立即成熟第三方风险管理计划的四个步骤

共享评估项目和 Protiviti 发布了第五份供应商风险管理基准研究报告，今年的报告充满了通常的最佳实践见解和数据，旨在帮助企业成熟其第三方风险管理项目。今年报告的主题（Running Hard to Stay In Place）非常恰当，因为它表明，尽管第三方风险管理取得了重大进展，但仍缺乏进步。

我建议您阅读报告全文，在本博客中，我将对五（5）项主要发现进行细分，并提出一些问题，帮助您衡量自己的TPRM计划成熟度。

报告的五项主要结论如下

• 与之前的报告相比，项目成熟度相对不变，在 5 级评分中为 3 级。Shared Assessments 和 Protiviti 认为，企业的项目正处于持续模式。
• 高度参与的董事会等同于成熟的虚拟关系管理计划（但并非所有成熟的虚拟关系管理计划都具有董事会高度参与的特点）--高度参与的董事会比例持续增长，这无疑是由于来自第三方的高调违规事件日益增多。
• 网络攻击越来越多，而发现和修复这些攻击需要更长的时间。
• 各组织正在放弃风险较高的供应商关系--这可能是由于更好的识别措施和持续的资源限制。
• 成本不断增加，而资源却停滞不前。

如果今年报告中的五项主要发现与您自己的 TPRM 计划的状况有关，那么您并不孤单。我认为，您今天可以采取四（4）项行动，使您的计划朝着正确的方向发展。

1.改进董事会层面的报告--但要警惕 "打分 "或 "安全评级"

要提高董事会的参与度，首先要有出色的报告。组织在报告方面可能面临的最大挑战之一就是评分不清晰或不完整，或者对评分的真正含义存在误解。需要报告的级别越高，这个问题就越严重。根据我们的经验，优秀的执行/董事会层面的报告应该是：

• 灵活 - 可根据供应商对业务的重要性对其进行加权。
• 清晰--它将答案与控制框架或监管任务相对应，便于解释。
• 面向未来--它可以根据正在进行的补救措施预测未来的风险，从而衡量风险缓解工作的效果。

本期的主题是......背景下的能见度；让决策者了解他们需要的背景。不过，我还是要提醒各位。不要相信 "分数 "或 "安全等级 "就能解决你的问题。它们往往过于肤浅，只能提供外部网络扫描，显示基本的网络风险，但评分的作用远不止于此，可能会让你在董事会面前惹火烧身。如果您正在使用评分或评级服务，请确保您已经回答了这些问题：

• 如何衡量供应商对合规性要求的内部遵守情况？外部扫描能揭示这一点吗？
• 评分能否说明供应商在区域内对您的业务构成的风险？它能让您了解扩展的第四方关系吗？
• 安全评分能告诉你供应商是如何处理你的数据的吗？
• 安全评级如何实现供应商证据收集和尽职调查的自动化？

在没有供应商保证的情况下，对供应商进行评分和评级只能有限地了解供应商的风险，这意味着没有进行真正的评估。Shared Assessments、Gartner、Forrester 等公司发布的 TPRM 最佳实践包括供应商问卷评估和持续监控。

了解评估流程的自动化情况，深入了解供应商在处理数据时使用的内部控制措施。考虑到如此多的数据泄露事件都与控制失误有关，您可能需要深入了解安全评分，看看它是否能告诉您供应商将如何处理您的数据。

2.提高供应商网络活动的可见度

定期开展基于控制的标准化评估是供应商风险管理团队为深入了解供应商的数据安全合规性实践所能开展的最重要的活动。然而，它们都是时间点，在两次评估之间或评估期间可能会发生很多事情。

考虑对供应商网络进行持续监控，以便及时了解供应商风险，为评估提供依据。持续洞察潜在的供应商风险可以更好地确定优先级和风险意识。这些洞察力可以为基于深度控制的评估中的整体风险评分提供依据。

有一点特别有用，那就是不仅要关注供应商的网络/数据风险，还要关注他们的业务和运营风险。例如，考虑收入公告、裁员、数据泄露通知等因素，可以为网络扫描增加一个重要的定性指标，并可作为未来可能出现风险的预测措施。

3.加强沟通，改进补救措施

今年的研究表明，对有风险的供应商关系有了更好的识别，但由于缺乏资源来解决这些补救问题，企业正在远离有风险的关系。摒弃有风险的合作关系是件好事，但如果他们为企业提供的是基本服务，那么启用新供应商来提供相同服务的成本又是多少呢？

在我看来，也许你可以采取的另一条途径是简化工作流程和沟通，这只适用于关键的、难以替代的供应商。我们看到的成功案例是

• 定义评估时间表 - 包括追赶提醒。
• 实时查看内容收集请求的状态--评估员和供应商用户均可看到。
• 申请完成后自动生成风险登记册，以便各方了解具体的控制失误。
• 双向工作流程，内置评估员与供应商之间的讨论工具。
• 易于使用的仪表板可捕捉和审核对话、记录完成日期、分配任务以及匹配文件或证据。

采取几个简单的步骤让供应商受益，简化他们向您汇报的程序，也会节省您团队的时间。

4.考虑为自动持续评估和监测建立统一平台

完成全面供应商评估的成本和时间都在增加，而执行这些评估的资源却停滞不前。考虑将收集、分析和修复供应商恢复能力的繁琐流程自动化，同时持续监控供应商数据和业务风险，并将其整合到基于标准行业内容的单一集成平台中。这种综合模式可提供最大的可视性、简化管理并降低总体拥有成本。这样做的好处显而易见：需要管理的供应商更少；完成、分析和补救供应商控制问题的时间更短；支持成本更低。

Prevalent 能提供哪些帮助？

作为第三方风险管理市场的先驱和领导者，以及 Shared Assessments 和 Protiviti 的合作伙伴，Prevalent为第三方风险管理提供业界唯一的专用统一平台。Prevalent 平台以安全云的简便性提供，将自动供应商评估、持续威胁监控和证据共享与专家咨询和顾问服务相结合，以优化您的风险管理计划。利用 Prevalent，企业可以简化合规性、降低基于供应商的风险并提高效率，从而更好地扩展第三方风险管理。

当您的第三方供应商风险管理计划日趋成熟时，请考虑单一集成平台的优势--更好地了解供应商风险、最大限度地提高效率并扩大规模。

如需了解有关 Prevalent 的更多信息，或观看定制演示，请立即联系我们。