日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
風險管理視角之第三方風險管理

隨著各國監(jiān)管機構(gòu)更加關注組織如何管理外包和應對第三方的風險,其監(jiān)管要求日益嚴厲,對于違法違規(guī)行為除了行政追責還有越來越高的罰款。因此作為組織的管理者在開展IT風險治理的建設過程中,需要關注和建立對第三方有效的風險管控。

成都創(chuàng)新互聯(lián)公司是一家專注于成都網(wǎng)站設計、成都網(wǎng)站制作與策劃設計,石獅網(wǎng)站建設哪家好?成都創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設十載,網(wǎng)設計領域的專業(yè)建站公司;建站業(yè)務涵蓋:石獅等地區(qū)。石獅做網(wǎng)站價格咨詢:13518219792

一、前言

任何企業(yè)機構(gòu)在開展生產(chǎn)經(jīng)營活動的過程中,或多或少總是存在著和第三方機構(gòu)/人員發(fā)生業(yè)務往來的相互過程。這些第三方有可能是營銷合作伙伴,有可能是IT技術廠商,也有可能是服務外包機構(gòu)。有國外資料顯示,大的金融機構(gòu)可能有超過50000個供應商列表[1]。隨著全球經(jīng)濟這幾年來增長乏力,越來越多的組織為降低成本開支而傾向于將業(yè)務外包,這意味著組織將引入和面臨著更多的風險。其次,隨著各國監(jiān)管機構(gòu)更加關注組織如何管理外包和應對第三方的風險,其監(jiān)管要求日益嚴厲,對于違法違規(guī)行為除了行政追責還有越來越高的罰款。因此作為組織的管理者在開展IT風險治理的建設過程中,需要關注和建立對第三方有效的風險管控。

二、第三方風險剖析

1. 什么是第三方風險和第三方風險管理

在了解第三方風險(Third Party Risk)的時候,我們需要首先了解第三方包含哪些范圍。實際上第三方包含的范圍比較廣,它包含了以下主要類別:

  • 跟業(yè)務有關的產(chǎn)品或服務的供應商和生產(chǎn)商
  • 商業(yè)伙伴(合資伙伴,商業(yè)聯(lián)盟等)
  • 市場伙伴
  • 營銷伙伴
  • 戰(zhàn)略顧問
  • 政府機構(gòu)
  • 監(jiān)管機構(gòu)
  • 客戶

從以上可以看到,即第三方風險是一個涵義廣泛的概念,它包含、覆蓋和涉及了眾多的風險,例如供應鏈風險(supply chain risk),供應商風險(vendor risk)、業(yè)務連續(xù)性風險(business continue risk)、營銷風險(marketing risk)等。而與之對應的第三方風險管理(Third Party Risk Management,簡稱TPRM)就是了解和理解第三方可能給機構(gòu)組織本身帶來的正面或負面的影響,并采取積極主動和有效的措施應對可能的負面影響和潛在的風險損失。

2. 第三方風險分類

第三方風險總體上可以分為實體風險和服務風險。其中,實體風險包括因第三方本身在規(guī)模、資質(zhì)、能力、聲譽以及經(jīng)驗方面的不足和欠缺所帶來的風險。服務風險則主要指第三方在提供的產(chǎn)品以及提供的服務中因功能、性能、維護/升級、SLA、服務過程、交付物、政策許可等方面存在不滿足和不合規(guī)而帶來的風險。

具體的第三方風險包括如下:

圖:第三方風險組成

(1) 聲譽風險

因為第三方自身存在問題而帶來組織帶來聲譽上的連帶風險。2018年Cambridge Analytica數(shù)據(jù)分析公司的前職員曝光該公司利用Facebook的數(shù)據(jù)幫助特朗普在大選中獲勝,而Facebook早就知道這家公司非法利用了自己的用戶數(shù)據(jù)。此事的曝光導致Facebook公司的聲譽嚴重受損,民調(diào)顯示,只有44%的美國人相信Facebook遵守了美國的隱私法,而60%的德國人則擔心Facebook和其他社交網(wǎng)絡對西方民主所產(chǎn)生的負面影響[2]。

(2) 合規(guī)/法律風險

組織因為第三方違規(guī)或?qū)ζ溥`規(guī)監(jiān)管不力而遭受監(jiān)管處罰或法律懲處的風險。例如美國衛(wèi)星廣播服務提供商Dish Network因該公司的外包服務供應商向已經(jīng)注冊不接受電話推銷的用戶撥打了超過5500萬次電話而在2017年被美國聯(lián)邦法院開出的2.8億美元的罰單[3]。又如我國的一些支付行業(yè)機構(gòu)也因為外包服務管理不力而遭到處罰。2017年上海某公司湖南分公司遭人民銀行長沙中心支行罰款9萬元。這里面的處罰原因就有“收單外包業(yè)務管理不力”。2014年3月,某支付機構(gòu)因“未落實商戶實名制;對外包服務商監(jiān)管不力……”等原因被央行做出“全國范圍內(nèi)停止接入新商戶”的處罰決定。

(3) 運行風險

第三方在服務工作過程中因設施質(zhì)量或服務中未遵守規(guī)范,又或技能經(jīng)驗不足而給組織帶來包括業(yè)務和信息安全方面的風險。例如,近年來國內(nèi)外多家云服務商均出現(xiàn)過因設施問題或操作運維過程的不規(guī)范而導致云租戶的業(yè)務中?;驍?shù)據(jù)丟失。

(4) 信息安全風險

由于第三方的安全管理不到位而給組織帶來數(shù)據(jù)泄露、財產(chǎn)損失等風險。此外第三方機構(gòu)或個人的惡意行為也是造成組織發(fā)生信息安全風險的因素之一。2017年,黑客突破了第三方供應商的亞馬遜帳號,利用暗黑網(wǎng)站竊取的憑據(jù)來偽造交易并盜取現(xiàn)金[4]。而美國折扣經(jīng)紀公司Scottrade在同年3月證實,因第三方數(shù)據(jù)保管不善發(fā)生數(shù)據(jù)泄露,從而暴露了其約20000客戶的非公開信息[5]。

(5) 經(jīng)濟損失風險

因第三方產(chǎn)品/服務質(zhì)量問題以及第三方財務經(jīng)營問題而給組織帶來的投資損失。此外還包括因第三方違規(guī)而導致的業(yè)務中斷損失、數(shù)據(jù)泄露損失以及相應的連帶風險損失。以前面Facebook的案例為例,2018年的二季度統(tǒng)計Facebook股價跌幅約24%,8月統(tǒng)計其市值蒸發(fā)超1千億美元,不僅活躍用戶數(shù)降低,而且也有合作伙伴不再續(xù)約。據(jù)路透社8月8日報道,意大利裕信銀行表示其將停止在Facebook繼續(xù)投放廣告,并會在Facebook提升它的“道德標準”之前暫停在該平臺上的一切營銷活動。

(6) 商業(yè)環(huán)境風險

因組織或第三方所在國的政策變動而引發(fā)帶來的業(yè)務連續(xù)性風險損失。例如,今年中美貿(mào)易戰(zhàn)給中美兩國的企業(yè)在選擇和保持第三方關系的時候帶了巨大困擾,不少企業(yè)都不得不重新審慎評估當前和未來在供應鏈、市場營銷等第三方關系上存在的風險。

3. 第三方風險管理現(xiàn)狀

國內(nèi)外的監(jiān)管機構(gòu)很早就觀察和留意到第三方供應/服務給組織帶來風險,并根據(jù)此情況發(fā)布了相應的合規(guī)要求。就金融行業(yè)而言,舉例來說,我國銀監(jiān)會在2013年發(fā)布了《銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引》,2014年發(fā)布了《加強銀行業(yè)金融機構(gòu)信息科技非駐場集中式外包風險管理的通知》。在美國,美聯(lián)儲下屬的銀行監(jiān)督管理部,消費者與社會事務部以及美國聯(lián)邦儲備理事會在2013年12月聯(lián)合發(fā)布了旨在指導美國的國家成員、其他銀行、儲蓄和貸款控股公司 (包括其銀行子公司) 以及在美國開展業(yè)務的外國銀行機構(gòu)如何開展外包風險管理的指南[6]。此外,美國通貨監(jiān)理局(Office of the Comptroller of the Currency,OCC)在2013年發(fā)布了題為“第三方關系:風險管理指南”( Third-Party Relationships: Risk Management Guidance)并在2017年進行了更新。可以看到第三方風險管理早不是新的安全管理范疇,但盡管如此,從Ponemon研究機構(gòu)2017年9月發(fā)布了《Data Risk in the Third-Party Ecosystem Second Annual Study》報告[7]中看到,受調(diào)查對象中第三方風險管理的情況仍不是太樂觀。該報告的主要發(fā)現(xiàn)如下:

  • 第三方合規(guī)管理程序有效性依舊較低
  • 只有17%的受訪者評價自己的公司能有效減輕第三方風險;
  • 60%的受訪者認為目前還沒有準備好對他們的第三方進行檢查或驗證;
  • 管理層的職責性和參與性略有增加
  • 42%的受訪者強烈認同或同意公司董事會需要保證對第三方的風險進行評估,管理和監(jiān)控;
  • 只有三分之一的受訪者反饋其內(nèi)部人員會定期向董事會就第三方管理程序的有效性及對組織潛在的風險進行匯報;
  • 缺乏對第三方的可見性
  • 半數(shù)以上的受訪者沒有對與他們共享敏感信息的第三方進行全面地清查;
  • 13%的受訪者表示他們不能確定是否發(fā)生過第三方數(shù)據(jù)泄露;
  • 現(xiàn)有的管理措施存在不足
  • 57%的受訪者表示他們組織沒有能力評估供應商的安全措施和策略是否滿足數(shù)據(jù)防泄漏要求;
  • 超過一半的受訪者表示在開展業(yè)務和共享敏感或機密信息前他們沒有評估過所有供應商的安全和隱私保護能力;

除了報告提及的內(nèi)容之外,還有一些問題也導致組織的第三方風險管理存在潛在風險,這些問題包括[1]

  • 在沒有評估第三方風險管理實踐充分性和合規(guī)性的情況下簽訂合同;
  • 未在合同中寫入并激勵第三方承擔對組織或其客戶的惡意風險,也未能使第三方的收入在***化的同時實現(xiàn)雙贏;
  • 在沒有合同的情況下開展和從事非正式的第三方關系;

三、第三方風險管理應對

1. 第三方風險管理流程及內(nèi)容

第三方風險管理的流程仍然遵循著風險管理生命周期的理念,因此第三方風險管理可以從常規(guī)的風險管理生命周期演進變化而來。從這個角度出發(fā),我們可以將第三方風險管理流程分為以下六個關鍵階段:

  • 合規(guī)和戰(zhàn)略
  • 審視合規(guī)要求,計劃和明確組織的TPRM戰(zhàn)略,包括如何選擇、評估和監(jiān)管第三方;
  • 建立TPRM程序與流程并確保程序執(zhí)行的統(tǒng)一性和唯一性;
  • 需求定義與風險評估
  • 評估第三方需求的必要性;
  • 貫徹盡職調(diào)查和第三方采購/合作風險評估;
  • 評估第三方的價值提供及風險概況;
  • 決定是否選擇新的第三方以及是否對現(xiàn)有合作第三方的關系重新進行定義(升級、降級或終止);
  • 第三方選擇、采購以及盡職調(diào)查
  • 執(zhí)行市場和集中風險分析;
  • 梳理需求場景并據(jù)此對第三方進行歸類;
  • 根據(jù)組織安全策略和合規(guī)監(jiān)管的要求,要求第三方完成指定的安全自評估;
  • 對選定第三方進行評估和風險分析;
  • 合同簽署
  • 合同內(nèi)容除了產(chǎn)品/服務內(nèi)容,還包含第三方管理協(xié)議(Third-Party Management Agreements,TPMA)也稱業(yè)務關聯(lián)協(xié)議(Business Associate Agreements, BAA)[8]
  • BAA內(nèi)容覆蓋關鍵的合規(guī)和法律要求,以及對隱私信息、知識產(chǎn)權等的保護要求;
  • BAA內(nèi)容涵蓋明確的KPI考核,SLA要求,以及應急和修復的要求;
  • 用第三方所在國的官方語言編寫合同副本,確保第三方對合同內(nèi)容的正確理解和認可;
  • 持續(xù)監(jiān)控與報告
  • 開展對第三方的培訓以確保其知曉并遵循合規(guī)要求和組織安全策略要求;
  • 對第三方的市場經(jīng)營、財務狀況、對應產(chǎn)品研發(fā)情況等進行監(jiān)控;
  • 確立風險基線和觸發(fā)上報機制;
  • 對第三方合作過程和成果質(zhì)量進行監(jiān)控、評估和報告,以評估與其關系的維系和級別升降;
  • 建立當雙方發(fā)生爭議或問題時的解決程序(包括觸發(fā)機制、溝通機制、糾正程序、跟蹤關閉程序);
  • 回顧與終止
  • 定期或適時對TPRM策略和程序進行回顧和修訂;
  • 建立與第三方的合作終止程序;
  • 執(zhí)行第三方終止風險評估和變更風險評估;

2. 第三方風險管理評估的checklist

在踐行第三方風險管理的時候,組織可以通過設定一個checklist表格或問卷來幫助充分了解和評估組織在第三方風險管理方面的現(xiàn)狀和問題。Checklist的調(diào)查內(nèi)容通常包括如下:

  • 當前的建設發(fā)展和運行階段需要怎樣的第三方進行參與和合作?
  • 是否已建立TPRM程序?
  • 是否已建立第三方列表和資料庫?
  • 是否已了解第三方的市場經(jīng)營、財務狀況、服務能力、研發(fā)能力以及市場聲譽等背景情況?
  • 第三方是否經(jīng)歷過安全事件、事件嚴重程度如何、其響應速度和處置效果如何?
  • 第三方是否清晰知曉組織的安全管理策略與要求?
  • 第三方是否清晰知曉相應的合規(guī)監(jiān)管要求?
  • 第三方是否建立自有的安全策略和安全程序?
  • 第三方的安全管理是否滿足合規(guī)以及內(nèi)部的要求?
  • 第三方是否擁有并提供充足的受到良好訓練的人員?
  • 第三方提供的產(chǎn)品/服務的價值如何,是否滿足要求?
  • 是否了解哪些敏感信息因為和第三方合作而可能被訪問和使用?
  • 是否對第三方的接入提供可控的物理和網(wǎng)絡接入環(huán)境?
  • 是否有充足的技術措施以控制第三方對敏感信息的訪問、使用?
  • 是否具備有效的監(jiān)督管理機制和技術監(jiān)控措施實現(xiàn)對第三方的持續(xù)監(jiān)控管理?
  • 對第三方的審計評估是否由獨立的審計部門完成?
  • 合同中是否涵蓋了信息安全要求、SLA要求、KPI考核、風險和法律承擔義務等要求?
  • 合同的簽署是否得到了內(nèi)部使用部門、安全部門和法務部門的審核和確認?

四、結(jié)束語

隨著現(xiàn)代社會的分工日益細化和專業(yè)化以及成本節(jié)約的考慮,企業(yè)機構(gòu)將會和越來越多的第三方產(chǎn)生商業(yè)往來。企業(yè)機構(gòu)與第三方的商務關系不僅體現(xiàn)在雙方的共贏,也體現(xiàn)在風險的共擔。因此做好第三方風險管理不僅有利于提升己方對風險的風控能力,保障商業(yè)合作的順利進行,同時也能夠更好的促進和實現(xiàn)雙贏。

參考文獻

  • https://www.protiviti.com/sites/default/files/fsi-vendor-management-whitepaper-protiviti_1.pdf
  • https://www.reuters.com/article/us-facebook-cambridge-analytica-apology/americans-less-likely-to-trust-facebook-than-rivals-on-personal-data-idUSKBN1H10AF
  • https://www.landiannews.com/archives/36389.html
  • https://www.scmagazine.com/hackers-compromise-third-party-vendor-amazon-accounts/article/649665/
  • https://www.tripwire.com/state-of-security/latest-security-news/scottrade-confirms-third-party-data-breach-exposed-20000-customers-private-data/
  • Guidance on Managing Outsourcing Risk, Board of Governors of the Federal Reserve System, December 5, 2013:
  • Http://federalreserve.gov/bankinforeg/srletters/sr1319a1.pdf
  • https://www.opus.com/resource/data-risk-third-party-ecosystem-2nd-annual-study-ponemon-institute/
  • https://searchsecurity.techtarget.com/feature/Third-party-risk-management-Horror-stories-You-are-not-alone

【本文是專欄作者“綠盟科技博客”的原創(chuàng)稿件,轉(zhuǎn)載請通過聯(lián)系原作者獲取授權】

戳這里,看該作者更多好文


分享標題:風險管理視角之第三方風險管理
鏈接分享:http://www.dlmjj.cn/article/copchjc.html