趋势与观点 | 如何准备第一个供应商审计计划
建立执行供应商审计的标准
审核所有供应商可能具有挑战性(或几乎不可能),特别是对于那些使用许多服务的大型组织而言。因此,建立标准帮助我们选出需要审计的供应商至关重要。这个标准可以包括供应商正在处理的信息类型、供应商对信息的访问级别、外包流程或所提供服务的重要性、供应商风险和/或客户合同义务。
了解审计需求
执行供应商审计的审计员必须了解供应商审计有独特的要求。例如,他们可能必须遵守当地的法律和监管要求(例如,欧盟通用数据保护条例 [GDPR]、中国的个人信息保护法 [PIPL]、美国加利福尼亚州消费者隐私法案 [CCPA])。也可能有来自与客户达成协议的合同、主服务协议或附件的要求(例如,客户要求组织审核组织的供应商,重点是服务供应、信息安全、业务连续性、隐私或这些重点领域的组合)。此外,如果组织已获得或计划获得国际标准化组织 (ISO)/国际电工委员会 (IEC) 信息安全管理系统标准27001:2013的认证,则适用其要求(例如,控制A.15.2. 1—监控和审查供应商服务)。组织也可能有自己的政策来描述进行供应商审核的要求。此外,组织可能与供应商就包括审计权限的相关条款已经达成一致,这通常是进行供应商审计的先决条件。
供应商审计对风险的解读主要通过识别适用要求,确保与供应商管理层的沟通来确定风险阈值,并实施所需的控制。
计划供应商审计
建议遵循基于风险的供应商审计方法,这是成熟的供应商审计方法论的重要内容。供应商审计对风险的解读主要通过识别适用要求,确保与供应商管理层的沟通来确定风险阈值,并实施所需的控制。基于风险的供应商审计解决了由于安全措施、技术、政策和程序不足等漏洞而发生事故的可能性。将风险声明添加到审计发现中可以增加供应商审计过程的价值。审计计划还应包含审计目的、范围和标准。
审计目的
审计目的可以是确定实际的执行与供应商协议要求的符合程度或评估供应商满足组织要求的能力。也可以出于更具体的目的进行审计,例如:
-
确定信息安全事件和问题是否得到妥善管理
-
确定供应商服务或业务状态的变化是否影响了服务交付
-
审查供应商审计跟踪和信息安全事件、操作问题和故障的记录;故障追踪;以及与所提供服务相关的中断
-
确定对数据隐私的遵守程度
-
评估供应商的业务连续性能力
审计范围
审计范围应包括组织的物理位置(如适用)及其业务职能、活动和过程。范围应与供应商审计计划和供应商审计目标一致。
审计标准
审核标准用作确定符合性的参考。 标准可能包括以下一项或多项:
-
适用的政策、流程和程序
-
绩效标准,包括目标、法律和法规要求
-
供应商协议或时间表
审计可能侧重于信息安全、网络安全、数据隐私或业务连续性等领域。
-
此外,审计计划应包含以下详细信息:
-
哪个审计员负责审计哪些区域或流程以及在哪个位置
-
审计各部分的日期和时间
-
整个审计的持续时间以及每个单独领域或职能评估的持续时间
-
供应商的被审核单元
-
审计模式(即现场、远程、混合)
审计计划应考虑到简报(即设定背景和基调)、汇报(即披露审核结果)和工作日的休息时间,以便有效地管理时间。在某些情况下,审计计划可能包括使用官方口译员或笔译员、技术专家(例如,来自组织业务或外部资源的代表)和/或审计指南(例如,来自供应商组织的代表协助审计)。
应注意使审计员和被审计方的时间在特定过程中不重叠。在汇报会上正式披露审计结果之前,必须为供应商审计员留出足够的时间来审查和讨论审计结果。审计计划必须灵活,并考虑到假期、当地法规和限制(例如,由于COVID-19大流行而导致的静默)以及人员的可用性。供应商应提前审查并签署审计计划,以免出现意外。
第一次执行独立供应商审计的审计员如果事前准备一份他在各个过程域中期望审核的项目的列表,可能会让他受益匪浅。
审计期间可能需要审核的项目包括:
-
供应商如何跟踪特定供应商合同的符合性?
-
如果未满足特定的服务水平协议 (SLA),将采取哪些措施?
-
供应商如何跟踪对适用和相关的法律法规要求的遵守情况?
-
如果供应商发现存在法律违规问题,将采取哪些措施?
-
供应商管理信息安全和隐私风险的方法是什么?
-
供应商如何确保所有员工都接受过信息安全和隐私方面的培训?
清单不应产生任何偏见,相反,它应有助于及时充分评估相关领域并为新手审计员提供信心。列表内容的来源可包括:
-
供应商协议
-
特定的信息安全、数据隐私和业务连续性计划
-
安全事件
-
客户组织的合同信息安全、业务连续性和数据隐私要求
-
适用的法律法规要求、组织政策、流程和程序
研究供应商组织的网站以了解其整体运营、服务产品和管理可能会有所帮助。审计员还可以从组织的利益相关者那里获得有关其供应商的反馈,作为另一个输入来源。审计项目清单可以在审计前几天与供应商一起讨论和审查。审计员应计划在审计期间用客观证据验证供应商的回应。
结论
供应商审计的成功取决于供应商审计计划。供应商审计员提前和充分准备计划很重要。审计计划应明确说明审计的目的、范围、标准、可用资源和活动时间表。供应商组织应在审计开始前审核并批准审计计划。从第一次供应商审计中获得的经验应成为后续审计的输入,因为这有助于持续改进供应商审计计划过程。
编者注:本文首次发表于2022年7月7日ISACA官网News and Trends /Industry News。文章内容仅代表作者本人观点。
作者:Chetan Anand, CDPSE, Agile Scrum Master, CCIO, CPISI, OneTrust Fellow of Privacy Technology, IRAM2, ISO 27001 LA, ISO 22301 LA, ISO 27701, ISO 31000, ISO 9001 LA, Lean Six Sigma Green Belt, NLSIU Privacy and Data Protection Laws, SQAM,担任Profinch Solutions的信息安全副总裁兼首席信息安全官 (CISO),负责监督信息安全的所有战略和运营方面。
翻译:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。
校对:张锋,CISA,CIA、CISP、ISACA微信公众号特邀通讯员。