普遍研究显示人工流程仍是第三方风险管理计划的主流

为第三方风险管理（TPRM）分忧解难的 Prevalent 公司今天发布了一份新报告《2023 年第三方风险管理研究》：该报告深入分析了当前影响全球第三方风险管理从业人员的趋势、挑战和举措。

Mitratech 员工 5月10，2023

2023 年 5 月 10 日，凤凰城-- 为第三方风险管理（TPRM）分忧解难的 Prevalent 公司今天发布了一份新报告《2023 年 第三方风险管理研究》（The 2023 Third Party Risk Management Study）：该报告深入分析了当前影响全球第三方风险管理从业人员的趋势、挑战和举措。

调查结果清楚地表明，2022 年是第三方风险管理（TPRM）实践的动荡之年。在过去的一年里，企业要应对俄罗斯入侵乌克兰造成的影响以及由此引发的供应链中断、破坏性的大范围第三方漏洞和安全事件（包括LastPass、OpenSSL、Okta、丰田以及医疗保健领域的几起事件），以及在ESG 等 IT 安全以外领域新出现的监管监督。虽然自去年的研究以来，各组织的 TPRM 计划已日趋成熟，但仍有许多工作要做。

2023 年第三方风险管理研究》的主要发现包括

41% 的公司在过去 12 个月中遭遇过影响重大的第三方漏洞，但由于依赖重叠的工具和人工流程，导致事件响应速度减慢

绝大多数公司（71%）表示，使用第三方最担心的问题是由于供应商安全措施不力而造成数据泄露或其他安全事件。然而，人工方法仍然存在，使用电子表格的公司比例之高令人失望，而使用新闻源来了解外泄信息的公司比例也在增加。好消息是，不监控第三方漏洞的公司从 12% 下降到了 4%。

第三方数据泄露和安全事件促使信息安全越来越多地参与到 TPRM 中来

70%的受访者表示，信息安全（InfoSec）比以往任何时候都更多地参与第三方风险管理，71%的受访者表示信息安全完全拥有第三方风险管理计划。在今年的研究中，62% 的受访者表示，第三方数据泄露和安全事件是促使他们更多地参与第三方风险管理的主要原因。

近半数公司仍在使用电子表格

2023 年，令人失望的趋势仍在继续，因为越来越多的企业（48%）正在使用电子表格来评估第三方。这一比例比 2022 年和 2021 年有所上升，2022 年和 2021 年分别有 45% 和 42% 的公司表示正在使用电子表格。好消息是，只有 4% 的受访者表示，他们目前根本没有对第三方进行评估，这延续了 2021 年（10%）和 2022 年（8%）的下降趋势。

在整个生命周期内跟踪和补救风险之间存在巨大差距，平均有 20% 的公司无所作为

毫不奇怪，在第三方关系生命周期的离职和终止阶段，跟踪（47%）和补救（38%）风险的公司比例最低，而完全不采取任何措施的公司比例最高（39%）。在初始评估、采购和合同前尽职调查阶段，跟踪和补救风险之间的巨大差距尤其令人吃惊，因为这些阶段是在风险影响企业之前发现和补救风险的主要阶段。

"Prevalent公司首席战略官Brad Hibbert表示："我们继续看到供应链中断和广泛的第三方安全事件逐年大幅增加。"尽管这项调查表明，企业正在将第三方风险管理计划作为优先事项，整个企业有更多的人参与其中，只有 4% 的企业表示没有对第三方供应商进行监控，但仍有许多工作要做。企业需要永远抛弃人工流程，与自动化的第三方风险管理解决方案合作，管理整个第三方风险生命周期的风险。

本研究的结果表明，TPRM 团队正在向更具战略性的 TPRM 方法迈进，但有四个方面需要进一步改进，以使公司保持正确的发展方向：

自动化事件响应以降低成本和风险敞口： 缩短事件发现与缓解之间的差距，可以通过自动化事件响应流程降低成本并限制公司的风险敞口。消除只能说明部分事件起源的电子表格或重叠工具。

建立单一真相来源，消除各自为政，将风险可见性扩展到整个企业： 这项研究的结果表明，尽管信息安全风险被认为是最重要的风险，但多个企业团队都参与了第三方风险管理--每个团队都有自己的目标、工作流程、评估过程和需要审查的风险。用一套单一的工作流程、第三方风险档案、评估和报告来统一所有内部团队。

摒弃电子表格，实现整个生命周期内评估和监控流程的自动化： 投资于集中管理合同生命周期的解决方案，以确保在整个生命周期内跟踪关键合同条款；提供补救指导，以确保离职供应商满足公司的合规性和安全性要求，达到可接受的风险水平；提供规范流程，以处理最终任务并根据合规性要求进行报告。

补救： 这项研究的数据显示，风险跟踪与补救之间存在明显的落差。要将风险补救到业务可接受的水平（或要求提供补偿控制措施的证明，以取代具体的补救措施），可利用具有内置补救建议的第三方风险管理平台。

阅读博文并下载完整的电子书和信息图表，了解更多统计数据、背景和建议，为现有的 TPRM 实践制定基准。申请与 TPRM 专家进行战略会议演示。

关于 Prevalent

Prevalent 解决了第三方风险管理 (TPRM) 的难题。公司利用我们的软件和服务，在整个第三方风险管理生命周期中消除与供应商合作带来的安全和合规风险。我们的客户从灵活、混合的 TPRM 方法中获益匪浅，他们不仅获得了根据自身需求量身定制的解决方案，还实现了快速的投资回报。无论客户从哪里开始，我们都会帮助他们止痛，做出明智的决策，并随着时间的推移调整和成熟他们的 TPRM 计划。

媒体联系方式

Angelique Faul，Silver Jacket Communications，513-633-0897，[email protected]

编者按：本文最初发表于Prevalent.net。2024 年 10 月，Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后，我们对内容进行了更新，以纳入与我们的产品、监管变化和合规性相一致的信息。