第三方风险管理(TPRM)在业务优先级和风险管理优先级列表中名列前茅,这是一件好事。尽管在疫情初期就有人预测,企业将控制外包战略,但第三方生态系统继续增长,较小的供应商和供应商仍是网络安全的目标,全球监管机构继续提出新的要求,价值链中断已成为常态。对于TPRM供应商来说,这是一个好消息,因为与大衰退后的几年不同,公司并没有减少安全和风险投资。

名字意味着什么?是TRPM还是It VRM?

To-may-to to-mah-to,对吧?不完全是。以下是第三方风险命名的一些背景知识。金融服务使用“第三方”来与OCC(美国货币监理署)语言保持一致,医疗保健使用“业务伙伴”来与HIPAA保持一致,制造业通常使用“供应商”。其他人都倾向于使用“供应商”这个术语,因为我们现在所说的第三方风险管理的大部分都是从软件供应商和IT服务提供商开始的(在某些情况下,仍然主要关注于软件供应商和IT服务提供商),它们的主要关注点是遵守IT控制框架/标准。

Forrester使用“第三方”来指代这些实体,以及非传统的第三方,如外国附属公司、外部法律顾问、公关公司、临时员工或零工,甚至是你的董事会。如果不是员工,那就是第三方。

TPRM市场并非“一刀切”

有几种类型的供应商支持TPRM市场,每一种都专门从事一个或多个风险领域、行业或客户成熟度级别。对我们来说,第三方风险不仅仅是网络安全评级或尽职调查工具。Forrester将这一类别定义为:

识别、评估、评分、监控和报告来自第三方关系的组织风险的平台。它们支持在第三方生命周期的每个阶段进行分析、处理和降低风险的工作流程,包括:1)采购/采购,2)尽职调查,3)选择,4)入职,5)持续风险监测,以及6)终止/离职。

当涉及到管理第三方实体的风险和合规性时,有很多选择。新的报告,现在科技:第三方风险管理平台,2022年第一季度,根据其性能将22种顶级TPRM技术分为四个部分:

  1. 专门的技术。这在整个第三方风险管理生命周期中提供了健壮的功能。它们提供了领域专业知识和广泛功能的组合,以支持所有级别的TPRM成熟度。
  2. GRC平台。除了TPRM之外,治理、风险和法规遵循(GRC)平台还为广泛的风险和法规遵循用例提供了强大的支持。
  3. 交换赞助商。交换发起者提供对预填充和验证的评估结果、多种类型的文档和证据以及分析的访问。
  4. Vertical-focused供应商。这些供应商拥有专门技术的深度专业知识,GRC平台的能力范围,通常提供支持服务,但特别关注具有复杂第三方遵从性需求的行业。

每个细分市场都包含适合不同类型买家的供应商。

阅读完整的现在的科技报告中详细介绍了四个功能部分,并深入了解了TPRM平台市场。在即将出版的《the Forrester Wave™:第三方风险管理平台》(2022年第二季度)中,我们将对该领域的供应商进行更详细的评估。

(与助理研究员伊莎贝尔·拉波索合作)