第三方网络攻击的普遍威胁要求企业在评估新老供应商、合作伙伴及承包商时必须进行充分尽职调查。然而,安全与风险管理专业人员切勿忽视IT领域之外的重大风险,例如声誉、财务、法律、合规及ESG(环境、社会和治理)方面的潜在破坏性影响。
其中许多属于"软性"风险,缺乏明确的供应商评估标准,但同样可能严重损害企业的声誉、品牌价值、企业价值以及履行合同承诺的能力。本文将探讨五大最重要的非IT风险类别。
5项非IT风险需重点监控
以下五大类非IT风险可能影响贵公司履行义务的能力:
1. 操作风险:供应链中断
新冠疫情及其引发的供应链中断,清楚地证明了企业可能受到非IT事件的影响。例如,阿姆斯特朗地板公司和化妆品巨头露华浓在破产申请中都提到了供应链中断的问题。
后疫情时代运营风险仍将持续存在。在动荡的政治环境中,风险无处不在。俄罗斯入侵乌克兰不仅影响了粮食、化肥和天然气的供应,还导致两家乌克兰企业停产——这些企业负责全球45%至54%的芯片制造用半导体级氖气供应。胡塞武装持续袭击红海航运
恐将颠覆全球航运格局。此外,突发灾难可能严重冲击供应链运作,例如
弗朗西斯·斯科特·基 大桥坍塌事件,导致价值8000万美元的海运货物和卡车运输被迫绕行美国最大港口之一。
对于风险管理专业人士而言,理解供应链的韧性至关重要。这包括对事件响应、业务连续性及灾难恢复计划的评估。通过全面掌握供应商的能力,企业能够更充分地做好准备,从而降低因大流行病、环境灾难及其他潜在危机引发的运营风险。
2. 合规风险导致罚款与诉讼
监管框架正逐年变得日益复杂。大多数监管框架,包括 HIPAA, PCI-DSS, GDPR, 个人数据保护法, 魁北克私营部门法案, 和 加州消费者隐私法案/加州隐私权法案这些法规的核心在于保护客户和员工的个人信息。其共同点在于,所有法规都要求组织必须识别风险所在(通常通过风险评估实现),制定风险缓解方案,并向监管机构进行报告。这同样适用于供应商、业务伙伴、承包商及合作方带来的风险。
医疗转录服务提供商Perry Johnson & Associates(PJ&A)于2023年3月遭遇数据泄露,导致超过900万人的个人信息外泄。该事件引起美国卫生与公众服务部(HHS)关注,并引发针对其多家医疗客户及流失客户的集体诉讼。 尽管PJ&A与其客户之间几乎肯定存在业务合作协议,但该协议未能保护该公司免受自身声誉损害和法律挑战。
随着企业持续推进数字化转型,合规要求正逐步扩展至新型服务及供应商领域,包括网站托管、支付处理和云服务提供商。为降低相关风险,您不仅需要明确哪些监管标准(
)适用于贵公司及其供应商,还必须全面评估供应商的运营流程与管控措施。毕竟,处罚和诉讼不仅代价高昂,更会扰乱业务运营并损害企业声誉。
3. 企业社会责任风险源于不良ESG行为
"优秀企业公民"的概念已存在多年,但随着社会认知的提升,其内涵也在不断演变。 过去,企业只需通过捐赠时间和金钱回馈社区,就能满足企业社会责任(CSR)的定义。然而如今,企业社会责任日益与环境、社会和治理(ESG)实践紧密关联。这包括企业对环境可持续性的举措;与客户、员工及社区的关系;以及如何处理高管薪酬、内部控制和股东权益等问题。
多个行业日益突出的问题是使用奴工和童工。例如,关于电池用钴矿开采中使用童工的新闻报道,将苹果、微软、特斯拉、三星等企业的供应链实践推到了风口浪尖。除了声誉受损,多家公司还因相关行为面临诉讼。
在气候、治理和反腐败领域,监管压力也在不断加大。欧盟议会通过了《企业尽职调查法》和《企业可持续发展指令》,要求欧盟企业"识别并必要时预防、终止或减轻其活动对人权(如童工和劳工剥削)及环境(如污染和生物多样性丧失)的不利影响"。德国《供应链尽职调查法》也提出了类似要求。
对于习惯只关注IT相关问题的风险主管而言,应对ESG要求可能颇具挑战。了解ESG相关的监管与行业准则,有助于根据贵机构的政策及客户期望,评估潜在供应商、经销商或其他第三方。
4. 供应商生存能力问题引发的财务风险
在评估第三方风险时,供应商和战略合作伙伴的财务健康状况至关重要。毕竟,供应商唯有财务稳健才能持续支持客户——一旦破产申请公布,再做调整可能为时已晚。若贵公司的竞争对手收购了关键经销商或分销商,也可能引发财务风险,这可能导致特定地域或垂直市场被封锁,而替代渠道尚未建立。
评估供应商的财务风险不仅限于审查去年的资产负债表。例如,客户或分销合作伙伴的流失或收益损失可能导致特定业务的重组或停产。此外,关键管理人员的离职可能预示着营收下滑或即将面临的诉讼风险。
虽然许多组织在引入新供应商前会评估财务风险,但风险管理负责人需要对供应商和合作伙伴进行持续监控,以在合作关系中持续降低和管控风险。
5. 与不道德企业开展业务带来的声誉风险
无论公平与否,组织往往因其合作对象而被评判。因此,关注合作伙伴的经营行为至关重要。与不道德的供应商合作造成的声誉损害可能危及企业生存。一旦不道德行为被突然曝光,供应商可能转移或重建业务并提起诉讼,从而导致供应链中断。
风险管理人员需在整个业务生命周期内,持续监控公共及私有渠道的声誉信息、诉讼动态以及即将实施的制裁措施,包括美国财政部外国资产控制办公室(OFAC)、英国制裁名单及欧盟综合制裁名单等。
下一步行动:学习全面管理第三方风险
第三方风险管理流程必须不断演进,才能帮助组织有效应对IT与非IT威胁。在我们的白皮书《如何管理IT与非IT第三方风险》中,了解如何在第三方生命周期中全面掌握供应商、供货商及合作伙伴的动态。本文包含以下关键指导:
- 将关联的第三方风险类型与IT和非IT领域相关联
- 让内部团队关注对他们至关重要的第三方风险
- 将第三方风险类型和团队映射到供应商生命周期的每个阶段
凭借这份全面指南,贵组织可有效管控IT与非IT领域的第三方风险。想了解Prevalent如何助您一臂之力?立即预约演示与战略咨询,与我们的专家共同探讨您的项目需求。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
