按需网络研讨会：辉瑞案例研究——如何做好第三方风险管理

彼得·舒马赫：欢迎各位参加今天的网络研讨会，主题是"如何实施第三方风险管理——顾问案例研究"，主讲嘉宾是基思·沃尔特（治理专家）。与会嘉宾还包括普瑞维兰公司的首席第三方倡导官兼网络高级总监布伦达·费拉罗。我是彼得·舒马赫，担任本次研讨会的主持人。在正式开始前，请允许我说明几项注意事项：首先提醒各位，当前所有麦克风均处于静音状态。为保持互动性，欢迎大家通过Zoom控制台提交问题。若时间允许，我们将在一小时后安排现场答疑环节。本次研讨会将全程录制，您将在下一个工作日收到包含录播链接的跟进邮件——这意味着您无需实时参与也能获取内容。后续邮件附有录像链接。我知道各位并非为听我讲话而来，现在请允许我将话筒交给基思和布伦达。非常感谢大家今日参与，请开始你们的演讲。

布伦达·费拉罗：感谢彼得·基思的到来。我非常激动地向大家介绍您过去一年在完善第三方风险管理计划方面所做的卓越工作，您已准备就绪。基思·沃尔特： 我当然准备好了。现在请切换幻灯片，这是今日演讲嘉宾阵容——大家可以看看我们的模样。他们试图给基思拍张清晰照片却未能如愿，不过我们还是按原样展示吧。正如各位所闻，我是普瑞文特公司的首席第三方风险倡导官兼网络高级总监。虽然在普瑞文特任职仅两年，但我的第三方风险管理经验已跨越六年。-party risk has spanned across six years and I have an IT background of 20 plus years how about you keeps how when did you get into third party I spent 27 years in the chemical sector and spent about 15 of that actually doing third party

风险管理及其他风险管理领域工作，近三年转入辉瑞公司，主要专注于风险管理和工厂网络安全。这已成为我至少17-18年来的热忱所在。我们两人合作已逾四年，第八个冰袋是这样吗？是的，确切说是三年多。布伦达·费拉罗： 滑动到四分钟。好的，那么我们开始吧。相信大家都不想听我们相识的来龙去脉，但今天要探讨的是我们为何在此——第三方风险管理已从单纯收集信息演变为主动监测，旨在更深入理解企业实体、第三方供应商或供货商的控制措施落实情况，并验证这些措施是否符合客户在合规与监管方面的要求。第三方风险管理已从单纯收集信息演变为主动监测——通过动态站点更深入地掌握实体、第三方供应商或供货商的管控措施落实情况，并验证这些措施是否符合客户合规与监管要求。普瑞文的核心价值在于：我们能以360度视角评估、监控并共享信息，实现单点采集多方共享。在问卷调查环节，能向您展示供应商及相关实体的内部与外部视角，揭示其第三方风险管控措施。行业内现有的协作网络正助力我们向社群精准揭示漏洞所在，随着我们深入理解不断演变的威胁态势，本次会议伊始，我们将发起一项投票：请各位说明核心评估问卷包含多少个问题。彼得，请启动投票功能，我们共同观察观众反馈。实际上我们更关注问卷内容本身——毕竟问卷仅能反映实体自报的管控措施，对吧基思？当我们审视这些内容时，不禁惊叹：天哪，我们竟要处理如此庞杂的

网络喷子们在说什么，而我们必须相信他们说的是实话，对吧？嗯——基思·沃尔特： 是的，我强烈支持监测环节。它能帮助你全面了解：你是否获得了高质量的问卷反馈？现代监测环节的指标是否支持问卷反馈？当所有数据看起来同步时，就表明质量方向良好——在我看来，两者互补性极强。好的，目前投票率达到50%左右，接近60%，现在可以结束投票并公布结果了。彼得，请你来操作。电话会议中约50%的参与者在主要评估问卷中设置了100至500个问题，这个数据很有意思。这个发现很有意思。有时供应商方面会出现大量问卷却缺乏实质意义的情况，因此我们需要聚焦于识别风险、降低重要事项风险的相关有效内容。基思，请谈谈你近期推行的统一风险基准方法。布伦达·费拉罗： 是的，这张幻灯片的核心要点——也是我特别想强调的——正是开场问题所指的。过去一年半到两年间，我们主要问卷始终围绕行业复用展开，包含包含228个问题。但通过深入分析，我们发现只要前期能收集到供应商的正确元数据及基础信息（如股票代码等），就能将核心问题聚焦到约15%的范围内——这些才是真正能改变我们决策的关键要素。

我们是否会签订合同，或是否会延续现有合同关系——这些我们称之为关键控制措施。在评估风险时，这些就是我们关注的控制点。若由我们自行构建服务，这些控制措施必将纳入需求清单。因此我们以这份控制清单为起点，回溯至先前设计的问卷，运用核心概念筛选问题：哪些问题能作为先行指标，表明供应商正在有效履行 该控制措施

因此我们将我们将深入审视这些问题，筛选出一两个关键点，确保相关控制措施确实存在。这能让我们快速聚焦高风险领域，精准评估业务风险，将评估资源集中投入到最关键的控制措施上——这些措施若缺失将对企业造成最严重损害。这意味着我能有效共享信息、推进处置并追踪至闭环，从而管理辉瑞面临的最关键风险， 推动其闭环处理，而非追求完美解决所有问题。我能优先解决最重要事项——这正是本页要点。记得我们最初在辉瑞共同推进风险管理项目时，你是否确实使用Excel表格？基思·沃尔特： 没错，流程确实始于Excel表格。这种工具难以支撑真正的风险驱动模式，缺乏自动化工作流等功能。在Excel中确保数据质量和及时响应既繁琐又困难，更需要反复传递文件。

延误、邮件丢失、邮件滞留——所有这些问题都让我们无法真正要求供应商对收集花瓶负责，无法通过服务水平协议要求评估师履行评估职责，也无法在风险分级基础上有效追踪责任归属。对于辉瑞业务负责人，我们仍对其承担最关键风险负责，但同时我们也实施了治理监督机制，以确保董事会和项目方确信我已按其要求有效管控风险。布伦达·费拉罗：很高兴看到你们将成熟度从电子表格提升至工作流自动化阶段，如今能基于更全面的情报即时决策，这非常棒。下一项投票问题是：你们是否已将第三方评估程序自动化，以超越Excel工作簿的方式收集风险信息？彼得，若方便请启动投票环节，让与会者有机会回应。我希望能接近百分百的投票支持率。-方评估程序自动化以收集风险信息，是否已超越Excel工作簿？彼得，若您方便请启动投票，我们将给予参与者回应时间。期待投票率逼近百分百——请各位在家办公或驾车途中（切勿开车操作）的观众踊跃参与。

请别崩溃，但你总爱打探我们和所有人的进展，这可真有意思。基思，我接触过很多行业公司，其中不少仍在使用Excel。基思·沃尔特：没错，对于小型实体来说，这或许是最佳选择——毕竟他们确实需要它。但一旦需要处理大规模业务，真正需要基于风险的视角和方法时，

随着我们后续的讨论，您将了解到某些能力对我们变得至关重要。我认为必须借助工具来提升这方面的能力，而其精妙之处在于——我们已发现能显著提升全职员工人均评估数量的明确效率提升方案。归根结底，这正是投资回报的体现。这正是我们衡量自身价值的基准——确保投资方向正确、供应商选择精准。我们不仅评估工具在人力投入与产出效率上的表现，还将探讨针对车队状态的分级评估体系：我们测量了多少车辆实际无故障 ——有多少设备存在重大核心控制失效问题，我们正以此推动供应商改进。布伦达·费拉罗：好的，目前投票结果显示61%支持结束讨论并分享成果，这样既能收尾又能让结果更赏心悦目。

在投票者中，45%表示已不再使用Excel电子表格或工作簿，27%表示仍在使用，18%表示正在过渡中，10%表示不适用。感谢各位的反馈。现在让我们开始探讨风险基于风险的方法如何发挥作用。我们希望协助辉瑞建立一套简化的四步流程：第一步是准备，第二步是收集，第三步是评估，第四步是追踪与整改。同时我们提供灵活的自动化工作流支持。您是否愿意分享普瑞文斯如何在第四阶段风险评估中运用这套四步法？

基思·沃尔特：是的，布伦达，这与我对满足企业需求的内在构想高度契合——即如何及时高效地赋能企业，使其在签订新合同时预判潜在风险，或在与现有供应商合作期间及时识别风险。在准备阶段，我将重点强调：在启动供应商合作流程时，必须具备完整的元数据支持。这需要自定义字段功能来捕捉关键补充信息，从而在处理复杂案例或特殊情况时实现自动化响应——当你通过自动化邮件和任务实现无缝交接：由我们发起催收活动，供应商执行并接收提醒，最终反馈至我方。如此便能协调验证问卷的回收流程，将其转化为评估师的待办事项——无需人工干预即可自动交付，大幅减少额外工作量。 问卷发布后将自动生成邮件，其中关键控制缺陷按优先级排序置顶，供评估师验证。几秒内评估师即可直接将问题转交业务部门，根据风险等级采取不同处理：若风险可控则交付业务部门自主追踪；若风险较高则由我们我们通过监督治理机制追踪进展，推动整改并全程与业务方协作。因此建立贯穿全流程的工作流SLA，明确责任归属及上报机制，对实现预期FTE效率至关重要。布伦达·费拉罗： 我认为最可贵的是，我们经历了定义供应商体系的过程——即您所说的供应商宇宙——进而获得了

通过问卷调查提出问题，甚至运用其他解决方案嵌入交叉参考机制，快速识别风险的规模化举措。-参考机制（即信息是否适用），随后在白板协作中——我们称之为"白板魔法"——我尤其钟爱白板与记号笔的组合。通过将Excel表格迁移至自动化程序，我们实现了全职员工生产力翻倍：信息触手可及，追踪流程自动执行，诸如此类。基思·沃尔特： 不，我认为工作流的核心在于：通过统一工具创建任务、实现无缝交接，避免信息淹没在邮件洪流中。系统会自动发送任务提醒或截止通知，这些功能共同赋能关键岗位人员平衡繁重工作量——毕竟我们身处这样的现实环境。布伦达·费拉罗： 我完全认同。那么让我们深入探讨分阶段方法论。我认为您接下来要讲解的这张幻灯片，将阐述为成功做好准备所需的所有要素。基思·沃尔特：是的，我真正想引导大家思考的是：准备工作如同其他事务，准备越充分，后续推进就越顺畅——我更愿意说，需求处理将更顺畅，服务也将更成功。在这张幻灯片中我会重点标注几个部分：第一是供应商档案。务必预留充足时间规划——哪些关键信息能确保后续步骤顺利推进？收集供应商的元数据至关重要，它能

我们试图通过供应商实现什么目标？要求企业将此书面化，这极大帮助评估人员厘清重点与次要事项。掌握控制标准、明确内部期望的合规基准，并严格遵循我称之为"问卷规则"的流程——即审视现有问卷内容，哪些问题能真正反映预期控制措施是否到位。我们在供应商档案中收集关键事实——例如该供应商接触多少SPI数据？其运营对辉瑞现金流及业务活动是否至关重要？这些信息构建的数据分类模型能评估供应商风险等级。我们充分运用合同补充条款和标准化流程——稍后将详细阐述。最关键的是工作流状态——需审慎思考：您是否设置了足够的工作流状态节点，以精准追踪流程中各环节的阻塞点、责任人及处理进度？这些状态节点是否能有效支撑您的指标体系和关键绩效指标？这将帮助您明确流程优化方向、识别为何出现短板？进而聚焦问题根源，持续提升效率与周转速度，助力业务部门达成期限目标——毕竟在合同续签、合同谈判等日常工作中，企业正逐渐丧失获取预期效益的能力。布伦达·费拉罗： 我尤其认同利益相关方承诺的观点——若能组建指导委员会处理待决事项，确保在接受

第三方或供应商在推进项目时，必须明确其风险所在，确保利益相关方的承诺，并成立指导委员会至关重要。基思·沃尔特：完全正确。布伦达·费拉罗：那么我们来谈谈供应商档案。在项目重构过程中，您学到的最重要的经验是什么？或者说，您学到的两点关键经验是什么？这些经验如何帮助您更深入地了解供应商，并明确每个供应商在工作流程一致性方面的重要信息？基思·沃尔特： 是的，多年来我持续领悟到的首要挑战，是确保企业内部（作为业务负责人）和供应商端都拥有准确可靠的联络人。这可能是数据质量方面最大的挑战，尤其当你启动现有供应商评估的改造项目时——我们通常采用波段式或捆绑式评估。当处理几百个项目时，基本要预估10%的数据质量问题——我们发现每年至少会有一个联系人、实体或多个对象（无论是内部还是外部）发生变更。因此启动100个项目就意味着会有10个出错。确保上张幻灯片提到的流程状态准确无误至关重要。

能够标记邮件退回未送达的情况能够知晓某项内容未能在供应商预期的首个SLA时点完成供应商是否进行了登记？他们是否至少回答了15个问题？通过这种可见性，我们至少能确认登记人员是正确对应的，且已开始处理问题供应商是否在首次预期SLA节点完成交付？供应商是否完成注册？他们是否回应过？即便仅回答了15个问题，至少能确认我们联系的是正确对象——他们已完成注册并开始答复问题。这种可见性对快速识别无效联系人至关重要。因此，管理联系人、监控联系人状态异常及其在KPI问题等方面的表现，是成功的关键所在。

布伦达·费拉罗：这张幻灯片中我最看重的是—— 我注意到你们创建的自定义字段，这些字段能帮助识别报告所需的关键内容信息——例如：信息涉及哪些主体？是本土还是离岸？评估师是谁？这些信息都应能轻松获取。能否谈谈你们如何启动这项工作？面对众多第三方和供应商，你们如何确定切入点？基思·沃尔特： 是的，关键在于选择起点。作为风险管理者，我的态度是：先锁定最大风险点，从项目第一阶段着手。最大的错误莫过于试图一次性完成所有工作——其实更应专注于完善流程和支撑流程的数据。我确信这种态度让我们在一年内取得的进展，远超试图追求完美所能达到的——若强求完美，恐怕到年底仍会陷入步调不一的困境，最后季度可能收效甚微。而采取渐进式变革并提前规划，才是关键所在。

当然要选择第一个方案。请审视您的标准，戴上商业思维的帽子，深入业务核心，理解哪些可能是最佳触发点。我认为您会发现，我职业生涯中接触过的许多库玛部门都秉持着战略合作伙伴或核心供应商名单的概念——这对于企业至关重要，他们深知寻找这份名单并展开对话是关键所在。你会发现我职业生涯中接触过的许多企业部门都设有"战略合作伙伴"或"核心供应商名单"的概念——这关乎公司命脉。他们深知找出这份名单并阐明合作价值至关重要。同时要与业务部门深入探讨：若提供多项服务，哪些真正创造最大收益？进而追问：哪些供应商是不可或缺的？

在实现该收入的过程中，我们深刻认识到合规法规的至关重要性。另一个我们发现极具价值的领域是建立我们称之为"合作伙伴连接"的机制——通过防火墙将我们的网络与其他关键合作伙伴相连。这正是IT数字服务部门掌握的核心数据，可供深入挖掘分析。通过这种方式，我们能精准定位风险暴露最严重的环节，因为这些数据既可被有效获取，又能帮助我们精准识别高风险领域。作为IT数字服务部门，我们掌握着相关数据，这正是可供挖掘的宝贵资源。通过分析这些数据，我们能精准定位风险暴露点——当关键合作伙伴之间开启端口等操作时，往往正是风险暴露的源头。

这确实存在不同层次，关键在于理解如何利用防火墙数据来推动决策——我们发现这种方法在筛选真正符合核心标准的顶级合作伙伴方面成效显著，这能帮助我们集中时间、资金和精力。布伦达·费拉罗： 我认为您采取的是系统化的合规方法——请纠正我若有误——即从特定供应链结构中选定一个分层单元，基于合规需求展开工作，对吗？基思·沃尔特： 我们确立了26项关键问题作为核心控制指标，这些问题能有效反映隐私保护措施是否处于合规状态。这使我们能够精准聚焦。当超越严格的监管要求时，服务提供过程中关键的运营控制措施——包括服务成熟度和可用性——就显得至关重要。为此我们新增了9至10项指标，使核心控制清单总数达到35项，这些指标共同构成了我们方案的控制框架。布伦达·费拉罗：很好，现在进入下一项投票问题：您是否要求自身及第三方合作伙伴遵循相同的安全标准？

受控标准要求彼得，你是否需要弹出这个？这个对我来说是重点，因为我始终关注确保我们使用的内部控制措施——无论是城堡式防护还是四重防护——在第三方、第四方、第五方乃至终端方都能切实执行。我认为这是至关重要的一环，你怎么看？基思·沃尔特： 完全同意，反向逻辑同样成立——别用自己都达不到的标准去要求他人。我见过某些合规导向的项目，他们执着于通过所有自设的考核点，但现实中存在合理商业差异，并非所有企业都采用相同模式，这反而可能引发问题。因此应聚焦关键控制点与核心风险，理解当他人未能达到标准时，可能涉及哪些关联问题——这些正是评估者通过补充提问获取价值的关键所在。当某项关键控制失效时，我需要追问哪些关联问题来构建完整图景？评估师的价值正在于此——基于风险评估提出少量关键补充问题。当然也存在需要深度追问的领域，这些知识至关重要。布伦达·费拉罗： 好的，现在结束投票。数据显示69%的人回答"是"，18%回答"否"，14%表示"不确定"。问题中似乎存在轻微拼写错误，但核心是询问您是否对第三方采用与自身相同的管控标准——这是我的疏忽。

彼得·舒马赫：没关系彼得，我也会犯错，这让我们更像人。所以很高兴你不是机器人，谢谢你。布伦达·费拉罗： 好的，我们不再分享这个结果了，接下来请看下一张幻灯片。在与企业（包括初创公司）的交流中，我想特别强调的是：我们与供应商合作时，不会因其缺乏管控措施而责备他们，而是致力于推动整个生态系统和行业共同进步，帮助那些规模较小、需要协助提升安全项目和控制标准的成熟度。现在让我们探讨控制标准，以及你们在创建关键控制时学到了什么，这对你们意味着什么，以及在推动演进过程中...基思·沃尔特：好的，首先我定义的关键控制，其实就是我们设计解决方案时会强调的绝对必要控制措施——我们喜欢用"必备项"这个词。若由我们亲自实施解决方案时会强调的控制措施。随后我们回溯问卷设计，筛选出能准确覆盖多数使用场景的核查点——这些核查点需经由控制专家团队（涵盖合规人员、风险管理人员、安全专家等）的实践验证。最终发现仅15%的核查点能真正实现全面可视化。在评估百余家供应商时，我们不仅全面核查 所有问题和核心控制项的专项评估。结果发现，仅凭这15%的问题就能获得我们所需80%的安全清晰度，且能大幅提升效率，真正聚焦于最大风险。作为团队，我们始终当然，当涉及合规要求时，特别是针对公司最关键的核心供应商，全面审查仍有其必要性。

为了贵公司的成功，您知道需要深入考察更多问题。但在多数情况下，我们发现能快速判断供应商是否信誉良好——当大量案例都符合标准时，我们其实无需大惊小怪，即使仔细审查其余问题也未发现重大问题。然而当关键控制措施出现大量失效时，尤其在失效案例数量显著时，这确实令人担忧。没有大问题，即使深入审查其余问题也未发现重大隐患。但当发现关键控制措施失效——尤其是大量失效时，这往往意味着该公司的网络安全体系存在严重缺陷。此时我们便明确需要重点关注该供应商，因为其风险可能危及我们的业务。

真正帮助企业将精力集中在能最大化降低运营风险和合规要求的回报上。因此在本页幻灯片中，我着重强调的是：应基于具体业务委托类型聚焦关键控制措施。在启动供应商合作时，需将"当前业务委托类型"作为元数据进行收集——这与隐私委托存在本质差异。隐私委托的核心目标是保障数据交换安全，而某些业务委托则需提供更关键的运营支持服务。后者可能需要更严格的控制措施，这完全合理。但若观察多数隐私类控制措施，本质上是纯粹的最佳实践。我们始终在推广这些措施，正如我所说，前一百个案例已充分证明：超过95%的情况下我们无需过度审查——真正需要重点关注的极少数案例，要么已存在严重问题迹象，要么根本不存在问题。核心关键控制措施的核心必备要素分析布伦达·费拉罗： 是的，我认为贵项目展现的思维领导力最令我钦佩之处在于：你们通过参与度定义关键控制措施，有时数量

并非如此。你会确保本部门需要了解哪些事项需要进行风险缓解，同时也要确保对所有供应商或供货商实施相同的风险缓解措施并进行风险优先级排序。此外，你还创建了风险库——当风险未得到满足时，解决方案中已预先编程了预期应对措施，这样评估人员就能与第三方供应商或供货商使用统一的术语进行沟通。——告知对方"此项要求未达标，但存在补偿性控制措施，我们可协商承担风险，具体时间表与预期标准如下"。通过基于自身控制体系成熟度提供的支持，你实质上是在优化整个生态系统。

基思·沃尔特：是的，布伦达，感谢你。这确实针对我们重点标记的关键管控问题，我们正在系统化地撰写可重复的应对方案，并花时间用商业语言表述。这样不仅能获得更积极响应的供应商，更重要的是我们真正做到了让辉瑞业务负责人从中获得价值——当他们理解我们为何推动此事后，就能充分利用系统生成的报告采取相应行动。在许多情况下，我们发现内部辉瑞业务部门的处理比例正持续提升——内部业务负责人主动联系供应商，明确指出问题所在并要求改进。而评估人员仅需处理极少数特殊情况，首次接触时便能获得业务负责人的充分信任。

他们仍然需要一些手把手指导，但我们越能让他们自主成长，就越能处理更多业务量，就越能专注于生态系统和供应商队伍的下一阶段建设，确保我们关注的是整体而非局部。关注面更广而非聚焦少数对象。视野越开阔，我越确信已平衡了辉瑞的整体风险。诚然，问卷规则与风险评估是各行业普遍关注的议题，或许您能帮助与会者了解：在制定规则和定义风险评估标准时，您具体发现了哪些问题？布伦达·费拉罗： 是的，在定义过程中，我们主要遵循了我的方法论——想通过这张幻灯片说明的是：在规划最终响应预算时，基于我刚才提到的预先撰写标准回复策略，确实能有效降低成本。但核心问题在于，我发现约三分之一的供应商根本不存在核心风险管控问题，因此直接放行。这意味着还有更大比例的供应商需要我们确实需要投入资源制定计划，撰写这些预制回复能有效确保时间精力投入到正确方向。

因此需要为这些资源预留预算。我咨询过的其他几位同行都提到，约三分之一客户处于良好状态，无需采取实质行动——这似乎已成为普遍现象。从我接触的几位人士来看，这种情况在统计上具有代表性。布伦达·费拉罗： 该解决方案的优势在于每位客户都能自主设定风险容忍度和风险等级。例如在医疗保健领域，系统会建立包含已完成问卷、第三方供应商提供的内容及证据的数据库，当这些数据导入后——

菲瑟实例或视图中，您已将解决方案配置为符合自身的风险承受意愿与态度，从而能够在面临云服务提供商与制造供应商等不同主体时，真正确定基于风险的决策方向。我特别欣赏贵方项目在风险分层与风险评级方面的演进——通过基于风险容忍度的多维度分析实现精准决策。基思·沃尔特： 绝对如此。分类模型对众多企业而言至关重要——当他们审视自身供应商组合时，往往发现存在数十、数百乃至数千家供应商。如何为不同分类类型匹配适用的评估标准，正是许多企业面临的难题。请问你们如何界定不同尽职调查的适用对象？布伦达·费拉罗： 是的，我认为在准备阶段就进行前瞻性思考至关重要。这张幻灯片的核心要义正是强调：在我们所在的行业领域，准备阶段必须明确每个供应商合作关系的风险等级，同时也要评估潜在的合作层级风险——这两者可能存在巨大差异。我常举的典型案例是IBM，他们不仅提供PC解决方案，还涉足咨询服务、沃森人工智能等多元领域。这类服务覆盖面极广的企业正是绝佳范例。将重点阐述提供多元化服务的供应商，IBM便是典型案例——其业务涵盖PC解决方案、咨询服务、沃森系统等全方位领域。这类供应商的风险属性可能截然不同，因此务必审慎评估具体业务性质。

利用数据优势，我认为屏幕上展示的正是我们确保收集的关键信息。我们力求将风险评估问卷精简至约15个勾选式问题，以便企业能通过分级方式快速识别风险——例如告知我SPI数据的暴露程度，或暴露的研发化合物数量。我会要求企业说明是否涉及任何风险等级，若回答是则选择对应等级。这些等级划分虽宽泛，却能帮助我聚焦关键的高中低风险供应商合作模式。因此设计时需兼顾业务简易性与企业语言习惯，同时结合贵公司分类模型及相关因素进行调整。布伦达·费拉罗： 是的，在"安全准备"流程的最后环节涉及合同管理。我注意到许多公司耗费大量精力进行合同修订，但某些合同可能仅规定每年有一次审计权。需明确的是：审计与评估存在本质差异——审计是年度性检查，而评估是持续性评估机制。持续性评估机制——当安全事件发生、修复措施未及时落实或存在需核查的风险时，评估便会启动。那么从合同角度看，你在参与项目时注意到哪些关键点？基思·沃尔特：确实难以兼顾大量合同管理，更要推动采购和法务部门根据控制要求制定补充条款。例如隐私相关合同需附加条款，网络安全运营合同则无需附加条款。通过这种分类管理，可确保合同附有恰当的补充协议，避免双方法律团队耗费时间修订明显不适用的文件。若服务内容变更，务必及时补充相应条款。

这无疑是您需要管控的风险之一，但有时将所有环节混杂处理反而会耗费更多资金采购零部件。因此保持流程简洁明了、努力实现协同运作，并与采购和法务部门建立合作关系，对确保成功评估网络安全平衡点至关重要。辉瑞公司显然将隐私官列为我们的核心合作伙伴之一。布伦达·费拉罗： 现在进入第二阶段数据收集，时间所剩无几，仅剩约15分钟。我们将重点详解接下来的几张幻灯片。关于数据收集环节，您有哪些经验教训需要提前规划并告知他人？基思·沃尔特： 是的，我已在右侧列出清单，相信在讲解过程中已涵盖多数要点：确保选择正确的供应商并落实合作；做好应对突发状况的准备——并购影响始终是困扰我们的痛点，因为我们每年约有10%的供应商可能涉及并购交易。此时必须厘清：真正主导控制权的是原合作方还是收购方？因为评估对象应是实际掌控方。确保建立清晰的流程机制，这绝对是关键经验。

不要低估重新追踪关键里程碑的重要性，继续收集正确数据。思考产品生命周期中所需的数据，并在发布切勿低估重新追踪关键里程碑的重要性。持续采集正确数据，思考整个生命周期所需数据，并在项目启动前完成收集——因为此时企业正专注于推动问卷上线。另一关键点在于：这些数据需提前规划，确保设置主键以便后续使用和共享。而弯曲名称（Bender names）领域尤为危险—— 除主键外，探索其他有效方案或采用组合键至关重要。供应商名称变更将导致主键失效，这会使数据关联变得极其复杂且混乱——尤其当你试图将采购数据或隐私办公室数据与供应商变更信息关联时，对方甚至可能不知晓供应商名称已变更。因此，建立内部主键体系，并确保核心合作伙伴采用统一键值，是另一关键环节。当你需要将数据与采购数据或隐私办公室数据匹配时，对方甚至不知道供应商名称已变更，而你却清楚。因此开发内部键——建立内部主键并让关键合作伙伴使用相同键值，是我们当前重点投入解决的领域。布伦达·费拉罗补充道： 我注意到许多企业反映：提交评估请求后便石沉大海，不知何时能获取内容。因此追踪请求状态至关重要。当前主流平台已显著改善响应速度——过去需45天才能完成请求处理并提供风险识别内容，而这正是我们当前重点关注的核心事项。如今平均仅需九天即可完成，效果显著。更可贵的是这些内容既可重复使用又能共享，很高兴您能参与协助推进这项工作。

哦，这就是您在本次网络研讨会中反复提及的风险分级制度。现在让我们具体探讨它对评估工作的实际意义。基思·沃尔特： 是的，在评估阶段，考虑到我们完成的工作量及其他因素，我认为统计数据确实很有趣——采用基于风险的分级方法时，我们发现约三分之一的响应并未违反任何关键控制措施。我们采取的策略是：将精力集中在底层区域，那里仍有约25%的

在我们评估的百家供应商中，发现该供应商的关键控制措施在风险态势评估中未能通过七项或更多关键控制问题——这些问题明确要求供应商必须具备关键控制措施。这表明该供应商存在控制方案缺陷，我们需重点关注并推动业务部门明确：当供应商根据供应商元数据评估结果被判定为高风险等级，且在关键控制项中未能通过七项或更多问题时，这属于真正的高风险情境。我们必须确保将精力集中于此——换言之，这意味着对低风险供应商采取放任态度。我们会告知业务部门：此处未发现问题，请自行与供应商妥善沟通。借助风险响应文档，他们能更高效地处理此事。但平衡点始终在于业务方——究竟要追求逐个供应商的完美评估（但年度覆盖量有限），还是追求优质评估并覆盖绝大多数供应商？我倾向于后者——如何优化评估流程以全面掌握供应商体系？重点在于锁定最差供应商并着力降低其风险。待风险管控到位后，我们可调整评估标准发掘更多供应商。但核心在于：在现有投资规模下，我确信已有效规避了最大风险。这正是我被要求实现的投资回报——通过降低日常运营风险来达成。布伦达·费拉罗：没错。如今监管要求强制我们识别风险，为已接受风险制定缓解方案，并建立补偿性控制措施，最终追踪至风险关闭。我非常欣赏你整合这些要素的方式。

我们通常在普瑞文特（Prevelant）的演示中使用这张幻灯片，以展示第三方风险管理中所需各项内容的整体方法论，特别是针对业余治理计划。能否请您简要说明辉瑞公司如何处理这四个组成部分？基思·沃尔特： 当然。我对此部分的理念既有共通之处，也存在独特见解。首先关于评分体系，我认为评分是审视问题的有效方式，在逻辑清晰的情境下颇具价值，但它无法呈现全局视角。因此我更倾向于聚焦于控制措施本身，而非单纯依赖评分结果。

然而在低风险情况下，这确实是种快速高效的操作方式。但每个人的评分模型各不相同，若具体负责评分的供应商未能充分考量大规模与中规模场景，实际操作中可能会有些棘手。不过它仍是值得参考的重要指标。网络安全至关重要——正如我们今天在此所做的工作，要善于向同行学习，借鉴周围人的实践经验，积极参与此类活动。希望大家都能从今日讨论中汲取灵感，结合自身项目进行反思。今天在此交流的意义——向同行学习，借鉴周边实践经验，参与此类活动。希望各位能从我们的分享中汲取灵感，审视自身项目。我确信在未来巡访交流中，我始终秉持的原则是：绝不空手而归。无论是自我反思如何改进，还是听取对话对象的建议，这些都将促使我重新审视未曾深思的环节。最后一点是——离开时不曾反思自身改进空间，或未从对话对象处获得启发——那些让我重新审视未曾深思的环节。最后想谈的是活动本身，我们我们在此经历了顿悟时刻——显然通过简短通知和现有供应商数量，我们定期获得这些机会，并真正确立了品牌

我们用这些工具和供应商风险管理自欺欺人，当收到数据泄露通知时，我们才真正意识到该采取行动。我们该怎么做？是否该切断合作关系？这几乎是标准操作流程——在确认合作安全前终止伙伴关系。当我们执行这类操作时，真正将工具和评估纳入流程，以恢复正常业务，确保这已成为我们日常活动的重要环节。如今我们深度整合了这些工具，见证了将事件响应与供应商第三方风险管理工具箱结合的显著效益——在标准响应流程中，我们甚至能精准预测数据泄露源头，其准确度令合作方惊叹不已。因此拥有此类工具箱实属明智之举，需结合业务场景灵活运用——触发使用该工具箱及平台的事件可能超出签约范畴，这些平台能切实保障合作供应商的安全可靠。布伦达·费拉罗： 我认为这里列出的所有内容都相当繁琐，需要追踪、缓解、审查和反馈的环节实在太多，这些都参与了我们的治理计划。我希望大家能从中获得关键启示——能否谈谈你在实践中总结的重要经验，这些对整个行业都具有参考价值？基思·沃尔特： 当然。我们通过内部研讨和交流总结出这些关键要素，正是它们推动着我们的成功。这些经验凝聚了多年实践的智慧：风险导向的项目管理是确保投资回报的核心路径；充分挖掘并创新运用所有可用数据——正如我所说，通过防火墙规则精准设定风险等级...

确保问题是问题的先行指标，而不是试图说我我将逐条审查问题，将您预期的关键控制与风险控制对标至关键问题清单——这些问题是为应对挑战和升级而准备的。预先准备得越充分越好。我将反复思考：哪些数据需要提前收集？提前收集这些数据才能做出恰当响应和升级处理。关键在于明确哪个业务单元是该供应商服务的"主要消费者"，这能轻松判断是否需要向副总裁汇报。副总裁负责升级处理。工作流自动化显著提升了我们以同等全职员工数量完成更多评估的能力——人均处理量预计翻倍，这对实现业务量级扩张至关重要。

规划处置流程追踪机制，确保明确需要重点追踪和管控的关键供应商，同时明确哪些环节可信任业务部门自主决策。但必须确保以业务术语指导他们负责任地执行既定任务。同时确保整个流程中的数据——包括SaaS系统等——均能驱动关键指标与KPI体系，支撑问题上报机制并推动流程成熟度提升。找出流程中的瓶颈环节，明确问题根源，采取针对性措施防止问题反复发生。布伦达·费拉罗： 非常感谢你今天的分享，基思。现在将话筒交还彼得，我们即将进入问答环节，他还将进行最终投票。再次提前感谢各位的参与。谢谢你，布伦达。

彼得·舒马赫：现在启动最终投票环节，我们想了解各位是否希望在普瑞文特后续跟进服务中安排电话回访。请如实作答：若您愿意接受销售代表的后续电话沟通，请选择"是"；若不愿接受，请选择"否"——若您选择"否"，我将无法理解您的感受，因此请如实作答。当前队列中有若干待处理问题，剩余约五分钟答题时间。- 跟进电话？若需要请回答"是"。若不需要——虽然我可能不太高兴——但请务必如实作答。目前还有几个问题待处理，剩余约五分钟时间，现在进入第一个问题：您认为从现有工具中提取的关键绩效指标是什么？其次，在与业务部门及其他风险相关方沟通时，最有效的沟通方式是什么？基思·沃尔特： 当然可以。不过我想先发表个看法：任何自认仪表盘和指标体系已臻完善的人，我从未见过有资深风险经理或SLA负责人对此真正自信。这需要持续学习进化。目前我认为最有价值的是：我身处服务等级协议（SLA）中，严格遵循时间线推进工作，尤其重视追踪催收进程。我特别喜欢当供应商声称"问卷调查即将完成"时，我当即指出："可你们目前只完成了20%问题的作答"。

你怎么可能快完成了，但上周它却毫无进展？当你真正需要他们挺身而出、将其列为优先事项时，才能真正揭穿他们的虚张声势——而这只能通过向你展示合理的关键绩效指标和数据来实现。这些正是我看到更多价值并专注推进的领域。显然，我之前稍早分享的分级概念是第三个重点： ——真正让高层管理者明白：我们评估了大量案例，通过风险分级体系明确其风险等级与问题数量，使他们清晰认知最严峻的风险点。通过层层上报、直指问题核心，明确指出"这些正是我需要重点解决的对象"，并承诺将全程追踪整改进展。这能让他们真正理解：我们并非追求完美主义者试图解决世界性难题，而是切实运用数据驱动双方组织的高效资源配置，确保我们——

我们尽可能地实现该宝贵投资的最佳回报，以降低整体风险。彼得·舒马赫：非常好，谢谢基思。还有几个问题待答，不过我们的投票进展顺利——目前56%的投票者已参与。（注：若您通过网页浏览器加入，可能无法参与投票，这或许是参与率较低的原因。特此说明。）接下来是下一个问题，这个似乎更侧重于... 投票率。需说明的是，若通过网页浏览器参与可能无法投票，这或许是参与率偏低的原因。接下来这个问题似乎更适合布伦达解答：评分与风险评级呈现何种趋势？Cisors方法如何帮助识别风险承受能力？布伦达·费拉罗：是的，我们讨论过

是的，我们稍早讨论过这个，但在恢复过程中必须严格区分每项业务的具体要求。在主流平台上，我们能协助辉瑞配置不同业务类型所需的尽职调查标准，这些标准将映射至其为特定业务选定的关键控制措施及其风险承受能力。同时，我们还能从监管要求和视角出发，帮助他们判断现有映射是否存在偏差——无论是与ISO标准的对应关系，还是通过按下滤镜按钮与关键控制措施的关联——看到他们如何预先设置并准备所有内容以适配相应配置，这实在令人振奋。是否存在偏差，或如何映射至ISO标准及关键控制点——只需点击筛选按钮即可完成。令人振奋的是，他们已预先配置所有内容，通过评分与排序机制持续评估解决方案中实现的风险评分。这就是普瑞维伦解决方案当前助力辉瑞的方式。基思·沃尔特： 是的，还有一点——评分模型必须具备可配置性，这是我们选择解决方案的核心要求。因为我们认为确保系统能真正服务于业务活动至关重要。普瑞文特平台让我能轻松调整评分方法，并有效提取关键控制要素。

显示问题时，系统会优先呈现最高分者，这极大提升了报告的聚焦度——确保系统生成的报告精准对准我期望的业务重点。彼得·舒马赫： 太好了，谢谢。现在我们还有时间回答最后一个问题。我主要运用营销专长回答了大部分技术问题，基思，不过留了一个：关于如何处理报告中列出的铜电解液（Cu EC），您有什么建议？您也可以选择私下讨论。基思·沃尔特：是的，我的意思是这不该写进报告。

这描述相当详细，但我的回答是：SOCK报告作为一种替代性评估方法，在某些情况下能根据风险程度真正免除完整问卷的必要性。不过我对SOCK任何环节的顾虑在于——必须确保你事先充分理解元数据，并做好准备理解具体合作内容，同时确保实际评估范围与计划目标完全一致。请牢记这点，在执行此类评估时务必谨慎。 ——必须格外谨慎：务必事先理解元数据，明确了解业务范围，确保实际评估范围与计划目标一致。在决策时牢记这些要点，我认为这是采用替代方法（如SOC的特定章节和终止服务等）取得成功的关键。——布伦达·费拉罗：这正是我想说的。谢谢你，基思。是的。

彼得·舒马赫：好的，感谢各位今天参与我们的会议。基思，特别感谢你，非常感谢你今天的分享。布伦达，希望大家本周剩余时间都过得愉快，我们下次网络研讨会再见。谢谢，谢谢。