如今的TPRM计划的成熟度还远远不够

Prevalent,Inc.,一家致力于摆脱第三方风险管理的公司,发布了一项研究结果,名为“从被动到主动的第三方风险之路” “管理”,详细介绍了过去六个月对公司进行的深入成熟度评估得出的结果。结果令人吃惊,从1(低成熟度)到5(高成熟度)的平均评分为2.53。该研究表明,大多数第三方风险管理程序仍然是手动操作,并且由电子表格驱动,因此成熟度得分较低。这些程序缺乏速度,规模和情报来充分管理第三方风险。

第三方风险管理的领导者 确定了第三方管理实践落后的五个关键领域:

内容:是否已建立支持流程,以确保调查表的内容保持最新并根据被评估实体的范围适合目的?

得分:2.60

角色和职责:为计划做出贡献的代表是否意识到其职责和参与工作流程的程度?

得分:2.88

覆盖范围:该计划的范围有多全面?维护外部贡献实体的可见性吗?

得分:2.67

治理:如何衡量计划的绩效,如何证明成功以及可以使用指标来提供战略方向?

得分:2.14

补救措施:补救措施是否以一致的方式进行,是否优化了流程以提高程序效率?

得分:2.58

Prevalent公司第三方风险副总裁布伦达·费拉罗(Brenda Ferraro)说:“组织比以往任何时候都需要处理更多的第三方,并且要满足无数的合规性要求。而且,大多数公司缺乏资源和一致,可重复的流程来对它们进行评估–在不知不觉中允许供应商将其暴露于网络攻击以及对安全性,隐私和合规性的其他威胁的情况下,幸运的是,这里只有一个地方可以找到,而成熟度评估分析的结果清楚地表明:组织可以采取的具体步骤,以防止其进一步下滑。”

根据详细分析,Prevalent确定了三个突出的风险:

没有修复指南。没有标准化的准则,与第三方审查风险发现的过程可能会不一致,从而导致与组织要求不符。86%的公司的补救准则不一致。

无视第N个政党。公司必须准备好应对供应链中断,包括第三方由于第三方而面临的中断。不考虑第四方或第N方可能会带来不确定的风险和运营瓶颈。这对于79%的公司来说都是一个问题。

报告不足。对于组织而言,如果不就新出现的威胁,关注领域,变更评估和风险补救进行战略内部对话,就很难做出明智的决策。普遍性研究显示,有69%的公司没有重要的战略报告机会。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。