隨著各國(guó)監(jiān)管機(jī)構(gòu)更加關(guān)注組織如何管理外包和應(yīng)對(duì)第三方的風(fēng)險(xiǎn)，其監(jiān)管要求日益嚴(yán)厲，對(duì)于違法違規(guī)行為除了行政追責(zé)還有越來越高的罰款。因此作為組織的管理者在開展IT風(fēng)險(xiǎn)治理的建設(shè)過程中，需要關(guān)注和建立對(duì)第三方有效的風(fēng)險(xiǎn)管控。

[[245244]]

一、前言

任何企業(yè)機(jī)構(gòu)在開展生產(chǎn)經(jīng)營(yíng)活動(dòng)的過程中，或多或少總是存在著和第三方機(jī)構(gòu)/人員發(fā)生業(yè)務(wù)往來的相互過程。這些第三方有可能是營(yíng)銷合作伙伴，有可能是IT技術(shù)廠商，也有可能是服務(wù)外包機(jī)構(gòu)。有國(guó)外資料顯示，大的金融機(jī)構(gòu)可能有超過50000個(gè)供應(yīng)商列表[1]。隨著全球經(jīng)濟(jì)這幾年來增長(zhǎng)乏力，越來越多的組織為降低成本開支而傾向于將業(yè)務(wù)外包，這意味著組織將引入和面臨著更多的風(fēng)險(xiǎn)。其次，隨著各國(guó)監(jiān)管機(jī)構(gòu)更加關(guān)注組織如何管理外包和應(yīng)對(duì)第三方的風(fēng)險(xiǎn)，其監(jiān)管要求日益嚴(yán)厲，對(duì)于違法違規(guī)行為除了行政追責(zé)還有越來越高的罰款。因此作為組織的管理者在開展IT風(fēng)險(xiǎn)治理的建設(shè)過程中，需要關(guān)注和建立對(duì)第三方有效的風(fēng)險(xiǎn)管控。

二、第三方風(fēng)險(xiǎn)剖析

1. 什么是第三方風(fēng)險(xiǎn)和第三方風(fēng)險(xiǎn)管理

在了解第三方風(fēng)險(xiǎn)(Third Party Risk)的時(shí)候，我們需要首先了解第三方包含哪些范圍。實(shí)際上第三方包含的范圍比較廣，它包含了以下主要類別：

• 跟業(yè)務(wù)有關(guān)的產(chǎn)品或服務(wù)的供應(yīng)商和生產(chǎn)商
• 商業(yè)伙伴(合資伙伴，商業(yè)聯(lián)盟等)
• 市場(chǎng)伙伴
• 營(yíng)銷伙伴
• 戰(zhàn)略顧問
• 政府機(jī)構(gòu)
• 監(jiān)管機(jī)構(gòu)
• 客戶

從以上可以看到，即第三方風(fēng)險(xiǎn)是一個(gè)涵義廣泛的概念，它包含、覆蓋和涉及了眾多的風(fēng)險(xiǎn)，例如供應(yīng)鏈風(fēng)險(xiǎn)(supply chain risk)，供應(yīng)商風(fēng)險(xiǎn)(vendor risk)、業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)(business continue risk)、營(yíng)銷風(fēng)險(xiǎn)(marketing risk)等。而與之對(duì)應(yīng)的第三方風(fēng)險(xiǎn)管理(Third Party Risk Management，簡(jiǎn)稱TPRM)就是了解和理解第三方可能給機(jī)構(gòu)組織本身帶來的正面或負(fù)面的影響，并采取積極主動(dòng)和有效的措施應(yīng)對(duì)可能的負(fù)面影響和潛在的風(fēng)險(xiǎn)損失。

2. 第三方風(fēng)險(xiǎn)分類

第三方風(fēng)險(xiǎn)總體上可以分為實(shí)體風(fēng)險(xiǎn)和服務(wù)風(fēng)險(xiǎn)。其中，實(shí)體風(fēng)險(xiǎn)包括因第三方本身在規(guī)模、資質(zhì)、能力、聲譽(yù)以及經(jīng)驗(yàn)方面的不足和欠缺所帶來的風(fēng)險(xiǎn)。服務(wù)風(fēng)險(xiǎn)則主要指第三方在提供的產(chǎn)品以及提供的服務(wù)中因功能、性能、維護(hù)/升級(jí)、SLA、服務(wù)過程、交付物、政策許可等方面存在不滿足和不合規(guī)而帶來的風(fēng)險(xiǎn)。

具體的第三方風(fēng)險(xiǎn)包括如下：

圖：第三方風(fēng)險(xiǎn)組成

(1) 聲譽(yù)風(fēng)險(xiǎn)

因?yàn)榈谌阶陨泶嬖趩栴}而帶來組織帶來聲譽(yù)上的連帶風(fēng)險(xiǎn)。2018年Cambridge Analytica數(shù)據(jù)分析公司的前職員曝光該公司利用Facebook的數(shù)據(jù)幫助特朗普在大選中獲勝，而Facebook早就知道這家公司非法利用了自己的用戶數(shù)據(jù)。此事的曝光導(dǎo)致Facebook公司的聲譽(yù)嚴(yán)重受損，民調(diào)顯示，只有44%的美國(guó)人相信Facebook遵守了美國(guó)的隱私法，而60%的德國(guó)人則擔(dān)心Facebook和其他社交網(wǎng)絡(luò)對(duì)西方民主所產(chǎn)生的負(fù)面影響[2]。

(2) 合規(guī)/法律風(fēng)險(xiǎn)

組織因?yàn)榈谌竭`規(guī)或?qū)ζ溥`規(guī)監(jiān)管不力而遭受監(jiān)管處罰或法律懲處的風(fēng)險(xiǎn)。例如美國(guó)衛(wèi)星廣播服務(wù)提供商Dish Network因該公司的外包服務(wù)供應(yīng)商向已經(jīng)注冊(cè)不接受電話推銷的用戶撥打了超過5500萬次電話而在2017年被美國(guó)聯(lián)邦法院開出的2.8億美元的罰單[3]。又如我國(guó)的一些支付行業(yè)機(jī)構(gòu)也因?yàn)橥獍?wù)管理不力而遭到處罰。2017年上海某公司湖南分公司遭人民銀行長(zhǎng)沙中心支行罰款9萬元。這里面的處罰原因就有“收單外包業(yè)務(wù)管理不力”。2014年3月，某支付機(jī)構(gòu)因“未落實(shí)商戶實(shí)名制;對(duì)外包服務(wù)商監(jiān)管不力……”等原因被央行做出“全國(guó)范圍內(nèi)停止接入新商戶”的處罰決定。

(3) 運(yùn)行風(fēng)險(xiǎn)

第三方在服務(wù)工作過程中因設(shè)施質(zhì)量或服務(wù)中未遵守規(guī)范，又或技能經(jīng)驗(yàn)不足而給組織帶來包括業(yè)務(wù)和信息安全方面的風(fēng)險(xiǎn)。例如，近年來國(guó)內(nèi)外多家云服務(wù)商均出現(xiàn)過因設(shè)施問題或操作運(yùn)維過程的不規(guī)范而導(dǎo)致云租戶的業(yè)務(wù)中?；驍?shù)據(jù)丟失。

(4) 信息安全風(fēng)險(xiǎn)

由于第三方的安全管理不到位而給組織帶來數(shù)據(jù)泄露、財(cái)產(chǎn)損失等風(fēng)險(xiǎn)。此外第三方機(jī)構(gòu)或個(gè)人的惡意行為也是造成組織發(fā)生信息安全風(fēng)險(xiǎn)的因素之一。2017年，黑客突破了第三方供應(yīng)商的亞馬遜帳號(hào)，利用暗黑網(wǎng)站竊取的憑據(jù)來偽造交易并盜取現(xiàn)金[4]。而美國(guó)折扣經(jīng)紀(jì)公司Scottrade在同年3月證實(shí)，因第三方數(shù)據(jù)保管不善發(fā)生數(shù)據(jù)泄露，從而暴露了其約20000客戶的非公開信息[5]。

(5) 經(jīng)濟(jì)損失風(fēng)險(xiǎn)

因第三方產(chǎn)品/服務(wù)質(zhì)量問題以及第三方財(cái)務(wù)經(jīng)營(yíng)問題而給組織帶來的投資損失。此外還包括因第三方違規(guī)而導(dǎo)致的業(yè)務(wù)中斷損失、數(shù)據(jù)泄露損失以及相應(yīng)的連帶風(fēng)險(xiǎn)損失。以前面Facebook的案例為例，2018年的二季度統(tǒng)計(jì)Facebook股價(jià)跌幅約24%，8月統(tǒng)計(jì)其市值蒸發(fā)超1千億美元，不僅活躍用戶數(shù)降低，而且也有合作伙伴不再續(xù)約。據(jù)路透社8月8日?qǐng)?bào)道，意大利裕信銀行表示其將停止在Facebook繼續(xù)投放廣告，并會(huì)在Facebook提升它的“道德標(biāo)準(zhǔn)”之前暫停在該平臺(tái)上的一切營(yíng)銷活動(dòng)。

(6) 商業(yè)環(huán)境風(fēng)險(xiǎn)

因組織或第三方所在國(guó)的政策變動(dòng)而引發(fā)帶來的業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)損失。例如，今年中美貿(mào)易戰(zhàn)給中美兩國(guó)的企業(yè)在選擇和保持第三方關(guān)系的時(shí)候帶了巨大困擾，不少企業(yè)都不得不重新審慎評(píng)估當(dāng)前和未來在供應(yīng)鏈、市場(chǎng)營(yíng)銷等第三方關(guān)系上存在的風(fēng)險(xiǎn)。

3. 第三方風(fēng)險(xiǎn)管理現(xiàn)狀

國(guó)內(nèi)外的監(jiān)管機(jī)構(gòu)很早就觀察和留意到第三方供應(yīng)/服務(wù)給組織帶來風(fēng)險(xiǎn)，并根據(jù)此情況發(fā)布了相應(yīng)的合規(guī)要求。就金融行業(yè)而言，舉例來說，我國(guó)銀監(jiān)會(huì)在2013年發(fā)布了《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》，2014年發(fā)布了《加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息科技非駐場(chǎng)集中式外包風(fēng)險(xiǎn)管理的通知》。在美國(guó)，美聯(lián)儲(chǔ)下屬的銀行監(jiān)督管理部，消費(fèi)者與社會(huì)事務(wù)部以及美國(guó)聯(lián)邦儲(chǔ)備理事會(huì)在2013年12月聯(lián)合發(fā)布了旨在指導(dǎo)美國(guó)的國(guó)家成員、其他銀行、儲(chǔ)蓄和貸款控股公司 (包括其銀行子公司) 以及在美國(guó)開展業(yè)務(wù)的外國(guó)銀行機(jī)構(gòu)如何開展外包風(fēng)險(xiǎn)管理的指南[6]。此外，美國(guó)通貨監(jiān)理局(Office of the Comptroller of the Currency，OCC)在2013年發(fā)布了題為“第三方關(guān)系:風(fēng)險(xiǎn)管理指南”( Third-Party Relationships: Risk Management Guidance)并在2017年進(jìn)行了更新?？梢钥吹降谌斤L(fēng)險(xiǎn)管理早不是新的安全管理范疇，但盡管如此，從Ponemon研究機(jī)構(gòu)2017年9月發(fā)布了《Data Risk in the Third-Party Ecosystem Second Annual Study》報(bào)告[7]中看到，受調(diào)查對(duì)象中第三方風(fēng)險(xiǎn)管理的情況仍不是太樂觀。該報(bào)告的主要發(fā)現(xiàn)如下：

• 第三方合規(guī)管理程序有效性依舊較低
• 只有17%的受訪者評(píng)價(jià)自己的公司能有效減輕第三方風(fēng)險(xiǎn);
• 60%的受訪者認(rèn)為目前還沒有準(zhǔn)備好對(duì)他們的第三方進(jìn)行檢查或驗(yàn)證;
• 管理層的職責(zé)性和參與性略有增加
• 42%的受訪者強(qiáng)烈認(rèn)同或同意公司董事會(huì)需要保證對(duì)第三方的風(fēng)險(xiǎn)進(jìn)行評(píng)估，管理和監(jiān)控;
• 只有三分之一的受訪者反饋其內(nèi)部人員會(huì)定期向董事會(huì)就第三方管理程序的有效性及對(duì)組織潛在的風(fēng)險(xiǎn)進(jìn)行匯報(bào);
• 缺乏對(duì)第三方的可見性
• 半數(shù)以上的受訪者沒有對(duì)與他們共享敏感信息的第三方進(jìn)行全面地清查;
• 13%的受訪者表示他們不能確定是否發(fā)生過第三方數(shù)據(jù)泄露;
• 現(xiàn)有的管理措施存在不足
• 57%的受訪者表示他們組織沒有能力評(píng)估供應(yīng)商的安全措施和策略是否滿足數(shù)據(jù)防泄漏要求;
• 超過一半的受訪者表示在開展業(yè)務(wù)和共享敏感或機(jī)密信息前他們沒有評(píng)估過所有供應(yīng)商的安全和隱私保護(hù)能力;

除了報(bào)告提及的內(nèi)容之外，還有一些問題也導(dǎo)致組織的第三方風(fēng)險(xiǎn)管理存在潛在風(fēng)險(xiǎn)，這些問題包括[1]

• 在沒有評(píng)估第三方風(fēng)險(xiǎn)管理實(shí)踐充分性和合規(guī)性的情況下簽訂合同;
• 未在合同中寫入并激勵(lì)第三方承擔(dān)對(duì)組織或其客戶的惡意風(fēng)險(xiǎn)，也未能使第三方的收入在***化的同時(shí)實(shí)現(xiàn)雙贏;
• 在沒有合同的情況下開展和從事非正式的第三方關(guān)系;

三、第三方風(fēng)險(xiǎn)管理應(yīng)對(duì)

1. 第三方風(fēng)險(xiǎn)管理流程及內(nèi)容

第三方風(fēng)險(xiǎn)管理的流程仍然遵循著風(fēng)險(xiǎn)管理生命周期的理念，因此第三方風(fēng)險(xiǎn)管理可以從常規(guī)的風(fēng)險(xiǎn)管理生命周期演進(jìn)變化而來。從這個(gè)角度出發(fā)，我們可以將第三方風(fēng)險(xiǎn)管理流程分為以下六個(gè)關(guān)鍵階段：

• 合規(guī)和戰(zhàn)略
• 審視合規(guī)要求，計(jì)劃和明確組織的TPRM戰(zhàn)略，包括如何選擇、評(píng)估和監(jiān)管第三方;
• 建立TPRM程序與流程并確保程序執(zhí)行的統(tǒng)一性和唯一性;
• 需求定義與風(fēng)險(xiǎn)評(píng)估
• 評(píng)估第三方需求的必要性;
• 貫徹盡職調(diào)查和第三方采購/合作風(fēng)險(xiǎn)評(píng)估;
• 評(píng)估第三方的價(jià)值提供及風(fēng)險(xiǎn)概況;
• 決定是否選擇新的第三方以及是否對(duì)現(xiàn)有合作第三方的關(guān)系重新進(jìn)行定義(升級(jí)、降級(jí)或終止);
• 第三方選擇、采購以及盡職調(diào)查
• 執(zhí)行市場(chǎng)和集中風(fēng)險(xiǎn)分析;
• 梳理需求場(chǎng)景并據(jù)此對(duì)第三方進(jìn)行歸類;
• 根據(jù)組織安全策略和合規(guī)監(jiān)管的要求，要求第三方完成指定的安全自評(píng)估;
• 對(duì)選定第三方進(jìn)行評(píng)估和風(fēng)險(xiǎn)分析;
• 合同簽署
• 合同內(nèi)容除了產(chǎn)品/服務(wù)內(nèi)容，還包含第三方管理協(xié)議(Third-Party Management Agreements，TPMA)也稱業(yè)務(wù)關(guān)聯(lián)協(xié)議(Business Associate Agreements, BAA)[8]
• BAA內(nèi)容覆蓋關(guān)鍵的合規(guī)和法律要求，以及對(duì)隱私信息、知識(shí)產(chǎn)權(quán)等的保護(hù)要求;
• BAA內(nèi)容涵蓋明確的KPI考核，SLA要求，以及應(yīng)急和修復(fù)的要求;
• 用第三方所在國(guó)的官方語言編寫合同副本，確保第三方對(duì)合同內(nèi)容的正確理解和認(rèn)可;
• 持續(xù)監(jiān)控與報(bào)告
• 開展對(duì)第三方的培訓(xùn)以確保其知曉并遵循合規(guī)要求和組織安全策略要求;
• 對(duì)第三方的市場(chǎng)經(jīng)營(yíng)、財(cái)務(wù)狀況、對(duì)應(yīng)產(chǎn)品研發(fā)情況等進(jìn)行監(jiān)控;
• 確立風(fēng)險(xiǎn)基線和觸發(fā)上報(bào)機(jī)制;
• 對(duì)第三方合作過程和成果質(zhì)量進(jìn)行監(jiān)控、評(píng)估和報(bào)告，以評(píng)估與其關(guān)系的維系和級(jí)別升降;
• 建立當(dāng)雙方發(fā)生爭(zhēng)議或問題時(shí)的解決程序(包括觸發(fā)機(jī)制、溝通機(jī)制、糾正程序、跟蹤關(guān)閉程序);
• 回顧與終止
• 定期或適時(shí)對(duì)TPRM策略和程序進(jìn)行回顧和修訂;
• 建立與第三方的合作終止程序;
• 執(zhí)行第三方終止風(fēng)險(xiǎn)評(píng)估和變更風(fēng)險(xiǎn)評(píng)估;

2. 第三方風(fēng)險(xiǎn)管理評(píng)估的checklist

在踐行第三方風(fēng)險(xiǎn)管理的時(shí)候，組織可以通過設(shè)定一個(gè)checklist表格或問卷來幫助充分了解和評(píng)估組織在第三方風(fēng)險(xiǎn)管理方面的現(xiàn)狀和問題。Checklist的調(diào)查內(nèi)容通常包括如下：

• 當(dāng)前的建設(shè)發(fā)展和運(yùn)行階段需要怎樣的第三方進(jìn)行參與和合作?
• 是否已建立TPRM程序?
• 是否已建立第三方列表和資料庫?
• 是否已了解第三方的市場(chǎng)經(jīng)營(yíng)、財(cái)務(wù)狀況、服務(wù)能力、研發(fā)能力以及市場(chǎng)聲譽(yù)等背景情況?
• 第三方是否經(jīng)歷過安全事件、事件嚴(yán)重程度如何、其響應(yīng)速度和處置效果如何?
• 第三方是否清晰知曉組織的安全管理策略與要求?
• 第三方是否清晰知曉相應(yīng)的合規(guī)監(jiān)管要求?
• 第三方是否建立自有的安全策略和安全程序?
• 第三方的安全管理是否滿足合規(guī)以及內(nèi)部的要求?
• 第三方是否擁有并提供充足的受到良好訓(xùn)練的人員?
• 第三方提供的產(chǎn)品/服務(wù)的價(jià)值如何，是否滿足要求?
• 是否了解哪些敏感信息因?yàn)楹偷谌胶献鞫赡鼙辉L問和使用?
• 是否對(duì)第三方的接入提供可控的物理和網(wǎng)絡(luò)接入環(huán)境?
• 是否有充足的技術(shù)措施以控制第三方對(duì)敏感信息的訪問、使用?
• 是否具備有效的監(jiān)督管理機(jī)制和技術(shù)監(jiān)控措施實(shí)現(xiàn)對(duì)第三方的持續(xù)監(jiān)控管理?
• 對(duì)第三方的審計(jì)評(píng)估是否由獨(dú)立的審計(jì)部門完成?
• 合同中是否涵蓋了信息安全要求、SLA要求、KPI考核、風(fēng)險(xiǎn)和法律承擔(dān)義務(wù)等要求?
• 合同的簽署是否得到了內(nèi)部使用部門、安全部門和法務(wù)部門的審核和確認(rèn)?

四、結(jié)束語

隨著現(xiàn)代社會(huì)的分工日益細(xì)化和專業(yè)化以及成本節(jié)約的考慮，企業(yè)機(jī)構(gòu)將會(huì)和越來越多的第三方產(chǎn)生商業(yè)往來。企業(yè)機(jī)構(gòu)與第三方的商務(wù)關(guān)系不僅體現(xiàn)在雙方的共贏，也體現(xiàn)在風(fēng)險(xiǎn)的共擔(dān)。因此做好第三方風(fēng)險(xiǎn)管理不僅有利于提升己方對(duì)風(fēng)險(xiǎn)的風(fēng)控能力，保障商業(yè)合作的順利進(jìn)行，同時(shí)也能夠更好的促進(jìn)和實(shí)現(xiàn)雙贏。

參考文獻(xiàn)

• https://www.protiviti.com/sites/default/files/fsi-vendor-management-whitepaper-protiviti_1.pdf
• https://www.reuters.com/article/us-facebook-cambridge-analytica-apology/americans-less-likely-to-trust-facebook-than-rivals-on-personal-data-idUSKBN1H10AF
• https://www.landiannews.com/archives/36389.html
• https://www.scmagazine.com/hackers-compromise-third-party-vendor-amazon-accounts/article/649665/
• https://www.tripwire.com/state-of-security/latest-security-news/scottrade-confirms-third-party-data-breach-exposed-20000-customers-private-data/
• Guidance on Managing Outsourcing Risk, Board of Governors of the Federal Reserve System, December 5, 2013:
• Http://federalreserve.gov/bankinforeg/srletters/sr1319a1.pdf
• https://www.opus.com/resource/data-risk-third-party-ecosystem-2nd-annual-study-ponemon-institute/
• https://searchsecurity.techtarget.com/feature/Third-party-risk-management-Horror-stories-You-are-not-alone

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文