面对第三方网络入侵的持续威胁、疫情引发的供应链中断阴云密布,以及监管机构对第三方关系的审查日益严格,众多企业正加大对供应商风险管理的重视力度。然而Prevalent年度第三方风险管理最佳实践研究数据显示,除常规的IT和安全团队外,鲜有业务部门参与第三方风险管理决策。 若缺乏组织对供应商风险管理实践的认同,企业将面临评估成本攀升、流程复杂化以及风险疏漏等问题,最终可能导致业务中断。
显然,企业需要将第三方风险管理(TPRM)计划的覆盖范围扩展至IT和安全团队之外。本文指出了企业内部各职能部门在TPRM决策中应参与的角色。这份清单虽非详尽无遗,但涵盖了TPRM项目成功实施的主要利益相关方。
第三方风险管理职责
采购与供应
在企业中,鲜有团队能在第三方风险管理中扮演如此关键的角色,采购团队便是其中之一。毕竟,该团队通常负责处理供应商选择及相关评估;协商合同费率与续约事宜(并监督合同交付条款的遵守情况);执行供应商入驻流程;终止合同关系;以及承担诸多其他职责。
采购团队在供应商风险管理(TPRM)中取得成功的关键因素之一,是确保能够持续获取一致的供应商数据——涵盖绩效指标、合同服务水平协议(SLA),以及财务和声誉评估等维度。此外,采购团队需要建立一个集中存储合同及其他文件的库,该库需能简化供应商关系管理,并与现有采购工具实现无缝集成。
对许多采购专业人士而言,时间是关键:在采购到付款(P2P)全流程中压缩时间,避免拖慢业务进度——无论是评估新供应商还是判断续约风险。应在项目开发初期就让采购团队参与进来,确保从一开始就满足其需求。
风险管理
风险管理团队与企业多个部门进行协作,其职责在于整合全公司范围内的各类风险,以确定可接受的风险水平。为实现这一目标,风险管理团队必须评估组织内部多种类型的风险——包括来自第三方风险。
风险管理团队常面临的困扰在于,当各部门对风险采取不同处理方式时,便会形成信息孤岛。若缺乏统筹协调的职能部门,风险管理措施便可能出现不一致的情况,从而导致安全漏洞。
由于承担着核心风险职能,风险管理团队会运用治理、风险与合规(GRC)工具来管理整个企业的风险。因此,这些团队应时刻关注可能影响第三方履约能力的网络安全之外的风险。 例如,风险管理团队需要了解供应商在环境、社会与治理(ESG)、反贿赂与腐败(ABAC)、现代奴役及财务指标方面的评分情况,同时需掌握供应商为保障企业韧性、避免运营中断而建立的具体管理流程。
与采购团队类似,风险管理团队应在交易方风险管理项目初期就参与其中(假设该项目非由其发起),以便其制定与企业整体风险管理目标相一致的风险参数。
数据隐私
数据是大多数企业的生命线,而保护数据访问权限的方法正是当下最热门的IT管控措施。若缺乏适当的数据保护措施,第三方企业可能在不知情的情况下成为数据泄露事件的参与者,导致客户的个人身份信息(PII)遭受攻击。事实上,Kaseya、Colonial Pipeline以及微软Exchange服务器遭遇的攻击事件,均由勒索软件驱动或含有勒索软件元素,其目的正是阻断系统与数据的访问通道。
监管机构深知这一点,已制定措施和基准以确保最基础的数据保护控制措施到位(例如GDPR
或CCPA)。数据隐私团队需要准确掌握第三方与企业数据的交互方式,从而降低非预期访问的风险。 绘制第三方、第四方乃至第N方之间的信息流向图谱,是数据隐私团队的核心任务,内部数据发现与归属管理同样至关重要。合规性报告及评估数据保护措施的内部控制体系,具有决定性意义。
在制定第三方风险评估策略时,务必与数据隐私团队协作,确保所提出的问题能清晰阐明供应商的数据保护措施。
审计与合规
全球各地的政府法规和行业框架要求企业证明其对第三方访问系统和数据的管控措施。然而,大多数审计与合规团队正努力从组织内部众多不同工具(如电子表格)中整合出有意义的管控报告。
与数据隐私团队类似,审计与合规团队也需要简易的报告和控制映射模板,将正确数据传递给相关利益相关者,使其能够证明合规性或明确整改路径。务必在前期与审计与合规团队沟通,了解哪些法规要求何种报告类型,以及是否可通过遵循行业控制框架(如NIST
或ISO标准)来满足要求。
下一步工作
Prevalent通过单一解决方案整合采购、供应、风险管理、数据隐私、审计及IT安全团队,该方案可评估多种供应商风险类型;提供集中式报告与分析;并为管理第三方及在供应商生命周期内修复风险提供程序化流程。
若需获取更多关于如何在构建第三方风险管理计划过程中有效调动关键利益相关方参与的建议,请下载白皮书《构建成功第三方风险管理计划的10个步骤》,或立即联系我们安排战略研讨会。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
