企业与外部合作伙伴或供应商合作时,必须确保这些第三方不会带来可能损害公司的风险。第三方风险管理(TPRM)可解决这一问题。第三方风险管理的一个关键组成部分是第三方风险评分,紧随其后的是供应商风险分级。
了解这些概念对于建立稳健的第三方风险管理基础至关重要。在本篇文章中,我们将对风险评分和分层进行定义,解释它们如何融入整个第三方风险管理计划,并推荐实施的最佳实践。
什么是第三方风险评分?
第三方风险评分是对外部合作伙伴或供应商可能给企业带来的潜在风险进行评估并赋予一个数值的过程。这一评分有助于根据第三方的安全实践、财务稳定性和合规历史等因素,确定与该第三方合作的风险程度。
风险评分包括
- 识别风险:确定潜在风险,如数据泄露、财务不稳定和监管合规问题。
- 评估风险:收集每个第三方的信息,包括财务状况、安全措施和合规历史。
- 风险评分:根据每个第三方所代表的风险程度进行评分。例如,安全措施得力的公司得低风险分,而安全漏洞频发的公司得高风险分。
什么是第三方风险分层?
第三方风险分级是指根据外部合作伙伴或供应商的风险评分将其划分为不同等级或层级的过程。这些分级有助于企业根据每个合作伙伴的风险程度来确定和管理其第三方关系的优先次序。
分层包括
- 创建层级:决定不同的等级,如高、中、低风险。
- 将第三方分配到不同层级:根据第三方的风险评分,将其归入相应的层级。
- 根据层级进行管理:根据级别管理第三方关系。高风险的合作伙伴需要更频繁的审查和更严格的监督,而低风险的合作伙伴则需要较低强度的监控。
风险评分和供应商分级为何重要?
不同的第三方会带来不同程度的风险。每个层级的标准会因供应商的性质而异。例如,零部件供应商与云托管服务的标准不同。对风险进行计算和分类对于以下方面非常重要:
- 保护:
帮助保护贵公司免受由风险第三方造成的潜在违规和侵犯隐私行为的影响。 - 效率:
让您集中资源监控和管理风险最高的合作伙伴。 - 合规性:
通过系统管理第三方风险,确保满足监管要求。
通过了解和实施第三方风险评分和分层,企业可以更好地管理其外部关系,最大限度地降低风险,并提高整体运营稳定性。
利用评分来规范结果并提供可行的见解
了解供应商未能交付产品或服务的潜在影响至关重要。利用评分系统,根据以下标准确定每个供应商的等级:
- 业务流程或面向客户的流程
- 与受保护数据的交互
- 财务状况和影响
- 法律和监管义务
- 声誉
- 地理(如集中风险)
一旦定义了供应商层级,识别最关键的供应商就变得简单易行。例如,您可以运行一份关于所有处理个人数据的美国顶级供应商的报告。
在流程的早期阶段将经过审核的信息保存在一个易于访问的位置,这样就可以 "合理调整 "尽职调查计划的规模,将重点放在风险最高的供应商上,并加快整个流程。
如何为供应商风险评分?
供应商风险评分的基本计算方法是:可能性 x 影响 = 风险。例如,考虑一家为金融机构提供关键 IT 服务但不符合行业网络安全标准的供应商。潜在的数据泄露可能会造成重大的经济损失和声誉损害(如重大或严重影响),而可能性是指由于供应商不合规而导致网络攻击成功的概率(如可能或极可能)。这种情况对任何金融机构来说都是不可接受的风险,很可能导致合同终止。
利用结合可能性和影响的矩阵来确定风险分数。
这个例子强调了利用综合评分标准对供应商进行全面风险评估的重要性。这对于金融机构、政府承包商和医疗保健提供商等处理敏感信息的组织尤为重要。通常情况下,法规会要求主要组织对供应商的违规行为负责,这就强调了勤勉监督和风险管理的必要性。
第三方风险评分最佳做法
对供应商进行风险评分和分级对整体供应商风险评估至关重要。您应该制定标准化的控制措施和要求。然而,没有放之四海而皆准的供应商风险评估流程。不同的供应商会给企业带来不同程度的风险,具体取决于以下因素:
- 对您的供应链至关重要,例如是单一来源或唯一来源供应商
- 访问敏感数据,如个人身份信息 (PII)、受保护健康信息 (PHI) 或商业敏感信息 (CSI)
- 易受自然灾害或地缘政治冲突等连续性事件的影响
为每个供应商类别制定结构化流程将提高第三方风险管理计划的效率,并帮助您就供应商关系做出更好的基于风险的决策。
确定可接受的残余风险水平
在一个完美的世界里,风险是可以完全消除的。然而,在与任何第三方合作时,总会存在一些风险因素。在对潜在供应商进行评估之前,要明确自己可接受的风险水平。这一步能让供应商选择和整个第三方风险管理流程更快、更高效、更统一。它可以让你轻松识别无法满足你的业务目标和风险承受能力的供应商,并明确你需要要求供应商采取哪些控制措施。
内在风险评分
固有风险评分是第三方风险管理生命周期的关键部分。并非每个供应商都需要同等程度的审查。例如,与提供关键零部件或法律服务的供应商相比,办公用品供应商的组织风险较低。如果供应商位于政治动荡地区,有违规历史或不良信用记录,则风险更大,需要加强尽职调查。
要了解供应商的风险,就要计算固有风险,即在采用任何具体控制措施之前供应商的风险水平。这一基线可指导您做出必要的尽职调查决定。在确定固有风险基线后,计算剩余风险--即采用控制措施后的剩余风险--就变得简单多了。
固有风险对于供应商剖析、分层和分类决策也至关重要。这种方法能使供应商评估与企业、客户和监管机构最相关的风险和标准保持一致,从而加快风险评估。
分层和分类
从内部剖析和分层评估开始,对供应商进行分类,并规划出每组所需的评估类型、范围和频率。针对每个供应商类别的结构化流程可提高第三方风险管理计划的效率,并做出更好的基于风险的决策。
利用基于固有风险评估的分级,确定资源和工作的优先级。计费或薪资提供商等高风险供应商可能需要更广泛的评估和监控。对于残余风险,根据分级分类调整缓解策略,将资源集中用于高风险供应商,以确保持续合规和降低风险。
利用共享图书馆
第三方风险管理流程会给资源不足的团队带来压力。数据收集和供应商沟通占去了降低风险和完成评估所需的大部分时间。不断变化的监管环境需要专业知识来解释合规义务,这就加剧了这一问题。既要实现合规性,又要满足供应商风险管理要求,同时还要最大限度地发挥团队的技能,这是一个需要平衡的问题。
为了适应资源限制,许多组织(尤其是那些有可靠供应商分层计划的组织)选择利用已提交并在行业交流中共享的完整内容。这些供应商交流会是自我实现的预言--参与的供应商越多,与其他企业的重叠就越大。这加快了风险识别和缓解过程,并最大限度地减少了数据收集时间。
将供应商风险评估与合规要求相结合
确保供应商风险调查表反映贵组织的合规性要求。如果您的供应商可以访问 PII、PHI 或财务数据等敏感信息,请将您的合规性要求与供应商风险问卷相匹配。关键问题包括
- 组织是否获得任何第三方信息安全标准或框架的认证?(例如,SOC 2、NIST 800-53、NIST CSF、CMMC)。
- 组织是否符合网络安全或信息安全合规要求?如果是,是哪些要求?
- 与第三方和第四方共享客户数据的政策和流程是什么?
不要单打独斗
使用TPRM 平台可以大大加快供应商风险评估的速度,帮助对供应商进行评分和分级,并快速将问卷答复与合规要求相匹配。Prevalent 等专用的第三方风险管理解决方案提供内置、可定制的固有风险问卷,可轻松无缝地识别供应商风险。
了解如何利用 Prevalent 简化和精简第三方风险管理。立即预约策略电话或演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
