风险管理视角之第三方风险管理

除了报告提及的内容之外，还有一些问题也导致组织的第三方风险管理存在潜在风险，这些问题包括[1]

• 在没有评估第三方风险管理实践充分性和合规性的情况下签订合同;
• 未在合同中写入并激励第三方承担对组织或其客户的恶意风险，也未能使第三方的收入在最大化的同时实现双赢;
• 在没有合同的情况下开展和从事非正式的第三方关系;

三、第三方风险管理应对

1. 第三方风险管理流程及内容

第三方风险管理的流程仍然遵循着风险管理生命周期的理念，因此第三方风险管理可以从常规的风险管理生命周期演进变化而来。从这个角度出发，我们可以将第三方风险管理流程分为以下六个关键阶段：

• 合规和战略
• 审视合规要求，计划和明确组织的TPRM战略，包括如何选择、评估和监管第三方;
• 建立TPRM程序与流程并确保程序执行的统一性和唯一性;
• 需求定义与风险评估
• 评估第三方需求的必要性;
• 贯彻尽职调查和第三方采购/合作风险评估;
• 评估第三方的价值提供及风险概况;
• 决定是否选择新的第三方以及是否对现有合作第三方的关系重新进行定义(升级、降级或终止);
• 第三方选择、采购以及尽职调查
• 执行市场和集中风险分析;
• 梳理需求场景并据此对第三方进行归类;
• 根据组织安全策略和合规监管的要求，要求第三方完成指定的安全自评估;
• 对选定第三方进行评估和风险分析;
• 合同签署
• 合同内容除了产品/服务内容，还包含第三方管理协议(Third-Party Management Agreements，TPMA)也称业务关联协议(Business Associate Agreements, BAA)[8]
• BAA内容覆盖关键的合规和法律要求，以及对隐私信息、知识产权等的保护要求;
• BAA内容涵盖明确的KPI考核，SLA要求，以及应急和修复的要求;
• 用第三方所在国的官方语言编写合同副本，确保第三方对合同内容的正确理解和认可;
• 持续监控与报告
• 开展对第三方的培训以确保其知晓并遵循合规要求和组织安全策略要求;
• 对第三方的市场经营、财务状况、对应产品研发情况等进行监控;
• 确立风险基线和触发上报机制;
• 对第三方合作过程和成果质量进行监控、评估和报告，以评估与其关系的维系和级别升降;
• 建立当双方发生争议或问题时的解决程序(包括触发机制、沟通机制、纠正程序、跟踪关闭程序);
• 回顾与终止
• 定期或适时对TPRM策略和程序进行回顾和修订;
• 建立与第三方的合作终止程序;
• 执行第三方终止风险评估和变更风险评估;

2. 第三方风险管理评估的checklist

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!