第三方合作关系频频见诸报端,且多非善事。涉及第三方数据泄露事件激增,地缘政治与劳工问题持续挤压供应链,企业仍面临员工留任难题以满足组织需求。
在复杂的经济环境中迎来2023年尾声之际,第三方风险管理团队必须制定应对重大风险的计划。根据我们的分析,新一年最值得关注的重大风险包括:
- 网络安全风险
- 声誉风险
- 业务连续性风险
- 安全与可靠性风险
- 环境、社会和治理风险
- 贿赂与腐败
本文将探讨这些主要的第三方风险,并阐述其重要性——尤其在我们迈入新的一年之际。
供应商网络安全风险
第三方网络安全风险是指组织因与第三方(包括供应商、供货商或其他业务伙伴)合作而面临的潜在风险,这些风险可能危及IT基础设施和数据的机密性、完整性或可用性。 该风险常与IT供应商风险管理混为一谈——后者通常由信息安全团队负责——但如今正逐渐被视为更具战略性的业务风险,其重要性已超越IT和安全团队的范畴。事实上,根据Proofpoint的调研,董事会成员对网络安全的关注度已达到历史新高。
21世纪供应链面临的最大风险之一是数据泄露及其他网络安全事件。此类事件可能危及供应商、其客户乃至客户的客户。尽管大型企业通常拥有完善的网络安全体系,但这些措施往往无法覆盖第三方组织——这些机构在网络安全知识和能力方面可能存在显著短板。 因此,即便拥有最完善安全体系的大型企业,仍可能因小型供应商而面临潜在风险——这些供应商通常缺乏同等资源来保障关键数据安全。
我们最近的研究证实了供应链中固有的网络安全风险,过去12个月内有41%的企业遭遇了具有重大影响的第三方数据泄露事件。MOVEit文件传输系统遭黑客攻击便是典型案例。 该漏洞于2023年5月首次披露,截至9月底已造成1000余家企业及逾6000万用户受影响。目前该漏洞引发的数据泄露事件的全部影响尚未完全显现,预计未来数月内仍将持续发酵。尽管如此,因该漏洞遭受攻击的组织数量之多仍不容忽视。
第三方网络安全风险不仅涉及数据泄露。 还存在软件供应链攻击 ,例如2021年12月的Log4Shell漏洞引发了跨行业的重大补丁修复行动,以及2020年SolarWinds事件中黑客入侵该公司代码库,在数千家组织中植入后门程序。更近期的案例是Citrix NetScaler零日漏洞,其远程代码执行缺陷可能影响数千家组织。
2024年需警惕的其他网络安全风险还包括:
- 被盗凭证—— 在许多情况下,网络犯罪分子利用企业邮箱账户或网络时,并非直接窃取数据。他们通常在暗网以比特币或其他加密货币出售被盗的用户名和密码。据估计,暗网上流通的被盗凭证已超过240亿条。这种窃取凭证的方式降低了犯罪风险,因为他们无需费力攻破单个账户,就能立即将窃取的数据变现。 对于充当初始访问中介的犯罪团伙而言,窃取用户名和密码正是其盈利之道。
- 虚拟IT访问—— 企业常为供应商开放特定系统权限以促进服务或交易。这种做法不仅常见于托管服务提供商及其他业务流程外包商,也适用于需通过应付账款系统提交发票的供应商。这同时是威胁行为者最青睐的入侵途径之一,近期针对托管服务提供商的攻击激增很可能与此有关。
- 监管与合规复杂性—— 根据Prevalent近期研究,60%的企业正面临日益严格的监管审查。大量合规要求针对第三方网络安全风险制定了管控措施。HIPAA、CMMC、GDPR、CCPA等法规直接规范了企业数据共享及第三方数据访问权限的管控方式。若未能理解并满足合规要求,企业将面临巨大的法律、监管及公关风险。
2024年,寻求降低网络安全风险的企业需重新评估哪些供应商拥有系统访问权限,以及这些第三方享有的权限级别。在供应商和服务提供商管理中,最小权限原则具有显著成效——仅授予严格必要的访问权限,往往能构筑足够的防御壁垒,有效挫败攻击者的企图。 企业还应通过对供应商互联网暴露资产的深入分析,全面掌握其风险敞口。除了解供应商的安全政策外,还需明确关键数据在各方共享过程中的安全保障措施。
此外,企业需要重新评估自身及供应商的合规需求,确保各方对应遵守的法规达成共识。借助Prevalent等解决方案追踪法规动态并开展供应商风险评估,将极大有助于精准识别各供应商带来的风险等级。随着第三方安全事件持续发生,全面盘点供应链中的网络安全风险变得日益关键。
供应链中的声誉风险
声誉风险涵盖对企业名称、商誉或可信度的威胁,这些威胁最终可能影响其收入。尽管声誉风险难以量化且形式多样——无论是企业自身造成还是源于第三方商业关联——但其引发的业务中断、罚款、处罚及收入损失,其严重程度与更具实质性的风险同样不可小觑。
供应商声誉风险包括:
- 道德行为或法律法规发现的失误,如供应商因使用非法童工或强迫劳动生产商品而受到处罚。
- 与受制裁的公司或个人开展业务往来,例如美国财政部外国资产控制办公室(OFAC)名单或英国制裁名单所列的实体或个人。
- 在涉嫌支持恐怖活动或贿赂或腐败现象普遍的国家与国有企业合作。
- 为供应商工作的政治公众人物(或 PEP)受到威胁。
涉及不道德招聘行为、产品质量问题、犯罪活动及环境灾难的负面新闻或不利媒体报道,同样构成声誉风险。这些负面事件可能引发针对与供应商开展业务的组织的施压行动。问题在于,声誉风险不仅难以察觉,其监测与核算过程也充满不确定性。 更甚者,负面报道对企业经营的影响往往难以量化。尽管如此,品牌声誉在过去几年已成为衡量商业成功的重要指标。
为应对这些声誉风险,企业需实施全面的供应链合作伙伴预先筛选机制,涵盖人权、反贿赂及环境实践等方面的信息。除预筛选外,还需依据行业最佳实践和法规进行定期评估。
2024年,企业还应考虑实施持续声誉监测。监测来源应涵盖供应商动态、财务状况、制裁信息、政治敏感人物(PEP)、国有企业等,有助于及时预警重大事件。此外,企业需关注其N级合作伙伴。 风险不仅限于供应商。因此,识别并可视化组织与第三、第四乃至N级合作伙伴之间的关联至关重要,这有助于发现依赖关系与潜在风险。
最后,合规报告需要简化。许多监管制度要求组织监控其供应链中的活动。实现审计报告最快捷、最简便的方法,是将任何供应商风险评估自动映射到任何法规或框架中。
与第三方相关的业务连续性风险
业务连续性供应链风险可能呈现多种形态。例如,关键供应商可能宣告破产而无法履行合同。事实上,研究表明过去一年中有25%的企业曾因供应商财务危机而遭受影响。
并购活动也可能预示着战略调整或市场整合,进而影响服务交付、价格或合同条款。此外,领导层更迭或法律纠纷可能冲击组织文化、战略方向及实现目标的执行能力。
在评估潜在供应商时,必须了解该组织的财务状况、现有合同义务以及其他可能影响其有效履行合同的因素。在供应商入驻前尽职调查越不充分,业务中断的风险就越高。
实施正式且有据可查的第三方业务韧性与连续性计划,以管理这些风险。供应商应依据预先设定的统一评估指标进行评估,该指标体系便于比较竞争供应商,并识别可能难以履行合同义务的潜在供应商。
第三方安全与可靠性风险
安全与可靠性是风险管理中的两个重要方面,它们涉及预防和减轻可能影响产品、系统或过程性能、质量或功能的潜在危害与故障。安全与可靠性虽常相关联,但并非同义概念。安全侧重于保护人员、财产及环境免受伤害,而可靠性则关注产品、系统或过程在特定条件下于给定期限内执行预期功能的概率。
在评估因产品、系统或流程中的故障、错误、缺陷或失效可能引发的不良事件的潜在后果及发生概率时,安全与可靠性可视为风险类别。安全与可靠性风险可能对组织的客户满意度、声誉、合规性及盈利能力产生重大影响。因此,必须在产品全生命周期内——从设计到运行再到处置——持续识别、评估并管理安全与可靠性风险。
为安全与可靠性风险管理提供框架的标准之一是ISO 13849-1,该标准定义了控制系统中安全相关部分的安全类别和性能等级。安全类别基于组件的结构配置和可靠性,而性能等级则基于危险故障的概率以及系统的诊断覆盖率。
另一项涉及安全与可靠性风险管理的标准是IEC 61508,该标准为电气、电子及可编程电子系统的功能安全定义了安全完整性等级。安全完整性等级基于系统的按需失效概率和危险失效的平均频率。
对于第三方风险管理团队而言,这意味着需要询问关键供应商的整体安全实践和维护计划。 在制造业等重工业领域,或采矿、油气等资源开采行业,安全风险的认知尤为关键。机械设备的可靠性同样是重要考量因素,因此了解维护实践至关重要。掌握供应商的维护流程,有助于企业将应急预案纳入工作流程,以应对可能引发供应链中断的安全或可靠性事件。
供应商环境、社会与治理(ESG)风险
环境、社会和治理风险涉及企业行为的广泛领域。这类风险往往难以察觉,直至登上各大新闻网站的头条。届时,企业的声誉可能已受损或面临受损风险。通常被称为"ESG"的风险类别包括:
- E = 环境:衡量并报告组织在自然世界与环境管理方面的价值观和承诺。包括对组织在气候变化、废物管理、污染、资源使用与枯竭、温室气体等环境举措的报告与监测。
- S = 社会责任:衡量并报告组织在对待人员方面的价值观与承诺。 涵盖员工与客户/合作伙伴关系、人权(如反奴役)、多元包容、反骚扰与歧视、个人隐私保护(员工及其他群体)、工作条件与劳动标准(如童工、强迫劳动、健康安全),以及企业如何参与并回馈社会及运营所在社区。
- G = 治理:衡量并报告组织在符合其价值观和承诺的背景下所展现的文化与行为。这包括财务与税务策略、举报机制与问题报告、韧性建设、反贿赂与反腐败、安全保障、董事会/高管层多元化与结构,以及整体透明度与问责制。
随着企业面临来自监管机构、审计机构和消费者的日益严格审查,ESG风险正持续攀升。环境风险涵盖气候变化,以及企业如何应对气候模式变化和自然灾害的应对计划。除气候相关风险外,"永久性化学物质"(如全氟烷基物质)也正受到更多关注。
ESG管理与风险及合规密不可分。要有效监督ESG,需具备第三方风险管理专业能力并遵守相关法规。由于现代供应链的复杂性,企业的ESG责任与第三方风险管理存在高度交集。
监管压力也在不断加大。美国证券交易委员会(SEC)提出新规,要求企业在注册声明和年度报告中披露"特定气候相关信息",包括"上下游价值链"。 欧盟议会提出指令,要求欧盟企业"识别并必要时预防、终止或减轻其活动对人权(如童工和劳工剥削)及环境(如污染和生物多样性丧失)的不利影响"。
由于ESG风险涉及多方面因素,其缓解难度较大。 与财务风险类似,在与潜在供应商签订任何合同之前,必须将其纳入初始尽职调查流程中的ESG审查环节。鉴于当前多项ESG法规要求企业对其供应链中的贿赂、奴役等问题承担责任,必须开展关系图谱绘制及第四方与第N方风险分析,以揭示可能损害企业声誉的潜在供应链问题。
- 采购过程中切勿忽视ESG因素:若需快速评估潜在供应商的ESG风险(或追踪现有供应商状况),建议订阅供应商风险情报网络。这类网络汇集了基于已完成评估和外部监测数据编制的按需供应商风险报告。优质的网络能提供涵盖多种风险类型的洞察,其中包括ESG风险。
- 在定期风险评估中纳入ESG问题:若需更深入地评估现有供应商的ESG风险,可采用问卷形式的供应商风险评估。借助合适的供应商风险管理平台,您能自动将评估反馈与业务需求及多项行业法规、政府条例进行关联映射。
- 认识到ESG风险可能随时显现:通过在供应商生态系统中持续开展第三方风险监控,及时掌握与ESG相关的事件动态。风险监控解决方案能够关联数千个来源的研究数据,识别从负面报道到合规违规等影响供应商的各类问题。
2024年,这些风险似乎更为严峻。面对2023年6月加拿大野火、2月得克萨斯州冰暴以及9月澳大利亚罕见热浪等多重极端天气事件,气候变化已成为日益突出的风险类别。这迫使我们必须更深入地审视环境风险,尤其要关注其对供应链韧性的影响。
此外,社会责任风险似乎正在上升。如前所述,关于现代奴役和童工的法规正在全球范围内不断加强。欧洲、北美和亚太地区的政府已开始更加密切关注全球制造工厂的工作条件。随着越来越多的消费者做出具有社会意识的购买决策,企业需要更认真地审视其企业社会责任政策,并确保供应商履行责任。
第三方关系中的贿赂和腐败风险
2024年,贿赂与腐败风险仍将构成挑战。对于寻求在美国开展业务的企业,《美国海外反腐败法》(FCPA)的执行力度持续严格,其他司法管辖区也针对本土及外国企业制定了反腐败法规。总体而言,第三方关系是组织面临最重大的贿赂与腐败风险暴露之一。
在分析《反海外腐败法》贿赂与腐败执法行动时,斯坦福法学院发现超过90%的案件涉及第三方中介。所有作为企业代理人的第三方——如分销商、销售代表、经纪人、顾问、货运代理、说客——都可能使企业面临贿赂与腐败的法律责任。
事实上,企业可能因第三方行为承担法律责任,即便其声称对事件毫不知情。通常情况下,起诉所需的仅是贿赂行为存在"高度可能性",或有证据表明企业对第三方代其实施的腐败行为采取了"故意视而不见"的态度。
ABAC法律的执行范围正在扩大。在英国,严重欺诈办公室(SFO)已扩大其执法活动。欧盟《强制性人权、环境和良好治理尽职调查指令》将要求在欧盟国家运营的组织进行重大尽职调查,其中ABAC归属于良好治理部分。
2024年,在执法力度强劲的国家,企业对贿赂和腐败问题的担忧将持续加剧。鉴于美国作为国际市场和成品供应源的重要性,美国《反海外腐败法》的管辖范围很可能继续延伸。 受《反海外腐败法》及其他反腐败措施管辖的企业,应深入分析供应商的财务状况,确保自身不卷入任何可能引发腐败调查的活动。
第三方风险:当下与未来
企业正面临日益严峻的第三方风险环境。在网络攻击、业务连续性风险、声誉风险等上述类别中,风险数量与种类不断增加,这将使2024年的商业运营面临更大挑战。
无论规模大小,企业都应认真审视其2024年威胁与风险管理策略,确保充分考量风险环境的复杂性,并量化本报告所述风险的实际影响。此外,企业应根据自身战略优先级对各类风险进行排序。 例如,2024年网络安全风险可能比声誉风险更值得关注,这促使风险管理者着重加强组织抵御网络威胁的能力。同样地,业务连续性或许也应成为更高优先级事项。归根结底,企业需要作出这些判断,并聚焦于降低或缓解对其业务影响最深的风险。
如需了解Prevalent如何助您管理第三方风险计划,请立即注册演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
