如何调整采购与第三方风险，实现成功的供应商管理

主持人/主持人：各位今天在此相聚，是因为Prevalent公司为我们带来了一位杰出的演讲嘉宾及精彩的主题分享。我们将探讨如何将第三方风险管理与采购团队的工作相融合。我必须强调，这是当下最受关注的议题。 无论是可持续发展、ESG、多元化、公平性还是包容性议题，每当涉及这些讨论时，第三方风险管理必然成为核心议题。现在请允许我介绍嘉宾并请他入镜。首先登场的是布莱恩·利特尔费尔——剑桥网络顾问公司（简称CCA）的创始人兼首席执行官。他拥有25年信息安全与网络安全团队领导经验。 他专精于为全球顶尖企业的高管团队及董事会提供安全战略咨询，同时为首席信息安全官群体提供安全顾问指导与专业辅导。我对此深感振奋。他在信息安全领域持有数项专利，并常受邀担任安全会议主题演讲嘉宾。今日与他同席的是艾利斯特·帕尔。艾利斯特今日不会出镜。 艾利斯特将成为幕后神秘声音，负责确保市场需求被纳入考量，并在现有产品组合中实现创新应用。他此前在3GRC担任联合创始人，主导产品与服务体系的构建工作。其职业生涯中拥有12年产品管理、咨询及运营交付经验。 早年他曾担任全球托管服务提供商IntelliScure的运营总监，负责为客户监督高效的数据保护与风险管理项目。看吧，我不是说过今天能请到两位最出色的高管吗？布莱恩，欢迎亮相荧幕；阿利斯泰尔，欢迎通过声音参与。

布莱恩·利特尔费尔：非常感谢。阿利斯泰尔·帕尔：谢谢你，道恩。你好，布莱恩。

布莱恩·利特尔费尔：嘿，阿利斯泰尔。好的，大家好。我已做过自我介绍，我是布莱恩·利特尔费尔。很高兴能与各位共度这段时光。我和阿利斯泰尔都是从大西洋彼岸连线参与的——我们俩都来自英国。 我曾担任多家大型跨国企业的高级安全主管。无论是任职期间还是如今的咨询工作中，我经常观察到安全团队与采购职能之间仍存在隔阂。今天我将重点探讨如何弥合这种隔阂，并阐述其中益处，而艾利斯将结合他的经验进行补充说明。 接下来请看下一张幻灯片，我们先设定背景——这点至关重要。 我们无法回避当前的新冠疫情，这场疫情彻底改变了首席信息安全官的工作格局。虽然大流行流感政策历来是其政策体系的重要组成部分，但无人预料到这些政策会被启用——即便启用，它们也仅设计用于短期应对，远非当前这场漫长战役所需。 因此他们不得不紧急调整数据流转机制，将原计划仅维持数周的临时风险容忍度延长至半年、一年甚至十八个月——部分措施甚至可能永久化。 政策与标准——这些通常是安全团队的生命线，它们规定了业务部门如何运作才能保持安全。然而在我们所处的环境中，许多政策标准已不再适用。因此，安全职能部门的世界几乎被彻底颠覆。企业必须做出反应，为了生存而做出反应。

布莱恩·利特尔费尔：嗯，有些公司做得相当出色，至今仍保持着优势；但另一些公司则未能及时转型，这严重影响了他们的业务。如今我们看到的是，某些临时措施正在走向工业化——这些曾被迫实施的临时方案，如今不得不成为永久性制度。 在进入本次会议前，我们刚在全体会议室讨论过：有些组织在员工办公地点上采取高度灵活的战略，另一些则要求员工返岗。安全职能部门的职责正是将这些不同的工作模式与安排有机整合，提供某种形式的安全工作环境。但我认为采购职能与安全职能仍存在紧密关联，能有效推动这一进程。 而新冠疫情更催生了另一种动态。我们目睹了全球范围内各类规模组织面临的安全压力空前攀升。无论您身处美国还是英国，无论是美国国家安全局还是英国国家网络安全中心，这些机构都在向企业及商业伙伴发出警示："我们正遭受攻击。 你们同样遭受攻击，必须加固防御体系。"而供应链正是最可行的攻击路径之一。大型跨国企业可能管理着2000、3000甚至5000家供应商，其中部分供应商可能通过受信任员工永久接入企业网络。 因此，当黑客或攻击者试图渗透时，虽然可以直接攻击母公司，但通过其供应链——特别是那些母公司信任却未投入同等安全资源的小型合作企业——往往能更轻松地实现入侵。正因如此，某些组织因高度互联的特性而成为攻击目标。 我们的威胁情报系统已清晰捕捉到这一趋势。

布莱恩·利特尔费尔：因此，当我们将这两件事结合起来——新冠疫情大流行以及我们所目睹的史无前例的攻击浪潮——这简直就是一场完美风暴。巨大的变革、巨大的颠覆，再加上来自四面八方的攻击，我们实在无法忽视这一切。 我们必须统筹变革进程，具备灵活应对的能力。实际上，我们需要供应链方提升安全管控水平，实施与母公司同等标准的安全措施——这正是我预见未来将发生的核心变革。 接下来请看下一张幻灯片。基于上述背景，我们不难理解企业为何对供应链风险忧心忡忡——这也是我与企业最常探讨的话题，因为这种风险极难管控。你需要评估数以千计供应商的安全状况，并思考：若其出现问题，将如何波及你？ 当供应商遭遇安全挑战时，作为母公司，你们将承受怎样的下游影响？能否继续向客户交付产品与服务？这远不止单纯的第三方风险——根据行业特性，还涉及第四方、第五方等更深层关联。我们常称之为第三方风险，但众所周知，部分供应商会将我们委托的工作转包出去。 因此风险正层层渗透，形成日益复杂的态势。我们亟需掌握前瞻性策略，运用创新工具与能力处理海量数据，清晰呈现风险暴露状况。监管机构与政府部门已密切关注事态发展，注意到安全事件频发，目睹大小企业纷纷因供应链问题遭受损害。

布莱恩·利特尔费尔：他们实际上开始严格监管，明确提出期望值和具体要求，对企业必须建立的机制做出详细规定，以便有效管控供应链风险。 但若你所在行业不受严格监管——比如医疗或金融领域，监管机构会施加巨大压力，你反而能将此作为绝佳杠杆工具来推行此类计划。那么当你身处普通职能部门，不受监管机构强制要求，却仍需执行时该怎么办？毕竟这必然涉及成本。 实施难度取决于组织架构复杂度，但归根结底是践行正确之事。客户将数据托付于你，而数据正是所有攻击的目标。因此企业有责任尽其所能保护数据，这意味着也要保护供应链。不过许多公司长期以来都在管理第三方风险。 采购环节始终承担着相关职责，这正是我们后续讨论的重点。如何调动各位与会者掌握的采购专业知识？如何将其融入安全议题？各位需要将这些理念传达给安全团队： "我们进行了极具价值的对话，发现双方存在诸多共同利益，应当加强协作。若能实现这一目标，必将创造更大价值。" 我认为极少有组织能断言其供应链零风险。无论采用何种工具或流程，未知风险始终存在，意外总可能发生。因此我们无法完全掌控未来，但能显著降低风险暴露程度。

布莱恩·利特尔费尔：我们需要做的是摆脱对微软Excel的依赖。这并非针对微软的批评——Excel本身是个优秀的平台，也是强大的工具，但它不适用于第三方风险管理。我屡屡目睹企业制作巨型电子表格的现象，而Excel既无法完成深度分析，也无法融入当下至关重要的威胁视角。 它天生就不适合管理第三方风险。因此，若贵机构仍在使用Excel处理此类事务，我们希望能向您展示：存在更优的解决方案来应对这一挑战。Alistister，关于这张幻灯片还有补充吗？

主持人/主持人：布莱恩，我们刚刚启动了投票。各位请看前屏显示的问题："您是否计划在未来数月内扩充或建立第三方风险管理项目？是/否/不确定"。 请点击其中一项并提交，让我们了解各位中已有计划、正在考虑计划，或认为这并非重大风险领域的比例。 结果往往出人意料。不过布莱恩，你关于掌握第三方、第四方乃至第五方供应商信息的观点完全正确。昨天我参加的首席合规官会议上，约35位合规负责人竟无法识别其第四层供应商。

布莱恩·利特尔费尔：是的。主持人/主持人：而供应商们不愿透露他们的供应商信息。这便形成了巨大的信息缺口和风险隐患。因此数据一经出炉，我们会立即填充这些信息供大家查阅。随后我将暂时退场，把话筒交还给你，布莱恩。阿利斯泰尔·帕尔：很好。 谢谢你，D。我们稍后会回到这个话题。布莱恩，这很有意思，因为我们也观察到类似现象。随着新冠疫情的爆发——我们理解过去18个月左右它对所有人造成了影响——供应链韧性在整体上受到了极大重视。 这让许多我们接触过的企业高管产生了虚假的安全感——他们以为采购部门或下游信息系统能有效管控第三方供应链。但现实是，正如你所强调的，韧性只是整体图景中的微小环节。 尽管我们理解企业在新冠疫情及灾难恢复方面存在一定程度的韧性，但这并未触及你所暗示和提及的更广泛要素——例如信息集组件、可用于揭示缺口和背景信息的补充数据等。 相较于当前聚焦的韧性议题，这些要素大多被置于次要地位。而企业安全运营系统（CESOS）在假定第三方程序足够稳健成熟的前提下运行——它们虽能获取海量数据，却未能真实反映风险态势。为此我们强烈建议：在制定第三方程序时，务必超越当前热门话题"韧性"的范畴，全面考量所有组成要素。

布莱恩·利特尔费尔：很好。谢谢阿利斯泰尔。接下来这张幻灯片展示的情况在我接触的客户中相当普遍——我经常观察到第三方风险团队和采购团队各自运行着独立且截然不同的流程。 这种做法或许合理，我绝非主张所有环节都必须使用相同平台和工具——毕竟安全团队使用的工具采购团队未必需要，反之亦然。 但这两个流程由不同团队运作，自然使用不同工具、执行不同流程。它们为供应商管理链条提供了不同的风险视角。而这正是我所关注的问题——供应商风险状况向母公司传递的信息必须保持一致。采购团队和安全团队对供应商的分析结果，最终应汇聚成统一的数据集。 绝不能出现这样的情况：安全团队认为供应商X存在固有风险，而采购团队却认为其风险可控——这不仅会混淆内部利益相关方，更会让供应商陷入困惑。试想采购团队表示"合作没问题"，安全团队却暗自担忧"这个供应商存在隐患"。 于是同一家公司可能通过两条不同路径接触同一供应商，却始终互不相识。这听起来或许晦涩，你可能认为这种情况不会发生。 但我见识过太多类似案例。因此我主张建立统一的供应商评估体系——无论是第三方供应商，还是今天讨论的第四、第五层供应商。在当前组织面临资源与预算双重挑战的背景下，这对采购团队和安全团队都至关重要。重复投入资源毫无意义。 关键在于如何整合并调动组织内部更广泛的经验资源——毕竟我们追求的目标一致，对吧？我们需要评估供应商对我们的风险程度，更深入地了解供应商，判断他们是否可能出现问题，其安全能力是强是弱。 我认为这才是根本所在。如果必须使用特定供应商（因其专业性），但一旦出问题，你将如何建立业务连续性机制？是切换到其他供应商，还是为母公司接收的服务建立备份？ 这些都是至关重要的问题。我认为安全团队、采购团队必须共同关注，大型组织还需纳入风险团队。关键在于整合各方视角，形成统一的前瞻性认知。 Alistister，请切换到下一张幻灯片。我将就此展开讨论，并分享我观察到的趋势：在受监管行业的大型企业中，这种趋势已然显现；而未受监管的大型企业——根据我服务客户群体的经验——在风险管理理念上稍显滞后，正努力迎头赶上。 我注意到，那些致力于实现高效、整体风险管理的机构， 这些企业已意识到，组织内部存在多个团队能为构建统一视图贡献力量。我向客户强调的核心观点是：必须与采购团队达成协同，明确两者间存在的共同目标，为内部决策提供统一的供应商视图——毕竟我们不希望供应链中出现信息割裂的混乱局面。 这显然能支持内部决策——无论是评估供应商去留、业务增减等事项，都基于统一的风险立场而非分散的数据集。Alistister，您对此有何补充？

阿利斯泰尔·帕尔：是的，布莱恩。 不，这很有意思。所以，我们经常看到这种分歧的根源在于：虽然各团队处理的数据类型高度相似，但他们对数据集所需的细节程度却各不相同。采购团队更关注合规性方面——当然包括ESG、反贿赂、反腐败、现代奴役等问题。 而安全团队则自然深入挖掘网络态势等信息。虽然他们仍从相同数据源获取信息，但各自工作流所需的细节程度存在差异，这正是我们观察到的差异现象的关键驱动因素。 但我们发现一种行之有效的方法——这恰恰呼应了您提到的共同目标与协同机制——即构建集中化数据集的同时，为各团队提供精准获取所需细节的途径与机制，使其能高效驱动业务职能。 这样他们就不会感觉像是在盲目摸索，试图推断所需信息——这确实是一门艺术。当前许多人正试图解决的问题正是：在集中数据集的同时，确保人们能从集中数据集中提取恰当层级的细节。这确实很有意思。

布莱恩·利特尔费尔：很好。不，我完全同意。好的，我想和大家分享一张幻灯片——你们知道这是我向安全专业人士展示的内容，以此让你们了解我向首席安全官传达的信息。 要知道，我有幸指导过不少首席信息安全官，也常在各类安全会议上发表演讲。我总会刻意引发一些争议，挑战现状，以此推动变革落地——毕竟从安全角度看，许多领域都远未达到应有水平。 希望各位能领会我的核心观点。若聚焦当前主要目标，采购部门与安全团队理应成为新的最佳合作伙伴。 在典型跨国企业中，采购职能的目标与安全职能高度契合。从实际行动和推动方向就能看出——比如采购部门追求高效，冗长流程会扼杀业务敏捷性。 第三方风险管理本不该是决策耗时过长的领域，但现实中许多企业对此却设置了庞大流程。获取特定供应商风险信息往往极其缓慢，更常见的是交易和工作流在风险评估完成前就已启动。

布莱恩·利特尔费尔：实际上，我们正在接纳一家供应商，却对其可能带来的风险一无所知。我们看到某些机构耗费90、100甚至120天来完成对特定供应商的决策流程——这确实取决于贵公司在该领域的成熟度水平。正如我之前所说，无论是运行基于Excel问卷的流程，还是已投资高效工具，我显然都得在此大力推荐Prevant平台，因为它确实是卓越的解决方案。但关键在于能否实现近乎实时的数据处理，并真正实现预填充功能。采用基于Excel问卷的流程，还是已投资于专业工具——显然我得在此推荐Prevalent平台，它不仅能近乎实时地预填充问卷所需信息，更能引入安全专家的开放式情报网络。当供应商出现重大问题时，您不仅能同步获取新闻动态，更能即时评估其影响范围。安全专家关注的威胁情报视角——当供应商出现重大问题时，系统会即时触发警报，使您能在新闻报道前就掌握影响范围。基于Excel的流程根本无法实现这点。因此我们需要从传统冗长的采购流程转型为基于云的近实时系统，快速获取供应商信息。 作为安全专业人员，我们绝不希望拖慢采购团队的步伐。我们不愿阻碍流程推进，反而高度关注效率。采购方自然希望尽快达成交易，而我们则致力于分析交易风险，并提供支持决策的数据支持，助您以最快速度获取关键信息。 至于财务治理，采购人员希望将支出集中于尽可能少的供应商——这显然能形成规模优势。当采购方成为供应商眼中的大客户时，便能根据企业规模影响其产品方向。因此核心在于将支出集中于少数领域。安全人员对此自然乐见其成，毕竟复杂性是安全的天敌。

布莱恩·利特尔费尔：如果系统足够简单，参与环节尽可能精简，我们就能围绕其设计安全防护模型。但若涉及数千家供应商，且层层分包形成极其复杂的生态，就能理解在该领域评估风险是何等艰巨的挑战。 因此，供应商整合与贯穿全局的财务治理，是我们共同的重要驱动力和目标。此外还有全球覆盖问题——从覆盖范围和地域角度看，供应商的差异性始终存在。我观察到大型跨国企业常面临的挑战是：某个供应商对英国业务而言可能是小角色，却可能是印度业务的巨头。若使用基于Excel的流程，要建立这种关联并真正理解——某供应商对我们而言可能微不足道，但必须意识到其对印度业务至关重要——同时确保对其进行恰当的评估和风险管控，这正是我们追求全球化运作的核心诉求。安全团队需要掌握每个供应商的详细信息。 他们不愿留下任何漏洞，需要彻底剖析每个供应商——从为大型数据中心供货的企业，到为洗手间提供卫生纸的供应商。虽然我们不会为每个供应商投入同等精力（因其风险特征各异），但必须全面掌握所有供应商信息。因此我们共享这一核心目标：建立全球化管理框架。 我们必须掌握这些信息。这是我们凝聚共识的另一关键要素。 此外还有知识共享环节。对安全专业人员而言，"共享"是个充满挑战的词汇——毕竟我们总认为自己处理的是高度机密事务，不宜外传。我认为我们在共享领域起步较晚，但采购专业人士显然比安全团队更早涉足此道，与供应商的合作历史也更为悠久。

布莱恩·利特尔费尔：各位同仁掌握着大量宝贵的知识，完全可以与安全团队的同事们分享。你们拥有这些洞见，也建立了稳固的兴趣社群——比如SIG（特别兴趣小组），通过知识共享、协作交流、最佳实践分享等途径获取的这些知识，对整个安全团队而言都极具价值。我还想强调风险降低的重要性。显然，我将安全视为风险管理。 你们完全可以被称为首席风险官，事实上我们正见证大量趋势：安全团队向首席风险官及风险职能部门汇报。安全工作的核心就是风险管理。你们面前是一座跷跷板，根据所采用的控制措施、技术或人员配置，可以选择向左或向右倾斜，但最终目标始终是站在风险讨论的正确一侧。 采购部门的存在意义远不止于压低价格。老话常说：贪便宜吃大亏。风险管理对实现目标同样至关重要。因此我们需要就风险结果达成共识——你们在风险管理方面的具体目标是什么？ 以下是我们风险管理的核心目标：将这些权衡纳入招标流程等环节，从供应商处获取反馈视角，再将其注入企业风险管理渠道，从而对实际合作的供应商形成更全面的认知。最终归结为质量流程与规范体系的建立。 我所见过的所有大型组织采购职能都管理得非常严谨。采购部门内部责任明确，权责分明。通常全球采购支出都集中在其管辖之下。因此，作为安全专业人员，将我们的安全要求映射到该流程中是非常有益的。嗯，你们管理得非常严谨。

布莱恩·利特尔费尔：要知道，你们遵循的流程和程序，以及对合作供应商的期望——最佳实践并非要求千头万绪的安全措施，而是建立基础层级的安全管控。我们要求供应商遵守这些标准，让他们明确知晓：本机构对安全问题持严肃态度。 若与我们合作，就意味着必须做好安全工作。供应商也意识到自身可能带来的风险，因此需要确保采取正确措施。我认为这种协作不仅对安全至关重要，对采购环节同样意义重大。 我认为，当首席采购官、首席安全官及其团队成员，以及实际执行日常工作的基层人员能够认识到这种协同效应并加强协作时，将获得显著优势——这远超我日常所见的合作水平。还有补充吗？

阿利斯泰尔·帕尔：是的，我非常喜欢这张幻灯片。 布莱恩，谢谢。看到这张图时，我总会想到几点：采购部门拥有令人羡慕的谈判优势，通常能与供应商直接协商。而当信息安全团队在后期介入时，往往已是合同签订后的阶段——某种程度上属于事后补救，只能根据采购部门提供的第三方名单被动应对。 因此，在合同谈判与履约的前端阶段，与采购部门建立这种接触、互动和协同效应具有无可估量的价值。我们所见的所有优秀项目，不仅充分利用了你幻灯片中展示的所有要素，更关键的是在合同定义阶段就确保信息安全成为首要考量，将其作为谈判的核心合同义务——这点极其重要。另外...

布莱恩·利特尔费尔：抱歉。阿利斯泰尔·帕尔：不。布莱恩·利特尔费尔：我正想说关于合同条款的问题，你知道很多组织目前尚未纳入相关条款，他们显然正试图在现有合同中追加这些内容。虽然这并非世界末日，但必须考虑在与客户续约时将这些管控措施嵌入其中。可问题在于—— 遗憾的是，现存大量合同未内置安全要求，这确实构成当前风险隐患，对吧？

阿利斯泰尔·帕尔：完全正确。另外我想补充的是背景信息——这张幻灯片确实也触及了这个点——通过采购流程所能获取的背景信息至关重要。理解为何选用某家供应商、其优势何在，正如您强调的，我们采购这些供应商是针对特定区域（如印度、亚太地区等）。 这些信息都极具价值，能有效推动下游风险的语境化解读。因此确保前期能完整捕捉这些信息，正是这种协同效应中极具价值的工具。

Brian Littlefair: Yeah. Yeah. Okay. So moving on to the next slide. Let me let me talk about three of the common mistakes that I see materializing in in reality. And you know I’ve got a slide on each of these. So I’m just going to you know highlight them and then we’ll kind of move on. But the first one is what I call the security silo. And you know security teams need the procurement teams and other teams within organization to to break out of this silo. You know, I I don’t support the security silo at all. If your security team is sitting behind speed gates or, you know, big glass windows and they’re not contactable or approachable by the broader organization, that is absolutely the wrong thing to be doing. You know, the security teams need to be outside of the sub gates and need to be embedded into the broader functions. And we’ll talk about that in in a little minute. And then there’s the, you know, the not invented here approach, you know, security didn’t think about it. It’s not the right thing to do. So, I do see this presenting a lot and this is where I like to challenge security teams and be a little bit provocative as well. You know, they’re not tapping into and leveraging that broader talent like procurement that exists in the broader area of the business. But that that is to detriment of the company and that needs to be resolved as well. And then there’s you know using security reasons for keeping other relevant stakeholders off security tools and you know there are some fairly sensitive security tools. You know there’s tools that can read everyone’s email if you’ve got the right access and permissions to do it. So, you can’t share all of the security tools, but you know, third party risk is something that should be shared around the organization and we the security teams need to get comfortable with with doing that as well. So, let’s spend a little bit of time on these points. Uh so, if you move on to the next slide, um I personally think the power of an effective third party risk program is is knowledge sharing and dissemination out into the business. business and you know there’s there’s two things I advocate for this there’s the third party risk and then there’s the threat intelligence you know if you’ve got the these really enriched data sets and really important to the broader business but they’re kept within a single team you know the value is is really eroded you know it’s not like it’s if you think about some of these organizations that have been hacked they’ve had the right security tool in place and all of the lights and bells might be going off but if there’s no one actually there to to drive that information into the organization then there’s going to be problems. So this information is gleaned, it’s analyzed, it’s segmented, it’s categorized, you know, it’s related back to the business. So it needs to be shared. So I am a huge advocate of of embedding security into the business and you know third party risk is a great examplar process to actually achieve this working with procurement and working with others whether it’s the risk function or or the broader business and in actually embedding your team into their facility. So you know procurement sometimes certainly in Europe might be centralized in in some countries that have a lower tax bracket for example. So you might find that your entire procurement function is in Ireland or your entire procurement function is in Luxembourg regardless of where you are and and actually there’s a fair few US companies based there as well. It’s not just us Europeans that do that. But what that actually means is you might have a procurement function that’s separate to the mothership and you know you’ve still got to tap into that. It’s it’s no use just communicating over email and trying to forge relationships over video conference etc. So I see the more mature approach is is recognizing that the business has made a decision to base the the main body of its procurement function in that in that area or even in the US you know it might be in a different state or it might be somewhere else etc. But then the security team needs to base people with those people you know if we’re talking about collaboration if we’re talking about sharing if we’re talking about objectives. Then when the security team is recruiting, it needs to recognize that some of its team that are specializing in this area needs to be colllocated wherever the the you know the procurement function is. So it’s about knocking down the walls whether physical or virtual that exist between the teams and actually linking them together in the same location so that they can build those interpersonal relationships. They can share the information that is you know vital between the two areas and actually start to build a common objective. pool going forward. So, you know, break down the silo, integrate, and embed. That’s certainly what I’m saying. Alistister, anything to to add on that one?

阿利斯泰尔·帕尔：不，我认为这完全正确。谢谢。布莱恩·利特尔费尔：好。那么进入下一个问题。这个我特别喜欢。安全团队必须认识到，他们只是风险与治理这幅宏大拼图中的一环。安全团队常常自以为是核心所在，认为自己掌握着完整的风险视角和全局风险图景。 这种认知完全错误。只需看看企业最高层的风险登记册——通常列有10到12项足以颠覆公司的战略风险，具体内容因行业领域而异。登记册上可能出现两三项安全相关风险，但绝非全部。 风险管理远超安全团队的范畴。在典型组织架构中，存在着其他至关重要的角色。若我们未能调动这些专业力量，未能借力其知识储备，那么在我看来，我们根本无法实现风险管理的全局视野——而这正是我们共同追求的目标。协作的力量、知识共享的力量远非内部协作工具所能承载——仅靠LinkedIn、Zoom或任何内部协作工具都无法实现。关键在于将这些关系制度化，将共同方法论制度化，并将其真正嵌入业务流程，这正是我始终追求的目标。 当我担任全球首席信息安全官时，曾与采购团队的对口负责人深入探讨。我们发现双方职责存在显著重叠——采购团队其实能极大减轻CISO的工作负担。 正如我们刚才讨论的，采购流程中可以设置强制性阶段门控，要求通过安全审批才能推进。因为安全团队能协助反洗钱工作，能查明公司实际所有者身份，开展尽职调查和收购审查——这些都是我们可协作推进的领域。 但从供应商角度看，关键在于快速完成风险评估与决策。 我们双方都认同这个共同目标。因此我的核心观点是：必须识别各自业务中所有能协同采购与安全流程的环节，使双方努力推进的流程尽可能快速、简洁、高效。唯有如此，才能将所有风险视角的拼图碎片整合，在组织层面完成完整的风险管控图景。

布莱恩·利特尔费尔：好的，艾利斯泰尔。如果你继续推进，就能实现单一视窗。我称之为圣杯。 从组织角度看，这是许多人追求却鲜少实现的目标。我目睹大量新工具涌入企业，却鲜少看到旧工具退出。最终我们只是在增加复杂性。我认为采购、风险与安全职能必须协同合作，共同制定实现单一视窗的方案——它能让我们聚焦于实现共同战略目标，为供应商建立统一的风险视角。这完全可行，其效益显而易见——我见过成功案例，也见过失败案例。但企业需要这两个团队提供明确的指导方针，界定可合作与不可合作对象。安全团队是关键参与者之一。 采购同样是核心角色，但还需其他部门协同参与。我认为这种共享知识库——若你愿意称之为数据湖（IT领域常讨论数据湖概念）——本质上是知识湖（无论你们内部如何称呼或使用缩写），这正是我们努力实现的目标。挑战在于：现有工具可能存在割裂——安全工具无法满足采购团队的所有需求，采购技术也无法满足安全团队的所有目标。但正如我之前所说，底层风险数据作为商业决策平台的核心支撑，我们必须建立统一的视角和共同的认知框架。这正是许多组织缺失的关键环节。相信在座诸位若审视自身企业，从采购视角反思：我们是否与安全部门对单个供应商的风险认知完全一致？部分企业或许已达成共识，部分则尚未实现。但尚未达成的企业需要开始转型，理解如何真正实现这种协同。接下来我们看下一张幻灯片，在指标和报告方面达成一致始终至关重要。这是我们向整个企业及相关利益相关者传递知识、建立沟通的途径。 我称之为"有意义的指标"，它们在此环节至关重要。虽然我对采购职能产生的各类指标了解有限，但安全部门确实有其独特方法来生成极其复杂的技术指标。 几乎需要具备安全专业背景才能解读这些指标：数值上升或下降的含义、左右波动的意义、绿色状态代表好坏等。因此我们必须简化传递给业务部门的信息复杂度。 我认为采购与第三方风险管理团队的核心工作，归根结底都是供应商绩效管理和风险降低——这正是下一张幻灯片要探讨的。这些本质上都是单一指标：虽然背后支撑着海量数据，但传递给业务部门的却是清晰直观的指标，让人一目了然地判断是否存在问题。是否存在问题，并可能需要深入挖掘。但关键在于如何从指标角度简化并明确传达信息。我认为我们应协同合作，尽可能通过统一工具（如Prevant）来聚焦于提供高层次洞察——这类工具能有效辅助数据分析与处理，清晰呈现供应商威胁态势已发生变化，需要重点关注——而Excel表格根本无法实现这种分析，这点至关重要。Alistair，关于指标部分还有补充吗？

阿利斯泰尔·帕尔：是的，这确实很有意思。它与你之前的一些观察相呼应——这些指标面临的挑战在于，我们试图在海量第三方数据中获取高质量数据，而这非常困难。要知道，采购团队或信息集团队的人手并不充足，因此要实现高质量的海量数据，必须依靠情境化且比例适中的风险管理，确保供应链覆盖面既广且深。 这确实是个棘手问题。 因此我始终认为，当人们泛泛讨论指标体系和报告机制时，以及所谓"单一视窗"的概念——除非具备你早先提到的这种统一视窗，并实现采购与信息团队的真正协同，才能获得完整的事实依据来做出决策，进而有效降低风险。

Brian Littlefair: Yeah, it’s very interesting. Brian Littlefair: I completely agree. So like as you just said reduce risk. So you know the next slide you know it’s all about reducing risk. I mean that’s fundamentally what you know I think security teams and procurement team shares you know you’re trying to derisk the supply chain we’re trying to derisk the supply chain. The you know some of the metrics and drivers and tools that we use in terms of you’re trying to leverage costs we’re trying to leverage security. So we recognize that There are differences but reducing risk is obviously the priority that we share between the two teams and and risk is the universal business language across all the departments. You know risk exists in HR, sales, finance at some level we’re all accountable for managing risk. So in this context of you know third party risk and procurement some of the key areas I’ve kind of pulled out that we should focus on and mapped out on this slide and I’m not going to go through all of them because there’s a lot of them but you know I’ll highlight a few. So mapping the global supply chain. I can’t emphasize this enough. We’ve discussed on it a little bit. But as a procurement function, I imagine you share the view of a security professional that is, you know, you want to understand where every dollar, every pound, every euro from your organization is being spent and whether you’re getting maximum benefit from that cost. I.e. do you centralize that cost down on a on a few suppliers to get that better leverage. From a security perspective, it’s really critical that we know every single supplier that you know, connected to our company from a financial perspective, a logical perspective or a physical perspective. Have they got staff coming into our our premises, etc. You know, a security professional needs to know all of that things to discharge their accountability and and fundamentally to do their job well. So, we need to know about everyone. That’s really, really important. It needs to be ongoing and it needs to be real time. And you know, that real time perspective is where organizations struggle. And I imagine if Some of you on the call went back to your companies and said, “Look, if we pick a particular supplier and we focus on them, you know, how near real time are we on changes, fundamental changes within their organization that might impact the security or the relationship with us?” You know, do we find out about it quickly? Do we find out about it in, you know, a monthly touch point? Do we find out about it at a quarterly business review? Do we find out about it every six months? Do we find out about it annually? And obviously that’s going to change depending on the importance of that supplier to you because you can’t sit down with every supplier every month. So it depends on the criticality of that organization to you. But the game changer are tools like prevalent that you know already have this information mapped within their platform. They can present that back to you. You don’t have to go and hunt it. You don’t have to come and find it. It comes through as alert to the right people within the right teams and actually saying, “Hey, something’s shifted. You need to take a look at this and understand the potential impact on on you and your organization going forward. And I think that’s that is the drastic shift from security teams and procurement teams having to go out to factf find to the facts coming in to you and your organization. So that time lag and that delay is drastically reduced. The risk window is reduced. So you know moving your processes forward and maturing them as the organization matures in general but focusing on getting as near real time as possible so that we both functions and teams have that near a real-time view of the risk going forward. So that’s really really important. We all need to be able to react to global events. You know, there’s been a few events recently which you know have really impacted some things. Think about the Suez Canal being blocked. Think about there was a shortage in in microchip supplies in coming out of China and and and Japan and Korea where typically they’re produced. There’s obviously been a large impact on suppliers in different geographies due to the COVID pandemic etc. So and certainly over in Europe we’re having issues in in in the UK at the moment with some of our typical products that we’d expect to see on our supermarket shelves like beer are noticeably absent because you know we haven’t got enough truck drivers because we’ve decided to reduce the number of people that can come into our country from Europe. So all of these things have an impact on some organizations depending on the sector that you’re in. But how effectively have they been planned out? How effectively have you, you know, worked through of how the likelihood of this occurring? ing and you know how do you mitigate that risk or deviate that risk how do you keep having those business continuity discussions so the focus in my opinion has to be even though I’ve mentioned it hundreds of times in this thing is is move away from supplier and move towards partner getting those strategic relationships in place with your key I’m going to say it again suppliers but you know getting into that you know we understand you you understand us you know you’re critically important to us we need to understand what’s going on within your business and anything that potentially might impact that. So, it’s getting that very close-knit community with your with your supply chain is the ultimate goal. And obviously in a large global organization, you can’t do that with all of your suppliers, but you certainly can with your strategic partners. Alistister, anything to add on that one?

阿利斯泰尔·帕尔：是的，你刚才提到的一点让我深有共鸣，那就是适度的风险管理与适度的支出本质上是紧密相连、相辅相成的。嗯，我们确实经常能看到这种关联，就拿集中风险这个例子来说。 从风险角度看，基于全球事件等因素，确实能预见潜在风险及其影响——这点至关重要。但同样重要的是，从支出与分析角度看，当存在集中度时，可能实现风险降低等效果。两者虽相辅相成，但在某些情境下未必能互补。因此，观察企业如何在"通过增加支出降低成本"与"抵消集中度风险"之间找到健康平衡点，始终是耐人寻味的课题。 这确实是个耐人寻味的话题。

Brian Littlefair: Good. So, I have a slide here that I just used to wrap up, but you know, I’ve I’ve I’ve summarized enough on the the last few slides, I think, and I want to move on to to Alistister to give you a quick overview of, you know, the the prevalent platform. So, Alistister, over to you. Alistair Parr: Thank you very much, Brian. So, we’ve obviously talked about a lot of interesting things today, and it’s been very insightful for me, Brian. Thank you for that. But the way prevalent approaches and addresses these particular issues is that we we understand that there needs to be this cohesion between the respective teams and that third party risk management is a broader life cycle. So as you see the very very start there where you’ve got the sourcing and selection process intaking on a boarding process where you have procurement driving some of these these actions and then starts feeding into the ongoing risk management lenses inherent risk management assessing remediate ongoing monitoring data over points in time conducting validation exercises uh and then through to broader performance management of third parties, measuring SLAs’s etc. and then finally offboarding at the end of contract term. There’s a full life cycle of third party risk management and broad broadly speaking third party management that has multiple parties with an invested sense of what they have to do. And the way that prevent likes to approach this is we tend to split it between people, technology and processes to help drive that moving forwards. So using the core technology itself, the prevent platform, the SAS platform itself, we can accelerate streamline, as you rightly highlighted, Brian, whether you have those efficiencies by leveraging and tapping into intelligence networks, whether that’s pre-completed assessments or broader monitoring feeds and data to help you select and source up front through to the detailed focused uh risk management platform where you can use some of this monitoring insights in conjunction with assessments to drive remediation, track and audit any validations that you’ve been doing, track SLAs, etc., and provide that single pane of glass and that really becomes the backbone of a good effective program having something that can support and facilitate that entire life cycle. Of course, people need support in order to do that in order to drive it whether it’s internally through your own teams or of course we can support you using our managed service teams. So that’s a case of collecting data on boarding conducting analysis driving risk remediation and doing validation exercises. There’s a host of teams available there who are doing it at scale. So dealing with vendors globally across the board and understanding the nuances and with those we can certainly offset and support you in driving some of the challenges that you face for even a subset of those areas. Now a good program we see obviously incorporates program management program design. So something that we’re strongly focused on is that professional services element to understand how mature is the program from a procurement lens from an infosc lens helping define and refine that building things like third party policies which is something that’s interestingly often overlooked and involves multiple parties procurement in legal etc in that workflow through to optimizing whatever’s in place uh and then driving success through that and making sure it’s a a truly cohesive program end to end. So when we actually look at that as in who’s actually getting some tangible benefits from this uh the life cycle itself has multiple participants as I said you know you’ve got the uh you’ve got the business itself you’ve got procurement you’ve got IT SEC uh risk vendor management legal compliance. There’s multiple teams who are have a vested interest in making this all work. And the workflow that we follow is focused on trying to provide benefits to each of those. So they have a vested interest in driving that program. It’s about offering them something of value so that they interact and then drive that process forward. And then finally, when we actually start looking at what the prevalent TPRM process is, it’s fundamentally smart, unified, and prescriptive. We try and prioritize risk in the right way. We try and make the information that we collect contextual and comprehensive enough so that each team has some advantage and value and then ultimately make it prescriptive so we could be consistent with our risk ratings. So we could be consistent with our remediation plans and our workflows. Uh the platform itself and the methodologies we follow means that we want to try and take the the quality that we’re building in these silos of teams making it a single pane of glass and making it repeatable. So as people move around and situations change we can be consistent in our tracking methodologies. So, we have a couple of minutes left, so we’ll just take a a few questions. If you do have any questions, please feel free to ask away in the Q&A section. Uh, but I do have one question that’s coming through and I’ll present it to you, Brian, if if I may. So, the first question I’ve got here is CPOS and CRO’s, how do we actually get them to talk to one another?

布莱恩·利特尔费尔：是啊，这问题挺奇怪的，对吧？毕竟大家总说要多交流、喝杯咖啡、打个电话之类的，但在大机构里这种事很少发生，而且频率远低于应有水平。 不过希望今天我能阐明：风险是共通语言，但双方团队其实有许多共同目标。我接触过的一些安全人员并未意识到这点——这种关联性对他们而言并不显而易见。 因此需要强调：我们拥有诸多共同点，共享大量目标，都在追求相同成果，应当展开对话。我见过不少组织在共同领域建立共享目标的模式——比如首席信息安全官与首席采购官确实存在共同目标。毕竟人们有时会因年终奖金或绩效考核而产生动力。 我个人不太赞同这种做法，因为我们都是成年人。我们应当认识到：为实现业务成效，我们需要协同合作，同时也要兼顾客户和供应商的利益。希望今天分享的这些思路能成为与安全部门开启对话的切入点，也希望他们能对此持开放态度。

主持人/主持人：是的。那么，布莱恩，接下来有一个问题。他们说："我们设有首席信息安全官（CISO）。 我们设有风险管理团队，但采购部门却被告知要负责第三方风险管控。这三个职能该如何协同运作？”布莱恩·利特尔费尔：确实，在很多企业里，第三方风险职能的具体归属其实并不关键，关键在于这个三角关系。 这三个角色始终存在。有些组织由CISO负责第三方风险，有些由首席采购官负责，还有些由首席风险官负责——我见过很多不同的组合模式，但这个三角关系始终不变，对吧？我在第二或第三张幻灯片里提到过：采购、安全和风险。 无论由谁主导项目实施，这些核心对话都必须开展。但从采购视角看，若你确实承担第三方风险管理职责，那么整合其他团队的知识储备就尤为关键——这能确保最终成果的有效性。

主持人：好的。现在我们还有时间回答一个简短问题。提问者问：您认为首席信息安全官（CISO）和首席风险官（CRO）是否比首席隐私官（CPO）面临更严格的绩效要求？这是否可能导致风险管理方保持距离且不愿合作？布莱恩·利特尔费尔：是的。 不，我认为某些组织确实可能存在这种情况，但关键在于打破这些壁垒。 记得我初任CISO时，办公室是间带玻璃隔墙的豪华大空间，业务经理被安排在门外办公，中间还设了安检门——只有安保团队能通行。人们只能通过工单系统、电话或邮件与我沟通。上任第一件事，我就拆除了安检门，让所有人走出隔间。 我始终是协作与希望的拥护者，如今看到安全从业者和整个行业正朝着这个方向转变，我深感欣慰。不过要知道，许多安全人员来自军队或警察系统这类背景。因此我的建议是：与他们共事，并帮助激发他们身上的这些特质。对吧？所以——

主持人/主持人：好的，时间到了，不过布莱恩，呃，我们收到一个请求——如果你能克隆自己就好了。我们希望有位克隆体能常驻此处随时待命。布莱恩·利特尔费尔：好的。没问题。很乐意效劳。主持人/主持人：那么艾利斯泰尔和布莱恩，我要感谢你们带来这场精彩的"能量小时"。 这个话题太棒了，我对你们优雅的手腕着迷不已。衷心感谢Prevalent邀请如此出色的演讲者并提供精彩内容，也感谢所有参与者。我们将发送今日研讨会的链接，内含全部幻灯片和录像，请在贵机构广泛分享。该资源还将存入SIG资源中心，未来两年内可随时调用。 各位随时可引导团队访问SIG资源中心下载重温。布莱恩，我知道此刻你们那边已很晚了，艾利斯特也是。祝你们晚安。其余各位，祝你们早安或午安。艾利斯特和布莱恩都是天才，这点也展现得淋漓尽致。现在正是你们去某处小酌放松的好时机。

布莱恩·利特尔费尔：我得去商店找一个。你知道的，供应链问题。不过话说回来，感谢各位拨冗参加，对吧？主持人/主持人：感谢大家。艾利斯泰尔，谢谢你。艾利斯泰尔·帕尔：谢谢。再见。拜拜。再见。再见。主持人/主持人：各位再见。