职业道德、合规性和多样性如何影响第三方风险？

阿曼达：大家好。我稍等一下，让大家都进来。欢迎、欢迎、欢迎、欢迎大家来到 "年度盛行 "的第二次网络研讨会。今天我们有一个非常令人兴奋的小组，我们将重点讨论道德、合规性和多样性。没有演讲。我们将就道德、合规性和多样性展开讨论。我想先给大家讲几条注意事项。我们会把每个人都静音。我们也看不到你们，但我们也在录制会议。我希望你们也能在下面进行问答。我们希望这是一个互动的过程。请尽可能多地向小组成员提问。至于录音，你们明天就会收到。我就说这么多。下面我将介绍小组成员名单，并向大家介绍一下都有哪些人参加。顺便说一下，我是阿曼达，负责盛行。我是主持人忘了说了。我们请到了阿尔芭-伊莫达尔她是纽约梅隆银行第三方治理咨询小组的负责人。阿尔芭负责战略规划、组织重组、客户关系管理、合规和风险。她负责监督新业务机会和现有客户高调复杂计划的跨职能过渡计划的战略和执行。在她的职业生涯中，作为管理复杂客户关系、风险管理和转型的领导者，她取得了成功的业绩。欢迎您，阿尔帕。感谢您加入我们。

阿尔芭阿曼达

阿曼达当然我们还请到了特蕾西-戴维斯（Tracy Davis）。她是赛雅驰纽约办事处的合伙人，在公司的商业诉讼部门和全球隐私与网络安全团队工作。作为一名经验丰富的诉讼律师，她代表企业客户处理违反官僚义务、欺骗性商业行为和复杂的合同纠纷，包括法庭内外、仲裁和调解。说得真多啊。她在创建法律框架、为新兴市场利益相关者、董事会董事和高级管理人员提供监管合规和诉讼风险缓解方面经验丰富，并能驾驭不断变化的金融科技人工智能和环境、社会和公司治理领域。欢迎 Tracy Davis。感谢您加入我们。

特蕾西谢谢你邀请我。

阿曼达当然抱歉我说错了几个词，但我们知道。

特蕾西不用担心。

阿曼达最后一位当然是我们盛行第三方风险副总裁 布伦达-费拉罗（Brenda Ferraro）。她将担任我们的主持人，向这些漂亮的女士们提出重要问题，请大家收听并关注。布伦达，谢谢你。

布兰达非常感谢，阿曼达。太棒了。你做得很好。

阿曼达谢谢

布兰达特蕾西和阿拉，很高兴你们今天能来到这里。我们将讨论一个非常热门的重要话题，这个话题似乎正在涌入每个人的电子邮件收件箱，我们将直截了当地讨论ESG，即环境、社会和治理，以及道德、多样性和合规性。这与第三方到底有什么关系？要知道，我们一直在努力确保收集第三方的信息，甚至可能收集到网络安全、业务或财务方面的第n方信息。但现在，范围完全扩大了。我们现在要关注的东西太多了。所以，我有一些问题要向两位请教，我们将讨论策略和任何信息。但在此之前，我有一个法律免责声明，因为我们确实有一个法律资源上线。所以，在我们开始之前，我先读一下这个免责声明。然后，我们再来提问。关于我们今天的讨论，我们的声明人表示，与会者仅以个人身份发言，不代表其雇主或客户。本演示文稿的内容仅供参考，不应被视为法律建议或对任何具体事实或情况的法律意见。所以，现在有了这个常规节目，我觉得我应该说得更快一些。你知道广播节目就是这样。好了，我的第一个问题是关于特蕾西的，我们刚才谈到市场对 ESG 因素的关注使得多样性和包容性日益受到重视，那么在涉及 ESG 以及更具体的多样性和包容性时，公共和私营企业及其董事会目前所面临的法律环境现状如何？

特雷西：这个问题问得好，因为ESG是环境、社会和治理的缩写，范围很广。嗯，它包括一整套各种因素，既针对实体内部的利益相关者，也针对市场内部的利益相关者。嗯，为什么现在了解这个领域的情况如此重要，因为这个领域还很年轻，尤其是在美国，没有太多的法规和规则。就像在网络的早期阶段，目前在隐私保护的阶段，美国选择采取的是一种临时性的方法，在管理ESNG的具体法规方面，美国是放手不管的。驱动 ES SN ESG 的是数据。驱动它的是衡量标准。驱动它的是目标和指标。而现在，我们目前没有统一的目标。没有统一的目标。因此，我们在某种程度上是在玩追赶的游戏，而最近，在涉及环境问题时，欧盟历来都有一个衡量和利用数据的深入的嗯嗯框架，你知道，欧盟几乎走在了采用联合国可持续发展标准的前列，而美国则采取了某种程度上的袖手旁观的方法，但它不能再是袖手旁观的方法了，嗯嗯，我们看到，例如，美国证券交易委员会最近嗯嗯提出了关于嗯嗯人力资本和上市公司人力资源需要披露的内容的嗯嗯建议。虽然这听起来好像不多，因为它确实采取了一种不那么规范的方法，只是说只要是对公司运作有重大影响的就是基准。这与我们以前的情况相比，简直是小巫见大巫。具体到该领域的多元化，纳斯达克最近刚刚提出了一项规则，规定任何在其交易所上市的公司都必须拥有多元化的董事会。大家都知道，这一规则有望得到实施，因为美国各州都采用了类似的标准。它规定，在实施后的第一年，董事会中必须至少有一名女性。到了第二年，至少要有两名多元化人士，一名女性和一名多元化人士。根据规模的不同，一名女性可能就足以达到这个门槛。但同样，我们希望通过这些标准，至少在这一领域实现一些统一的目标。嗯，我们在开始之前谈到了布莱克洛克公司，拉里-弗林克最近刚刚规定，任何与布莱克洛克公司有业务往来的公司都必须达到自愿扩散的可持续发展指标。稍后我们将讨论自愿性标准的扩散在法律上意味着什么。但现在我们只需要说，我们所讨论的是一个正在缓慢演变的环境。嗯，我们还要谈谈风险问题，因为你不一定有一套特定的法规或法律，这就扩大了暴露和风险的可能性。在合规领域，我们喜欢固定的法律。我们喜欢法规。作为一名诉讼律师，我可以告诉你，法律当然知道如何弥补那些没有规定标准的领域。但愿这已经回答了你的问题，布伦达。

布兰达它确实。It does.非常感谢说得好我喜欢你说的，它还很年轻，而且可能会是一个伊恩事件，你在纽约梅隆银行做了什么，或者在你的专家看来，为了解决我们面临的问题，应该怎么做。

阿尔芭Yeah.我的意思是，我同意特蕾西刚才说的，我们没有具体的法规和法律，我们还在不断发展，有些行业比其他行业发展得更快，但我可以谈谈金融业。因此，我认为现在我们又有了具体的衡量标准，每个行业都有，我们还没有特蕾西所说的标准，但在金融业，我认为我们在衡量这些标准的意义上正变得越来越先进、要么是环境标准，要么是气候标准，要么是二氧化碳排放标准，所有这些标准我们现在都在发展，我们希望在这些数据基础上开展业务，我们说我们只会经营，我们必须对我们的供应商360度无死角，对吗？我与 Xender 公司已经有 50 年的合作关系，但我们却没有尽职尽责，确保他们符合 ESG、道德合规性和多样性标准，这是不可能的。说得好。所以我想我要跳了。可能会觉得这与我们刚才谈的有点偏离，但在我看来还是有联系的。所以，阿拉，我先向你提出这个问题。持续监控与道德、合规、多样性和 ESG（环境、社会和公司治理）之间的关系是什么？

当然：好吧，我先花点时间谈谈持续监控，然后我们再深入探讨道德与合规的多样性。嗯，在此之前，如果你想一想第三方治理是如何管理或风险的，当我们加入一个客户时，我们会根据风险评估来做尽职调查，所以如果他们的风险评估是高中低级的，我们就会做一个评估，你知道，我们会每隔一年做一次评估，每隔一年做一次评估，每隔三年做一次评估，现在，鉴于covid的一切都加速了这条路，所以你一年前或两年前所知道的不足以开展业务，因为公司要么取决于他们的集中度，要么取决于他们的位置，要么取决于他们的财务可行性，要么取决于他们的运营风险。因此，持续监控在了解风险方面发挥了惊人或非常关键的作用，这意味着我们希望看到实时警报，我们必须监控这些供应商，而不是定期监控，也不是在入职时监控，而是持续监控。现在，我们开始真正审计并查看供应商的所有库存，真正开始关注犯罪行为，开始思考你知道我们正在进行哪些交易，我们是否正在审查这些交易，它们是否符合道德合规性和多样性的标准。因为我认为这是最大的挑战之一，尤其是在金融行业，你知道纽约甜瓜有 233 年的历史，遗留系统基础设施如何确保我们有一致性，所以我认为这些都是我们正在研究的持续监控的一些事情。理想情况下，如果要我展望它的未来状态，你会有适当的法规和法律，我们得到衡量的指标，但现在，我认为每家公司都在试图发展和思考什么是他们的风险偏好，然后拿出与该行业相关的指标特雷西我不知道我的意思是你同意一些知道，或

特蕾西：我 100%同意你的观点，阿尔帕。监督这一块有助于在以后出现问题时避免承担责任。你会发现，现在至少有八起针对企业多样性和包容性的诉讼正在审理中。不作为。好吧虽然他们有标准、做法、政策和计划，范围从薪酬公平到反歧视，再到如何审查第三方供应商。除非这些政策得到真正的执行和实践，否则这些政策也起不了什么作用。如果出现类似的索赔，我们将讨论后端存在的责任水平，但你说得非常对，Alpa，正是通过这种监测和市场的期望，市场现在有能力进行实时数据分析，他们正在通过评级和排名机构这样做。我们知道，现在有一些企业概况不仅可以用来评估股东价值，还可以用来评估风险。因此，当你在寻找你想要参与的第三方供应商时，值得进行这种尽职调查，其中会涉及到分析。

布兰达说到诉讼，下一个问题其实是关于这个的，我不知道你是怎么把我逗乐的，因为我觉得这个问题很好。嗯，由于专门针对 ESG 信息披露的监管和法律指导太少，在座的想要在 ESG 领域保持竞争力的企业可以采用哪些类型的风险缓解战略和诉讼规避策略？

特蕾西：因此，首先要进行整体评估，嗯，你必须通过 360 度全方位评估。从董事会到高级管理层，一直到员工以及第三方供应商，审视公司本身的整体结构，看看你目前在多元化方面的确切位置。目前担任这些高级职务的都是哪些不同类型的人呢？现在的重点只放在董事会上，但我可以告诉你，去年我参加了世界经济论坛，杰米-戴蒙德（Jamie Diamond）不想在这个时候提到竞争对手，但他明确表示，他的意图不仅是自上而下，而且是纵向垂直，看看供应链中谁达到了标准和承诺，这一点至关重要。重要的是，你要了解自己的组织，了解自己的组织在供应商和竞争对手中的地位。这不是一刀切。因此，确实需要进行这种广泛深入的分析，看看你所处的行业、你的竞争对手、你的规模、你的立场，显然，这将成为任何分析的因素，以了解你在多样性和包容性方面所做的努力。嗯，你的员工做法，嗯，你如何处理歧视索赔。嗯，做 360 是第一步。第二步是审视你的政策和做法。它们需要修改吗？如何执行？谁负责执行？你会发现，越来越多的企业设立了首席可持续发展官。为什么？因为这意味着问责责任由一人承担。这些因素对于确保机构免受索赔至关重要。在没有法律的地方，对行业标准的监督和了解就显得更为重要。这些只是可以用来保护文件文档的一些因素和机制，嗯，你知道文件数据是你的朋友，嗯，只要你留心观察这些数据，你说你在做什么和数字证明你实际上在做什么之间没有任何不一致的地方。所以，这些只是一些方面，但它是一个可以利用的全套技术，而且必须利用，因为我不认为有任何公司或行业现在不容易受到影响，嗯，鉴于黑岩的盛行。

布兰达我喜欢你把一二三组合在一起的方式。阿尔帕，你有什么要补充的吗？

阿尔芭是的，不，我做的，我的意思是，只是一个我认为快速嗯数据集权ESG在2018年，我认为是30万亿好吧，它会得到我们从它增长的收入，这将是50万亿在未来20年，所以作为什么特雷西说的权利，这将是至关重要的。另外，我注意到特雷西所说的是，我们的投资者、客户甚至我的员工都在问，我们的组织是如何成为ESCESG的一部分的？这不仅仅是自愿或给予就够好的了，而是要正确投资，所以我们是否投资于关注ESG的ETF，这就是我认为心态正在发生变化的地方，因为公司在招聘员工时，他们会问你如何回馈，你在ESG领域做了什么，这与10年前是非常不同的，所以我认为这不仅仅是为了你的员工，而是为了我们的社会能够持续发展，我们必须开始关注ESG以及我们如何管理这个过程。

布伦达：太好了

特蕾西：我只想补充一点，因为我认为这是一个思维框架，你可以用它来思考这个问题，重要的是要明白，根据法律，公司被视为个人，他们被视为人。所以，你知道现在ESG发生了什么吗？他们只是真正将企业提升为负责任的社会成员。因此，在考虑这些因素时，将其作为锚点是非常重要的。

布伦达特蕾西说得好。我完全同意你的观点。我喜欢你刚才说的话。太了不起了。

布兰达它是。好的所以，我们要谈的是更广泛的范围，你知道，你谈到了个人和负责任。我们的供应链正在不断扩大。过去，我们只需关注那些提供网络安全类型的处理和托管服务的供应商，而现在，在我们的一些组织和行业中，我们正在向外扩展。因此，随着供应链从网络安全扩展到第三方评估，我与一家供应商合作，这家供应商又与另一家供应商在同一项目上合作，现在这家供应商又与另一家供应商合作。这就像多米诺骨牌效应。既然这已经成为了热门话题，我们也确实在关注恢复能力和稳定因素，以及有哪些风险因素可以让我们清楚地看到这些合作关系和长长的支持链或这种格局。当涉及到如此严格的评估或甚至必须发现过去我们一直在做的事情与现在我们需要做的事情时，你们阿尔巴是如何处理这两方面的增加或合同性质的。

阿尔芭是的听着，我认为整个格局就像你说的那样已经发生了变化，而且我要说的是，很多变化都是因为共同的原因而加速的，我们实际上已经受到了影响，无论是作为卫生纸这样基本的东西，还是你所知道的供应链，以及它对每个人的影响，所以我认为，作为一个组织，现在仅仅了解你的第三方是不够的，还要像你说的那样了解最终方，因为这有很大的影响，因为就像你说的那样，这是一个多米诺骨牌的连锁反应。因此，我们开始关注的一件事就是改变我们的政策和合同，对吗？过去，我们从未问过谁是你们的第四方或第五方，但现在，我们更进一步问，这些第四方和第五方的总部在哪里，因为地点确实有区别，然后，我们在这些方中更进一步问，多样性组合是什么，因为现在我们要负责任了，我要说的是，AMIA 嗯，正如你所知道的，因为法规的原因，他们现在问我们，告诉我们你们的最终方是什么。所以我认为，AMIA比我们先进一点，但作为一个全球性组织，我认为我们正在做的是，而不是等待监管机构，我们正在全球范围内改变这个流程，所以我认为，我们正在做额外的尽职调查，嗯，我们正在改变我们的合同流程，我们也在改变我们做尽职调查的方式，所以这不仅仅是说、"嘿，我了解我的供应商 只要他们能提供服务就足够了"而是供应商是否遵守了你同意的行为准则，对吗？然后，他们是否会向下延伸到他们的第四方、第五方和第六方，他们是否也做了同样的尽职调查？因为在过去，我可以诚实地说："听着，我只了解我的第三方。我不知道他们对第四方做了什么，所以我不参与其中，也不负责任"。现在，责任在于第 N 方。所以，你看，我认为我们是非常严格的。我们现在又在做额外的尽职调查。因为我会告诉你，当科维德飓风来袭时，我们不得不发出调查，我们不知道集中风险在哪里，因为这是第一次影响到所有国家和地区，它不是像 911 那样以纽约为中心，也不是以发生在菲律宾、美国或其他地方的飓风为中心，它影响到我们所有人。

布伦达说得真好，特蕾西，我觉得你可以从法律的角度稍微应用一下，我以前在做评估的时候，他们会说，我们不对那些供应商负责，你知道他们自己做评估，我们怎么解决这个问题？

特蕾西：这是一个非常好的问题，布伦达，因为嗯，你知道嗯Alpa的重点是合同，这是真正的保护所在。如果你没有一个真正强大的合同管理，看看那些标准条款，通常你只是敷衍了事。嗯，这是在那里呃你发现要么保护或暴露的责任。那么，你知道该怎么做吗？你不仅要看赔偿条款，还要看第三方供应商、INT 供应商的实力，因为你知道，一旦发生诉讼，他们只会找口袋最鼓的人。所以，你会被卷进去。嗯，赔偿条款，嗯，知道你在做尽职调查。嗯，我，你知道，现在ESG还没有冒泡，但我可以告诉你，美国联邦贸易委员会希望持有第三方供应商的购买者，他们未能满足该购买者已通过的隐私声明负责。你也知道，这些第三方供应商依赖于人工智能，而人工智能本身就存在大量其他风险。他们不会，他们也不会指望供应方和购买方来确定购买方是否已经尽职尽责，是否已经对该工具进行了持续的监控和评估，以确定该工具是否对最终用户的权利和权益具有自愿性。因此，正如阿尔帕所说，尽职调查至关重要，要知道他们是谁，他们在做什么，他们是否符合你自己的道德准则。在这种环境下，所有这些都至关重要。相信我，还会有更多的法律出台。只是在那之前，仍然存在风险。责任风险依然存在。必须要做的就是回到最基本的事情上。

布兰达这是我们的营销用语之一，他们喜欢 "返璞归真"。

特蕾西：是的，这是事实。

布伦达那么，说到供应商的数量会增加到第 n 层。嗯，随着数量的增加，人力资源领域的人工智能也随之增加。那么，以及你刚才谈到的其他许多地方，美国目前的法律状况如何，线上公司可能会实施或开始使用哪些法律风险和风险缓解策略？

特蕾西：那就差不多了。让我先从土地说起。与美国的 ESG 不同，美国真的没有护栏。我的意思是，你要知道，你要看数据隐私政策和规定，嗯，不管是在州一级还是在特定行业一级。你要看许多州现在已经通过的网络法规，以及联邦和州监管机构通过的网络法规，你要看这些方面是否合规。数据是如何存储的？数据如何使用？但要知道，即使数据的使用方式存在问题，也会对所使用的人工智能软件的功效带来巨大的风险。举例来说，一项又一项的研究表明，人工智能的结果很容易出现偏差，尤其是在进行风险评估时，或者在进行预测分析和自动决策时。这几乎就像一个好的集体诉讼的三连胜，因为如果它可以被确定，嗯，嗯，软件事实上有偏见，有偏见的结果，你知道它是为最终用户的消费者嗯，这就是风险所在，该消费者被拒绝或剥夺了经济利益或机会。这就是典型的欺骗行为集体诉讼。你知道软件的购买者、人工智能的用户不熟悉应用程序或其机制或数据是如何填充的，这并不重要。他们将为使用该服务承担责任。现在有各种各样的技术，可以对算法进行测试。有一大堆呃标准要求系统运行的透明度。测试，你知道，测试在这个领域至关重要。在这个领域，测试是至关重要的。是否对填充其中的数据进行监测？你知道，垃圾进垃圾出的原则。如果你不采取预防措施，那么这些数据是如何填充的？谁在填充？如何进行测试？所有这些都需要尽职调查。因此，如果你没有采取这些积极措施，只是盲目地利用人工智能，你就会上当受骗。你就暴露了。

布兰达我同意你觉得呢，阿尔帕？

阿尔芭不，我是说，我同意特蕾西的观点。人工智能正在取得重大进展，对吧？尤其是在很多不同的领域，要么是人力资源方面，要么是供应链管理方面。嗯，但其中一件事就像你说的，关键是要真正理解数据和算法，对吗？因为如果你不能准确地做到这一点，就会从法律角度、声誉角度以及运营角度产生重大影响。我们正在使用人工智能，大多数公司都在使用，但我们也在使用人工智能来处理大量数据，但仍然有人在实际查看和分析这些数据，这样你就有了第二双真正了解这些数据的眼睛，以确保我们的编程、算法和规则能够有效工作。我还认为，我们在人力资源领域使用了很多人工智能技术，过去我们忘了通知申请人，从法律角度看，这是个重大问题，特雷西公司会让所有人来找我，说我没有被通知有人工智能技术，我被选中了，一旦人工智能技术从视频角度用于面试，你是否得到了申请人的正确同意，更重要的是，即使在申请人同意之后，你是否销毁了这一程序，很多时候，你知道行业会说嗯，我们有数据，但我们没有销毁它，或者我们无法证明销毁嗯方面，有多少天是30天60天，所以我认为你知道看，这是一个伟大的空间嗯，我认为就像我说的，它会改变技术，但我们必须非常谨慎，就像特雷西说的那样，因为如果我们不准确地使用这些信息，可能会对组织和行业产生重大影响，所以再次，虽然这些技术是伟大的，让我们非常注意我们如何使用它们，以确保您了解数据的算法和过程嗯、它不可能完全自动化，对吗？你仍然需要有人来分析这些信息，并向人们提供足够多的信息，正如我所说的，足够多的信息和通知，让人们知道他们在使用什么样的数据。

布伦达是的，如果你把它带回到第三方风险的基本原理上，你有时会有一些平台，可以把配置放进去，贴上一些标签，进行调整，并发送相关评估，但你仍然必须有人工接触，以确保你应用了正确的道德规范，而不是仅仅根据反馈或持续监控威胁分析来做决定，这些分析会说："哦，这个特定的供应商会有风险，因为他们已经得到了所有这些在野外发生的东西。"你几乎必须从道德的角度说，我们是来帮助你保护安全空间的。我们知道这种情况存在。我们如何与您一起解决这个问题？

阿尔芭说这也是连接点，对吗？因为孤立地看，该事件可能会引发一些事情，但如果你从整体上考虑企业与该渲染的关系，可能就不对了，所以我认为这就像你说的，你如何分析这些信息，你拍一个快照，认为这是一个巨大的问题，或者它可能是副chisa，但它可能不是，你必须用人的视角来看，说这是我们核心业务的面包和黄油，这可能会极大地危及我们，所以我认为这是能够拥有的，所以我同意你的观点，布伦达

特蕾西：我还想补充一点，这一点至关重要。这与 Alpa 公司的认识是一致的，即提供通知至关重要。通知必须用通俗易懂的英语。好吗？嗯，它不会为您提供保护，你正在寻找，如果它是不可理解的。嗯，我们之前已经通过消费者融资和，你知道，那里的披露要求。我们已经通过法规，已经在书上写了相当长的一段时间，谈到这些通知的必要性，一般来说，消费者的通知必须是通俗易懂的英语。

布伦达同意。话虽如此，但我们不得不处理一些情况，在家共同工作就是其中之一。基于风险矢量的转变，道德、多样性和合规性或 ESG 或我们必须注意哪些技术。对于在家办公，阿尔芭有什么建议？

阿尔芭：关于这一点，我的意思是，由于 Co 的存在，我们必须很快适应，每个人都必须在家工作，不管你是交易员还是分析师。所以我会告诉你，我们的一些地点在合作之初没有足够的笔记本电脑，我们从字面上，我的意思是运送台式机到不同的地方，只是为了让人们能够在家工作，但一旦我们得到了你知道的硬件，我认为它是能够监控软件和它背后的人，嗯，你知道这是非常非常具有挑战性的，我发现你知道的事情之一是，我们现在已经投资了很多更多的这些供应商正在寻找我们的IP地址，他们实际上是在寻找、你知道，你的日常访问。你是否接触了敏感数据，我们是否有正确的协议或额外的安全措施，不仅仅是 RCSA 令牌，鉴于她实际上处于第三方治理中，APA 是否真的应该查看今天发生的所有贸易结算的数据，对吗？好吧，因为 Ala 以前是做这行的，她有这个权限，但现在她是第三方管理者。所以，我认为这需要从头开始重新评估，看看你的每一位员工，看看他们的访问权限和实际使用情况。因此，我认为这就像我们谈到的那样，回到了基础。第二件事，我认为我们学到的是，你知道很多人使用他们的个人笔记本电脑，这些病毒软件的更新，他们有没有保持在轨道上，因为组织现在把自己更多的风险，当人们使用他们的个人笔记本电脑，比方说，他们没有买反病毒软件或反恶意软件。因此，我认为我们在操作时需要格外谨慎。因此，我认为我们要做的一件事就是，我们说你们不能使用个人笔记本电脑。每个人都必须使用公司的设备。嗯，我想现在额外的监控已经开始了，对吗？所以我们现在不仅监控你的 VPN 访问，还监控所有的软件。过去，你知道，当你在办公室时，人们很难获取和分享数据。现在，因为你在家里，人们就有点不情愿了。人们可以很容易地通过电话获取信息并与他们交谈。他们可以用 iPhone 拍张照片，然后分享。因此，我们如何确保我们展示的数据具有额外的屏幕过滤器，这样当你试图拍照时，就不会允许你拍摄这些信息。因此，作为一个组织，我们必须迅速做出调整，以确保保护我们所拥有的数据以及与之相关的风险。我们是否做到了百分之百？还没有。但事实是，我们都在快速学习。所以，正如我所说的 "从消防水龙头里喝水"。嗯，但我们正试图尽可能地利用它。我们可以使用哪些技术来预防可能影响我们组织的风险？

布兰达你怎么样特雷西从法律

特蕾西：那么，我还是回到最基本的话题吧。

布兰达是啊、

特蕾西：还是回到最基本的。嗯，你知道，发送提醒，说明什么是良好的协议，良好的治理呃信息治理做法。嗯，还要进行自上而下的培训。我知道，在我的组织内，我们都h我们都有强制性的培训，必须发生的日期一定嗯认识到，嗯，你知道有一些第三方谁拥有协议上交换信息visav个人呃设备。嗯，知道这些协议的要求是什么，嗯，你知道，当我们与金融机构合作时，他们甚至不希望嗯数据由我们利用我们的个人设备发送。所以，作为律师，我们显然要注意处理机密信息。当你使用和访问这些信息时，要注意谁在场。Um make sure that that data that to the extent that it is printed out is is kept um uh with some sense of security um destruction of it when it's no longer needed.因此，我们建议回到最基本的层面，但令人鼓舞的是，我们正在进行评估。要知道，我们所处的环境不同。因此，确实需要再做一次360度全方位的评估，看看组织上的情况到底如何。

阿尔芭就像你说的，培训非常重要，对吗？因为现在黑客有了更多的机会，对吧？就连钓鱼邮件也是如此，对吧？嗯，你有一个包裹订单，你打开邮件，然后他们就会得到你的 IP 地址。因此，要根据当前的环境对员工进行不同的培训，因为每个人都在家里工作。我们如何确保你的安全，如何培训他们？因此，我认为就像你说的特蕾西，培训是关键中的关键，你必须改变这种培训，对吗？几年前的培训不能就这样恢复了。你需要改变这些流程，比如说你知道人们可以通过哪些不同的方式来攻击你的大型机系统，甚至像你说的软件

特蕾西：我想说的是，我们现在正处于特殊情况下，这一点会被考虑在内，但如果一个问题引起了一个组织的注意，却长期得不到解决，这就是责任和风险暴露的时候了，因为责任和风险往往是通过知识和行动来评估的。

布伦达我们可能还有时间再问一个问题，我有两个问题。所以，我打算把它们合并在一起，因为我想让专家小组有机会回答听众的问题。所以，我先向特蕾西提问。嗯，董事会在风险缓解战略中扮演什么具体角色，然后可以对这些公司董事会提出什么索赔？

特蕾西：所以，嗯，公司董事会及其结构对我们的整个谈话至关重要，因为这是责任的归宿。他们是对公司行为负责的最终机构。我说过，公司其实就是一个虚构的人。那么谁对这个虚构的人负责呢？是董事会所有的一切都由他们负责。他们要负责提供知识和专业技能他们对实体本身和股东都负有受托责任，而这些责任的行使将决定公司将采取何种方式，完成何种使命。我的意思是，对于环境、社会和公司治理以及这些所谓的非经济因素，人们一直在争论，采用其中的一些因素是否与企业以利润为导向的使命相一致。所以，你知道为什么这一点至关重要，因为董事会必须确保管理层已经设计并制定了一项总体战略，在采用该战略的地方，有实施该战略的政策和程序，以确保你知道，那些负责任的人或管理层中负责任的人被追究责任。如果董事会成员个人不能履行这些职责，即了解、忠诚、监督管理层的工作。如果他们以任何方式失职，都会被起诉违反信托义务。听起来很吓人，因为确实很吓人。当我说他们可能被起诉时，我指的是个人责任，因为你知道他们的个人资产处于危险之中。现在有了减刑缓和因素。如果你听说过 "商业判断规则"（Business judgment rule），那么你就会知道，如果你采取了合理的谨慎措施来履行这些信托义务，那么即使你搞砸了，即使你做出的决定是错误的，法庭也不会追究你的责任，因为你的行为符合公司的最大利益。然而，嗯，你知道，这总是一个灰色地带，你知道，你的行为，你知道，是否对公司忠心耿耿？你问对问题了吗？你做了足够的尽职调查吗？董事会是否由足够的专业人士组成，以做出明智的决定，嗯，你知道，所以至关重要的是，董事会不仅要评估组织，还要评估自己，以确保它有足够的能力来履行这些信托义务。DNO 保险显然提供了一些保护，但并不是所有的保护都不包括在内。所以，为什么我说董事会的参与很重要，因为他们最终要承担责任。有些日常决策，董事会甚至根本不需要参与，因为他们不负责日常事务。但我可以告诉你，当涉及到环境、社会和治理时，当涉及到网络安全、数据隐私时，这些都是非常重要的，嗯，你知道，他们现在正在考虑设立首席可持续发展官，并确保他们能够定期获得关于这些因素的报告，以及公司在达到这些基准方面的情况。

布兰达Helpa back to you.

阿尔芭Yeah.我非常同意特蕾西的观点，对吧？我觉得我看到的一件事是，现在道德委员会的董事会职位多了很多，对吧？嗯，这是在那里。我认为，有更多的CISO 加入进来，因为就像你说的，现在董事会拥有问责制，他们是否拥有合适的人才或能够评估一些网络安全风险或运营或合规风险的人。因此，我认为董事会的组成正在发生变化，因为就像你说的，他们要承担责任，他们会说，等一下，我需要有人能够真正理解道德、网络元素、环境风险，他们可以指导我们确保公司遵循这些流程。因此，我认为就像你说的，你会看到越来越多的董事会机会，包括所有风险和第三方，尤其是道德和多样性方面，因为他们将承担责任。

布兰达太好了。我看到阿曼达已经上台了，因为现在是问答时间，但在她上台之前，有时我没有机会对你们两位丰富的知识说声谢谢。这是我的荣幸，我迫不及待地想知道我们有什么问题。那么，交给你了，阿曼达。

阿曼达谢谢。非常感谢两位。这太不可思议了。在问答之前，我们有一个投票问题。如果可能的话，我只是想让大家都参与进来，问题是：你是否希望在 2021 年增强或建立第三方风险计划？你们在这里首先听到了持续监控供应商的重要性。所以，我们在问这个问题时也会考虑到这一点。所以，我先把这个问题留一会儿。我的第一个问题是在会议开始时提出的。听起来有点像她从头开始跟你们说，但这是多萝西-罗德里格斯（Dorothy Rodriguez）的问题。所以，多萝西，如果你在听，如果你想让我换个方式问，请插话。她说："10 年前，我在一家制造公司从事第三方风险管理，这些是我们最关心的问题。但是，所有的生产都是在海外进行的。这是在讨论现在对美国供应商的要求，还是也在讨论服务行业的新要求？我不知道是否有人能理解她的问题，你知道制造业可能会领先一点，我认为是他们你知道要走向什么，这可能是正确的，因为看每个行业嗯，如果你想想医疗保健行业与金融行业与汽车行业，我们都有一个非常不同的轨迹和影响的权利，所以制造业可能有我的意思是再次我不你知道我没有问题澄清他们要走向什么，但看它正在改变的旅程，我们看到，现在比以往任何时候都更。因此，我认为，这取决于行业，但归根结底，我们都有责任，因为这无关行业，嗯，你需要了解你在什么地方经营什么业务，你是否对他们如何经营业务的道德合规性和多样性感到放心，这就是我会如何根据所提出的问题来回答这个问题。

阿曼达：希望这对多萝西有所帮助

特蕾西：请说，我只是想补充阿尔帕的话，嗯，看看你所在的行业。我的意思是，这就是指南。所以，在我们的谈话中，我可能没有提到这一点，但这些行业标准将被注入诉讼中。所以，你知道，不要以为这只是自愿的。这是一个旁观者。我想做就能做你知道，在没有法律的情况下，法院要看你是否以某种方式或其他方式，嗯，你知道呃，为被告创造了一个危险的环境，从而导致被告受到伤害，他们会看行业标准。因此，你知道，虽然我们可能无法在此时此地明确指出制造商是否受到 ESG 和多样性的影响，但看看你的竞争对手，看看行业标准，去看看你的行业协会，你知道，他们都会以某种形式对此表明立场。如果在 ESG 项下没有细分，那就查找歧视和多样性。当我们谈论这个话题时，这些关键词在 ESG 伞下至关重要。

阿尔芭就像特雷西说的，甚至是监管机构，对吗？因为就像你说的，监管机构也会说，在你的同行中，他们正在做 X，你是否与之保持一致，或者你是否遵守了类似的规定，所以这并不像

阿尔巴我认为这比特蕾西说的更进一步，你知道，你要看看你的同行，看看一些财团的情况，但监管机构也会通过看到行业内的最佳实践来找你，然后确保你是那种合作伙伴，或者你与整体最佳实践保持一致。

特雷西：让我补充一点，我不想占用其他问题的时间，但是

特蕾西：如果你受联邦贸易委员会监管。如果你受当地州立机构监管，请加入他们的邮件列表。他们每天都在发布信息，好吗？关于指导方针、他们的想法、不同演讲的发言。加入邮件列表。

阿曼达这是明智之举。同意。下一个问题是，如何识别或通知第三方供应商的环境变化，以支持持续监控。

阿尔芭你看，现在有很多服务。嗯，你知道有安全记分卡，有供应智慧，有我的意思是一堆他们在那里，我认为它是基于你的风险和标准。这也是作为一个组织如何监控这些信息的问题，很多信息都可以通过社交媒体Googles获得，但你需要非常小心，因为有些信息可能并不准确，你可能有异常值或伪造的信息，你不想在没有适当的尽职调查和了解的情况下做出决定。因此，我强烈建议的一件事是，特别是如果是你的关键供应商，你一定要每月、每两周与他们保持联系，无论你想通过什么方式与他们保持联系，因为了解他们业务的人是真正日复一日做这些事情的人，所以如果你有一个积极主动的方法，你不断与这些供应商保持联系，了解他们的投资组合、他们的风险偏好以及他们在该领域正在做的事情。我认为这是持续监控的一种方式，因为你对这些供应商和他们的运作方式感到相当放心。因此，我认为这是我要提供的一个例子，然后实际上就像我说的那样，有很多供应商可以利用，你知道他们会向你收取持续监控服务的费用。

阿曼达普遍性是其中之一。

阿尔芭Yep.

阿曼达Prevalence one of them.这就对了

布伦达无耻的插曲无耻

阿尔芭：塞纳尔信贷公司正在调查。

布兰达赢得好

特雷西：赚到了。特蕾西，这个问题你有什么要补充的吗？没有我赞同阿尔帕所说的。嗯，这确实是关于建立信任关系的问题。我的意思是，你会听到这个词，嗯，现在比以往任何时候都被戏谑得多。其中一部分原因是，我们都在努力，我想，呃，争取技术带来的好处，利用技术提供的资源。要想将大量可用的数据货币化，你就必须与你的合作方建立可信赖的关系。

布兰达我同意

阿曼达嗯，我还有一个问题，我认为这个问题很宽泛，可能会占用我们剩下的时间，但嗯，我想请两位进入你们的水晶球，看看你们如何看待道德、合规和多样性在第三方风险中的作用在今年晚些时候或以后的变化。

阿尔芭我说特蕾西，你想先走还是

特蕾西：是的，我先说。我认为我们会看到，嗯，我认为我们会看到围绕标准、目标和衡量标准的凝聚。我不认为这是一个复杂的分析。我认为这只是一个新的视角，我们都将通过这个视角开展业务，而市场正在经历成长的阵痛。所以我认为我们会看到各种标准的融合。我认为我们会看到监管的加强，尤其是在气候环境方面。我希望我们能在多样性领域看到更多。我认为这是不可能不发生的，因为我认为现在的商业案例已被广泛接受，即增加多样性会增加利润。因此，我认为我们将在这一领域看到更多的标准化方法。

阿尔芭我想你会看到，就像你说的，法律法规会更加严格，但我认为各组织会非常挑剔，如果你不符合道德多元化合规的标准，我想你不会在这个游戏里待很久，你知道你会过时或成为恐龙。因此，我认为大多数组织都必须把这一点考虑进去，这对我们的社会来说是正确的事情，尤其是像你说的，你知道这将会对气候环境产生很大的影响，但我认为这将会更加关注贫困和人权问题，因为劳动法和人口贩运的影响，你会看到很多这样的影响，就像你说的地震、热浪、水，我们知道这些都会对我们的社会产生影响、就像你说的地震、热浪、水，我们知道这些都将成为珍贵的商品。因此，你会看到更多的问题出现，我认为人们会更加负责任，但他们不能责怪组织，也不能躲在供应链管理或其他流程的背后，对吗？这将不仅仅是底线，而是底线加上你如何帮助整个社会。

特蕾西让我再补充一点，现在的数据和账户能力是如此的触手可及，以至于你知道没有出路。你知道，你不能只是呃绿化或粉饰的情况。你必须把钱用在刀刃上。

阿曼达是的。时代在不断变化，你必须这样做。我同意。好了，非常感谢大家。今天就到这里。马上就到时间了我每次都做错但是特蕾西

谢谢你，布伦达。谢谢你们给了我一个机会，让我和这个了不起的小组在一起。特蕾西，真是太棒了。所以，非常感谢你们，祝你们平安。

阿曼达是的，我们已经收到了很多反馈，说这次活动非常棒，大家都在要录音。所以，提醒大家，录音已经录好了。明天你就会在收件箱里收到。再次感谢大家的参与，我们下次再见。

布兰达再见

再见。

阿曼达再见