如果你正面临这样的困境:需要应对的第三方数量前所未有,合规要求更是数不胜数,却苦于缺乏资源和流程来持续评估第三方风险(至少要避免让这项工作耗尽你的精力)。若这番描述让你感同身受,请放心——你绝非孤军奋战。
Prevalent在过去六个月中对数十家组织进行了深入的成熟度评估,我们发现大多数第三方风险管理实践在五个关键领域存在疏漏:内容、角色与职责、覆盖范围、治理以及补救措施。
好消息是?我们的研究表明,你可以采取非常具体的措施来避免倒退。
>> 查看这张信息图,了解主要风险和建议的概要。
我们如何审视数据
在分析成熟度评估结果时,我们通过五个维度审视了反馈内容:
- 内容:是否有流程确保评估问卷是最新的,并且适合被评估的第三方?
- 角色与职责:TPRM计划相关方是否清楚自身的职责及预期参与程度?
- 覆盖范围:TPRM计划的范围有多全面?它对第三方社区的可见度有多高?
- 治理:如何衡量项目绩效?能否通过明确的指标来证明成功?
- 修复:修复流程是否一致且经过优化以提高效率?
在1到5的评分标准中……
令人震惊(或或许不足为奇)的是,上述五个领域的平均成熟度评分仅为2.53分(满分5分)。不过并非全是坏消息。各类别的成熟度水平如下:
- 内容:2.6
- 职责与责任:2.88
- 覆盖率:2.67
- 治理:2.14(哎哟)
- 修复:2.58
我们当真要为2.88分欢呼?各位,这依然是个不及格分,就算四舍五入也改变不了事实。至于治理水平?只能往上提升了!
揭露三大主要风险
>> 下载研究报告,阅读关于主要风险及建议的完整结论。
在分析反馈时,有几个风险尤为突出,例如:
- 未标准化修复指南。
缺乏标准化指南时,与第三方审查风险发现的过程可能存在不一致,且与组织要求不匹配。86%的企业存在修复指南不一致的问题。 - 在第三方环节停滞。 从供应链角度看, 当前疫情教会我们的一点是: 必须做好应对中断的准备。这包括第三方因其自身供应商(
)面临的中断。若 未能考虑第四方或"第N方",可能引发未知的风险和运营瓶颈。79%的企业都曾遭遇此类问题。 - 将风险报告限制在战术用途。
在风险报告尚未用于推动战略性内部讨论之前,企业很难就新兴威胁、关注领域、变更评估及风险补救措施做出明智决策。研究显示,69%的企业错失了重要的战略性报告机遇。
想了解更多?
要查看完整的风险清单以及提升项目成熟度的建议,请立即下载《从被动到主动的第三方风险管理之路》。我们还将分享信息图
,该图总结了9大陷阱并提供24条建议,助您攀登TPRM成熟度的阶梯。
查阅研究资料后,请注册参与我们免费的完整成熟度评估,将您的第三方风险管理实践与同行进行对比。我们还提供10道题的在线版本
,可快速生成评分为您提供初步指导。
别孤军奋战!借助这份由同行驱动的指南,助您摆脱困境,踏上TPRM成熟之路。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
