编者按:以下对Prevalent公司布拉德·希伯特(Brad Hibbert)的访谈最初发表于www.credittoday.net,经授权转载于此。
越来越多的信贷经理向《信贷今日》透露,他们正被要求提供供应商风险评估。鉴于全球与本地供应链均面临压力,加之可持续发展已成为管理主题,这一趋势实属意料之中。
企业风险管理(ERM)的兴起正催生出新的专业领域与技术。数据安全是信息技术与服务供应商的核心议题,但另一关注点在于企业的供应链体系——这正是需要信用分析师技能的领域,他们需评估现有及潜在供应商与服务提供商的财务与运营风险。
为深入了解第三方风险管理(TPRM)及信贷主管在此领域可发挥的作用,我们采访了第三方风险管理软件解决方案提供商Prevalent的首席运营官兼首席安全官布拉德·希伯特。
信用经理应了解哪些关于交易对手风险管理流程的知识?
第三方风险管理(TPRM)是指分析并降低外包给第三方供应商或服务提供商所伴随风险的过程。第三方风险范畴涵盖多种类型,包括安全风险、财务风险、环境风险及声誉风险。 值得注意的是,财务稳定性与破产风险是第三方风险管理生命周期中的重要组成部分。尽管TPRM与信用分析在财务洞察的分析方法和考量维度上具有可比性,但TPRM的关注点更具运营属性——因其直接影响营收服务环节。
大多数公司如何处理TPRM?
在处理第三方风险时,已形成三大独立市场类别——第三方风险管理(TPRM)、供应链风险管理(SCRM)和合规风险管理。这些流程针对特定职能岗位的第三方风险不同侧重点展开——例如安全、采购和审计。 这些团队常独立运作,各自采用孤立的解决方案和流程。传统上这些流程每年执行一次,但当前趋势是通过问卷评估与持续监测公开数据相结合的方式,对第三方风险进行持续性评估。
组织中的哪些部门参与了交易对手风险管理?
历史上,评估此类风险的流程往往相互割裂。IT/安全部门专注于IT供应商的安全相关风险;采购和/或供应商管理部门则侧重非IT相关风险,包括财务风险、绩效风险、交付风险、地缘政治风险,以及如今的ESG(环境、社会和治理)风险。 法律与合规职能部门则关注制裁、政治敏感人物(PEPs)、国有资产等领域;这些团队还可能要求安全/IT团队围绕数据保护与访问控制措施开展基于合规的尽职调查,并确保其符合欧盟《通用数据保护条例》(GDPR)、纽约州金融服务部(NYDFS)23 NY CRR 500等各类监管要求。
信贷经理如何才能最有效地协助交易对手风险管理团队?除组织风险或财务风险之外,信贷经理是否还能在其他领域提供支持?
若信贷经理通过标准或专有分析方法识别风险及风险指标,这些风险评估与洞察可反馈至交易风险管理(TPRM)体系。这些洞察不仅能结合其他非财务风险进行综合考量,更能用于触发并执行贯穿供应商合作全周期的跨部门标准化风险工作流程。
信贷经理向交易风险管理团队传达风险因素的最佳方式是什么?
若信贷经理采用的流程与产品独立于更广泛的交易方风险管理(TPRM)计划,则可将相关风险及风险评分进行整合。此举既能将这些洞察与其他风险维度建立关联,又可触发更标准化的跨团队风险工作流,并借助TPRM计划通过标准化工作流程与业务部门及第三方直接互动,追踪这些风险的缓解情况。
请进一步说明TPRM团队收集供应商及其他供应商数据的来源。
在定期问卷式风险评估之间,可能发生诸多变故。为补充定点评估,企业还会实施持续监控,以实时掌握第三方风险动态。持续监控数据流的示例包括:
- ESG:针对上市公司的环境、社会与治理评分体系,通过分析师驱动的洞察分析企业立场与决策流程,并结合年度同行评审及美国环保署生态违规数据库。
- 网络空间:犯罪论坛;洋葱页面;暗网特殊访问论坛;威胁情报源;泄露凭证粘贴网站——以及安全社区、代码仓库和漏洞数据库。
- 商业动态:来自公共网站、公司博客、新闻报道等渠道的评论。这能精准定位更广泛社区中讨论的任何潜在热点事件,例如财务报告、并购活动、运营调整及调查事件。
- 财务:通过信用机构和调查工作流程,精准识别可能影响财务稳定性的任何财务异常或空壳控股。
- 声誉风险:全球范围内的定向制裁与执法名单,包括识别当前禁止交易的政治敏感人士或企业。
- 黑客攻击与数据泄露:过去十年内已知的数据泄露或黑客攻击事件,包括在公共网站上泄露的凭证信息,这些都需要予以关注。
对于信贷经理而言,这种级别的监控固然无法取代传统财务分析,但它能对那些对第三方财务状况和信用评级产生重大下游影响的活动提供早期洞察。若某公司存在数据泄露历史、正遭受攻击、遭遇大规模系统中断或卷入诉讼纠纷,您是否希望及时知晓? 所有这些信息均可被系统整合、提炼归纳、分级排序,并主动推送至相关信贷经理。这将助力决策者更迅速地作出前瞻性判断,及时采取补救措施——包括调整授信额度、信贷条款及/或信用保险方案。
网络数据和情绪数据如何助力信贷经理?
协调第三方风险管理(TPRM)计划有助于企业建立全面的第三方风险档案。团队可通过该视角运用这些洞察,在各自职能领域做出更优的基于风险的决策。除标准预筛选和财务数据外,TPRM还能提供额外洞察。
从网络安全角度来看,完善的第三方风险管理(TPRM)计划能提供有关第三方数据泄露历史及当前安全状况的信息。它还能帮助解答第三方自身防护能力的问题——可将其视为潜在安全漏洞的指标。需关注过去10-15年间其公开披露的数据泄露事件数量、泄露数据规模及泄露数据类型。 糟糕的泄露记录可能影响企业的服务交付能力、账款支付能力,甚至危及生存。一旦实施TPRM解决方案,即可自动监控第三方持续性数据泄露事件,确保企业建立主动补救与风险缓解机制。此类信息亦可供信用保险核保人参考,使其能够超越常规财务指标进行评估。
从企业声誉角度来看,监控还能持续提供可能影响第三方交付能力或潜在服务中断的业务事件洞察,包括裁员、系统中断、劳资纠纷,以及对声誉和品牌造成冲击的事件(如违反环保法规、诉讼等)。所有这些事件不仅会影响组织的服务交付能力,还会影响其支付账单的能力。 这延伸至对财务报表、关键裁员及并购活动的可视化监控,这些因素均可能影响第三方未来的财务状况。
EPA、ESG及其他环境风险因素是否正成为重要领域?
每年我们都会开展TPRM调查,且非IT风险的重要性逐年提升。在受访群体中,我们持续观察到对非IT风险可视化及风险整改的关注度不断提高,涵盖业务声誉和ESG等领域。
道德采购作为主题日益凸显,以至于ESG驱动型基金如今正受到投资者的青睐。这种趋势部分源于企业纷纷分享数据点以证明其遵循ESG指导原则,从而使采购过程中的分析成为可能。
涉及哪些持续监控措施?信用管理能否为此带来益处或作出贡献?
在我看来,信用管理带来的益处在于:既能对业务活动进行比例化的洞察,又能提升财务记录的可见度,从而为组织整体健康状况提供即时概览。持续监控还能延伸至组织内部的自报事件——这些信息若无监控机制,往往会被遗漏。
当对第三方资产进行整体评估时,其提供的趋势与财务变量数据库可为模型构建提供参考依据,进而支持信贷经理的日常决策。挑战在于如何获取该持续监测数据集并提炼出有价值的洞察。这需要各方协作与知识共享。
信用经理在未与第三方风险决策中心产生利益纠葛时,亦可为其提供支持与协助。凭借丰富的经验及对财务记录的深入了解,他们能够协助并指导第三方报告审核人员,同时就潜在风险与陷阱提供专业建议。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
