我想看看这个过程已经执行了多少次，并从中获得了一些证据。我把证据的生成和演示留给被评估的组织，因为这是他们的过程，他们知道如何最好地证明它。