挪威邮轮公司

场景设定

作为全球领先的邮轮公司之一，挪威邮轮控股公司（NCLH）拥有庞大的全球合作伙伴、供应商和技术提供商网络，确保其船队平稳航行。但在幕后，这种规模也带来了复杂性——尤其在管理供应商和IT风险方面。

挑战

十八个月前，NCLH意识到需要对企业运营的第三方监督采取更统一、更具韧性的方法。由于IT、法律和供应链团队各自为政，难以全面掌握供应商风险敞口。为在日益数字化的生态系统中保障运营安全并确保合规，该公司着手从零构建全面的第三方风险管理（TPRM）体系。

机遇

在此举措实施之前，NCLH集团的供应商风险管理基本处于临时性状态。各团队虽分别开展尽职调查和风险评估工作，却缺乏统一的框架和标准。面对数千家支撑业务运营的供应商，挑战显而易见：必须建立一个正式且可扩展的项目，重点针对公司最关键的高风险IT供应商。这意味着要明确责任归属、规范评估流程、确保跨部门透明度——同时为未来的自动化和分析工作奠定基础。

解决方案：Mitratech TPRM

在约翰·科利奇的领导下，IT合规团队从零开始构建全面的IT合规体系。首要步骤是将重点范围锁定在约200至250家关键IT供应商，确保最具影响力的合作关系获得优先关注。

为实施这项新计划，NCLH寻求能够集中管理供应商数据、自动化评估流程、监控网络安全风险并简化跨部门协作的技术方案。经过多轮工具评估，团队最终选定Mitratech第三方风险管理平台，因其具备以下能力：

• 集中管理供应商情报——整合IT、法务和供应链团队的数据，形成统一可信的数据源，全面掌握关键供应商关系。
• 自动化入职流程——用标准化数字化工作流取代手动填写的表格和电子表格，从而提升速度、准确性和一致性。
• 支持持续评估与动态监控——通过定期自动化的供应商绩效与风险态势审查，确保项目始终保持最新状态并符合合规要求。
• 追踪修复与绩效——利用自动化警报和仪表板跟进风险发现情况，监控问题解决进度，并展示项目随时间推移的改进成效。
• 随着项目发展灵活调整——提供可配置的工作流和分析功能，这些功能能与NCLH不断演进的交易对手风险管理框架同步扩展，从初期部署到全公司范围的采用。

这些能力共同为NCLH构建了结构化、可扩展的第三方监督基础，既能满足其当前的优先事项，又能支持其长期的风险管理目标。

挪威航空还借助MitratechROC管理服务团队，将追踪供应商回复、确保调查问卷加载与评分等手动工作移交出去。消除评估中的手动环节，使挪威航空能够专注于供应商关系中的关键风险，进一步优化其供应商风险管理计划。

结果

在部署初期，NCLH的IT风险团队便开始利用该平台的网络监控功能，实时追踪供应商相关的警报及潜在漏洞。IT部门与其他部门的团队首次能够同步查看并响应风险指标，而非依赖不同系统零散的更新信息。科利奇指出，及时掌握供应商网络安全态势的能力，已显著提升了该组织对供应商审查的优先级排序及后续行动的协调效率。

结果一览

在第一年内，NCLH IT风险团队成功与Mitratech合作：

• 建立与公司治理相一致的正式企业级第三方风险框架。
• 对高风险IT供应商实施标准化评估与审查，提升效率并确保一致性。
• 通过增强对交易方风险管理（TPRM）网络风险的可视性，促进法律、IT和供应链团队之间的协作。
• 为持续改进奠定基础，即将推出的路线图增强功能涵盖网络监控、安全漏洞检测以及人工智能驱动的自动化。

展望未来 + 下一步行动

随着正式第三方风险管理计划的基础稳固建立，挪威邮轮控股公司现正致力于扩展并深化其管理能力。在成功将所有岸基设施与系统纳入统一监管体系后，IT风险团队正将注意力转向海事环境——将第三方监控范围扩展至支撑船队海上运营的操作技术及供应商。

该团队持续与Mitratech保持紧密合作，以提升自动化水平、扩大可视化范围，并将供应商监督工作与公司的企业风险及合规战略相协调。

通过将早期成功转化为长期成熟，NCLH正开辟一条通往真正互联互通、数据驱动的供应商风险管理之路——这条管理链条从总部延伸至其全球船队中的每艘船舶。