上周,当我们透露 2021 年第三方风险管理的初步预测时,我们认识到了 Covid-19 对全球供应链的影响。不幸的是,随着SolarWinds 外泄事件的不断曝光,2020 年第三方风险管理的重要性还没有得到充分认识。
如果说来年有一件事是明确的,那就是您的企业可能会比以往任何时候都更加注重防范供应商风险。以下是我们最后的四项预测,帮助您迎接挑战。
#5.供应商风险评估将变得更快
2020 年发生的供应链中断事件不仅强调了采购新供应商的灵活性,还强调了评估风险作为采购流程一部分的重要性。遗憾的是,许多组织历来认为这两件事是相悖的。难怪《2019-20 年易观全球 TPRM 调查》显示,半数受访者没有合同前风险评估的快速流程。
2021 年,对速度的需求依然强烈,因此 TPRM 市场将加速向网络市场模式发展。在网络模式下,会员可以快速搜索潜在供应商库,查看风险评分,并查看已完成的风险评估。网络模式的其他方面包括
- 基于标准的方法,根据相同的标准对所有供应商进行比较
- 实时网络、业务和财务监控洞察力,增强定期供应商评估的结果
- 灵活要求对特殊风险问题进行评估
- 清晰的报告和分析可衡量风险和合规性
- 工作流程管理,将一切联系起来
最好的网络由经验丰富的管理服务团队提供支持,他们代表客户处理供应商入职、评估、管理和报告事宜。
#6.TPRM 计划将延伸到第三方之外
考虑一下这种情况:贵公司将制造业务外包给一家供应商,而该供应商的零部件供应商所在的地方有一个待产订单,而且该供应商的产品不被视为 "必需品"。您的供应商需要迅速找到替代品,否则您将无法向客户交货。
几乎所有的供应链都有不止一个 "环节"。如果你的风险评估只考虑组织的直接供应商圈子,那么你对供应链威胁的可见性充其量只是一团迷雾。
您并不孤单。我们在 2020 年进行的研究 "安全与合规的第三轨"中发现,79% 的受访者没有考虑到第四方风险。此外,上文提到的EY 研究表明,31% 的受访者仅依靠合同条款来解决第 N 方问题。如果一张骨牌倒下,那么所有骨牌都会倒下。
这就是可见性。第 N 方映射可以发现第三方环境深处的潜在缺陷。2021 年,这一点将变得更加突出,因为企业将利用运营弹性措施,在潜在中断成为现实之前进行预测。
#7.风险应对将越来越自动化
许多组织在电子表格驱动的供应商评估流程中苦苦挣扎,这些流程需要数十个手动步骤才能了解结果并采取行动。在速度和弹性如此宝贵的时代,这种方法根本无法扩展。
2021 年,企业将利用规则梳理供应商情报流并触发风险应对活动,从而使其 TPRM 计划更加成熟。这些规则将自动、简化和加快入职、评估和审查任务,如更新供应商档案和风险属性、发送通知和/或激活工作流。
从供应商入职、发布评估报告,到关联评估结果和激活修复工作流,"游戏本 "式的自动化将缩短所有工作所需的时间。简而言之,您将能够实现 TPRM 流程自动化,从而更快地发现并解决问题。
#8.美国将颁布联邦数据保护法
美国不乏规范第三方使用的法规要求,但仍没有类似于GDPR 的统一数据保护法。相反,美国目前依赖于各州的数据泄露通知法和数据保护要求(如加利福尼亚州的CCPA和 CPRA)。
明年,白宫将迎来新一届政府,国会的多数党人数也将有所减少,这或许会缓解一些立法僵局。这些变化,再加上国家层面对网络安全问题的日益关注,可能意味着 2021 年美国将最终颁布一部关于个人数据使用的单一法律。
如果您的企业与第三方合作,而第三方可以访问您的客户数据,那么这样的法律将产生重大影响。随着美国向单一数据隐私法迈进,您应该准备好回答三个基本问题,并向审计人员展示证据:
当然,确保数据隐私不仅仅是第三方风险管理的问题。但是,如果您无法回答这些基本问题,那么您的组织很可能无法满足任何新的要求。
2021 年三年期全面政策审查机制规划的下一步工作
如果您跳过了前面的内容,请务必查看我们对 2021 年的前四项预测。如果您已经了解了所有内容,请查看我们的最佳实践指南《供应商风险生命周期导航》:每个阶段的成功关键》,或使用我们的在线风险评估计算器评估您的 TPRM 计划。
想了解 Prevalent 如何帮助您应对 TPRM 的具体挑战?申请个性化演示。
我们祝愿你们 2021 年快乐、平安和安全!
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
