“自2016年以来,ERM在第三方风险管理活动中的参与度全面提高,”Matlock表示。“然而,仅仅做得更多是不够的,因为第三方风险的特征会削弱典型的ERM设置的有效性。”
ERM正在努力提出正确的问题,因为它通常未能将重点限制在可管理的一系列问题上。ERM领导人没有明确定义必须首先对哪些问题采取行动,他们通常也没有让听众做好准备,让他们就所提出的问题采取切实的步骤。
企业第三方风险管理
在大型组织中,ERM必须在三个方面有所不同,以提高管理第三方风险的有效性,Gartner将这种方法称为企业第三方风险管理。从本质上讲,这是一种帮助ERM团队管理信息过载的方法,这些信息过载是由第三方使用的快速增长所带来的风险量和可变性的指数级增长所造成的。
- 第三方风险往往是大量的、异构的,并且在整个业务中的重要性差异很大。因此,很难确定什么是最重要的,并优先考虑什么。ERM必须首先分离和组合那些在企业层面最重要的输入,使他们能够专注于聚集最重要的输入和解决最关键的企业第三方风险。
- ERM必须努力使不同的风险所有者保持一致,以获得全面的观点,并为他们创造达成共识的机会。在实践中,这意味着促进风险共同所有者之间的直接思想伙伴关系,ERM增加专业知识并协调行动,而不是充当所有风险信息和缓解的中央协调员。
- ERM作为趋势观察者的角色也被不断扩大的第三方格局所削弱,因为潜在的问题太多,可用的数据往往是时间点和滞后的。同样,解决方案是缩小所监控的范围,将重点限制在最关键的新出现问题上,并使用一组易于监控的前瞻性指标主动跟踪这些问题,使ERM能够可靠地发现关键的企业风险趋势。
Matlock表示:“随着第三方风险敞口上升,以及大量即将到来的威胁,风险委员会预计ERM将在管理第三方风险方面发挥更大作用。”“然而,传统的ERM态势很难在企业层面提供一个简洁、可操作的第三方风险观点。这就是为什么ERM必须专注于企业第三方风险管理,这包括定义企业级优先级,实现跨职能协调,以及监控前瞻性指标。
这项研究于2022年10月在芝加哥举行的高德纳ERM负责人年度研讨会上首次向客户展示,并将于2023年3月再次展示。
关于高德纳法律、风险和合规领导者
高德纳法律、风险和合规领导者提供专家指导和工具,帮助法律、风险、审计和合规部门的领导者更有效地管理日益复杂的风险环境,并构建下一代职能。更多信息可在88亚博
而且gartner.com/en/legal-compliance.关注新闻和更新LinkedIn而且推特.参观高德纳法律和合规编辑部亚博国际官网登录获取更多信息和见解。