如何采用整体方法处理供应商入职和离职事宜

让我们先做一下自我介绍。我叫梅丽莎。我在 Prevalent 业务发展部工作。今天我们请到了一位返场嘉宾，埃施朗风险与网络公司第三方风险管理服务总监汤姆-格鲁巴（Tom Geruba）。欢迎回来，汤姆。

汤姆-格鲁巴非常感谢 梅丽莎很高兴能回来。大家好。早上好，下午好，或者晚上好，取决于你在世界的哪个角落。我很荣幸能请 Prevalent 公司邀请我回来，谈谈我在第三方风险行业看到的一些常见挑战。很多第三方风险专业人士最头疼的问题之一就是入职和离职的问题，以及在这个过程中各自的角色。因此，我们将采用这种整体方法来处理供应商入职和离职问题。我很高兴能与大家分享这些内容。先介绍一下我的背景。但梅丽莎已经和大家分享过了。下面是我们今天要介绍的内容。首先，我们将讨论在供应商入职和离职过程中需要评估哪些风险。我们需要关注哪些风险？当我们开始关注入职和离职风险时，我们需要关注什么？我们将讨论如何应对组织内部在此过程中可能遇到的常见挑战。我们将讨论入职所需的尽职调查。我们还将讨论离职时需要考虑的风险。有风险需要考虑。你不能一刀切，一走了之。在告别所谓的供应商之前，你需要考虑一些事情。最后，我将介绍一些建议的流程，以确保您的程序趋同。如果你想知道什么是项目融合，我也会讲到这一点。但让我们从这里开始。入职和离职时需要评估的风险。任何时候，当你准备对供应商进行入职培训时，你都要确保企业内部已经有人对这些风险进行了评估。市场风险，什么是市场风险？是否有新的解决方案？

市场上是否有技术投资？你正在寻找的供应商是否正在经历重组？也许他们也在进行并购扩张。行业内发生了什么？你是否考虑到这一点？当你谈到财务风险时，你会考虑到现金流、信用风险等问题，你是否会看到与内幕交易有关的问题？股票回购呢？是否有任何这些事情会让你怦然心动，你知道吗，它们可能是一种信用风险，或者希望我们不是那些帮助他们达到某些配额的特定供应商之一，无论是在行业内还是在试图帮助确保他们继续保持财务稳健方面？监管风险方面有什么问题吗？监管机构是否会通过罚款等方式对它们施加压力？环境、社会和公司治理方面呢？这是否是你必须非常关注的问题？你会发现这一点非常具有地域性。我的意思是，在欧盟，你会看到ESG的环境方面受到很大的重视。而在美国和全球其他地区，你可能会看到更多的社会方面的内容。当我们谈论健康与安全、多样性、薪酬公平等问题时，我们会谈论这些性质的问题。最后，重点是治理方面。你是否掌握了一些信息，能够帮助你的组织根据董事会的构成等做出治理决策？道德规范、反腐败政策、此类性质的东西、地点。有很多哦，对不起，合规风险，很多强调合规的方面，有没有呃是你的供应商亲也许禁止在某些国家做生意，也许禁止在某些 ind 历史？从诉讼的角度来看，你是否担心任何事情？是否有任何与庭外和解或基于他们所做事情的和解有关的事情？是否允许他们与联邦政府做生意？

在我管理项目的时候，我们曾经确保，如果你不能与联邦政府做生意，那我们为什么要与你做生意？因此，从合规性的角度来看，位置，处理在哪里进行？数据存储在哪里？我们要看的是洪水泛滥区吗？在地缘政治领域，我们需要关注的是国内的工作权州或工作权国家。你也可以关注某些地区的紧张局势。很明显，你在东欧看到了这一点。我们在南中国海和亚太地区也看到了这一点。因此，你也必须考虑到这些事情。这是否是我需要的，我是否愿意接受这种风险？最后，当然是网络。在入职过程中，你能从网络角度做什么吗？因此，当你真正要做评估时，它有助于简化流程，让事情变得更流畅，让你从尽职调查的角度来看需要做的事情变得更好一些。现在，离职的情况也非常相似。如果你要跳槽到一个新的供应商，你就要淘汰一个供应商。你担心地点问题吗？你能拿回你的材料吗？从合规风险的角度来看，你需要做什么吗？当我提到合规风险时，我指的是，特别是如果你是欧盟的金融组织，你必须联系你的监管机构，让他们知道你不再使用特定的供应商，这时候你可能必须把它带回你自己的组织内部，或者你已经有了另一个供应商，你将能够把数据切换到他们那里。所以，现在你说的是关于你的供应商存储库的事情。好了，你能够向他们展示你在移动数据和处理方面所做的工作。冗余风险。你是否在多个城市、多个地点或多个供应商处 理数据？

你把它拿走了，现在你又要把它交给另一个供应商，现在你开始涉足这种叫做集中风险的东西。你是否把所有鸡蛋都放在一个篮子里或一个地方，如果龙卷风、台风、飓风或其他类型的地球事件影响到这个地理位置，是否会对你的供应商造成干扰？最终还是会影响到你这个组织。既然你已经加入，你就必须担心任何环境、社会和治理风险，你将会承担这种风险。对于你一直在使用的供应商，你是否对投资者或其他人负有责任？现在你要承担这个风险。你是否有能力将风险转移给新的供应商？但他们能否将风险转移过来？所以，这些都是你需要考虑的，呃，这是我对合规风险冗余的道歉。所有这些都与你的社会认知风险息息相关。社会认知驱动其他风险。它驱动财务风险。它甚至驱动你的环境、社会和公司治理风险。它驱动其他风险，如运营风险。所以，如果他们呃如果你的客户，你的客户有一种感觉，你正在做的事情不类似于他们的核心理念是什么作为一个组织，作为一个实体。这可能会影响你的社会认知。好了，我认为这些都是需要考虑的关键因素。现在，让我们来谈谈如何应对这些常见挑战。首先，我至今仍能看到第三方风险管理。上周，我和一位同事进行了一次精彩的对话，谈到第三方风险管理仍处于起步阶段。尽管我们中的许多人已经做了将近十几年，但对于所有这些似乎是各自为政的额外组成部分来说，它仍然处于初级阶段，我们需要开始将这些部分整合在一起。这就是我稍后要谈到的融合问题。但是，供应商资源库的所有权，谁拥有主供应商名单，许多组织会说是灵长类采购。

问题在于，我知道在座各位都以某种方式或形式接触过或经历过这种情况。有一些方法可以绕过货源和采购。好吗？也许你只需花费 4 万到 5 万不等，就可以去采购。如果你只打算将供应商的费用和项目资本化，也可以这样做。因此，你可能有业务部门要从数据传输和数据处理的角度来做一些事情，但这涉及到大量的记录和数据，所以采购部门可能不会意识到这一点，但供应商意识到了，现在你还在讨论法律问题和信息安全问题，所以你必须真正了解谁拥有供应商存储库，在许多情况下，它变成了第三方风险管理计划。现在，你需要能够将清单上的内容传达给采购人员。谁是入职流程中的利益相关者？首先是业务部门，这是第一道防线。业务部门负责。他们是主要利益相关者。他们是开支票的人。但在第三方风险管理流程中不可或缺的其他利益相关者是采购部门。法律部门，他们会提出法律语言，对吗？对。安全方面，你是否与信息安全和其他组织（如隐私保护组织）合作，以确保你的数据隐私和安全附录与你的组织保持一致。这可能是在家工作，也可能是确保使用 VPN 或其他任何情况。无论如何，你是否与其他利益相关者合作，他们是否保持一致，他们是否理解对供应商的期望？设施管理如何？很多时候，你的供应商会到现场来看你，尤其是在 IT 领域。好的。他们是否有分配给他们的卡片钥匙或类似的东西，允许他们进入某些设施？业务连续性和灾难恢复。

在很多情况下，它们有助于在出现可用性和恢复问题时，从战略角度优先考虑供应商，当然还有合规性。你所做的任何改变，不仅要符合指导原则、标准或监管义务，还要符合公司自身的政策和标准。我们的固有风险和暴露风险是什么？这是另一个存在已久的常见问题。我们如何计算固有风险？我很自豪地说，你们可能熟悉的一个组织--共享评估计划正在解决这个问题，并推出了一个帮助你们计算固有风险的组件。嗯，我，你知道，我是那个小组的一员，非常自豪，嗯，我们在那里做了什么，这是你很快就会看到的东西，我敢肯定，普雷瓦尔林也会，嗯，你知道，这些额外的工具。但关于固有风险和暴露风险的问题是，对于如何计算固有风险或暴露风险，目前确实没有一套指南。当你思考什么是固有风险或暴露风险时，就是在你真正与供应商开展业务之前，有哪些未知因素？好吗？就像约会一样。你只能通过社交媒体、朋友告诉你的信息、工作中了解到的信息，对即将约会的人有如此多的了解。但是，直到你开始与他们接触，与他们建立关系，你才能真正开始了解他们的情况。所以，你不一定能计算出这些未知数，但你必须能够想出一些东西，让你大致知道，是的，我很期待这次约会。我很期待见到这个人。供应商也是一样。计算风险。你有足够的合同语言吗？这是我至今仍在遇到的问题。无论是成熟企业还是中小型企业，你都必须确保在合同协议中使用适当的语言。

每个人都知道审计权条款，但这里有一个关于审计权条款的肮脏小秘密。在大多数情况下，在审计权条款中，你只能在合同有效期内执行一次审计权。因此，你可能有一个为期三年的合作关系，合同上写着我们将在未来三年内开展业务。但如果你行使审计权或将其解释为评估，这就是审计的一部分。你只能做一次。然后，如果该供应商发生了什么事，你说，"我需要来审核你是否有违规行为，是否对信息或数据处理不当"。他们就会保留权利，回来对你说："哇哦，哇哦，哇哦，哇哦。时间到了你对我做了评估"。这与审计权条款有关。所以，你不能再来找我。在审计权条款中，还有很多额外的规定。我需要事先通知。我需要时间准备。我需要这样做，等等等等。所以，除了审计权条款之外，你还要确保有其他条款。我一直在推动并开始看到很多组织在做的事情就是评估权。评估权条款基本上是说，我们将根据风险承受能力，根据我们对你进行的风险评分，对你进行评估和重新评估。还有什么能与风险重新评估挂钩？这就是持续监控方面。你要直截了当地告诉他们，我们会或可能会对你进行持续监控，无论是在网络层面，还是在网络财务运营等方面。好的。现在，当你开始有了预期，你还能继续前进吗？如果你要这样做，你必须了解谁最终授权批准或不批准使用上述供应商。是第三方管理计划吗？是否有一个小组？实际上，我们有一个叫 "供应商评估委员会 "的机构。当时的诨名是 "真空"，因为我们把东西交给他们，然后说："嘿，我需要你们签字，然后我们就看不到它了。所以 VAC 就成了真空他们知道了，所以我们稍微改了一下

这就是你周四的小幽默。但是，谁来签字呢？如果你不打算使用某个供应商，谁会回去告诉业务部门，基于我的组织风险，你不能使用这个供应商？这就是我。有的时候，我们实际上有一个例外程序，业务部门可以陈述他们的理由。不仅仅是我，我们还邀请了首席隐私官。我们还邀请首席信息安全官或其他需要参与对话的人员。谁有权签批例外情况？现在，当我们谈论例外情况时，你可能会与某个业务部门进行对话，然后说："我们对该供应商当前的安全和隐私状况不太满意。不过，我们知道他们可能是唯一的供应商或单一来源供应商。因此，我们将接受该供应商，并将其与我们的风险登记册一起放入我们的供应商登记册，我们已经跟踪过该供应商，并已确定了该供应商。" 好的。好吧，这就是谁有权签署这些例外情况的有用之处。从网络的角度来看，十有八九是由首席信息安全官办公室负责，但在其他组织，可能是由首席风险官或其他高层人员负责。最后，我们何时进行尽职调查？是在签订合同之前还是之后？许多金融监管机构会告诉你，尽职调查必须在实际数据交易之前进行。通常情况下，在签订合同之前不会开始进行数据交易。我见过一些机构开始交易数据，但合同还没签。要当心。我这么说的原因是，如果你们签订了合同，如果你们实际上在相互之间共享数据，而你的供应商发生了什么事情，合同还没有签订，而那里又发生了什么事情，那么你就真的没有法律追索权去找那个供应商，因为合同还没有完成。现在，我在这里告诉你的关于合同的一切，如果你需要更多相关信息，请与你的法律顾问沟通，好吗？每个组织都是不同的。所以，我想在这里给大家提个醒。

但同样，这些都是帮助绕过这些常见挑战的常用方法。入职尽职调查如何？你可能会问自己，我们用什么工具来做评估？这确实取决于您需要预先了解哪些风险。从网络角度来看，有很多工具。你知道的，那些大名鼎鼎的工具。我不必在此与你分享。还有一些小公司也非常出色。你可能会认为他们中的一些人只是一招鲜。无论如何，如果能为你的组织带来价值，请考虑使用它们。现在，你在第三方风险管理计划中，尤其是如果你驻扎在组织的网络呃网络部门，你可能不会使用这些其他工具，如信用和财务分析，也许从ESG的角度来看，但你可以使用工具，即使它只是，你知道，谷歌新闻源，也许你应该检查你的组织。你是否订阅了彭博社、标准普尔或 U Lexus Nexus 等网站，这些网站是否能帮助你至少对关键供应商进行战略搜索？是否有任何关于诉讼的消息？我开始听到有人喋喋不休地说，从 E 收购的角度来看，这个特定的供应商可能会成为收购目标。这对我意味着什么？我的竞争对手会不会收购这个产品，或者收购这个供应商？所以，这些都是你必须考虑的问题。由于供应商现在面临的法律义务，他们是否有任何可能让你放心的事情？也许是集体诉讼。也许他们在欧洲开展业务，欧洲和嗯数据保护机构对他们处以数百万美元的罚款，并开始在媒体上曝光。好吧处理的数据是什么？我喜欢把重点放在数据上，我来告诉你为什么。我们生活在一个乐于起诉的社会，如果你正在处理客户或员工信息，而供应商正在为你处理这些信息。了解正在处理的数据是个好主意。正在处理的数据的价值是什么？

名字、姓氏、街道地址的价值远远低于带有社会安全号码、EBT 号码、银行账号等信息或健康信息的名字、姓氏、街道地址。如果你的供应商出现违规行为，数据保护机构和律师事务所就会转移到这里。数据是什么？有多少记录受到影响？1 万条记录和 1 千万条记录之间差别很大。好吧，你不仅要考虑一条记录的成本，根据数据的不同，成本可能从 5 美元到 50 美元不等，但现在你得把这个成本乘以 1 万条记录，再乘以 1 千万条记录。因此，你必须真正了解正在处理的数据和记录。现在，你应该使用什么样的问卷？据我所知，有一种情况叫做 "供应商疲劳"。作为共享评估的传承者，我们努力推动的一件大事，就是使用现有的东西来实现标准化。我觉得我听过的最好的事情之一是，几年前我碰巧在伦敦，金融行为监管局的一位代表被问到一个问题，我们能使用标准化的问卷吗？这位监管者看着这个人说：为什么不呢？既然已经有了很好的工具，为什么还要重新制作呢？所以，要寻找标准化的东西。好吧，它们成为行业标准是有原因的。例如，Krevalent 使用的就是 SIG 问卷。至于是使用 SIG light 还是 SIG core，这取决于您。如果您在云环境中开展业务，也许您需要像蛋糕一样的东西？无论如何，请确保您使用的问卷已经过范围界定，并且与数据和正在进行的处理相一致。你还应该考虑的一点是，当我运行他们的项目时，我能够与我之前所在的组织一起执行，我们实际上提出了一个叫做供应商情报清单或简称VIC的东西。

虚拟信息中心的目的是，我相信你们也看到过这种情况，业务部门向你们咨询："嘿，我正在看这五家供应商，我不知道该选哪一家。你能帮我做出决定吗？不，我只看你想选的一家。这样吧，我买一送一，因为我是个好人。给我两个好吗？不管你做的是扣款还是其他什么，你至少通过帮助业务部门为他们提供了价值。解决这个问题的一个好办法是与采购部门合作，制定一份供应商情报清单。它甚至可以是 SIG 灯。它可以是你想要的任何东西，但它是你对即将加入的供应商进行审核的一种方式，以确保他们有足够的能力驾驭这辆车。我曾多次举过一个例子，把供应商当成一个想坐过山车的小孩。过山车可以是小型过山车，也就是说，你可能只是给他们提供公司的机密信息。他们可能会帮你做一些事情，比如营销方案或增长机会，也可能是三重环形过山车，你知道，时速 90 英里的过山车，你会给他们 1000 万条受保护的健康信息记录或其他类型的数据。好吧，所以你要确保他们的控制能力足以让他们乘坐过山车。最后，不要忽视你自己的专业网络。现在这个时代，我们可以拿起电话给别人打电话。我们可以与组织外的人交流，然后说："嘿，你用这个特定的供应商吗？对他们有什么看法？"你可能会说，"哦，我们喜欢他们。他们在这里很棒。"还有一些人会说，"哦，我的天哪，伙计。我可不想碰他们。他们在18个月内有两次数据泄露"。哇哦我从来没听说过所以，能够利用你的专业网络，帮助你在入职前做好尽职调查。最后，你有超能力吗？好吧，无耻地插播一下我两周前刚发表的一篇关于什么是超级能力的文章。你知道你的第三方风险管理超级能力吗？

当你开始经历你的职业生涯，当你开始利用你所拥有的工具，你就会开始真正打造你的超级能力。可能是采购部门的人，可能是安全部门的人，也可能是 IT 部门的人，他们会向你求助，问你，嘿，你能帮我解决这个问题吗？所以，这些都是你在入职尽职调查时要考虑的问题。离职时要考虑的风险。很多组织仍在努力制定退出战略。我告诉你，为什么？其实就是因为人们不喜欢说再见。好吧，这是人之常情。我们喜欢人际关系。我知道你们让我失望过几次，但你们知道，与其他组织相比，你们相对便宜。你们相对容易合作。好吧，你们的准确率可能会更好，但我知道我们已经讨论过十次了，但让我们看看能不能做得更好。总有一天，你必须放下你的笔，交出你的试卷，你必须给他们打上合适的分数。因此，制定退出战略是业务部门的责任，第三方风险管理部门可以通过与法律部门、采购部门和其他机构进行联络和沟通，为业务部门创造价值，从而帮助业务部门制定退出战略。你要把这一点作为协议的一部分。听着，如果我们必须分开，我们将这样做。这就是我们要做的。即使他们只用于一个小的项目，也许只是一个一次性的项目，你还是应该有一个参与策略，以防万一你回头一看，"好吧，这根本行不通"。所以，有些事情需要考虑。未能提供适当的终止或不续约通知。有些时候，你会遇到这样的情况：你要与供应商分道扬镳，却没有在规定的时间内告诉他们。

因此，你要确保能够与供应商分享这些信息。这是一种最佳做法，实际上能够做到这一点，但有些人会转过身去说："听着，我们只是要分开，然后继续前进"。这样做可能会引发下一个问题，即缺乏并行或过渡服务。如果你要进行这种过渡。对不起，我的猫决定在这里撞车。如果你将面临迁移到新供应商的情况，这是一个很好的机会，你可以提前 3 到 6 个月开始规划并行或过渡服务。如果你已经为其他供应商做好了准备，就可以开始与他们合作，并向他们提供将要提供给他们的实际数据。因此，当需要切换时，就可以将主要供应商转给新供应商。你有这个能力。它已经磨合好了，你的团队可以与他们合作。这将有助于消除收尾期间的服务中断。当有消息传出时，业务部门会告诉上述供应商，听着，我们要分道扬镳了。我们不满意。现在是九月。我要让你知道，我们将在 12 月底退出。好吗？这是你开始与他们合作的时候，他们很可能希望在你的口中留下好印象，他们希望能够说："好吧，呃，我希望你以后再联系我们。"好吗？所以，他们会希望在收尾阶段与你合作。这是非常重要的。如何取回数据，尤其是从第四方取回数据？你必须考虑到供应商，即你的第三方，不与你的第四方分享发生了什么的风险。因此，在这方面，你要确认数据是否会返回到第三方。如果数据将存放在第四方，你需要与他们分享你的数据保留时间表和数据保留期。你不能只是亲手把他们屏蔽掉，然后签字。

我见过一些人，应该说是一些人，跑来对我说："我还能评估一个已经和我没有关系的供应商吗？"因此，这个问题的答案确实是否定的。如果你与第三方甚至第四方供应商没有合同关系，而你又问他们："好吧，听着，你们在存储我的数据，所以我想对你们进行评估"。他们会告诉你，"不，他们存储这些数据是出于法律义务"。所以，他们还是得遵守这些合同所规定的安全和隐私处理方面的要求。好的。最后，确保连续性 给我一秒钟，伙计们。对不起。确保持续数据保护的连续性。这是你必须确保的地方，呃，数据保护继续存在的情况下，我只是暗指这一点，他们坚持你的数据保护呃对不起，他们的数据保留指南，你假设他们仍然会有坚实的控制周围的数据。你可以做的是，如果他们这样做，你至少可以说，我们仍然在跟踪这个问题，你可以与你的法律部门分享，你甚至可以与你的组织内的数据保留呃乡亲分享。最后，让我在这里快速抿一口。谢谢。确保计划衔接的推荐流程。所以，我一直在说程序融合这件事。我很快就会在博客上发表一篇关于第三方风险中的代际计划成熟度的文章。这是我之前在另一个会议上发表过的。我只是想让它更多地为公众所用。计划融合使你的组织进入我所说的第四代计划成熟度。这就是第三方风险管理计划与采购、法律、财务和其他二线小组的交叉和对话。实际上，你已经确立了明确的角色、责任和流程。这些在第三方风险管理政策中都有规定。

你能够展示从第三方风险管理政策到其他组织之间的联系，这些组织为你的计划提供其他类型的操作指导和支持。此外，在这个项目中，你会看到专业人员的认证，只要是与流程有关的认证，可能是ITIL认证，可能是ISO认证，可能是黑带认证，然后你开始进入个人在这些各自的角色中也有认证，无论他们是PMPs CTPRPS，我碰巧教CTPRP和CTP认证，可能是呃其他第三方风险认证、其他安全认证、其他采购认证、认证采购专业人员 CPP 等。在这里，你将开始看到第三方风险管理与其他组织的融合，你将真正能够从流程的角度将其记录在案。这又回到了采购流程、流程流和其他地图的实际定义和审查，因为这对你的第三方风险管理世代至关重要。你要从流程的角度看问题，了解如何做、做得怎样、谁负责维护和记录产业链中的这些关键流程。当外部审计师、监管机构或内部审查人员审查时，这将是不可或缺的。我们会为此联系法律部门。我们通知信息证券、设施管理部门，等等。你必须确保你有这些流程记录和流程流。你会与其他人分享吗？他们会不会回过头来对你说："好吧，等一下。在采购这里，情况已经发生了变化。这些角色都变了"。这将帮助你记录项目中发生的事情，并真正简化入职和离职过程中的操作。

所以，在我们开始进入假期的时候，在这里说一些最后的想法。我知道这很难相信，对吧？我们已经进入十月了，但随着十一月和十二月的到来，你开始看到更多的安静时间，如果我可以用这个词相对于第三方风险评估，这是你和你的组织坐下来，重新审视，看看你的入职和离职流程和标准的好时机。在需要的地方对政策进行调整。再说一遍，我说的是与你所依赖的其他组织之间的联系。这也可能是我们进行尽职调查的方式。驾驭共同的挑战，真正为你的计划带来责任感、可审计性，最重要的是，带来可信度。这将是上层管理者能够看到的你帽子上的羽毛。这是重新调整尽职调查的绝佳机会。我们需要改变什么吗？我们是否应该在尽职调查中开始考虑即将到来的 PCI？也许我们要重新调整使用持续监控工具的方式。也许我们要重新调整关键供应商和高风险供应商的工作方式。也许我们会重新校准，然后说，你知道吗？我们不需要为我们的低风险供应商考虑所有这些控制措施。因此，这是一个绝佳的机会，因为这也将有助于您的入职流程。你们要继续提供见解，提高采购流程的效率。同样，通过这段时间的交流，这些对话和关系将能真正推动这一目标的实现。最后，安排与这些组织机构的利益相关者会议。成为分析中心。把自己看成一个内部 ISAC 信息共享和分析中心，你可以坐下来说："嘿，采购部门，这是我看到的。嘿，安全部，这是我看到的情况，等等"。然后请他们给你提供一些指标。

我们是否与供应商入职服务水平协议保持一致？可能会有业务部门坐在那里说，你知道吗？这需要 45 到 50 天的时间，这真的拖慢了我们的进度。那么，你们的服务水平协议是什么？如果您的服务水平协议规定为 30 天，而您却无法实现，那么这就是一个很好的方法，您可以通过与利益相关者合作来解决这个问题，比如说："是我们的问题还是 30 天的预期太激进了？也许应该是 45 天。也许你需要回去提醒项目管理办公室和其他组织。这就是预期。由于人员配备、技术等方面的原因，我们必须重新调整"。所以，我已经提供了很多信息。我知道我们有一些问题。我看到这里亮起来了。所以，我很高兴我们有机会快速完成这个任务，然后我将把这个任务交给 Prevalent 公司的斯科特，让他对 Prevalence 提供更多的见解。梅丽莎，有什么我们可以谈谈的吗？

梅丽莎：嗯，我会继续鼓励大家在问答框里提出一些问题。我知道我们已经在聊天中讨论过了，但还是把它们扔进去吧。不要害羞。你可以随时匿名向他提问。斯科特是我们的产品营销副总裁。他会说几句话，然后我会转给你，斯科特。所以，别再分享了斯科特可以分享他的屏幕，嗯，我们会继续前进。

好吧，我就说到这里。

梅丽莎，我们是现在就进行问答，还是等到斯科特做完之后？

Melissa:我等着大家提出更多的问题。很公平。谢谢。

斯科特：真棒。快速检查。你们可以看到我的幻灯片。好吗，汤姆？

汤姆-格鲁巴是的

斯科特：真棒。Very good.酷。各位，非常感谢大家抽出时间参加今天的网络研讨会。我认为汤姆总是能很好地提炼出一些最重要的东西，让我们在第三方生命周期的一些最重要的阶段去思考。这些考虑因素、这些风险类型、这些任务，你知道，不管是什么，很多时候都会被忽视，因为你知道我们很匆忙。我们有大量的事情要处理，而且我们知道，事情的另一端总会有一些后果。我想简单介绍一下我们的方法，以帮助解决这些挑战。首先，我们对第三方风险的看法，以及我们试图帮助你们实现的目标，实际上有三个方面。首先是帮助你们获得数据，以便做出更好的决策，特别是在入职和离职方面。要知道，我们看到很多公司都在使用网络监控工具，以便在做出采购、选择或入职决定之前，获得网络健康状况的评分。我们看到有人会查看 D&B 财务报告，或在 Lexus Nexus 上搜索最近的新闻报道或制裁问题或类似问题。要知道，这种各自为政的做法会让事情变得有些缓慢。我们的看法是，尝试将大量情报整合到一个地方，这样你就可以将可视性扩展到所有不同类型的风险领域，呃，呃，你知道整个企业的不同利益相关者。这样，你们就可以在同一个地方唱歌，或者，或者查看同一级别的数据，获得更好的数据，从而更一致地做出更好的决策。其次，这与我之前的观点不谋而合，你知道效率往往是第三方风险计划长期成功的最大障碍。不管是因为供应商数量太多，你必须进行评估，还是因为缺乏资源来帮助你完成这项工作，又或者是你还停留在手工操作的阶段，你知道，每个人都希望从第三方风险工作中获得一点好处。安全团队需要了解安全控制。采购部门需要了解这些控制措施是否可行并持续关注。你知道，合规部门需要知道他们是否受到了制裁或违规，等等。如果你试图通过一套互不关联的工具或流程、手动方法或孤岛来实现这一点。我的意思是，这样不好。我知道很多组织的现实情况就是这样，我也理解，但你知道这是弄巧成拙。第三，这也是前两点的延伸。如果你能通过自动化和智能化利用现有的资源做更多的事情，你就能获得良好的数据，从而做出正确的决策。这就是我们要帮助你实现的目标。好的数据能更有效地帮助你成长、扩展和发展你的项目。实际上，我们是从生命周期的角度来看待第三方风险管理的。要知道，汤姆今天所谈到的一切，都是在这个旭日图的左手边，如果你愿意的话，还有右手边，对吗？我们看到，企业在入职方面所面临的问题是，对于我在上一张幻灯片中提到的所有数据，没有一个真正的真实来源。你知道，数据风险流程各自为政，没有统一到一个特定的地方。从 RFX 到合同签订，再到供应商入职，所有这些如果发生在不同的地点，那么你就有可能无法实现你的目标。我的耳机告诉我，我的电池快用完了。所以，今天就是这样的一天。现在才 12 点半呃，所以我打算加快速度看完接下来的几张幻灯片。你知道，我们在这些桶中处理整个生命周期中不同类型的风险，可以通过整合这些信息来帮助你