为什么需要第三方风险管理
高等教育监管要求逐年增加. 付出的代价不仅仅是落后——缺乏满足这些要求的正式政策和程序可能导致财务后果, 负面新闻, 整体上缺乏信任会从多个方面伤害大学. 遵从性需要放在每一个战略计划的最前面, 确保为行业制定的任何法规做好准备.
Complying with these regulations all begins with creating tried and true policies and procedures for dealing with internal and external parties; from performing an annual risk assessment to address GLBA requirements, 与您的第三方进行有意义的对话,以确保他们为保护您的数据而执行的控制舒适, 需要实施稳健的控制. The latter is often an area in which many organizations struggle; all too often the process for selecting new third parties is unilateral or lacks involvement from necessary parties such as general counsel, IT, 和遵从性. 进一步, 大多数采购部门没有足够的资源对新的或现有的第三方进行适当的审查或尽职调查, 再加上, 还没有达成一致的指标来审查. 一个明确的第三方风险管理(TPRM)计划对于确保大学参与的所有第三方都能通过标准化流程进行跟踪和循环至关重要.
当前状态vs. 期望状态
TPRM生命周期可以分为两个主要部分:获取和持续监控. 收购既关注固有风险,也关注剩余风险, 而组织的持续监测主要是与大学对第三方维持的剩余风险的舒适程度相对应. 固有风险被定义为过程或活动中固有的自然风险水平,而没有采取任何措施来降低事故的可能性或减轻事故的严重性, 剩余风险的定义是在通过控制缓解减少了自然固有风险后,与某一行动或事件相关的剩余风险量. 在这个案例研究中, 我们将重点介绍一所认识到TPRM重要性的大学,以及我们如何帮助他们站起来并实施他们的项目.
该大学维持现有流程,但仍然缺少TPRM生命周期的关键部分. 即, 有适当的流程来理解固有风险和剩余风险, 然而, 风险分类没有正式定义, 这使得建立清点/分类第三方和执行持续监测的程序变得困难. 这篇“我们的思考”文章的重点, 我们将分析第三方采掘的当前状态和期望状态,以及TPRM生命周期中的持续监控步骤.
当前状态
作为尽职调查的一部分, 大学采购带头评估新的潜在第三方. 这一尽职调查过程包括基于运营方面的问题,评估了解新第三方所拥有的固有风险和剩余风险, 金融, 数据安全. 采购部门负责评估业务和财务风险, while IT was responsible for assessing data security; each assessment was given a score, 从而使采购和IT部门能够在知情的情况下决定是否继续或终止采购过程. 一旦进行了初步评估, 如果学校决定采取行动, 法律部门参与起草了一份与第三方合作的合同.
期望状态
该大学的收购过程拥有所有基本工具,可以对潜在的第三方做出明智的决定. 然而, 采购部门根据可能的第三方对业务和财务问题单的初步答复,单方面负责评估这些第三方, 和类似的, IT部门单方面负责评估数据安全. 我们建议成立一个包括采购部成员在内的TPRM委员会, IT, 会计, 并依法确保责任共担的模式. 另外, TPRM委员会应该定义标准,以确定大学可以接受的内在和剩余风险水平(也就是他们的风险偏好或容忍度),为院系提供商定的指标,以便在决定与新的第三方合作时使用.
接受第三方后, 并且基于操作, 金融, 并进行数据安全评估, 大学应该使用商定的风险分类(例如.e., 至关重要的, 高, 媒介, 低), 由TPRM委员会决定, 将风险分类应用于第三方. 也, 应进行关键性评估,以确定如果第三方业务停止,并且没有替代的第三方来支持正在发挥的作用,第三方可能对大学业务产生的影响. 根据他们提供的bet9平台游戏,临界性评估可能会将低风险的第三方提升到更高的类别.
通过指定第三方进行风险分类, 它允许组织定义在哪个级别, 无论是频率还是深度, 这个操作, 金融, 数据安全评估需要持续进行. TPRM委员会应根据现有第三方的风险偏好和执行这些任务的带宽,设计审查的频率和深度. 例如, 一所大学可能会决定为一个被列为关键的第三方进行年度和完整的数据安全评估. 另一方面, 大学可能只进行两年一次的数据安全评估,其中包含一些为第三方划分为中等或低级别的问题.
专业协助
施耐德唐斯IT风险咨询团队以顾问的身份创建一个正式的TPRM框架. 通过运用我们在全球系统重要性银行(g - sib)的第三方领域的经验, 医疗保健机构, 能源集团, 零售, 以及高等教育机构, 我们提供可扩展的TPRM流程,以允许组织简化他们的流程并改善他们的整体风险状况.