专家网络研讨会：两位从业者对第三方风险管理的看法

阿什莉：我是阿什莉，在普瑞文特公司负责业务拓展工作。今天我们有幸邀请到几位特别嘉宾。萨米拉·唐纳，Booking.com的合规经理。萨米拉你好。

萨米拉：大家好。很高兴来到这里。

阿什利：呃，鲍勃·威尔金森，网络马拉松解决方案公司的首席执行官。鲍勃，最近怎么样？

鲍勃：进展顺利。

艾希莉：最后但同样重要的是，我们自己的产品营销副总裁斯科特·朗。

斯科特：嘿，艾希莉。呃，先说几句注意事项。本次网络研讨会正在录制，结束后我们会尽快发送录播视频和演示文稿。 目前各位麦克风均处于静音状态，但我们非常欢迎互动。请将问题提交至问答区，我们将在研讨会结束时集中解答。今天萨米尔、鲍勃和斯科特将分享他们对TPRM的见解。现在我将主持权交给各位。

斯科特：太棒了。谢谢艾希莉。各位好，欢迎大家。正如艾希莉所说，希望身处美国的各位都度过了愉快的感恩节，已经从火鸡带来的倦怠感——或者说色氨酸倦怠中恢复过来，准备好重新投入工作了。嗯，正如艾希莉提到的，今天我们有两位特别嘉宾。 今天的网络研讨会将采用开放式问答形式，我们会提出几个问题，并就这些特定主题以及第三方风险分享不同观点。相信这会是一场生动有趣的研讨会，值得大家全程关注并做好笔记。 正如艾希莉所说，我们将在明日将本次研讨会的完整录像及演示文稿发送给各位，以便大家随时回顾内容，通过反复聆听和研读获取更多管理第三方风险计划的宝贵见解。 那么接下来，我将请萨米拉和鲍勃做个简短自我介绍，为今天的讨论铺垫基础，也让大家明白为何值得关注这两位才华横溢的专家。萨米拉，请您先开始。

萨米拉：好的。大家好。很高兴来到这里。我是萨玛·D·梅耶。我常驻阿姆斯特丹，所以你们可以看到外面已经相当暗了。我在一家在线旅行社Boogie.com工作，至今已有五年半时间。 目前负责第三方风险管理和金融犯罪合规项目。在加入在线旅游公司之前，我曾在多家律师事务所工作，为大型企业提供合规政策咨询，指导如何最佳管理第三方风险。在Booking.com期间，我从零开始建立了第三方风险管理项目，这其实非常令人兴奋，因为项目设计拥有很大灵活性。 目前正带领团队持续扩张。对于不太了解Booking.com的朋友，我们已从荷兰初创企业成长为全球最大电商公司之一，通过数字技术投资消除旅行中的摩擦点。最初仅提供住宿预订，现已覆盖旅行规划全领域，让客户无需辗转多个平台或服务商即可完成行程。 用户还可通过我们的平台直接预订地面交通、租车、景点门票及航班。很荣幸能参与本次活动，期待这场富有洞见的专题讨论。

斯科特：太棒了。那么，欢迎山姆。呃，鲍勃，接下来请你。

鲍勃：谢谢你，斯科特。呃，我叫鲍勃·威尔金森。在金融服务领域工作了——呃，时间长到我都不愿回忆了——期间担任过首席信息安全官、运营风险主管等多个职位。 过去八年我作为独立顾问，专注于运营风险与信息安全领域，尤其侧重第三方风险管理。这个领域我几乎从其萌芽期就参与其中，期待今天与萨米拉和斯科特的交流。

斯科特：太棒了。太棒了。这真是太好了。欢迎鲍勃，也欢迎你们两位。非常感谢你们提供这次交流的机会，我认为对与会者来说会非常有教育意义。正如我之前提到的，今天通话的格式我们将直接进入提问环节，这些话题在与第三方风险管理专业人士和从业者的交流中经常被提及。 我们将提炼这些核心议题，并请萨米尔和鲍勃分享他们的见解。在今天的分享过程中，请大家将问题输入Zoom应用的问答窗口。我们会进行分类筛选，并在分享环节中向两位专家提出。好的，现在进入今日首个问题。 我们先从一个大问题开始——监管。行业内监管要求层出不穷，尤其在第三方风险领域。过去一年监管机构动作频频：美国证交会出台新的网络安全报告要求，美国金融业发布跨机构指导意见，多项人工智能新规相继出台，当然还有源源不断涌现的欧洲ESG类法规。鲍勃，我想问的是————你认为当前最大的挑战是什么？哎呀，我好像跳过问题了。那么，未来12到24个月的第三方风险格局将如何演变？作为从业者，我们该关注哪些领域？如何对未来一两年的格局变化进行优先级排序？

鲍勃：哎呀呀，斯科特，我认为关键在于执行力。监管机构已经非常明确地表明，他们关注的是执行情况——你们是否在践行承诺？ 正如你所说，各机构出台了大量新规，不仅限于银行业和金融业——要知道医疗保健等其他行业也始终存在监管要求。但从覆盖范围广阔的金融服务领域来看，监管重点始终是：践行承诺并能证明你确实履行了承诺。 跨机构指导方针的更新尤为值得关注——"跨机构"这个表述本身就颇具深意，因为此前OCC、美联储和FDIC的指导意见存在细微差异。此次监管的核心在于统一标准，即达成共识，并主要整合了OCC在2020年发布的补充性常见问题解答。 监管机构关注的核心问题——这有时与银行及其他金融机构的做法存在矛盾——在于监管者不满足于合规性，他们更看重风险管理。而金融服务行业往往过度聚焦合规，但合规性并不必然等同于有效的风险管理。我认为这将是未来的主要趋势。 美国可能出台更多针对金融服务公司环境影响的监管政策，这无疑是即将浮现的领域。从欧洲视角看，环境与社会立法的持续关注将延续——继今年1月生效的德国供应链尽职调查条例之后。哦，我认为我们失去鲍勃了。

斯科特：嗯，我觉得你确实有。

斯科特：嘿，鲍勃。嘿，鲍勃，你听得到我们说话吗？我们听不见你的声音。好的，那我们暂停一下。鲍勃·西蒙，我把话筒递给你。说说你对欧盟现状的看法吧。监管机构是否特别关注某些合规漏洞或风险？

萨米拉：嗯，我觉得鲍勃刚才确实搭了个不错的过渡。我听见自己说话了。

萨米拉：你好。你好。

斯科特：是的，我们听到了。是的，我们听到了。我听见自己在重复自己。

萨米拉：再试一次。

斯科特：萨姆，我们能听到你吗？测试音效：行。行。还是有回声。我觉得大家都回声。我觉得大家都这样。

鲍勃：鲍勃，你呢？我们能听到你吗？能听到吗？

萨米拉：萨米拉，再试一次。

萨米拉：你好。你好。

萨米拉：我想我想 哦，不。不。喂。喂。喂。

鲍勃：我只听你一次。

斯科特：好的，鲍勃。我也这么认为。

萨米拉：有可能。嗯，我觉得是。嗯。都好。

斯科特：太棒了。

萨米拉：那么，让我继续谈谈欧盟法规。鲍勃已经做过介绍，但确实，在欧盟方面，我们确实看到围绕企业可持续性尽职调查指令的一些动向。这项立法要求适用范围内的企业履行尽职调查义务，对其全球价值链中涉及的用户人权和环境损害承担责任。 这在实践中意味着什么？要知道关键在于执行层面。对企业而言，这实质上要求推动新的可持续发展风险缓解策略——即TPM计划或企业可能需要制定并实施措施，以应对供应链中的可持续发展风险。这在实践中意味着...（此处再次重复前文内容）

斯科特：我修好了。

萨米拉：一切顺利。

斯科特：是的。很好。

萨米拉：所以企业被要求履行——呃，你知道的，扩展尽职调查要求。我又在重复自己了。真不知道怎么回事。

斯科特：是啊，每次鲍勃取消静音时，我们都能听到你说话两次。所以鲍勃，如果你没在直接发言的话，就保持静音状态吧。

萨米拉：我觉得鲍勃刚离开。不过我很乐意继续聊。

斯科特：嗯。好。

萨米拉：所以您需要考虑在尽职调查要求中纳入可持续性问题，例如将其加入尽职调查问卷或实施审计，以便切实评估供应商对公认标准的遵守情况。同时，这些要求也应纳入合同义务和供应商行为准则中。 这无疑为可持续实践设定了明确的期望和要求，并规定了违规后果。例如，将公平劳动实践、废物减排、排放控制等内容纳入供应商行为准则和合同义务。 这属于实践层面，但同时我观察到——不仅限于欧盟，而是全球趋势——由于当前世界动荡加剧，制裁措施正日益增多。看看乌克兰战争或当前以色列局势就知道了。 强制制裁机制意味着每当冲突爆发，个人、实体乃至地区都可能面临更多制裁。这实际要求企业必须确保自身供应链及第三方供应商不受不断扩大的制裁名单影响。因此我认为，关键在于根据行业特性及合作供应商类型，判断新规与既有法规的适用性。 企业还需根据合作供应商的性质，审视更多涉及网络安全或可持续发展的法规要求。

斯科特：是的。抱歉，我想问的是——虽然你可能已经回答了——在监管执法方面，网络安全与非网络安全领域是否存在某种平衡？ 比如说，监管重心是否已从高度聚焦第三方网络安全管控，逐渐转向供应链管控、声誉管控或财务管控等领域？从行业角度看，你认为我们是否正逐步实现某种平衡，让这些方面趋于均衡？

萨米拉：我认为这真的取决于你所在的组织类型、合作的供应商类型以及需要遵守的法规类型。不过更重要的是——比如说你在一家组织工作，其中80%的业务涉及软件或科技公司，但20%则更多围绕游说活动公司展开。 我们不能简单说"80%的客户是软件公司，所以网络风险管理就该优先于剩余20%"——这取决于监管机构的类型及其风险评估标准。所以确实很难给出标准答案，风险衡量本身就充满挑战。

斯科特：嗯，嗯。这个话题正好能自然过渡到下一个问题。萨米尔，这个问题也适合你回答。你知道，向审计员证明的关键点之一就是：你们已建立某种层级的供应商风险管理（TPRM）体系，能够对供应商和经销商群体实施管控。 你们要进行定期报告之类的操作。比如说，当你们构建项目时——比如构建Booking.com项目，或者过去的其他项目——你们遇到了哪些挑战？又是如何应对的？

斯科特：你知道吗，在建立某种可持续的初创企业计划时？最大的挑战是什么？你是如何克服这些挑战的？

萨米拉：是的。嗯，确实，构建可持续的第三方风险管理（TPRM）项目需要应对各种挑战，对吧？而且要确保其长期有效性。不过我认为，首先想到的就是复杂性和专业技能的问题。 管理第三方关系可能相当复杂，特别是对拥有大量供应商或多元化供应链的企业而言。要么不清楚该对他们实施何种风险评估或尽职调查，要么甚至不清楚这些第三方在企业中的定位——可能存在五种不同的入职渠道，且这些流程并未集中管理。 因此你根本无法掌握这些第三方供应商的具体情况。必须采取系统化方法：根据风险等级对供应商进行分类，优先对高风险供应商开展尽职调查，同时借助技术自动化来简化流程，高效处理海量数据集。 嗯，我认为许多企业还面临资源限制的困境。有限的人力与技术资源确实会削弱供应商风险管理的成效。因此若有技术支持，善加利用总是明智之举。不过我过去至今观察到，多数企业都在寻求风险管控与业务目标实现之间的平衡点。

萨米拉：出去赚钱固然重要，但别忘了不遵守TPRM也会让你损失金钱。 所以关键是要让你的TPRM目标与整体业务目标保持一致。进行风险评估时，既要考虑风险也要权衡收益。确保风险管理措施不会不必要地阻碍业务运营。所以真正要做到客户至上，同时尽可能在风险管理中寻求平衡。

斯科特：是的，这确实是个很好的基础观点。商业影响与合规性之间的对立，或是商业影响与可持续发展之间的对立，又或是商业影响与未来风险衡量机制的良性流程之间的平衡——这确实是需要把握的关键平衡点。 鲍勃，你在构建贵司的TPRM项目时是否也遇到过类似情况？这些挑战是否与你之前面临的困境如出一辙？

鲍勃：呃，你现在被静音了。

斯科特：静音状态依然未解除。

鲍勃：好的。现在能听到我说话吗？抱歉。

斯科特：现在能听到你的声音了。就是这样。

鲍勃：好的。刚才确实遇到点技术问题。但萨米拉说的每句话都完全正确，特别是关于商业目标与风险管控之间的平衡。我想补充的是，在她的基础上，关键要确保管理层的参与度和支持力度恰到好处。如何向管理层传达使用第三方供应商的风险，对我来说是至关重要的环节。 必须建立沟通机制，必须明确利益相关方。而我对利益相关方的定义非常广泛——不仅限于直属管理层，还包括高层管理团队、业务部门、董事会以及所有需要协调的方方面面。最重要的是，采购部门必须与企业风险管理机构紧密协作。

鲍勃：话虽如此，我更关注的是从一开始就做好库存管理。说到库存，我不再推崇"第三方"这个术语，更倾向于使用"供应链"——因为若不清楚第四方和第五方的身份，当前领域中威胁行为者、黑客攻击等诸多问题，往往正是源于第三方和第四方的安全漏洞。 关键在于：必须深入追溯那些被定义为关键业务流程的供应链环节——这里"关键性"至关重要。全面掌握整个供应链状况，是该领域必须履行的核心职责。

斯科特：我觉得这正好引出了下一个问题，鲍勃，这次也请你来回答。首先需要进行供应商分类评估，明确供应商的资质状况，然后将其归入不同类别以便实施分级管理。但风险评估在整个流程中扮演什么角色？如何从评估阶段过渡到风险管理？具体该如何操作？

鲍勃：嗯，你必须明白对你业务至关重要的是什么，而这在不同行业之间存在差异。所以我们必须对此保持清晰认知。在这些讨论中，我们往往聚焦于金融服务和医疗保健领域。原因在于这些行业受到最严格的监管，同时也是因监管要求而形成最佳安全实践的行业。因为若无监管约束，有时很难为资源配置建立商业合理性依据。 但对我而言，关键性要素通常可归纳为三点：敏感信息、基础设施访问权限，以及第三方是否管理着任何关键内部控制职能。Octa事件就是典型例证，其中暴露了诸多问题。若采用这三项关键性定义，就能有效聚焦核心关注点。 另一种方法是咨询负责业务连续性与灾难恢复的IT人员，他们清楚哪些关键供应商必须保持可用状态，才能确保业务服务的持续交付。

斯科特：太好了。我的意思是，萨米尔，这和你对用户画像的看法一致吗？我是说，你从你的角度来看，怎么看待这件事？

萨米拉：对了，你现在还是静音状态呢。

斯科特：我正在静音。

萨米拉：我只是在小心行事。

斯科特：明白了。好的。

萨米拉：作为合规专业人士，我始终主张必须将合规性作为风险领域纳入考量。当然，贵组织可能存在其他更相关的领域，但总体而言，必须确保在安全、隐私合规等风险管理中做到位。不过具体实施需视第三方类型及可用工具而定——若能将更多风险领域纳入评估范围自然更佳。无论贵组织合作的是10家、千家甚至万家第三方供应商，核心问题始终如一——资源永远有限。因此必须思考如何高效配置资源。我坚信第三方风险管理（TPRM）的本质，在于最大限度优化企业有限资源的运用——不同风险团队需聚焦不同第三方及风险类型，重点关注对组织影响最大的领域，并制定能帮助企业更主动管理第三方风险的策略。 如何优化第三方风险管理计划以做出更优业务决策？这些核心问题需要企业认真思考：哪些供应商对公司构成最大的合规、监管及声誉风险？基于此构建风险管理方案。 是的，这观点很精辟。我和鲍勃都强调的核心在于：归根结底这关乎运营韧性或业务连续性。企业自身必须确保这些能力，同时在与第三方供应商合作时，必须理解其运营流程的韧性与连续性，避免对服务交付、 产品交付、系统可用性等环节。这正是驱动风险评估决策的核心逻辑。总之，你们对这个问题的把握非常精准。那么鲍勃，既然你提到了这个话题，我想进一步探讨—— 如何突破第三方供应商的局限？试想一个同心圆模型：核心是本组织，外围依次是第三方、第四方供应商，再延伸至整个供应链体系，最终向无限延伸。如何应对这种复杂性？如何全面审视供应链或供应商生态？

鲍勃：嗯，你知道，这真是个耐人寻味的问题。首先，当你考虑第三方供应商时，如何确保掌握完整的第三方清单？如何确认所有业务部门都遵循统一的操作规范？ 嗯，在入职环节。解决这个问题的途径之一是调取过去两年的应付账款数据，你将看到所有付款对象，这将成为识别第三方供应商的绝佳起点。 但若要深入了解第四层、第五层供应商，可通过合同条款要求所有供应商披露其合作关系中涉及的下级供应商。关键是要在合同中加入条款：当供应商变更接触敏感信息的合作方时，必须事先书面通知。正如斯科特所言，这种逐层扩展的同心圆式追溯方式能帮助企业厘清关系链。 但需谨记：多数针对组织的网络攻击始于第三方。人们往往忽视的是，这些攻击如同剥洋葱般层层推进——许多攻击正是从第四、第五层供应商发起。因为当你竭力完善第三方管理计划，要求其妥善保护自身、你的信息及商业关系时， 而恶意行为者、威胁行为者对你的举措了如指掌。他们会说："好，漏洞在哪里？我能攻击的薄弱点在哪里？" 而薄弱环节往往正是那些第四、第五层供应商。因此，若能明确关键业务要素的定义，便可聚焦于第三、第四、第五层供应商关系，深入评估潜在风险暴露。这又回到了萨米拉早先的观点：我们的资源有限，必须审慎决策如何配置资源，以最大程度降低业务风险。

斯科特：萨米拉，这个问题或许也该交给你来回答。从你的角度来看，你们是否成功要求过第三方披露其下属供应商，从而全面掌握供应链状况？我明白合同条款能规范行为，但除了合同约束外，你们是否还掌握其他激励或惩戒手段来获取这些信息？

萨米拉：所以这确实是个重大挑战。你知道什么能提供帮助？通常有效的方法是：在采购流程或供应商管理软件中，你可以在供应商档案环节设置问题，询问他们是否愿意披露相关信息，或者是否与其他软件承包商合作。当这些问题作为风险评估或供应商档案的一部分出现在管理工具中时，他们往往更愿意坦诚回答。 这或许是获取信息的途径之一，但始终存在挑战。我注意到屏幕上有人提问：忽视这些信息会带来什么风险？从合规角度而言，忽视确实存在风险——若存在相关风险，而你却忽视了延伸供应链，可能导致——合规性问题，这绝对正确。而当发生数据泄露或攻击时，客户会向贵组织而非扩展供应链追责，这点至关重要。

斯科特：嗯。

鲍勃：没错。你必须有答案。即使你结束了这段关系，风险依然由你承担。对吧。

萨米拉：正确。

萨米拉：但这对许多组织而言仍是项挑战。不过我认为，将其纳入合同义务并写入供应商行为准则，确实是个很好的起点。 尤其当监管机构在监督时，这样能证明你对该计划的重视程度。我认为这是企业合规实践中可实施的有效措施之一。

斯科特：嗯。 嗯，很好地过渡到下一个问题了，我认为这个问题与扩展的EOS系统密切相关。鲍勃，这个话题我先请你谈谈。关于第三方和第四方软件供应商——鲍勃你刚才提到了，萨玛你也提到过——过去几年我们目睹了大量第三方和第四方软件系统遭受攻击的事件，这些攻击涉及许多家喻户晓的大型企业。 今年最突出的就是MoveIt软件漏洞事件，已波及数千家机构。上周或本周初我看到相关报道，列出了受此漏洞影响的数千家组织名单。请问如何应对这类风险？当第四方软件演变为第三方问题时，该如何处理？

鲍勃：嗯，这确实是。而且我认为这可能是过去一年多来我们遇到的最大问题之一。 你知道，从SolarWinds到Log4J，再到最近的MoveIt事件，这些第三方软件漏洞都给组织带来了巨大影响。坦白说，这并非人们关注的焦点，但这恰恰凸显了全面审视组织运作机制、认清真正利益相关者的重要性。 关键在于要主动联系安全运维团队、网络威胁情报团队，尤其在软件领域需与架构团队协作，明确关键第三方软件供应商，建立完善清单，并尽可能将软件清单与供应商清单关联起来。 安全事件发生时，首要问题是确认公司内部是否有人使用该第三方软件。其次需查明合作方是否同样使用该软件——尤其是那些接触企业数据或基础设施的第三方，因为黑客正是通过此类软件漏洞来攻击组织。 因此我认为，这某种程度上是对人们的警醒与重置——若不清楚第三方软件库存的分布情况，不清楚这些软件在公司内部的具体使用场景，更缺乏可快速追踪关键第三方使用情况的流程，那么即便只关注第三方供应商也毫无意义。这种状态下，企业已然面临严重问题。

斯科特：当然。山姆，现在轮到你发言了。基于你在该领域的经验，你还有什么补充看法吗？

萨米拉：嗯，我的意思是，我觉得现在浮现在我脑海中的想法是，你可以考虑要求第三方供应商提供透明的报告——比如关于他们使用四方软件的报告——这样你就能定期评估或审查他们的软件使用情况。我想到的是，你可以考虑要求第三方供应商提供透明的报告——比如关于他们使用四方软件的情况——这样你就能定期评估或审计这部分风险管理，或者审查组织制定的事件响应计划。明确了解这些公司有哪些流程，哪些利益相关者参与其中，确保规则和责任都清晰界定这也能让您对他们在发生数据泄露时的应对措施更有把握。同时将相关条款嵌入合同条款中——若第三方未能有效管理软件使用，您甚至可规定：触发条款时将终止合同或实施纠正措施。

斯科特：是啊。我的意思是，光是做个基本盘点就这么困难。你知道吗，就是说，

鲍勃：斯科特，我的观点是萨米拉关于合同义务的论点完全正确。在最初的合同中，不仅应披露任何使用的第三方服务商，还应披露除第三方服务商之外的所有软件——那些用于提供服务的软件。 换言之，他们所说的"软件物料清单"（SBOM）概念——即详细披露为贵组织提供服务所使用的所有软件组件——正是解决此问题的有效途径。

斯科特：没错，这观点很棒。各位，这观点确实精彩。呃，接下来这个问题围绕着……这个我们先请萨米拉来谈谈，我觉得这个问题相当及时，就是说评估供应商的正确方法是什么。

斯科特：你们知道吗，这到底是评估环节还是监控环节？是两者兼有？哪个优先哪个次要？你们具体是怎么操作的？

萨米拉：是的，我的意思是，根据我过去几年观察到的情况，第三方风险管理和尽职调查通常在第三方被引入后就退居次要地位。 但第三方风险管理（TPM）绝非签约即止，这种做法会导致企业对未来第三方风险视而不见——若放任不管，可能引发严重问题，严重损害企业声誉。关键在于，即便责任在第三方，最终监管机构和客户仍会追究委托企业的责任，因其未能识别并解决问题。 因此我必须强调，有效的第三方风险管理流程需贯穿所有合作关系的持续生命周期，并涵盖不同阶段。必须建立管控措施，在第三方风险管理全周期内持续管理风险。嗯...这意味着还需考虑实施多项要素，对吧？ 我的建议是：在第三方合作关系中实施更频繁的监控，但每个风险支柱都应针对每家供应商开展独立的风险分层评估。 而该风险分级将指导持续风险支柱监督与控制措施的适当频次。对吧？因此我认为最重要的成功要素是：根据风险等级构建并规范持续监控活动，将高风险第三方纳入更紧密的监控体系，同时考虑采用自动化系统以提升企业执行效率。 可以考虑利用外部信息源。内部筛选评估、入职风险评估固然重要，但获取组织外部信息同样关键。例如借助外部数据源——信用评级、制裁名单、负面媒体报道或不良新闻核查——这些能提供全面的第三方风险评估，涵盖政治敏感风险、企业腐败风险及执法行动风险。 务必运用技术手段对关键风险指标进行实时监控。同时必须建立清晰的沟通渠道，以便及时应对突发风险——毕竟合作方相关警报可能就在明日触发。因此需预先制定流程机制，确保能高效上报并处理此类事项。

斯科特：嗯，是的。我们每年都会做一项第三方风险管理研究。 Prevalent负责执行。这项研究保持中立立场，既不推广Prevalent也不推销任何产品，纯粹客观呈现市场中的实践情况。去年研究中最引人注目的一点，是评估与监控在生命周期各阶段的普及程度。 结果令人震惊——数据呈现出明显的曲线：供应商筛选、选定和入职阶段的评估率极高，但入职完成后评估率骤降。数据显示，下次正式评估往往发生在外部触发事件后，比如业务中断或数据泄露等。 此时所有人都会意识到：我们必须重新评估。当然，定期合规性审查也是必要环节。但我认为理想状态应是在整个生命周期中保持规律、均衡的评估节奏。您认同这种观点吗？

萨米拉：是的。而且我认为组织机构同样担忧的是人工操作环节。正因如此，我认为必须设法运用技术手段来消除这种人工操作带来的负担。不过我很想知道，鲍勃在他所在的组织中，对于这个议题有何见解呢？

鲍勃：嗯，我认为从决定与供应商洽谈的那天起，你就应该持续监控，直到终止供应商合作关系为止。正如萨米拉提到的，许多组织在正式接纳供应商前会通过不同部门进行深度评估。这既是福也是祸——因为我认为最大的问题在于...哎呀，鲍勃又掉线了。

斯科特：鲍勃，你八成是从南极洲发信号呢，根本没信号。

鲍勃：我听见你了。

斯科特：现在能听到我说话吗？

鲍勃：现在我能听到你了。

斯科特：好的。我不知道那里发生了什么，斯科特。那真是奇怪。总之，我想说的是，从第一天起就要持续监控。在整个生命周期中进行监控，尤其需要确保对关键关系进行跨风险领域的持续监控。 这不仅涉及安全，不仅关乎业务连续性，还包括财务、运营实践、合规性、ESG等维度。必须建立全局视野，并保持持续监控状态，才能有效管理风险。与此相关的是，初始入职流程中涉及多维度风险评估，这往往拖慢了整个入职进程。 提前布局的有效策略是：在决定与供应商合作之初，即启动持续监控机制。借助现有工具和流程，在正式建立合作关系前就深入了解该供应商——这不仅能提供宝贵洞察，还能提示若干需在推进前通过合同条款解决的事项。

斯科特：说得对。我们继续推进讨论。这个话题我来揭晓答案——今日百万美元级别的核心问题：第三方风险管理究竟该归属哪个部门？记得我提过我们每年春季开展的研究吗？结果显示，安全部门通常主导大部分评估流程，而采购部门则掌控合作关系。 这种分工并不清晰，我预见到组织内部可能会因优先级等问题产生些许摩擦。先请萨米拉谈谈，你怎么看待这个问题？它该归属哪个部门？虽然幻灯片可能已给出答案，但我很想听听你的见解。

萨米拉：是的。 我的意思是，这始终是个争议性话题，我认为没有标准答案。但我确信的是，第三方风险管理在组织中的定位可以灵活调整，其最佳位置往往取决于组织架构、优先事项和风险管理框架。它完全可以归属于不同部门——每个部门都能带来独特的视角和专业能力。所以组织可以自问一个基本问题： 谁掌握着第三方风险管理的可见性？合同签署方是谁？这属于业务风险吗？我认为，根据第三方风险管理的定位不同，其利弊也各不相同。 例如若设在法务合规部门，其TPM方法可能更侧重合规性、合同义务及第三方相关法律风险。但缺点是可能无法全面覆盖运营风险或战略风险，且容易忽视风险管理的宏观背景。 因此可将UKM置于采购部门之下，这样就能突出第三方关系中运营与战略层面的考量。同时需兼顾绩效、 可靠性及成本等要素，但若未充分整合，则可能导致对非运营风险或网络安全合规性的重视不足。基于实践经验，我始终建议采取跨职能的共同责任模式——将TPR职责分配至多个职能部门，确保以全局视角考量多元风险维度。因此协调与沟通至关重要， 围绕此建立有效的治理机制。无论组织最终如何决策，明确角色与职责都至关重要，并在此基础上构建高效的治理体系。

斯科特：确实。嗯。鲍勃鲍勃，你也是这么想的吗？

鲍勃：嗯，我也这么认为。我认为关键在于，无论哪个部门能对供应商关系进行端到端把控，这个部门就是组织中最合理的归属点——当然具体归属会因组织而异。 可能是采购部门，可能是CEO，可能是法务部，可能是合规部，也可能是安全部——但关键在于，无论该职能位于何处，真正掌握最全面视角、最完整理解整个合作关系全貌的部门，才是最合适的归属。

鲍勃：你知道吗，我发现这种情况在采购和供应链部门越来越普遍，但他们确实必须考虑萨米拉提到的所有因素。正因如此，理解利益相关方并全面审视其构成至关重要。当我思考信息安全的利益相关方时，首先想到的是法律部门，其次是合规部门。 我想到隐私保护。嗯，归根结底，谁该为关系负责？答案是合同署名方。他们承担最终责任。虽然可将部分职能外包，但关系中的问责与责任不可外包。

斯科特：嗯，嗯。很棒的见解。而且，你知道吗，我特别欣赏你提到的跨职能团队概念，萨米尔。就像你和鲍勃那样融合工作方式，设立委员会主席并将其姓名列入合同——这样每个人都能齐心协力，共同指引整个项目的方向。

鲍勃：不过，真正操刀干活的只有一个人，那就是合同上署名的那位。

斯科特：没错。

斯科特：嗯，你知道，最后还有几个问题要问，因为我们差不多快到预定时间的尾声了。 咱们来玩个"一日女王/国王"的游戏。假设你获得一张白纸，要从零开始构建TPRM项目——眼前只有闪烁的光标、空白文档和空白的电子表格，明白我的意思吗？好，萨米拉。好，鲍勃，你们会立即采取哪三项行动？

斯科特：山姆，我们先从你开始。

萨米拉：嗯，我可以先说。首先想到的是，你知道的，你需要……

萨米拉：要么是我。

斯科特：嗯，说吧，山姆。你行。

萨米拉：在构建TPM计划时，务必从一开始就明确你的愿景和战略。思考你的北极星目标是什么，并朝着它努力。如果你的目标是建立一个整合协调的框架来有效管理风险，预防或减轻负面后果——比如财务损失、声誉损害、法律诉讼—— 务必设置相应检查点：当前举措是否真正必要？但当你面对空白纸张时，首要浮现的三个优先事项是什么？我始终从治理体系切入——虽然这个概念涵盖面很广， 我指的是明确的职责分工。要构建论证框架争取高层支持——正如我之前所说，必须厘清工作执行方与责任归属。毕竟企业存在的目的在于盈利，尽可能多签合同。因此必须确保项目对业务有切实效益。 我认为必须获得支持，同时也要考虑成立工作组和委员会来推动项目落地。这至关重要。你的运营模式是什么？如何定义TPM能力？它将如何与利益相关方互动？ 可以考虑采用集中式、分散式或混合式管理模式。我认为首先必须明确这些核心要素，其次要界定项目范围并厘清供应商格局。 正如我们过去一小时反复讨论的，供应商格局对企业至关重要——它既能帮助识别第三方合作关系可能引发的组织风险，也能为风险管理资源配置提供依据（毕竟不可能面面俱到）。第三点建议是审视现有资源：能否利用现有工具或流程？哪些有效哪些无效？围绕这些现状构建项目框架，或许可以考虑整合现有资源以实现组织内部无缝衔接。有时让利益相关方将这些工具融入日常工作反而更顺畅。哪些有效哪些无效，围绕这些构建项目。或许可以考虑利用现有工具或流程，确保在组织内部实现无缝整合。有时这样能让利益相关者更容易将这些内容融入日常任务，避免流程孤岛，从而提升跨部门协作效率。以上三点是我建议的切入方向。

斯科特：太好了。鲍勃，这和你那三个优先事项怎么契合？

鲍勃：嗯，确实存在重叠。治理是一个需要重点考虑的关键因素。你必须明确项目范围——究竟要关注哪些方面？工作重心该放在哪里？初期资源必然有限，考虑到数据量庞大且需要持续处理，技术与自动化就显得尤为重要。 许多传统流程将难以胜任，因此自动化是必须纳入考量的重要环节。但若要引入自动化工具，必须确保它们能与现有运营流程无缝衔接。若未提前规划，这些工具和软件终将沦为闲置资产。 它们将无法有效发挥作用。另一建议是：项目启动之初就建立管理报告机制。我采用极简框架——四页报告：第一页汇报上期成果，次页规划后续行动。 第三点是成功障碍分析。管理层需要采取哪些措施协助我？因为正是管理层的深度参与才能推动项目进展，避免陷入"启动后停滞"的困境。这种参与不可或缺。最后，需要让管理层关注哪些关键事项？

鲍勃：如果你做这种报告，别人就很难逃避责任。你可能会说："我一开始能报告什么？你报告的都是零啊。" 你知道吗？这传递了一个信号：我毫无进展。如果管理层看到这些数据却无动于衷，那正是你该另谋高就的时机——因为在这里你永远得不到支持，事情永远办不成。

斯科特：嗯。

鲍勃：这样就能让所有人——包括管理层——承担责任，我认为这非常重要，因为当前有大量工作正在推进。

斯科特：绝对没错。这就是向上管理的艺术。

鲍勃：对。

斯科特：没错。

鲍勃：在这个领域，如果你不懂得向上管理，就会遇到麻烦。你将无法达成目标。道理很简单。

斯科特：嗯，好的。最后想请教两位一个问题。你们认为企业在第三方风险管理中最常犯的重大错误是什么？他们通常会忽略哪些方面，又该如何克服这些问题？我觉得这个问题可以承接我们刚才讨论的三大优先事项，但提供了一个不同的视角。 企业常犯的三大错误是什么？你们会如何解决？鲍勃，我先请你谈谈。

鲍勃：嗯，合规与风险的权衡永远是首要考量。

斯科特：嗯。

鲍勃：所以啊，如果你只是为了符合某些指导方针或法规要求才做项目，那简直是浪费时间。很多人总说"我做了风险评估，任务完成"。其实风险评估只是真正工作的前提——真正的任务是解决发现的问题，因为只有这样才能真正降低风险。

鲍勃：我要谈的第二点是企业使用第三方服务商数量的无节制增长。企业往往没有花时间思考：“我们是否已有第三方提供该服务？” 而降低风险、压缩预算最直接的方式，就是严格控制允许接触企业信息和网络的供应商数量。道理很简单——若放任第三方机构无限增加，只会徒增管理负担，既无助于业务发展，更会让风险敞口急剧扩大。这些正是我关注的核心问题。

斯科特：是的，山姆，这是否也符合你的担忧呢？

萨米拉：是的。不，我完全同意。嗯，你知道吗，我看到很多机构都在纠结该进行多少风险评估和尽职调查——比如对一家清洁公司进行全面尽职调查。 这种做法显然未能最大化资源利用效率。不过从另一角度看，我观察到企业普遍存在（或许跨行业都如此）的挑战是：缺乏行业标准化的尽职调查流程。 这使得企业难以衡量自身TPR（总预防成本）工作成效并分享最佳实践。因此我认为，与同行深入交流、了解彼此做法并对比流程标准至关重要。 我认为这至关重要，建议大家关注此点以提升效能——毕竟许多企业确实存在改进空间，无论是优化执行方式还是提升效率。嗯，我完全赞同鲍勃的观点，这正是我过去几年观察到的现象。

斯科特：太棒了。太棒了，伙计们。嘿，我们今天相聚的时间快到尾声了。但我想确保留出提问环节。 呃，其实我不确定你们是否想先筛选几个问题——挑几个我们积累的提问来回答。呃，就在你们筛选时，我会展示一张幻灯片，快速概述一下Can Help的价值。 从第三方风险管理的角度，我们通过提供洞察力、自动化支持，最终实现投资回报率和预期成果，帮助您在整个第三方风险管理生命周期中证明第三方合作的成功。 我们依托专业知识实现这一目标——通过平台数据、已完成的评估与输入，以及平台内置的自动化工作流。好了，现在把话筒交还给你。眼下正值整点时段，不知能否在时段开始前快速处理几个问题？

艾希莉：当然可以。呃，我刚才趁你说话时启动了第二次投票。斯科特，我们想了解各位是否有意在未来几个月内扩充或建立第三方风险管理计划。请务必如实回答，因为我们会跟进核实。好，现在我们继续推进这些问题。 有人提问："您是否建议在第三方供应商中采用预警或监控技术？"

萨米拉：呃，我是说，我很乐意从合规角度回答这个问题。是的。不过这还取决于组织希望实施的监控类型或持续监控机制。 我的意思是，最基本或最低要求就是：你必须持续对第三方进行制裁筛查，如果他们出现在制裁名单上，系统会发出警报，或者确保你不会向受制裁个人付款或在受限司法管辖区与其签约。 这些我认为是你们项目中必须包含的最低标准。但你们也可以采取基于风险的方法，比如说："嘿，我合作的这些方在贿赂腐败方面风险较高，所以我想对这些第三方进行更深入的筛查。"我不认为这必须通过持续监控来实现。 我认为可以选择每年或每半年进行一次全面尽职调查，或对照政治敏感人物名单进行筛查，以此来降低风险。谢谢，Sam。Bob，最后一个问题：对于受政治因素影响的第三方供应商，您会如何管理？

鲍勃：我不太明白“政治影响”这个语境。有人能解释下吗？这真是个奇怪的说法。呃，

阿什莉：我们先给他们时间在聊天区详细说明，然后再继续吧。嗯，

艾希莉：问题。

艾希莉：呃，你有没有发现什么好方法来追踪和利用SBOM进行风险分析和后续跟进？

鲍勃：嗯，我认为这是当下很多人关注的焦点。我自己还没见过谁做得特别出色，但这是个新兴领域，必须应对。我认为这是我们尚未妥善处理的最大风险之一。 因此，理解软件、API接口以及用户可能使用的所有组件至关重要，但我尚未看到理想的解决方案。我的首要思路是始终聚焦于合约——若能在合约中明确规定相关条款，这便是最佳的切入点。

艾希莉：太好了。谢谢你，鲍勃。不过很遗憾，我们已经到了整点时间。嗯，感谢萨米拉、鲍勃、斯科特以及各位的提问。今天大家的问题都提供了非常有价值的信息。期待在你们的收件箱或未来的普瑞文特网络研讨会上再次见到各位。