2021 年第三方风险管理行动计划

彼得·舒马赫：各位好，欢迎参加今天的网络研讨会。本次会议主题为《2021年第三方风险管理行动计划》，主讲嘉宾是布伦达·费拉罗和阿利斯泰尔·帕尔。布伦达是我们的第三方风险副总裁，阿利斯泰尔则是全球产品与交付高级副总裁。 我是彼得·舒马赫，担任本次研讨会主持人。正式开始前有几项注意事项：首先提醒各位，所有参会者麦克风均处于静音状态，此举旨在减少背景噪音干扰——我们不希望出现狗吠声、孩童进出房间、邻居修剪草坪等情况。 此外，我们希望保持互动性。欢迎大家通过Zoom界面提交问题。会议期间请随时在Zoom的问答区输入您的疑问。时间允许的话，我们将安排在会议结束时集中解答，期待由此展开富有成效的讨论。 本次网络研讨会将全程录制。我们将于明日上午将录像发送至您注册时使用的邮箱。我知道各位参与并非为看我的面容或听我的声音。现在，我将主持权移交给布伦达和阿利斯泰尔。阿利斯泰尔、布伦达，若方便请开启摄像头。 我们想看看你们笑脸。看，你们来了，接下来请你们接手。谢谢。

艾利斯泰尔·帕尔：非常感谢，彼得。大家好。我先简单介绍一下自己，当然布伦达稍后也会补充说明。我是艾莉森·P，担任Prement公司产品与交付高级副总裁。我来自咨询行业背景，多年来一直从事审计工作并管理第三方风险项目。很高兴与各位相见。布伦达·费拉罗：这是我们合作近一年后首次共同主持正式网络研讨会，我对此充满期待。我的专业背景——许多人熟悉我在医疗保健和金融机构的工作经历——核心在于流程精通。我擅长评估项目所处的成熟度阶段，并运用主流平台助力项目规模化发展。 期待本次讨论聚焦今年经历的挑战——这确实是艰难的一年，但我们已成功渡过难关。同时展望即将到来的2021年，我们将共同面对哪些新局面。那么，艾利斯特，现在请关闭屏幕，让我们专注于幻灯片内容，开始讨论吧。

阿利斯泰尔·帕尔：太棒了。非常感谢你，布伦达。 好的，接下来我们将详细回顾2020年的概况，重点梳理全年观察到的关键趋势与现象。之后将基于2020年的趋势、挑战和问题，展望更宏观的2021年发展预测。 这些趋势确实值得关注。首先，我们注意到2020年普遍存在这样一个现象：无论企业规模大小，各组织都面临着高度相似的挑战。这本质上源于在实现大规模一致性应用前，如何有效发现并收集正确类型的信息。我们观察到，客户管理的供应商资产规模普遍庞大——无论是数百、数千、数万还是数十万，相对于受访企业的资源规模都极为可观。这些企业普遍缺乏管理海量数据的能力，因此正寻求自动化流程与工作流技术来实现高效管理与可扩展性。 但根本问题在于，如何获取足够信息来驱动这些系统始终是我们全年面临的常态化挑战。那么第三方程序的成熟度总体如何演变？我们采用卡内基能力成熟度模型进行评估，以1至5分衡量各组织水平，评估时通常聚焦五大关键领域：

• 覆盖范围
• 内容
• 职责与责任
• 补救措施
• 管理

每个领域都存在着我们所见到的成功与挑战。但正如我们先前强调的，获取足够有价值的信息正面临着重大趋势与严峻挑战——这源于内容缺乏一致性，源于覆盖范围未能全面覆盖整个资产组合。 职责划分模糊不清，或人员精力错置于非核心事务，导致整改措施未能推进，治理反馈机制失效。接下来我们将探讨若干常见问题与挑战，但首先请布伦达围绕今年的核心议题——运营韧性展开阐述。

布伦达·费拉罗：是的，在经历了这场疫情或新冠病毒大流行——无论你如何看待它——的过程中，我们发现自身韧性建设项目中存在一些脱节和缺口。 现在我们意识到，仅靠第三方初步边界审查和合作方尽职调查的模式已远远不够。要知道，当我们外包业务、采购服务、与供应商合作或与其他公司共享数据时，对方同样可能采取类似做法。 过去我们对第四方乃至更深层的合作链条总是敬而远之，但如今几乎被迫走向这条道路。当我们审视零售等行业时，不仅要关注网络安全维度，更需思考：产品供应链如何构建？能否实现跨企业的工作迁移？ 是否存在集中风险？比如某项服务或产品仅依赖单一供应商，或是数据支持环节是否需要多元化？或许有25家企业提供相同服务，其中部分在控制措施上表现强劲，但另一些可能存在薄弱环节。因此我们需要开始筛选优质供应商，或协助薄弱环节提升能力，以维持我们所需的安全态势储备力量。 2020年全年，我观察到英美两国各行业企业纷纷开始讨论供应链管理与外包链管理。未来我们将看到更多企业着重强调控制措施、尽职调查等关键环节——这些不仅涉及网络安全领域，更涵盖网络安全与数据之外的多元维度。

阿利斯泰尔·帕尔：非常有意思。那么与此相关的是，在接下来的几张幻灯片中，我们将展示2020年对众多关键客户及个人的分析结果，以揭示普遍趋势与挑战。正如布伦达所言，运营韧性已成为贯穿2020年的核心议题。 不过布伦达，我很好奇您对覆盖范围的看法——特别是将第三方纳入监管可能成为2020年的潜在绊脚石 。布伦达·费拉罗：没错，正如前张幻灯片所述，网络安全已成为多数企业的核心关注点。 请注意，我们现正将财务风险、监管风险及声誉风险纳入考量，以评估风险如何影响第一层供应商，以及第四、第五乃至第六层供应商——我们称之为第n层供应商。这种方法能让我们清晰描绘风险版图的第n层边界，即风险影响的终止点。 这类似于我们过去常说的"追踪数据从A到Z"或"追踪产品从A到Z"，但当时我们最多只能追溯到OP环节，永远无法抵达Z点。如今我们意识到必须重新审视协作生态——不仅要关注外部合作方，更要探究内部为何与这些企业开展业务。当支持链条出现断裂时，我们需要从供应商、外包商及分包商等环节入手，评估其对企业的影响，并及时调整策略，确保在弹性恢复能力层面保持持续运营。若供应商、外包商或厂商出现故障或依赖关系中断，将对我们产生何种影响？我们需要调整策略，确保从端到端的韧性角度保持业务持续运行。Alistister，你对这个话题还有补充吗？

阿利斯泰尔·帕尔：是的。不，我认为这非常核心——我接触的大多数组织都没有足够的精力突破第三方状态，因为这本身对他们而言已足够棘手。但我完全认同。 我们注意到年底出现了一种趋势：企业至少已掌握一级供应商情况，开始关注第四方关联风险与运营韧性。2020年迫使他们不得不深入探究表象之下隐藏的风险，这种趋势正推动着相关工作。 因此这确实是趋势演变中颇具深意的现象。

布伦达·费拉罗：是的。而且我认为大家都在为识别第三方或第n方而困扰。若不主动询问或查看能显示所有关联的界面，我该如何知晓？这将成为2021年的讨论重点。谢谢。布伦达·费拉罗：所以内容是...阿利斯泰尔·帕尔：抱歉，阿利斯泰尔请继续。布伦达·费拉罗：抱歉，请你先说，布伦达。布伦达·费拉罗：不，我正想说从内容角度看，你提到许多企业都在思考：我的关键控制措施是什么？如何将风险建议与这些关键控制措施关联？又该采用何种尽职调查分析法才能识别对我最重要的风险？我称之为"实质性风险"。 虽然自动化是当前热议话题，但我们必须意识到：在评估各类风险画像、固有残余风险及集中式风险登记簿时，必须以全生命周期视角审视项目——既要识别支撑全周期所需的人才，也要配备提供信息所需的工具与技术手段。 以及启动、停止和持续的努力。这与人员、流程和技术同理。但有句常言道：无法衡量或管理你未曾衡量的事物。衡量本质上是关键所在。因此我们展示了可能性评分和整体影响评估，确保以协同全面的方式集中管理这些信息将大有裨益。 那些仅凭电子表格进行尽职调查的企业，既忽视了威胁情报的全局视野，也忽略了验证报告的完整性。而仅依赖评分系统的企业，则无法对比供应商或外包方宣称的措施与外部视角的实际情况。 抱歉打断了你的发言，Alistair。你对这个话题有何见解？

阿利斯泰尔·帕尔：不，我认为这总结得非常到位。我想指出的是，我观察到当我们讨论集中式风险登记册时，组织往往特别关注网络安全或信息安全领域，同时存在一种趋势：将各类需要追踪的风险（无论是运营风险、财务风险、声誉风险还是更广泛的信息安全风险等）整合到统一视图中。 这未必意味着采用统一的风险登记册，但我们注意到人们正试图标准化计算和追踪风险的指标体系——这无疑是个值得关注的趋势。

布伦达·费拉罗：同意。阿利斯泰尔·帕尔：谢谢。关于职责分工，我之前曾简要提到过——至今我尚未见过由全职ITSM团队负责推动第三方管理及治理的案例。但正如您眼前部分数据所示，关键不仅在于配备合适资源。 关键在于将合适的人力配置到正确的工作任务上。2020年我们观察到一个渐进趋势：企业正通过自动化策略与技术手段，甚至在某些情况下采用外包模式，从而使专业人员和资源能够专注于核心活动。 例如信息安全专家、隐私专家等岗位，其职责不应过多耗费于评估细节的审核，而应聚焦核心痛点与挑战——专注于修复方案的验证工作。布伦达，这是否符合您的观察？

布伦达·费拉罗：我注意到各部门的参与度正在提升。无论是法务部、风险合规部还是采购部，都开始意识到我们对供应商的网络安全审查力度过大——不仅追问其网络安全措施，如今又开始追查非网络安全相关事项。这对供应商而言相当困难，因为他们需要应对大量重复性问题。在标准化审查中，我发现这些问卷从内部视角出发，能帮助法律部门、风险部门和采购部门持续掌握动态。这并非只是简单了解当前状况， 而是将信息归档，一年后重新调取复核，可能与其他部门共享也可能不共享。 如今采购部门正提出新要求：他们需要了解哪些信息能真正助力其工作——不仅是确保供应商入驻流程顺畅，更要掌握特定供应商的动态变化。 我们都在关注人员流动——既要了解他们过渡期间的工作表现，也要掌握他们离职时的状态。

阿利斯泰尔·帕尔：非常有趣。谢谢。阿利斯泰尔·帕尔：那么布伦达，从沉淀思考的角度来看，2020年你通常观察到哪些现象？布伦达·费拉罗：这个是我最关注的。这点非常、非常重要。你会发现，在我们进行过成熟度评估的对象中，有86%存在与补救指南不一致的情况。 这些受访者坦言：他们在信息收集和风险识别方面表现优异，但一旦进入整改环节并追踪整改闭环时，便开始力不从心。究其原因，可能是风险整改未遵循标准流程，或是未将风险应用于分层管理策略。 企业亟需攻克的挑战在于：如何让补救措施真正发挥效力。如今的首席信息安全官们（CISO）正宣告："我的职责已不再局限于风险降低。作为CISO，我的首要任务是管理风险——这些风险持续涌入， 我们需识别待修复事项，并全程掌控修复流程。若某方未予响应——无论是声称有计划却未完成修复，还是修复完成后需验证其是否符合安全态势与标准——我们该如何应对？ 此外，目前尚未建立统一的风险评分体系来评估这些反馈响应。 我们发现59%的受访者提到，他们正在监控威胁情报，这本应有助于结合供应商反馈和突发事件进行风险评估，但这些信息未能有效整合形成统一的风险评分体系。我非常期待2021年能解决这些问题。

阿利斯泰尔·帕尔：有意思。是的。 我赞同布伦达的观点。从修复工作的标准化角度来看，我们发现许多组织只是把第三方风险当作待办事项清单上的勾选项。随着人们逐渐意识到其重要性，这种情况正在减少。正如布伦达所说，首席安全官们越来越意识到他们需要识别这些挑战，并采取行动——而不仅仅是观察第三方资产中存在的风险。我们看到越来越多的人开始寻找机制和方法来应对这些挑战，通过合同形式强化供应链管理，启动验证流程并实施有效管控。我们正见证越来越多企业建立机制，通过合同条款强化供应链管控，启动验证与有效控制流程。若要总结2020年的状况，这就像在"折磨猫"—— 纯粹聚焦第三方风险管理，本质上是在艰难构建可扩展的有效体系。正如预期，该领域存在大量协作需求——这绝非仅凭内部资源可解决，协作需要跨领域的专业知识与主题知识，当然，运气成分也占了相当大比重。我特别喜欢这个比喻，因为它确实精准地描绘了这种"折磨猫咪"般的困境。

布伦达·费拉罗：确实有这种感觉。阿利斯泰尔·帕尔：那么，这基本上概括了我们对2020年迄今所见现象的观点。 接下来我们将探讨2021年可能涌现的关键挑战与主题。其中既有2020年解决方案的演进，也有应对第三方风险的全新挑战与方法。 好，进入第一张幻灯片。主题是"拓展第三方视野——内部与外部维度"。我们指的是2020年已显现的趋势：部分源于对运营韧性的应对需求，但更重要的是企业开始需要理解第三方与业务的具体交互方式。 历史上太多项目仅关注组织外部：获取常规合作的第三方原始清单，却未将其与具体业务领域或业务背景关联。如今我们看到突破性进展——不仅基于采购/法务/财务等部门提供的基础清单，更开始与业务部门深度对话：为何选用该第三方？ 他们能带来什么价值？具体承担哪些职能？这些背景信息至关重要。同样重要的是，必须深入到M方（即合作方）层面，准确评估该第三方组织本身带来的真实风险等级。当前实践中，企业正开始设立业务部门内的关系负责人。 若尚未设立，我们预计未来将有更多企业明确界定关系负责人——即专人负责管理与协调第三方事务。同时我们预期出现多重利益相关方，这意味着企业不同部门往往会对第三方产生某种形式的利益关联。 当我们评估特定第三方供应商的集中风险（稍后将深入探讨）时，或单纯考量因某供应商中断服务导致的营收交付挑战——尤其当该供应商同时支撑企业多个业务板块时——这些问题都要求我们强化对初步分层与画像分析的关注与验证。 我们观察到一个普遍趋势：初始数据集——布伦达稍早前也提及过——即用于理解第三方身份、业务范围并进行初步分析的数据集，其质量历来欠佳。 这些数据集，尤其是历史遗留数据集存在明显缺失。我们已开始观察到，并预期在2021年将看到更完善的采购流程——即预先共享必要数据以有效实施相关计划。这自然延伸至终端方管理环节，稍后布伦达和我将对此展开更深入的讨论。 这涉及构建 综合档案体系，即整合企业内部所有与第三方打交道的部门——财务、法务、采购、信息安全、IT保障、隐私保护等——最终形成对第三方全景式监控。这自然引出了我们的最后一点：更全面的第三方生命周期管理。 从入职到离职的全周期管理，需要更完善的流程定义与执行机制。我们将探讨部分主题，布伦达，您是否想补充些什么？或是分享您在实际工作中观察到的现象，以及对2021年的展望？

布伦达·费拉罗：是的，当然。要识别宇宙的内外环境及其接触点，始终是引发挑战的关键所在。我认为随着2021年的到来人们将开始采用新方法，直接向供应商提出初步的标定和分析问题，以修正信息或将其与现有记录进行比对。这类似于当有人要求你说明："我提供的是这项服务，这是我能为你做的事。 业务范围"，再将其与您掌握的威胁情报进行匹配对照。若需快速启动工作，我观察到威胁情报正被用作优先级排序工具——当亟需获取信息时，它能勾勒出第三方供应商生命周期中的关键环节，供初期阶段参考。 因此我们正探索非传统途径：当缺乏供应商联络人信息时，如何确定对接对象？ 当需要启动工作时，我们该向内部哪些人寻求支持？毕竟要完成全垒打才能跑遍所有垒位——若连第一垒都无法击出，就会陷入进退两难的境地。因此我们正致力于消除企业与项目受困的瓶颈环节。

阿利斯泰尔·帕尔：谢谢。所以，这里存在诸多复杂性。仅凭这张关于2021年的幻灯片及其配套计划的发展前景，就蕴含着大量机遇。 但我们清醒认识到，这种复杂性可能导致方案过度繁琐，从而难以实施和管理。这也是我们反复向合作机构的首席信息安全官、首席信息官等强调的核心观点：切勿过度设计第三方项目。 本次会议后续环节的核心议题，将聚焦于优化第三方项目运作效率，确保现有项目实现最佳成本效益。

布伦达·费拉罗：是的。我特别喜欢那幅图。虽然不必反复回顾它，但构建项目的演进路径和路线图至关重要。切勿贪多嚼不烂。回到那幅大象与小鸟的比喻，通往目标的路径确实存在，但这需要一个过程。 这并非你想要大动干戈之事。阿利斯泰尔·帕尔：布伦达，我很好奇。从前期商业洞察和用户画像分析的角度，你观察到哪些趋势？2021年有哪些特别有效的策略值得关注？

布伦达·费拉罗：是的，我真的很期待2021年，正如你之前提到的，艾利斯蒂尔，我们将开始关注客户画像分析——这意味着要明确我们究竟要为哪类公司提供尽职调查服务，以及这些服务在具体情境中如何应用于我的公司。这样才能实现有意义的风险管理，即聚焦于真正重要的信息。我们究竟要为哪类公司提供尽职调查服务？这些服务在具体情境中如何应用于我司？通过这种方式，我们才能实现有意义的风险管理——聚焦关键信息的同时，更要在接触特定企业前明确：他们的服务覆盖哪些区域？ 包括威胁情报系统标识的制裁区域，掌握客户支持机制的运作方式，并建立清晰的关联图谱或链接日志，清晰呈现尽职调查中需考量的内部因素。 公司某些部门可能表示："我们清楚必须与特定供应商合作，尽管存在风险，但基于风险承受能力，在对方整改期间仍可继续合作，不过需加强监管力度。他们可能存在资源限制，因此需评估如何解决这些限制——无论是内部还是外部因素。" 因此我认为，在合作初期加强尽职调查的重要性将有助于完善尽职流程。同时需时刻谨记：合同条款会变，合作模式会变，必须建立能应对变化的机制——当变更发生时，要么提升审查标准，要么确保原有审查内容完全契合新合作模式或修改条款的需求。

阿利斯泰尔·帕尔：根据我观察到的情况，我想补充的是——正如您眼前图表所示——我们在前期考量中发现了一些共同主题。以往人们往往仅依据合同价值进行评估，随后再进行一定程度的调整。 无论是否借助威胁监测工具，本质上都需要深入企业内部审视：除合同价值外，其业务是否涉及监管义务？支持哪些业务板块？是否涉及多领域？是否存在集中风险？ 他们实际提供哪些服务？地理分布如何？这种情况固然理想，但若最终将70%的业务资产归类为关键层级或一级层级——即便名义如此——现实中可能根本不具备应对这些风险的内部能力。 因此，根据实际消化能力调整分级方案以确保计划有效性，已成为日益普遍的趋势，预计2021年仍将延续——即对供应商资产进行比例规划，使其与初始评估结果及实际处理能力相匹配。 我并非主张调整分级标准来匹配容量——毕竟业务决策应由企业自主决定——但至少需要明确认知：在实施风险评估与分级时，必须设定清晰的界限点，界定实际可达成的处理能力。好的。接下来，关于布伦达公司内部的既得利益方，您预见哪些特定趋势？

布伦达·费拉罗： 采购、采购、采购。采购领域将迎来巨大变革，因为当我们通过采购建立完善体系后，它将与下游已识别事项形成互补。 我们将通过问卷调查和威胁情报，从内到外、从外到内收集数据和信息，这些信息适用于不同组织特定的风险登记册。正如我们早先讨论的，越来越多的部门开始向第三方风险管理部门询问：你们收集了哪些信息？这些信息可用于响应监管要求或为公司风险决策提供依据。法律部门需要通过综合性工具，从其视角精准获取所需信息。而风险管理、信息安全及技术风险领域，则要求建立持续评估机制。 他们需要设置预警机制，及时识别异常状况并保持密切监控。至于运营部门，我们讨论的是整体韧性建设，确保2021年的运营效率能清晰展现供应链全景图。 审计环节同样关键。若从三道防线视角审视，当事件发生时，必须能通过综合工具快速定位断点所在、追溯根本原因，并评估其上下游影响。 审计方需要全面掌握企业运作全貌，而无需深入学习整个项目体系。因此在2021年，务必选用能向审计方展示"供应商合作全生命周期中风险治理与管控流程"的综合性产品。Alistister，您有何见解？

阿利斯泰尔·帕尔：我完全赞同你开篇强调的采购、采购、采购。采购环节被刻意置于核心位置绝非偶然。我对此深表认同，并预期2021年采购领域将呈现显著发展——采购环节蕴藏着海量数据，在对接第三方时，采购部门本质上是第一道关卡。他们在谈判过程中拥有相当大的话语权和影响力，能促使第三方投入时间参与更广泛的项目，在合同转为常规业务前收集必要数据——毕竟一旦供应商或第三方拿到钱，后续工作可能就会松懈。我并非暗示这种情况普遍存在，但确实偶有发生。 因此，我们预期2021年将更广泛运用采购工具。而组织内其他关注第三方数据的部门——无论是法务、风险管理、运营还是审计——自然会从不同视角审视所需数据。这引出了我们预期的行业新常态：建立全面的360度画像。 这种模式之所以日益凸显——甚至可以说比以往任何时候都更普及——是因为技术已然成熟，且经过合理整合，能够通过单一界面或更集中的视图实现数据消费。这意味着各业务领域将不再各自为政，以略有差异的方式孤立聚合相同数据。 我们正见证核心档案通过多元数据源与工具构建完善。展望2021年即将普及的趋势，核心在于评估体系及其细分类型：

• 基于隐私的评估
• 信息安全
• 运营韧性
• 合规驱动的评估
• 商业画像评估
• 反贿赂腐败
• 现代奴役评估

我们正看到大量不同类型的内容逐渐成为常态，而非仅仅是网络安全层面的补充条款。正如布伦丹早先提到的，关键在于捕捉最初的认知——最初的网络安全视角。虽然这可能仅是第三方提供的外部视角，但它仍能帮助我们理解其风险态势及其环境管理方式。业务数据本质上是与组织相关的历史业务事件，这些事件可能具有重要意义。例如运营变更、区域调整、产品发布动态、新增服务线等。这些信息能帮助理解企业的时代特征及其实际运营状况。财务数据的重要性将日益凸显。 当然，目前部分业务已开始应用，但财务数据应整合至供应商档案中。包括其财务稳定性、未来12个月破产或资不抵债的概率，以及此后发生的任何主动事件。例如主动上报数据泄露、服务中断、并购动态等相关事件。追踪各类认证资质——只要能获取认证证明，就应展示认证而非重复进行形式略异的评估。正如布伦达所言，关键在于追溯最终服务方。 该供应商使用哪些服务商？与其服务相关的第四、第五、第六、第七层供应商有哪些？简而言之，我预期2021年将出现这种整合视图——单一档案整合多方要素，而前一页所示的各相关方将分别关注该供应商档案的特定组成部分。但与各自为政的孤岛模式不同，我们将看到企业间更紧密的协作——在前期就整合这些要素，使供应商流程更高效、数据更易获取，并实现更精准的数据集分析。布伦达，我很好奇您是否也预期2021年将出现这种趋势？

布伦达·费拉罗：我很期待在2021年看到这个。如今有太多企业使用着彼此无法互通的工具。而你们所呈现的正是这种全面的分析能力——通过单一视角洞察全局。这样当你审视数据时，就能真正进行前瞻性的分析评估。 若缺乏这种能力，数据便会碎片化，如同拼图时只能完成局部。 但当整个拼图完整呈现，所有信息在单一屏幕上清晰可见时，对从事这类工作的人而言将极具价值。回想之前展示华丽建筑的幻灯片——它确实精美绝伦。整个项目确实能呈现出璀璨夺目的效果，但唯有整合所有零散部件，才能真正实现这种闪耀的星辰式呈现。

阿利斯泰尔·帕尔：谢谢。非常有趣。那么，如果可以的话，我想请教您如何看待布伦达的端到端生命周期？从采购到离职，在2021年如何演变？布伦达·费拉罗：如果您看这张幻灯片，会发现有两种不同的颜色。 前两个箭头采用浅蓝色，后三个则为深蓝底配灰色。重点关注后三个阶段：供应商库存管理与入驻流程、优先级排序、尽职调查中的评估与监控——这些正是多数企业2020年前的聚焦重点。 2021年我们将见证新趋势：在采购生命周期中融入源头管理、需求提案及合同环节的能力。通过整合互补信息优化流程，使我们在生命周期更前端阶段就为成功奠定基础，这将满足企业需求，确保管理要求能应对大规模第三方合作的复杂性。 这并非彻底颠覆现有模式，而是聚焦于采购周期前期尚未充分运用第三方风险管理先进能力的环节。此外，监控机制将贯穿整个生命周期各阶段： 首先，可运用威胁情报筛选RFP/RFX供应商；其次，通过标准化风险信息与监控数据调整合同条款——当供应商表现未达预期，或如先前讨论的业务范围变更时，必须确保尽职调查到位。 其次是供应商库存管理，确保信息获取及时性。2020年我们目睹过挑战：某些供应商被新增却未被察觉，因缺乏洞察力而未能履行尽职调查。 第三方或多级供应商数据库至关重要，它不仅能帮助您掌握供应商清单，更能清晰呈现供应商的业务性质、与贵司的协作方式，以及他们如何贯穿贵司内部业务单元直至外部终端客户。 至于优先级排序——相信在构建第三方风险管理项目时，各位都曾像我过去那样深有体会：采购部门总在不同时间段善意地提供各种名单，这些名单包含数以千计的第三方乃至第四方供应商，面对如此庞大的信息量，我必须采取渐进式方法来确定优先级——哪些是首要关注对象，哪些次之，进而对供应商进行分层管理并制定评估计划。 看到这些环节协同运作、相互补充，并在输入输出间形成某种依赖关系，这构成了更闭环的运作模式。我期待这种模式成为我们迈向未来的2021年愿景。Alistister，您对此有何见解？

阿利斯泰尔·帕尔：非常有趣。我看到的情况非常相似，而这张幻灯片中令我感兴趣的是——在蓝箭头标记的初期采购活动中，通过监控管理关键绩效指标来识别最佳来源并持续监测其表现。 这种模式在第三方管理项目中直到最近仍相当罕见——通常负责评估和维护第三方关系的团队并不参与治理。 但这种模式正日益普及。我注意到且预计在2021年将持续的趋势是：这些绩效指标与KPI要求正融入更广泛的生命周期管理，不再仅限于特定时间点或支持合同续签等环节。越来越多的组织开始将条款追踪、合同条款核查及预期管理纳入评估工作流程本身，从而发现偏差。 典型案例是：在RFP合同阶段就提供安全补充条款，随后不仅在初始评估时验证，更在3个月、6个月等后续节点持续验证，以此实现双重目标：a) 管控风险；b) 合同期满时重新谈判条款。通过合同谈判实现成本节约——无论是基于安全缺陷还是服务交付缺陷——确实能带来可量化的投资回报。这种可明确证明的投资回报率，正是该领域多年来所缺失的。尽管业界正转向公平模型，试图将财务风险与识别出的风险成本挂钩， 但这仍未能解决核心问题：我们从更广泛的第三方管理项目中究竟获得了多少投资回报？要知道，我们至少应实现实实在在的现金节省——如今已有机构开始践行这一理念。

布伦达·费拉罗：同意。阿利斯泰尔·帕尔：布伦达，我想听听你对终端点映射的看法。这无疑是2021年的热点话题，但你认为哪些方面会更具代表性？布伦达·费拉罗：是的，大家开始深入挖掘了。 他们不再止步于第一道防线，而是深入多层边界来识别风险：如何快速响应事件管理？在弹性管理方面，当计划出现偏差时，如何精准调整策略？若进展顺利，又该如何将这些方案扩展应用于更多服务？ 因此，"识别-评估-关联-维护"的工作流本质上是确保你全面掌握合作的第三方、第四方及终端方。通过内部外部映射构建供应商/外包商/厂商管理数据库，并持续维护该数据库，从正反两方面审查可能发生的任何情况。 若深入实施，初看确实令人望而生畏，如同"煮沸海洋"般艰巨。但2021年的技术手段能助您一臂之力——例如获取威胁情报报告，其中会列明合作企业的关联方信息。 一旦发生安全事件，就能迅速定位受影响的第三方，评估其对内部外部的影响范围，从而及时调整工作流程、业务流程，或启动业务连续性计划与灾难恢复计划。我分享个真实案例： 过去我们曾遭遇过这样的情况：某次安全事件由第三方引发，而该第三方又牵涉到第四方。由于我们未能充分了解第三方对第四方的尽职调查情况，导致我们暴露在未知风险中。我们需要明确自身风险，除非是环境因素或突发事件，否则绝不愿面对未知风险。 因此管控这些风险至关重要。我必须强调，即便这不是你们2021年当前关注的重点，也务必在迈入新的一年时着手推进——当首席信息安全官或高管询问"这将如何影响我们"时，你们必须能随时掌握全局态势。

阿利斯泰尔·帕尔：我完全赞同这个观点。谢谢。与此相关的是，我在英国确实观察到，现有的指导方针、框架和法规正开始支持对第四方或第N方的追溯。也就是说，由相关组织制定的政策在某种程度上支持这种追溯——通过理解下游环节的影响及其对自身业务的潜在冲击。 我们看到不仅监管机构开始关注终端方，正如你所言，这不仅关乎安全问题，更在于下游N方将获得切实利益——这种价值正逐步显现。你举的案例很贴切：当发生数据泄露或服务中断时，理解其对整个第三方链条的连锁影响至关重要。 我认为这张图很好地说明了这一点。如果我们单独挑选这个网络中的任何一个点，它呈现的画面与看到周围关联时截然不同。这就是为什么我们预计在2021年，越来越多的人会开始定义他们拥有带宽资源的位置。 其根本含义在于：供应商这艘巨轮下潜藏的风险已难以容忍。我们所指的是支撑所有第三方服务的供应商与实体构成的海洋——在运营韧性提升与风险容忍度降低的双重推动下，该领域于2020年已然凸显，且预计这一趋势将延续至2021年。 迄今我们主要聚焦于现有计划的演进——即基于既定框架规划未来方向。但另有关键议题需探讨：2021年初启动的全新基层计划。在构建这类计划时，我们观察到若干超越2020思维模式的考量要素。 当前有若干重点事项，其中我认为2021年将日益凸显的是：明确定义核心指标。必须在前期就确立成功与失败的标准——过去数十年我们屡屡目睹的失败案例，往往源于企图包揽过多事务，最终导致自掘坟墓。 我们注意到，进入年末及明年的第三方项目正更明智地设定成功指标，从而明确项目在六到十二个月内需达到的具体目标。 但与其根据问题规模分配资源，不如在前期就做出决策：基于预算、能力及组织整体范围，明确对一级供应商的预期达标水平，对二级供应商的验证与整改要求等，并明确需汇报的成功指标。 新计划中另一个关键议题是人为因素。这一议题虽已发展多年，但当前核心在于：如何在采购后构建全面的第三方实体档案？尤其当法律或合同义务缺失或极为宽松时，这些主体往往仅投入最低限度的精力配合工作。 这种情况在企业内部同样适用。我们观察到营销部门开始介入并支持相关活动，运用其专业知识和指导策略，通过调动人员参与获取反馈并收集信息。这包括在企业内部沟通中运用权威声音， 甚至会设定严格的时间框架发布评估要求——例如指定日期发布评估，要求在限定时限内反馈。这种流程设计契合人类行为规律，能有效从第三方和供应商处获取信息，我们发现这种方法在构建用户画像方面正变得越来越有效。 布伦达，关于2021年即将实施的新计划，您是否还有其他想补充的见解？布伦达·费拉罗：您阐述得非常到位。我确实没有重大补充。我认同您提到的所有内容及其所展现的趋势。

阿利斯泰尔·帕尔：谢谢。那么关于持续管理，您有何见解？这些机制建立后，您认为它们将如何演变为常态化运营并实现持续改进？布伦达·费拉罗：是的，我的观点确实发生了转变。当我为企业提供咨询时，我会告诉他们必须摆脱2021年那种一次性评估的做法，真正聚焦于持续评估。 之所以强调持续评估，是因为我们常听到监测和问卷调查，有些公司会根据供应商等级设置一年、两年或三年的评估周期。但现在低风险和中风险供应商的周期更长，我能理解这种做法。 如果某供应商未发现风险且无需整改，仅进行抽查即可。 但对于那些需要全程追踪风险直至关闭、且已实施整改计划的供应商，就必须在风险完成时进行验证。这不仅能展现其风险管控能力，若其实施了有效的整改措施，更能使贵方的风险态势处于有利地位。 因此我建议重点关注两点：一是确保当前工作持续开展，二是建立持续评估高风险第三方供应商的机制。若威胁情报出现变化或发生安全事件，则需立即重新评估。尽量避免采用一次性评估模式，选择能轻松实现规模化操作的平台。 您甚至无需刻意筛选高危或关键风险，更不必忽略中低风险。自动化机制能让您全面覆盖所有风险等级，依托平台配置的自动化功能，这项工作将变得轻而易举。Alistair，您是否也认同这个观点？

阿利斯泰尔·帕尔：确实如此。 是的。持续监控与持续改进的理念在第三方风险管理中的渗透确实较为缓慢，主要原因在于资源投入不足，同时企业也希望保持年度工作的连续性和一致性。不过我完全认同，人们正在探索更直观的方式来维护既有标准、框架和要求，同时推动项目演进，并确保对第三方供应商保持持续洞察。 布伦达，现在我非常想听听你对各类网络平台的见解。当前存在多种网络平台，若运用得当，它们显然能创造巨大价值。你认为这类平台明年将如何演进？

布伦达·费拉罗：我注意到，在标准化进程中，我们不再仅关注由单一企业主导的特定网络。例如医疗供应商网络或法律供应商网络。 我们真正关注的是各种规模的企业。这种综合性配置文件将使小型企业能够看到他们需要了解的内容，并从网络中其他企业的实践中获得价值。这样他们就能开始进行风险整改。 他们既能以社区形式协作，也能获取适配自身规模的信息。有些企业每年仅评估25家供应商，另一些则评估上万家。这种跨企业信息共享机制将在2021年实现广泛普及，成为行业常态。 供应商风险管理将迎来新阶段：当某方完成风险评估或整改后，相关信息将自动推送至相关企业，无需逐家告知"我已完成某项整改"，客户只需在系统中查看即可。 我已将其上传至供应商门户，客户便能在系统中自动查看到该信息，并能采取后续验证或接受等行动。此外，网络中即时响应信息流的出现也将极具价值——当需要跨行业或特定行业乃至多行业协同行动时， 人们将开始利用这些网络图及更高层级的信息进行共享与比对，这将使我们能够强化全球范围内的防御态势，而非仅限于单个企业或供应商。艾利斯特，您怎么看？

阿利斯泰尔·帕尔：是的，我完全赞同你刚才的观点。我预计2021年网络将更趋向供应商中心化。这意味着将视角转向供应商，为他们提供便捷且可扩展的方式，使其能够在更广泛的客户群体中实现信息共享。从客户乃至供应商反馈来看，这种"一对多"的模式正变得日益重要。此外，当前网络数据中大量服务线特有的信息，往往被整体解读为供应商层面的数据。这种情况同样适用于各类监控网络等场景——这无法有效呈现全貌。根据我们的观察，实现有效洞察的唯一途径是通过评估。 因此，协助供应商提供基于服务线的信息洞察与评估能力将尤为关键。 简而言之，我们预计2021年将有更多组织开始构建其混沌架构——这无疑是令人振奋的消息。遗憾的是，由于封锁措施，布伦达和我近期未能重现这一愿景，但当看到第三方项目逐步落地并实现规模化交付时，我们确实常有此感。

布伦达·费拉罗：这绝对是我的发型布伦达·费拉罗：这是我的笑容阿利斯泰尔·帕尔：现在我们还有几分钟进行问答环节。其实整个会议过程中我们一直在穿插回答问题。但如果您仍有任何疑问，请随时在聊天窗口提出。 在此期间，我们准备了几个投票环节。请务必参与投票，让我们了解各位的现状。投票进行时，我们会同步解答部分问题。首先我将精选一个问题——我们收到不少提问。 布伦达，若允许我请教：当管理层未制定明确的风险评估计划时，内部审计如何在不直接参与计划制定的情况下提供建议？

布伦达·费拉罗：是的，这是我今天最喜欢的问题。我建议从顾问角度出发，对贵公司的尽职调查流程及项目应用情况进行成熟度评估。有些企业在采购周期中采用认证问卷形式。因此，我首先建议您可联系Prevalent公司。 我们可以对贵司采购部门进行不成熟度评估，或协助识别流程断点与缺口。之后您可将评估结果作为试金石，委托外部机构开展内部审计——这将有效证明项目实施带来的投资回报及其他价值。

阿利斯泰尔·帕尔：谢谢布兰登。接下来这个问题涉及Nth方。简而言之，想请教的是：监管机构或更广泛的企业界目前对Nth方采取了哪些支持措施或关注重点？ 布伦达·费拉罗：正如阿利斯泰尔所言，经历了动荡的一年后，部分监管要求正逐步落地。所有监管机构都开始审视监管的广度、深度和范围。我认为，若需具体案例，NIST和ISO标准中确实存在涉及第四方和最终方的通用条款，但预计到2021年，相关监管要求将更加明确。

阿利斯泰尔·帕尔：感谢各位。对于未能及时回答的问题，我谨向所有提问者致歉，但希望大部分问题已在讨论过程中得到解答。现在已到整点时刻。首先要感谢布伦达今日的参与。 您的见解极具启发性，我非常珍视您的观点与洞察。布伦达·费拉罗：谢谢。这次交流对我也是种享受。随时欢迎，阿利斯泰尔。如果您愿意，我每天都可以来一次。

阿利斯泰尔·帕尔：我认为我们很可能会采取这种做法。感谢所有与会者今天拨冗参加。如有任何疑问，请随时与我们联系。 我们非常乐意提供建议，正如布伦达所提到的，将通过成熟度评估指导等方式予以支持。今天就到这里结束。再次衷心感谢各位，祝大家余下时光愉快！