第三方风险管理 101：建立成功的第三方风险管理计划的基础

主持人：大家好，欢迎参加。很高兴看到各位陆续加入。主持人：现在请大家稍等片刻，我们等待所有人就位并完成连接。主持人：不过在此期间，想了解各位参与本次网络研讨会的缘由。主持人：看来今天早晨艾希莉的音频设备有些小问题。主持人：我们正尝试解决这个问题。主持人：趁大家陆续加入的间隙，我们先启动一个投票环节。主持人：现在开始吧。主持人：艾希莉，若您能听到我的声音，请启动投票功能。主持人：若无法操作，我将尝试自行启动。主持人：成功了。主持人：请稍等艾希莉是否能恢复连接。

艾希莉：你好。主持人：好了，没问题。你刚才说到哪儿了？艾希莉：是的，斯科特。艾希莉：嗯，我们还邀请到了产品营销副总裁斯科特·朗。艾希莉：提醒大家本次会议正在录制，网络研讨会结束后我们会立即发送录音及演示文稿。艾希莉：目前各位麦克风均处于静音状态，但我们鼓励大家积极参与。艾希莉：请随时在问答框中提交问题。艾希莉：今天鲍勃将讲解TPRM基础知识并建立TPRM框架。艾希莉：那么鲍勃，现在请您接手主持。

鲍勃：好的。谢谢，艾希莉。鲍勃：呃，欢迎各位。鲍勃：呃，今天我们将讨论一个四部分系列的第一部分，我称之为"构建可持续的第三方风险管理计划"。鲍勃：在讲解过程中，若有疑问请随时使用聊天功能提问，我很乐意随时解答。那么，让我们开始吧。鲍勃：今天我们将聚焦于建立TPRM框架。鲍勃：内容涵盖成熟度模型，以及运营韧性在供应链风险管理中的作用。Bob：之所以强调"供应链"，是因为我们不仅要关注贵机构直接合作的第三方供应商，更要追溯至其分包商的风险图景，全面识别需解决的风险点。鲍勃：那么近期这些事件有何共同点？鲍勃：比如苏伊士运河船舶搁浅导致航道全面瘫痪的事件。鲍勃：加州港口船舶卸货受阻的问题。鲍勃：2021年德克萨斯州暴风雪导致电网瘫痪的事件。鲍勃：SolarWinds、CASA、Log4j、Octa——第三方软件漏洞事件层出不穷。鲍勃：类似案例不胜枚举。鲍勃：我完全可以整天坐在这儿讨论这些事件。鲍勃：关键在于，这些事件发生前都被视为"黑天鹅事件"。鲍勃：所谓黑天鹅事件，指的是我们极少预期却存在微小概率发生的突发状况。鲍勃：而供应链危机让我们意识到，那些曾被视为黑天鹅的事件正以惊人频率常态化发生，这迫使我们必须调整思维模式。鲍勃：黑天鹅已成为新常态。鲍勃：新冠疫情教会了我们这一点。鲍勃：我们从供应链中仍在承受的冲击中领悟到——那些我们难以预见的事件造成的破坏性影响。鲍勃：例如乌克兰局势，以及中国因疫情激增而实施的短期封锁。

鲍勃：因此我们必须适应这个新世界——曾经被视为异常的事物，如今已然成为新常态。鲍勃：今天我们要探讨的是如何着手建立第三方风险管理项目。鲍勃：我们将梳理第三方风险管理的实施路径，并强调明确起点的重要性。 鲍勃：必须采取主动策略管理供应链风险，以确保建立业务韧性。鲍勃：哪些是关键第三方？鲍勃：哪些被视为关键环节？鲍勃：如何确保其具备支持核心业务计划与职能的充足能力？鲍勃：我们将从整体视角审视第三方风险管理中的运营风险。鲍勃：不仅关注网络风险或业务连续性，还将涵盖财务风险、运营风险、地域集中度与自然灾害风险、合规风险，以及环境、社会与治理风险。鲍勃：所有因素都至关重要，任何单一风险都可能导致第三方无法向您提供关键服务。鲍勃：我们将探讨第三方风险管理框架与生命周期，涵盖从规划发现到风险评估的五个阶段，强调持续监控的关键作用，以及第三方风险整改环节——遗憾的是该环节常被忽视。鲍勃：进行风险评估的重点并非完成评估本身。Bob：核心在于修复风险评估中发现的问题——唯有通过修复才能真正降低风险，最终实现第三方终止。Bob：随后我们将探讨第三方风险管理成熟度模型，重点在于明确当前所处阶段：从起点出发，为项目设定合理的成熟度目标。鲍勃：首先说明，在1到5的成熟度量表上，目标并非达到5级。

鲍勃：因此，我们还将探讨如何建立组织与供应链共识，以及培养与合作第三方关系的必要性。鲍勃：同时也会讨论在构建第三方风险管理计划时，与各类利益相关方协作的重要性。鲍勃：所以当我们谈论第三方风险管理时，其实是在描述一个持续推进的过程。鲍勃：每当讲述这样的故事时，必须明确起点所在。鲍勃：必须明确终点方向，并具备向各利益相关方有效传达的途径。鲍勃：当你向管理层汇报，甚至向董事会陈述时，要帮助他们理解为何需要为第三方风险管理计划提供资金支持。鲍勃：最佳方式就是讲好这个故事。鲍勃：这是我们的起点。鲍勃：这是我们的目标，而实现目标需要采取这些措施。鲍勃：在讲述故事时，你需要用数据支撑论点。鲍勃：随着课程推进，在后续模块中我们将深入探讨关键绩效指标与关键风险指标。鲍勃：运用数据支撑论点时，必须理解数据所呈现的趋势。鲍勃：每当你思考支撑论点的数据及其指向时，必须自问：这些数据是否揭示了趋势走向？鲍勃：面对数据时首要问题永远是：它在告诉我什么？鲍勃：是否提示我需要应对的趋势？鲍勃：不过这部分内容将在后续课程中深入探讨。鲍勃：请牢记：明确起点，并学会向利益相关方清晰传达，让他们确信你正在构建可持续的项目。鲍勃：主动管理供应链风险。鲍勃：我们的核心目标是确保在第三方管理中建立足够的运营韧性，从而保障关键业务功能持续为客户提供服务。

鲍勃：为此，你需要持续掌握风险的发生点。鲍勃：我稍早前提过黑天鹅事件。鲍勃：随着这类事件日益频繁且必须应对，我们不仅要确保自身组织具备应对能力，更要确保关键业务伙伴同样具备能力。鲍勃：他们必须能持续提供我们预期的服务。鲍勃：因此我必须反复强调"运营韧性"的重要性。鲍勃：这是成功服务客户的关键所在。鲍勃：通过这种方式，我们将有效预防业务中断。鲍勃：既能快速识别事件发生，也能迅速恢复运营，持续为客户提供服务。鲍勃：现在，有一点我认为尚未得到应有的重视——我们组织中超过半数的安全事件，其实源于第三方供应商的系统被攻破。Bob：更少人意识到的是，第三方安全漏洞往往始于其分包商——也就是我们所说的第四或第五层供应商。Bob：因此，了解第三方采用的管控措施与流程、其对分包商的监督机制，以及他们是否明确告知你其使用承包商提供关键服务的情况，就成为管理运营风险和确保韧性的关键要素。鲍勃：运营风险种类繁多，人们常聚焦网络安全、灾难恢复和业务连续性，但任何风险都可能对企业造成实质性影响。鲍勃：企业。鲍勃：因此我们需关注财务风险。鲍勃：合作方是否持续保持稳健盈利的运营状态？Bob：其财务状况是否出现剧烈波动？这可能预示经营困境甚至破产风险。Bob：对于业务关键型第三方，当其遭遇财务冲击或面临破产时，企业是否制定了应急预案？Bob：从运营角度看，关注韧性至关重要。

鲍勃：他们是否具备快速恢复能力以确保向您提供不间断服务？鲍勃：他们在资源管理方面是否高效？鲍勃：员工流动率是否过高，可能影响其运营交付能力？鲍勃：该公司是否因收购或剥离业务而受影响，这是否导致其对您服务交付的关注度下降？鲍勃：他们是否拥有充足的基础设施容量以持续提供服务？鲍勃：继而需关注——尤其在当今世界格局下——理解可能面临的地缘政治位置与集中度风险。鲍勃：例如企业已发现，大量外包软件开发业务集中于乌克兰和俄罗斯，而该地区当前局势可能直接影响这些业务。鲍勃：您是否确认过第三方服务提供商的实际运营地点？鲍勃：即便企业总部设在美国，但若服务实际交付地（例如土耳其）遭遇地震，仍可能导致您所获服务中断。鲍勃：因此关键在于厘清服务实际交付地点——重点不是签约公司的所在地，而是服务实际提供的位置。鲍勃：最后补充一点，需识别集中风险的潜在来源，而集中风险可能呈现多种形态。Bob：例如当多个业务部门同时依赖同一第三方供应商时，服务中断将波及所有相关方。Bob：从更宏观层面看，银行业高度依赖全球特定区域的关键基础设施。若这些实体或区域遭受网络攻击，将引发连锁反应波及整个银行业。鲍勃：攻击手段正变得日益复杂，我们称之为针对组织的"高级持续性威胁"。

鲍勃：我们发现，即使是中小型组织也可能成为有组织犯罪甚至国家级的攻击目标。鲍勃：因此，在网络安全领域保持良好防护习惯变得尤为重要，尤其面对层出不穷的新型攻击。鲍勃：特别是在软件方面，我将重点阐述。鲍勃：使用第三方软件时，必须清楚组织内部正在使用哪些第三方软件。Bob：正如稍后我们将讨论建立第三方供应商清单，同样重要的是掌握组织内部使用的第三方软件清单——正如SolarWinds、CASA和Log4J事件所示，这些软件会对组织产生切实影响。Bob：当这类软件出现问题时，公司员工必须立即停下手头工作，启动应急响应机制，排查是否使用了相关软件。Bob：其次，ESG（环境、社会和治理）议题正日益受到重视。鲍勃：环保议题的重要性不言而喻。鲍勃：企业必须确保合作方——尤其是第三方供应商——的环保实践得到规范、负责任的执行。鲍勃：社会层面则需确保合作企业公平对待员工，杜绝童工剥削等行为，同时关注多元包容性、商业模式及相关议题。鲍勃：最后在合规层面，合作方必须遵守必要法规——若其违反你所适用的法律法规，你将面临潜在法律责任，并因此遭受严重声誉损害。鲍勃：以上便是我们讨论的核心范畴。鲍勃：关于第三方风险管理的生命周期，其起点在于规划与发现阶段。

鲍勃：我们关注的重点是厘清供应链库存的构成。鲍勃：显然，我们需要掌握合作第三方的情况。鲍勃：更应聚焦那些影响关键业务活动的第三方。鲍勃：在识别供应链库存时，可通过多种途径着手：鲍勃：重点关注——这点尤为重要——鲍勃：即识别关键第三方供应商。鲍勃：最佳途径之一是咨询负责业务连续性与灾难恢复的信息技术部门，他们通常清楚哪些关键供应商对持续服务至关重要。鲍勃：这是第一种方法。鲍勃：当需要验证供应链库存完整性时，向应付账款部门追溯"过去两年付款对象"极为有效——只要供应商持续获得付款，其存在必然通过应付账款流程可查。鲍勃：另一关键是确保合同有效性，且合同条款需妥善规避风险。鲍勃：许多企业合作关系已持续多年。鲍勃：但当要求提供合同副本时，他们常说："我们合作二十年了，没人能找到合同。"鲍勃：这很棘手。鲍勃：接下来进入风险评估环节，重点考察尽职调查流程及新供应商入驻机制。鲍勃：第三方风险管理中最突出的问题在于，新供应商的接入流程过于繁琐且耗时过长。鲍勃：当业务伙伴需要把握市场机遇或确保服务持续交付时，我们必须高效完成风险评估流程。

鲍勃：我了解一些大型机构，若涉及关键供应商，其对接流程可能耗时三个月甚至更久。从业务推进角度看，这显然过于冗长。鲍勃：这个话题我们将在未来的网络研讨会中深入探讨。鲍勃：关键在于必须提升尽职调查和入职流程的效率，并认真思考如何自动化这些流程才能取得成功。鲍勃：接下来是持续监控。鲍勃：在我看来，持续监控对第三方风险管理至关重要。鲍勃：风险评估只是对第三方现有控制措施的某个时间点的评估。Bob：这种评估仅适用于当天，但全年还有364天需要持续掌握第三方绩效动态。Bob：因此风险评估只是起点，对于关键第三方供应商，必须持续监控整个供应链的运营风险——确保这些风险得到妥善管控以支撑企业运营。Bob：由此延伸出整改与问题管理议题。Bob：对我而言这或许是最令人沮丧的环节，因为我见过太多企业在这方面做得不够到位。Bob：既然投入时间进行风险评估并发现问题，就该花时间确保问题得到充分解决和验证。Bob：否则坦白说，干脆别做风险评估。Bob：若不打算修复已识别的问题——真正的风险缓解就在于此。Bob：抱歉打断一下。Bob：发现问题后有三种处理方式：修复问题、接受问题，或转移问题及其关联风险。Bob：风险转移通常通过网络保险实现。

鲍勃：例如，当你拥有大量客户且担忧客户数据泄露时，可购买网络保险来抵消潜在客户信息泄露的风险。鲍勃：但获得网络保险承保的唯一途径，是建立健全的风险管理计划。鲍勃：在风险接受方面， 企业不能简单声明"我接受风险"——企业委托第三方后，必须对该方的行为承担责任。若存在无法补救的问题，则需实施补偿性控制措施来抵消风险。企业若仅接受风险，可能并非代表其业务部门，而是代表整个公司承担风险，这将使我们处于不可接受的境地。Bob：因此需通过补救措施接受风险，辅以补偿性控制手段，并借助网络保险等途径转移风险（当存在可行方案时）。生命周期的最终阶段是终止合作，重点在于确保妥善获取第三方处理的数据或彻底销毁数据，同时对所有接触过企业环境的第三方人员实施规范的访问权限补救措施。鲍勃：TPRM成熟度模型虽非该领域唯一框架，但清晰呈现了关键要素。鲍勃：共分五个阶段。鲍勃：第一级阶段，第三方风险管理流程极具临时性，可能缺乏必要资源。鲍勃：未建立书面化操作规程。鲍勃：不清楚第三方供应商清单，正摸索如何启动管理。鲍勃：从TPRM视角看，多数企业由此起步。鲍勃：但此阶段存在的风险相当显著。鲍勃：进阶至第二层级时，至少已配置资源，但流程仍未完善记录，主要处于被动应对事件的状态。鲍勃：因此第二层级需思考：我该做什么？鲍勃：如何配置资源？鲍勃：如何构建管理体系？

鲍勃：这些要素对项目成功至关重要，包括如何从关键利益相关者处获取支持。鲍勃：在第三阶段，你已制定出书面计划和路线图。鲍勃：你明确了目标方向和需要达成的成果。鲍勃：此时项目已建立组织架构。鲍勃：并制定了治理流程，开始与组织内不同利益相关方展开对话。鲍勃：在此过程中，你将着手解决已识别的问题，确保项目逐步成熟。鲍勃：许多组织发现，当为所处业务领域落实三级阶段的步骤后，已取得相当进展。Bob: 然而仍有工作待完成，其他事项需纳入考量。Bob: 此时便进入第四层级——第三方风险管理项目已正式实施。Bob: 此时可能已制定政策与标准。Bob: 你们已识别风险并主动追踪，开始对关键第三方供应商的运营健康状况进行持续监测。鲍勃：第五层级即我们通常所说的优化层级，此时企业正持续改进第三方风险管理计划。鲍勃：主动化解风险隐患。鲍勃：深入剖析分包商风险。鲍勃：投入大量资金。鲍勃：对多数组织而言，达到第五层级的优化状态可能超出业务需求，甚至超出预算承受范围。鲍勃：若最终能将项目成熟度维持在三级至四级区间，既能持续应对已识别关键风险，又能及时处置新发风险。鲍勃：这将为第三方风险管理项目的成功奠定组织与供应链共识基础。 鲍勃：构建韧性供应链存在多重商业驱动力。鲍勃：其中包括竞争优势、企业快速进入新市场的能力，以及提升企业对供应链的依赖度——因为越来越多的企业持续将业务活动外包。

鲍勃：因此，这正是我们行动的核心驱动力，或许也是诸位今日齐聚此地的缘由——随着企业对供应链的依赖日益加深，我们必须同步采取措施来抵消这种风险。 正如我之前所言，黑天鹅事件正逐渐成为常态，我们必须更充分地准备应对这类风险。而在医疗保健、金融服务等领域，日益严格的监管要求也亟待满足。归根结底，我们的目标是构建贯穿整个供应链的信任体系——那些合作的第三方企业是我们的伙伴，而非敌人。鲍勃：他们不该只是我们尽职调查的对象，而是需要我们建立关系的伙伴——因为第三方能让我们更清晰地了解业务现状及市场认知。鲍勃：若能与他们建立信任（这种信任必须逐个建立），我们就能形成良性循环，最终为所有参与者创造价值。鲍勃：因此供应链信任是核心理念，我们需更聚焦于第三方风险管理相关方的价值。鲍勃：对我而言，理解合作企业中的利益相关方构成，是构建成功基石的关键。鲍勃：如何培育这些关系？谁是我们在TPRM征程中的合理伙伴？鲍勃：这场名为TPRM的征程。鲍勃：这些利益相关方如何助力我们确保成功？鲍勃：我在此列举了若干不同类型的利益相关方。鲍勃：我将按其重要性排序而非列举顺序进行阐述。鲍勃：我们需要重点关注并建立关系的组织之一是采购与供应部门。鲍勃：他们最了解各业务部门在组织内的运作情况，同时承受着引入新第三方供应商的巨大压力。在供应商入驻流程中，第三方风险评估是关键环节之一。鲍勃：因此，与采购部门建立良好关系有助于把握组织内部的重要趋势。

鲍勃：当企业考察新供应商时，采购部门往往最先获知消息，远早于你被要求进行第三方风险评估的时候。通过建立这种关系，并在他们需要完成风险评估以推进合作时给予支持，你既能构建健康的合作关系，又能洞察企业实际运作情况及其拓展第三方合作的方式。鲍勃：若贵组织设有企业风险或运营风险管理职能部门，这些部门将成为您的绝佳合作伙伴——他们的工作模式遵循"三道防线"原则：第一道防线是日常运营单位，负责管理各项职能；Bob：第二道防线即企业与运营风险管理团队，其职能是监督并验证第一道防线人员实施的管控措施是否有效运作。Bob：与企业风险管理团队建立合作关系，向他们透明展示贵司在第三方风险管理方面的举措。Bob：通过向他们展示风险管理策略及应对突发问题的措施，能帮助企业风险团队更有效地协调一线部门与业务部门，推动其采取必要措施降低风险，实现业务所需的风险管控目标。鲍勃：另一关键关系是与第三方关系经理的协作。鲍勃：业务部门应（尽管实际执行不尽然）指定专人负责管理第三方关系及监督其绩效表现。Bob：从TPRM视角看，这些关键人物可作为联络窗口，确保第三方知晓贵方的风险评估要求，使其在问题出现时主动承担责任并及时响应，从而协助贵方在与第三方合作中实现更优风险管控。

鲍勃：信息安全是重要的利益相关方，因为其职能与第三方风险管理直接关联，且多数情况下第三方风险管理计划都隶属于信息安全组织。鲍勃：当第三方发生安全事件时，通常由业务部门通知贵方，或由安全运营中心（SOC）主动发现——该中心有时也被称为SOCK。鲍勃：当SOCS发现贵公司可能使用的第三方发生安全事件时，他们需要获取相关信息。鲍勃：他们会主动联系第三方团队，或由第三方团队主动联系SOCS以协助事件管理。鲍勃：同样地，若贵司信息安全团队中的网络情报部门（负责预判潜在漏洞）掌握关键第三方合作关系，便能更主动地识别这些第三方可能引发的新兴或演变风险。鲍勃：现在让我们回到清单顶端的董事会与高层管理层。Bob：董事会必须清晰认知企业决定外包第三方合作关系所蕴含的风险。Bob：事实上，在作出关键外包决策前，应就合作性质征询董事会意见，并确认该合作对企业而言是适当的。Bob：这种情况总是发生吗？Bob：并非如此。鲍勃：但若考察监管要求——尤其金融服务领域的规定——董事会理应了解第三方风险，需在第三方风险管理计划中发挥监督作用。鲍勃：他们还负有责任，需向高级管理团队传达企业在第三方外包方面的风险承受能力。鲍勃：高级管理团队则需将董事会的风险偏好传达至业务部门及公司所有职能部门，确保外包行为不会导致承担过度风险。鲍勃：向第三方外包时。

鲍勃：业务部门管理层是识别外包需求与机遇的关键决策者。他们应明确界定目标，理解风险，并指定部门内部人员负责管理第三方风险。鲍勃：这正是我所说的关系经理。鲍勃：根据业务性质及与第三方共享的信息或访问权限，若涉及财务信息泄露，则存在欺诈风险。鲍勃：因此明确欺诈风险管理人员至关重要——尤其在涉及金融交易的组织中，因为越来越多的欺诈行为正通过第三方渠道窃取财务信息实施犯罪。鲍勃：法务部门高度关注合同管理，需预判建立第三方合作关系可能引发的风险。鲍勃：因此合同议题至关重要。鲍勃：企业除签订主服务协议外，通常还会在合同中附加安全条款附录。鲍勃：与第三方签订合同时，必须包含三项核心内容：鲍勃：即第三方必须履行以下义务：- 数据泄露时立即通知贵方组织- 承诺对发现的问题进行补救鲍勃：因此安全附录成为第三方合作关系的关键环节，通常需要与法务部门进行多层次沟通。不仅涉及法律层面，若发生数据泄露等安全事件，合规部门也需从合规视角介入。鲍勃：与第三方合作时，你绝不希望看到负面新闻质疑该方的劳工实践、环保承诺或其他可能暴露的问题。

鲍勃：因此，能够与合规部门协作，帮助他们识别第三方可能出现的负面新闻或其他异常行为，这对业务连续性和灾难恢复至关重要。鲍勃：正如我之前所说，他们是这一旅程中出色的合作伙伴，对关键第三方有着深刻理解——这些第三方必须被充分掌握，才能持续支撑业务运营。鲍勃：因此在建立供应商清单时，首要任务就是识别这些关键第三方。鲍勃：最快捷的方式是与业务连续性及灾难恢复团队协作推进。鲍勃：与第三方共享信息时，隐私保护是重要考量因素。鲍勃：当我评估关键供应商及关键第三方时，主要关注两点： 鲍勃：我与谁共享信息？谁能访问我的基础设施和网络？鲍勃：这些因素决定了我对关键第三方供应商的筛选标准。鲍勃：涉及机密信息共享时，隐私保护无疑是核心议题。鲍勃：财务状况显然需要核查，既要评估第三方供应商的财务健康度，也要追溯至实际的第三、第四乃至第五层供应商。鲍勃：理解供应链结构时，人们常说"我刚启动项目，正在识别第三方"。鲍勃：如何追溯到第四、第五乃至第六层供应商？鲍勃：建议从那些与关键业务活动关联的第三、第四、第五层供应商着手。鲍勃：其余层级后续再行追溯。鲍勃：当然，若在监管要求严格的领域运作，需确保与监管机构保持开放对话，建立良好沟通机制，并持续追踪法规动态——尤其当前大量新规即将出台。鲍勃：不同国家适用的法规各异，具体取决于业务所在地的政策环境。鲍勃：以上就是本次演示的全部内容。

鲍勃：若有任何疑问，我非常乐意解答，期待听到大家的反馈。鲍勃：本次网络研讨会结束后若有问题，请通过以下方式联系我：bobcyms.net 及我的手机号码。鲍勃：欢迎随时联系。鲍勃：我很享受这类交流。鲍勃：所以很乐意和在座任何一位深入交流。鲍勃：好的，现在我将结束演示共享，接下来请斯科特·朗接手。鲍勃：斯科特，现在交给你了。

斯科特·朗：太棒了。非常感谢，鲍勃。斯科特·朗：呃，你知道的，简单说两句，呃，确保大家都听得到我。斯科特·朗：好的。斯科特·朗：你听得到我吗？斯科特·朗：好的，艾希莉，你听得到我吗？斯科特·朗：好的。艾希莉：听得到，长官。

斯科特·朗：太棒了。斯科特·朗：很好。斯科特·朗：嗯，感谢各位今天抽出时间聆听鲍勃分享的宝贵经验——这些基于他实践的卓越实践案例，以及构建TPM计划的核心要素。斯科特·朗：今天我想重点说明如何快速启动计划，并阐述我们在此过程中的核心观点。斯科特·朗：现在请大家开始思考想问鲍勃的问题——如果还没在Zoom的问答栏提交的话，我讲解期间可以随时补充。斯科特·朗：通过与客户交流，我们发现他们对第三方风险管理计划的核心诉求集中在三方面。 斯科特·朗：首先是获取必要数据，用于优化供应商决策——包括第三方入驻评估、评估方法及供应商潜在退出标准。斯科特·朗：其次是提升评估、监控与整改效率，这需要打破企业普遍存在的工具系统信息孤岛。第三是随着合作第三方数量增长，实现项目的持续进化与规模化。斯科特·朗：企业如何有效调整自身定位，以适应相应增加的评估与整改工作量？斯科特·朗：但问题在于，采用人工方式进行第三方风险管理，最终只会耗费大量时间和金钱，却收效甚微。斯科特·兰格：行业年度调查数据印证了这点——我们每年都会问：有多少企业仍在用电子表格进行供应商风险评估？斯科特·兰格：过去三年这个比例基本没变。斯科特·兰格：42%、45%、46%，又回落到42%。

斯科特·朗：目前仍有近50%的企业仍在使用电子表格评估第三方供应商，将结果与可接受的控制阈值进行比对，随后采取补救或报告措施——而众所周知，电子表格根本无法高效完成这些工作。斯科特·朗：其次是他们处理的是过时信息。斯科特·朗：约46%的受访者表示无法实时掌握供应商风险动态。斯科特·朗：正如鲍勃稍早提到的。斯科特·朗：定期进行风险评估固然有价值。斯科特·朗：它能建立可靠基准，但两次评估间会发生大量变动。斯科特·朗： 若缺乏第三方网络风险、商业动态、负面新闻、声誉问题、财务状况、ESG评估等信息的持续流转，企业将暴露于大量额外风险之中。斯科特·朗：第三点——这与前张幻灯片内容相关——许多组织内部存在职责分散的现象。斯科特·兰格：据我们观察，约50%的企业由IT和信息团队主导第三方风险管理，其余50%的责任则分散在四个左右的其他部门。这与今天电话会议中多数人的情况类似——安全部门与非安全部门各占一半。——安全部门，但问题在于每个部门都列出了职责范围，而那些未列出的部门同样以某种形式参与第三方风险管理。斯科特·朗：因此存在大量工具在运作，其中多数依赖人工操作，极少能提供实时情报。斯科特·朗：这给企业带来了诸多混乱和职责重叠。斯科特·朗：因此我们的解决方案是提供更具指导性的跨部门框架——涵盖采购、供应商管理、IT安全数据隐私、法律合规等所有环节。斯科特·朗：通过在第三方生命周期的每个阶段独立评估风险，我们不仅发现了各环节的挑战，同时也识别出每个阶段的解决方案、需求与诉求。

斯科特·朗：在评估供应商时，实现自动化和智能化至关重要。斯科特·朗：判断供应商是否符合业务需求固然重要，但若无法确认其风险承受能力是否匹配企业风险阈值，反而会成为隐患。斯科特·朗：斯科特·兰格：嗯，建立统一的供应商风险档案、入驻流程、合同签订和入职工作流的真实信息源，对许多组织而言往往是个难题。斯科特·兰格：你知道，现有的各种工具和流程反而加剧了问题。斯科特·兰格：第三点是缺乏完善的固有风险评分体系，导致你无法建立评估策略的基础基准。斯科特·朗：接下来，我们协助解决的另一大痛点是：如何针对多重合规要求优化持续评估流程。这不仅涉及IT安全、隐私及特定合规问题（尽管这些占绝大多数），还需评估财务状况、特定ESG指标、反贿赂腐败措施、反洗钱声明等要素——如何将这些要素整合到单一解决方案中？其次是持续监测并验证评估结果。洗钱声明等事项。如何将这些要素整合到单一解决方案中？其次是持续监控并验证评估结果。斯科特·朗：正如先前所述，仅观察企业内部控制的某个时间点快照——例如针对IT安全风险的控制措施——其有效性仅限于数据采集当日。斯科特·朗：接下来是衡量长期绩效表现。斯科特·朗： 供应商或第三方是否满足合同要求——这显然是必要的，你必须掌握这些信息才能查看关键绩效指标（KPI）和关键信息指标（KIS），并对照服务水平进行评估。斯科特·朗：最后是组织机构的终止与接管流程。

斯科特·朗：你知道，这和鲍勃在演讲中提到的第三方供应商生命周期有些相似之处。但关键在于，当你终止供应商合作关系时，必须确保数据销毁政策得到落实、合同条款得到处理、最终付款完成等事宜都已妥善解决。斯科特·朗：整个生命周期中存在诸多挑战，但解决方案同样清晰可见。斯科特·朗：归根结底，我们的目标在于实现三点突破。斯科特·朗：通过建立统一数据源和标准化流程，简化并加速供应商入驻流程，同时弥补风险覆盖的漏洞——许多企业都向我们反映存在这类问题。斯科特·朗： 他们坦言仅能定期查看数据。斯科特·朗：最后，实现第三方生命周期各环节团队的协同统一。斯科特·朗：这正是我们致力于协助您构建的第三方风险管理基石。斯科特·朗：为此，我们组建了独特的专家团队，代您完成第三方风险管理的艰巨任务：从供应商入驻、资质评估、整改结果处理（这正是鲍勃强调的关键环节），到持续运营管理。我们将为您的供应商档案注入最丰富的数据智能输入，助您在多重供应商风险领域做出优质的风险决策。斯科特·朗：所有流程均通过自动化平台实现跨部门集中管理。斯科特·朗：这正是我们提供的服务——助您快速启动并自动化实施第三方风险管理计划。斯科特·朗：我们覆盖多种风险领域。斯科特·朗：因此企业无需购买六八种工具来评估监控第三方合作中可能暴露的各类风险，普瑞文特专精于将所有功能整合于单一解决方案。斯科特·朗：其成效体现在三重维度：

斯科特·朗：首要任务是助您更明智地决策——通过优质的角色化报告分析与全面风险分析，整合流程、档案评估及从入职到离职的全生命周期管理。借助内置智能工作流与专业支持体系，在您推进第三方风险管理的过程中提供精准指导。斯科特·兰格：谈及这一旅程，开展成熟度评估是绝佳的起点。斯科特·兰格：鲍勃在演讲中提到了成熟度评估。Scott Lang: 我们提供的成熟度评估能切实落实Bob的理念，只需在平台完成45分钟（抱歉，是45道选择题）的快速测评，系统将生成报告，清晰呈现贵组织在成熟度量表中的定位，并根据贵组织目标提供后续具体行动指南。斯科特·朗：作为本次网络研讨会的后续流程，您将收到录播视频、演示文稿，同时我们会提供成熟度评估的链接。斯科特·朗：您可预约与我们团队的会面，我们将全程指导您完成评估流程。斯科特·朗：这是明确当前定位与发展目标的重要第一步。斯科特·朗：好的，今天分享的内容就到这里。斯科特·朗：现在将话筒交还给艾希莉。斯科特·朗：艾希莉，接下来我们开放提问环节。

艾希莉：谢谢。艾希莉：不过首先，我将启动我们的第二次投票。艾希莉：我们只是好奇各位是否计划在今年内建立或完善第三方风险管理计划。艾希莉：请如实回答，因为我们会跟进核实。艾希莉：那么现在让我们浏览这些问题。艾希莉：看到大家如此踊跃参与真令人欣喜。艾希莉：提问数量相当可观呢。艾希莉：鲍勃，您能否从中挑选几个最具参考价值的问题呈现给观众？鲍勃：好的。鲍勃：我这就查看聊天区。鲍勃：我会按顺序尽可能多地回答。鲍勃：好的，第一个问题。鲍勃：我的客户曾遇到至少一家供应商，他们使用第三方网络安全管理服务，并将防火墙事件监控外包出去。鲍勃：好的。鲍勃：请问客户的法务部门能否通过与主供应商签订合同，来最大限度降低涉及其他供应商及第三方机构的风险？鲍勃： 通常在处理第三方合同时，我们会要求第三方合同条款同样适用于其可能使用的任何第四、第五或第六方供应商。鲍勃：也就是说，与第三方签订的合同条款会延伸至其使用的所有第三方？鲍勃：且该第三方需对第四、第五及第六方的尽职调查负责，这通常是处理方式。鲍勃：毕竟资源有限，实际能自行完成的尽职调查量终究有限。鲍勃：明白了。鲍勃：下一个问题。鲍勃：嗯...鲍勃：呃，随着新规出台，TPRM计划预计多快能嵌入ESG标准？鲍勃：目前针对ESG的具体法规尚不完善。鲍勃：这取决于你所在的行业领域。鲍勃：也取决于公司对ESG的立场。鲍勃： 比如在银行业，英国金融行为监管局正考虑发布关于金融机构环境影响的政策指引。Bob：必须遵循这些要求。Bob：因此很大程度上取决于具体业务领域。Bob：若是受美国证交会监管的资产管理机构。Bob：要知道ESG投资是当前热点话题。Bob： 已有不少企业因此被罚款。Bob：这是必须关注的领域。Bob：但企业始终要评估环境、社会及治理议题带来的声誉风险。Bob：好的。Bob：接下来看看下个问题。Bob：参与者能否同时获得Bob和Scott的演示文稿？Bob：这个由主办方决定。Bob：我认为可以。

艾希莉：是的，我们有。艾希莉：是的，你有。鲍勃：所以，你得处理这个。鲍勃：嗯，好的。鲍勃：现在进入斯科特的问题环节。鲍勃：斯科特，成熟度评估需要收费吗？斯科特·朗：呃，不需要。斯科特·朗：呃，如果你感兴趣的话，我们会在本次网络研讨会后安排艾希礼或梅丽莎其中一位与你联系跟进。斯科特·朗：我们会安排专员与你通话。斯科特·朗：专家会带您逐步了解整个流程。斯科特·朗：这个评估其实很快就能完成。斯科特·朗：唯一要求是——我们希望在结果汇报时有高管参与，确保组织内所有人都能理解问题的深度与广度，以及潜在解决方案的具体形态。

艾希莉：好的。艾希莉：我这里还有几个问题。艾希莉：呃，你如何看待问题与发现的区别？鲍勃：呃，从我的角度看，问题和发现本质上是同一回事。鲍勃：所以，让我澄清一下：当你有某个发现时，需要验证该发现是否构成问题。鲍勃：问题需要修复。鲍勃：呃，当我提到软件时，问题在于：你是指通过许可证授权的本地部署软件？鲍勃：还是指SAS软件？鲍勃：我指的是企业需要建立所用软件的完整清单，因为所有软件都可能成为攻击目标。而建立公司内部所有软件的完整清单——你们可能已经具备了这种能力。鲍勃：你需要与软件开发部门沟通，确认他们是否已建立完整清单。鲍勃：但要知道，无论是本地授权软件还是SaaS软件，都可能遭受安全威胁，关键在于及时发现问题。鲍勃：嗯

艾希莉：鲍勃，要不你再挑一个问题？艾希莉：现在刚到整点。鲍勃：好的。鲍勃：好的。鲍勃：呃，如果TPRM分析师标记了某个供应商，但业务部门仍坚持接纳该供应商怎么办？鲍勃：嗯，最终决定权主要在业务部门。鲍勃：关键在于补偿性控制措施。鲍勃：如果业务部门愿意承担风险却不愿实施补偿性控制，这虽是最不理想的情况，但此时TPRM必须履行上报义务并确保风险可见性。鲍勃：核心在于实现全组织的可视化与透明化。鲍勃：这种情况必须上报处理。鲍勃：嗯，就是这样。鲍勃：交还给你，艾希莉。鲍勃：若有其他问题，请随时提出。鲍勃：我的邮箱、联系方式和电话号码你们都有。鲍勃：只要你们联系，我定会回复。

阿什莉：太棒了。阿什莉：感谢鲍勃以及各位的提问。阿什莉：鲍勃和斯科特今天提供了许多值得深入了解的宝贵信息，期待在你们的收件箱或未来的Prevalent网络研讨会中与各位再会。阿什莉：祝大家一切顺利。