Управление рисками третьих лиц: нет единого размера, подходящего всем

Стороннее управление рисками (TPRM) занимает одно из первых мест в списке бизнес-приоритетов и приоритетов управления рисками, и это хорошо.

Несмотря на прогнозы в первые дни пандемии COVID-19 о том, что компании будут ограничивать стратегии аутсорсинга, экосистема третьих сторон продолжает расти, более мелкие поставщики и Поставщики остаются объектами кибербезопасности, глобальная система регулирования продолжает выдвигать новые требования, а нарушения в цепочке создания стоимости стали обычным явлением. Для поставщиков TPRM это хорошая новость, поскольку, в отличие от лет, последовавших за Великой рецессией, компании не отказываются от инвестиций в безопасность и риски.

Что в имени? Это TRPM или IT VRM?

Ту-май-то, ту-мах-то, да? Не совсем. Вот некоторый контекст номенклатуры сторонних рисков. Финансовые службы используют термин «третьи стороны» для согласования с языком OCC (Управление контролера денежного обращения), здравоохранение ссылается на «деловых партнеров» для согласования с языком OCC (Управление контролера денежного обращения). HIPAA, и в производстве обычно используется слово «поставщик». Все остальные тяготеют к термину «поставщик», потому что многое из того, что мы сейчас называем управлением рисками третьей стороны, началось с (а в некоторых случаях по-прежнему в основном сосредоточено на) поставщиках программного обеспечения и поставщиках ИТ-услуг, для которых основной задачей является соблюдение требований ИТ-контроля. рамки/стандарты.

Также: Определение современного нулевого доверия

Forrester использует слово «третья сторона» для обозначения этих организаций, а также нетрадиционных третьих сторон, таких как иностранные филиалы, внешние юрисконсульты, PR-фирмы, временные или временные работники и даже ваш совет директоров. режиссеры. Если это не сотрудник, то это третье лицо.

Рынок TPRM не является «универсальным» 

Рынок TPRM поддерживают несколько типов поставщиков, каждый из которых специализируется на одной или нескольких областях риска, отраслях или уровнях зрелости клиентов. Для нас риск третьей стороны — это больше, чем просто рейтинг кибербезопасности или инструмент комплексной проверки.

Forrester определяет эту категорию как:

Платформы, которые определяют, оценивают, отслеживают и сообщают о рисках для организации, возникающих в результате их отношений с третьими сторонами. Они поддерживают анализ, обработку и рабочий процесс для снижения рисков на каждом этапе стороннего жизненного цикла, включая: 1) поиск/закупки, 2) комплексная проверка, 3) отбор, 4) адаптация, 5) постоянный мониторинг рисков и 6) прекращение/отключение.

Когда дело доходит до управления рисками и соблюдения требований сторонних организаций, недостатка в вариантах нет. В новом отчете Forrester «Now Tech: Сторонние платформы управления рисками, первый квартал 2022 года» 22 ведущие технологии TPRM разделены на четыре сегмента в зависимости от их возможностей:

1. Специализированные технологии. Они обеспечивают надежные возможности на протяжении всего жизненного цикла стороннего управления рисками. Они предлагают сочетание опыта в предметной области и широкого функционала для поддержки всех уровней зрелости TPRM.
2. Платформы GRC. Платформы управления, рисков и соответствия требованиям (GRC) предлагают надежную поддержку для широкого спектра сценариев использования рисков и соответствия в дополнение к TPRM.
3. Обмен спонсорами. Спонсоры биржи предлагают доступ к предварительно заполненным и проверенным результатам оценки, множеству типов документации и доказательств, а также аналитике.
4. Вертикально ориентированные поставщики. Эти поставщики обладают глубокими знаниями специализированных технологий, широким спектром возможностей платформ GRC и часто предоставляют вспомогательные услуги, но ориентированы исключительно на отрасли со сложным соблюдением требований третьих сторон. требования.

В каждом сегменте есть поставщики, которые подойдут разным типам покупателей.

Этот пост был написан старшим аналитиком Аллой Валенте, и изначально он появился здесь.