2025 TPRM 研究:主要结论和建议

探索 Mitratech 2025 TPRM 研究的关键见解,揭示人员缺口、监管影响、网络安全、过时工具和谨慎采用人工智能的重要趋势。

Sarah Hemmersbach
Sarah Hemmersbach 6月26,2025 5 分钟阅读 聆听人工智能概述
2025 年第三方风险管理研究_GRC

2025 年 Mitratech 第三方风险管理(TPRM)研究报告传达了一个明确的信息:第三方风险格局正在演变成一个复杂、相互关联的生态系统--在这个生态系统中,每个供应商、供货商和合作伙伴都扮演着至关重要的角色。随着这个生态系统的发展,企业面临着越来越大的适应压力。

这项研究对不同行业和公司规模的专业人士进行了调查,结果表明,该行业正处于关键的十字路口,监管环境的变化、技术的适应性和运营的不平衡都威胁着系统的健康。

下面,我们将探讨该研究的主要发现及其对当今第三方生态系统状况的启示,以及具有抗风险能力的组织如何营造更强大、更平衡的风险环境。

调查结果 1:人员不足,准备不足:资源危机

在任何生态系统中,看护人员的短缺和无序物种的过度生长都会导致失衡。在 TPRM 中,近 70% 的团队反映人手不足,现有团队规模与理想团队规模之间的差距接近 30%。因此,企业只能管理约 40% 的供应商。

就像一片无人管理的森林中存在着相互竞争的生命体一样,缺乏协调也会加剧风险。只有不到 25% 的计划是 "高度协调的",近一半的计划将部门孤岛视为主要障碍。风险所有权分散:信息安全和风险团队负责监督战略,采购部门负责管理供应商数据库,业务部门负责维护日常关系,通常很少有相互交流。

影响:如果没有统一的管理,第三方生态系统就会变得错综复杂。要想蓬勃发展,企业必须在整个供应商生命周期中协调角色,促进共同所有权。

调查结果 #2。监管压力重塑 TPRM 格局

就像天气模式的突然变化会破坏自然栖息地一样,监管审查也在改变 TPRM 环境。合规团队曾经是外围的观察者,现在则是生态系统的监管者,他们在 TPRM 中的比例从 2023 年的 42% 猛增至 2025 年的 88%。

这种日益增长的影响力正在推动更广泛的问责制和更好的数据管理。企业在应对围绕数据隐私和运营弹性不断变化的监管环境时,正在重新平衡内部责任,扩大对供应商生态系统的监督。

含义:监管不再是背景噪音,而是气候的主导力量。计划必须将合规性融入其运营基因,以确保适应性和生态系统的长期健康。

调查结果 #3。网络安全仍占主导地位,但风险范围正在扩大

正如生态系统依赖于关键物种一样,网络安全仍然是监控力度最大的风险(85%)。但是,风险经理们现在正在扩大监控范围,将数据隐私(79%)、合规性(70%)和业务连续性(64%)也纳入监控范围,这就承认了现代风险的共生和相互依存性质。

信息安全、风险管理和数据隐私等部门正在成为生态系统中更多参与的管理者,这反映了向管理整个组织范围内更广泛威胁的转变。

影响:TPRM 必须不断发展,以反映风险的生物多样性、扩大能见度并在整个企业建立更强的部门间合作。

调查结果 #4。手动工具削弱了洞察力和事件准备能力

在生态系统中,监测工具不足会导致错过失衡的早期迹象,无论是人口中疾病的爆发还是水质的变化。在 TPRM 中,情况也是如此。尽管复杂性不断增加,但仍有 41% 的组织依赖电子表格来评估第三方。虽然 60% 的企业认为这些工具能满足基本需求,但只有 29% 的企业能确定供应商生命周期每个阶段的风险,只有 15% 的企业认为自己已做好应对第三方事件的准备。

这些拼凑起来的工具往往缺乏整合,限制了可视性,破坏了灵活性,阻碍了前瞻性管理。

影响:过时的工具相当于用放大镜监控森林。要建立一个有弹性、适应性强的风险生态系统,企业必须投资于能够提供全面、实时见解的集成平台。

调查结果 #5.人工智能在 TPRM 中的应用:谨慎乐观的态度遭遇实施障碍

人工智能正在成为 TPRM 生态系统中一个强大的新物种--具有自动执行任务、加快洞察力和集中风险数据的潜力。如今,14% 的项目积极使用人工智能,65% 的项目正在探索其功能。

然而,谨慎依然存在。对数据安全、算法不透明和缺乏人工监督的担忧意味着许多组织仍在试水。不过,基础工作正在铺就:目前只有 12% 的企业认为缺乏人工智能战略是障碍,而 2024 年这一比例为 49%。

影响:人工智能是TPRM栖息地中一种前景广阔但又十分敏感的生物。要想在不破坏平衡的情况下充分发挥其潜力,谨慎引进、管理和监测至关重要。

重新平衡第三方风险生态系统

2025 年度第三方风险管理研究内幕

阅读报告全文

展望未来:互联风险管理的崛起

研究显示,该行业认识到了相互关联、共生的风险生态系统的价值。具有前瞻性的组织有

  • 通过跨职能治理打破各自为政的局面
  • 合规纳入风险工作流程,作为结构性保障措施
  • 利用自动化和人工智能增强生态系统的复原力
  • 扩大风险监督范围,考虑更广泛的 "环境 "威胁

关于建立具有复原力的 TPRM 计划的建议

为保持第三方生态系统的平衡和可持续性,组织应考虑以下最佳实践:

1.建立跨职能治理

将风险、合规、采购和 IT 安全统一到具有明确所有权协议的共享框架下。

2.深思熟虑地操作人工智能

从小处着手,在低风险领域应用人工智能,同时制定透明、监督和安全政策。

3.自动弥补资源缺口

找出人工操作的瓶颈,优先实现评估、监测和报告功能的自动化。

4.将合规纳入风险工作流程

将监管要求纳入您的尽职调查监控流程,从而领先于审计要求。

5.采用分级风险评估

按风险等级划分供应商,并利用传统和动态情报来源进行适度评估

了解 Mitratech 如何帮助您恢复和保护 TPRM 生态系统

预约演示
第三方供应商风险管理生命周期:权威指南

您的组织在供应商关系的每一步都会遇到不同的风险,因此制定一项 TPRM 计划非常重要...

Mitratech 员工
全球人工智能法规及其对第三方风险管理的影响

世界各国政府和标准机构已开始通过新的合规法规和框架来应对人工智能技术,这些法规和框架将...

马修-德尔曼
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。