对于许多企业而言,全球 第三方供应商 已成为战略优势和业务价值的重要来源。然而,外包并非没有风险。随着对第三方的依赖持续增长,由此引起的监管行动和声誉受损的头条新闻也越来越多。 第三方违规 or failure.
这些推动组织需要重新考虑他们如何 方法,识别和管理第三方风险.
由于越来越多的监管重点以及与国内外第三方的关系越来越复杂,在美国或在美国运营的金融服务组织必须高度重视第三方风险管理。在美国以外,像澳大利亚这样的国家非常重视金融服务中的第三方和第四方供应商管理,方法是通过 APRA'审慎标准 也一样
第三方提供商可以通过专注于他们最擅长的工作并将其余的工作外包出去,从而为您的组织提供巨大的战略优势,而最好的企业正在大量利用供应商。但是这些相同的第三方关系存在 网络安全风险 如果管理不好。
随着组织规模和复杂性的增长,管理第三方关系的能力对于成功变得越来越重要。担心扩展其第三方生态系统而可能产生风险的组织将被能够自信地识别和管理风险的组织所破坏。
每个组织,无论是否需要监管,都需要拥有第三名 第四方风险 管理是他们整体的基础 信息安全 风险管理流程,包括对所有第三方和第四方提供商的持续监控。
什么是第三方风险管理(TPRM)?
第三方风险管理(TPRM)是分析和控制与外包给第三方供应商或服务提供商有关的风险的过程。这可能包括访问您的组织'的知识产权,数据,运营,财务,客户信息或其他 敏感信息.
这意味着需要尽职调查来确定第三方对于给定任务的总体适用性,并增加他们是否可以确保信息安全。
尽职调查是一个调查过程,通过该过程,第三方将进行审核以确定是否'适用于给定的任务。尽职调查是一个持续的过程,包括整个供应商生命周期中的审查,监视和管理沟通。
任何第三方风险管理计划的目标都是减少 数据泄露,代价高昂的运营失败,供应商破产并满足法规要求。管理第三方风险并不是什么新鲜事物,但是要承担的风险级别却是。
组织现在面临着各种风险,例如高知名度的企业倒闭的威胁,归因于组织的非法第三方行动,或针对第三方采取的行动的监管执行。
为什么您需要第三方风险管理框架?
至关重要的是,组织必须具有健全,成熟的第三方风险管理计划,其中要涵盖第三方关系可以从最初的尽职调查过渡到业务连续性的风险的所有方面以及生命周期的所有阶段。
仅靠近视操作风险因素(例如性能,质量标准,交付时间,KPI和SLA测量)是不够的。声誉和财务风险越来越重要。例如劳动习惯 信息风险管理,财务健康。
还应了解法律和法规要求。例如遵守贿赂法规,对适用于第三方的全球行业标准的意识以及对环境,健康和安全的遵守。
高级管理层必须了解其组织面临的高风险 网络安全 attacks 和 数据泄露 来自其组织以及第三方和第四方服务提供商。无论您的组织是什么'风险简介,建立第三方风险管理流程是内部审计和减少风险的关键。
的 风险评估 过程应该是您组织的一部分'的内部控制,包括供应链和其他第三方风险评估。
第三方包括您的供应商,供应商,业务渠道,市场合作伙伴,薪资提供者,以及任何其他可能导致财务,法规遵从性或声誉受到破坏的情况。
如何选择第三方风险管理框架?
您选择的第三方风险管理框架应基于您的组织'的监管要求,可接受的风险水平,第三方的使用,业务流程,合资企业,合规性要求和整体企业风险管理策略。
企业现在正在直接在供应链中利用第三方以及诸如销售,分销和支持之类的辅助服务。像云和基于云的应用程序这样的技术的日益使用,进一步加速了外包的趋势,并增加了相关的风险。
此外,第三方执行的任务的价值正在增加,从而增加了第三方供应商中断或失败的影响。
第三方风险是董事会议程中的一项功能,在许多组织中,特别是在受监管环境中运营的组织中,首席执行官/董事会级别的责任。为了获得对第三方管理的保证,对第三方位置的访问变得越来越普遍。
随着业务的分散化,对一致的第三方治理框架的需求日益增长。一流的组织在有效管理相关风险的同时广泛利用了第三方。
我的公司应对第三方违规行为负责吗?
如果您在金融服务行业工作,那么简短的答案是肯定的。
在美国, 货币主计长办公室 (OCC) wrote in its 风险管理指导:
银行对第三方的使用不会削弱其董事会和高级管理人员的责任,以确保该活动以安全无害的方式进行并遵守适用法律。
与OCC一起, 联邦储备体系 (FRS) 和 the 联邦存款保险公司 (FDIC)具有法定权力,以监督与受监管金融机构签订的合同协议中的第三方服务提供商。
在里面 技术服务提供商监督手册 FFIEC强调指出,使用第三方提供商"不会削弱董事会和管理层的责任,以确保活动以安全,合理的方式进行,并遵守适用的法律和法规,就像机构要在内部进行活动一样。"
如果你'在澳大利亚并受APRA监管,请阅读我们关于 APRA CPS 234:信息安全审慎标准.
如果我们不在金融服务部门,我的组织是否应对第三方违规行为负责?
即使你'不在美国以外的地区,而不是在金融服务提供商之外,如果您在美国设有办事处或客户,则仍可能对 第三方 providers.
2014年12月,一家非美国总部的跨国公司因从事违反《反海外腐败法》(FCPA)的行为而被罚款7.72亿美元,该公司在发电,输电以及铁路运输方面均受到关注。这主要是由于第三方的不当行为以及对此类第三方的无效尽职调查和公司控制。
请记住,即使您的公司对第三方的违规或失败不承担财务或监管责任,他们仍可能造成巨大的声誉损失,从而导致财务损失,更重要的是, 客户信任和数据丢失.
第三方风险管理框架的最佳实践是什么?
这俩 国立标准技术研究所 (NIST)和 国际标准化组织 (ISO)具有流行的风险管理框架,可以在任何第三方风险管理计划的评估过程中一起使用。
通常,任何风险管理框架的最佳做法是:
- 盘点与您的组织有关系的所有第三方供应商
- 目录 网络安全风险 交易对手可以使您的组织接触到
- 通过潜在风险评估和细分供应商,并减轻组织之外的风险's risk appetite
- 开发基于规则的系统,以评估未来的供应商,并通过审查实时为未来任何第三方的质量设置最低可接受的障碍 数据安全 和独立评论
- 建立一个所有者 供应商风险管理 和所有其他第三方风险管理规范
- 定义三道防线,包括领导,供应商管理和内部审核
- 第一道防线–拥有和管理风险的职能
- 第二道防线–监督或专门从事风险管理和合规性的职能
- 第三道防线–提供独立保证的职能,首先是内部审计
- 制定应急计划,以应对何时第三方被认为质量不佳或 数据泄露 发生
建立第三方风险管理框架意味着,如果确实发生第三方数据泄露,对组织的财务和声誉损失将降至最低。数据泄露可能会对您造成重大影响 顾客 , 雇员 和 您的组织在市场中的地位.
适当地管理网络安全可减少风险管理的影响和成本,而不会影响整体生产力和将第三方加入组织的能力。
第三方风险管理框架为您的组织提供了共享的决策标准,从而最大程度地减少了管理第三方供应商风险所需的麻烦和时间。最终为您的组织节省资金,更重要的是,为组织节省了声誉以及与客户的关系。
UpGuard如何帮助您降低第三方供应商风险
管理第三方关系可能是一项艰巨的任务。结果,许多组织选择使用使用第一方和第三方数据的智能工具来监视网络安全风险并改善组织的整体安全状况。
UpGuard客户自动 监控供应商的安全性能 随着时间的流逝,并将其与行业进行比较。
每个供应商均根据超过50条标准进行评级,提供每日网络安全评级。我们可以自动发送 供应商安全调查表 帮助您更深入地了解供应商,扩大覆盖范围并扩展安全团队。
我们也 持续扫描并发现数据泄露和泄漏凭证 与您业务的任何部分相关,以防止声誉和法规损害。
保护您的业务不受供应商的侵害, 点击这里 立即预订免费的UpGuard试用版!
