规划和执行关键供应商第二方审计指南。评估标准、访谈技巧、发现和纠正行动计划。
第二方审计允许您直接评估供应商满足组织要求的能力。与第三方审计不同,这里由您根据自己的风险概况定义标准和范围。
并非所有供应商都需要相同程度的审查。根据供应链故障、数据泄露或监管违规的影响将其分为关键、重要和标准。
确定评估供应商的标准:合同条款、标准要求(ISO 27001、ISO 9001)、监管要求和组织的特定期望。
制定包含范围、时间表、审计团队和后勤的审计计划。提前充分通知供应商,以便其准备文件和关键人员。
审计期间使用证据三角验证:结合访谈、文件审查和直接观察。每个发现必须有可验证的客观证据支持。
将发现分类为主要不符合项、次要不符合项和观察项。在结束会议上向供应商展示结果,并商定带有关闭证据的纠正行动期限。
当供应商处理敏感数据、是供应链的关键部分或第三方认证不覆盖您组织的特定要求时。认证展示一般合规性;第二方审计验证特定要求。
审计权必须从关系建立之初就写入合同条款。如果供应商拒绝且条款存在,这是应升级到风险或供应商委员会的风险信号。
需要此领域的评估?