2021 年第三方风险管理研究:网络风险表面下隐藏着什么?

我们的年度第三方风险管理研究表明,大多数公司没有在供应商风险生命周期的关键阶段跟踪风险。您有吗?下载报告,为您的安全航行导航。

Mitratech 员工
Mitratech 员工 四月15,2021 6 分钟阅读

如果您的第三方风险管理(TPRM)计划只关注网络安全,那么您只能看到部分风险,也就是通常在水线以上可见的风险。但在表面之下,还有更多的风险存在。例如,你知道供应商是否满足服务水平协议(SLA)的要求吗?您能否评估其道德和反贿赂与腐败(ABAC)政策的力度?您的供应链合作伙伴的社会和环保意识如何?

Prevalent 最近就其组织的第三方风险管理重点领域、利益相关者和挑战对高级决策者进行了调查。我们的目标是了解第三方风险管理计划当前的实际状况。我们发现,许多公司都在努力识别潜伏在网络安全表象下的破坏声誉的商业风险。

在《2021 年第三方风险管理研究》(Prevalent 2021 Third-Party Risk Management Study)一文中,我们介绍了调查的全部结果,并描绘了当今在供应商和供货商风险的冰水中航行的策略。这篇文章分享了研究的主要发现,并概述了在整个第三方生命周期中扩大风险可见度的指导原则。

2021 年第三方风险管理研究的主要发现

今年的研究结果主要有四点:

组织机构忽视重要风险,后果不堪设想

2020 年的两大事件--COVID-19 大流行病以及社会和种族正义运动--与网络安全关系不大,但却引发了重要的第三方风险活动。事实上,83% 的受访者表示,大流行病促使他们的组织更加关注第三方风险。然而,虽然大流行病给供应链风险管理供应商绩效管理带来了前所未有的挑战,但只有不到一半的受访者在积极跟踪供应链和绩效风险。

与此同时,正在进行的正义运动强调了与具有健全的多元化和环境、社会和公司治理政策的合作伙伴合作的重要性。尽管如此,研究发现,很少有公司积极跟踪与劳工标准、环境和人权相关的第三方风险。

应关注第三方风险生命周期的更多阶段

每种第三方业务关系都遵循这样的生命周期:合同前尽职调查、签约、入职、风险评估、绩效管理和离职。有趣的是,受访者提到的第一大挑战是缺乏合同前尽职调查。更令人惊讶的是,59% 的公司表示,他们在离职时没有积极评估第三方风险,这可能会为数据暴露和违反合规性打开大门。还需要进一步证明吗?问问摩根士丹利就知道了。

采购团队和业务团队都在努力争取 TPRM 席位

长期以来,第三方风险管理一直是 IT 和安全团队的职责。我们的研究证实了这一点,50% 的受访者表示 IT 和安全团队在其组织中拥有第三方风险管理。55% 的企业在过去一年中增加了安全方面的自主权。问题是,只有 22% 的受访者认为采购团队的自主权有所增加。这一趋势令人担忧,因为风险越来越多地超出了典型的网络安全责任范围。

大多数组织不想独自应对第三方风险

70% 的受访者表示,外包是管理第三方风险的首选方法。为什么呢?因为大量从业人员(42%)仍在使用电子表格作为供应商风险评估的主要机制,而 65% 的从业人员对这种方法并不满意。受访者还认为,需要更广泛的第三方风险情报来源是实现 TPRM 成功的关键。

2021 年第三方风险管理研究信息图表

点击预览下载 PDF 格式的完整信息图表。

使第三方风险管理计划保持良好状态的建议

这里有四(4)项建议,可帮助您更好地规避第三方风险:

#1 - 将评估扩展到网络安全之外

供应商风险管理不仅仅是一个安全和合规问题。许多类型的风险都会影响企业生产、管理和分销商品与服务的能力。因此,安全团队和业务团队必须共同努力,扩大供应商风险评估的范围,使其包括网络安全之外的两个领域:

  1. 有关法律行动和制裁、行政领导层变动、政治公众人物 (PEP)、负面媒体、国有企业、违反外国资产管制处规定的行为以及其他潜在网络安全或合规问题指标的声誉情报
  2. 财务信息,包括业绩、营业额、损益、股东资金和其他指标。

寻找能将监控数据规范化并与风险评估结果相关联的解决方案,以升级潜在风险并确定建议的补救措施。纳入广泛的风险情报来源将有助于安全和采购团队做出更明智的决策。

#2 - 缩小业务与 IT 之间的差距

分散的第三方风险评估方法会留下漏洞,而漏洞会带来风险。您可以通过TPRM 平台解决方案统一 IT 安全和业务团队,该解决方案可提供从供应商简介和合同、评估结果和合规性报告到性能指标和修复日志等所有内容的集中来源。使用单一解决方案可确保整个组织使用相同的数据做出基于风险的决策。

#3 - 在第三方生命周期的每一步管理风险

在供应商关系中,安全、合规性和运营问题随时可能出现,因此在第三方生命周期的每个阶段应对风险非常重要。请务必下载完整的报告,了解在供应商风险生命周期的每个步骤中应注意的事项,包括:

  1. 采购和遴选
  2. 接收和入职
  3. 固有风险评分
  4. 供应商风险评估
  5. 持续风险监控
  6. 服务水平协议和绩效管理
  7. 离职和终止

#4 - 将困难的工作外包

研究结果表明,TPRM 的首选方法在某种程度上包括外包。第三方风险管理专家可以代表您管理供应商生命周期--从供应商入职和收集证据,到审查评估的完整性、识别风险和提供补救指导。因此,您可以通过有效扩展 TPRM 计划、降低供应商风险和简化合规性,在危险的水域中安全航行,而不会给内部员工带来负担。

如何规避第三方风险?

我们发现,大多数公司在供应商风险生命周期的不止一个阶段遗漏了关键风险,使公司暴露在看不见的风险中。与我们调查的受访者相比,您的第三方风险管理计划是如何应对这些挑战的?下载完整结果查看信息图表,为您自己的第三方风险管理实践设定基准。

如需进一步了解 Prevalent 如何帮助应对第三方风险管理挑战,请立即申请演示我们的平台。

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. All rights reserved.

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. All rights reserved.