Numerose norme cogenti e volontarie impongono alle organizzazioni attività di qualifica e verifica dei fornitori.

La metodologia classica di Grc Team si struttura su 5 fasi, che possono essere di volta in volta modulati sull'organizzazione cliente, allineandola a complessità organizzativa e volume dei soggetti da verificare.

Analisi preliminare e mappatura

La prima fase è finalizzata a definire il perimetro di azione, la profondità delle verifiche da svolgere, i requisiti sui cui strutturare le attività di audit:

• Verifica idoneità fornitore ai requisiti previsti dalla "Politica di esternalizzazione" se presente e a norme cogenti (es. GDPR, D.Lgs. 81/2008) e volontarie cui ha aderito l'organizzazione (es. ISO 9001, ISO/IEC 27001);
• Verifica coerenza contrattuale fra accordi di fornitura sottoscritti e compliace come definita nel punto precedente.

Clusterizzazione dei fornitori

La profondità dei controlli verrà differenziata a seconda della tipologia del servizio fornito dalla terza parte, classificando i fornitori per cluster omogenei di rischio:

• Definizione parametri di rischio e soglie di rilevanza;
• Classificazione dei fornitori.

Check List

Analisi documentale e dei livelli di serviizo attesi anche sulla base dei requisiti previsti dalla normativa e regolamentazione applicabile, definizione lista di controllo e delle attività di monitoraggio:

• Elementi di verifica, quali fra gli altri, rispetto dei limiti operativi, degli impegni assunti o della qualità del servizio fornito, del livello di servizio concordato, rispetto obblighi normativi;
• verifica sussistenza eventuali conflitti di interesse; verifica delle misure adottate per assicurare la continuità dell’attività in caso di interruzione o grave deterioramento della qualità del servizio reso dal fornitore, inclusi adeguati piani di emergenza o di reinternalizzazione delle attività;
• verifica rispetto livelli di sicurezza tecnica e organizzativa, criticità dei sistemi anche ICT, risorse disponibili, tecnologiche e di competenza;

Audit

Definizione del piano di Audit e delle modalità di verifica, in conformità del livello di rischio atteso e dei cluster definiti:

• Audit sul campo con check list completa e raccolta delle evidenze;
• Audit da remoto con check list semi completa e richiesta invio evidenze;
• Self assessment con invio check list semplificato e autodichiarazione del rispetto dei livelli attesi.

Miglioramento

Al termine delle attività di Audit verrà elaborata uno specifico documento di Gap Analysis comprensivo delle evidenze riscontrate e di un piano di intervento suggerito con eventuale indicazione delle priorità di intervento.