Matlock表示:“自2016年以来,ERM对第三方风险管理活动的参与全面增加。“然而,仅仅做得更多是不够的,因为第三方风险的特点会削弱典型ERM设置的有效性。”
ERM正在努力提升正确的问题,因为它通常未能将其重点限制在可管理的一系列问题上。ERM领导者没有清楚地定义哪些问题必须首先采取行动,而且他们通常没有为听众做好准备,以便在他们提出的问题上采取切实的步骤。
企业第三方风险管理
为了提高大型组织管理第三方风险的有效性,ERM必须在三个方面有所不同,Gartner将这种方法称为企业第三方风险管理。从本质上讲,这是一种帮助ERM团队管理信息过载的方法,这些信息过载是由第三方使用的快速增长所带来的风险量和可变性的指数增长所产生的。
- 第三方风险往往是高容量的,本质上是异构的,并且在整个业务中的重要性差异很大。因此,很难确定并优先考虑最重要的事情。ERM必须首先隔离并组合那些在企业级别上最重要的输入,使它们能够集中于聚合最重要的输入并处理最关键的企业第三方风险。
- ERM必须努力使不同的风险所有者能够协调一致,以获得一个整体的观点,并为他们创造达成共识的机会。在实践中,这意味着促进风险共同所有者与ERM之间的直接思想伙伴关系,增加专业知识并协调行动,而不是ERM充当所有风险信息和缓解的中心协调员。
- ERM作为趋势观测者的作用也被不断扩大的第三方环境所削弱,因为潜在的问题太多,可用的数据往往是时间点和滞后的。同样,解决方案是缩小监控的范围,将重点限制在最关键的新问题上,并使用一组易于监控的前瞻性指标主动跟踪这些问题,从而使ERM能够可靠地发现关键的企业风险趋势。
Matlock表示:“随着第三方风险敞口的增加,以及大量即将到来的威胁,风险管理委员会希望ERM在管理第三方风险方面发挥更大的作用。”“然而,传统的ERM态势很难在企业层面上提供一个简洁、可操作的第三方风险视图。这就是ERM必须关注企业第三方风险管理的原因,这包括定义企业级优先级、启用跨功能对齐和监控前瞻性指标。
这项研究于2022年10月在芝加哥举行的Gartner ERM负责人年度务静会上首次向客户展示,并将于2023年3月再次展示。
beplay首页关于Gartner的法律、风险和合规领导者
高德纳法律、风险和合规领导者提供专家指导和工具,帮助法律、风险、审计和合规部门的领导者更有效地管理日益复杂的风险beplay123环境,并构建下一代功能。更多资料请浏览gartner.com/en/audit-risk和gartner.com/en/legal-compliance.关注新闻和更新LinkedIn和推特.参观Gartner法律与合规新闻编辑室Beplay.然后进入获取更多信息和见解。