在过去的 15 年里,我一直从事第三方风险管理工作,并为各行各业的数百家客户提供咨询,帮助他们建立第三方风险管理计划。一路走来,我学到的是,成功的第三方风险管理计划的基础有五个组成部分。每个模块都是连续的,这意味着您可以自下而上地逐步实现透明、高效和可扩展计划的最终目标。
以下是 TPRM 构建模块的概述,以及它们的重要性。
1.了解
您对现有第三方风险管理计划的了解程度会影响您如何做出重要决策,以及从何处开始实施该计划。首先要了解你的供应商范围,以确定你的供应商组合风险状况。您有哪些供应商?
2.分类
其次,对数据进行分类整理,为适当的风险分级提供依据。我发现很多公司都没有正式的分类模型,有时甚至连规模较大、发展较成熟的公司也没有。如果没有分类模型,就无法对供应商进行分层,也无法确定应采用哪种尽职调查方式。要对供应商进行适当的分类,首先要确定哪些是最需要尽职调查的关键数据,然后再从这些数据开始分类。请记住,供应商的规模并不总是决定尽职调查的级别。小型的母公司可能意味着更大的风险,这取决于他们处理的数据类型。
3.分层
根据供应商处理的数据对其进行分类后,确定其他关键风险因素,如业务范围、服务地点、数据量、服务类型等,以进行适当的风险尽职调查。对内部团队进行调查,以确定供应商正在进行的业务类型、托管类型以及暴露的内容类型。
4.标准化
最后,您可以开始根据控制标准来衡量供应商的答复。一旦通过威胁情报或问卷答复观察到风险,就应根据公司的关键控制措施(如必备措施)确定风险容忍度,以便在充分知情的情况下做出基于风险的决策。在这一阶段,您可以配置开展适当尽职调查的方式。请记住,您不必对所有风险都采取风险补救措施;如果企业认为风险在可接受的风险容忍度范围内,您可以将重点放在异常值上。
5.行为
到此为止,您已经决定了谁是您的供应商;根据他们处理的数据和其他属性进行分类和分层;以及您愿意接受的风险容忍度。最后一个构件就是风险处置。确定贵组织是否要求供应商制定补偿控制措施,或者是否执行风险缓解计划,将风险降低到可接受的水平。
这些构件能 100% 满足第三方风险管理要求吗?也许不能。但是,这是一个坚实的起点,可以解决企业在匆忙建立第三方风险管理计划时往往会忽略的关键领域。
普遍性可以帮助
Prevalent 提供业界唯一专门构建的统一第三方风险管理平台。Prevalent 平台采用简便的云技术,将自动供应商评估、持续威胁监控和标准共享评估网络结合在一起,使企业能够 360 度全方位了解供应商,从而简化合规性、降低风险并提高效率。此外,Prevalent 还为客户提供专家咨询服务,以优化和扩展他们的风险管理计划。
为什么不从成熟度评估开始呢?Prevalent 可以帮助您确定计划的发展状况,并提供通往更高水平成熟度的路线图。立即联系我们。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
