随着组织间联系日益紧密,向第三方开放数据和系统访问权限不仅有益,更成为必要之举。然而此举可能引发第三方漏洞及数据泄露、供应链攻击等安全事件,带来严重后果。因此,董事会和企业领导者正要求对组织庞大的第三方生态系统获得更全面的可视性。
为减轻这些风险的影响,关键在于理解这个多维生态系统及其动态组成部分:相关人员、流程和技术。第三方风险管理(TPRM)可助您应对这些挑战。若实施得当,TPRM计划能让您在风险对组织造成负面影响前及时识别并加以缓解。
TPRM报告:一项复杂的任务
尽管第三方风险管理(TPRM)报告对识别和优先处理风险至关重要,但无论是初创团队还是经验丰富的团队,这项工作都可能相当复杂。就连确定起点都可能是个棘手的任务。因此,许多团队难以有效传达第三方风险——有些团队甚至仍在依赖过时、过度技术化且复杂的方法和仪表盘。难怪第三方风险话题常在董事会、高管团队和职能部门之间引发困惑。
因此,为贵组织识别、制定并实施适当的第三方风险管理指标至关重要。应对识别和缓解第三方风险相关的挑战,同样需要周密的规划以及对指标与业务目标之间关联性的全面理解。
为解决这些问题,本文将:
- 解释什么是TPRM指标以及它们为何至关重要
- 引导您在第三方供应商风险管理生命周期的各个阶段,制定并实施恰当的TPRM指标体系
- 分享制定TPRM指标时的最佳实践和关键考量因素
TPRM指标及其重要性
在决定设置哪些指标之前,我们需要深入探讨TPRM指标的定义、其重要性,以及您应当了解的各类指标分类。
第三方风险管理(TPRM)指标是协助组织评估其TPRM战略与计划进展的衡量工具。当这些指标得到正确运用时,能向组织领导层、董事会及审计机构证明其合作的第三方风险处于可接受水平。若第三方存在不可接受的风险,则采用恰当的指标体系将简化风险整改与缓解流程。
因此,组织必须建立一套有意义的指标体系,该体系应包含整合的关键风险指标(KRIs)和关键绩效指标(KPIs)。这些指标将有助于减少对庞大复杂安全仪表板的分析工作,使团队能够筛选出识别和修复风险所需的相关数据。
确定、制定并追踪正确的TPRM指标至关重要,原因如下:
风险识别与评估
团队必须能够识别并评估第三方供应商整个生命周期中不同层级的风险。针对入职、管理和离职阶段制定的独特指标,将揭示各阶段的潜在风险,使团队能够主动应对。
合规与监管要求
全球约有160项不同的法规和框架(如ISO、CCPA、GDPR、PCI和NIST),每项都对第三方风险管理有其独特要求。因此,企业必须妥善管理第三方并满足合规要求。
供应商绩效管理
许多组织缺乏管理与供应商服务级别协议(SLA)的简便方法,这增加了风险引入生态系统的可能性。实施能够促进合同条款持续监控的工具、指标和计划,将使您能够确保服务级别协议得到履行。
财务考量
引入供应商风险管理指标对组织的供应商选择、合同谈判及终止流程至关重要。这些指标使团队能够规划、监控、识别并缓解任何已发现的风险。
董事会与利益相关方报告
通过采用正确的衡量标准,团队能够定期向组织董事会、管理层及审计机构汇报,使其能够针对可能出现的任何风险做出明智决策。
持续的交易对手风险管理计划改进
正确衡量第三方风险管理指标不仅能帮助团队识别并缓解潜在风险,还能协助各部门协调第三方风险评估工作,并优化第三方供应商的入驻、管理及离职流程。
开发TPRM指标
在探讨了TPRM指标的重要性之后,让我们深入研究如何为团队开发有效的TPRM指标。下图1展示了该流程:
图1:TPRM指标开发流程
人事:任命领导层
该组织的首席执行官和董事会通常会指示首席风险官(CRO)通过企业风险委员会(ERC)来统筹协调这一流程。该委员会作为工作组,由来自不同业务部门的成员组成。对于没有首席风险官的小型组织,企业风险委员会可由首席信息安全官(CISO)或信息技术主管、采购主管以及首席财务官(CFO)共同组成。 其核心目标在于促进跨部门协作,无论企业规模大小。
流程:确定测量对象与测量内容
步骤1:设定企业目标
在建立企业风险控制框架(ERC)后,即可确定企业风险管理(TPRM)的目标。ERC首先提出战略性问题,包括:
- 我们的目标是什么?我们旨在实现什么?
- 我们是否考虑过任何指标?
- 哪些法规适用于我们?
- 企业为何要投资这个项目?
- 如何证明我们已成功大规模实施交易方风险管理?
- 我们如何追踪该项目在时间推移中风险降低成效?
在解决这些问题后,企业风险委员会(ERC)将制定全面风险管理(TPRM)的企业目标,可能采用TPRM供应商提供的解决方案。这些目标可能包括:
- 保护组织和客户的敏感数据及知识产权
- 确保供应商和供货商的法律与法规合规性
- 实施降低网络安全风险的措施
- 实施措施以减轻运营和财务风险
- 维护组织的声誉
- 提升组织的运营效率
- 通过制定明确的行动计划确保业务韧性,并确保团队成员理解各自的职责与责任。
- 实施支持知情决策的交易方风险管理计划
TPRM指标类别:概述
在着手制定具体部门目标之前,必须先明确理解可考虑采用的各类TPRM指标(
)。
此时还必须理解关键绩效指标(KPI)与关键风险指标(KRI)的区别,因为二者对交易风险管理(TPRM)指标而言同等重要。
- 关键绩效指标(KPI)用于衡量组织流程和职能的有效性。
- 关键风险指标(KRIs)
衡量组织面临的风险水平及其管理效果
作为强有力的第三方风险管理策略的重要组成部分,贵组织应重点关注四个核心评估领域。每个领域均包含关键绩效指标(KPI)与关键风险指标(KRI),这些指标能为贵组织与供应商的关系提供极具价值的洞察。
- 风险指标
这些指标有助于评估特定供应商相关的风险。它们能揭示潜在威胁、相应的缓解策略,以及供应商对主要控制措施和报酬控制措施的遵守情况。
- 威胁指标
这些指标包含公开可获取的网络安全、运营、财务及声誉相关数据,有助于分析供应商风险数据与外部可观察威胁之间的关联性。
- 合规指标
这些指标揭示了供应商的实践与贵组织内部控制环境的契合程度。它们同时衡量对监管要求和框架的遵守情况,这对维持法律及行业标准至关重要。
- 覆盖率指标
这些指标旨在确保贵组织全面掌握其全球供应商足迹。它们有助于识别供应链中的第三方、第四方及N方供应商,并验证这些供应商在贵方计划中是否被正确分类。
前两类指标——风险指标与威胁指标——主要涵盖与风险因素及外部影响相关的关键绩效指标(KPI)和关键风险指标(KRI)。后两类指标——合规指标与覆盖指标——则更侧重于内部项目评估与协调。这四类指标共同构筑了全面均衡的第三方风险管理框架。
既然我们已经了解了TPRM指标的不同类别,就可以着手制定部门层面的目标了。
步骤2:设定部门目标
在此阶段,首席执行官可与各部门负责人会面,并邀请他们加入企业风险委员会(ERC)。在规模较小的组织中,首席执行官可能与首席信息安全官(CISO)、信息技术负责人、采购负责人及首席财务官(CFO)进行会晤。随后,各部门负责人依据企业风险委员会的建议,制定本部门在交易风险管理(TPRM)方面的具体目标。
以下是他们会考虑的一些问题:
- 本部门的运营涉及哪些第三方互动?
- 第三方能够访问我们部门哪些敏感数据和系统?
- 哪些法规适用于我们部门(例如《通用数据保护条例》)?
此项工作完成后,将组建由部门负责人领导的部门团队。这些团队将承担若干职责,具体内容将在后续步骤中重点说明。
步骤3:识别第三方
部门团队首先需识别第三方主体,包括供应商、供货商、承包商、物流合作伙伴、云服务提供商等。在此阶段,团队可能需要协同采购部、应付账款部或其他内部团队——这些部门通常维护着供应商和供货商的工作清单——将第三方主体集中管理,以实现更有效的治理。
步骤4:识别需测量的风险
在第三方被识别后,团队将评估与每方相关的潜在风险。这些风险可能包括数据泄露、声誉问题、监管罚款、财务偿付能力问题以及供应链中断。
[提示框]:
|
建议: 贵组织可能面临若干此前未曾察觉的供应商风险。阅读博客《主要供应商风险及其应对策略》,了解各类风险的具体内容及缓解措施。 |
步骤5:确定绩效指标
在识别第三方及潜在风险后,团队将制定并建立绩效指标以进行定期监测。
以下部分将阐述构成优质TPRM指标的要素。
- 数据可用性/质量:这 确保了数据可用于报告,且团队能够访问集中存储的供应商风险综合档案库。
- 标准化/一致性:统一各业务部门对潜在供应商风险的流程和看法,可简化运营。
- 跨系统数据整合:指整合各平台以提供全组织范围内的统一供应商风险视图。
- 分析的简易性:
自动化程序化流程有助于管理需要分析的大量数据。
- 解释与语境化:这 涉及理解受众和背景,以提供清晰、简洁且有意义的信息。
- 报告格式与沟通:能够以用户友好的格式提炼、传达和呈现数据至关重要。
- 及时性与频率: 在任何有效的供应商风险管理计划中,持续监控供应商并实时掌握风险动态的能力 至关重要。
在此阶段,团队还可寻求TPRM供应商的支持与建议。经验丰富的供应商通常会提供包含相关内容库、操作手册及其他信息的资源库,以协助识别相关风险、追踪绩效指标、制定报告策略并解决其他问题。
[提示框]:
|
使用这些技巧来避免设置TPRM指标时的常见陷阱:
|
步骤6:在整个交易对手风险管理生命周期中统一衡量标准
在此步骤中,企业风险控制部(ERC)协同各部门负责人组建工作组,以整合所有已识别的风险与绩效指标。各工作组随后致力于在第三方供应商风险管理生命周期的各个阶段实现指标标准化与同步化。
下表重点列出了每个阶段应考虑的关键指标,以及通常涉及的部门:
|
第三方风险生命周期阶段 |
选择TPRM指标 |
与这些跨职能团队相关 |
|
1. 采购与甄选 |
|
|
|
2. 接诊与入职 |
|
|
|
3. 评分固有风险 |
|
|
|
4. 评估与整改 |
|
|
|
5. 监控与验证 |
|
|
|
6. 管理持续绩效 |
|
|
|
7. 终止与离职 |
|
|
[提示框]:
|
建议: 要了解如何确定合适的第三方风险管理指标,请阅读电子书《第三方风险管理25项最重要KPI与KRI》并下载评分卡。 |
主流的TPRM解决方案
无论您是启动新的TPRM计划,还是希望优化现有的TPRM指标举措,Prevalent都能为您提供所需的解决方案、服务和支持。
Prevalent第三方风险管理平台是一款SaaS解决方案,可助力整个组织协同识别、理解并降低供应商风险。通过Prevalent平台,您能够:
- 建立供应商风险档案的集中化数据库,包括映射第四方及N方关系
- 通过包含200余份标准化问卷的库,实现第三方风险评估流程的自动化
- 持续监测新出现的网络、财务、运营及声誉风险
- 通过自动化工作流和操作手册功能管理并追踪整改流程
- 与组织内各利益相关方共享关键指标的上下文报告
这得益于我们经验丰富的专业服务(PS)团队,他们能通过以下方式助您进一步优化流程:
- 协助识别供应商生命周期中相关KPI和KRI指标
- 建立阈值预期并启动及时警报
- 在整个整改过程中为您提供支持,并跟踪解决流程
- 提供全面的TPRM内容库访问权限,重点涵盖定制化报告、TPRM计划及相关绩效标准。
- 与您携手开发定制报告,满足不同利益相关方的需求
- 为团队提供基于不同角色状态工作流的核心支持与文档
要开始衡量关键指标,请下载电子书及评分卡 《第三方风险管理25项最重要KPI与KRI》。随后预约演示,了解Prevalent如何助您自动化并加速推进TPRM指标体系。
关于 Prevalent
Prevalent 致力于消除第三方风险管理(TPRM)的痛点。企业通过我们的软件与服务,在整个第三方生命周期中消除与供应商合作带来的安全与合规风险。 客户通过灵活的混合式TPRM方案获益,不仅能获得量身定制的解决方案,更能实现快速投资回报。无论起点如何,我们始终助力客户消除痛点、做出明智决策,并随着时间推移不断完善和成熟其TPRM体系。
了解更多信息,请访问www.prevalent.net
[CB1]我们在上文使用了类似的短语,但语境不同。此处将其删除,因其实际上并非必要。
[CB2]这一行可能与下一行存在矛盾,因此我将其删除了。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
