白皮书 关键操作:管理医疗保健中的供应商关系 通常与特定组织的运营无法区分-并且通常提供了大量的内部信任和访问-第三方实体为现代行业提供了一系列完整的服务。医疗保健也不例外,但该领域严格的法规、敏感的运营环境和具有挑战性的威胁环境使得采用最佳实践来管理与这些供应商关系相关的风险变得尤为重要。 幸运的是,医疗保健领域审慎的第三方风险管理(TPRM)遵循了经过时间考验的策略,并取决于所有风险管理者都可以用来评估其组织进展的一些关键基础。这也是一项至关重要的工作,因为研究表明,该行业的供应商风险格局涉及严重的,持续的挑战。 TPRM在医疗保健领域显得尤为重要 平均现代医院依赖于1300多家外部供应商,根据Ponemon研究所这些第三方实体提供了一系列功能,从手术用品到计费,并且可以不同程度地访问私人健康信息和其他敏感数据,以便无缝地提供服务。 其中一些供应商提供了对医疗保健用户更可见的功能,例如在COVID-19大流行期间被大量采用的远程医疗服务。其他服务几乎是不可见的,例如将敏感的患者数据放置在安全的异地云存储中。 虽然IT相关风险只是TPRM的一个领域,但医疗保健与数据和网络安全相关的监管和隐私敏感性使其成为行业风险的有力案例研究。 越来越频繁地,恶意网络行为者已经表现出破坏甚至非常成熟的大型企业公司的墙的能力。实现这一目标的一种方法是克服能够访问组织敏感系统的第三方服务提供商的控制和防御。医疗保健行业在2021年遭受了这些第三方攻击的最大份额,占所有事件的三分之一。根据安全杂志. NAVEX|CONFIDENTRISKMANAGEMENT 由于当年成功的违规,医疗保健也面临着最大的支出,平均每次违规923万美元,根据一份报告由Ponemon和IBM。2021年是医疗保健组织在所有行业中遭受最大的违规相关费用的第11年。 与零售巨头沃尔玛这样的组织相比,典型的医疗保健组织的第三方供应商的数量可能会相形见绌。表示拥有超过100,000个第三方供应商然而,由于医疗保健面临的无情威胁及其数据的敏感性,TPRM对风险管理者来说是一个特殊的挑战。 从右脚开始 尽管与医疗保健中的第三方活动相关的风险性质复杂,但成功的TPRM的支柱相对简单。首先,有效的风险意识的入职培训是尽早与供应商定下基调的关键方法。 医疗保健组织应让所有新的第三方供应商接受涉及人力资源、采购、法律和其他团队的严格审查流程。这个跨学科小组应权衡关于几个关键风险领域的最重要问题,例如: •财务:使用此第三方的费用是多少?这是谨慎使用资金吗?我们是否从这种关系中获得了全部价值?此供应商的服务是否与我们现有的其他服务重复? •策略:这个供应商对我们的运营有多重要?如果我们突然失去了这个第三方,我们是否有备份计划? •法律/监管:我们与第三方之间有哪些法律协议是必要的? •技术/网络:我们是否确保该第三方仅有权访问其工作所需的系统和数据?该供应商是否具有与他们将拥有的数据的敏感性成比例的足够的信息安全措施?如果该供应商遭受违规会发生什么? •环境/健康/安全:该供应商的价值与我们自己的价值一致吗?我们与该供应商的关系是否会产生声誉风险? •人力资本:该供应商的服务将如何影响我们现有或未来的员工?该供应商的服务是否会对士气、招聘或保留产生负面影响? 持续监控至关重要 仅仅考虑在成功上线后“完成”第三方风险评估是不够的。第三方风险的格局总是在演变,有时是实时的,医疗机构必须采用一些关键概念来识别任何新出现的第三方风险,以免为时已晚。 2 NAVEX|CONFIDENTRISKMANAGEMENT •供应商再认证:考虑适当风险评估方法的跨职能团队还应帮助确定给定供应商接受重新评估的频率。应该有一个定期的时间表来重新认证所有供应商,但间隔时间可能取决于风险水平。鉴于每个组织用于风险评估的资源有限,与风险较低、重要性较低的第三方相比,其关系对运营至关重要的关键一级供应商应该更频繁地重新认证其对需求的满足程度。加入过程中涉及的相同问题可以成为重新验证的起点,尽管组织也应该定期更新围绕新的操作条件、法规和风险的重点领域。 •时间点查询:所有供应商关系,尤其是关键关系,都应包括一种机制,使风险管理者可以要求对新出现的风险进行简短的响应。请记住,第三方供应商也使用第三方服务,有时称为“第四方”。“当今快速变化和复杂的风险环境有时需要与关键供应商进行意外的紧急情况,以确保核心组织保持安全。 复杂的风险,明确的策略 医疗保健行业的动态呈现出涉及第三方供应商的特别具有挑战性的风险格局。虽然IT风险只是一个值得关注的领域,但它是一个有用的案例研究,说明由于恶意行为的强度和成功违规的昂贵后果,健壮的TPRM在医疗保健中的重要性。针对患者数据保护的监管审查进一步强调了TPRM的重要性。 然而,对于医疗保健和所有行业来说,与第三方风险的许多方面相比,成功的TPRM计划的支柱相对简单。跨学科小组能够在入职过程中提出正确的问题,并确保重申第三方遵守某些要求的节奏。建立渠道以快速联系关键的第三方并讨论新出现的风险的影响是强大的,持续的TPRM计划的另一个重要特征-该计划可以更好地保护患者数据。 |info@navex.com|+18662970224 NAVEX是集成风险与合规管理软件和服务的全球领导者。我们的解决方案受到全球成千上万客户的信赖,可帮助他们管理风险,满足复杂的法规要求,构建企业ESG计划并促进道德工作场所文化。 ©2022NAVEXGLOBAL,INC.保留所有权利。|06.20.22