2024年第三方风险管理将走向何方？

梅丽莎：让我们先做个自我介绍。我是梅丽莎，在Prevalent公司负责业务发展。今天我们有几位嘉宾。嗯，我们有全球产品与服务高级副总裁艾利斯特·帕尔。欢迎回来，艾利斯特。

阿利斯泰尔·帕尔：感谢您的邀请。

梅丽莎：最后但同样重要的是，我们有斯科特·朗。他今天与我们同在。斯科特是我们的产品营销副总裁，他将在会议结束时深入探讨我们如何助力完善您的TPR项目。希望届时我们有足够时间。斯科特，你好。

斯科特·朗：嘿，梅丽莎。顺便提个注意事项，本次网络研讨会正在录制，之后会提供录像副本，所以无需做笔记。 研讨会结束后，你们很快就能收到幻灯片资料。目前各位的麦克风都处于静音状态。如有疑问请使用问答框，若您愿意，可以匿名提问。现在就让我们直入正题——艾利斯特将回顾今年第三方风险管理领域的发展，并探讨2024年推动TPR及相关项目的新兴趋势。艾利斯特，请开始吧。

阿利斯泰尔·帕尔：太好了。谢谢你，凡妮莎。无论各位身处世界何方，早上好、下午好或晚上好。感谢大家今天参与。那么，我们今天将探讨哪些内容呢？在我看来，这类网络研讨会总是充满趣味，我们每年都会举办一次。 我们邀请行业顶尖智囊齐聚一堂，让我得以端坐或驻足聆听他们剖析前瞻趋势、解析安全威胁、解读技术动向。通过整合各领域分析师的洞见，最终凝练出我们认定的十大趋势预测。 好消息是，曾参与过往同主题网络研讨会的各位会发现，我们许多预测已成现实。因此今天的时间必将物有所值。首先向大家问好，我是Alistister Par。虽然当年看起来更年轻精神，但今天我为何在此与诸位交流？因为我是Prevalent公司产品与服务高级副总裁。 我有幸——也算是一种福祸相依的体验——能与数百家客户深入交流第三方风险管理议题。我目睹了各类项目的运作机制、功能实现与系统交互中的优劣得失。更欣慰的是，我能协助部分客户推进创新改进，提升项目成熟度，助力他们在第三方风险与生命周期管理领域达成理想目标。 今天我再次强烈建议各位：若有任何见解、预测或想法，请随时在问答区和聊天区提出，我们将尽力在今日的整体讨论中融入这些回应。 当然，若时间允许，我们仍将在最后预留问答环节。我将重点阐述我们对明年约10项核心趋势的预测。现在让我们直接进入第一项。首个观察与预测实际上与第三方风险管理资金配置相关。

去年我们曾提到，2023年项目将面临额外压力，这将促使各方聚焦效率提升、自动化应用，甚至在第三方生命周期管理中适度采用外包模式。 从我们的视角来看，近六个月显现的趋势尤为值得关注——第三方风险管理正日益成为项目管理的核心要求，且这一趋势预计将延续至明年。我认为这是多年积累的成果，如今TPRM已成为行业标配。 该体系已臻成熟，在组织架构定位中几乎成为基本门槛。尽管2023年初各国面临经济不确定性、通胀压力乃至技术人才短缺，但我们预期2024年相关投资将保持稳定——这仍是基本要求，且不会改变。 我们注意到董事会、高管层及投资者对TPRM的深度参与。回顾2023年，某些时期确实面临寻找经验丰富的TPRM专业人才的挑战，但预计明年不会改变。当前行业仍存在人才供不应求的局面——市场上现有的专业人才需承担过量工作。 不过我们预计，随着生成式人工智能、机器学习、数据集分析以及系统间自动化与集成技术的成熟，相关项目将持续提升效率与效能，实现"以更少人力完成更多工作"的目标。 我们预计这种趋势将持续并可能在2024年加速。从成熟度角度看，明年不会有实质性变化。我们认为基本要求仍将维持不变。遗憾的是，零日漏洞和安全问题可能继续出现，这将促使人们持续关注并理解各自项目中的安全措施。去年我们讨论过外包问题。

我们原本预计在2023年将出现更多外包需求，这源于技术人才短缺和成本管控压力。但展望2024年，尽管看到大量新型自动化技术涌现并进入市场，这些技术尚未达到足以取代人工的成熟度，从预算角度来看也难以承担相应成本。 自动化技术、机器学习、自然语言处理及人工智能始终将作为辅助手段存在。任何结果仍需人工验证，因此企业仍需采用外包模式——例如托管服务，或根据现有资源类型合理调整工作量规模。 综上所述，第一项观察结论是：资金投入是基本门槛，且在2024年仍将如此。我们不预期2024年预算会缩减，反而会看到人们希望以相同投入实现更多价值。第二项预测与观察是项目融合。这虽是个非常宽泛的表述—— 项目融合听起来很美好，但我们实际指的是——正如我们过去阐述并始终坚持的观点：第三方风险管理正在演变为第三方生命周期管理。其核心区别在于，供应商从入职到离职存在完整的生命周期旅程，同时涉及不同角色和团队的参与。 举例来说：从供应商筛选、入职风险管理（涵盖各类风险评估）、结果评估到整改措施的推进，再到持续监控能力、SLA绩效管理，最终完成离职终止——整个过程贯穿生命周期。 这是一个生命周期，并将持续演进。我们观察到不同角色参与其中——请允许我更准确地说——在第三方管理领域正进行更多基础性协作。采购部门正日益成为驱动第三方生命周期管理的关键力量，这一趋势将持续增强。

无论是KYC（了解你的客户）还是KYS（了解你的供应商），各方都期望能明确自身合作对象的身份背景。针对反贿赂腐败及现代奴隶制等问题的合规审查，显然将出台更多监管措施——尤其在欧洲地区，今年剩余时间及明年都将持续加强。这些举措的核心目标，是建立有效的监控机制以掌握合作方动态。反贿赂腐败及现代奴役审查。显然更多法规即将出台——尤其在欧洲针对ABC领域，今年剩余时间及明年都将持续推进。各方普遍希望建立监测快照机制，以评估供应商资质：是否存在需警惕的关键问题？后续应如何推进？法律部门将持续深度参与该流程。 目前法务部门主要处理合同管理和条款审核等分项工作。我们观察到法务部门正积极探索自动化条款识别与比较分析方案，例如在主服务协议（MSA）与条款条款间进行比对。 他们将结合全生命周期数据识别风险点，这自然延伸至风险管理领域。虽然第三方风险管理已相对成熟，但法务部门仍是第三方生命周期管理的核心参与者。 我们观察到运营部门正利用采购、法务和风险部门的数据集，推动运营韧性建设、第三方管理、质量管控及履约核查等工作。而审计环节始终是无处不在的刚性需求——我们接触的众多客户及个人普遍面临各类形式的审计审查。 这种审计未必来自外部，也可能是内部审查，但随着合规要求和监管指令持续加码且日益复杂，我们认为这种趋势不会改变。预计2024年审计与审查力度将持续保持，针对我们TPRM项目的持续审计也将延续。这意味着整个生命周期管理及相关环节都将受到更广泛的监管。

但我想引用普雷瓦伦特公司实际生成的部分数据。过去参加过我们网络研讨会的听众可能接触过这些指标。当然，斯科特稍后会就这项研究进行说明。从受访群体来看，右侧图表清晰显示：越来越多的全生命周期环节正融入交易方风险管理（TPRM）。 具体而言：信息安全领域70%人员参与度提升，风险管理51%，合规审计45%，采购支付44%，业务负责人34%，高管层33%。需要说明的是，这些数据反映的是"参与度提升"而非"持续参与"。 由此可见，我们预期这一趋势将延续至2024年：各业务领域对第三方生命周期及风险管理流程的参与度持续提升。我们认为这种趋势不会改变。顺便提一下，若您尚未查阅我们的第三方风险管理研究报告，欢迎随时联系我们获取。 我们非常乐意与您分享该报告，并在会议尾声说明获取途径。需要强调的是，当您开始分解这些指标时——当您实际观察当前的参与程度时——会发现信息部门往往主导着相关项目。如您所见，他们在战略设计、评估执行、监控实施及报告使用等环节均有深度参与。 风险管理、合规、采购、业务负责人及高管通常是数据使用者。紫色柱状图显示用户群体呈显著增长趋势，我们预计该趋势将持续扩大——特别是第三方信息报告的用户群体（紫色柱）。而信息部门、采购部门或风险管理部门通常负责数据采集工作。那么关于数据融合的未来，我们的预测是什么？

嗯，这种项目融合体现在：您将看到针对第三方管理项目的采购策略设计与规划日益增多，同时业务用户——抱歉，是业务负责人——对第三方信息及报告的使用率将持续提升，当然高管层也会跟随这一趋势发展。接下来进入第三项预测，需要明确的是我们刚才讨论的是项目融合。 现在我们需要区分第二点"项目融合"与第三点"数据融合"的差异——在我恰到好处的清嗓子之后？对我们而言，数据融合关乎构成供应商档案的所有不同要素。历史上人们往往聚焦于"其网络安全态势如何？"这类问题，或执着于"能整合哪些评估数据？" 但我们观察到且预计将持续增长的趋势是：非IT风险领域正日益融入这些项目中的供应商档案。这源于第二项预测与观察——采购、IT、合规等部门都在寻求获取供应商数据，且各自拥有不同的信息解读视角。 这种趋势不会改变，2023年我们已看到项目初期由信息安全驱动，但采购生命周期和工作流程正逐步融入其中。这种趋势不会改变。因此评估仍将是核心环节——我们认为评估不会消失，因为这是从第三方获取表面之下验证数据的最佳途径。但评估内容将呈现多样化。 评估内容将覆盖采购、IT、安全、合规等领域所需的全方位要素，并辅以多元数据流。网络安全领域自然会持续发展——这并非预测，而是我们今日已然见证的既定事实。商业情报正日益凸显其重要性，这在很大程度上由采购驱动。

所谓业务层面，我指的是开始关注诸如：他们的运营态势如何？是否在推出新产品？是否正推进需要警惕的特定并购活动？这类数据本质上反映了企业的时代脉搏——他们在做什么，他们是谁。财务记录通常在采购周期中被单独追踪，如今这类追踪频率正持续增加。 我们预计明年将以更规律的节奏持续追踪这些数据：财务评分是否出现波动？谁是该公司的最终受益人？这类信息正逐步整合到更全面的供应商档案中。 我们注意到地理事件正受到越来越多的关注，预计2024年这一趋势将更加强烈。具体而言，我们关注的是特定地区的自然灾害、罢工事件、特定区域的政治动荡或战争等。从运营韧性的角度看，此类地理事件正日益成为焦点。 认证仍被视为采购周期的必备环节，如今供应商需定期提供认证，这一趋势将延续至2024年——随着认证分析流程的简化和解读自动化。至于"n级供应商"，需说明的是：这指的是供应商的供应商。 关于终端方（end parties）的具体预测我们稍后详述。当前趋势是：企业正寻求关键供应商的深度洞察——即便无法自行评估，也需掌握其身份信息，更重要的是验证第三方供应商是否履行了尽职调查义务，即使企业自身不直接执行。

因此，当你将所有这些数据点——评估、网络安全、访问记录等——整合在一起时，最终会获得极其清晰的上下文洞察，并构建出更丰富的第三方生态图景。随着不同角色通过项目融合模块消费数据，这种洞察正变得越来越有价值。 我想花点时间深入探讨其中一条路径，因为它与我们预言的地理政治洞察力密切相关。历史上，这在第三方风险管理流程中并非核心关注点——至少从运营韧性角度看是如此。但新冠疫情让众多组织意识到必须为大流行等事件做好准备。举个例子来说明： 事实上，在我担任审计员的早期，当需要为猪流感等突发事件制定应对流程时，许多组织都会不屑一顾地认为：这些方案放进档案柜就够了，永远用不上。 然而疫情来袭后，大流行病成为首要关注点，我们突然发现多数供应商根本未采取实质行动。此后，运营韧性领域的关注度显著提升。我们预测到2024年，基于地域特征的地缘政治与环境格局将成为基本门槛，这些数据点将被纳入我们对第三方供应商的追踪与响应体系。 但这种方法存在固有缺陷：难以全面预测或识别第三方运营的所有本地化站点。虽然总部位置通常在财务报告、UBOS等系统中清晰可查，但本地站点往往涉及商业机密，有时供应商仅披露零星分布的小型办公室，而非实际使用的生产基地或第四方设施。

因此这虽是挑战，但人们将从更务实的角度看待此事——即着眼于那些明确声明在特定区域运营的实际供应商，并聚焦可能产生切实影响的因素。 倘若某区域持续战乱、洪灾频发或罢工不断，人们需要通过通知系统清晰掌握：该区域内74家供应商受地理限制影响。这才能及时应对供应链中断或数据中心韧性受损的危机。 在问题公开化前，企业必须能向高管及客户给出解决方案。具体如何实现？通过整合各类监控方案来获取深度洞察。 虽然无法实现全覆盖（部分子站点仍存在盲区），但这将是迈向2025、2026年及更远未来的起点——届时人们将逐步掌握应对地缘政治事件的主动权。这一切都与更广泛的数据融合思维密不可分。 行业对数据的需求将持续旺盛。企业各部门都渴望构建综合性数据画像，并从中获取价值——这种需求不会改变。因此第四点观察转向"三A"领域：高级分析与聚合分析。 我所指的是：人们正针对日益庞大的数据集构建更灵活的报告能力。这意味着通过整合第三方扩展环境中的海量数据，我们能获得更丰富、更优质的分析数据。展望2024年，我们预计以人为本的报告将日益凸显，具体而言将围绕三大核心领域进行细分：

除此之外还有一些外围群体，比如供应商本身，当然还有从业者。但高层报告的核心受众通常有三类：在多数情况下推动项目的首席信息安全官（CISO）、更广泛的业务领导层，以及董事会。 这些群体是2023年末的推动力量，但我们预计受众将开始向其他角色扩展。人们关注且持续关注的焦点仍是风险——第三方风险格局如何？这点很明确。 具体而言，需关注与风险相关的外部威胁。这些威胁如何影响合规态势？最终，我们实际拥有何种防护措施？当整合这四大要素——它们本质上是解读更广泛数据集的途径——便能构建真正的第三方风险管理体系。 我们预计这种趋势将持续深化，并日益以人为本。董事会对此的解读将与采购总监、法务主管等职能部门截然不同。这种转变正由成熟度提升所驱动——我们观察到人们对流程追踪的期望日益增长，而非仅关注供应商本身。 过去思维模式往往以供应商为中心，但如今人们开始关注整个流程中的覆盖范围、内容、角色职责、整改措施及治理机制。历史数据显示，初次接受成熟度评估的客户通常起点在1.7分左右，成熟客户多维持在3分低位，从流程角度看接近4分的案例极为罕见。 我们预测到2024年底，整体成熟度曲线将普遍提升0.3至0.4个点。考虑到后续阶段的难度递增，这已是相当显著的跃升。

推动这一趋势的核心驱动力在于：随着工具与能力的普及，人们将能够大规模与供应商互动，并通过自动化等手段分析更广泛的数据集，进而进行细分，从而做出更明智的决策。我们认为另一个将日益丰富的领域是行为洞察。现在就让我们开始探讨这方面的深度分析。 我们预计到2024年，越来越多人将把行为洞察纳入其报告指标体系。何谓行为指标？我指的是供应商如何互动、企业如何运作——这涉及人类因素。 我明白"人性化因素"这个词在风险管理领域已被过度使用，但归根结底，超越被动监控层面，当我们与供应商沟通时——无论是询问"如何解决问题"、"当前进展如何"，还是探讨"如何管理我们共同商定的KPI"——其回应方式本身就能提供大量有价值的信息。我们我们期待这种评估不再局限于单个供应商层面。到2024年，诸如分析模型等技术将开始提供丰富的数据，基于用户在项目中的行为模式进行预测和解读——这从我们的角度看相当令人振奋。因此我想再次回到2023年的评估数据。 需要强调的是，推动2024年变革的关键痛点在于：当我们考察用户对项目的整体认知时，50%的受访者认为其TPR项目未能满足部门全部需求——这个比例相当高。另有40%认为风险评估未能有效贯穿整个风险生命周期。

浏览这份清单时无需赘述，您不难发现多数情况下人们普遍认为现有项目成效不足。其中关键驱动力在于能否有效利用数据进行报告，从而精准定位风险洞察点，锁定流程中的暴露环节。 请特别关注右下角的指标：仅43%的受访者认为现有方案能满足高管对第三方风险信息的更高需求。这一现状将持续影响至2024年，届时各类角色都将借助行为分析等手段，或通过更丰富的数据集进行深度分析，从而得出更精准的结论，进而提升项目质量与成熟度。 从我们的视角来看，这种演进趋势令人振奋。第五项观察：自然语言处理（NLP）。 尽管NLP技术在第三方风险管理领域已应用多年，但我们预计2024年将迎来若干变革。需要说明的是，该技术本质上是通过解读第三方风险管理文档（Word文档、PDF等），实现文本分析并采取相应行动。原理很简单。 迄今为止，该技术主要应用于相对低级的工作流程，例如仅识别特定关键词，而未能考量文档、段落、短语或条款等内容的情感倾向。但随着技术日趋成熟，2024年这一局面将迎来转变。 我们将见证越来越多的自然语言处理技术被用于从供应商提供的文档中持续提取数据。它将开始翻译其他语言的文件——这项技术终于达到足够成熟的程度，使我们能够信任部分输出数据。我们甚至会看到它开始填充评估表，分析特定信息集政策、条款等内容的情绪倾向。

然后将这些内容输入评估系统，即结构化的评估内容。我想这才是关键所在——自然语言处理技术在2024年将赋予我们核心能力，那就是赋予数据结构。 我们将处理这些非结构化文档，能够根据需求进行解读和转换。更重要的是，2024年我们将看到越来越多基于此构建的实际行动。 单纯从文档中提取数据固然不错，但若未能将其转化为规范化的操作和自动化流程，实用价值便大打折扣。如今该技术已臻成熟，2024年我们将见证这种转化成为常态而非特例。 具体而言，例如当有人提供SOC 2报告、ISO认证或信息安全政策时，系统能自动提取"控制失效"等风险要素并建立对应风险；提取范围组件后，根据响应内容自动生成固有风险评估或风险剖析；甚至能将上传的日语文档（即使我不精通日语）进行翻译，从而为第三方程序带来切实效益——而这一切无需人工干预。这些都是第三方项目可量化的效益。若能省去人工操作直接获取这些成果，自然值得推广。当前推动NLP应用的驱动力之一在于：预计到2024年，越来越多的第三方供应商将主动提供自我认证材料——无论是经外部核证的SOC 2报告、高可信度认证或其他形式。 但越来越多的企业开始抵制。 因此我们预计分析工作将基于这些文件展开。当前面临的挑战在于，这些文件本身往往格式迥异——SOC 2报告可能长达百页，也可能仅有二十页，其覆盖范围差异显著。直到最近，还需依赖人工逐份解读材料并提炼出具体风险。

进入2024年，人们几乎可以预期这项技术将不再是必需品。因此，我们最初会看到人们利用它来识别问题、控制故障和风险。随着时间推移，它最终将转向填充评估内容和平台内容。在某些情况下，自然语言处理与我们的第六项观察——即预测——相辅相成，而这又与生成式人工智能紧密相关。 我之所以将生成式AI列为预测，是因为它在第三方风险讨论乃至全球议题中已如此普遍突出，以至于提及它都像是在跟风。 不过我先展示一张与之相关的有趣的Gartner技术成熟度曲线图。人工智能包含诸多组成部分，而生成式AI通常处于他们所称的"虚高期望峰值"阶段。 随着时间推移，你会明显看到它逐渐滑入所谓的"幻灭低谷"，最终才能进入"生产力平台期"。这种发展轨迹在大型生成式AI领域尤为适用——尽管许多人热衷于大型语言模型等技术并对其赞不绝口，却未必愿意将其应用于第三方风险管理项目。 在2024年到来之际，审慎跟进比盲目追逐首款产品更为明智。随着2023年渐行渐远，我们预计各方将逐步接纳生成式AI，并在第三方管理方案中融入其部分功能。我们深知人们普遍关注三大核心领域： 首先是AI幻觉——系统自信地提供明显虚假信息，这对风险管理显然有害。其次是认知偏差——因训练数据模型与实际需求不符，导致AI给出错误结论。这种情况虽非幻觉，但同样具有破坏性。

这可能只是在重复既定说法，毕竟这是我们被教导的内容。尤其当我们将人工智能指向互联网这类海量数据集时。 我确信自己不会轻信网络上的所有内容，这点值得庆幸。而2023年最常听闻的担忧莫过于数据安全。人们虽对现有AI技术心存顾虑，但归根结底，我不会轻易交出个人数据——这确实是极其合理的出发点。 我们预测到2024年，随着组织、供应商和技术开始真正分解大型语言模型与生成式人工智能，构建真正适用的解决方案，人们将对这三项标准更加接受。其运作方式是：生成式AI能力将被纳入技术栈中其他技术的管控体系，接受同等标准的约束与预期。 具体而言，包括针对大型语言模型的自动化漏洞扫描、数据集异常检测、基于输出结果的安全分析、针对提示注入的漏洞悬赏计划，以及员工培训以掌握应用场景。当然，当系统出错时还需进行取证重建。这些措施与技术栈中其他技术的应用并无本质差异，我们预计2024年将全面普及。 我们从中获得的启示是：当人们逐渐熟悉生成式AI能为其创造的价值时，便能开始转向真正理解其优势所在，而这种转变将在2024年持续推进。从我们的视角来看，2024年生成式AI的发展方向因对象而异。 对于第三方服务商而言——他们始终致力于简化工作流程——我们预期将看到更多基于NLP技术的文档映射评估填充功能。提供趋势预警服务，帮助用户了解自身与同行的对比情况，无疑是激发参与度的有效手段。此外语言翻译功能也将持续发展。

因此，生成式人工智能与自然语言处理技术的结合，将在2024年使这些能力切实融入第三方程序。若从用户角色的角度切换视角，当我们开始关注实践者群体时，他们对技术应用的期待将略有不同。到2024年，实践者们将开始运用情感分析等技术手段。 例如：供应商实际传达的信息是什么？这份报告的真实含义是什么？矛盾检测——当前数据是否与我们构建的综合档案存在冲突？当我们讨论基于数据融合模型的聊天机器人等前期预测时，这些矛盾点尤为关键。那么生成式AI如何真正助力流程自动化、精简操作步骤，并最终通过情感分析实现风险报告生成等功能？ 所有这些都聚焦于项目活动中的效率与一致性，以及其工作流的优化。当我们转向2024年那位非常满意的高管时，为何他们会如此满意？我们将看到越来越多类似项目咨询的服务——类似我们为第三方提供的趋势咨询。高管们将试图理解其项目与同行的对比情况，类似于成熟度评估。 主动事件检测将日益普及——正如我们通过数据集发现地理问题后，主动协调70-80家供应商处理问题，而非被动等待其响应。 合规映射自然涉及他们在合规与监管环境中的表现——我稍后会详细说明。更广泛的同行洞察同样重要，项目咨询服务将聚焦其工作流与流程，基于垂直领域特征（无论具体行业）提供更精准的同行对比分析，帮助他们理解自身处于行业中游水平。这始终是历史性主题：高管们不愿垫底， 也不必非要领先——这取决于所在行业。他们希望稳居健康的中游位置，践行良好实践（虽非最佳实践，但总体上是优质实践）。

生成式人工智能将能通过基准测试支持这一进程。我们预计生成式AI将在2024年开始引入大量相关技术。初期焦点将集中于外部大型语言模型，这类模型最终会向外部传输数据，因此存在数据安全方面的潜在风险。但随着时间推移，我们预测将出现更多本地化模型。 这些模型可能基于AWS、Azure等平台实现本地化部署，数据也保留在这些环境中。我们将见证更优质的生成式AI处理能力在受控环境中对受控数据集展开运作。这标志着我们思维模式的转折点——从预期与幻灭阶段，逐步迈向生产力稳定增长的阶段。根据当前预测，这一转变可能出现在2024年下半年。 在生成式AI之后，我们的第六项预测将转向第七项——监管政策。这始终是我们关注的焦点，相信各位也深有体会：每年我们都预测监管将趋严，这可谓稳妥之选。 我猜在座各位都不想听到这个消息。但我们预期的是监管管理将变得更智能——这才是真正将动态影响TPRM流程或项目的变革点。具体而言，现有监管体系令人沮丧。 虽然有人对此情有独钟，但我个人觉得相当令人沮丧。当你开始研究那些与法规相关的缩写和简称——这些在年内乃至明年还将持续演变，正如我提到的欧洲出台的反贿赂、反腐败法规—— 我们预计各方将寻求简化法规应用流程，具体方式包括：无论是采用被动监控还是评估机制，都将追求能便捷映射新规的解决方案。

2023年我们最常遇见的情况之一，就是有人向我们及内容团队询问："嘿，新规要出台了，你们准备怎么应对？"人们不愿主动追问这些问题，他们期待信息源和行业社群能主动告知——比如提前三个月提醒反贿赂腐败法规即将更新。 "这些是你们需要注意的要点，而你们的合规计划将取决于此。"2024年的运作机制将更具前瞻性——通过主动机制将法规追溯性地应用于数据集。假设新规明日生效， 我们已知需要通过今日讨论的机制追踪47项独特标准。人们将能快速追溯审查当前业务环境的合规状况，无需重新评估或开展被动监测，更不必耗费精力在框架中构建新管控措施。 预期是最终能实现部分流程自动化，从识别合规与违规的角度来看，合规自动化在2024年必将日益凸显。若非如此，欢迎明年继续关注并参与聊天区讨论。此处特为关注监管层面的听众提供参考建议。 Prevalent公司确实提供第三方风险管理合规手册。这份参考指南涵盖当前主流框架与法规，内容相当详实。若您尚未接触过，欢迎随时联系我们获取。 我们很乐意与您分享并详细探讨。这份指南极具参考价值，且会随着新规出台持续更新。毕竟法规要求始终如影随形，贯穿我们生活的方方面面。

不过这与更广泛的生命周期相关，因为不同角色都要求我们在同一程序中追踪这些法规。这便引出了我们的第八项预测——聚焦于整合与同步性。之前练习时，我尝试多次才说出"同步性"这个词。所以这次能一次说对，让我对自己颇为自豪。感谢各位注意到这点。 在此视角下，集成与同步性正由生命周期驱动。诸位所知的生命周期包含供应商筛选、入职流程、固有风险评估等环节。我们需要串联起这些组件间的关联点。这正变得日益艰难——当实际审视标准工作流时，尤其面对特定流程时：供应商是否重要？我们该如何操作？ 我们进行监控，分析结果，发送评估报告，与业务部门复盘，基于结果开展分析，生成报告，对报告进行验证，甚至执行现场审计等等。是的，这只是更广泛生命周期中的一个子环节。 虽然它相对密集，但终究只是子环节。当我们整合这些工作流时，串联所有环节后，你会发现多种技术在不同业务领域承担不同功能——无论是采购软件、财务开票系统，还是绩效SLA与运营韧性组件。 我们预期相邻系统间的集成需求将日益增长，而推动这一趋势的核心驱动力在于市场生态的成熟。随着自动化等技术的引入，技术本身也在不断进化——用户已开始构建特定技术领域的供应商生态与技术版图。他们期望将这种模式复制到所有其他系统中，从而在整个技术栈中实现价值最大化。

我们亲眼见证了系统间集成与连接需求的显著增长，且预计这一趋势不会消退。过去几年，我们讨论过技术向单一系统融合的发展路径，对于功能相对简单的程序而言，这无疑是合乎逻辑的步骤。 但对于大型企业跨领域的成熟工作流和流程，我们看到越来越多的期望是将TPRM生命周期嵌入整个技术体系。因此我想转入第九项观察与预测——持续能力。 此前我已多次提及被动监控。当我们审视被动监控时，可将其划分为IT安全领域、我们讨论过的业务监控数据集，以及作为子集的财务法律数据集。这些领域在某些情况下几乎每日更新——当然破产等事件并非每日发生——但当综合分析这些数据时，某些洞察确实需要每日汇总。 我们观察到采购部门对实时洞察的需求日益增长——尤其需要近乎实时的供应商违规行为或新兴问题预警。此前这类需求主要集中在网络安全领域，但到2024年，采购驱动的业务、财务、法律领域将迎来持续性洞察的全面聚焦。 与此相关的是，当企业开始构建深度持续监控能力时——以Prevant为例，其系统实时追踪90万个不同站点，覆盖5亿用户档案及840亿商业监控事件——这种持续能力将积累海量数据。 因此，当我们早前讨论对高级聚合分析的预测时，这将形成良性循环：通过持续能力引入更多数据点，进而催生更高级的分析能力——这几乎是自我实现的预言。

人们渴望每日洞察。这意味着他们能获取更多事件，获得更广泛的覆盖，而这将逐步转化为我们其他预测的依据。现在进入今日第十条也是最后一条预测——情境。情境始终至关重要，但要在庞杂的第三方生态中进行整合却异常困难。在此语境下，情境对我们而言主要包含两层含义： 其一是理解内在风险或供应商画像分析——包括供应商身份、业务性质、运营动机、实施方式等维度，这些标准最终帮助我们合理调整第三方供应商的规模与评级。 人们开始期待采购周期能建立更完善的机制来预先填充这些信息。具体而言，当前大量第三方供应商清单和库存数据都缺乏这些关键信息。越来越多的采购部门开始在采购周期或合约续签时收集这些数据，因为他们需要这些数据来支撑业务。 展望2024年，我们将看到更多人运用这些数据，采购部门将主导数据收集工作。由此可预见2024年的趋势：供应商管理将更趋务实。例如，假设我们生态系统中有15,000家供应商。 我们可能需要进行15,000次供应商评估与基准测试。此举应能将数量缩减至约4,000家。其中关键供应商需接受互动式评估，而基于评估结果，可能还有更小部分供应商需要持续监控。根据风险管理迭代追踪的需求，该数量可能进一步缩减。 最后仅剩极少数真正关键的供应商需要持续的常规事件管理。此后评估层级将逐步收窄，最终可能仅剩验证步骤，个别情况需进行现场审计，以及处理若干突发性零日漏洞事件。但供应商体系的整体规模应呈现出金字塔式递减结构。

你知道15,000天数意味着15,000应该会逐渐消失在2024年。 我们预计通过分析和拆解工作，将逐步构建金字塔式的第三方生态体系及库存管理，这实际上将推动我先前提及的第n方、第4方发展——多年来业界对此有所期待，即终将涉及第n方。但我们认为2024年仍无法实现对多层级终端方的全面索引与评估。 这在实践中并不现实。 但我们将开始看到人们意识到这确实是个问题，并开始聚焦特定的第四方目标。具体而言，我们需要思考：哪些是真正关键的供应商？是否存在需要重点关注的集中风险第四方？哪些会影响我们的隐私政策？未来可能会有部分第四方进入基础尽职调查范围，深度可能仅涉及一层。 某些情况下，第三方仍将承担代为履行的责任——这基本符合当前状态，但2024年将出现更多针对第四方的专项工作。综上所述（51分钟内信息量庞大），我们提出的核心预测是：TPRM资金投入仍将是基本门槛。 我们将见证项目融合趋势：多学科、多业务负责人协同合作。随着数据集扩展，数据融合也将加速推进。这些扩展的数据集将支撑高级聚合分析，其中行为分析将在年底前纳入体系。自然语言处理技术将成为自动化与标准化流程的常规组成部分。

我们将看到人工智能技术融入自动化流程，监管体系更主动地将其与现有环境对接，持续推进与邻近技术的整合，实现对供应商近乎实时的监控能力，以及在供应商分析与管理中保持务实态度。 归根结底，这意味着我们将在2024年见证既往奠定的良好基础持续进化——通过增强自动化、扩大数据集实现更优质的实时报告，减少对无关事项的投入。这包括优化供应商规模，并为关键人员提供其真正关注的个性化仪表盘与报告。 我将稍作休息，接下来请可爱的斯科特·朗简要介绍几项可能在此提供帮助的组件。斯科特。

斯科特·朗：非常感谢，阿利斯泰尔。我现在要共享屏幕了。好了，搞定。太棒了。好了。各位，感谢大家坚持观看至今这53分钟的分享——阿利斯泰尔确实分享了大量卓越的最佳实践、行业预测和深度见解，这些都将助力我们制定新年度的TPR计划。 我知道现在正值预算季，紧接着就是验证季。或许我们甚至已经完成了预算制定。各位正着手规划项目，此时掌握市场关键趋势和动态，将为你们的决策过程提供有力支持。 我打算花几分钟时间，从我们的视角阐述如何有效助力各位。简要说明后即可进入问答环节。我们认为，第三方风险管理计划应实现三大目标：首先是获取决策所需的数据。

你知道，很可能你们的信息是孤岛式的，不同部门使用不同的工具，比如可能还在用电子表格或其他低效的手动流程来收集第三方供应商的内部控制信息。 而这些信息一旦收集完毕，就会立刻过时，在两次评估之间根本无法及时更新。这确实是个难题。 我理解企业在第三方风险管理中追求的第二大目标是打破信息孤岛、提升团队效率。正如艾利斯特在演讲初期展示的幻灯片所示：尽管信息安全团队通常负责执行第三方风险评估（当网络安全是主要驱动因素时），但采购团队才是实际关系维护方。 如果高管和业务负责人使用不同工具、流程和系统，彼此系统互不兼容、缺乏协作，这显然不是成功的良方。实现全组织范围的深度整合与流程一致性才是理想目标，这将助力达成第三项目标——即随时间推移不断优化和扩展项目。 获取优质数据、打破团队壁垒以提升协作效率，并实现项目的持续进化与规模化——这正是我们期望通过第三方风险管理项目为您达成的目标。若我们能为您提供解决方案，将充分体现这一愿景。我们认为第三方风险在生命周期的每个阶段都具有独特性。 这不仅是发送评估问卷、获取风险评分、进行风险分级、实施整改后便草草了事。它也不止是签约前的尽职调查。这是一个贯穿始终的持续过程——从您寻找并选择新供应商开始，直至最终终止合作关系。

我们再次看到每个阶段都存在独特的风险，而我们能帮助自动化识别这些风险的过程——发现风险、采取应对措施、完成闭环处理，最终降低企业面临的残余风险。归根结底，这涉及三项核心价值：首先是为新供应商入驻提供更简洁高效的流程，建立统一数据源，并构建全企业范围的供应商管理机制。 其次，优化流程补足漏洞，完善当前可能存在的风险覆盖缺口，并实现团队在整个生命周期中的协同统一。我不再赘述，这些正是Prevant平台通过六大风险类别为您捕捉管理的范畴——无论是通过平台内置评估，还是结合第三方风险监测数据与评估反馈进行关联分析。 归根结底，我们提供的是三项核心服务组合：其一是专家支持——即专业团队。若您选择此方案，我们的托管服务团队将为您承担供应商入驻、风险评估、整改执行及全生命周期管理等繁重工作；您亦可自主使用平台。 其次，我们解决方案的核心在于海量数据集。系统内置逾五十万个独立信息源与用户档案，可即时跨多种风险类型进行查询。 第三，所有功能均整合于平台，助您实现顶尖级别的分析、报告与工作流管理，最终为客户或供应商达成特定层级的整改目标。以上是简要概述，现在将话筒交还梅丽莎主持问答环节，随后我们将结束本次会议。梅丽莎，请开始。

梅丽莎：太好了。谢谢你，斯科特。嗯，我这就启动第二轮也是最后一轮投票。两秒后你们就会看到弹窗。我很好奇各位是否也在推进TPR和项目规划。我知道斯科特提过预算问题，现在大家都在敲定明年的预算，说不定你们也正忙于此。 嗯，请如实回答。我们会在24小时内（可能更早）跟进。我们还有几个问题——聊天区有些问题我正逐步处理，问答区也有几个。Alistister，你能否挑选一个最有价值的问题？我们只剩一分钟了。

阿利斯泰尔·帕尔：是的，当然。有几个观点关联到第三方风险管理（TPRM）的评论，我认为这种区分正演变为第三方生命周期管理。所以，我简单看几个例子——确实有不少——感谢各位。不过你们是否认为TPRM工作流等同于包含供应商管理？部分而言是的，可以说两者存在重叠。 展望2024年，预期将出现演变趋势：供应商生命周期管理将成为重要组成部分。风险管理仍将存在，但这不意味着信息安全团队和风险管理团队会掌控整个流程。这意味着各团队将根据当时最有效的协作机制，在不同程度上实现协同运作。 风险管理团队通常需要更精细的风险分级与持续追踪机制，其关注细节程度高于其他团队。但第三方风险管理将逐步演变为第三方全生命周期管理，两者界限将随时间推移逐渐模糊。我们已观察到这一趋势并将持续关注。问题提得很好，时间所限，我将话筒交还梅丽莎。

梅丽莎：好的，时机正好。现在是整点时间，各位。我想特别感谢艾利斯特再次加入我们，也感谢斯科特最后的精彩总结，一如既往。 如果各位有任何问题，我会把邮箱发到聊天窗口。所以，就在那里。嗯，你们也可以使用我们网站的聊天功能，也能直接联系到我。希望能在你们的收件箱里看到一些问题，或许下周的网络研讨会也能见到大家。各位保重，谢谢。再见。