很多组织未能充分解决来自外包业务或第三方供应商合作的信息技术与安全风险，一份调查评估探讨了当下企业们供应商的风险管理计划。

在现在的商业环境中，安全风险有着广泛的标准与规范，以及需要高度警觉的数据外泄与网络威胁，但是调查发现，企业缺乏成熟的供应商风险管理计划，以及必要的资源与人员来应对当下面临的各种现实威胁。

接近450位IT及风险管理专家评估了他们企业的供应商风险控制模式，依据功能性与成熟度选取出最佳的实践工具，受访者评估了自己所在企业的供应商风险管理策略的100多个特征，对以下八类内容打出1~5的分数：

项目管理（2.9）

政策、标准和程序（2.9）

合同（3.0）

供应商风险识别与分析（2.7）

技能与专业知识（2.3）

通信与信息共享（2.6）

工具、评测与分析（2.4）

监控与审查（2.9）

虽然不同的企业对供应商风险管理有着不同的模式与变化需求，但是调查发现多数企业都没达到最低的实践需求。第三方供应链的蓬勃发展，使得企业与供应商之间的风险管理差距加大，管理者只能通过一致的政策、程序及管理来密切关注，很多必要策略的缺乏，将导致供应链中的安全威胁不能被及时发现。

此外，调查中还包含以下几个关键的发现，是多数企业在供应商风险管理上共有的特征：

金融行业优于其他行业。尽管多数企业的评估都低于理想值，金融行业相对拥有着比较成熟的风险管理程序，这得益于金融行业严格的指导方针及高度的管制策略的行业性质。

企业疲于考核服务商。很多组织并未有效地采取措施，对供应商进行定期评估，以及在整个项目合作合作开始到结束建立标准和程序。鉴于涉及与第三方的潜在风险，企业应配备强效的政策及指引，以确保他们在整个项目合作中都能进行有效而持续的风险评估。

培训、人员及资源。企业在评估供应商风险管理方面技能和不足上付诸努力——也没有花时间在培养及提高人员风险意识方面。而在技术资源的投资上，多数企业更是远远不达标。