Controlli sui fornitori

Risk Assessment sui fornitori

Numerose norme cogenti e volontarie impongono alle organizzazioni attività di qualifica e verifica dei fornitori.

La metodologia classica di Grc Team si struttura su 5 fasi, che possono essere di volta in volta modulati sull'organizzazione cliente, allineandola a complessità organizzativa e volume dei soggetti da verificare.

Analisi preliminare e mappatura

La prima fase è finalizzata a definire il perimetro di azione, la profondità delle verifiche da svolgere, i requisiti sui cui strutturare le attività di audit:

  • Verifica idoneità fornitore ai requisiti previsti dalla "Politica di esternalizzazione" se presente e a norme cogenti (es. GDPR, D.Lgs. 81/2008) e volontarie cui ha aderito l'organizzazione (es. ISO 9001, ISO/IEC 27001);
  • Verifica coerenza contrattuale fra accordi di fornitura sottoscritti e compliace come definita nel punto precedente.

Clusterizzazione dei fornitori

La profondità dei controlli verrà differenziata a seconda della tipologia del servizio fornito dalla terza parte, classificando i fornitori per cluster omogenei di rischio:

  • Definizione parametri di rischio e soglie di rilevanza;
  • Classificazione dei fornitori.

Check List

Analisi documentale e dei livelli di serviizo attesi anche sulla base dei requisiti previsti dalla normativa e regolamentazione applicabile, definizione lista di controllo e delle attività di monitoraggio:

  • Elementi di verifica, quali fra gli altri, rispetto dei limiti operativi, degli impegni assunti o della qualità del servizio fornito, del livello di servizio concordato, rispetto obblighi normativi;
  • verifica sussistenza eventuali conflitti di interesse; verifica delle misure adottate per assicurare la continuità dell’attività in caso di interruzione o grave deterioramento della qualità del servizio reso dal fornitore, inclusi adeguati piani di emergenza o di reinternalizzazione delle attività;
  • verifica rispetto livelli di sicurezza tecnica e organizzativa, criticità dei sistemi anche ICT, risorse disponibili, tecnologiche e di competenza;

Audit

Definizione del piano di Audit e delle modalità di verifica, in conformità del livello di rischio atteso e dei cluster definiti:

  • Audit sul campo con check list completa e raccolta delle evidenze;
  • Audit da remoto con check list semi completa e richiesta invio evidenze;
  • Self assessment con invio check list semplificato e autodichiarazione del rispetto dei livelli attesi.

Miglioramento

Al termine delle attività di Audit verrà elaborata uno specifico documento di Gap Analysis comprensivo delle evidenze riscontrate e di un piano di intervento suggerito con eventuale indicazione delle priorità di intervento.

  • Non sei certo se la 37301 faccia al tuo caso?

    Scrivici a info@grcteam.it indicando le norme cogenti o facoltative implementate nella tua organizzazione, un nostro analista competente per tali sistemi, ti risponderà. 

    PS: siamo esperti anche di GDPR. La tua mail sarà utilizzata solo ed esclusivamente per rispondere al tuo quesito.

     

La nostra Filosofia
Il nostro gruppo
Cosa facciamo
Il metodo GRC