编者按:本文作者为Mitratech公司治理、风险与合规解决方案执行总监阿拉斯泰尔·帕尔,原文发表于cybersecurityinsiders.com。
随着新年临近,各组织正着手制定2025年计划并起草预算以推动计划落地。风险管理在去年的规划与预算中占据核心地位——且这一趋势未见减弱迹象。由于新法规的出台,管理组织风险日益意味着要降低与其他组织开展业务的风险。 若您经营企业,供应商或合作伙伴的安全防护漏洞,无异于您自身安全体系的薄弱环节。新规出台后,合作伙伴的安全隐患与透明度问题已然成为您的责任。地缘政治动荡及其对供应链的影响,更意味着明年风险管理将成为更重要的考量因素。
基于这些原因,企业实施第三方风险管理(TPRM)的方式正在快速演变。去年在第三方风险管理方面可谓意义重大。然而,企业很可能会发现,2025年仍需以同样的高度专注于业务韧性、可持续性和透明度。
基于此,以下是关于第三方风险管理在2025年将如何演变与变革的七项预测:
1. 借助人工智能,预测性与比较性报告以及加速评估和文档工作流将成为可能
人工智能去年已在TPRM领域崭露头角,随着企业逐步深化对人工智能部署的理解,并运用该技术实现风险评估自动化、优化决策流程以及更快发现问题,我们完全有理由相信,到2025年及之后,人工智能将在该领域发挥关键作用。
大型语言模型(LLMs)及其他人工智能驱动系统,正通过分析海量数据集并识别可能预示新兴风险的模式,助力企业实时监控第三方风险。这些技术还将赋予组织全新能力,使其能够审查支持性证据,并发现评估反馈与文件记录之间的任何矛盾之处。
然而,人工智能唯有在强大的数据安全、透明度和治理政策支撑下才能取得成功。若缺乏这些基础,其应用进程将受阻。例如去年,仅有5%的企业表示在第三方风险管理计划中积极运用人工智能,原因正是治理机制缺失。但随着企业逐步适应并熟练运用人工智能实现任务自动化与报告生成,这一数据在2025年有望发生显著变化。
2. 新规将统一要求并推动强化尽职调查
全球范围内,各国政府和监管机构预计将加强第三方风险管理要求,尤其在数据隐私、ESG(环境、社会和治理)以及业务韧性方面。跨境企业将面临更复杂的合规挑战,而通过协调和简化全球规则以简化合规流程的努力,或可部分缓解这些挑战。
企业必须更严格地评估第三方供应商及其他合作伙伴,重点关注其韧性和环境影响。 在美国,《数字运营韧性法案》(DORA)或将成为金融业制定运营韧性标准的范本,与货币监理署的相关举措形成协同。随着欧盟《企业可持续发展报告指令》(CSRD)和《可持续性披露要求》(CSDDD)等ESG法规的兴起,企业需严格评估合作伙伴的可持续发展实践,包括碳排放、劳工实践及道德采购等维度。
3. 地缘政治将促使组织评估集中度与韧性风险
中东、东非、南海及乌克兰的政治动荡正促使企业加强对延伸生态系统的监控。各组织正加紧分析最终业务所有者(UBOs)及关键人物,以更准确地预判业务中断风险并规避制裁威胁。同时,企业正扩展供应商企业数据分析,深入洞察区域性与技术集中风险,力求最大限度减少潜在停工时间。
4. 第三方风险管理责任已融入企业文化
历史上,由于关注点在于IT基础设施风险,IT安全团队主导着交易方风险管理(TPRM)计划。然而,随着网络威胁日益严峻及新型风险不断涌现,TPRM必须转向更具协作性的全企业范围方法。为更好地将其融入更广泛的业务流程,TPRM很可能成为企业风险团队的职责范畴。 采购团队也将发挥更大作用,因为在整个组织中有效管理风险,采购、尽职调查和供应商退出流程正变得日益关键。这标志着当前风险缓解方式的重大转变。
5. 整合董事会视角将需要集中化的治理、风险与合规(GRC)及交易对手风险管理(TPRM)风险报告
随着第三方风险管理(TPRM)与企业风险管理的深度融合,其职能将扩展至更广泛的治理、风险管理与合规(GRC)领域。董事会和高级管理层将日益要求获得整合的、聚焦业务影响的内部或外部风险视图。 为此,企业应建立统一的关键风险指标体系并定期报告,确保业务部门与非技术背景的利益相关方均能获取这些指标,从而清晰洞察企业层面的风险暴露与影响。
6. 风险聚合提升对业务韧性的关注
随着第三方网络安全事件持续蔓延——且很可能继续扩散——企业需要评估其整个第三方生态系统带来的集体风险。认识到相互关联的风险如何影响多个供应商,对于保持供应链韧性至关重要。
企业可通过在风险领域(如网络安全、运营风险、声誉风险、ESG风险及财务风险)实施持续性综合监控来应对这一问题,从而快速识别第三方风险状况的变化。实时数据将助力企业更迅速、更有效地应对威胁,从而提升整体业务韧性。
7. 第三方数据泄露的转折点
过去几年间,第三方网络安全事件数量显著增长,报告此类事件的企业比例从2021年的21%跃升至2024年的60%以上。这些安全漏洞的严重程度也在加剧,已造成数百万用户受影响。 预计2025年网络犯罪分子将加倍发力,重点攻击为医疗服务机构、金融服务公司、教育机构、州政府及制造商等高知名度敏感行业提供支持的第三方企业。
展望未来
组织管理第三方风险的方式正加速变革。对业务韧性的高度关注、新型人工智能项目的推出以及新规的出台,将使第三方风险管理计划更具动态性与实效性。
通过拥抱创新并紧跟快速变化的趋势,企业能够有效管理第三方风险——即使在商业伙伴关系和监管要求不断变化的环境中亦是如此。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
