可持续的第三方风险管理 第 3 部分：分流、评估和监控

梅丽莎：好的，欢迎大家，欢迎各位。呃，周三快乐。很高兴看到大家陆续加入。嗯，趁着大家陆续进场，我先启动我们第一次投票。相信老手们应该见过这种形式。 我们想了解大家参加本次网络研讨会的动机：是出于学习目的？还是处于初创阶段？或是现有客户？请告诉我。这个投票将开放一两分钟，随后我将快速进行开场介绍。我们特别邀请到网络马拉松解决方案公司的创始人兼首席执行官鲍勃·威尔金森。鲍勃，请打个招呼。

鲍勃·威尔金森：你好，鲍勃。

梅丽莎：我们公司还有我们自己的斯科特·朗——他是普瑞维兰的产品营销副总裁，当然还有我本人。我是梅丽莎，负责业务拓展工作，通常会在本次网络研讨会结束后跟进各位的情况，之前可能也和部分参与者有过交流。所以你们或许听过我的声音，抱歉打扰了。此外，你们可能还收到过阿曼达、兰登或纳尔的联络。 请留意我们的后续联系。今天鲍勃将深入探讨第三部分主题——"分级评估与持续监控"。若您遗憾错过前两部分内容，我们可提供录播回放。温馨提示：我们当然尊重您的宝贵时间，请随时通过问答环节提出疑问。这些问题不会在聊天区被淹没，我保证。 请务必充分利用问答功能。本次会议同样会录制存档，稍后或明日即可发送至您的邮箱。最后提醒：当前所有参与者均处于静音状态，若需交流非问答内容请使用聊天功能。除此之外，我将暂停本次投票，接下来请鲍勃接手讲解。

鲍勃·威尔金森：非常感谢梅丽莎。好的，正如梅丽莎所说，这是关于构建可持续第三方风险管理计划的四部分系列讲座中的第三部分。今天我们将涵盖多个主题，包括我所说的供应链风险领域、风险分级、风险评估、持续监控，以及第三方风险管理计划的自动化检查清单。自动化是第三方风险管理计划成功的关键因素。 进入正题前，我们先探讨第三方供应商的关键性。请问您是否清楚哪些第三方及其延伸供应链与贵公司的核心业务服务和产品存在关联？接着我们将审视第三方供应商在贵组织内部的分类与划分机制。 我们在此强调的分类方式有别于采购或供应链管理基于职能的划分，而是基于风险维度进行分层管理。通过将第三方归入不同风险领域，可加速并简化其入驻流程。随后我们将探讨定期风险评估机制及触发第三方重新评估的事件触发点——这些关键节点需要全员知晓。 接着我们将深入探讨数据科学与分析技术，解析其如何成为量化第三方供应商风险的关键工具，并推动后续行动的制定。 接着我们将探讨持续第三方监控机制——包括启动方法、持续监控的关键要素清单，最后聚焦自动化技术在第三方风险管理中的作用及其应覆盖的核心环节。 首先探讨第三方重要性评估。根据企业规模差异，供应链中可能存在少量至数万家第三方供应商。 评估相关风险时，核心在于甄别对业务至关重要的供应商，并聚焦于此。评估维度包括：供应商在关键业务流程中的角色、其提供的功能服务、所处理信息的分类等级。在分析各类供应商时，明确起点至关重要。 确定关键性定义的起点之一，是与灾难恢复及业务连续性团队协作——他们通常掌握着企业关键流程与服务的清单，这能帮助您初步识别哪些第三方被定义为关键。 当然还有其他方法可循，但对我而言，这往往是最便捷的信息获取途径。当您明确哪些关键第三方关联于不同业务流程后，切勿止步于此。 需追溯第四、第五乃至第六层供应商——这些可能为关键业务流程相关第三方提供服务的环节。因为存在这样的风险：第三方可能将贵司基础设施访问权限或机密信息共享给更下游的供应商，而贵司对此可能毫不知情。这种情况会使关键业务流程的风险进一步向供应链下游蔓延。 因此，全面考量关键第三方及后续多方可能对组织产生的影响，将为您的第三方风险管理计划提供良好的起点依据。

斯科特·朗：嘿，鲍勃。

鲍勃·威尔金森：是的。

斯科特·朗：已经收到几个问题了。挺好的。

鲍勃·威尔金森：好，我们开始吧。

斯科特·朗：他们已经准备好谈了。那么，在审查第四方时应侧重哪些方面？是否也需要对其进行风险评级？或者需要多少尽职调查审查/持续监控？

鲍勃·威尔金森：好的，这确实是个棘手的问题。假设你从100家第三方供应商起步，扩展到第四层供应商时可能达到1000家，再到第五层供应商时可能达到5000家。数量将变得难以管控，再加上贵公司使用的第三方供应商数量正常增长，这将构成重大挑战。 在后续演示中我们将深入探讨。但关键在于：将第四方供应商与贵公司核心服务及产品进行绑定，这正是您需要重点关注的环节。当我们阐述持续监控的作用时，这正是我们真正发挥优势、进一步监控第四方和第五方供应商的契机。以上是部分解答，我将在演示过程中进一步展开说明。

梅丽莎：好的。那么第四、第五和第六方呢？你如何定义这些？

鲍勃·威尔金森：这些是贵公司或第三方合作的分包商。比如您与IBM合作，而IBM将部分功能外包给AWS——AWS负责托管IBM使用的某款软件或应用程序。在此合作关系中，AWS对您而言是第四方，对IBM而言则是第三方。

梅丽莎：明白了。明白了。那么第三方和第四方是否有义务回应信息请求？

鲍勃·威尔金森：这完全取决于你是否已签订合同，要求对方履行该义务。 关键在于：你能在多大程度上标准化与第三方签订的合同条款？以及如何向第三方明确传达——他们所使用的任何第四、第五、第六方都必须遵守你与该第三方签订的合同条款。因此审视合同时需关注三点：首先是审计权，这正是解决此问题的核心。 您需要确保第三方对其合作的第四方等进行充分尽职调查，以保证这些合作方遵守其与您签订的合同标准。这是您必须通过合同条款强制执行的关键环节——若未明确约定，对方可能以"合同未授权"为由拒绝配合。此即解决该问题的有效途径。

Melissa: Got it. Okay. Thank you. Okay. So let’s talk about risk domains. Now when I talk about risk domains, I’m differentiating from uh product domains, if you will. So it’s not uncommon in procurement organizations that they would come up with classifications of third parties based on the services provided. This is a similar concept, but the important differentiator is it’s based on risk. So when we think about this, there are numerous ways and it will to some extent be driven by the type of business your organization is in how you would classify that. But you could do it based on functions, products, services. Um so some examples might be uh you classify all of your call centers that provide customer support. It might be payment processors. It might be software developers which is very very important and I’ll talk about more in this presentation. You also might have risk domains that are structured based on the information that you share with your third parties. You might also do um and some companies in fact do this. You might have a risk domain based on employee information that’s shared with third parties because you want to get that granular. You might do it based on those companies that have access to your infrastructure. The point being that there are numerous ways to classify risk domains, but by doing it that way, um, as you’ll see in another slide or two, you have the opportunity to focus on the controls that are most critical for that risk domain. And that’s where you can really leverage the process to be more efficient. Now, one of the challenges that all third part risk management programs have these days is the organic growth in the number of third parties. Many of the companies I talked to say that their third parties increase uh anywhere up to and above 10% a year. Now, if you think about that, if you have a thousand third parties and you’re getting 100 new ones a year, how is your organization prepared to do the due diligence? and incorporate and onboard all of those new third parties. That in itself becomes a challenge. If you go back to your management and say, “Well, the program’s growing 10% a year, so I need 10% more a year in my budget.” Well, good luck with that because that’s uh not a high likelihood that you’re just because the program is growing that you’re going to get that additional funding. So, we have to work smarter about how we deal with the risk. And that ties back to the criticality of the service provided. But by focusing on risk domains, you are better able to manage the volume of third parties and third party due diligence that you need to manage. Now, there are two important factors here. By more efficiently managing your third-party inventory, you’re able to better manage the costs associated with the program. But the other point is by defining um into risk domains who your third party third parties are, you’re also able to see where you have duplication. So, and I’ve talked about this before, the the key point when a business unit comes to you and says they want to onboard a new third party, the first question you should always ask is, well, do we already have a third party that provides the service that you’re looking for because if we already have a third party that provides the service that you’re looking for, you can eliminate the due diligence. You’re likely going to get better pricing because you’re expanding the relationship with an existing third party and it just makes everything more efficient. And in the process of doing that, you’re also decreasing risk. So from my perspective, this is a win-win. You manage the number and the total cost of doing the due diligence on the third parties while you’re also li limiting the amount of risk. So how do we do this? Um this is what I call risk triage. So when we have third parties categorized by risk domains, we can focus on those specific controls which are most important to the type of work and the risk that’s involved with that particular risk domain. So what I’m saying is you can ask a smaller number of questions and you can focus on the key controls that are involved with a particular risk uh domain to determine whether you need to go deeper. So what we’re trying to do here u when we when we take a step back and we look at our third party risk programs is we’re trying to be more efficient. We’re trying to help the businesses because if the businesses aren’t being successful in getting the third parties on board that they need to do their business and take advantage of opportunities, then it’s not going to be too long before that we don’t need a third party risk management program because the business is not successful. So, in streamlining our approach to how we manage the third parties we have to deal with and by focusing on the key controls that are involved In managing risks associated with those risk domains, we can be much more efficient in how we onboard and how we manage on an ongoing basis the risk that’s associated with using third parties. Now, that ties directly into data science and analytics. So, everyone hears that, you know, we’re doing more things with data science and analytics. Here’s a way that it converts into how you manage your third party risk management program. So if I have a a a set of questions that I apply to a specific risk domain, say I’m looking at uh third parties who use confidential information. What are the what are the critical controls, the key controls that I care about there? Well, how is that information being transmitted? What is that volume of information that’s being shared um what do we know about the third party and their level of security? …

鲍勃·威尔金森：通过这种方式，我们所做的是聚焦于关系中最关键的要素。借助数据科学，我们为这些核心问题赋予权重值。例如，若我关注机密信息，那么信息共享的安全性应被赋予多大权重？ 我又该如何权衡信息共享的规模？这个流程的核心差异在于——当我们为风险领域设定关键控制措施时，是将内部数据与外部公开数据源（如网络监控工具及专注于公开数据的风险管理工具）进行融合。 当我们能将公开数据与内部信息结合时，就能清晰洞察特定第三方对企业的风险构成。由此我们获得的能力是：为各风险领域设定风险承受阈值。 例如在1至5分的评分体系中（5分代表良好，1分代表不良），我们可将机密信息使用风险阈值设定为4分。当风险分级流程中针对关键控制措施的评估得分低于4分时，鉴于信息敏感性及第三方存在的明显漏洞，我们必须加强尽职调查。这种评估既可针对个体第三方实施， 对单个第三方进行评分时，我们可在风险领域层面评估风险程度。具体做法是统计某风险领域内第三方数量并计算平均分，或对整个第三方供应商组合（即全部库存）进行风险评分。借助数据科学技术，我们能在任意时间点实时计算第三方库存的风险评分。

鲍勃·威尔金森：其关键意义在于，它能让我们清晰掌握组织在使用第三方过程中风险趋势的变化。 当然，这涉及更复杂的操作流程。本次网络研讨会时间有限，无法深入探讨，但我想向各位展示一种更具量化特性的风险管理新思路——通过系统化构建风险评估体系，精准量化风险水平，并向各利益相关方清晰传达：当前投资组合风险正在上升，特定领域风险正在攀升，或某家第三方供应商的风险正在加剧。 按领域定义风险并聚焦关键控制点具有显著优势。无论是初始第三方供应商筛选阶段，还是完成流程后接纳特定机构时，这种方法都无需逐项审查第三方可能涉及的所有控制措施。 接下来当我们判定某公司特定风险领域的风险阈值被突破时，就需要深入调查。 此时需启动针对该组织的全面风险评估——当第三方对风险领域关键控制措施的答复引发足够质疑时，因其在该风险领域关键风险管理态势存在未解疑问，便需深入核查。此时需决定采用何种问卷： 是采用专属问卷，还是使用现成的行业标准问卷？但无论如何都应遵循标准化流程。 其次需明确风险评估的实施方式：是否现场执行？鉴于疫情阶段，现场评估已不常见。是否采用远程方式？或混合模式？是否使用内部资源执行风险评估？是否通过人员补充或外包完成此流程？

鲍勃·威尔金森：您是否愿意使用离岸资源？因为您正试图更高效地管理项目相关成本。您会采用风险评估服务公司吗？市面上存在多家此类公司，它们会执行风险评估并提供报告，而您将依赖这些报告。那么当风险评估中发现问题时，这些问题就必须得到解决。 请允许我明确阐述观点：风险评估的根本意义在于发现隐患后及时修复，从而降低组织风险。在我看来，第三方风险管理项目的核心价值在于识别与缓解风险，但组织内部的利益相关者往往将其视为合规性检查。 我们评估供应商相关风险后，往往只需勾选合规框即可宣称"已完成风险评估"。这种做法对风险管理毫无助益，纯属合规性操作。而合规与风险管理本质迥异。请聚焦风险识别、风险缓解，并验证所识别风险是否真正得到控制——这才是降低风险的关键环节。 在完成第三方评估与接纳后，若干触发事件可能促使你重新评估合作方。最明显的当属数据泄露事件。 任何此类负面事件发生时，你都必须确保相关第三方（或第四、第五层供应商）已采取适当措施，有效控制导致数据泄露、勒索软件攻击等事件的风险根源。

鲍勃·威尔金森：其他可能触发重新评估的事件包括所有权变更、并购活动。当涉及因各行业监管机构实施的新法规而产生的潜在监管与声誉风险时，您需要确保第三方供应商同样符合合规要求——因为使用第三方服务并不能免除您对客户法律合规责任的承担。 其他可能触发重新评估的事件包括：数据中心迁移至新物理位置、任何第三方服务外包至海外，以及随着应用程序日益向云端迁移——这已成为关键领域，企业必须充分了解现行管控措施。 另一关键点在于定期审查第三方合作关系时，若合作范围扩展（新增功能或大幅增加共享信息量），您需对此保持警惕——这种变化本身可能就需要您重新进行风险评估。 例如：若您与某第三方原共享100条客户记录，一年后却需共享1000万条记录。 这意味着根本性变化——该第三方对您构成的风险状况与风险代表性已显著提升。更棘手的是，若第三方财务状况恶化，您需另寻合作方或将服务收回内部处理，这绝非一朝一夕能完成。 这引出了另一个关键点：企业将特定职能外包给第三方时，仍需保留必要知识储备，确保在需要时能将该职能收回内部运营。对于关键服务供应商，必须制定相应的收回计划。

鲍勃·威尔金森：若没有应对方案，一旦第三方破产或发生其他突发事件，企业就可能面临风险。 现在让我们转换话题，谈谈持续的第三方监控。管理第三方风险的现实情况是，风险状况每天都在变化。当你考虑进行周期性风险评估时，这意味着你只了解某一年中某一天的第三方风险状况，而对其余364天则缺乏有效洞察。 鉴于风险规模正急剧攀升——且不仅限于网络风险，我们还需考量业务中断风险、运营韧性乃至ESG风险等全方位威胁。如今至少对关键服务供应商而言，仅靠年度风险评估显然无法满足更高层级的监控需求，这种风险管理方式已不合时宜。 那么如何实施持续监控方案？市面上有大量工具可选。不同工具提供不同功能，但关键在于：若要实施持续监控，必须理解所选产品或平台如何融入组织架构，确保监控结果能流向正确的业务流程。 关键在于确保需要采取行动的人员能够及时响应。我认为，若启动持续监控却无人关注结果，其危害远大于完全不实施监控——至少后者能让你知晓风险却无所作为。因此评估持续监控产品时，务必深入理解其如何融入企业运营流程，这是绝对关键的一步。 另一个关键点在于，持续监控主要基于对公开数据源的监测。这意味着：从外部视角看，你的网络存在呈现何种状态？其中可能存在哪些漏洞？从这个角度出发——

鲍勃·威尔金森：从面向公众的角度来看，它们确实能有效指出你存在的各类漏洞，但这无法覆盖你可能存在的内部漏洞——这些持续监控解决方案无法检测到的漏洞。此外，你需要记住，参与持续监控的人员所需的技能组合，在某些方面与执行定期风险评估的人员有所不同。 因此必须确保配备理解并受过专业培训的团队，才能充分挖掘持续监控解决方案的价值。启动持续监控时——这涉及我们早先讨论的问题——我们开始探讨如何实现对第四、第五乃至第六方的可视化监控。当你部署持续监控方案时， 通常操作方式是：在与持续监控平台供应商签订合同时，需明确需要监控的第三方数量范围。有些公司会监控所有内容。 基于此，当您建立第三方、第四方、第五方、第六方的清单时，便能将最初关联关键业务流程的第四方、第五方和第六方纳入其中，实现与第三方同等每日监测。这正是应对第四、第五、第六方监测需求的解决方案。 若采用持续监控方案，您就能像监控第三方那样，每日获取关注的第四、第五方同等信息。从物流执行、周期性风险评估、成本控制及项目管理角度来看，对第四、第五方进行周期性风险评估在实际操作中难度极高。 因此转向对第三方及其分包商（即第四、第五、第六方）实施持续监控，正是实现这一目标的途径。某些持续监控解决方案的优势在于，它们能帮助您更全面地把握运营风险。

鲍勃·威尔金森：传统上，第三方风险管理侧重于网络安全、业务连续性、灾难恢复以及对运营韧性的影响。但实际情况是，我们需要监控第三方的财务健康状况、地域集中度风险、合规性、负面新闻及ESG表现，并以整体视角审视运营风险。这既非网络安全问题，也非业务连续性问题，而是运营风险问题。 要有效管控这些风险，必须采取整体视角。同时需意识到，随着时间推移，第三方可能建立新合作关系或收购其他公司，进而影响第四、第五乃至第六方，企业必须对此保持警觉。 同时需关注合作关系的变化动态——无论是数据量的增长，还是第三方/第四方为贵公司新增的功能模块，都应纳入监控范围。因此，从多维度、多因素、持续动态的视角审视运营风险，方能充分发挥持续监控的全部价值。 在此我提供一份高阶检查清单，供您实施持续监控计划时参考：您的第三方清单是否完整？是否掌握第四、第五层供应商的身份信息？在规划监控范围时，需重点监控第三方与第四方在为您提供服务时的实际位置。 许多第三方项目在建立清单时，可能缺乏关键的地理位置数据——即服务实际提供给贵公司的具体地点。因此，您需要的不是一份罗列所有合作企业总部的清单，而是掌握服务实际交付的具体地址。

鲍勃·威尔金森：那么您接触的是位于纽约阿蒙的IBM公司总部吗？还是与印度金奈等地的IBM子公司合作，由其为您提供服务？其次，您如何规划、开发、实施并记录持续监控流程？以确保当持续监控平台启动时，贵组织能够有效消化并利用生成的信息？ 其次，您对第三方使用的扩展供应链具备何种可视性？仍以关键流程为起点，与这些第三方关联的第四、第五方是谁？您是否逐步建立相关清单，并了解共享的信息内容？ 您是否掌握组织信息共享的具体位置、信息量规模，以及这些数据随时间推移在第三方中的变化趋势？因为您需要首先关注数据共享问题，其次才是企业基础设施的访问权限——这些第三方乃至潜在的第四、第五方获得了哪些基础设施访问权限？您是否对此感到安心？甚至是否知晓这些权限的存在？ 虽然我已提及物理位置，但必须再次强调：必须明确哪些第三方/第四方机构代为开展业务，以及其中哪些主体接触敏感信息。关键问题在于：您是否掌握核心第三方机构的最新联络人信息？这些机构是否又建立了第四/第五层联络机制？当突发事件发生时，您能否立即联系到责任方？ 那么，谁是你的关键联系人？你多久测试一次流程以确保联系人准确无误？人员流动本是常态。当危机发生时，你是否有途径联系第三方以获取所需答复，或根据情况需要启动事件管理与危机管理流程？

鲍勃·威尔金森：最后，您的团队是否接受过如何利用持续监控解决方案结果的培训？因为他们需要根据持续监控平台提供的信息采取行动。自动化在第三方风险管理计划中的作用。自动化通过持续监控和库存管理等手段，使您能够建立供应商风险的单一数据源，覆盖所有需要应对的关键运营风险。 它能整合第三方风险项目的信息，追踪并推动已识别运营风险的缓解工作，同时展示趋势并识别因使用第三方而产生的风险。仅评估现有风险并制定管理计划远远不够。 我们必须建立机制，预见未来风险——而当今时代风险正以惊人速度涌现。我们用"黑天鹅事件"描述低概率发生的突发状况，但如今这些事件正演变为常态化现象，无论是太阳风事件、CASA日志4J漏洞还是乌克兰战争， 所有这些都影响着我们的第三方风险管理。因此我们需要尽可能通过自动化手段识别并管控风险。同样重要的是，您不希望每周、每月、每季度都进行紧急演练来收集信息，以便向多层级管理层汇报第三方风险管理计划的进展。 自动化是管理和缓解风险的关键要素。以下是我整理的TPR及项目自动化考量清单：首要问题是——贵司是否建立了集中化的第三方供应商清单？还是采用联邦式管理模式，由各业务单元各自管理其供应商清单？后者将使工作复杂度显著提升。

鲍勃·威尔金森：如今管理第三方风险的一个重要方面是软件开发。过去一年中我们遇到的最大问题都集中在软件漏洞上。那么我们如何判断所使用的第三方软件是否在潜在事件中受到影响？大多数组织都会建立所用软件的清单。 如何将软件清单与第三方清单进行比对，从而更清晰地追溯关联？当第三方发生安全事件时，我们能否据此判断是否属于软件问题？这将极大简化我们的工作流程。 因此，将软件清单作为资源与第三方清单并行使用。那么贵组织是否存在统一的第三方接入流程？我观察到许多组织存在例外流程——可能是基于支出额度，也可能是基于其他因素，允许第三方绕过标准接入流程。若出现这种情况，必须明确其具体位置及相关风险。 其次，贵公司是否建立了集中化的自动化第三方合同数据库？能否清晰追溯并掌握现有第三方合同条款？是否存在自动化尽职调查工作流，能优化入驻流程并提升组织效率？这正是挑战的核心所在——如何通过自动化实现组织效益最大化。 您是否建立了第三方问题追踪系统？该系统是自动化运行，还是仍依赖纸质记录或Excel表格？

鲍勃·威尔金森：因为您需要做的，是将这些问题与存在问题的业务部门关联起来，并定期向这些部门通报问题整改进展。正如我所说，第三方风险管理计划成功的关键在于能否有效降低企业风险。监管要求和商业常识都告诉我们，必须追踪第三方供应商的绩效表现。 通常由业务关系经理负责执行这项工作。尤其在银行业，存在季度性要求需追踪关键第三方供应商的绩效表现。因此在设计持续监控计划时，必须考虑流程工作流的自动化实施，确保信息能快速传递给相关人员 以便他们能及时采取必要行动。最后，您是否考虑过管理报告的架构与要求？是否规划了需衡量的关键绩效指标（KPI）、关键风险指标（KRI），以及未来需要向组织哪些层级、以何种频率提交报告？至此我的演讲即将结束。 需要说明的是，关于KPI、KRI、管理报告的实施方法，以及监管环境变化对第三方风险管理的影响等议题，将在6月9日举行的第四期网络研讨会中重点探讨。现在，我将首先请梅丽莎接管会议，看看是否有问题需要解答。

梅丽莎：嗯，好的，我先做一个，然后让斯科特接手做他的部分。嗯

斯科特·朗：不过，现在有这么多精彩的问题涌现出来。我觉得我们应该先解决这些问题，再进入我的环节。让我们先围绕这些问题继续讨论，最后我再适时插话补充。

梅丽莎：行吧。平时都冷清得很，现在突然冒出一堆问题。太棒了。

斯科特·朗：我知道。太棒了。

梅丽莎：好的，我先开始。你给他抛出了不少问题呢，对吧？呃，有人问：“既然是某个时间段的报告，SOCK 2类型2报告的有效性有多高？”

鲍勃·威尔金森：好吧，SOC 2 类型二报告具有有效性，它是对被评估组织风险防护态势的全面评估。但我还是要回到我的观点：这份文件在交付当天的确很有价值，但明天和后天会发生什么？SOC 2 类型二评估的执行频率又如何？ 那么，您是否确信基于该SOC 2报告的第三方产品或服务，在未来一两年内仍能满足您的需求？这始终是我的担忧所在——我们身处高度交易化的世界，风险影响时刻存在。这份文件固然极具价值，但明日又将如何？ 您不可能全年365天都收到SOCK 2类型二的更新通知。这正是核心挑战所在。

梅丽莎：明白了。嗯，好的。我还有个问题想请教。对于拥有众多提供相似服务的供应商的企业——比如一家供应商就能服务多个业务线——监管机构是否会提出批评？既然存在风险增加的情况，为什么还要保留四个做相同事情的供应商呢？

鲍勃·威尔金森：好的。那么从商业角度来看，既然可以只用一两个供应商，为什么还要用四个？你必须始终考虑足够的冗余性。如果某个关键流程只依赖一家供应商，而这家供应商突然消失了，你就会陷入困境。 因此你可能考虑从四家缩减至两家。但监管机构的视角是：若你与众多供应商共享信息，可能面临过度风险，或未能以最审慎的方式管理企业财务责任。 但要达到这种程度，企业必须采取极端做法。因此我认为这与其说是监管焦点，不如说是商业常识的体现。 为何要制造这种冗余？这无异于主动增加风险。供应商和监管机构关注的正是此点——既然只需与两家公司共享数据，为何要与四家共享？从商业逻辑和风险管理角度看，在可减少共享对象的情况下，避免与过多方共享数据才是明智之举。

斯科特·朗：呃，还有个问题想请教，如果袜子2在全年内无效或不重要，该如何处理？我们还应该要求提供哪些其他文件？

鲍勃·威尔金森：你看，这就是文档记录的问题所在，对吧？文档记录只是某个时间点的快照，它确实有用，历史上第三方风险管理也一直是这样实践的。但如今我们越来越多地将业务转移到互联网，同时扩大第三方使用范围，如果没有持续的信息流注入组织，我们就处于劣势。所以这不仅关乎持续监控。 那么，如何将第三方风险管理计划与组织其他关键领域衔接？如何将其与网络情报系统整合？如何与安全运营中心联动，确保发生安全事件时，他们能立即向你求助："Log4j漏洞已爆发，哪些关键第三方供应商使用该软件？我们该如何应对？" 这部分挑战源于行业格局的变迁——第三方使用日益普遍，互联网应用不断扩展，传统数据中心的逐步消亡，迫使我们寻求能持续提供实时信息的解决方案。仅凭文档记录无法实现对持续动态的可视化监控，这确实是个难题。

梅丽莎：太好了。感谢您的专业见解。嗯，现在我把话筒交给斯科特。我们还有几分钟时间，我知道他想说几句话。请讲。

鲍勃·威尔金森：好的，斯科特。

斯科特·朗：嘿，其实我看到还有几个问题冒出来了，说真的，我发誓我不是在插科打诨。 能和观众有这么深入的互动，我实在太兴奋了。各位，这太棒了。还有个问题是：能否解释ESG风险？毕竟ESG似乎是个相对较新的概念。关于如何将这个概念纳入常规尽职调查流程，您有什么建议吗？

鲍勃·威尔金森：简而言之，请于6月9日回来参加普瑞维兰特公司举办的ESG网络研讨会，届时我将对此进行更深入的探讨。

斯科特·朗：鲍勃，我给你摆好了姿势，快打吧。

鲍勃·威尔金森：说得真精彩。简而言之，这取决于你所在的地理区域。美国和欧洲存在差异，但在美国，ESG的核心在于企业向投资者披露所谓"重要性原则"的信息。 如果环境、社会或公司治理风险足以对投资者决策产生重大影响——比如影响其对公司股票的投票方式或是否购买该公司股票——这就是美国证券交易委员会的监管重点。而在欧洲、英国及其他地区，我们面临的是不同的问题。正如我所说，6月9日您将获得更多细节。

斯科特·朗：嗯，我想回应一个在聊天区和问答环节反复出现的问题。是的，本次会议的录像将与第一、二场会议的录像一同提供，这些演示资料将于明日发送，确保大家都能获取鲍勃分享的精彩内容。最后还有个问题想请教您——可能您已经提过。 抱歉。关于对本地部署与云托管服务商进行尽职调查时，需要考虑的差异化因素。嗯，是的。

鲍勃·威尔金森：呃，这个回答确实不简短，我并非回避话题，但你知道本地部署方案的优势在于能直接对接特定服务商。而云端的问题在于——当人们将更多业务迁移至云端时，云服务的冗余性究竟如何？云端本身具备相当高的冗余性，它已成为企业运营的关键环节。 但云服务一旦瘫痪，就不是你我个人的问题，而是全局性灾难。我们都经历过AWS故障导致东海岸或西海岸瘫痪的案例，影响极其严重。使用云服务时，你必须应对大量其他问题，包括数据管理机制—— 比如：你的角色定位是什么？你将担任管理员吗？还是由AWS等服务商担任管理员？需要考虑的因素实在太多，Scott，这些或许值得另择时机深入探讨。

斯科特·朗：嗯，同意。嗯，说得对。好，我想让大家接下来都按时完成日程。 现在距离整点还有约一分钟。我想快速分享一页关于Prevalent的幻灯片，介绍我们如何帮助缓解第三方风险管理方面的挑战。我将同步启动投票功能，大家在聆听时可同步作答。谢谢，请继续。

鲍勃·威尔金森：好的，好的，没问题。嗯，好的。那么，如果大家能看到我的屏幕的话。呃，你们知道吗？什么？哎呀。我觉得你们可能看到的是错误的屏幕，对吧？哎呀。大家稍等一下，抱歉让你们等了。

梅丽莎：太好了。

斯科特·朗：梅丽莎，请确认你现在能看到我的屏幕。很好。嗯，你知道，鲍勃今天提到的所有内容，你其实都在独自处理，而你提出的所有问题也印证了我的观点——第三方风险管理仍处于初级阶段。 在流程风险管理方面仍有大量问题待解决——无论是构建风险情报库还是设计有效问题，若仅靠手动工具（如电子表格）独立完成，简直是噩梦。我们专注于提供整合所有内容的统一平台解决方案。您可调用海量问卷库和评估工具， 系统会自动生成整改建议，引导第三方将风险降至可接受水平。内置的风险报告功能兼容多种监管体系与要求，涵盖ISO、NIST、Cake等各类标准的问卷模板。这使您能从供应商风险全生命周期视角审视风险，而非仅关注某个时间点。 我们将其整合为平台化解决方案，为您提供海量问卷模板、风险管理主题库，支持自定义问卷创建，并能与第三方供应商实现风险闭环管理。 我们期待与您探讨如何协助贵机构应对不同层级的风险。梅丽莎将向您发送本次会议录音、演示文稿等资料，欢迎随时与我们互动。 我们期待与您进行简短交流，了解您当前的状况、下一步计划以及我们如何助力您达成目标。以上就是我的全部发言。眼下已到整点时段，梅丽莎，现在将主持权交还给您进行总结。

梅丽莎：太好了。

鲍勃·威尔金森：梅丽莎，如果可以的话，我只想提一点——

鲍勃·威尔金森：嗯，第四部分，第四场网络研讨会定于六月——我记得是6月9日。不对，是6月15日。所以第四部分将讨论若干其他主题，时间是6月15日中午。若您对今日内容有任何疑问，我的联系方式已显示在屏幕上。 欢迎随时联系我或Prevalent团队，我们将竭诚为您解答。

梅丽莎：我大概就想说这些。大家今天过得愉快，我们最后一场见，最后环节见。保重。再见。

鲍勃·威尔金森：好的。再见。