如果那些让你生意兴隆的人倒闭了,你会怎样?
在当前新冠疫情危机背景下,风险管理负责人必须回答关于第三方及供应链合作伙伴的最关键问题。然而,仅有10%的领导者和决策者对其第三方风险管理计划充满信心,而对现有解决方案表示满意的也仅占50%。这意味着什么?意味着管理计划存在不足,且缺乏应对未知风险的准备。
Prevalent与Shared Assessments合作,于2020年2月对高级风险决策者开展了一项调研,旨在研究当前影响企业的第三方风险趋势、挑战及应对举措。 本研究旨在提供第三方风险管理的最新市场态势,并提出可操作的建议,助力企业完善与提升其风险管理计划。本文将总结研究发现,并阐述如何优化第三方风险管理计划以增强企业韧性。
2020年第三方风险管理研究的主要发现
该研究结果表明:
流程缺失正损害第三方程序的有效性
合规性(特别是满足GDPR等数据保护要求)主导着项目驱动因素,然而企业缺乏评估顶级供应商所需的资源(预算)和流程,且多数评估耗时超过一个月。考虑到贵公司的供应链现状,您能承受这种延迟吗?
第三方风险管理是一项团队运动
要构建成熟的项目体系,合规与网络安全团队并非唯一必需的参与者;您还需配备能够评估和解读业务及财务风险的贡献者——尤其在当今环境下。鉴于资源配置困难且项目持续缺乏公信力,孤岛式运作将难以维系。
未能妥善处理第三方事务的组织将面临重大后果。
76%的受访者表示在过去两年中遭遇过一项或多项影响供应商绩效的问题,其中74%涉及运营问题,55%涉及合规违规。考虑到平均TPRM项目资源消耗之大,您将如何实现业务恢复?
很少有组织对现有的工具集感到满意
当被问及是否计划在未来12个月内实施新的第三方风险管理解决方案,或扩充/替换现有方案时,近半数受访者表示"会"。 当半数市场参与者寻求更换解决方案时,必然意味着现有需求未获满足。考虑到现有工具的满意度徘徊在50%左右,而GRC工具的加权满意度平均值仅为3.4/5.0,这种现象不足为奇。标准化评估内容供应商却逆势而上——显然,企业正依赖标准化评估内容来扫清障碍。
IRM——一条出路?
42%的受访者表示将在未来一年投资于供应商风险管理(IRM),但他们担忧资源/人力/专业知识有限、无法实时掌握变化动态,以及无法与供应商管理或风险管理工具实现集成。鉴于数字化转型同样是推动因素,企业需重点评估通用型IRM系统是否具备足够灵活性满足需求,相较于专为贸易伙伴风险管理(TPRM)打造的评估平台。
第三方风险管理市场正处于转折点。用户未能充分评估其主要供应商,且缺乏资源和预算来正确实施评估。第三方风险管理机制已失效,供应链正面临风险。
前路何在?请参阅以下建议。
第三方风险管理建议
建立并完善一个灵活敏捷的第三方风险管理计划,不必成为复杂耗时的过程。以下五项建议可助您快速启动供应商风险管理活动:
#1 – 制定程序化流程
一个程序化流程应帮助您的团队逐步实现:
- 明确您的供应商是谁,以及他们对您的业务构成了哪些固有风险。
- 评估正确的策略,从合适的第三方获取准确的洞察
- 分析评估结果,并基于广泛的输入生态系统对风险水平进行评分
- 对已完成评估分析中发现的风险进行整改
- 针对行业及监管要求提交报告,并呈交董事会
- 优化程序以适应不断变化的需求和资源水平
这种标准化且可重复的方法论能带来什么成果?下载完整报告一探究竟。
#2 – 组建跨职能团队
鉴于其复杂性,任何单个人都难以完全理清所有问题,因此内部与外部的协作不仅是识别风险的关键,更是有效缓解风险的核心所在。
#3 – 内容全面而不复杂
市面上已有解决方案提供预定义问题库,这些问题可映射至任意数量的监管或行业框架。这能避免您因逐个框架评估而产生的重复工作和要求拼凑现象。当单个问题同时覆盖多项要求时,合规性证明也变得更为简便。
#4 – 保持敏捷,提供评估与分析选项
不要将自己局限于单一僵化的第三方调查收集与分析方案。评估顶级供应商存在多种途径(从而克服本次调查中提及的重大挑战)。
- 自助服务:仅收集基础数据以支持您的用户画像和分层逻辑。至少应将所有供应商的管理集中到单一平台,确保您保持可视性。
- 托管服务:将顶级第三方供应商的评估工作外包给风险识别与分析专家,让您的团队得以专注于长期残余风险管理。
- 共享服务:利用已完成的供应商问卷及佐证材料网络,为您的低层级供应商提供支持,使您的团队能够将精力(及恰当的资源投入)集中于高层级供应商。
#5 – 运用基于风险的情报完善决策
在数据集有限的情况下孤立决策,将无法使您的团队成为高效的供应商风险管理者。相反,应寻求基于开放平台、能与多种业务及风险解决方案集成的解决方案。可靠的解决方案应具备以下特性:
- 全面的风险概况,用于确定评估分级、评估频率及服务水平协议(SLA)的衡量标准
- 一个包含网络风险和业务风险的量化且情境化的风险模型,并涵盖ISO和FAIR计算方法
- 启用工作流和自动化的响应管理,确保供应商情报被准确分发至团队中的相关人员
- 风险报告与优先级排序,包括优先级排序的背景信息与指导原则
- 自动分发报告,确保与第三方及组织内部的透明度
你表现如何?
现有工具和IRM解决方案不足以应对第三方风险管理的挑战。唯有采用全面的模型——该模型需提供可循序渐进的成熟度管理流程,并具备成本管控与合规报告功能——才能为风险管理团队构建稳固基础,使其能够持续适应变化。
您的第三方风险管理计划与本次调查受访者相比表现如何?下载完整报告并查阅信息图,为您的第三方风险管理实践建立基准。
如需进一步了解 Prevalent 如何帮助应对第三方风险管理挑战,请立即申请演示我们的平台。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
