本文由产品与服务高级副总裁阿拉斯泰尔·帕尔共同撰写。
近年来,第三方风险管理(TPRM)已取得长足发展,从最初仅用于审核IT供应商的临时性电子表格问卷流程,演变为由多个团队协同管理、对各类供应商进行自动化持续评估与监控的体系。
随着2024年的临近,若干关键趋势正在重塑企业应对风险管理计划中这一日益关键环节的方式。本文将深入探讨2024年 第三方风险管理的十大趋势预测,以及这些趋势如何推动未来TPRM实践的发展。
预测一:TPRM从实验阶段走向预期阶段
2023年成为第三方安全事件频发的纪录之年,诸如 MOVEit等数据泄露事件占据了各大头条。由此引发的监管压力——包括 美国证券交易委员会(SEC)及多家欧洲监管机构要求加强第三方外包治理——正推动第三方风险管理(TPRM)从单纯的风险管控项目,演变为贯穿第三方全生命周期的风险应对体系。
换言之,TPRM已不再是试验性措施,而是必备要求。这种成熟化进程巩固了TPRM在组织风险管理决策中的核心地位。因此,尽管面临经济不确定性、通胀压力和劳动力短缺,对TPRM的投资将在2024年保持稳定。由于第三方安全事件频发及监管压力持续,董事会和高管层对TPRM的重视将长期延续。
尽管寻找熟练的TPRM从业人员仍面临挑战,但得益于生成式人工智能、 机器学习、数据分析、增强自动化和项目外包,TPRM项目的效率和成效将得到提升。
预测二:多内部团队的协同参与将第三方风险管理转化为第三方全生命周期管理
仅管理风险远远不够,必须管理供应商关系的整个生命周期,才能真正理解组织所面临的风险背景。否则,第三方风险管理(TPRM)将沦为走过场的形式主义。这要求TPRM项目负责人扩大工作范围,将所有与第三方供应商及供货商有业务往来的相关方纳入管理体系。
为何采用基于生命周期的方法? 第三方生命周期涵盖供应商从入驻到退出的全过程——包括 供应商入驻、持续监控、合规管理、风险管控及 退出流程——而生命周期的每个阶段都存在独特的风险。不同角色与部门推动着这一演进,各自拥有特定需求与关注点。
2024年,采购部门预计将在推动第三方生命周期管理中发挥更重要的作用。法律部门将实现条款检测与合同条款对服务水平的比较分析自动化。风险管理将继续扮演核心角色,而运营部门将利用多来源数据集来增强运营韧性并确保质量。
随着合规与监管要求的日益复杂,审计工作将持续存在。涉及多个业务领域的第三方生命周期管理趋势也将延续。
预测三:第三方风险数据孤岛的融合将为企业创造单一可信数据源
随着更多团队参与第三方生命周期管理,企业将致力于将各类IT与非IT风险整合到集中化的供应商档案中。此举将有效消除企业内部分散的第三方风险数据孤岛,并将这些数据转化为持续更新的综合风险模型——该模型将不断融入内部与外部洞察。随后,各团队可依托这一 权威数据源,在供应商关系管理全过程中优化运营决策。
2024年,我们预计将出现多样化的评估内容——涵盖网络态势、商业情报、财务记录、地缘政治事件、认证资质及第三方信息等领域——以优化决策过程。这一扩展范围反映了各部门(尤其是采购与法律部门)的多元化需求。供应商需持续提供更全面的认证信息。
基于地理学的地缘政治与环境洞察的出现,将成为运营韧性的重要关注点。尽管追踪所有本地化站点可能存在挑战,但监控解决方案将在帮助组织理解供应商所在地相关潜在风险方面发挥关键作用。
预测四:高级预测分析技术提升交易方风险管理计划的质量
基于前期的预测,通过运用持续更新的统一风险模型,企业能够开展更高级的预测性分析,从而优化资源配置,有效扩大项目规模。
此外,全面风险管理(TPRM)中的高级预测分析将更具角色导向性。报告将针对关键角色(如首席信息安全官、业务领导者及董事会)的需求定制,重点关注风险、外部威胁、合规性及保障范围。 随着TPRM项目的成熟度提升,成熟度评分将相应提高,而可用的工具与能力将使组织能够更有效地与供应商开展合作。
值得关注的发展是将行为洞察纳入报告体系。这些洞察将为供应商互动情况及响应时效提供宝贵信息。先进的分析模型将助力预测和解读用户行为,从而提升交易方风险管理(TPRM)项目的整体质量。
预测5:自然语言处理技术提升TPRM的效率
随着越来越多的组织接受非评估形式的尽职调查(如 SOC 2报告),对这类文件进行自动化分析的需求将推动针对性自然语言处理(NLP)模型的培训与应用。
因此,经过数年发展的自然语言处理技术(NLP)将在2024年彻底改变供应商风险管理(TPRM)。迄今为止,该技术主要应用于基础关键词检索和情感分析。然而随着技术日趋成熟,NLP正成为从供应商文件中提取、翻译和结构化数据的强大工具。从业者将能够利用这些数据填充评估内容并自动化执行操作,从而提升TPRM的效率与效能。
自然语言处理技术将在从多种文档类型(包括合同、报告和政策文件)中提取有价值数据方面发挥关键作用。它能够识别控制失效问题,实现多语言文档翻译,甚至评估信息安全政策的文本情感倾向,从而推动更明智的决策制定。
自然语言处理在TPRM中的关键优势之一,在于其能够为非结构化文档建立结构化框架。从这些文档中提取的数据可经标准化处理,转化为可操作的洞察与自动化方案,从而提升其实用价值与应用效果。
预测六:在TPRM领域逐步拥抱生成式人工智能
生成式人工智能即将成为风险与合规管理(TPRM)的重要组成部分,但必须审慎对待这项技术。随着企业对生成式人工智能的接受度提高,它们将逐步将其纳入风险与合规管理计划。
随着生成式人工智能模型中数据治理的质量和一致性不断提升,企业将克服对该技术在特定受控场景中应用的 顾虑。例如,生成式人工智能将协助实现流程自动化、提供趋势预警,并支持文档映射与评估数据填充。这些能力将助力企业应对技术人才持续短缺及成本不断攀升的挑战。
预测七:智能监管管理减轻TPRM工作量
法规始终处于不断演变之中,到2024年,我们有望看到更智能、更主动的合规处理方式。交易对手风险管理(TPRM)专业人士将要求简化新法规的实施流程,并通过自动化手段对现有数据进行追溯核查,以确保合规性。
为简化2024年的第三方风险管理合规工作,企业将寻求通过单一针对性评估实现数据收集自动化,该评估内置了与常见监管要求的合规映射功能。
预测8:整合与同步性推动更广泛的风险管理举措
随着供应商风险管理计划日益复杂,不同系统间的集成与同步将至关重要。这将简化工作流程,确保数据在业务不同领域间高效共享。 预计2024年将出现对相邻系统集成需求的增长,例如治理、风险与合规(GRC)平台、采购系统及报告工具之间的集成。此类集成将重点聚焦于建立供应商"真实信息"的集中化记录,该记录将贯穿整个生命周期,并丰富跨团队决策过程(参见预测#3)。
预测9:为应对不断演变的威胁(并满足董事会要求),对实时洞察的需求推动了持续的第三方监控
2024年,持续 的第三方风险监控将成为核心议题,其驱动力在于对供应商违规行为及问题的实时洞察需求。通过每日从多元渠道收集数据,将汇聚海量信息资源,从而推动第三方风险管理数据的深度分析,实现更优质、更高质量的决策制定。董事会及高管层对本地化事件和零日漏洞采取更主动应对措施的需求,将成为推动这些举措的主要动力。
预测10:高级用户画像与分层策略推动务实供应商管理
评估庞大生态系统中每个供应商的时代已经结束。第三方风险管理将更加务实,重点关注关键供应商和核心集中风险。 第三方评估将更具针对性与效率,重点关注隐私政策与风险管理。这一趋势源于企业认识到:并非所有第三方供应商及其风险都具有同等重要性,而团队资源也难以实现全面均衡管理。未来将更多 采用供应商分类分级策略,推动更务实的供应商管理体系。
额外彩蛋!预测11:语境(终于)变得重要
理解供应商关系的背景至关重要。 在采购周期中收集数据,将为供应商风险管理(TPRM)提供关键背景支持。这将推动更明智的决策制定、优化供应商规模配置,并生成基于角色画像的仪表盘与报告。同时需要团队协作开展风险审查与分析。2024年,第三方生命周期内的自动化将支持供应商档案的收集与结构化整理——基于这些背景信息建立的明确工作流程将成为支撑。
下一步工作
展望2024年,第三方风险管理将迎来重大变革。自然语言处理与生成式人工智能的融合,结合更智能的监管管理、持续能力建设以及对情境的关注,将显著提升第三方风险管理计划的效能与效率。通过拥抱这些创新与趋势,企业能够在第三方风险管理领域保持领先优势,并适应不断演变的商业合作格局与监管要求。
若需了解Prevalent如何助您完善TPRM计划, 请立即 申请演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
