风险管理视角之第三方风险管理

随着各国监管机构更加关注组织如何管理外包和应对第三方的风险，其监管要求日益严厉，对于违法违规行为除了行政追责还有越来越高的罚款。因此作为组织的管理者在开展IT风险治理的建设过程中，需要关注和建立对第三方有效的风险管控。

一、前言

任何企业机构在开展生产经营活动的过程中，或多或少总是存在着和第三方机构/人员发生业务往来的相互过程。这些第三方有可能是营销合作伙伴，有可能是IT技术厂商，也有可能是服务外包机构。有国外资料显示，大的金融机构可能有超过50000个供应商列表[1]。随着全球经济这几年来增长乏力，越来越多的组织为降低成本开支而倾向于将业务外包，这意味着组织将引入和面临着更多的风险。其次，随着各国监管机构更加关注组织如何管理外包和应对第三方的风险，其监管要求日益严厉，对于违法违规行为除了行政追责还有越来越高的罚款。因此作为组织的管理者在开展IT风险治理的建设过程中，需要关注和建立对第三方有效的风险管控。

二、第三方风险剖析

1. 什么是第三方风险和第三方风险管理

在了解第三方风险(Third Party Risk)的时候，我们需要首先了解第三方包含哪些范围。实际上第三方包含的范围比较广，它包含了以下主要类别：

• 跟业务有关的产品或服务的供应商和生产商
• 商业伙伴(合资伙伴，商业联盟等)
• 市场伙伴
• 营销伙伴
• 战略顾问
• 政府机构
• 监管机构
• 客户

从以上可以看到，即第三方风险是一个涵义广泛的概念，它包含、覆盖和涉及了众多的风险，例如供应链风险(supply chain risk)，供应商风险(vendor risk)、业务连续性风险(business continue risk)、营销风险(marketing risk)等。而与之对应的第三方风险管理(Third Party Risk Management，简称TPRM)就是了解和理解第三方可能给机构组织本身带来的正面或负面的影响，并采取积极主动和有效的措施应对可能的负面影响和潜在的风险损失。

2. 第三方风险分类

第三方风险总体上可以分为实体风险和服务风险。其中，实体风险包括因第三方本身在规模、资质、能力、声誉以及经验方面的不足和欠缺所带来的风险。服务风险则主要指第三方在提供的产品以及提供的服务中因功能、性能、维护/升级、SLA、服务过程、交付物、政策许可等方面存在不满足和不合规而带来的风险。

具体的第三方风险包括如下：

图：第三方风险组成

(1) 声誉风险

因为第三方自身存在问题而带来组织带来声誉上的连带风险。2018年Cambridge Analytica数据分析公司的前职员曝光该公司利用Facebook的数据帮助特朗普在大选中获胜，而Facebook早就知道这家公司非法利用了自己的用户数据。此事的曝光导致Facebook公司的声誉严重受损，民调显示，只有44%的美国人相信Facebook遵守了美国的隐私法，而60%的德国人则担心Facebook和其他社交网络对西方民主所产生的负面影响[2]。

(2) 合规/法律风险

组织因为第三方违规或对其违规监管不力而遭受监管处罚或法律惩处的风险。例如美国卫星广播服务提供商Dish Network因该公司的外包服务供应商向已经注册不接受电话推销的用户拨打了超过5500万次电话而在2017年被美国联邦法院开出的2.8亿美元的罚单[3]。又如我国的一些支付行业机构也因为外包服务管理不力而遭到处罚。2017年上海某公司湖南分公司遭人民银行长沙中心支行罚款9万元。这里面的处罚原因就有“收单外包业务管理不力”。2014年3月，某支付机构因“未落实商户实名制;对外包服务商监管不力……”等原因被央行做出“全国范围内停止接入新商户”的处罚决定。

(3) 运行风险

第三方在服务工作过程中因设施质量或服务中未遵守规范，又或技能经验不足而给组织带来包括业务和信息安全方面的风险。例如，近年来国内外多家云服务商均出现过因设施问题或操作运维过程的不规范而导致云租户的业务中停或数据丢失。

(4) 信息安全风险

由于第三方的安全管理不到位而给组织带来数据泄露、财产损失等风险。此外第三方机构或个人的恶意行为也是造成组织发生信息安全风险的因素之一。2017年，黑客突破了第三方供应商的亚马逊帐号，利用暗黑网站窃取的凭据来伪造交易并盗取现金[4]。而美国折扣经纪公司Scottrade在同年3月证实，因第三方数据保管不善发生数据泄露，从而暴露了其约20000客户的非公开信息[5]。

(5) 经济损失风险

因第三方产品/服务质量问题以及第三方财务经营问题而给组织带来的投资损失。此外还包括因第三方违规而导致的业务中断损失、数据泄露损失以及相应的连带风险损失。以前面Facebook的案例为例，2018年的二季度统计Facebook股价跌幅约24%，8月统计其市值蒸发超1千亿美元，不仅活跃用户数降低，而且也有合作伙伴不再续约。据路透社8月8日报道，意大利裕信银行表示其将停止在Facebook继续投放广告，并会在Facebook提升它的“道德标准”之前暂停在该平台上的一切营销活动。

(6) 商业环境风险

因组织或第三方所在国的政策变动而引发带来的业务连续性风险损失。例如，今年中美贸易战给中美两国的企业在选择和保持第三方关系的时候带了巨大困扰，不少企业都不得不重新审慎评估当前和未来在供应链、市场营销等第三方关系上存在的风险。

3. 第三方风险管理现状

国内外的监管机构很早就观察和留意到第三方供应/服务给组织带来风险，并根据此情况发布了相应的合规要求。就金融行业而言，举例来说，我国银监会在2013年发布了《银行业金融机构信息科技外包风险监管指引》，2014年发布了《加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》。在美国，美联储下属的银行监督管理部，消费者与社会事务部以及美国联邦储备理事会在2013年12月联合发布了旨在指导美国的国家成员、其他银行、储蓄和贷款控股公司 (包括其银行子公司) 以及在美国开展业务的外国银行机构如何开展外包风险管理的指南[6]。此外，美国通货监理局(Office of the Comptroller of the Currency，OCC)在2013年发布了题为“第三方关系:风险管理指南”( Third-Party Relationships: Risk Management Guidance)并在2017年进行了更新。可以看到第三方风险管理早不是新的安全管理范畴，但尽管如此，从Ponemon研究机构2017年9月发布了《Data Risk in the Third-Party Ecosystem Second Annual Study》报告[7]中看到，受调查对象中第三方风险管理的情况仍不是太乐观。该报告的主要发现如下：

• 第三方合规管理程序有效性依旧较低
• 只有17%的受访者评价自己的公司能有效减轻第三方风险;
• 60%的受访者认为目前还没有准备好对他们的第三方进行检查或验证;
• 管理层的职责性和参与性略有增加
• 42%的受访者强烈认同或同意公司董事会需要保证对第三方的风险进行评估，管理和监控;
• 只有三分之一的受访者反馈其内部人员会定期向董事会就第三方管理程序的有效性及对组织潜在的风险进行汇报;
• 缺乏对第三方的可见性
• 半数以上的受访者没有对与他们共享敏感信息的第三方进行全面地清查;
• 13%的受访者表示他们不能确定是否发生过第三方数据泄露;
• 现有的管理措施存在不足
• 57%的受访者表示他们组织没有能力评估供应商的安全措施和策略是否满足数据防泄漏要求;
• 超过一半的受访者表示在开展业务和共享敏感或机密信息前他们没有评估过所有供应商的安全和隐私保护能力;

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!