第三方风险管理101: 什么是第三方风险管理(TPRM)?

第三方风险管理介绍

• 第三方风险管理协会推出了新系列《第三方风险管理101》，该系列是根据他们的《第三方风险管理指南》进行的，这本全面指南将在未来几个月内提供给所有第三方风险管理专业人士。

• 该系列旨在为那些希望建立、验证和/或增强其第三方风险管理计划的人提供起点。每个视频都将介绍第三方风险管理计划生命周期的六个阶段，包括计划、监督、合同前的尽职调查、合同审查、持续监控、解除关系和持续改进。

• 在深入探讨生命周期之前，首先了解第三方风险管理的基础是非常重要的，包括基本定义、风险类型、风险计算和评估，以及如何解决第三方带来的风险。

• 建立第三方风险管理计划就像建造房子一样，首要任务是确保房子建在坚固的基础上，尽管优质的窗户很重要，但首先确保房子有坚固的基础才能应对未来的风暴。

• 因此，第三方风险是组织数据、财务、运营、声誉或其他业务目标可能因其第三方而受到直接或间接不利影响的可能性。这是TAPM专业人员必须时刻监控和准备应对的风暴。

• 第三方包括所有可以或正在为组织提供产品和/或服务的实体，不论是否签订合同或交换货币。这些实体可能包括但不限于关联公司、子公司、顾问、承包商、分包商、供应商、服务和解决方案提供商以及其他第四方等。

第三方风险管理介绍

第三方风险管理的重要性

• 第三方风险管理是指建立政策、程序、控制和监督的框架，旨在识别和解决第三方给组织带来的风险。

• 第三方风险管理的重要性在于，威胁形势日益复杂，组织对第三方的依赖性加大，数字化转型项目不断增加，监管加强，环境影响日益加剧。

• 组织采购第三方服务、数据和/或知识产权时，经常会与第三方共享组织数据，这就增加了组织的风险。

• 与第三方合作的风险取决于组织与第三方之间的关系性质以及第三方所实施的控制措施。

第三方风险管理的重要性

第三方风险管理关键要点

• 组织在与第三方合作时，需采取安全措施以了解风险并采取适当步骤降低风险。未能妥善评估和管理与第三方合作相关的风险会导致监管机构的审查，面临罚款和法律责任，或者与客户间产生声誉或财务风险。

• 第三方关系可能带来的风险有很多种，如声誉风险、安全漏洞、运营风险、战略风险、交易风险、金融风险、网络安全风险、环境、社会和治理（ESG）风险、合规风险等。

• 第三方风险管理项目不再仅关注网络安全风险，也需要扩大风险视野，包括财务、业务运营、环境和社会影响。因此，评估第三方机构的内部控制至关重要，以确保避免、降低、共担或转移上述风险。

第三方风险管理关键要点

第三方风险评估

• 组织的风险偏好是衡量其所愿意或不愿意接受的风险程度，无论是正式还是非正式记录，所有组织都有风险偏好。

• 如果你的组织没有正式记录其风险偏好，那么需要特别关注第三方风险，因为第三方风险实际上定义了公司的风险偏好。

• 第三方风险的评估对于决定是否与第三方提供商签订合同以及对关系进行持续监测至关重要。

• 了解第三方将提供的服务的性质是为了理解第三方对你的组织会产生的影响。

• 有效利用第三方的产品和服务的关键是对与第三方交易所带来的风险进行适当评估、衡量、监控和跟进。

• 第三方风险分为固有风险和残余风险。固有风险是指在未对现有控制措施进行评估的情况下，根据已提供的一般信息衡量的风险水平。

• 而残余风险是经过实施控制措施评估或发现风险处理后剩余的固有风险水平，对第三方的风险情况提供了更准确的图景。

第三方风险评估

第三方风险管理的选择

• 一旦组织计算出第三方风险的风险，他们可以选择接受、补救、分享转移或避免相关风险。

• 当组织接受风险时，他们承认风险可能造成的潜在损失或影响处于组织能够接受或暂不立即处理的水平。

• 风险接受应该是临时的，直到风险得到适当的缓解或者可以采取次要控制措施。

• 风险补救意味着组织与第三方合作制定并实施可行的行动计划，以增加或加强风险控制。

• 风险分享允许组织将风险责任分担到多个组织和/或个人之间，以确保风险对一个组织和/或个人的影响有限。

• 风险转移通常发生在风险影响高但发生可能性低的情况下，组织可以将风险转移到另一个更适合处理大规模风险的机构，例如保险公司。

• 组织可以选择通过不承担风险或避免造成风险的行为来避免风险。

• 无论组织选择如何处理风险，他们必须首先建立完善的流程来发现和评估风险，这是通过建立强大的第三方风险管理计划来实现的。

第三方风险管理的选择

Conclusion:

通过建立完善的流程来发现和评估风险，组织可以有效利用第三方的产品和服务，有效管理第三方风险。第三方风险管理的评估对于决定是否与第三方提供商签订合同以及对关系进行持续监测至关重要。