第三方风险管理最终指南

NAVEXOne®最终指南 第三方风险管理最终指南 如何成功降低组织的第三方风险 Contents Introduction 3 4 6 7 8 9 10 12 13 13 14 16 16 17 17 18 18 Measure19 Conclusion20 Overview 第三方风险管理最终指南是一个全面的资源，充满洞察力，建议和例子，以帮助组织认识和解决第三方风险的各个方面。 强大的第三方风险管理计划可帮助您的组织在与业务合作伙伴互动时做出明智的选择。它还将保护您的组织免受第三方可能带来的风险。 本最终指南分为三个主要部分：计划，实施，and措施在这些部分中，您将找到所需的信息和工具，以制定基于风险的策略，定义第三方风险，并确定应提高计划有效性的领域。 Introduction 为什么第三方风险管理很重要？ 商业环境仍然是一个不断变化的环境，特别是在管理第三方风险方面。随着业务需求的变化，全球法规的发展以及新趋势的出现，您的组织如何识别和解决第三方带来的风险？简而言之，如果您没有一个强大的计划，您的组织将面临巨大的风险。 降低第三方风险应该是GRC计划的基石。以下是解决第三方风险时需要考虑的一些因素。 越来越依赖第三方 供应商，供应商和其他代理商组织参与的数量持续增长-他们所代表的风险也在增长。组织越来越依赖第三方进行关键运营-但外包这些职责会带来无数的风险，适当地管理它们应该是领导的首要任务。 日益全球化 随着市场的扩大和竞争的加剧，日益全球化是不可避免的。对于许多组织来说，在新市场中竞争意味着与第三方紧密合作。 加强执法 在过去的几年中，全球格局发生了变化，因此，全球监管机构更加关注第三方风险。美国司法部（DOJ）和证券交易所 委员会（SEC）将《反海外腐败法》（FCPA）的执行作为重中之重，美国 和其他全球监管机构加强了制裁执法。此外，保护供应链中人权的全球法规趋势日益增强，特别是在《德国供应链法》和《欧盟供应链指令》中。 网络攻击的兴起 从小型企业到大型企业，所有组织都面临着网络攻击的频率 ，复杂性和影响的增加。与此相关，不良行为者不断改进和更新其破坏系统，网络和信息的努力-总之，这使网络安全成为一个不断变化的目标。 随着新技术不断引入市场并被组织采用以简化业务运营，您的数据共享程度可能呈指数级增长。所有垂直业务领域的技术堆栈日益复杂，加上个人数据的使用，需要一个强大的程序来了解谁可以访问您组织的数据以及他们如何处理这些信息。 风险是真实的 正如我们在新闻中经常看到的那样，在管理第三方方面的领导失误使组织遭受了巨额罚款和罚款，从而损害了组织。即使可以管理财务罚款，声誉影响也可能在多年内产生深远而持久的后果。 第三方风险管理是整个组织的领导者最关心的问题，包括合规 、信息安全、法律、采购等，但许多组织仍在考虑如何最好地管理第三方以限制风险并根据运营风险评估制定计划。 合规性 Legal 信息安全 采购 强大的第三方风险管理计划的好处 管理第三方风险可以在您的组织识别、管理和限制第三方可以代表的责任方面产生重大影响。您的第三方风险就是您的风险-您应该对您的计划将风险降至最低的能力充满信心。 拥有强大的第三方风险管理计划 -包括入职、筛查、测试控制， 对整个企业中的第三方关系进行调查和风险缓解-以多种方式帮助您的组织： 避免罚款、监管执法行动和法律费用 强大的第三方风险管理计划可帮助您的组织避免法律诉讼和罚款 ，并且在发生事件时还可以减少罚款并减轻监管行动。 促进组织的文化 FCPA建议组织必须证明他们正在促进内部和第三方的道德和负责任行为文化。A 实现这一目标的明确途径是要求第三方理解并遵守您的代码参加第三方合规培训，并通过策略管理解决方案证明您的策略。 生成更准确的风险图片 全面的第三方风险管理计划提供有关组织位置的整体数据 最容易受到风险的影响，以及在哪里受到良好的保护。这种洞察力不仅有助于制定培训、政策和招聘决策，而且还可以指出在哪里 可能需要立即采取行动，并应分配资源。 促进连续性 在最坏的情况下,第三方关系的中断甚至会威胁到您自己组织的生存能力。 保护组织的声誉 正如我们在许多备受瞩目的案例中看到的那样，一个第三方的失败会严重影响组织与客户和客户的关系。通过优先考虑经过审查的第三方，确保您的组织将在未来许多年内蓬勃发展。 一种尺寸不适合所有 许多计划负责人担心他们不知道从哪里开始第三方风险管理计划 。但是好消息是，组织不需要大量人员或无限的预算来满足计划的最佳实践。 一种基于风险的方法 第三方风险管理涉及使您的第三方风险状况与您的组织风险状况保持一致，并 构建一个优化两者的程序。 几乎每个组织都有有效的第三方风险管理计划的一些要素 。 在接下来的部分中，我们将提供建议和模板，以确定您已经拥有的内容，确定需要哪些内容来弥补差距，并为您的组织实施正确的战略。 计划 定义您的目标并制定策略 无论您的组织是与世界上的几家本地咨询公司或数千家制造商合作，这些合作都与您的组织相关 -他们的失败会影响您的组织的运作能力。第三方的格局是广阔的，通常具有复杂性，即使是最复杂的组织和领导层也会感到惊讶。 本节介绍了如何建立第三方风险管理的标准流程-从第三方的初始识别到上线、风险筛选、识别和持续监控。 为您的第三方风险管理计划构建业务案例 回答以下问题，以帮助确定专门构建的第三方风险管理计划将对您的业务产生多大影响。 需求评估计算器 成熟的第三方风险管理计划对您的客户有多大的价值生意?是/否 如果我们没有及时有效地识别和分析风险，我们的业务将面临重大影响 第三方的失败将极大地影响我们的业务，并降低提供核心产品和服务的能力 我们的组织在确保和/或报告我们的第三方满足适用法规和合规性要求方面遇到挑战 我们的行业经常变化的法规和合规标准，需要持续的监测和控制测试 您今天如何评估您现有的第三方风险管理计划？ 我们的业务部门处于孤立状态，导致独立的风险评估和无法整合到我们的GRC计划我们没有针对第三方的结构化方法我们没有筛选第三方的标准流程我们的计划没有中心位置来查看我们第三方环境中的风险我们的计划没有任何技术来帮助我们在整个业务中收集、连接和关联数据我们有有限或不明确的工作流程来管理、监控和分析我们的已知风险和发现我们对当前和未来风险的了解有限，主要依赖反动风险和合规程序 您将如何评估您的第三方风险管理流程？ 我们在管理任务上花费了太多时间，例如收集入职信息和沟通风险我们被迫从其他业务领域提取资源以完成TPRM活动我们没有收集风险和合规性信息的自动化流程由于我们业务中的未识别和未减轻的风险，我们经常遇到业务挑战 “是”响应的总数: “是”响应的数量 <5 5-7 8-10 >10 需要级别 Low Moderate 中等高度 高 投资建议 不推荐 选择性投资 投资 立即投资 规划中要包括的关键组成部分 统一的方法 您的业务可能有多个领域参与和管理第三方关系。因此，至关重要的是，所有关键利益相关者，包括与第三方接触的前线利益相关者，都应使用相同的第三方管理系统。孤立的方法大大增加了组织面临的风险。例如，您的采购部门可能不知道您的合规部门发现的与第三方相关的相关信息。 确保程序一致性的关键组件是分布式自动化系统。为了支持这一点，高级管理人员和董事会的全面收购是必要的。贵组织的领导层应定期就第三方风险管理计划进行沟通，向组织中的每个人表明，应审查与第三方的关系，以识别和减轻业务的任何相关风险。 充足的资源 每个人都要处理能力、资源和预算限制。除了最初加入第三方的时间和成本之外，在设置程序时还需要记住额外的成本。考虑与以下相关的运营和业务成本： •持续监控的频率，由您的风险状况和第三方风险状况决定 •要监视的第三方的数量-以及您需要比其他第三方更频繁地监视哪些第三方以及为什么 •当第三方失败时，您的应急计划-如何脱离并限制影响或运营中断 •到什么程度你需要脱离接触。它需要完全分离还是部分分离？它会对所有业务部门产生影响还是只对那些直接受影响的部门产生影响？ •您需要与失败的第三方重新接触的具体保证，以及重新接触过程需要多长时间 •您在生产力损失、停机时间、关系开放时间以及在发生故障时重新参与或寻找替代供应商方面的预期成本 •高效、自动化的解决方案可节省资源（包括全职员工 ）、提高生产率并降低运营成本 适当的翻译和外展 许多高风险的第三方居住在英语不是母语的新兴市场。在许多情况下，第三方发现对第三方风险管理的审查既高风险又令人困惑-尤其是当传达的信息不是第三方的本地语言时。 用第三方的当地语言提供通知、说明和面试问题可以使第三方对过程更加舒适，并帮助准确回答重要的问题，例如“为什么过程很重要”和“我们的信息将如何使用？” 第三方培训 组织应在适当的情况下考虑将组织合规培训，特别是关于行为守则和政策认证的培训扩展到其各种第三方。关于何时以及以何种形式提供培训支持的决定应反映第三方的风险状况和风险程度关系。顶级治理、风险和合规 (GRC)计划为第三方提供可定制的培训，可轻松添加到您正在进行的合规培训中。 确定您的第三方 对于大多数组织来说，第三方的前景在广度和复杂性上继续扩大 。随着组织的发展，有大量具有深厚专业知识和广泛能力的第三方可以扩展组织的成功能力。 如今，许多组织正在通过第三方参与积极扩展其业务能力，无论是否有基于风险的第三方风险管理计划。 您的直接供应链和分销渠道代表了您的组织与第三方之间的直接关系，但现在越来越常见的是，您的直接第三方代表您与您的组织没有直接关系的外部专业顾问、代理商和承包商进行合作。当您的第三方拥有间接第三方网络时-。 有时被称为第四方-他们也需要注意。 考虑存在哪些类型的第三方风险 第三方可能会给您的组织带来几种类型的潜在风险，这些风险总结为以下类别： 合规性组织因未能采取行动而可能受到法律处罚、财务没收和物质损失的风险 符合行业法律法规、内部政策或规定的最佳实践。 财务风险投资或商业风险亏损的风险。一些更常见和不同的金融风险包括信用风险、流动性风险和操作风险——这些风险可能导致 资本损失给相关方。 IT和网络安全风险与信息、数据或信息(或控制)系统的机密性、完整性或可用性丧失相关的风险，并反映对组织运营的潜在不利影响。 法律风险第三方将影响您的组织遵守当地法律、法规或协议的风险 。 操作风险第三方将导致业务运营中断的风险。这通常通过合同约束的服务级别协议(SLA)进行管理。 监管风险法律法规的变化将对证券、业务、部门或市场产生重大影响的风险。 声誉风险声誉损害是由于公司声誉受损而导致的财务资本、社会资本和/或市场份额的损失。这通常以收入损失、运营支出增加 、资本或监管成本或股东价值的破坏来衡量。 战略风险您的组织因第三方失败而无法实现其业务目标的风险 。 您的第三方风险概况 在确定了您的第三方网络之后，必须直截了当地了解这些项目对组织成功的影响。这意味着不仅要定义第三方参与的深度和广度，还要了解计划成功或失败的成本。这意味着定义成功的衡量标准和规划所有可能的计划限制。 通过定义以下内容来评估您的 风险： 1贵组织所处的监管环境和行业 2您的组织参与的第三方数量 3与您合作的第三方的类型（供应商，经销商，分销商，制造商等）及其所在地 4对您的业务运营至关重要的第三方的数量 5每个第三方提供的产品和服务 6每个第三方都可以使用哪些数据 您的第三方计划和您的组织，首先要了解您所在环境中存在的威胁和机遇。 您的组织参与的第三方数量是您的风险级别的一个指标。它可以帮助您定义您的挑战-比您的组织在员工或收入方面的规模更重要。实际上，第三方在组织规模中所占的比例比总数更清楚地表明了您的风险水平。例如，有一些全球制造公司通过大型第三方网络促进制造，同时直接雇用很少的员工。相反，大型跨国公司与很少的第三方合作。