如何在经济困难时期扩大第三方风险管理计划的规模

你好，欢迎。快乐星期三很高兴看到大家开始加入。在我们等待大家就位和连线的时候，我会给大家一分钟时间。与此同时，我要发起我们的第一次投票。如果你以前参加过我们的网络研讨会，这可能看起来很熟悉，但我们总是很想知道是什么让你参加今天的网络研讨会。是教育性的吗？您正处于 TPRM 计划的起步阶段吗？也许是当前的盛行客户？请告诉我。嗯，让我们从一些自我介绍开始吧。我叫梅丽莎。我在这里从事业务开发工作。如果你参加过过去四次网络研讨会，你可能在这里见过我。今天加入我们的是我们自己的首席营销官迈克-亚菲（Mike Yaffy）。嗨，迈克。

迈克-亚菲：你好。

然后是我们的首席执行官兼 "网络马拉松解决方案 "创始人鲍勃-威尔金森。你们好

鲍勃-威尔金森：大家好。

梅丽莎：那么，今天鲍勃将引导我们完成今天的主题，即如何在不同的极端经济时期扩展第三方风险管理计划。如你所见，这次网络研讨会将被录制下来。因此，根据您所在的时区，您将在今天晚些时候或明天收到收件箱中的幻灯片。最后，你们都被静音了。所以，呃，你知道，如果你想说什么急事，你知道，用聊天工具，但如果是问答，把它扔到问答框里，这样我们就可以，你知道，在我们需要的时候攻击它。话不多说，我让鲍勃跳进去。说吧

鲍勃-威尔金森好的，我们今天将采用的形式是，迈克将采访我，我将谈谈经济萧条对第三方风险管理计划的影响，以及在这种情况下如何关注一些非常具体的主题。我就不多说了、

迈克-亚菲：这是张好照片，鲍勃。那张照片的光线很好。我已经在取笑他的光线了，因为就在我们打电话之前，每个人，我都在说："鲍勃，你太暗了。"鲍勃，你太暗了 大家都想看你闪闪发光的脸"所以，他就在打电话前移了一盏灯。所以，我对灯光很满意。我觉得我们做得很好嗯，伙计们，你看， 如果你有任何问题， 鲍勃一直在做这个 呃20，30年。他很谦虚，他不会自我介绍，但我会。他在各大品牌建立了很多第三方风险项目，大家都知道的信用卡公司、银行。他做这个已经有一段时间了。他是这方面最重要的专家之一，所以当他说话时，大多数人都会听，对吧？所以，我们很幸运能请到他。有两件事如果你们有问题，请使用问答聊天功能。我会尽量实时回答。如果没有，我们会把它们拉到最后。第二，我确实住在波士顿我知道我在那儿有件道奇队的球衣。人们会问我和柯克-吉布森一起参加过 最著名的五次本垒打之一的比赛希望你知道那是谁废话少说，我们开始吧，鲍勃听着，我们讨论的第一个问题是，你需要做什么？你应该关注什么？你知道，你看，裁员了。亚马逊刚刚裁员一万人。Twitter 也裁员了。我知道，这显然与经济衰退率升高、经济再平衡有关，但这就是我们现在所处的现实。所以，你知道，我相信大家都在想，我该怎么做？我如何通过 TPR 计划？如果明年会有挑战，我该如何扩大规模？

鲍勃-威尔金森好的，迈克，谢谢。这似乎是当下亟待解决的问题，尤其是我们看到的大量科技公司裁员，以及裁员所产生的连锁反应，一直到对初创公司的影响，以及很多初创公司的资金正在枯竭，如果你在烧钱，那么超速增长就不再是一种可以接受的商业模式。实际上，你必须显示出某种盈利能力，而对于那些拥有原始资产负债表的公司来说，是的，你可以获得资金。但是，世界已经变了。因此，我想谈谈在经济衰退期间需要关注的一些事情。

迈克-亚菲我能问你一个问题吗？你刚才提出了一个非常好的观点。亚马逊裁员，好吧，你知道，亚马逊不会倒闭，但它一般会向下渗透，对吗？那么，不管是在供应还是风险方面，不管你想说什么，这不都会因为经济下滑而带来更多风险吗？对不对？这可能会让企业变得不那么稳定。他们可能会更难履行义务。如果他们的业务量减少，员工人数减少，他们就不能像以前那样作为供应商为上游企业提供服务，那么他们可能就不再是以前的供应商了。对不对？

鲍勃-威尔金森：事实上，这正是我们在这个环境中前进时需要注意的关键问题之一。我想举个例子，我认识的一家独角兽公司最近在和我讨论时告诉我，在他们经营的领域里，一些小型供应商给他们打电话说："嘿，你们想收购我们吗？要知道，资金正在枯竭。因为在这种环境下，财务状况会迅速恶化，你必须对这一事实非常敏感。你必须随时更新。你必须注意财务状况的恶化趋势。

Mike Yaffy：那么，你应该多久评估一次风险，因为你看，有运营风险，但也有供应商的财务风险，对吗？我们会有一些采购和 IT 人员，但现在我只是在想，你们应该多久评估一次一级供应商的整体稳定性？

鲍勃-威尔金森：简而言之，就是每天都要做。但是，呃，你知道，作为一个实际问题，我们看到的挑战和迁移是如何在公司内部运作的呃。我们需要持续关注公司的风险，但我们需要以更全面的方式来关注。我们需要关注的不仅仅是财务，因为财务只是其中的一个方面，我们还需要关注合规性。合规性是一个变化非常快的东西。当我谈到合规性时，我指的不仅仅是反贿赂和腐败或反洗钱等规则和规定。我还关注公司可能出现的负面新闻。因此，供应商的负面新闻会对你的品牌产生连锁反应。因此，你需要关注这一点。但是，在企业面临经济压力的环境下。在这种环境下，监管机构也会更加关注。因此，监管机构会说，你是否进行了适当管理和降低风险所需的投资？因为在这种环境下，预算会被削减，但监管不会。我们现在正处于美国、加拿大和欧洲发布新的监管指南的关键时刻，这些法规将一如既往地对财务产生影响。

迈克-亚菲：那么鲍勃，概括地说，他们对谁有影响，对每个人有影响，对第三方有影响，这就是金融，就像给我们的未来的悬念版本。

鲍勃-威尔金森：主要是金融业，因为金融业是受监管最多的行业，所以从这个角度看，金融业受到的冲击尤其大。但是，金融业发生的事情确实是所有行业发展趋势的风向标，你需要注意。因此，特别是在金融业，你将开始看到围绕环境、社会和公司治理（ESG）出现的立法。例如，OC 法规草案之一就是气候对金融机构的影响，其中谈到，你知道，对目前从事贷款业务的机构有什么影响？你是否将大量抵押贷款贷给了气候非常恶劣的地方？

迈克-亚菲：没有以前那么多了，对吗？

鲍勃-威尔金森：是的。但从财务角度来看但是，从金融角度来看，公司的投资组合会受到气候变化的短期和长期影响。例如，在美国，气候的一些长期影响是，在气候影响较大的地区提供贷款的银行，必须向监管机构解释他们如何应对气候变化对低收入社区的影响。因此，我们会讨论公平借贷和类似的问题，所以金融是主要的，但也要看看拜登政府对中国和芯片出口所做的事情，高端芯片技术在出口到中国时会受到限制，这将对半导体芯片制造商产生影响，所以你会看到这与政府方面的指令相结合。特别是在军事方面，你必须详细了解你的供应链，你必须确保某些国家的某些实体不会出现在你的供应链中，直到最小的芯片制造商，这就是国防部的国家预算，我想是997，其中对公司与某些供应商的合作有具体的限制。

迈克-亚菲：我要问下一个问题了。你怎么看，你知道我听到的是重新评估风险，确保你每天都在检查，特别是可能会有一些经济条件影响到你的供应商或卖家。那么，你有什么建议给正在听的人呢？如何在预算和人数不断减少的情况下做到这一点？

鲍勃-威尔金森对不对？所以，记住你必须这样做、

Mike Yaffy：你必须专注于对你最重要的事情，同时也要考虑到这一点。

迈克-亚菲：是的。

迈克-亚菲对于那些提前幻灯片太只是让人们。

鲍勃-威尔金森：是的，当然。

迈克-亚菲：好了。

鲍勃-威尔金森：所以，你要做的是，确保你有正确的第三方组合，确保你的供应链有足够的冗余，确保你在监控财务等情况时有足够的冗余。如果你看到了退化，你就不会等到事情搞砸了才开始计划是否需要考虑退出。你必须提前考虑这些事情。现在，从经济的角度来看，我一直都很提倡这一点，那就是每当你的企业找到你，希望使用一个新的供应商时，你需要问的第一个问题是，你是否有一个供应商已经为你做了这些事情？因为如果有，你就已经做了尽职调查。你已经签订了合同。这只是一个扩大合作关系的问题，使用已有的供应商会使财务效率更高，风险也会降低，因为你与第三方共享的信息、网络和基础设施访问量都会减少。因此，这是一个重要方面。另一方面是如何实现供应链风险管理活动的自动化。如果你还在向第三方发送 Excel 问卷，以完成风险评估。嗯，你知道，那艘船早就开走了。你必须着眼于自动化，以及技术能为你做什么，你将如何利用技术来提高计划运作的效率。所以，这些都是重要的考虑因素。

迈克-亚菲右上。让我们鲍勃，我想实际上让我们跳过这一个。我们会回来的。我认为下一个问题实际上绑。根据你过去的经验，对吗？我们在准备电话会议时讨论过这个问题。你知道，我记得市场崩溃的时候，我才刚刚开始，对吧？但在 2001 年，然后是 2008 年的住房危机。听着，我是说这是周期性的。每隔七年就会发生一次经济会反弹。但这里有什么教训呢？因为你在第三方机构工作的时候也见过这种情况所以你知道有什么建议吗？我的建议是，首先，保持冷静，对吧？这是 "动物之家"。我不知道你们有多少人见过。保持冷静这里没什么好看的保持冷静没什么好看的

鲍勃-威尔金森：是的。你会被牛群碾过。

迈克-亚菲右。Exactly.

鲍勃-威尔金森：没错。所以，我想说的第一点是，当压力很大时，第三方风险管理可以为节约成本做出重大贡献。我给你们讲一个我前世的故事，当时我是一家大型金融机构供应商管理委员会的成员，2009 年发生了大衰退。我们在整个组织内寻找如何能够省钱的方法。因此，其中一部分工作涉及到对所有第三方合同的再利用，以及我们已签订的主服务协议。在深入研究一家主要技术提供商时，我们发现我们与该技术提供商签订了八份主服务协议。

Mike Yaffy:That's crazy.顺便说一句 By the way.

鲍勃-威尔金森定价都不一样。因此，你可以想象，我们与那家技术公司的通话非常有趣。我们要达成一个协议。我们要有一个价格网。通过这样做，通过审查我们的合作关系，了解我们在哪些方面重复了不必要的服务。在这一年中，我们从第三方预算中节省了 2 亿美元。因此，在财务状况非常重要的情况下，这是我们管理第三方风险的一个重要因素。

迈克-亚菲：我想说的是，虽然鲍勃和你看我的家伙没有介绍自己，没有太多的，但我一直在信息安全营销22年。所以你会捡到一些东西，对吧？所以我知道的足够危险。我不知道，你知道， 鲍勃做的一小部分。但我确实感觉到，当你拥有安全团队时，他们通常被认为是成本中心和风险规避者。我觉得，如果我说错了，请纠正我，这并不总是发生，但它是在前端避免，因为你加入了一些潜在的供应商，可能会破坏你的业务，对不对？你知道，你不知道汽车的关键部件是在乌克兰生产的，而现在他们的起重机没有任何东西进出。你可以看到这些事情，或者在 IT 方面，这些供应商没有做好适当的 IT 安全措施，他们正在访问你的数据，并带来风险。所以，你看，我知道这是第三方风险管理，但确实感觉安全和风险始终是一个成本中心，但也是开展业务的必要成本。你是怎么看的？我说错了吗？

鲍勃-威尔金森：不，不，它是做生意的成本，当然，它背后的法规促使我们需要解决这个问题，但它也是一个机会，帮助企业积极主动地关注他们所拥有的关系。你知道我说过的一点，在你加入任何人之前，先看看是否有人已经在做这件事。因此，不一定非要让第三方成为无休止的成本增长来源，因为你必须关注的另一个因素是，企业的第三方数量平均每年可能会增长 10%，而这只是传闻，并不科学，没有人会因为第三方数量每年增长 10%而为第三方风险增加 10%的预算。

迈克-亚菲你看，我我说这一切的时候。这是市场营销。这是其他一切。它是啊，罚款。流行卖一个平台。我明白但你必须能够实现自动化和规模化。不一定非要在很多地方才行你可能有一个GRC他们有模块。我们有模块。我的意思是，有很多地方可以去。但是，你必须能够优先考虑你的供应商，确定他们是谁，弄清楚他们的优先级别，并弄清楚你到底要做什么来验证他们是否适合你的业务，对吗？我的意思是，总而言之，这就是你必须做的。但请记住，第三方数量的无限制增长，尤其是在大型组织中，大型组织通过有机和无机增长而变得庞大。是啊、

鲍勃-威尔金森进行了收购。

Mike Yaffy：请告诉我，有多少公司在进行收购时，会对交易中的所有第三方进行审查和合理化。

鲍勃-威尔金森：是的，这是后话。

迈克・亚菲：我告诉你，我一只手就能数出我见过的试图这么做的公司数量。所以，在这个过程中有很多固有的低效率。那么，如何解决这个问题呢？如何解决这个问题？在增长和收购之间，在所有这一切之间，你只是有更多的第三方，而不是我想说的，嗯，你现实中需要的。

迈克-亚菲：那么回到第八张幻灯片。现在合适了吧？这是对不起，我们跳来跳去的乡亲，但这是这是我们如何做到这一点。你的权利。所以你确定了一个供应商。你就像我们需要购买小部件X或Y，你怎么做，你真的应该做的，当你入职他们？

鲍勃-威尔金森对我来说，入职培训总是从一个问题开始。你有没有已经在做这件事的人？必须从这个问题开始，因为这涉及到核心问题，即不受约束的增长。这就是第一部分。第二部分是，不要马上跳进去做评估。例如，你可以询问第三方在过去 12 个月内是否已经完成了独立的风险评估，这样你就不必进行风险评估了。你可以获得当前可用的信息，并据此进行评估。企业在第三方风险管理过程中遇到的最大问题是，入职需要多长时间。要知道，每个人都要等待所有的评估。如果你是一家大型银行机构，你可能要经过 5 次、10 次，我甚至听说过要经过 20 次评估才能决定是否入职的例子。到了一定程度，你知道，这是矫枉过正。这就是管理风险和确保合规之间的区别。

Mike Yaffy：你得，这也得对企业有用。听着，你知道，我曾经，你知道，10 年前的人们会谈论多因素，对吗？当你拿到手机和六位数的密码时 他们会说 "人们不会这么做的" "他们不想让安全受到威胁"顺便说一句，你不能成为 "不 "的部门，对吧？或者找理由拒绝我以前和一个医生共事过 他以前在西北太平洋的一家医疗机构工作他常跟我说，"听着，我的工作就是说，我们要么接受风险，要么否认风险，要么向董事会解释风险，对吧？然后说，你知道，有一个减轻风险的策略，但成本会更高。如果我们在这个层面上做，就是这样。如果我们否认它，好吧，因为 X、Y 和 Z，但它必须在业务中发挥作用，对吗？不能这样，你明白我的意思吗，鲍勃？不能这样

鲍勃-威尔金森：我们是商机的可靠推动者。说其他话的人都没说到点子上。同意。

迈克-亚菲：我无法告诉你有多少次我走进一个房间，发现这里是 "禁酒警察"。不，这里是你商机的推动者。这就是我们要做的。我们就是这样做的。你谈到了不同的风险。你可以补救风险，可以接受风险，也可以转移风险。转移风险的典型案例就是网络保险。但是，当你作为业务人员接受风险时，你必须签字同意，并定义接受风险后要使用的补偿控制措施。有些时候，业务部门想要承担的风险超出了他们的业务范围，会影响到整个组织。所以，你必须了解风险，必须让业务部门了解风险是什么，然后你必须说，如果你要接受风险，你有什么补偿控制措施？不能盲目接受风险。

迈克-亚菲同意。你知道，这很有趣。我今天跟别人聊天。我想明年再做一个主题，你知道，谁是业务，我想这可能是不同的，但可能有些相似。你需要与哪些业务人员交谈并了解他们？说，"嘿，听着，我们正在入职供应商。我希望我们作为一个团队共同努力，理解并商定一套标准，这是一个正确的词，用于引入供应商，而不会造成过重的负担，但对我们的业务公平合理。坦率地说，如果他们是你的核心功能所依赖的一级供应商，我认为更严格的评估和持续监控是合理的，也是应该的。那么，你需要在内部与谁合作呢？有哪些团队是你在任何情况下都必须与 X、Y 和 Z 交谈并让他们加入的？

鲍勃-威尔金森对，我认为这里面有几件事，迈克，你需要考虑一下如何在这个过程中与其他利益相关者建立关系，我首先关注的是你的采购组织，因为他们是一个漏斗，通过这个漏斗，RFI 和 RFP 被第三方生成，或者当企业知道他们想与谁合作时，他们必须与采购组织合作，以完成所有的后勤工作。你必须考虑法律职能，因为最终你需要签订合同。因此，你必须考虑到这一点。我的工作重点之一是帮助企业中负责风险管理的人员了解如何管理第三方风险。我指的是运营风险管理和企业风险管理，因为他们可以通过让他们了解情况来做到这一点。在经济形势特别严峻的时候，通过向高级管理层和董事会解释风险缓解是一项至关重要的活动，我们不能因为经济形势变得紧张就忽视这项活动，这是你最有力的支持者和赞助者之一。

Mike Yaffy：那么，采购人员为什么要为采购人员赢得什么？我是第三方风险人员。我去找采购人员说："嘿，听着，我知道你们可能已经入职了，但现在我正在对供应商进行IT安全审查，我想问的是，你们这样做是否会赢，听着，我们真的可以验证这是一家一级供应商，从业务和技术能力上都能很好地支持我们"。对采购人员来说，这就是他们的胜利吗？

鲍勃-威尔金森：采购人员面临着为企业完成交易的巨大压力。时间是关键。他们要听取企业的意见。企业可能会说："好吧，我下周要与一级供应商 A 签订合同，你知道，他们只是让第三方风险团队知道这一点，有时甚至是事后才知道。我们有能力与采购部门保持良好的沟通，以便代表企业快速完成任务。归根结底，我们做生意的目的就是让企业取得成功，让他们尽快完成交易。因此，采购部门的首要任务就是支持他们高效处理第三方入职事宜。

Mike Yaffy：所以，要让它走得更快、更好、更安全、

鲍勃-威尔金森更快，更快。

迈克-亚菲对不对？更快、

鲍勃-威尔金森更快地完成遵守法律法规所需的工作。

迈克-亚菲和风险。

鲍勃-威尔金森：因此，它是合规的，它是快速的，它是更深层次的器官呃信息方面的供应商，尤其是当它是一级。因此，他们可以更好地获得更多更好的信息，是的，我只是在瞎编。更快获得更好的信息、

迈克-亚菲对不对？这就是公司如何通过采购流程入职的关键机制。现在有了这些制衡机制，我们称之为第三方风险管理。第三方风险管理如何与采购部门合作，为企业提供支持，帮助他们尽快实现目标。但与此同时，也要运用常识说，我们能否利用我们已有的某个人？能不能提高效率？与此同时，我们还需要考虑如何实现入职流程的自动化和合理化，并将我们希望与之建立合作关系的公司更快地纳入我们的持续监控流程。

Mike Yaffy:有道理，伙计们。如果你有任何问题，如果你想实时提问，我很乐意为你解答。如果你想等到最后或只是继续听，我明白了。不用担心。但我们绝对会尽力满足你们的要求。到目前为止，没有人发送任何东西。他们一定被我们迷住了 鲍勃我们跳到第14张幻灯片吧我们已经讨论过很多次了你们又增加了10%的供应商TPRM，人们要么被要求正式制定一个计划，要么就像，听着，如果你现在正在做一个电子表格，我相信大家都在笑，你会说，我希望我有一个电子表格，对吗？嗯，所以我相信有些人只是在发几封邮件，也许是电子表格。但如果你正在这样做，你在这一点上就落后了。但如果你正在添加更多的供应商，如果你的业务正在做的东西，嗯，哦，嘿嘿，呃，梅丽莎，山姆，我们的一个家伙是在网络研讨会上，只是发短信。他说，聊天功能被禁用了。我不知道是不是这样，但谢谢你让我知道，山姆。这是实时的。这是实时的。嘿，你得做到这一点。

梅利莎：让我看看，我是否可以调整一下这里的一些设置，但我知道问答功能正在运行，请放心使用。

Mike Yaffy：所以，我们也会这么做。但我不想错过任何重要问题。所以，这样很好。

谢谢提醒。Um、

迈克-亚菲：这就是我的附加功能，它非常棒，因为我可以做所有这些事情。Oh, Shu, I just got your chat.我们很好。所以，鲍勃，人们正在添加更多的供应商。你正在做一堆类似的事情。你是怎么应对的？你怎么跟得上？比如说，你不能对所有的供应商一视同仁，你可以说，你看，我们的技术人员和预算支出，这是我们可以合理实现的，我的意思是，我会从这里开始，但为什么你不翻到下一张幻灯片，然后我们就可以了。

鲍勃-威尔金森对，所以你知道它的一部分是你知道要积极主动，你如何如何建立你的库存成为一个重要的问题，你是否了解你甚至有什么，你如何能让人们利用现有的东西。另一部分是积极主动，定期与业务合作伙伴联系，说明即将推出的产品。你是否希望至少在关键业务活动中引入新的第三方？现在，其中一部分你可以与企业会面，但企业最终要负责管理他们的外包关系。这一点虽然谈得不多，但却是至关重要的一点。企业可以外包功能，但不能外包责任和义务。

鲍勃-威尔金森事实上，根据规定，企业必须对第三方关系进行季度绩效评估，例如银行业。因此，如果监管机构来检查，他们可以问你，好吧，你去年关于第三方 A、第三方 B 和第三方 C 的绩效报告记录在哪里？如果你不这样做，你就没有遵守法规。因此，有必要在企业内部设立明确的关系管理职能部门，负责维护这种关系。因此，当第三方风险进行评估并发现问题时。我们不一定要追着企业和供应商解决问题。这应该由企业中拥有与第三方关系的人来做，这是一个重要的区别。所以，我们刚刚收到了来自 Hold 的一个非常棒的问题。对不起，我正在看所有的问题。嗯，尤金不会给它作为尤金伟大的问题。他说他在采购部门工作了 20 年，他们得到的回报是节省开支，而不是降低风险。鲍勃，你对此有何评论？

鲍勃-威尔金森：嗯，你知道，这倒是真的，但同时，对一个组织来说，如果风险没有得到缓解，其代价要比任何可能节省下来的成本都要高得多。

迈克-亚菲：我也是这么想的，对吧？如果你找了一个蹩脚的供应商，坦率地说，因为你不看风险，然后他们就熄火了。

鲍勃-威尔金森你必须有资源。

Mike Yaffy：或者他们被黑客攻击或他们RES你必须资源供应商或供应商引入风险，因为没有我听到你在说什么，但我认为必须有一些看我总是开玩笑说我们的销售人员，补偿计划驱动的行为和尤金我得到它，如果你唯一的焦点是你知道你的补偿是100％绑定到多少钱，你节省或多少你可以打倒一个潜在的供应商，那么这就是我会做太多。但是，这似乎缺少了魔方的一个整体侧面，因为没有更好的说法，鲍勃，你就像你知道有一个违反或有一个供应商的成本，你知道在中间熄火，然后有你的我一直在使用的例子，你的汽车零件无法交付，你不能建立宝马是一个有点更具挑战性的权利。

鲍勃-威尔金森：你知道，商品关系是由价格驱动的，在价格上打压别人。还有一种是战略关系，这种关系应该建立在信任的基础上，关系双方都有价值机会，都能分享收益。在第三方风险管理计划中，你应该重点关注的事情之一就是与第三方（至少是关键第三方）的联系，以及如何与他们建立信任关系，因为当你与他们建立信任关系时，他们更愿意与你分享，这种关系对双方都更有利。因此，如果一个组织的指令是在成本上击败第三方，而你又是采购人员，这将会推动你的行为，但这是一种短视的行为，最终可能会付出更高的代价。这就是我想说的。所以，你想受成本驱动。这很好。你会被监管咬一口。你最终会付出代价，却无法从与公司的关系中获得全部价值。

迈克-亚菲：鲍勃，很多人都这样回答。我是这么认为的。嗯，没错。而且你也不想把钟摆摆得太远，你在采购或采购方面有20件事情要做，但应该有一些快乐的媒介。鲍勃，谈谈我吧，自从我加入公司以来，我已经在这里工作了四年，我强烈地感觉到，采购和 IT 安全的成功之道就是在合同中写明，我们有权评估，我们有权监督，我们有权在你被认为有缺陷的情况下，坦率地要求或要求采取补救措施。嗯，你们在哪里？我知道它甚至不在这里，但我想问问。

鲍勃-威尔金森：是的。Yeah.合同是件大事，如何处理合同非常重要。我的意思是，为了良好的商业惯例，同时也因为法规的要求，你需要在合同中包含某些内容。因此，三大要素是审计权，基本上就是 "是的，你同意我对你的公司进行风险评估"。当出现数据泄露时，你希望他们尽快通知你，最多 24 或 48 小时。但要记住，从器官和组织被泄露到发现泄露之间的时间平均为 270 天。因此，这意味着有人会在你的网络中冲浪很长时间，造成破坏。因此，你需要进行违规通知。第三件事是，你要迫使第三方对发现的问题进行补救。第三方风险管理正是如此。这就是风险管理。它不是第三方合规，我们也不会这么称呼它。

鲍勃-威尔金森风险管理意味着当你发现问题时，当你进行评估并发现问题时，你要进行修复和补救。否则，坦率地说，就不要去做风险评估了。不用费心制定第三方风险计划，因为如果你不解决你发现的问题。你就没有在管理风险。

迈克-亚菲在一天结束的时候。

迈克-亚菲听着，鲍勃，我来的时候，这一直是困扰安全的问题，只是因为我老了，对吧？但是，你知道，我是做漏洞管理和渗透测试出身的，对吧？漏洞管理就是扫描网络外部，寻找潜在漏洞，然后报告，看看能否主动黑客攻击，黑自己，对吧？看看是否真的存在漏洞。你会发现数以万计的漏洞。你知道服务器团队一个月能解决多少漏洞吗？两个、三个，但他们会去解决，但他们甚至需要一段时间才能同意坐在桌边进行对话。我认为，你绝对必须推动。鲍勃，请看第 18 张幻灯片。你知道，如果你只是坐在那里，你知道，我知道很多事情都是合规的，但要以正确的方式去做，这也是我们在这里经常宣扬的，对吗？如果你能真正产生重大的积极影响，你就必须能够影响变革、

鲍勃-威尔金森对不对？影响变革的方式，我认为特别有效的一种方式是，按业务报告已发现的问题，与业务部门分享，给他们解决问题的机会，或让他们提出计划和解决日期。然后与管理层分享，没有哪个企业会希望自己的高级管理层表现出从未解决过第三方问题的样子。这是一个大红旗。这是一种胡萝卜加大棒的方法。在问题报告发布或与其他任何人共享之前，与企业共享问题报告，并询问他们正在采取哪些补救措施。如果他们不采取补救措施，他们就会被点名，没有人愿意在同行面前被点名。

迈克-亚菲：这就是事实。

迈克-亚菲：你必须把它亮出来，说这是一种风险。

鲍勃-威尔金森：就是这样、

迈克-亚菲对不对？我已经解决了这个问题，是不是有一点 CYA 的因素？但我已经解决了这个问题，这里是潜在的解决方案。现在，我们可以选择继续或不继续，但这是你的工作，叫出来的风险，乡亲们。

鲍勃-威尔金森对不对？這不僅僅是把他們叫出來，也不僅僅是追蹤計劃，因為嗯，發生的事情是人們會想出一個糾正行動計劃，而這個計劃總是在季度末或年度末。所以，我现在发现了一个漏洞，一个关键漏洞，有人告诉我他们将在明年 6 月 30 日修复它。好吧，这就是你的计划。我每隔几个月就会来问你的进展情况，因为我知道如果我等到 6 月 30 日，最终只会成为一个重新的目标。

Mike Yaffy：这也是游戏的一部分。或者把问题结了，然后用新的目标日期开一个新的问题。所以，人们想方设法玩弄这个系统的方法有很多，我认为没有一种是有效的，也没有一种是正确的。因此，这不仅仅是照亮，而是在照亮的同时，在到期日之前进行回访，以确保确实取得了进展。

Mike Yaffy:Yep.呃，我要读一下凯文的发言，感觉他的发言很激烈，但我还是要读一下。鲍勃，你为什么不翻到下一张幻灯片呢？TPRM的全部目的是在审计权段落中加入理由和实例，说明在初始评估和重新评估时需要进行评估，然后列出未缓解的发现，并约定SLA以进行全面补救或有能力退出关系。

鲍勃-威尔金森同意。你知道，这绝对是一种总结的方式，因为如果合同中规定第三方必须在可接受和约定的时间内对已发现的问题进行补救，那么如果他们不这样做，就是违反了合同条款。如果他们想这样做，你就有了筹码。我不相信第三方喜欢这样做，但总会有这样的情况，他们说太糟糕了，然后你必须做出判断，你是否真的想与这些人做生意。

鲍勃-威尔金森：所以，当你在谈判合同时，那些对这些条款争论不休的人，你不得不怀疑，当橡胶遇到路面，事情确实需要解决时，他们会怎么做。

迈克-亚菲：是的。为什么呢？我的意思是，这应该是像，你知道，我们要协同工作，我们要一起工作，对不对？如果你反对，这对我来说，这是一个它不是一个红旗，但它至少是东西，也许要多注意一点点。

鲍勃-威尔金森：没错。确实如此。而且，你知道，在任何第三方风险计划中，你都必须在管理风险和合规目的之间取得平衡。你知道，当法规通过时，我们将看到美国在不远的将来出台有关第三方风险的新法规，你知道，我们将如何确保我们符合这些法规？但请记住，合规并不等于风险管理。只是打勾说 "我做了评估"。我知道有很多大型机构都是这么做的。嗯，你知道，在我完成评估后，它就停止了，因为我能够打勾。这不是计划的重点。计划的重点在于有效降低和管理风险。硬性停止。就是这样。

迈克-亚菲：你可以做到，但需要付出一点努力。但这就是工作，对吗？我的意思是，它确实是工作。在。

鲍勃-威尔金森：说到底，这不是合规检查表。不是我做了，我的审核员就认证了。

鲍勃-威尔金森：这就是为什么要利用组织中的其他人，如企业风险职能部门，并与他们密切合作。因为如果企业风险部门说工作没有完成，事情没有得到补救，你知道，他们会向董事会的高级管理层报告，没有人愿意成为那个在董事会面前说 "为什么我们没有完成这项工作 "的人。另一个方面是，当你在考虑一项重大的外包交易时，如果你在金融服务部门工作，你最好确保在交易完成之前向董事会做简要介绍，因为这是另一个方面。因此，你不能在董事会不知情并不同意的情况下，就说我要把整个业务职能外包给第三方 A。

迈克-亚菲：是的。一个简单的问题。有人问："更换供应商或解决方案需要两年时间。你如何摆脱供应商的风险事件，或者在需要两年时间的情况下更换供应商？

鲍勃-威尔金森：嗯、

迈克-亚菲：我的意思是，我可能会说，这太疯狂了，它需要你。

鲍勃-威尔金森：是的。确实如此。

迈克-亚菲：这是我的看法，很简单，如果这是一种战略关系，听起来就是这样。所以，你可以把一个流程外包给第三方，但你不能把你在企业中运营该流程所需的知识外包出去。这就是区别。我可以将流程外包，但我最好留一个人在身边，让他知道事情究竟是如何运作的，以防万一我需要把它带回来，以防万一我需要退出该供应商。还有关键关系。至少在外包之前，你就应该考虑好退出策略，以及如果不成功，你需要做什么。这就是所谓的规划。

迈克-亚菲：是的，我是说，你必须有出口。如果它需要两个，那么你必须有一个过程，对不对？这一点。

鲍勃-威尔金森如果你没有一个程序，你就得花两年时间。

迈克-亚菲：你可能无法改变它，但你最好能在它的范围内运作。我是说，我想，对吗？我它你知道、

迈克-亚菲：嗯，鲍勃，我们正面临这个问题。梅丽莎，我们有一个民意调查，另一个民意调查问题？我们是好？

梅利莎：是的，我们有一个问题通常会问到最后，但你知道，你还有别的问题吗？我们现在确实没有更多的问题了，但问题一直在不断涌现。

迈克-亚菲：那么，鲍勃，梅丽莎，你来回答这个问题吧。我们可以撞，一个出来，然后嗯、

然后我们会留出时间，让鲍勃谈谈他的结束语。

Mike Yaffy:听起来不错。是的，这是第二次投票。嗯，我相信你们很多人以前都见过这个。我们只是想知道，在 TPRM 的世界里，你们是否有想要加强或建立的东西。我知道 2023 年的预算很快就会确定下来，如果不是现在的话。所以，请告诉我们，以便我们跟进。而且要诚实，因为我们确实在跟进。这不仅仅是为了好玩。嗯

迈克-亚菲：如果你拒绝，就不会伤害我们的感情。如果你答应了，梅丽莎很有可能会给你打电话。那么 So、

梅丽莎：是的，可能在一天之内。

迈克-亚菲：我现在就给你打电话。

是啊，说吧，迈克。

迈克-亚菲：呃，不，我只是想说，所以伙计们，如果你们有电子表格，而且你们正在考虑实现自动化，如果你们需要一些帮助，有人问了一个关于这个问题的问题，或者你们想弄清楚它。听着，鲍勃，你为什么不把你的联系方式也写上去呢，这样大家就都有了。

迈克-亚菲：嗯，所以，如果有人看，鲍勃的，如果你需要一些指导方面嗯做什么，如何架构如何建立。我想不出还有谁比他更好，而且他还和很多大公司合作过。所以，你知道，如果你不是，你知道，如果你是一个有点spob可能会为你提供很多相关的建议，并帮助你出售一个程序的好处。如果你知道你需要一个平台，对吧，或者管理服务来帮助你做到这一点，我会得到5秒钟的优先权。我觉得最酷的是，我们有软件，你可以自己做。我们有一个完整的管理服务团队。所以，如果你和大多数人一样讨厌做评估，讨厌到处跳来跳去，我们其实可以帮你做，只需要给你结果。所以，这就是整整12秒钟的时间。但鲍勃，回到你身边。有什么结束的想法吗？

鲍勃-威尔金森：是的，当你考虑到经济环境，如果我们最终走向衰退，没有软着陆，我们已经可以看到各行各业的财务限制，你知道的，裁员等。因此，当我们考虑第三方风险时，我们必须考虑我们能带来什么效率，而无休止地引入新的第三方是没有效率的。因此，在构建库存时，既要从产品角度了解第三方的实际作用，也要从风险角度了解可能出现重复的地方，以帮助企业充分利用现有的关系，从而降低公司、公司资产和数据所面临的风险，同时实现财务节约。因此，您可以降低风险，节省资金，而且在第三方不断增加公司外包安排数量的情况下，您可以发挥关键作用，帮助管理因第三方不断增加而导致的费用增长，并与您的企业建立联系。与采购部门合作，了解什么时候需要做什么事情，这样你就可以成为一个高效的合作伙伴，帮助你的企业和他们的目标加入你需要加入的关键第三方。

迈克-亚菲：太好了。最后一小时的建议超级靠谱，伙计们。希望大家喜欢。鲍勃，非常感谢你这样做。和呃梅丽莎，我会把它还给你任何呃闭幕内务的东西。

Melissa:是啊，我很喜欢今天大家的提问。这就是网络研讨会的乐趣所在。我希望你们喜欢我们今天的不同形式。嗯，你知道，我希望我们能得到更多的问题，在未来，但嗯鲍勃，迈克，你们给了我们一些伟大的洞察力，在未来一年的预期。我就说这么多吧。希望下次网络研讨会再见。

谢谢大家。请尽快联系。

鲍勃-威尔金森：非常感谢。大家保重。好的