Hur du bevisar att din organisations TPRM-investering lönar sig
Du har byggt affärsfallet för ditt riskhanteringsprogram från tredje part. Programmet finansierades och är nu fullt operativt. Det är bara en tidsfråga innan organisationens ledningsgrupp ber om bevis för att de får värde från de resurser de har tilldelat dig.
Hur kommer du att bevisa att din organisations TPRM-investering lönar sig? Här är tre sätt.
- Utnyttja ekonomisk kvantitativ riskhantering
Ingenting visar värde för en C-level publik bättre än kronor och ören. Visa att ditt TPRM-program skapar en minskning av den årliga förväntade förlusten snarare än kostnaden för själva programmet. Du kan till exempel beräkna en årlig förlust-förväntning från ett dataintrång från tredje part genom att multiplicera oddsen för att en sådan överträdelse materialiseras under nästa år med de ekonomiska konsekvenserna av ett sådant brott mot din organisation om det skulle inträffa (t.ex. PR-kostnader, störningar i din verksamhet, juridiska kostnader etc.).
Implementeringen av ett riskhanteringsprogram från tredje part bör både minska sannolikheten för att ett dataintrång från tredje part inträffar och dess inverkan på din organisation om det gör det. Den resulterande minskningen av den årliga förlust-förväntningen enbart från denna enda risk bör helt motivera kostnaden för ditt riskhanteringsprogram från tredje part.
- Markera TPRM-investeringsvinster
När det finns en säkerhetsöverträdelse hos en tredje part som avvisades baserat på resultat från din due diligence-process från tredje part, dela denna information med ditt verkställande team.
När en risk kristalliseras hos en tredje part och effekten av den händelsen är mindre än den skulle ha varit om du inte hade infört ytterligare kontroller som ett resultat av din riskbedömningsprocess från tredje part, dela denna information med ditt verkställande team.
När en oberoende revisor eller regulatorisk granskare citerar effektiviteten i ditt riskhanteringsprogram från tredje part i sin revisions- eller granskningsrapport, se till att lyfta fram detta för ledningsgruppen.
- Leverera TPRM-mått
Du kan inte visa vad du inte kan mäta. Om du vill visa att ditt riskhanteringsprogram från tredje part levererar värde måste du mäta och rapportera om det. Du vill börja med att mäta mängden aktivitet, t.ex. antal tillbörliga aktsamhetsuppdrag från tredje part, antal riskbedömningar från tredje part, antal regelbundna riskgranskningar från tredje part, antal incidenter från tredje part som hanteras osv. Du kommer då att vilja gå snabbt mot effektivitetsmått, t.ex. genomsnittligt antal tredjepartsuppdrag som utförts per riskanalytiker under en viss tidsperiod, genomsnittligt antal periodiska riskgranskningar från tredje part som utförs per analytiker under en viss tidsperiod etc. Slutligen kommer du att vilja ta examen till mått på effektivitet eller effektivitet, t.ex. minskning av årliga förlustförväntningar över tid på grund av riskhanteringsaktiviteter från tredje part.
Naturligtvis, för att genomföra någon av dessa idéer, behöver du ett forum där du kan dela denna information med ledarna för din organisation. Förhoppningsvis kan du lägga till TPRM på dagordningen för en befintlig informationssäkerhet eller företagsriskorienterad chefsstyrningskommitté (vad det än kan kallas i din organisation). Om inte, bör skapandet av ett sådant forum vara högt på din ”att göra”-lista.
Läs mer: Få och behålla executive buy-in till ditt riskhanteringsprogram
från tredje part Vissa av dessa idéer kan vara mer väl mottagna än andra i din organisation. Se till att mäta feedback och justera ditt tillvägagångssätt beroende på vad som gör och inte resonerar. Hur du än gör det, se till att hålla värdet av TPRM-investeringen och programmet föra fram och centrum för att säkerställa pågående ledarskapsstöd.