我们在编制2020 年第三方风险管理预测时,没有提到大流行病、企业复原力、供应链失灵,甚至社会疏离。我们的水晶球让我们失望了。
可以肯定的是,2020 年改变了第三方风险管理从业人员的工作方式。我们不需要水晶球也能知道,大流行病将在未来一年继续影响供应链。如果您目前的第三方风险管理手册没有关注供应链的抗灾能力,那么也许是时候把它扔掉,写一本新的手册了。
我们的专家汇聚一堂,做出了八项预测,帮助您抢占先机。我们将在本篇文章中首先介绍前四项预测,然后在下周介绍第二部分预测。
#1.第三方情报将揭示整个供应商生命周期的风险
2020 年,不可预测的事件引发了一连串供应链失败。这些事件揭示了一个事实,即企业需要了解供应商生命周期每个阶段的风险--从采购到离职,以及中间的所有环节。
2021 年,第三方风险从业人员将需要在整个供应商关系的几个关键里程碑上寻求风险情报,从而扩大他们的可见度:
- 采购和选择- 检查潜在供应商的声誉和信用记录,可以了解他们是否履行了财务和客户承诺。这些信息还能表明他们是否有能力应对需求的突然变化,以及是否具备抵御经济衰退所需的财务弹性。
- 接收和入职--引入供应商需要更深入地了解其潜在风险。这就是为什么强大的 TPRM 计划要建立全面的风险档案,其中包括针对每个供应商的网络安全、法律、制裁和/或合规问题。这里的关键是要积极主动,在与供应商建立关系的第一天就开始衡量风险。
- 优先级和评分- 不同类型的供应商会带来不同程度的风险,因此有效的供应商分级和分类是建立可持续 TPRM 计划的秘诀。固有风险指标不仅可以帮助您衡量安全和合规事件的可能性和影响,还可以确定每个供应商所需的尽职调查级别。
- 评估和监控- 通过开展内部控制评估,您可以了解供应商的网络安全和管理实践,并在必要时启动补救措施。但内部评估只能说明问题的一半。您仍然需要验证供应商的响应,检查补救措施,并在两次评估之间发现风险。这正是持续风险监控可以提供帮助的地方。将公共、私人和暗网网络监控与业务和财务监控相结合的解决方案将提供最全面的供应商风险情报。
- 报告和管理- 第三方情报只有在您能够理解并采取行动以降低风险和加强供应商关系时才有价值。有效的报告使多个利益相关者能够合作降低风险并确保合规。它还能提供有关供应商绩效和合同遵守情况的见解,为采购和续约谈判提供信息。最佳的 TPRM 解决方案可通过单一界面实现上述所有功能。
#2.供应商风险衡量将扩展到网络安全之外
供应商的风险远不止网络安全威胁,还有其他一些风险因素会影响供应商提供产品和服务的能力。
例如,您的供应商财务稳定吗?他们是否按时支付账单?他们如何处理自然灾害和突发卫生事件造成的运营中断?他们的道德或可持续发展方面的违规行为会如何威胁贵组织的品牌或声誉?
要进行更全面的供应商风险分析,您需要在 2021 年的监控计划中增加这些风险类别:
- 运营风险:领导层变动、重组和并购活动可能预示着战略转变,而合作伙伴/原始设备制造商的更新则可能预示着价格上涨和其他变化。
- 品牌风险:产品召回、数据泄露和其他事件都可能导致负面公关。
- 监管和法律风险:国际制裁、集体诉讼和违反监管标准可能会导致产品和服务交付的严重延误。
- 财务 风险:破产诉讼和收益损失可能导致重组和特定供应商产品的停产。
统一的TPRM 平台可帮助将这些监控数据与网络安全评估结果进行规范化、关联和分析。
#3.机器学习和行为分析终将不负众望
支持决策的更多数据是必不可少的,但如何处理所有这些数据?如何对其进行优先排序以获得有意义的见解?这就是机器学习和行为分析的用武之地。行为分析将机器学习与异常检测相结合,可预测、识别和管理低概率/高影响事件,如不道德或欺诈行为。
2021 年,将大量数据整合为单一视图将成为常态。其结果将是能够采取更有意义和更明智行动的情报反馈。其中一个应用就是利用行为分析来发现离群风险。例如,安全和风险团队可以利用机器学习洞察力,将供应商裁员公告与增加的内部风险联系起来,或者将低财务分数与较小的网络安全投资联系起来。这种情境分析将使企业能够更主动地预测和应对威胁。
#4.第三方风险管理的益处将在企业范围内蔓延
除了网络安全评估之外,第三方风险管理还有更多内容,TPRM 可以使 IT 安全之外的多个团队受益。例如,根据《2019-20 年易观全球第三方风险管理调查》,26% 的受访者表示采购是第三方风险管理的主要负责人。
以下是 2021 年将从第三方风险管理中受益的几种角色:
- 采购经理可以利用有关供应商安全性、合规性、道德规范和可持续发展实践的情报,加强合同前的尽职调查。他们还可以通过 SLA 数据和绩效指标为续约讨论提供信息。通过集中管理所有供应商数据,TPRM 平台还能使合同的管理、续签和终止变得更加容易。
- IT 安全 可以确定供应商是否保持了必要的控制和流程,以降低数据泄露风险。
- 风险管理人员能够关联和分析来自各种来源的供应商风险数据,同时协调内部各部门的风险降低措施。
- 法律团队 可以审查监控和性能数据,为合同条款提供信息,同时获得他们所需的报告,以证明监管合规性。
- 审计员 可以确保企业有效、诚信地运营,包括在与第三方的关系中。
- 高管们可以获得清晰的分析和报告,帮助他们做出更明智、基于风险的决策,确保业务连续性。
正确的 TPRM 解决方案可以将这些团队整合在一起,提供一个中央场所,用于建立和管理供应商档案;获取相关的网络、业务和财务风险情报;以及与供应商合作,在每个阶段降低风险。
2021 年三年期全面政策审查机制规划的下一步工作
敬请期待下周的另外四项预测。在此期间,请使用我们的最佳实践指南《供应商风险生命周期导航》,为您的 2021 TPRM 计划打好基础:或使用我们的在线风险评估计算器评估您的计划。
想了解 Prevalent 如何帮助您应对 TPRM 的具体挑战?申请个性化演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
