第三方风险:从四面八方袭来
贵组织如今可能比以往任何时候都更能以更少的内部员工完成更多工作。这在很大程度上得益于外部供应商、服务商及其他第三方合作伙伴的支持。当然,外包虽带来显著效益,但也可能给企业带来巨大风险。
违规行为的既定路径……以及监管措施
众所周知,每与一家第三方合作,就意味着数据和隐私泄露的风险随之增加。每天都有各行各业的企业为此付出惨痛代价,通用电气、万豪、塔吉特、斯普林特和 实验室公司
等企业不过是其中几个例子。结果如何?客户流失、罚款、处罚、信用监控费用——不一而足。 随着更多第三方泄露事件被受害者曝光,行业监管机构和政府部门也相继出台新规。加州消费者隐私法案(CCPA)、欧盟通用数据保护条例(GDPR)、美国国防部合同制造能力认证(CMMC) 等多项法规,都明确要求企业实施第三方风险评估和/或监控机制。
疫情引发新问题
数据、隐私和合规挑战本就令人夜不能寐,而新冠疫情更以前所未有的方式暴露了供应链面临自然灾害及其他(有时难以预见的)中断的风险。所有企业都不得不适应远程办公、紧急指令、健康风险、供应中断等新常态,并为此做出调整。 您的第三方合作伙伴如何应对这些挑战?这对您的业务产生了何种影响?未来可能出现哪些连锁反应?他们制定了哪些政策和流程来应对下一次挑战?
因此,随着企业日益依赖外包和虚拟化运营,全球环境日益充满不确定性,您如何才能有把握地预见并管理第三方风险?
第三方风险管理(TPRM)可能令人头疼
走艰难之路
过去,大多数企业采用人工方式管理第三方风险。这如同混乱而血腥的近身搏斗——评估人员仅凭电子表格武装,不得不向供应商狂轰滥炸式地发送问卷,随后又疲于追踪回复。这种模式不仅折磨评估人员,更让供应商不堪重负:他们不得不反复应对相同请求,面对不同客户的重复质询,一遍又一遍,永无休止。 难怪有34%的企业表示,完成对顶级供应商的评估需要耗时超过一个月。
遗憾的是,最新研究发现,50%的企业仍固守传统模式,仅依靠电子表格管理审计与控制流程。鉴于多数企业需对接数百家供应商,若采用人工方式收集第三方风险数据,即便投入大批评估人员,也难以获取完整、及时或具有实用价值的信息。
走的是艰难之路,但还有更多待办之事
而这仅仅是数据收集问题。假设您成功获取了关键供应商的反馈,接下来该如何处理这些数据?如何对风险进行评分、优先级排序和修复?又如何验证这些反馈的准确性? 这些信息是否与历史数据一致?彼此之间是否存在关联?是否与已公开的供应商风险事件(如已知数据泄露、暗网客户数据、法律诉讼、罚款等)相互印证?当董事会、监管机构以及所有令你夜不能寐的各方来访时,你准备好解答这些问题了吗?光是写这些就让我们压力山大!
因此,即便你成功收集了供应商的风险数据,向所有相关人员进行了汇报,并采取了实际行动,这仍非终点。一切都在持续变化:供应商来来去去,他们处理数据的方式不断改变,新的网络攻击和安全漏洞每日涌现。你的情报早已过时,必须定期更新这些工作。
鲍勃怎么样?
另一方面,你或许会想:"这些事我无需操心,那是[IT部门]的[鲍勃]负责的。"尽管如此,请务必将这份材料转交给鲍勃,但第三方风险对多数组织中的多个部门而言都是挑战。 而责任归属因人而异:37%的企业认为信息安全部门负责,22%归属IT部门,14%由风险管理部门承担,9%交由供应商管理部门处理,6%则归属法律/合规部门。当如此多部门牵涉其中,谁才是真正的责任主体?如何协调各方力量,在识别和降低供应商风险方面取得实质性进展?
我们明白:TPRM并不好玩
在理想世界里,我们无需担忧第三方风险带来的“包袱”。信息系统将坚不可摧且无缝衔接。供应商员工将如机器人般忠诚可靠。犯罪分子与敌对国家将不复存在。所有人皆为挚友。
这个世界并不完美。你显然需要供应商来完成业务,但同时必须保持清醒,意识到其中的风险。现实情况是,供应商生态系统具有有机性且难以预测,全球环境亦是如此。这使得第三方风险管理尤为棘手——有时混乱不堪,有时又只是枯燥的重复劳动。
这就是Prevalent存在的意义。我们致力于让第三方风险管理变得更轻松高效。
TPRM的普遍方法
普瑞维尔致力于革新您应对日益互联互通、相互依存且充满不确定性的世界所面临的风险。我们每天都在改变客户对第三方关系的认知、管理与治理方式。通过提供社区网络、服务及产品,我们助力企业更有效地识别、解读并降低第三方风险。
网络:即时获取供应商风险情报
我们的客户可访问涵盖逾10,000家供应商的海量按需风险情报库。这些情报库依托Prevalent社区的强大力量,从超过567,000个信息源中提供网络安全与商业风险的历史及实时洞察。借助Prevalent供应商风险网络,客户能即时获取供应商风险评分及支持性报告,从而快速扩展其全面供应商风险管理计划。 对于尚未纳入网络的供应商,Prevalent将根据客户需求完成全新评估。我们正在平台中构建自助服务功能,支持供应商自主完成并提交评估报告,这些报告可便捷地与自身客户共享。
服务:为您承担TPRM的艰巨工作
在Prevalent,我们已助力客户识别、理解并降低第三方风险逾十五载。 我们最初是一支咨询团队,致力于代表客户向供应商提出尖锐问题。如今,这支团队已发展为集研究员、审计员和客户成功专家于一体的全方位服务部门,专为客户解除第三方风险管理的繁琐事务。从供应商入驻评估、风险识别到整改追踪,我们全程代劳。您无需亲力亲为,即可获取所需情报与报告,专注于供应商战略制定与整体风险管控。
产品:统一供应商管理、评估与监控
我们的客户配备了当今最自动化、最智能的第三方风险管理平台。Prevalent第三方风险管理平台整合了 供应商管理、风险评估和威胁监测功能,提供全方位的风险视图。该平台可轻松实现供应商入驻;通过标准化及定制化问卷进行评估;将评估结果与外部威胁数据关联;揭示风险、确定优先级并生成报告;同时促进整改流程。 客户既可自主管理第三方风险管理项目,亦可与我们的服务团队协同运作。
踏上TPRM成熟度之路
无论您当前处于何种发展阶段,Prevalent都能助您构建具备无与伦比的可视性、效率和规模的第三方风险管理计划。 我们将与您携手,为您量身定制包含托管服务、网络会员资格及/或第三方风险管理平台访问权限的组合方案。您将快速实现价值回报,获得智能驱动决策的能力,并显著降低供应商相关风险——同时为您和团队省去诸多烦恼。
以下是我们客户取得的部分成就示例:
- 全球最大制药公司之一将评估流程缩短了550小时,节省了数万美元的外包费用,并将人力和资金重新投入到更具战略意义的风险管理项目中。
- 全球十大保险公司之一将供应商入职和评估所需时间缩短了50%。
- 美国排名前20的保险公司将年度供应商评估费用提高了233%,且未增加人员编制。
总体而言,Prevalent客户反馈显示:供应商入驻时间平均缩短80%,使用平台评估供应商的扩展能力提升5倍,通过托管服务评估供应商的扩展能力提升8倍。
第三方风险管理不必成为永无止境、令人心力交瘁的徒劳跋涉。探索Prevalent能为您带来什么。立即申请演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
