2023年竟已接近尾聲，2024年又該如何呢？安全和第三方風(fēng)險管理的正忙于總結(jié)過去，展望未來。調(diào)查顯示，僅有16%的組織表示，在過去的一年里他們有效地管理了第三方風(fēng)險，我們需要重新審視現(xiàn)有流程效率的機會。

平均而言，一個組織會與88個第三方共享敏感或關(guān)鍵信息。對于員工超過10,000人的組織，這一數(shù)字增至173。這意味著第三方風(fēng)險管理團隊需要花費大量時間進行評估，而安全團隊則需花費約三分之一的時間回應(yīng)安全問卷。因此，與供應(yīng)鏈伙伴合作是十分重要。

盡管在評估第三方網(wǎng)絡(luò)風(fēng)險方面進行了大量投資，但是，在分析結(jié)果和確定組織接下來應(yīng)采取行動之間仍然存在差距。大多數(shù)評估最終并未轉(zhuǎn)化為實際行動。

一、全球監(jiān)管正在推動第三方風(fēng)險管理的透明度

全球各地的監(jiān)管和合規(guī)要求都在強調(diào)確保供應(yīng)鏈的完整性。無論是美國最近的SEC網(wǎng)絡(luò)風(fēng)險披露規(guī)則、澳大利亞的CPS-234、歐洲的DORA，還是加拿大的OSFI TPRM指南，第三方風(fēng)險管理都是全球企業(yè)的關(guān)注重點。雖然一些監(jiān)管嚴(yán)格的行業(yè)可能已經(jīng)建立了成熟的第三方風(fēng)險管理項目，但仍有許多組織現(xiàn)在才開始建立他們的項目。

這種監(jiān)管重點為第三方風(fēng)險管理和安全團隊在組織內(nèi)部及與第三方合作伙伴之間的生態(tài)系統(tǒng)安全提供了新的機遇。組織需要重新考慮其第三方風(fēng)險管理方法以及與供應(yīng)商的關(guān)系。

二、通過合作提高全球安全水平

大多數(shù)安全評估每年進行一次，組織向其供應(yīng)商發(fā)送安全評估，供應(yīng)商的安全團隊需要幾天到幾周的時間來完成，完成后通常就不再有后續(xù)動作。這種傳統(tǒng)做法并不體現(xiàn)真正的伙伴關(guān)系。

現(xiàn)在，想象一下，如果安全團隊不是通過電子表格或ITVRM平臺進行年度評估，而是花時間與供應(yīng)商合作，共享最佳實踐，并共同解決關(guān)鍵安全問題，情況將如何？如果一個擁有成熟第三方風(fēng)險管理項目的組織能夠抽出時間與剛起步的供應(yīng)商分享最佳實踐，會有什么效果？

這將建立一種真正的伙伴關(guān)系，供應(yīng)商更有可能響應(yīng)其客戶的需求，解決安全問題，并推動雙方的責(zé)任。最終，組織能夠通過評估加強與供應(yīng)商的關(guān)系，并推動了安全的改善。

三、行動計劃介紹：與您的供應(yīng)鏈伙伴無縫合作

什么是行動與計劃？這是一種讓組織與其生態(tài)系統(tǒng)無縫合作并提升安全級別的方式。行動計劃幫助客戶通過一個儀表板與內(nèi)部利益相關(guān)者和第三方進行簡化的協(xié)作，生成動態(tài)的修復(fù)計劃，優(yōu)先處理關(guān)鍵漏洞，分派特定人員解決問題，并實時查看進展，從而節(jié)省時間并減少生態(tài)系統(tǒng)風(fēng)險。

行動計劃將通過以下方式根本改變第三方風(fēng)險管理：

1. 能夠精確識別風(fēng)險，并立即制定特定的修復(fù)計劃，以達到所需的評分，從宏觀到微觀，或是針對符合風(fēng)險偏好的特定問題。
2. 實時掌握解決情況，能夠協(xié)作、獲取進展更新、提出澄清問題，并在一個儀表板上統(tǒng)一展示，簡化溝通成本。
3. 一個可擴展的工作流程，使第三方風(fēng)險管理團隊能夠與整個供應(yīng)鏈合作。對供應(yīng)商解決狀態(tài)的整體視圖給安全團隊和VRM團隊提供了信心，讓他們知道注意力應(yīng)該放在在哪里，哪里需要驅(qū)動規(guī)模解決。