Guide: risicobeheersing door middel van leveranciersmanagement

    / 30 March 2021

    Het beschermen van uw bedrijfsmiddelen en daarmee het beheersen van uw organisatierisico's: de actualiteiten herinneren ons met enige regelmatig dat dit ook ‘voor de grote ondernemingen der aarde’ niet altijd waterdicht te krijgen is. Een essentieel aandachtsgebied om bedrijfsmiddelen de benodigde bescherming te bieden is het adequaat inregelen van leveranciersmanagement.

    Het is niet voor niets dat leveranciersmanagement in zowel de ISO 9001 (§ 8.4) als de ISO 27001 (§ A.15) nadrukkelijk als apart onderwerp behandeld wordt. De in totaal 6 pagina’s aan vereisten en implementatierichtlijnen benoemen nogal wat onderwerpen welke u dient (te overwegen) in te regelen. Hoe en waar te beginnen?

    Begin bij het begin: wat & wie gaat het doen?

    Stel een inkoop- en leveranciersmanagement-beleid op, waarin beschreven staat wat uw organisatie wil gaan realiseren, welke middelen daarvoor ter beschikking worden gesteld en wat de belangrijkste speerpunten daarbinnen zijn. Stel daarbij een dedicated verantwoordelijk functionaris/afdeling met bijbehorend mandaat aan, welke hierin fungeert als ‘spin-in-het-web‘, zodat leveranciers gedurende hun gehele life-cycle vanuit één centraal punt gemanaged kunnen worden door uw organisatie.

    Vervolgens: concreet - hoe gaan we het doen?

    Dit beleid dient verder uitgewerkt te worden in ondersteunende procedures, welke onderstaand genoemde onderwerpen adresseren:  

    Onderwerp 1: Leveranciers classificeren

    Bepaal met wat voor type leveranciers u zakendoet. Een zeer bruikbaar classificatiemodel hiervoor is het ‘Kraljic-model’. Uiteraard weet u in hoofdlijnen wel, welke leverancier belangrijker is dan de ander en daarmee anders gemanaged dient te worden.

    Toch is juist het classificeren van uw leveranciers een essentiële stap. Het schept aantoonbare focus welke huidige leveranciersrelaties prioriteit hebben om gemanaged te worden, en draagt zorg dat de juiste overwegingen en acties genomen worden bij het aangaan van nieuwe leveranciersrelaties en managen van nieuwe en bestaande relaties. Mogelijk kan een BIA (Business Impact Analysis) u hiermee helpen.

    Onderwerp 2: Selectiecriteria per type leverancier

    Op basis van de geclassificeerde leverancier en daarmee het belang van diens dienstverlening voor uw organisatie, danwel op basis van de toegang die leverancier krijgt tot uw data, is het belangrijk om:

    • De juiste functionarissen vroegtijdig aan te laten haken in het selectieproces, zodat ingeschat kan worden wat de gevolgen zijn van de beoogde samenwerking, bijvoorbeeld:
      • Compliance: omtrent de naleving van het beleid en specifieke controls (met behulp van hiervoor gedefinieerde checklist).
      • Legal: omtrent de naleving van specifieke wetgeving (bijvoorbeeld de AVG).
      • Operations: omtrent de dienstverlening van uw organisatie naar uw klanten en de procesmatige afstemming met de leverancier hieromtrent.
    • Een aantal basis bepalingen vast te stellen welke in het contract (of contracten) opgenomen moeten worden, denk aan: geheimhouding, aansprakelijkheid & boetes, vrijwaringen/overmacht, intellectueel eigendom, bescherming van informatie (waaronder: AVG), continuïteitswaarborgen/service-garanties en bijbehorende KPI’s, auditrecht, et cetera.
    • Bij overeenkomst met een nieuwe leverancier vast te stellen wie de verantwoordelijke beheerder van deze leverancier is: ‘het interne en externe aanspreekpunt’.

    Onderwerp 3: Managen van leveranciers

    Wie zijn nu bijvoorbeeld uw ‘strategische’ leveranciers (Kraljic-Model)? Deze behoeven strakker gemonitord en gemanaged te worden dan anderen. Een aantal overwegingen:

    • Vraag de eerder overeengekomen (SLA en/of overig relevante) rapportages op en beoordeel of gemaakte afspraken nageleefd worden.
    • Stem een periodiek auditmoment af, zodat u op de specifieke kwaliteits- en informatiebeveiligingsvereisten kunt controleren op naleving.
    • Plan een periodieke (bijvoorbeeld halfjaarlijkse) leveranciersbeoordeling in met interne verantwoordelijke.

    Bespreek vervolgens met de leverancier, aan de hand van bovenstaand verzamelde input, wat verbeterd kan of moet worden. U kunt dit gesprek ook koppelen aan een nieuwe contractonderhandelingsronde. De uitkomst kan een verbeterd begrip tussen u en uw leverancier zijn, met bijbehorende afspraken - of aanleiding om verder te kijken naar vervangende leveranciers in de markt.

    Samenvattend

    Het is zeker even een klus om:

    1. Het beleid, procedures en bijbehorende systematiek op te zetten.
    2. Met terugwerkende kracht uw leveranciers in kaart te brengen.
    3. De bijbehorende awareness organisatiebreed op gewenst niveau te krijgen, zodat het beleid en ondersteunende procedures gevolgd worden.

    Echter, met het benodigd directiemandaat kunnen de meeste leveranciersgerelateerde risico’s met bovenstaand beschreven aanpak tijdig geadresseerd en gemanaged worden voor uw organisatie, waarmee u ook nog eens aantoonbaar kunt voldoen aan de vereisten uit zowel de ISO 9001 als ISO 27001 normeringen.
    Terug naar overzicht

    Wim Veenstra

    Information Security Consultant
    Lees meer
    security

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Juridisch advies
    Professionals inhuren
    Academy
    Legal Tech
    Security / Informatiebeveiliging
    Documenten
    Ons team
    Vacatures

     

     
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram