让内部利益相关者关注第三方风险管理

梅丽莎：大家好，欢迎参加。很高兴看到各位陆续加入。嗯，我先留一分钟时间让大家就位并完成连接。期间我会启动首次投票。开始啦——希望它能弹出在各位屏幕上。哦，太完美了。我最爱它不按常理出牌的状态。好了，现在正常了。 现在大家应该能看到了。我们想了解各位参加本次网络研讨会的动机。我总是很期待看到这些反馈——是出于学习目的？还是正处于第三方风险管理项目的起步阶段？或是我们现有的重要客户？请告诉我。接下来让我们开始自我介绍环节。 我是梅丽莎，负责业务拓展工作。今天我们很荣幸再次邀请到谷国民银行高级副总裁兼第三方风险管理负责人罗德尼·坎贝尔。欢迎回来，罗德尼。

罗德尼·坎贝尔：谢谢。迈克·亚菲：是的。我们还邀请到Prevalent首席营销官迈克·亚菲。你好，迈克。迈克·亚菲：你好。我知道我在说话和挥手。梅丽莎：哇，太棒了。最后但同样重要的是，我们有产品营销副总裁斯科特·朗。你好，斯科特。斯科特·朗：嗨，梅丽莎。你好吗？梅丽莎：没挥手。 我一次只能看到一件事，对吧？下次再试。嗯，今天罗德尼将为大家讲解如何让初始利益相关方关注第三方风险管理。嗯，顺便提个注意事项：本次网络研讨会正在录制，结束后您将收到录播视频及演示文稿。 最后提醒：当前所有参会者均处于静音状态，若需沟通非问答区的问题请使用聊天功能。如有紧急问题请直接提交至问答区，我们期待保持互动交流。现在就让我们请罗德尼和迈克稍作介绍后正式开始。

迈克·亚菲：没错，说得对。各位，我们开始看幻灯片吧。今天这样安排：罗德尼经验丰富，而我嘛...嗯...不太擅长演讲。我们采用访谈形式，希望能让气氛更轻松有趣些。刚才大家还说罗德尼穿得比我体面多了。 他任职于银行，而我们身处高科技行业——对我来说，能洗完澡不戴帽子出门，就已经算是盛装打扮了。今天罗德尼没系领带，所以他走的是休闲路线。梅丽莎，能把幻灯片分享出来吗？那太棒了。 我们首先要探讨的问题是——如何让各方与TPRM保持一致。罗德尼，今天我们要讨论的核心在于：合规、安全、风险、采购等领域正呈现融合趋势。每个人都需要评估供应商和供应链——用我常说的话：那些维系企业运营的关键伙伴。 那么第一个问题算是软性问题吧？请谈谈您对内部利益相关方主动参与的重要性看法。显然，若答案是否定的，我们现在就可以结束网络研讨会了。但关键在于：如何实现？为何需要这样做？其重要性何在？

罗德尼·坎贝尔：嗯，我认为这必须始终执行。这是硬性要求。你必须从整体视角审视问题。这些活动是相互关联的。因此，相互关联的活动需要在人员、流程和技术之间建立协作纽带。 想想贵组织内部可能存在的各类风险控制职能。你需要确保这些控制职能之间能够有效沟通，确保它们清楚组织内部的动态，以及产品或服务合作可能给组织带来的潜在风险。 我可以明确告诉您：若未能将风险控制职能、合规部门、内部审计以及TPR项目相互衔接，您将面临诸多问题。因为我们必须从双重视角审视风险——外部风险（第三方产品服务合作）与内部风险（对日常业务运营的影响）并存。现在，如果

迈克·亚菲：罗德尼，我们也注意到这个问题。我认为TPRM团队最突出的问题在于他们存在严重的部门壁垒——他们根本无法让供应商进入产品体系，因为他们甚至不知道该找谁对接，更不知从何着手，这完全源于他们与组织内部其他部门缺乏沟通渠道。罗德尼·坎贝尔：这其实要追溯到公司治理体系的问题。每当引入新供应商或第三方服务时，必须确保治理机制到位：如何召集利益相关方？哪些人应当参与？决策过程不能在孤岛中进行，必须保证决策的协作性。必须确保实际负责接收产品或服务、并为其提供维护支持的职能部门，能够积极且平等地参与决策过程。最终决策既要全面周全，也要建立在充分信息的基础上。

迈克·亚菲：那说说不与人建立联系的弊端吧——最大的问题就是项目得不到支持对吧？你可能连供应商都找不到。还有呢？项目会失去战略意义吗？还会有人关心它吗？你觉得如果不愿伸出橄榄枝合作，会发生什么？罗德尼·坎贝尔：最大的问题就是—— 会发生什么？具体有哪些风险？罗德尼·坎贝尔：天啊，橄榄枝？你需要多支橄榄枝。我告诉你，这样做的弊端在于：你将错失供应商识别环节。 你将错过识别产品服务相关风险的机会，也无法有效管控产品服务合作中的风险。必须确保所有利益相关方——不仅是提供或接收产品服务的业务部门，更包括那些肩负保护组织、抵御风险职责的风险管控人员——共同承担风险管控责任。若排除这些关键角色，风险管控将无法最大化。 您将错误识别产品或服务合作对组织构成的风险，导致对相关风险的整体评估出现偏差——无论是风险性质的判定还是风险程度的量化。

迈克·亚菲：所以，我其实没那么聪明。当你谈论误解风险、误量化时，你真正需要的是什么？用简单的话来说迈克·亚菲：比如——我这么说吧，我做过很多事，但请像向我这样做市场营销的人解释一样说明，对吧？ 但要像向你妈妈解释那样说。具体是什么？我是认真的。用最简单的词汇能怎么解释？罗德尼·坎贝尔：要是按给妈妈解释的方式说，我得准备好连帽毯和茶才行。

迈克·亚菲：天哪。是啊。 我老婆有件Snuggie毯子。你可别小看这种保暖毯。罗德尼·坎贝尔：没错。那我们换个角度看。你得确保自己和企业正常运转——毕竟我们又回到了关联活动的话题——要保护并降低这些关联活动带来的风险，就必须确保人员、流程和技术之间的衔接。因此利益相关者至关重要——若未能识别关键人员，或关键人员缺席决策会议，就无法形成全面明智的决策。决策可能由单人主导，可能由业务部门主导，也可能由风险职能部门主导。

迈克·亚菲：好的。所以你的意思是，如果没有合适的团队，就无法获得做出全面决策所需的所有要素——我只是想确认自己理解正确。罗德尼·坎贝尔：完全正确。完全正确。迈克·亚菲：这很合理，对吧？而且你可能会遗漏某个能决定项目成败的关键角色，对吗？罗德尼·坎贝尔：绝对如此。你还要从这个角度考虑：当你为产品或服务聘请特定第三方时，难道真想在合同签订后才临时加入职能部门或风险控制组吗？合同签订前的风险防范措施就会因此缺失。所以必须确保从最初就让利益相关方参与进来，确保决策基于充分信息，并采取协作方式推进。

迈克·亚菲：在合同中，我们看到更多条款了。虽然还不够普遍，但有两点正在逐渐增加：一是减轻损害的权利，二是重新测试的权利，以及持续更新的必要性——这并非一次性行为，而是必须持续履行。——但这也意味着他们必须对你们发现的问题采取补救措施，否则将面临后果。你们是否注意到这种趋势？在行业范围内，我能告诉你们这种情况已相当普遍。 这本质上关乎协作机制——在对特定产品或服务开展风险评估时，确保所有利益相关方参与至关重要。必须将尽职调查中识别出的所有风险因素纳入考量，在与第三方签订合同时充分体现这些要素。 嗯，我可以告诉您，我们谷国银行组织在与第三方合作开展所有产品和服务时，都采取了协作方式。我们希望确保决策过程并非由单一业务职能部门主导，而是

迈克·亚菲：谁参与了？谁参与了？谁是你们协作团队的成员？核心团队有哪些人？出于好奇问问。罗德尼·坎贝尔：好的。 核心团队第一位是业务部门，因为业务方是风险的所有者，他们掌控着客户关系。你需要确保这是第二道防线。无论是信息安全、网络风险、交易对手风险管理团队，还是合规监管团队，都应参与其中。但关键是要确保基于正确原因选择合适的人选。例如在产品或服务合作（或潜在合作）中，若无需合规控制职能介入，就不应强行要求其参与。需确保每个控制部门的介入都与我们识别出的潜在产品/服务合作风险相匹配，因此具体情况会有所不同。

迈克·亚菲：好的。再次明确一点，并非所有人参与所有事务。你们会根据具体原因邀请特定人员加入团队，但显然不会邀请整个信息团队，而是邀请特定成员。出于特定原因邀请特定人员参与，但你试图保持他们的参与度。在供应商入驻环节，是否存在某种团队决策机制？比如设立入驻委员会进行轮审？我们接触过许多企业，尚未见到集中化与分散化模式的明确区分。 你们是否设有采购组、法务组、风险组和安全组？还是由采购组负责接纳供应商，后续再由其他部门跟进？

罗德尼·坎贝尔：不，这确实是种协作模式。我们设有采购职能部门，在审核潜在第三方供应商时会直接对接业务部门。审核流程虽独立运作，但属于整体入职流程的一部分。关键在于确保在考虑任何值得信赖的第三方时，我们都能在合作初期针对具体产品或服务开展恰当且充分的尽职调查。 因此，这确实是采购业务与相应风险控制职能协作的源头。

迈克·亚菲：呃，梅丽莎，请转到第三个问题。我们已经讨论过这个问题了。第二个问题，我知道我们已经覆盖了第三个问题。 我马上就到。迈克·亚菲：有趣的是，我们业务中另一个现象是：客户通常先从信息安全领域接触我们，占比约80-75%，采购领域仅占25%。虽然ESG等议题未必是主导功能，但我们发现越来越多相关问题正渗透到调查、评估和持续监控中。 出于好奇想问：你们是否开展了ESG职能的持续性工作？这是自然演变的结果？是独立职能？还是说你们正在关注并即将着手推进？

罗德尼·坎贝尔：我们的做法是确保全面考量所有风险领域或风险类别。嗯，我认为ESG正是当前众多组织正在推进成熟化的议题之一。有些机构或许已完成该领域的成熟建设。嗯迈克·亚菲：相信我，真正做到的人不多——前几天我们和高德纳分析师通话时就提到过。 我们独立接触了五家机构，迈克·亚菲：我们发现，虽然很多人都在讨论ESG，话题热度很高，但实际行动者寥寥，多数机构仍处于评估阶段。所以——

罗德尼·坎贝尔：你说得对。我我我我绝对会在评估时加上引号。我我我我完全赞同你的观点。我可以告诉你，我们讨论这个问题已经有一段时间了，但我确实认为，当我们审视那些通常未被纳入考量、讨论或风险评估的其他风险类别时，我们需要开始采取行动。 嗯，我们可以识别与ESG相关的风险领域或潜在风险点。即便尚未建立必要的ESG体系，也应在初期就明确风险指标或潜在风险区域。 以产品或服务为例：生产地在哪里？由谁制造？交付过程中考虑了哪些因素？这些看似简单的问题虽有直接答案，但必须确保这些答案不会演变为企业更重大的风险指标。

迈克·亚菲：是的。你看，罗德尼在庭审期间问过我，他问大家"你会发言吗"，我当时说"可能说几句吧"。结果我一开口就停不下来——你肯定知道，斯科特、彼得和我合作过的人都清楚。不过话说回来，你提到的这个正是我在Infosec领域最热衷的议题之一。我做过信息安全营销，也做过市场营销，但程度足以危险。我认为我们的挑战在于——你看我在漏洞渗透测试、加密货币等所有市场领域都见过这种现象：人们总被新奇事物分散注意力，尤其随着RSA大会临近，大家开始讨论"我要做ESG"、"我要做那个"。你需要一个坚实的基础架构——一个能整合罗德尼所谈及内容的完善体系，才能正确推进ESG。你得先问自己：是否定期评估一级供应商？是否制定了针对二级、三级乃至四级供应商的计划？这些都好。但你的核心方案是什么？ 先确立计划框架，再推进ESG。人们常说"或许我们该做..."——不，我们必须先构建体系。罗德，你大可按爬行、行走、奔跑的顺序推进，但必须先建立计划与体系，否则坦白说，你就是在胡乱尝试。

罗德尼·坎贝尔：不，我完全赞同你的观点。我认为我们还需审视评估和运营这些项目的个人的能力。购买最新最先进的技术并宣称"看，这就是我们的作为"是一回事。 但若无法解读或整合数据，无法让技术为组织创造价值，它就只是又一笔开支，又一件摆设，完全毫无用处。"迈克·亚菲：要知道，技术本该助你加速发展。若不能，就别买。普雷瓦伦也是如此。 别买。呃，我们收到埃德的问题。各位，我得重申——虽然说过好几次了——我虽是市场人，但也能边走边嚼口香糖。所以当我们讨论某个话题时，若你们想随时提问，我会尽力实时解答。 那么，我们收到埃德的问题。之前讨论小组时，罗德尼，那些参与你委员会工作的独立小组，是否有权基于尽职调查拒绝潜在供应商？我猜想每个小组在接纳供应商前，都希望看到不同类型的尽职调查报告。那么你们的流程是如何运作的？

罗德尼·坎贝尔：我认为除了考虑组织风险偏好外，还需评估产品或服务合作本身的风险特征。若特定第三方或产品服务合作带来的风险过高——即超出贵方风险承受能力且现有风险缓释措施无法有效应对——那么确实存在这种情况。但需确保此类决策并非孤立事件——当因识别风险或高风险领域而决定终止合作时，必须让业务部门、其他风险控制团队以及高管风险委员会知悉该决定。必须确保所有利益相关方参与其中，并达成一致或协作共识。

迈克·亚菲：是的。嗯，我同意。你看，这本质上是关于预期设定的问题，对吧？比如如果发现制裁对象、正在接受SEC调查，或者在某个国家使用童工——我们事先都认同这些情况会禁止我们与该供应商合作，对吧？我认为关键在于坐下来沟通。 关键在于沟通与共识，我理解是这样。罗德尼·坎贝尔： 是的迈克·亚菲：好的，进入第二个问题。我们已讨论18分钟，现在处理第二个红色标记的问题。呃，等等。请回到刚才讨论的环节。继续刚才的内容。

梅丽莎：呃不，那个我们已经做过了。是的。保持通话。好的。好的。迈克·亚菲：好的。我刚才在和罗德尼说话，梅丽莎，抱歉。梅丽莎：哦，开玩笑的。迈克·亚菲：我当时——嗯。 嗯。在逗我呢。呃，那么里德，你如何建立必要性？我知道你提过这个，我们也讨论过橄榄枝策略。迈克·亚菲：具体点。我的假设是很多人刚接触TPRM，或者这是他们首次接触TPRM，对吧？ 或者他们之前...你知道，这确实是件重要的事，但它属于新兴领域，对吧？所以这个领域里...这个领域里没有多少拥有二十年经验的人。我认识共享评估中的五个人，对吧？但我觉得整个行业里新手占多数。所以请再次明确说明

迈克·亚菲：关于你采取的行动、具体实施方式，以及如何让这些团体坐到谈判桌前的？我是说通过会议？电话沟通？共进午餐？还是开展团队建设活动？ 我是说，你如何打破企业惯性？罗德尼·坎贝尔：以积极的方式。罗德尼·坎贝尔：不，这样很好。所以，回到橄榄枝和免费午餐的话题——可惜是很多免费午餐。 首先必须确保组织内部理解第三方风险管理的本质及其潜在影响。若连组织成员或外部合作方都不理解，就很难让他们认同这项工作。因此认知是首要基础。你可以建立框架、制定政策，但必须确保核心理念已深入人心。 例如，正如你所言，迈克，许多组织将第三方风险管理视为行政流程来处理。当前仍有部分机构完全依赖Excel表格管理整个供应商清单，但我们同时看到行业内另一种趋势——无论你是否属于受监管实体或受特定法规约束。

迈克·亚菲：顺便说一句，大家都超额完成了。迈克·亚菲：斯科特，我问你，这本合规手册是你写的。斯科特，现在这本合规手册有多少页？斯科特，这是影响第三方风险的法规。现在你的手册有多少页了？斯科特·朗：呃，大概有200页左右吧。迈克·亚菲：顺便说一句，每项合规要求只占两三页或四页篇幅。斯科特·朗：是啊。迈克·亚菲：简直疯了。梅丽莎：哇。迈克·亚菲：现在有多少法规或指导文件直接要求管理第三方风险？所以，我敢说大家都得遵守某些规定。

罗德尼·坎贝尔：确实如此。 我完全同意。但我能看出有些机构存在这样的认知或误解——他们认为自己不受特定监管机构约束，无论是OC、FRB还是FDIC。但我认为你们的业务活动确实受到监管，我们需要明确哪些活动属于监管范畴，以及这些产品与服务合作带来的风险。所以回到你的观点，必须确保个人理解风险的本质——因此我过去多次采取的做法是：明确询问"贵方如何看待第三方风险管理？我们该采取哪些措施？我们的RARI（风险管理框架）是什么？"——因为确保RORI（风险回报比）至关重要。 RARI绝非仅限于供应商管理——若组织将该流程视为单纯的行政管理手段，不仅会错失关键环节，更会在风险管控与应对策略上陷入认知误区。

迈克·亚菲：是的，罗德尼，我跟你说，虽然我的专业背景其实是安全领域，但过去一年我们接触了大量采购高管。我认为最明确的一点是：如果你引入了劣质供应商 ——迈克·亚菲： 他们突然倒闭，后果堪比乌克兰某些汽车制造商的单一供应商模式——风险不仅关乎财务稳定，更涉及连锁反应。尤其要明白供应商实力参差不齐，但若你的一级供应商负责关键采购环节， 你必须建立持续稳定的监管机制，确保不会遭遇任何问题。

罗德尼·坎贝尔：完全同意。那么当问题真正发生时会怎样？这意味着那些对事件经过或应有流程一无所知的个体，却被指派去处理、解决或修复眼前的问题。这些人员从未参与过前端工作，对产品或服务毫无了解。但他们不仅肩负着受托责任，更承担着组织层面的风险管控责任。 现在他们试图处理因第三方产品服务合作引发的风险或事件，却对合作对象的背景、运作方式及具体实施环节一无所知。

迈克·亚菲：这让我想起软件开发领域常说的——在开发阶段发现漏洞，修复成本是1:1；若拖到编译阶段，成本就变成5:1；一旦进入生产环境，成本更是飙升至10:1。所以当你与供应商签约或计划签约时，若能预先察觉问题，远比18个月后陷入困境要好得多。突然发现系统崩溃了。我不是说这种事经常发生，但老天，当你谈论数据泄露时，这些公司根本只是时间问题。这简直是在玩火自焚。

罗德尼·坎贝尔：我完全赞同你的观点。但话说回来，如果你没有建立这种协作机制，没有确保组织中合适的人选参与讨论、坐在谈判桌前——迈克·亚菲：那么事后他们必然会互相推诿。如果他们之前缺席决策，事后绝对会互相指责，这点你大可放心。罗德尼·坎贝尔：你需要避免的是事前推诿而非事后推诿。迈克·亚菲：对，对，有道理。嘿，特蕾莎发来个相关问题。她在云端初创公司工作。请问如何让高管层认同并理解TPRM（交易风险与合规管理）的重要性？

罗德尼·坎贝尔：好的。那么迈克·亚菲：听起来你们组织并不重视，最终不得不出售它。是的。罗德尼·坎贝尔：正是你们团队。罗德尼·坎贝尔：在尝试出售前，如何先认识到它的必要性？ 我也问过：不建立TPR体系会带来多大的危害？没有TPR计划会怎样？ 迈克·亚菲：不作为的后果。 罗德尼·坎贝尔：完全正确。我认为用这种方式阐述比宣传所有优点更有效，因为TPR体系的优势众所周知——我们常讨论其价值。但我们很少探讨后果：不建立TPR体系会产生什么后果？我们都清楚这一点，也常讨论这些优势。但鲜少有人提及的是后果——不建立TPR计划会带来什么后果？不确保建立完善治理机制会产生什么后果？必须建立能保护组织的框架，同时确保在所有互联互通的活动和流程中实施企业治理。

迈克·亚菲：你知道吗，我还想补充一点，我认为一方面——也许这不是受欢迎的答案——你不可能让每个组织都重视安全，对吧？以前我去安全团队时，总会问：你们属于哪类机构？ 你们是主动应对风险的组织，还是那种非被逼到墙角才肯买保险的类型？说到底，安全工作本质上就是种保险对吧？你们至少要防范最基础、最常见的攻击类型。

迈克·亚菲：所以这确实取决于贵组织的情况。特蕾莎，我得说，多数业务通常是由合规或审计驱动的，对吧？无论是为满足合作方的合规要求，还是作为组织内部的合规措施。 审计失败或发现问题往往是推动因素。安全措施加强——虽然听起来老生常谈，但如今约65%的数据泄露都源于第三方渠道。所以，贵组织要么会认定这是重要事项，正如罗德尼早先所言，需要建立更完善的评估流程；要么就是接受或拒绝承担这种风险。

迈克·亚菲：没错。就像我愿意接受你刚才说的所有条件，然后决定要不要冒险。嗯，我得说罚款确实有效——审计失败的罚款通常能激励人，但说到底，总有些人就是不买账。罗德尼·坎贝尔：没错，这绝对是事实。 我认为你始终应该考虑的是：若只需应对单一利益相关方，情况可能比同时应对五、六、七或八方要简单得多。某些情况下你可能只需处理单方事务，但无法向所有人推销价值主张。 但重要的是要坚持既定方向，采取必要措施保护组织利益。因此你肩负着构建项目的责任——利益相关方必须清楚：该产品或服务是否对日常业务活动具有实质性支持？当项目出错时会发生什么？若真出现问题又该如何应对？

迈克·亚菲：你愿意和这个供应商共事吗？迈克·亚菲：他们存在安全漏洞罗德尼·坎贝尔：当然愿意迈克·亚菲：从理性角度看我完全接受——虽然我常讨论这类话题，但假设这个供应商遭遇数据泄露，就像《回到未来》里制造"通量电容器"的那家企业。Mike Yaffy：所以，如果你能接受我们再也买不到磁通量调节器，或者他们发生泄露造成实质性影响，那我没问题。但我们必须制定政策明确表示接受这种风险——这正是人们最抗拒的地方，因为他们得在文件上签字确认风险承担。

罗德尼·坎贝尔：对了迈克，别忘了，他们是否明白自己有责任管理这段关系？因为我可以告诉你，利用率这块，他们绝对做不到迈克·亚菲：完全不同。所以你得确保他们明白这点。迈克·亚菲：听着，我建议从财务总监或法务部门切入——虽然不确定贵机构情况，但实践证明有时这反而会阻碍我。因为财务总监清楚操作风险及潜在负面影响，对吧？比如发生事件时会产生X和Y后果，并能具体说明财务影响。 嗯，这就是让人们重视问题的关键。有时必须直指后果——比如"若发生数据泄露，平均损失达百万美元"。好吧，我们懂了。

迈克·亚菲：坦白说，我最好的建议是：如何将这个理念融入你的组织。迈克·亚菲：呃，梅丽莎，我们接着下一个话题吧。哦，这样就行。好的。 嗯，我觉得这很好。你提到了透明度，但你自己呢？你提到透明度是我们需要的。同意。但如何实现呢？比如人们如何围坐桌前进行真正开放坦诚的对话？ 罗德尼·坎贝尔：我认为组织或整个行业需要做的一件事是：每当评估特定产品或服务合作时，必须确保尽职调查中风险评估的结果和发现能全面传达。如果负责决策的利益相关者对尽职调查情况一无所知，不清楚已识别或残留的风险，那一切努力都毫无意义。若尽管理念只是走走过场，完成后便自认为万事俱备，这不仅毫无意义，更是本末倒置。必须确保所有参与者都将此视为透明且具有参与性的流程。作为利益相关方，你肩负着责任——有时最明智的做法就是直面严酷的事实与真相。 无论我们多么热爱某项产品或服务，都必须保持诚实。我明白传递可能被视为坏消息的内容会很艰难，但你必须履行职责。这既是保持项目诚信的方式，也是持续守护组织利益的途径。

迈克·亚菲：是的。我……我没什么可说的。关键在于诚实，对吧？就是直截了当地说：这里是优点，这里是缺点。我认为应该冷静客观地二元分析，迈克·亚菲：但这又回到了我们之前讨论的。 我认为关键在于设定标准，并确保所有人对此负责。罗德尼·坎贝尔：完全正确。我认为若缺乏治理机制，就无法按要求执行这些活动。你需要确保在利益相关方参与方面实现最优化和最大化。同样，你可以自认透明，但真正的透明意味着提供硬性事实。你并非利益相关方。作为TPRM（交易风险管理）从业者或协作团队成员，你的职责是识别、评估并缓解风险。但必须确保对利益相关方保持诚实，他们需要充分理解才能做出明智决策。

迈克·亚菲：没错。这就是你的职责所在。说到底，工作本质就是如此，对吧？梅丽莎，回答得真棒。接下来我们换个问题吧？呃，我读过这个内容，现在又重读了一遍，总觉得不太满意。不过我会换个角度提问。 首先，TPRM项目或供应商管理在贵公司内部的可见度有多高？它是否能直达董事会？董事会是否关注此事？或者说，董事会是否仅关注"我们不希望供应商发生违规"这类层面？具体而言，这个议题是否曾被纳入任何演示文稿——哪怕只是一张幻灯片？

罗德尼·坎贝尔：我可以告诉你，我们的GPR和项目确实会提交董事会审议。迈克·亚菲：具体哪些指标？董事会关注哪些成功衡量标准？这会是个有趣的延伸话题。我们先完成当前议题，之后再深入探讨。罗德尼·坎贝尔：好的。目前存在多种成功衡量方法。 我认为首要任务是确保向董事会提供恰当程度的透明度——既不过于琐碎也不流于空泛。必须让董事会清楚了解TPR项目的风险特征，理解供应商的固有风险，掌握第三方财务稳定性状况，并清晰掌握关键核心供应商的构成。这至关重要。 哪些供应商是支撑日常业务持续运转的命脉？这点至关重要。任何涉及关键供应商的风险事件、整改措施或高风险警示都必须及时上报董事会。 但信息传递方式至关重要——毕竟这是董事会层面的决策。我假设部分组织可能设有董事会下属或前置的执行风险委员会。必须确保该风险委员会及其他董事会外的委员会充分掌握整体TPR及项目健康状况。

迈克·亚菲：你刚才提了两个问题。第一，如何量化贵司TPRM项目的整体健康状况？是要求多少供应商处于绿色状态？还是所有供应商都达到8分？比如说，你如何——我是说，老实说，你如何——所以，你们有这个项目。罗德尼·坎贝尔：是的。迈克·亚菲：我们现在处于什么位置？是领先、落后还是居中？罗德尼·坎贝尔：我当然希望所有供应商都能在评估中获得8分。那才是完美状态。迈克·亚菲：顺便说一句，我是在编造标准。比如采用1到100的评分制，然后你可以像这样...罗德尼·坎贝尔：但我确实认为基准测试很重要。 比如你们如何衡量成功？若没有衡量标准，就无从基准，成功便纯属主观臆断。那不过是你的个人观点——而负责运营TParn项目的人，总会认为自己的观点是行业标杆。所以必须建立成功衡量体系。 那么你用什么指标来区分"表现良好"、"需要关注"和"表现欠佳"？向董事会、高管、委员会或高层领导汇报时，我必须明确：从指标角度看，绿色状态或理想状态并不等同于TPR项目本身优秀。 您还需确保能识别哪些环节存在不足，哪些需要董事会、高层领导或业务部门关注。因此我认为必须建立硬性指标体系：明确供应商总数、残余风险评估结果、整体库存合规性。如何衡量风险评估完成量？如何判定评估是否完成？ 例如尽职调查的响应周期如何？是否已收集并评估了准确的库存风险画像所需的关键信息？必须确保采用真实有效的衡量标准，才能向董事会和高层领导层呈现项目整体价值及成功程度的综合评估。

迈克·亚菲：这个回答非常精彩。那么，执行风险委员会与董事会相比有何不同？是更注重深度吗？罗德尼·坎贝尔：确实应该更注重深度。我们谈论的执行风险委员会，在贵组织可能以某种形式存在，比如新兴风险委员会——我曾参与过此类委员会工作。需要确保风险委员会成员通常由来自组织内不同风险职能部门的多名人员组成。这正是采取协作方式、全面理解风险对贵组织构成威胁的契机。我曾参与过这类委员会。需确保风险委员会成员涵盖组织内不同风险职能部门的多名代表，这正是采取协作方式、全面理解产品或服务合作对组织构成风险的契机。因此必须确保所有与会者在讨论议题时—— 我们需要真正的透明度、协作精神，以及对产品或服务合作所涉及内容的全面认知——包括在整个合作周期中可能被识别的任何风险。

迈克·亚菲：好的，说得对。我们收到一个问题。匿名听众，我最喜欢的类型。嗯，如何让微软和亚马逊这样的大公司坐到谈判桌前完成风险评估？过去他们在这方面传统上并不擅长。哇。如果可以的话，我可能也会问同样的问题。 我认为对我们而言，以及对其他机构的建议，是回归协作模式。我们讨论过内部协作模式，现在谈谈外部协作。当与第三方建立产品或服务合作关系时，可采取两种方式：一是保持距离的方式——仅通过邮件沟通。 我们明确需求，对方交付即可，合同签署后便告结束。另一种是主动参与——真正与服务商深度互动。向对方阐明贵机构的核心诉求：如何衡量合作成效？如何评估外部控制环境的充分性？这些都应在初期就明确。 但提出需求并不意味着必然获得满足——若真如此，我和团队恐怕能索取天下所有所需。不过这确实是协作的起点：确保主动参与，在合作初期建立关系并持续深化。 正如持续监控机制的运作，你需持续与第三方供应商互动——尤其当对方是核心供应商时（假设微软对贵机构而言应属高风险核心供应商）。这种互动模式至关重要。我并非断言善意协作必然满足需求，但这确实是良好的开端。

迈克·亚菲：好的。梅丽莎，跳过下一个问题，然后回答那个跳过的问题，接着再回答下一个。 嗯，我觉得这个不错，或许指标就是答案，我们刚才也讨论过。但迈克·亚菲：嗯，如果可以的话，我希望得到主观和客观的双重答案。但在我看来，即便在营销领域，我们也在衡量一切对吧？我们获取了潜在客户吗？达成交易了吗？是否有项目进入销售管道？并非所有事情都能转化为交易，但比如我们获得了多少曝光量？对吧？ 所以必须有衡量标准。我以前的CEO总问我一个问题，虽然我不太喜欢那人，但问题本身很好：这是好数字还是坏数字？比如我们发送了5000份评估问卷，那又怎样？ 但你们有多少供应商？多少一级供应商？实际情况可能是：我们发了5000份，但总供应商达10000家，其中一级供应商仅调查了500家。所以5000这个数字根本毫无意义。对吧？所以——抱歉这个问题有点引导性——你们如何从主观和客观两方面展示价值与成效？

罗德尼·坎贝尔：我确实喜欢这种客观的方法。我倾向于假设评审者对项目几乎一无所知，或者说他们理解起来存在困难。迈克·亚菲：你的意思是把你的Snuggie毯子拿出来。罗德尼·坎贝尔：把你们的Snuggie毯子拿出来。 把你的Snuggie裹进纸杯蛋糕里。迈克·亚菲：说得对。这完全符合我们的要求。我告诉你们，在拉弗谷国家银行，我们的第三方风险管理项目，要展示整体项目成效的价值，光展示完成多少次风险评估可不够。没错，你们会逐层推进。风险等级划分为关键、高、中、低，并能展示本季度完成的风险评估情况。这些都很好。 一切正常。但当风险评估显示全部绿色，却仍存在问题——某些风险未被识别、未被报告或存在误报时，您需要确保项目能展现整体合作关系的价值。那么重新谈判和续约环节呢？因为您的风险回报率（RORI）远不止于风险评估。 作为TPR专业人员，你不仅要执行风险评估，还需根据与供应商的合同关系采用基于风险的频率开展工作。若要真正体现价值，当识别出风险——且这种风险在合作过程中持续加剧——难道不该将其作为合同续签和重新谈判（甚至价格调整）的依据吗？

迈克·亚菲：绝对如此。人们往往重视不足，对吧？在我看来这简直是重大疏漏。罗德尼·坎贝尔：确实是重大疏漏。迈克·亚菲：简直是重大疏漏。明明掌握着他们工作表现优劣的所有数据，这些本该成为合同重新谈判的考量因素。嘿，猜怎么着？你的SEC条款就藏在其中——即便别无他用，至少能为你提供谈判筹码。 它能为你争取的远不止于此。罗德尼·坎贝尔：我的意思是，你必须从整体角度思考。合同签订后，当你进行年度定期评估和持续监控活动时，这些信息和数据在合作关系存续期间持续被收集，直到你决定是否续约——但这些信息从未被利用。 这些信息完全未被纳入合同重新谈判或续签流程。你们执行了所有法定或监管要求的活动，却未能从中获益。实际上反而造成损失——因为你们未利用这些信息来优化合同续签，特别是寻找替代供应商。如此便错失了整体价值。所以再次强调：风险评估仅是起点。我们可以进行特定时间点的评估，也能实施持续监控，但关键在于如何将这些评估应用于整体合同关系中——发现问题后能否修正？若发现对方存在问题，我是否有权强制执行？

迈克·亚菲：作为供应商，你们这边需要解决问题，对吧？然后在合同续签时善用你们掌握的信息。我认为这是TPRM最重要的两点——虽然我又在说教了——但只要做到这两点，你们的项目就会非常成功。 罗德尼·坎贝尔：完全同意。 我再怎么强调都不为过。千万别等到事后才行动——那些本应在初期就识别出的风险，若未能及时管理监控，就无法及时发现风险加剧或变化的迹象，这些变化可能对组织造成潜在损害。这样会错失太多良机。所以供应商风险管理的核心价值远不止于风险评估。

Mike Yaffy: Right on. All right. So uh we got 1243. What I’m going to do is turn it over to uh Scott Lang. Uh he’s VP at Prevalent. And look, hope you’ve enjoyed the webinar. He’s gonna do like three to five minutes on us and then Rodney and I will stick around. We’ll answer any more questions uh that we get in during that time. So, you get 3 to 5 minutes, fire away. Rodney’s been awesome. So, this has been super helpful and um then we’ll take it from there. Okay. So, Scott, over to you, bud. Scott Lang: Awesome. Thanks, Mike. Um listen, you can advance to the next slide, please. Um look, guys, everything you heard about today is about building a collaborative and agile thirdparty risk management program in your organization, including multiple stakeholders, understanding different perspectives on risk, understanding what the stakeholders want as far as reporting goes, risk mitigation, ultimately remediation, who’s responsible for what invariably throughout that process. When we talk to our customers, they tell us they want to accomplish these three things as it relates to their programs. Number one, help them get the data they need to make better decisions, whether that’s, you know, where risks are coming from, how to calculate a proper, you know, risk exposure, um, scale your risks to, you know, what the appetite is for the business. business and you know get good data to prescribe some remediations, right? Getting good data. Second, increasing team efficiency and breaking down silos. A huge part of what we talked about today. Um and that’s all about um you know getting people together in uh you know a single version of the truth for processes for workflows uh and for data. So we’re all in effect singing from the same himnil. And then third evolving and scaling your program over time. You know these three things are what customers tell us they want most frequently out of their third party risk management program. The ideal end state, if you will, have that program be agile, able to expand and accommodate uh new vendors and suppliers, new third parties that you’re bringing on um and you kind of scale and and support the business about what’s next. Next slide, please. But what we find really gets in the way, and you can build this out one more uh as well, Melissa, this is a builder slide, you know, click and then click again. Um You know what we find is that these challenges that organizations face are somewhat unique to every stage of the life cycle. So you want to accomplish those three things. What gets in the way of you accomplishing those objectives for your TPRM program. Let’s look at it from a from a um you know process perspective. There’s a life cycle of that that relationship. As you’re throwing and selecting vendors, you’re probably dealing with limited risk insights, a lot of silos, manual processes, We’re looking at vendors as you’re performing your intake and your onboarding. You’ve got different teams, different processes and tools in place to make it happen. Manual processes and a lack of insight for calculating inherent risks to determine what that baseline is to allow you to then make good decisions on what type of risk assessment and strategy you want going forward. And then, you know, goodness gracious, the breads and the manual processes involved in the assessment in the remediation phase. You know, we do an industry study every year um to who assess the um state of third party risk management you know in the industry and we ask a very specific question in this study every year and it is you know are you currently using spreadsheets to assess your third parties and I am really disappointed uh to say that that number keeps going up every year two I guess three years ago was 42% last year was 45% this year 48% almost half the people that we serve in the industry are using spreadsheets to perform their assessments uh of their their third parties. Two ways to look at that. Number one, you know, that manual processes isn’t going to help you achieve those three objectives we mentioned earlier. Getting good insights, bringing people together and then scaling. I guess maybe the glass half full way to look at it is, hey, maybe more folks are doing third party risk. Anyway, as you progress through this life cycle relationship, you know, you you then move into the constant monitor ing and validation of controls phase and you you’re looking at disjointed tools and inefficiencies. You’re looking at measuring SLAs’s and performance and you’ve got SLAs’s uh sorry silo uh teams and manual tracking and very limited contract enforcement or no tieback to an overall risk profile and then inevitably as every relationship comes to an end um you’re going to want to offboard and terminate that relationship and you know that invariably is going to mean that you know you’ve got to um you know follow some sort of manual process to make sure that the final items are tied off. Anyway, those are the challenges that we see. Uh Melissa, click one more time. You know, what Prevalent delivers is the ability to do three things here. To simplify and speed up onboarding with a single source of the truth and a process to help you manage that third party relationship from the point you source and select them to the point where you offboard and terminate them. Second, deliver you a very streamlined process that closes gaps in risk coverage for these different teams in these different risk domains that you want to see covered at every one of these phases, be it onboarding, management or offboarding. And that really leads to the third benefit of unifying teams across the life cycle, right? Getting everybody together in a single solution, single set of data and processes uh to ultimately execute on the life cycle of that relationship. Next slide, please Melissa. We deliver it through a combination of um expertise in our people. We help uh do the hard work of thirdparty risk management on your behalf from on reporting, assessing, remediating and managing that vendor if you choose that. Uh we give you the the the most data available in the industry to help you make good decisions. More than half a million um uh profiles of vendor intelligence we have uh you know in our library. Constant inflows of information from the cyber business financial ESG and and reputational risk side. And we don’t just give you the data, we correlate it, we harmonize it, help you make good decisions. And all those decisions are helped to facilitate or facilitated through the platform. The third pillar uh of what we deliver all the workflows, all the automation, all the reporting, you know, are all centralized. So, a combination of the people, the data and the platform is how we help uh to address that problem we we talked about before. Next slide, please, Melissa. Ultimately, there are three things we want for you uh that we deliver in our solution. The first is to give you the comprehensive risk, performance, insights, analytics, and reporting to help your team be smarter in its decisioning processes. Second, to unify assessments, monitoring, and the life cycle to give you a single source of the truth of the enterprise to unify your program and to deliver you a program that is prescriptive and not just has built-in intelligations and automate automated workflows. We’ve got a whole army of experts uh behind that to help support you every step of the way. So, good intelligence, great automations, a prescriptive process. You know, we could help you from the from the point where you want to start building your program to you want to optimize it, you know, through its life cycle. That’s our approach. That’s what we do to help from a third party risk management perspective. I think it ties in perfectly to the theme today on building some organizational alignment, getting people rallied around a single set of processes, truths, and uh and data sets to make good risk based decisions. All right, that’s what I just shared today. I’m going to pitch it back over to uh Melissa. Melissa, I think we’re probably gonna open up for questions for uh for Mike and for Rodney.

梅丽莎：嗯。呃，你猜中我的想法了。呃，与此同时，我要启动第二次投票。所以，就像第一次那样，呃，我们确实想看看——好吧，今天我的投票系统搞什么名堂。呃，让我看看。 我发现迈克·亚菲：开场前的紧张感，梅丽莎：就是这样。这也不是我第一次搞投票了，真搞不懂怎么回事，但迈克·亚菲：紧张感总会有的，对吧？每年都会心跳加速，梅丽莎：毕竟新赛季崭新起点。 呃，各位是想扩充业务还是建立新业务？特别是还在用电子表格的，准备好脱离它了吗？呃，请告诉我们。务必如实反馈。我们会跟进的，这些投票可不是闹着玩的。呃，

迈克·亚菲：其实会是梅丽莎。梅丽莎：不会是我。我保证这绝不是什么随机的机器人。迈克·亚菲：不想和梅丽莎说话就说"不"，她不会打扰你。想和梅丽莎聊天就说"是"。梅丽莎：也别再把我归进你的垃圾邮件文件夹了。 呃，不过嘛，我确实有罗德尼这个人。迈克·亚菲：说这话时记得比个手指动作。梅丽莎：嘿，让我打开摄像头，这样你们才能看清我的表情。 不过我知道我们还有些问题在排队。呃，如果各位想讨论幻灯片里没涉及的内容，现在就是发言时机。提问是匿名的，大家别害怕，这是互动环节。

梅丽莎：嗯，我们确实收到过一条评论，其实是凯文发表的声明。你知道的，罗德尼刚才提到过合作伙伴关系，对吧？别滥用合作伙伴关系，这真是条好建议。虽然我开玩笑的，但他说的没错，确实不该占便宜。你对此有什么看法？罗德尼·坎贝尔：是的，我完全同意。 我认为在讨论第三方风险管理时，我们常常把供应商视为某种"替罪羊"。我的意思是，他们往往是风险问题的源头，他们的参与或不参与可能给组织带来更多风险。但必须从协作角度重新审视这个问题。 必须确保贵组织与供应商之间建立的是健康且富有成效的合作关系。因此初期就应开展协作，确保他们充分理解您的需求——不仅是产品本身，还包括如何支持该产品或服务，同时明确您在审计和尽职调查方面的要求。将这些信息告知他们。 在合作初期就向供应商或第三方服务商提供完整信息，让他们主动调整方案以满足您的需求。但请务必确保双方建立的是协作关系——这既非单方面为己，亦非仅为对方，而是为共同提升组织效能而构建的互利关系。

迈克·亚菲：我觉得这确实是个绝妙的总结性问题。你总结得非常到位，完美收尾了。不过我们确实还有一个问题。嗯，可以问问这个。关于风险管理策略，你们是否考虑过第三方之外的风险？也就是第三方带来的风险。最终责任方 。罗德尼·坎贝尔：好的。 关于这点，我建议——或者说至少向许多人解释过——要从最初阶段着手。这里有两个层面：一是已建立的合作关系，合同已签署，可能第三方风险管理职责并非你所承担，而是前任负责的。现在你接手了这个流程并逐步理解。 但让我们回到起点。最初筛选供应商时，若该供应商可能成为贵组织的核心或重要供应商，难道不该了解：这些关键或核心第三方自身是否存在关键或核心第三方？他们依赖哪些供应商来向贵组织交付产品与服务？这些问题必须在最初阶段就明确。 现在，在对现有第三方进行尽职调查时，即使最初未曾询问，你也需要追问其下属服务机构。你不仅要了解关键依赖关系，更要掌握第三方合作关系所依赖的全部环节。你必须确保数据访问权限的安全——因为这不仅关乎依赖关系。 更需意识到这些依赖关系可能对贵组织数据的访问权限构成潜在风险。必须明确数据保护的管控措施。虽然我们知道一切并非尽善尽美，但必须确保对那些可能接触贵组织数据的第三方保持可视性与认知——这些主体超出了贵方第三方组织的关键依赖范畴。

迈克·亚菲：说得对。嗯，没有更多问题了，最后总结一下。瑞安，罗德尼·坎贝尔：呃，我想说的是，我知道很多观众收看节目是因为他们正处于构建项目的过程中。我明白你的目标是确保整个组织都理解项目的重要性，这绝非易事，其难度甚至超出我此刻能言传的范畴。 但我建议你坚持既定方向。继续做正确的事。在构建项目时务必吸纳利益相关方参与，并通过透明化方式实现—— 要基于事实推进——不是你期望项目成为什么，不是概念性的东西，而是事实、透明度和协作。我可以告诉你，这样做终将为你打造出组织真正需要的项目。成果不会一蹴而就，但它终将诞生，并成为最适合你们的项目。

迈克·亚菲：太棒了。完美。非常感谢你，老兄。这次太精彩了。我喜欢这个节奏，很有趣，而且我觉得我们讨论了很多话题。所以，非常感谢你参与这次访谈。梅丽莎，在让大家散场前还有什么需要处理的吗？梅丽莎：没有，毕竟今天大家都有棒球赛要看——如果你关注开幕日的话。 嗯，听罗德尼、迈克还有斯科特聊得真开心，我马上就到你们邮箱里见啦。嗯，很快再见。保重。大家再见。

罗德尼·坎贝尔：再次感谢。梅丽莎：保重。