了解第三方尽职调查：综合指南

开展第三方尽职调查是全面第三方风险管理计划的重要组成部分。一个强有力的尽职调查战略可以提供早期阶段的洞察力，从而做出更明智的供应商采购决策，根据潜在风险对供应商进行分级，并将深入的时间点风险评估与整个业务关系中的持续监控相结合。

什么是第三方尽职调查？

第三方尽职调查是调查和评估与销售商和供应商合作风险的过程，是第三方风险管理的重要早期步骤。尽职调查要求收集和分析有关第三方可能给组织带来的安全、财务、运营和声誉风险的数据，对确保运营弹性、合规性和安全性至关重要。

虽然第三方尽职调查在整个供应商生命周期中发挥着至关重要的作用，但它在采购和选择阶段以及接收和入职过程中尤为重要。

采购和遴选中第三方尽职调查的关键准则

在寻找和选择新供应商的过程中，对考虑中的第三方进行初步尽职调查非常重要。虽然您可能没有足够的资源对每一个潜在供应商进行深入审查，但收集初步信息以衡量概貌风险非常重要。概括风险是指基于供应商的地理位置、行业、使用第三方的情况、所有权以及财务和声誉等其他外部可观察信息的潜在风险水平。

考虑在采购和选择过程中提出以下尽职调查问题：

• 供应商可能会访问哪些 IT 系统、数据和基础设施来履行与我组织的合同？(此问题可让您了解供应商的风险概况，并帮助您对供应商进行分级，以确保充分开展第三方尽职调查）。
• 供应商是否已获得信息安全框架认证，如NIST CSF、SOC 2 或ISO 27001？
• 该第三方是否曾因不良的 ESG 实践而受到公开指责，或者他们是否有违反 ESG 合规的记录？供应商的不良声誉可能会成为贵公司的责任。
• 供应商的财务状况如何？信用评级和其他财务指标可以帮助我们深入了解供应商的生存能力。如果供应商无法向其供应商付款或向其客户收款，它们就会暴露出潜在的业务恢复能力问题。

供应商接收和入职期间第三方尽职调查的基本做法

供应商接收和入职是贵组织进行更广泛尽职调查的机会。许多组织依靠详细的供应商风险问卷来深入了解供应商的信息安全控制、第四方供应商和环境、社会和治理实践。成熟的 TPRM 计划将根据供应商的风险等级，确定其接收和入职尽职调查计划的范围。

以下是在接收和入职期间对供应商进行尽职调查的一些最佳做法：

• 使用供应商风险问卷，检查供应商的风险态势、信息安全控制和延伸供应链（也称为第四方或第 N 方）
• 审查第三方的保险范围，如职业责任保险、一般责任保险和网络保险
• 详细审查供应商的数据泄露和事件响应政策，尤其要关注通知要求
• 对履行合同的关键人员进行背景调查
• 审查第三方的数据保留和销毁政策

为什么对第三方进行尽职调查很重要？

有效管理第三方风险几乎是所有组织面临的重大挑战。管理第三方风险需要采取一种方法，旨在了解和减轻整个供应商风险生命周期的风险。对第三方进行有效的尽职调查，可以让您在签订合同、投入大量财政资源和时间之前识别风险。

第三方尽职调查还能发现供应链中隐藏的风险，如不良的环境、社会和治理实践或集中风险。成熟的计划会利用尽职调查来了解其第三方生态系统，识别不可接受的风险，并要求采取补救措施。

第三方尽职调查能识别哪些类型的风险？

有效的第三方尽职调查是识别企业众多风险的关键。以下是需要考虑的几类主要风险：

第三方尽职调查与信息安全风险

虽然贵组织可能会为其 IT 安全计划投入大量资源，但要确保网络供应链免受第三方数据泄露、勒索软件攻击和其他安全风险的影响，仍然是一项巨大的挑战。当您的供应链变得更加复杂或严重依赖跨国合作关系时，这项任务就会变得更加艰巨。

您的第三方尽职调查流程应评估潜在供应商和销售商是否存在不可接受的网络安全风险，以免危及您的关键数据或 IT 基础设施。这应包括初步的供应商风险评估，然后对互联网和暗网进行持续的风险监控，以获取有关新漏洞、数据泄露和凭证泄露证据的信息。

考虑利用公认的网络安全框架（如NIST、ISO、共享评估 SIG 或SOC 2）来确定供应商风险评估问题的范围。然后，根据与企业风险管理战略其余部分相一致的最佳实践框架来确定评估结果。

第三方尽职调查与环境、社会和治理风险

企业环境、社会和治理（ESG）问题正日益成为消费者和企业投资者关注的焦点。对于拥有众多供应商的企业来说，ESG 尤为重要，因为延伸的全球供应链有时可能涉及强迫劳动、环境恶化和/或腐败。在接纳潜在供应商之前，以下几个问题可能会有所帮助：

• 供应商是否按照ESG 法规的要求定期公布其供应链实践的信息？
• 销售商或供应商是否有不良的环境、社会和公司治理行为或违规历史，可能对组织的声誉或道德构成风险？
• 销售商或供应商是否制定了治理流程，以管理整个延伸供应链中的 ESG 风险？
• 供应商是否在腐败、环境恶化或践踏人权的国家集中了大量第三方供应商或销售商？

第三方尽职调查与运营风险

运营风险有多种形式，但通常归结为第三方无法履行合同义务。一些第三方，如提供非关键商品和服务的第三方，可能会带来相对较低的运营风险。但其他第三方，如 IT 供应商、软件即服务（SaaS）供应商和关键组件供应商，可能会带来很大的运营风险，因此应采取适当的业务恢复措施，以确保连续性。

考虑在第三方尽职调查过程中提出问题，以衡量组织的运营风险程度：

• 与收入相比，第三方是否负债累累？
• 第三方是否制定了健全的业务连续性和灾难恢复计划？是否定期进行桌面演练测试？
• 第三方是否严重依赖某些供应商或供货商，一旦发生故障或中断，可能影响其提供货物和服务的能力？
• 第三方是否位于飓风或地震等环境风险较高的地区？

第三方尽职调查的最佳做法

第三方尽职调查可能是一个昂贵、漫长和耗时的过程。这尤其适用于因安全问题而严重依赖供应商进行数据处理和加工的组织，以及那些拥有延伸供应链的组织。以下是您可以用来提高第三方尽职调查流程的效率和效力的几种最佳实践。

提高效率的分级供应商

在尽职调查过程中，根据第三方的风险等级对其进行分级有助于更有效地集中资源。在采购和选择过程中，衡量第三方将提供的商品和服务的关键性，以及他们履行合同所需的 IT 和数据访问级别。这些信息将帮助您根据供应商的风险程度和类型对其进行分级，并 "合理调整 "您的尽职调查计划。

将供应商风险问卷调查与持续风险监控相结合

虽然供应商风险问卷对于有效的第三方尽职调查至关重要，但它们本身并不能捕捉到所有必要的信息。增加持续的风险监控，以验证供应商提供的数据，并指出新出现的问题，如数据泄露、IT 安全漏洞、运营中断、声誉事件和财务问题。

一次性尽职调查是不够的

风险管理计划不太成熟的组织可能会认为，在完成对第三方的初步尽职调查后，他们的工作就结束了。然而，在整个供应商风险生命周期中，包括离职和终止后，新的风险都可能浮出水面。请持续监控第三方在入职后的风险状况变化，并根据供应商对业务的重要性定期进行风险评估。

选择可重复的框架来简化风险评估

考虑围绕通用行业框架构建第三方尽职调查评估。这样做将使您的团队能够使用类似的标准对供应商进行一致的评估，并提供熟悉的最佳实践补救建议。

利用 Prevalent 加强第三方尽职调查

第三方尽职调查的手动方法使协调供应商评估、满足合规要求和满足不同部门需求变得复杂。Prevalent第三方风险管理平台可自动执行并加快尽职调查流程，同时为企业的利益相关者提供供应商和销售商风险的集中视图。立即申请演示，了解 Prevalent 如何简化您的第三方尽职调查计划。