随着各国监管机构更加关注组织如何管理外包和应对第三方的风险,其监管要求日益严厉,对于违法违规行为除了行政追责还有越来越高的罚款。因此作为组织的管理者在开展IT风险治理的建设过程中,需要关注和建立对第三方有效的风险管控。
1、前言
任何企业机构在开展生产经营活动的过程中,或多或少总是存在着和第三方机构/人员发生业务往来的相互过程。这些第三方有可能是营销合作伙伴,有可能是IT技术厂商,也有可能是服务外包机构。有国外资料显示,大的金融机构可能有超过50000个供应商列表[1]。随着全球经济这几年来增长乏力,越来越多的组织为降低成本开支而倾向于将业务外包,这意味着组织将引入和面临着更多的风险。其次,随着各国监管机构更加关注组织如何管理外包和应对第三方的风险,其监管要求日益严厉,对于违法违规行为除了行政追责还有越来越高的罚款。因此作为组织的管理者在开展IT风险治理的建设过程中,需要关注和建立对第三方有效的风险管控。
2、第三方风险剖析
2.1 什么是第三方风险和第三方风险管理
在了解第三方风险(Third Party Risk)的时候,我们需要首先了解第三方包含哪些范围。实际上第三方包含的范围比较广,它包含了以下主要类别:
- 跟业务有关的产品或服务的供应商和生产商
- 商业伙伴(合资伙伴,商业联盟等)
- 市场伙伴
- 营销伙伴
- 战略顾问
- 政府机构
- 监管机构
- 客户
从以上可以看到,即第三方风险是一个涵义广泛的概念,它包含、覆盖和涉及了众多的风险,例如供应链风险(supply chain risk),供应商风险(vendor risk)、业务连续性风险(business continue risk)、营销风险(marketing risk)等。而与之对应的第三方风险管理(Third Party Risk Management,简称TPRM)就是了解和理解第三方可能给机构组织本身带来的正面或负面的影响,并采取积极主动和有效的措施应对可能的负面影响和潜在的风险损失。
2.2 第三方风险分类
第三方风险总体上可以分为实体风险和服务风险。其中,实体风险包括因第三方本身在规模、资质、能力、声誉以及经验方面的不足和欠缺所带来的风险。服务风险则主要指第三方在提供的产品以及提供的服务中因功能、性能、维护/升级、SLA、服务过程、交付物、政策许可等方面存在不满足和不合规而带来的风险。
具体的第三方风险包括如下:
图:第三方风险组成
- 声誉风险
因为第三方自身存在问题而带来组织带来声誉上的连带风险。2018年Cambridge Analytica数据分析公司的前职员曝光该公司利用Facebook的数据帮助特朗普在大选中获胜,而Facebook早就知道这家公司非法利用了自己的用户数据。此事的曝光导致Facebook公司的声誉严重受损,民调显示,只有44%的美国人相信Facebook遵守了美国的隐私法,而60%的德国人则担心Facebook和其他社交网络对西方民主所产生的负面影响[2]。
- 合规/法律风险
组织因为第三方违规或对其违规监管不力而遭受监管处罚或法律惩处的风险。例如美国卫星广播服务提供商Dish Network因该公司的外包服务供应商向已经注册不接受电话推销的用户拨打了超过5500万次电话而在2017年被美国联邦法院开出的2.8亿美元的罚单[3]。又如我国的一些支付行业机构也因为外包服务管理不力而遭到处罚。2017年上海某公司湖南分公司遭人民银行长沙中心支行罚款9万元。这里面的处罚原因就有“收单外包业务管理不力”。2014年3月,某支付机构因“未落实商户实名制;对外包服务商监管不力……”等原因被央行做出“全国范围内停止接入新商户”的处罚决定。
- 运行风险
第三方在服务工作过程中因设施质量或服务中未遵守规范,又或技能经验不足而给组织带来包括业务和信息安全方面的风险。例如,近年来国内外多家云服务商均出现过因设施问题或操作运维过程的不规范而导致云租户的业务中停或数据丢失。
- 信息安全风险
由于第三方的安全管理不到位而给组织带来数据泄露、财产损失等风险。此外第三方机构或个人的恶意行为也是造成组织发生信息安全风险的因素之一。2017年,黑客突破了第三方供应商的亚马逊帐号,利用暗黑网站窃取的凭据来伪造交易并盗取现金[4]。而美国折扣经纪公司Scottrade在同年3月证实,因第三方数据保管不善发生数据泄露,从而暴露了其约20000客户的非公开信息[5]。
- 经济损失风险
因第三方产品/服务质量问题以及第三方财务经营问题而给组织带来的投资损失。此外还包括因第三方违规而导致的业务中断损失、数据泄露损失以及相应的连带风险损失。以前面Facebook的案例为例,2018年的二季度统计Facebook股价跌幅约24%,8月统计其市值蒸发超1千亿美元,不仅活跃用户数降低,而且也有合作伙伴不再续约。据路透社8月8日报道,意大利裕信银行表示其将停止在Facebook继续投放广告,并会在Facebook提升它的“道德标准”之前暂停在该平台上的一切营销活动。
- 商业环境风险
因组织或第三方所在国的政策变动而引发带来的业务连续性风险损失。例如,今年中美贸易战给中美两国的企业在选择和保持第三方关系的时候带了巨大困扰,不少企业都不得不重新审慎评估当前和未来在供应链、市场营销等第三方关系上存在的风险。
2.3 第三方风险管理现状
国内外的监管机构很早就观察和留意到第三方供应/服务给组织带来风险,并根据此情况发布了相应的合规要求。就金融行业而言,举例来说,我国银监会在2013年发布了《银行业金融机构信息科技外包风险监管指引》,2014年发布了《加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》。在美国,美联储下属的银行监督管理部,消费者与社会事务部以及美国联邦储备理事会在2013年12月联合发布了旨在指导美国的国家成员、其他银行、储蓄和贷款控股公司 (包括其银行子公司) 以及在美国开展业务的外国银行机构如何开展外包风险管理的指南[6]。此外,美国通货监理局(Office of the Comptroller of the Currency,OCC)在2013年发布了题为“第三方关系:风险管理指南”( Third-Party Relationships: Risk Management Guidance)并在2017年进行了更新。可以看到第三方风险管理早不是新的安全管理范畴,但尽管如此,从Ponemon研究机构2017年9月发布了《Data Risk in the Third-Party Ecosystem Second Annual Study》报告[7]中看到,受调查对象中第三方风险管理的情况仍不是太乐观。该报告的主要发现如下:
- 第三方合规管理程序有效性依旧较低
- 只有17%的受访者评价自己的公司能有效减轻第三方风险;
- 60%的受访者认为目前还没有准备好对他们的第三方进行检查或验证;
- 管理层的职责性和参与性略有增加
- 42%的受访者强烈认同或同意公司董事会需要保证对第三方的风险进行评估,管理和监控;
- 只有三分之一的受访者反馈其内部人员会定期向董事会就第三方管理程序的有效性及对组织潜在的风险进行汇报;
- 缺乏对第三方的可见性
- 半数以上的受访者没有对与他们共享敏感信息的第三方进行全面地清查;
- 13%的受访者表示他们不能确定是否发生过第三方数据泄露;
- 现有的管理措施存在不足
- 57%的受访者表示他们组织没有能力评估供应商的安全措施和策略是否满足数据防泄漏要求;
- 超过一半的受访者表示在开展业务和共享敏感或机密信息前他们没有评估过所有供应商的安全和隐私保护能力;
除了报告提及的内容之外,还有一些问题也导致组织的第三方风险管理存在潜在风险,这些问题包括[1]
- 在没有评估第三方风险管理实践充分性和合规性的情况下签订合同;
- 未在合同中写入并激励第三方承担对组织或其客户的恶意风险,也未能使第三方的收入在最大化的同时实现双赢;
- 在没有合同的情况下开展和从事非正式的第三方关系;
3 第三方风险管理应对
3.1 第三方风险管理流程及内容
第三方风险管理的流程仍然遵循着风险管理生命周期的理念,因此第三方风险管理可以从常规的风险管理生命周期演进变化而来。从这个角度出发,我们可以将第三方风险管理流程分为以下六个关键阶段:
- 合规和战略
- 审视合规要求,计划和明确组织的TPRM战略,包括如何选择、评估和监管第三方;
- 建立TPRM程序与流程并确保程序执行的统一性和唯一性;
- 需求定义与风险评估
- 评估第三方需求的必要性;
- 贯彻尽职调查和第三方采购/合作风险评估;
- 评估第三方的价值提供及风险概况;
- 决定是否选择新的第三方以及是否对现有合作第三方的关系重新进行定义(升级、降级或终止);
- 第三方选择、采购以及尽职调查
- 执行市场和集中风险分析;
- 梳理需求场景并据此对第三方进行归类;
- 根据组织安全策略和合规监管的要求,要求第三方完成指定的安全自评估;
- 对选定第三方进行评估和风险分析;
- 合同签署
- 合同内容除了产品/服务内容,还包含第三方管理协议(Third-Party Management Agreements,TPMA)也称业务关联协议(Business Associate Agreements, BAA)[8]
- BAA内容覆盖关键的合规和法律要求,以及对隐私信息、知识产权等的保护要求;
- BAA内容涵盖明确的KPI考核,SLA要求,以及应急和修复的要求;
- 用第三方所在国的官方语言编写合同副本,确保第三方对合同内容的正确理解和认可;
- 持续监控与报告
- 开展对第三方的培训以确保其知晓并遵循合规要求和组织安全策略要求;
- 对第三方的市场经营、财务状况、对应产品研发情况等进行监控;
- 确立风险基线和触发上报机制;
- 对第三方合作过程和成果质量进行监控、评估和报告,以评估与其关系的维系和级别升降;
- 建立当双方发生争议或问题时的解决程序(包括触发机制、沟通机制、纠正程序、跟踪关闭程序);
- 回顾与终止
- 定期或适时对TPRM策略和程序进行回顾和修订;
- 建立与第三方的合作终止程序;
- 执行第三方终止风险评估和变更风险评估;
3.2 第三方风险管理评估的checklist
在践行第三方风险管理的时候,组织可以通过设定一个checklist表格或问卷来帮助充分了解和评估组织在第三方风险管理方面的现状和问题。Checklist的调查内容通常包括如下:
- 当前的建设发展和运行阶段需要怎样的第三方进行参与和合作?
- 是否已建立TPRM程序?
- 是否已建立第三方列表和资料库?
- 是否已了解第三方的市场经营、财务状况、服务能力、研发能力以及市场声誉等背景情况?
- 第三方是否经历过安全事件、事件严重程度如何、其响应速度和处置效果如何?
- 第三方是否清晰知晓组织的安全管理策略与要求?
- 第三方是否清晰知晓相应的合规监管要求?
- 第三方是否建立自有的安全策略和安全程序?
- 第三方的安全管理是否满足合规以及内部的要求?
- 第三方是否拥有并提供充足的受到良好训练的人员?
- 第三方提供的产品/服务的价值如何,是否满足要求?
- 是否了解哪些敏感信息因为和第三方合作而可能被访问和使用?
- 是否对第三方的接入提供可控的物理和网络接入环境?
- 是否有充足的技术措施以控制第三方对敏感信息的访问、使用?
- 是否具备有效的监督管理机制和技术监控措施实现对第三方的持续监控管理?
- 对第三方的审计评估是否由独立的审计部门完成?
- 合同中是否涵盖了信息安全要求、SLA要求、KPI考核、风险和法律承担义务等要求?
- 合同的签署是否得到了内部使用部门、安全部门和法务部门的审核和确认?
4 结束语
随着现代社会的分工日益细化和专业化以及成本节约的考虑,企业机构将会和越来越多的第三方产生商业往来。企业机构与第三方的商务关系不仅体现在双方的共赢,也体现在风险的共担。因此做好第三方风险管理不仅有利于提升己方对风险的风控能力,保障商业合作的顺利进行,同时也能够更好的促进和实现双赢。
参考文献
- https://www.protiviti.com/sites/default/files/fsi-vendor-management-whitepaper-protiviti_1.pdf
- https://www.reuters.com/article/us-facebook-cambridge-analytica-apology/americans-less-likely-to-trust-facebook-than-rivals-on-personal-data-idUSKBN1H10AF
- https://www.landiannews.com/archives/36389.html
- https://www.scmagazine.com/hackers-compromise-third-party-vendor-amazon-accounts/article/649665/
- https://www.tripwire.com/state-of-security/latest-security-news/scottrade-confirms-third-party-data-breach-exposed-20000-customers-private-data/
- Guidance on Managing Outsourcing Risk, Board of Governors of the Federal Reserve System, December 5, 2013:
Http://federalreserve.gov/bankinforeg/srletters/sr1319a1.pdf
- https://www.opus.com/resource/data-risk-third-party-ecosystem-2nd-annual-study-ponemon-institute/
- https://searchsecurity.techtarget.com/feature/Third-party-risk-management-Horror-stories-You-are-not-alone