외부 공급업체 위험 관리(TPRM)란?

외부 공급업체는 비즈니스 성공에 중요한 역할을 하지만 다양한 방식으로 위험을 초래할 수 있습니다.

외부 공급업체와의 협력은 비즈니스에 위험 가능성을 초래할 수도 있습니다. 중요한 데이터에 액세스할 수 있는 경우 보안 위험이 될 수 있고 비즈니스에 필수적인 구성요소 또는 서비스를 제공한다면 운영 위험이 발생할 수 있습니다. 외부 공급업체 위험 관리를 통해 조직은 외부 공급업체가 야기하는 위험을 모니터링하고 평가하여 비즈니스에서 설정한 임계치를 초과하는 영역을 식별할 수 있습니다. 따라서 조직은 위험 정보에 입각한 결정을 내리고 벤더로 인해 나타나는 위험을 수용 가능한 수준으로 줄일 수 있습니다.

외부 공급업체는 비즈니스 성공을 여는 중요한 열쇠입니다. 모든 규모의 조직이 변혁, 성장 및 디지털 혁신을 위해 갈수록 외부 공급업체에 의존하고 있습니다.

그러나 외부 공급업체에 대한 의존성이 강하다면 위험할 수 있습니다. 외부 공급업체에 놓인 위험 상황은 외부 공급업체를 이용하는 회사의 위험 상황, 복원성 및 평판에 매우 중요합니다. 규제 조치, 평판 손상 및 수익 손실이 포함된 결과로 이어지는 외부 공급업체 인시던트를 처리할 때에는 막대한 비용이 들고 어려움을 겪을 수 있습니다. 외부 공급업체가 지속적인 위험 평가를 통해 신중히 점검되어야 조직은 보호되고 안전할 수 있습니다.

지금까지 벤더 위험 관리는 이메일, 스프레드시트 및 격리된 벤더 위험 관리 도구를 사용하는 수동 프로세스로 구성되어 시간이 많이 걸리고 오류가 발생하기 쉬웠습니다. 이러한 프로세스와 도구는 단순히 부적절할 뿐입니다. 도구와 팀은 모두 늘어나는 외부 공급업체를 따라잡을 수 없습니다. 현대적이거나 포괄적인 솔루션을 구현하지 않은 기업이 직면하는 일반적인 문제는 다음과 같습니다.

  • 수동 프로세스: 외부 공급업체를 모니터링하는 효율성이 낮으며 문제를 찾고 완화하는 데 오랜 시간이 걸립니다.
  • 확장성 부족: 팀이 확장되지 않는 도구를 사용하는 경우 외부 공급업체 관리에 보조를 맞출 수 없어 위험이 커질 수 있습니다.
  • 사일로: 사일로가 지나치게 많으면 조직 전체에서 위험 정보에 액세스하는 데 어려움을 겪을 수 있습니다.
  • 단절 상태: 요구 사항이 변경될 때 또는 벤더 수명주기를 통해 외부 공급업체 위험의 우선순위를 정할 때 어려움을 주는 엔터프라이즈 컨텍스트가 없습니다.

다음은 외부 공급업체를 선택할 때 파악해야 할 몇 가지 중요한 고려 사항입니다. 답변에 따라 비즈니스에 미치는 위험 수준이 결정됩니다.

  • 액세스하고 있는 데이터는 어떤 유형입니까? 권한이 부여된 액세스 유형은 무엇입니까?
  • 배송 문제를 일으킬 수 있는 제4의 공급업체와 협력합니까?
  • 해당 업체가 업계에서 불안정한 위치에 있습니까?
  • 해당 업체가 중요한 제품이나 서비스를 제공하고 있습니까? 그렇다면 대체 벤더가 있어야 합니까?
  • 보안 내역은 무엇이며 어떤 베스트 프랙티스를 마련하고 실행합니까(기본 위생, SLA 패치, 위반 이력 등)?
  • 비즈니스 연속성 계획이 있습니까?
  • 조직에서 식별한 규정을 준수하고 있습니까?
  • 해당 업체의 재무 상황은 어떻습니까?

전략적 위험

외부 공급업체와 조직이 의사 결정과 목표에 대해 일치하지 않으면 전략은 위험에 직면할 수 있습니다. 전략적 위험이 준수 결여 또는 궁극적인 재무 위험으로 이어지지 않도록 외부 공급업체를 모니터링하는 것이 중요합니다.

다양한 유형의 외부 공급업체 위험을 보여주는 그래픽.

평판 위험

회사가 받는 평판은 비즈니스를 수행하는 외부 공급업체의 평판에 달려 있기도 합니다. 외부 공급업체에 평판 또는 데이터 유출 문제가 있는 경우 외부 공급업체와 협력하는 비즈니스에 대한 고객의 신뢰는 낮아질 수 있습니다.

운영 위험

운영은 경우에 따라 외부 공급업체 애플리케이션 및 서비스에 의존할 수 있으며, 외부 공급업체는 사이버 공격의 피해를 입거나 운영 중단, 데이터 손실 또는 개인정보 침해로 이어질 수 있는 서비스 중단에 관한 위험이 항상 존재합니다. 관련된 제4의 공급업체가 있는 경우에도 동일한 문제가 적용됩니다.

거래 위험

외부 공급업체의 제품 또는 서비스 제공에 문제가 있을 수 있으며, 이로 인해 조직 내에서 거래 문제가 발생할 수 있습니다.

준수 위험

표준은 서서히 외부 공급업체 위험을 준수 요구 사항으로 통합하기 시작하므로 준수에 대한 위험 감수 성향을 외부 공급업체에도 확장해야 합니다.

정보 보안 위험

데이터 형식에 관계없이 정보의 무단 액세스, 중단, 수정, 기록, 검사 또는 폐기로 인한 위험을 비롯하여 외부 공급업체가 데이터에 상호작용하도록 허용하면 다소 위험이 있습니다.

재무적 위험

공급망 중단을 방지하기 위해 재무적으로 실행 가능한 외부 공급업체와 협력해야 합니다. 또한 재무적인 어려움에 처한 외부 공급업체는 보안 조치에 집중하지 않아 불필요한 위험에 노출될 수 있습니다.

외부 공급업체 위험 관리에는 필수적인 몇 단계가 있습니다.

온보딩

외부 공급업체와의 협력을 고려할 때 외부 공급업체를 정식으로 도입하기 전에 의사 결정 프로세스의 일부로 초기 위험 심사를 수행해야 합니다. 외부 공급업체 위험에 대한 보다 전체적인 상황을 외부 데이터를 사용(예: 사이버 보안 등급으로 보안 태세를 평가)하여 확인할 수 있습니다. 이렇게 하면 원치 않는 위험을 무의식적으로 이어갈 가능성을 줄입니다.

계층

초기 위험 심사의 일부로 온보딩 전에 이상적으로 수행하거나 외부 공급업체가 온보딩되는 즉시 계층 심사를 수행해야 합니다. 이 심사는 내부적으로 수행되며 외부 공급업체가 받을 심사 유형과 빈도를 결정하는 계층에 외부 공급업체가 배치됩니다. 1계층 또는 중요 벤더가 가장 높은 계층입니다. 일부 벤더는 정기적인 심사가 필요하지 않은 계층에 있을 수 있습니다(예: 잔디를 깎는 외부 공급업체). 예를 들어 보안 등급 제공자에게 받은 외부 데이터는 필요한 경우 계층 수준을 조정하는 데 사용할 수 있습니다.

평가

상위 계층에 있는 외부 공급업체는 정기적인 위험 평가를 수행해야 합니다. 이때 외부 공급업체가 야기하는 위험 영역을 기반으로 해야 합니다. 예를 들어 구성요소를 제조하는 벤더는 직원, 건강 및 안전에 대한 질문을 할 수 있지만 컨설팅 회사는 그렇지 않을 수 있습니다. 그러나 모든 외부 공급업체는 보안 상태와 재무적 실용성에 대해 의문을 가질 것입니다. 이러한 평가의 빈도는 계층을 기반으로 하며 가장 높은 계층이 가장 빈번하게 평가를 받습니다.

결과 산출

심사가 반환되면 불만족스럽거나 불완전한 응답이 있을 수 있습니다. 또한 외부 공급업체 재무 또는 보안 상태와 관련하여 수집된 객관적인 외부 데이터는 이 시점에서 문제에 대해 평가되어야 합니다. 그런 다음 문제 또는 결과를 외부 공급업체에 환원하여 대응할 수 있습니다.

문제 정정

심사가 계속 이어지고, 작업을 생성하고, 문제에 응답하고, 필요한 경우 증거를 제시하는 기간이 있을 수 있습니다. 모든 커뮤니케이션은 나중에 참조할 수 있도록 캡처해야 하며, 마침내 일부 위험을 감수할 수도 있습니다.

위험 보고

위험을 식별, 분석 및 정정한 후 필요한 공급업체에 보고합니다. 모든 이해 관계자는 원하는 수준의 가시성을 얻을 수 있어야 합니다.

모니터링

앞서 설명한 대로 외부 공급업체는 지속적으로 평가되어야 하며, 이상적으로는 위험 또는 성과에 대한 변화를 모니터링하는 것을 의미합니다. 이때 더 자주 평가하거나 계속해서 업데이트되는 사이버 보안 등급과 같은 외부 데이터 피드를 통해 수행할 수 있습니다. 변경 사항은 문제, 평가 및/또는 계층 변경을 자동으로 트리거해야 합니다. 모든 외부 공급업체가 의무를 이행하고 조직에 바람직하지 않은 위험을 초래하지 않도록 지속적으로 모니터링하는 것이 중요합니다.

폐기

모든 조직은 외부 공급업체의 데이터를 폐기하고 저장해서는 안 될 모든 정보를 영구적으로 삭제하는 공식 프로세스를 마련해야 합니다.

  • 모든 외부 공급업체 관계에 대한 완전한 가시성
  • 공식적인 계약 사전 평가 및 실사
  • 표준화된 위험 완화 용어 사용
  • 위험 기반 모니터링 및 감독
  • 관계 종료 시 공식적인 등록 취소

  • 벤더 관리 수명주기의 모든 측면을 디지털화하고 통합합니다. 위험 평가는 초기 단계에 속해야 합니다.
  • 모든 공동 작업에 대한 감사 추적을 유지하면서 벤더 정보를 통합하고 외부 공급업체와 협업합니다.
  • 자회사(또는 제4의 공급업체)를 비롯한 외부 공급업체 위험 및 성과에 대한 이해와 가시성을 확보하고 유지합니다.
  • 위험이 발생하는 위치에 대한 세부적인 심사 방안을 마련합니다.
  • 위험 점수를 생성하여 위험을 비교하고 우선순위를 지정하며 전달합니다.
  • 머신 러닝 및 자동화 시스템을 사용하여 비용을 절감하면서 더 많은 목표를 달성합니다.
  • 복원성 계획을 수립하고 벤더 관리 시스템의 각 측면에 계획을 포함합니다.
  • 사이버 보안 비율에 대한 데이터 피드와 같은 다른 애플리케이션 및 외부 공급업체 시스템과 통합합니다.

  • 고객 경험 향상
  • 전반적인 보안 태세 개선
  • 운영 효율성 강화
  • 고객 확보 및 유지 개발
  • 고객 신뢰 증대
  • 수익, 예측 및 수익성 강화
  • 기대에 부합하는 외부 공급업체 성과 지속
  • 전략적 비즈니스 및 프로젝트 수준 목표에서 모두 조직의 목적을 실행하는 역량 발전
  • 비즈니스 중단 최소화
  • 중단으로부터 복구하는 시간 단축

ServiceNow Governance, Risk, and Compliance 시작하기

ServiceNow를 통해 위험과 복원성을 실시간으로 관리하십시오.