第三方風(fēng)險(xiǎn)管理展望2020

1、簡(jiǎn)意識(shí)到，第三方的失職可能會(huì)導(dǎo)致其聲譽(yù)迅速受損，并對(duì)下游運(yùn)營(yíng)和成本造成嚴(yán)重影響。顯然，當(dāng)前，眾多企業(yè)越來越依賴第三方供應(yīng)商向客戶提供與其業(yè)務(wù)密切相關(guān)的產(chǎn)品和服務(wù)。他們也介各企業(yè)在應(yīng)對(duì)此類問題時(shí)，應(yīng)當(dāng)采取清晰的第三方篩選、審批和管理策略。鑒于其中涉及眾多來自業(yè)務(wù)、采購(gòu)和風(fēng)險(xiǎn)監(jiān)管領(lǐng)域的利益相關(guān)方，制定和執(zhí)行此類策略仍充滿挑戰(zhàn)。簡(jiǎn)而言之，第三方風(fēng)險(xiǎn)管理（TPRM）是指企業(yè)用于評(píng)估和管理由第三方產(chǎn)品和服務(wù)導(dǎo)致風(fēng)險(xiǎn)的項(xiàng)目。例如，對(duì)于將某企業(yè)的數(shù)據(jù)存儲(chǔ)于第三方設(shè)施中的合同，該企業(yè)應(yīng)評(píng)估數(shù)據(jù)安全性風(fēng)險(xiǎn)。有效的第三方風(fēng)險(xiǎn)管理項(xiàng)目應(yīng)于簽訂合同之前將企業(yè)的首席信息安全官納入采購(gòu)流程，擔(dān)任數(shù)據(jù)安全性風(fēng)險(xiǎn)經(jīng)理一職。此

2、舉將有助于企業(yè)了解：第三方訪問、存儲(chǔ)和傳輸該企業(yè)數(shù)據(jù)的方式第三方的控制環(huán)境是否符合該企業(yè)要求，抑或需要改進(jìn)合同中是否應(yīng)包含議定的具體要求來自風(fēng)險(xiǎn)職能部門的利益相關(guān)方可能還包括合規(guī)部門，該部門將確定第三方服務(wù)提供商是否將導(dǎo)致金融犯罪 或制裁違規(guī)風(fēng)險(xiǎn)。簽訂合同后，企業(yè)的第三方風(fēng)險(xiǎn)管理項(xiàng)目應(yīng)聚焦對(duì)合作關(guān)系和第三方履約的管理，并持續(xù)檢查第三方對(duì)控制環(huán)境要求的合規(guī)情況。由于此類活動(dòng)非常重要，且第三方向大多數(shù)企業(yè)提供的 服務(wù)種類繁多，那么各企業(yè)應(yīng)如何確保其第三方風(fēng)險(xiǎn)管 理項(xiàng)目中制定了適當(dāng)?shù)闹卫斫Y(jié)構(gòu)、職責(zé)和服務(wù)交付模式？各企業(yè)應(yīng)如何在有效管理第三方風(fēng)險(xiǎn)，以及滿足內(nèi)部各 合作負(fù)責(zé)人和其他利益相關(guān)方對(duì)及時(shí)引入第

3、三方的需求 之間實(shí)現(xiàn)平衡？此外，第三方風(fēng)險(xiǎn)管理項(xiàng)目應(yīng)如何最 大程度利用創(chuàng)新和新興技術(shù)，以便更好地對(duì)各關(guān)鍵控制手段的有效性進(jìn)行持續(xù)評(píng)估？4 | 第三方風(fēng)險(xiǎn)管理展望2020為尋求此類問題的答案，畢馬威國(guó)際對(duì)來自全球14個(gè)國(guó)家和司法轄區(qū)的多個(gè)行業(yè)的大型企業(yè)的1,100名負(fù)責(zé)第三方風(fēng)險(xiǎn)管理的高級(jí)主管進(jìn)行了調(diào)研。本報(bào)告中，我們將對(duì)此次調(diào)研的主要發(fā)現(xiàn)進(jìn)行闡述，以表明第三方風(fēng)險(xiǎn)管理原則對(duì)不同行業(yè)和地區(qū)均普遍適用。為了對(duì)尋求優(yōu)化自身第三方風(fēng)險(xiǎn)管理項(xiàng)目的企業(yè)提供協(xié)助，本文還介紹了我們?cè)谧陨碡S富的客戶服務(wù)經(jīng)驗(yàn)基礎(chǔ)上提煉出的第三方風(fēng)險(xiǎn)管理框架和方法論要素。當(dāng)前，企業(yè)們紛紛努力應(yīng)對(duì)全球性事件和經(jīng)濟(jì)不確定性導(dǎo)致的經(jīng)營(yíng)環(huán)

4、境變化，其中許多企業(yè)將重新評(píng)估其第三方合作伙伴的風(fēng)險(xiǎn)狀況，并重新衡量自身的業(yè)務(wù)彈性。因此，持續(xù)有效的第三方風(fēng)險(xiǎn)管理項(xiàng)目此時(shí)顯得尤為重要。對(duì)第三方的定義深入探討調(diào)研發(fā)現(xiàn)之前，我們將對(duì)本報(bào)告中涉及的某些術(shù)語(yǔ)的含義進(jìn)行澄清。首先，何謂“第三方”？此次調(diào)研中，僅有少數(shù)（41%）的受訪者完全確定其所在企業(yè)對(duì)“第三方”進(jìn)行了統(tǒng)一定義。畢馬威國(guó)際和各畢馬威成員所將以下外部各方納入第三方范疇：銷售商、供應(yīng)商、服務(wù)提供商、代理、分銷商、經(jīng)紀(jì)、合資企業(yè)和經(jīng)銷商。對(duì)于內(nèi)部第三方，我們還包括集團(tuán)內(nèi)部的關(guān)聯(lián)公司、共享服務(wù)、母公司/實(shí)體。我們未將客戶歸為第三方，因?yàn)楦髌髽I(yè)在與客戶進(jìn)行交易前，并未通過第三方項(xiàng)目對(duì)其執(zhí)行審查

5、或準(zhǔn)入程序。例如，金融服務(wù)企業(yè)會(huì)通過“了解您的客戶”（KYC）程序確定客戶準(zhǔn)入。第三方風(fēng)險(xiǎn)管理項(xiàng)目涵蓋的風(fēng)險(xiǎn)其次，我們具體探討哪些第三方風(fēng)險(xiǎn)？圖1中，我們展示了企業(yè)普遍面臨的主要風(fēng)險(xiǎn)類別，以及部分歸屬該等類別的特殊風(fēng)險(xiǎn)。第三方關(guān)系中可能存在此類風(fēng)險(xiǎn)（通常是風(fēng)險(xiǎn)組合），取決于所提供的第三方產(chǎn)品或服務(wù)的性質(zhì)。第三方風(fēng)險(xiǎn)管理項(xiàng)目應(yīng)明確在服務(wù)或產(chǎn)品層面識(shí)別和評(píng)估各類風(fēng)險(xiǎn)所需的角色與職責(zé)，以便企業(yè)內(nèi)部的風(fēng)險(xiǎn)專家確定第三方是否能圖1. 第三方風(fēng)險(xiǎn)管理項(xiàng)目應(yīng)覆蓋的潛在風(fēng)險(xiǎn)夠依據(jù)業(yè)務(wù)要求管理風(fēng)險(xiǎn)?？梢钥吹剑S多企業(yè)由于未能通過第三方的控制環(huán)境或自身的內(nèi)部補(bǔ)充控制措施識(shí)別并降低風(fēng)險(xiǎn)，正面臨嚴(yán)格處罰，聲譽(yù)也因此受

6、損，是為前車之鑒。第三方風(fēng)險(xiǎn)管理項(xiàng)目的首要成功因素，是應(yīng)將時(shí)間、精力、經(jīng)驗(yàn)聚焦于高風(fēng)險(xiǎn)第三方服務(wù)。在調(diào)研過程中，我們發(fā)現(xiàn)第三方風(fēng)險(xiǎn)管理項(xiàng)目中優(yōu)先考慮的風(fēng)險(xiǎn)往往并非會(huì)對(duì)企業(yè)使命造成嚴(yán)重影響的風(fēng)險(xiǎn)。例如，數(shù)據(jù)治理、隱私和網(wǎng)絡(luò)風(fēng)險(xiǎn)是各行業(yè)和地區(qū)第三方活動(dòng)的首要驅(qū)動(dòng)因素（參見圖 2）。監(jiān)管/合規(guī)風(fēng)險(xiǎn)策略風(fēng)險(xiǎn) 分包商風(fēng)險(xiǎn)集中度風(fēng)險(xiǎn)技險(xiǎn)術(shù)/網(wǎng)絡(luò)風(fēng)國(guó)別風(fēng)險(xiǎn)財(cái)性務(wù)穩(wěn)定運(yùn)風(fēng)險(xiǎn)營(yíng)/ 供應(yīng)鏈聲譽(yù)風(fēng)險(xiǎn)法律風(fēng)險(xiǎn)監(jiān)管要求盜竊/犯罪/爭(zhēng)議風(fēng)險(xiǎn)服務(wù)交付風(fēng)險(xiǎn)擴(kuò)張/實(shí)施風(fēng)險(xiǎn)并購(gòu)適用于所有風(fēng)險(xiǎn)領(lǐng)域關(guān)鍵服務(wù)的供應(yīng)商集中度行業(yè)集中度（包括分包商）關(guān)鍵技能集中度（即技術(shù)支持）信息安全網(wǎng)絡(luò)安全數(shù)據(jù)保密/數(shù)據(jù)保護(hù)地緣政治風(fēng)險(xiǎn)氣候可持續(xù)性向第

7、三方出借款項(xiàng)的財(cái)務(wù)風(fēng)險(xiǎn)流動(dòng)性風(fēng)險(xiǎn)業(yè)容務(wù)災(zāi)連續(xù)性人運(yùn)身營(yíng)彈安性全負(fù)面新聞法律訴訟（過去和未決的訴訟）第三方品牌法律管轄權(quán)合同條款和條件欺詐、反賄賂與貪腐/制裁內(nèi)部流程和標(biāo)準(zhǔn)合規(guī)遵從外包策略知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)地區(qū)集中度反向集中度績(jī)效管理（包括服務(wù)水平協(xié)議）模型風(fēng)險(xiǎn)人力資源風(fēng)險(xiǎn)（行為風(fēng)險(xiǎn)等）第三方主要主管/負(fù)責(zé)人工作場(chǎng)所安全數(shù)據(jù)來源：第三方風(fēng)險(xiǎn)管理展望2020，畢馬威國(guó)際，2020年第三方風(fēng)險(xiǎn)管理展望2020 | 5然而，我們?cè)趯徱暩髌髽I(yè)的第三方風(fēng)險(xiǎn)管理項(xiàng)目所涵蓋的風(fēng)險(xiǎn)時(shí)發(fā)現(xiàn)，僅54%的受訪者將數(shù)據(jù)/隱私列為首要風(fēng)險(xiǎn)（參見圖3）。與畢馬威英國(guó)的合伙人David Hicks探討此事時(shí)，他表示：“第三方風(fēng)險(xiǎn)管

8、理項(xiàng)目應(yīng)具備經(jīng)過詳細(xì)斟酌的合理策略，并闡明風(fēng)險(xiǎn)偏好。此舉才能在管理和上報(bào)董事會(huì)和管理層時(shí)有據(jù)可循?！睆娜蛐允录徒?jīng)濟(jì)不確定性導(dǎo)致的新常態(tài)角度再次審視該等數(shù)據(jù)時(shí)，我們發(fā)現(xiàn)僅有少數(shù)受訪者（22%）將運(yùn)營(yíng)彈性視為第三方風(fēng)險(xiǎn)管理活動(dòng)的驅(qū)動(dòng)因素。畢馬威澳大利亞總監(jiān)Gavin Rosettenstein表示：“近期在與客戶的討論交流中，我們發(fā)現(xiàn)第三方風(fēng)險(xiǎn)管理和供應(yīng)鏈團(tuán)隊(duì)非常注重和認(rèn)可第三方在向客戶交付重要商業(yè)服務(wù)中扮演的角色。我們預(yù)計(jì)未來幾年，運(yùn)營(yíng)彈性將成為持續(xù)推動(dòng)對(duì)第三方風(fēng)險(xiǎn)管理投入的因素?！敝С謽I(yè)務(wù)轉(zhuǎn)型19%改善成本效益36%圖2. 哪些是您當(dāng)前業(yè)務(wù)中第三方風(fēng)險(xiǎn)管理活動(dòng)最重要的驅(qū)動(dòng)因素？促進(jìn)業(yè)務(wù)增長(zhǎng)

9、提高運(yùn)營(yíng)彈性管理網(wǎng)絡(luò)風(fēng)險(xiǎn)32402%26%保護(hù)品牌聲譽(yù)確保業(yè)務(wù)連續(xù)性/容災(zāi)26%確?？绲貐^(qū)監(jiān)管合規(guī)數(shù)據(jù)治理和隱私39%數(shù)據(jù)來源：第三方風(fēng)險(xiǎn)管理展望2020，畢馬威國(guó)際，2020年和管理層時(shí)有據(jù)可會(huì)循。畢馬威英Da國(guó)vid合H伙ic人ks風(fēng)在險(xiǎn)偏好和。上此報(bào)舉董才事明能第應(yīng)的三具合方備理風(fēng)經(jīng)策險(xiǎn)過略管詳，理細(xì)并項(xiàng)斟闡目酌圖3. 您的第三方風(fēng)險(xiǎn)管理活動(dòng)涵蓋以下哪些風(fēng)險(xiǎn)？聲4譽(yù)5/品%牌風(fēng)險(xiǎn)技術(shù)5風(fēng)7險(xiǎn)%（如集 私風(fēng)險(xiǎn)侵54%據(jù)隱51%成中斷）運(yùn)6營(yíng)0風(fēng)%險(xiǎn)監(jiān)管合規(guī)風(fēng)險(xiǎn)財(cái)6務(wù)0風(fēng)%險(xiǎn)數(shù)據(jù)來源：第三方風(fēng)險(xiǎn)管理展望2020，畢馬威國(guó)際，2020年6 | 第三方風(fēng)險(xiǎn)管理展望2020務(wù)所澳門合伙制事務(wù)所及畢

10、馬威會(huì)計(jì)師事務(wù)所香港合伙制事務(wù) 所20，21均畢是馬與威英華國(guó)振私會(huì)營(yíng)計(jì)擔(dān)師保事有務(wù)限所公(特司殊普畢通馬合威伙國(guó))際有中限國(guó)公合司伙相制關(guān)會(huì)聯(lián)計(jì)的師獨(dú)事立務(wù)成所員，所畢全馬球威性企組業(yè)織咨中詢的(中成國(guó)員)。有版限權(quán)公所司有，中不國(guó)得有轉(zhuǎn)限載責(zé)。任公司，畢馬威會(huì)計(jì)師事區(qū)分第三方風(fēng)險(xiǎn)管理項(xiàng)目與程序首先應(yīng)當(dāng)注意的是，我們認(rèn)為不存在“通用”的第三方風(fēng)險(xiǎn)管理項(xiàng)目。換而言之，各行業(yè)行之有效的第三方風(fēng)險(xiǎn)管理項(xiàng)目，均須在指定的項(xiàng)目治理層的領(lǐng)導(dǎo)下，依照特定的第三方風(fēng)險(xiǎn)識(shí)別、監(jiān)督和管理程序行事。圖4簡(jiǎn)單介紹了第三方風(fēng)險(xiǎn)管理項(xiàng)目的主要方面，以及如何將其用于第三方風(fēng)險(xiǎn)管理的整個(gè)生命周期。圖4. 第三方風(fēng)險(xiǎn)管理項(xiàng)目

11、的主要方面和生命周期內(nèi)部審計(jì)第三方風(fēng)險(xiǎn)管理領(lǐng)域?qū)＜冶O(jiān)控和測(cè)試業(yè)務(wù)線項(xiàng)目監(jiān)控第三畢方馬風(fēng)威險(xiǎn)管理概覽程序監(jiān)控程序執(zhí)行、關(guān)系負(fù)責(zé)人合同管理風(fēng)險(xiǎn)相關(guān)意見、挑戰(zhàn)、經(jīng)驗(yàn)協(xié)調(diào)、建議、評(píng)估、質(zhì)疑 獨(dú)立鑒證數(shù)據(jù)來源：第三方風(fēng)險(xiǎn)管理展望2020，畢馬威國(guó)際，2020年下一節(jié)中，我們將探討此次調(diào)研的主要發(fā)現(xiàn)。第2節(jié)中，我們將簡(jiǎn)要介紹畢馬威用于制定有效第三方風(fēng)險(xiǎn)管理運(yùn)營(yíng)模式的框架。最后在第3節(jié)中，我們還將提出各企業(yè)在推動(dòng)積極變革、實(shí)現(xiàn)有效風(fēng)險(xiǎn)管理過程中應(yīng)采取的措施。我們希望本文能對(duì)您有所幫助，也很樂意與您做進(jìn)一步交流。近客戶期交在付與重客要戶商的業(yè)討服論務(wù)交中流扮中演，的我角們色發(fā)?，F(xiàn)第三方風(fēng)險(xiǎn)管理和供應(yīng)鏈團(tuán)隊(duì)非常

12、注重和認(rèn)可第三方在向 Gavin Rosettenstein，畢馬威澳大利亞總監(jiān)第三方風(fēng)險(xiǎn)管理展望2020 | 7第1節(jié)：主研要發(fā)調(diào)現(xiàn)第三方風(fēng)險(xiǎn)管理屬戰(zhàn)略要點(diǎn)超過四分之三的受訪者（77%）表示第三方風(fēng)險(xiǎn)管理是其業(yè)務(wù)的戰(zhàn)略關(guān)注點(diǎn)之一。此外，十分之六的受訪者認(rèn)為第三方失職是其所在企業(yè)面臨的最大聲譽(yù)風(fēng)險(xiǎn)。這反映了各企業(yè)在向客戶提供重要產(chǎn)品和服務(wù)方面對(duì)第三方的依賴程度。同時(shí)，不斷上升的監(jiān)管壓力，尤其是對(duì)侵犯隱私、丟失客戶數(shù)據(jù)或運(yùn)營(yíng)彈性等方面的監(jiān)管壓力，也進(jìn)一步使第三方關(guān)系受到嚴(yán)格監(jiān)控。十分之六（59%）的受訪者聲稱其所在企業(yè)近期受到了與第三方風(fēng)險(xiǎn)管理相關(guān)的制裁和監(jiān)管處罰。全球性事件和經(jīng)濟(jì)不確定性凸顯了

13、第三方在業(yè)務(wù)運(yùn)營(yíng)中的必要性。畢馬威特此提出在發(fā)生疫情或出現(xiàn)全球性事件或經(jīng)濟(jì)不確定性后，企業(yè)應(yīng)當(dāng)考慮的四個(gè)階段，包括：“反應(yīng)”、“調(diào)整”、“恢復(fù)”和“新常態(tài)”。就第三方風(fēng)險(xiǎn)管理而言，前兩個(gè)階段是指緊急啟用遠(yuǎn)程辦公模式并調(diào)整第三方服務(wù)交付模式，以確保維持客戶服務(wù)。后兩個(gè)階段則涵蓋了企業(yè)在新常態(tài)下運(yùn)營(yíng)模式的準(zhǔn)備，在新常態(tài)下，控制環(huán)境將進(jìn)一步延伸至臨時(shí)遠(yuǎn)程辦公地點(diǎn)，工作場(chǎng)所也要求保持社交距離以避免病毒傳播。第三方風(fēng)險(xiǎn)管理項(xiàng)目還需考慮可能出現(xiàn)的政府規(guī)定，且隨著危機(jī)的財(cái)務(wù)影響顯現(xiàn)而導(dǎo)致第三方生態(tài)系統(tǒng)恢復(fù)普遍存在不確定性時(shí)，可能應(yīng)對(duì)項(xiàng)目進(jìn)行更新。各企業(yè)的第三方風(fēng)險(xiǎn)管理措施千差別當(dāng)前，全球各地企業(yè)與種類繁多的

14、第三方展開著合作，而各第三方則代表其合作企業(yè)對(duì)部分風(fēng)險(xiǎn)進(jìn)行管理。因此，在決定引入第三方之前，各企業(yè)應(yīng)了解第三方依據(jù)要求管理風(fēng)險(xiǎn)的能力。然而，此次調(diào)研顯示，許多企業(yè)還未做好準(zhǔn)備以應(yīng)對(duì)復(fù)雜的跨業(yè)務(wù)線和跨地區(qū)的整體風(fēng)險(xiǎn)評(píng)估。于第三方引入階段以及合同生命周期中預(yù)先進(jìn)行整體風(fēng)險(xiǎn)識(shí)別和評(píng)估，對(duì)于企業(yè)了解其所有第三方合作伙伴的總體風(fēng)險(xiǎn)狀況至關(guān)重要。四分之三（74%）的受訪者承認(rèn)其所在企業(yè)內(nèi)部亟需實(shí)施更為一致的第三方風(fēng)險(xiǎn)管理。以風(fēng)險(xiǎn)為基礎(chǔ)是第三方風(fēng)險(xiǎn)管理項(xiàng)目合理化的首要手段在當(dāng)前的商業(yè)環(huán)境下，管理第三方風(fēng)險(xiǎn)實(shí)屬不易，項(xiàng)目涵 蓋的范圍以及所需的協(xié)調(diào)工作量會(huì)使部分人感到難以應(yīng)對(duì)。企業(yè)由于資源和預(yù)算有限，對(duì)此也愛莫

15、能助。半數(shù)企業(yè)并不具備管理自身面臨的所有第三方風(fēng)險(xiǎn)所需的內(nèi)部能力。我們認(rèn)為，企業(yè)可以采取基于風(fēng)險(xiǎn)的措施對(duì)風(fēng)險(xiǎn)最大的第三方產(chǎn)品和服務(wù)進(jìn)行評(píng)估和監(jiān)控，從而保證第三方風(fēng)險(xiǎn)管理的效率和效果。8 | 第三方風(fēng)險(xiǎn)管理展望2020數(shù)據(jù)和技術(shù)有助改善第三方風(fēng)險(xiǎn)管理團(tuán)隊(duì)的績(jī)效來自不同行業(yè)和地區(qū)的受訪者均表示，近年來第三方評(píng) 估活動(dòng)的規(guī)模已經(jīng)擴(kuò)大。首先，為了進(jìn)行更多風(fēng)險(xiǎn)評(píng)估，第三方風(fēng)險(xiǎn)管理項(xiàng)目已經(jīng)增加了人手。目前，各企業(yè)可 以采取以下創(chuàng)新手段：進(jìn)一步提高內(nèi)部第三方風(fēng)險(xiǎn)管理程序的自動(dòng)化水平利用共享服務(wù)提供商分發(fā)盡職調(diào)查問卷并收集反饋從間歇性風(fēng)險(xiǎn)評(píng)估向持續(xù)控制監(jiān)控轉(zhuǎn)變當(dāng)前，我們發(fā)現(xiàn)只有約四分之一的企業(yè)已經(jīng)利用技術(shù)提高

16、工作流程自動(dòng)化水平或?qū)Φ谌竭M(jìn)行監(jiān)控。然而，在獲得額外資金支持的情況下，技術(shù)是受訪者最愿意進(jìn)行的投資（61%）。畢馬威英國(guó)合伙人Jon Dowie稱：“由于業(yè)界終于就對(duì)間歇性風(fēng)險(xiǎn)評(píng)估加以改進(jìn)一事達(dá)成共識(shí)，因此當(dāng)前第三方風(fēng)險(xiǎn)管理工作尤為振奮人心。來自各行各業(yè)的企業(yè)正通力合作，基于統(tǒng)一標(biāo)準(zhǔn)開展調(diào)研并分享評(píng)估結(jié)果，以便各自團(tuán)隊(duì)可集中精力應(yīng)對(duì)第三方風(fēng)險(xiǎn)，而無需對(duì)各種反饋進(jìn)行跟蹤調(diào)查或穿梭各地開展實(shí)地評(píng)估?！表?xiàng)目持續(xù)調(diào)整正當(dāng)時(shí)當(dāng)前，各企業(yè)正不斷優(yōu)化其第三方風(fēng)險(xiǎn)管理項(xiàng)目，以更 好地了解自身當(dāng)前可能面臨的由第三方失職導(dǎo)致的服務(wù) 中斷風(fēng)險(xiǎn)。此外，各企業(yè)也正提升識(shí)別、評(píng)估和管理風(fēng) 險(xiǎn)的范疇以涵蓋重要分包商。如本

17、報(bào)告下一節(jié)所述，許 多企業(yè)在運(yùn)營(yíng)模式整體改進(jìn)方面仍存在空間，包括治理、程序、基礎(chǔ)設(shè)施和數(shù)據(jù)等。在此基礎(chǔ)上，我們的分析進(jìn) 一步優(yōu)化了各企業(yè)在改進(jìn)其第三方風(fēng)險(xiǎn)管理項(xiàng)目方面所 應(yīng)采取的措施。此類措施在本報(bào)告第3節(jié)中進(jìn)行了概述，主要用于幫助團(tuán)隊(duì)提升各自項(xiàng)目，優(yōu)化各類程序，并利 用新興技術(shù)在有限資源基礎(chǔ)上實(shí)現(xiàn)更優(yōu)結(jié)果。 來準(zhǔn)自開各展行調(diào)各研業(yè)并的分企享業(yè)評(píng)正估通結(jié)力果合，作以，便基各于自統(tǒng)團(tuán)一隊(duì)標(biāo)可集進(jìn)中行精跟力蹤應(yīng)調(diào)對(duì)查第或三穿方梭風(fēng)各險(xiǎn)地，開而展無實(shí)需地對(duì)評(píng)各估。種反饋畢馬威J英o國(guó)n D合o伙w人ie第三方風(fēng)險(xiǎn)管理展望2020 | 9畢馬威美國(guó)合伙人Greg Matthews表示，當(dāng)前 各種優(yōu)秀的

18、第三方風(fēng)險(xiǎn)管理項(xiàng)目正處于試驗(yàn)階 段，與新興運(yùn)營(yíng)模式一起用于更迅速實(shí)現(xiàn)同等 第三方風(fēng)險(xiǎn)識(shí)別、監(jiān)控和管理效果。他解釋稱： “要實(shí)現(xiàn)第三方風(fēng)險(xiǎn)管理變革，各項(xiàng)目應(yīng)突破 對(duì)其最初設(shè)立和后續(xù)迭代各階段造成影響的障 礙，如管理層支持不足、問責(zé)不足、第三方抵制風(fēng)險(xiǎn)管理程序等。”畢馬威的有效第三方風(fēng)險(xiǎn)管理運(yùn)作模式框架基 于以下四大支持要素：治理、程序、基礎(chǔ)設(shè)施 和數(shù)據(jù)。各支持要素具有下文所述的特別要求。但令人擔(dān)憂的一點(diǎn)是，如我們的調(diào)研數(shù)據(jù)所示，許多企業(yè)離成熟管理仍有較長(zhǎng)一段路要走。要其實(shí)最現(xiàn)初第設(shè)三立方和風(fēng)后險(xiǎn)續(xù)管迭理代變各革階，段各造項(xiàng)成目影應(yīng)響突的障破礙對(duì)。畢G馬re威g 美Ma國(guó)tt合h伙ew人s治理第2

19、節(jié)：有險(xiǎn)效管第理三框方架風(fēng)要求：指定項(xiàng)目單一負(fù)責(zé)人設(shè)立向高級(jí)管理層和董事會(huì)報(bào)告的架構(gòu)制定企業(yè)的外包和第三方策略，并明確風(fēng)險(xiǎn)好制注定點(diǎn)政策、標(biāo)準(zhǔn)、風(fēng)險(xiǎn)偏好以規(guī)定項(xiàng)目的范圍和關(guān)基列于表議定第三方服務(wù)定義創(chuàng)建項(xiàng)目采用的第三方服務(wù)企業(yè)必須采取行動(dòng)的原因：7管4理%的整受體訪一者致表性示，其所在企業(yè)亟需提升第三方風(fēng)險(xiǎn)5達(dá)7成%全的面受共訪識(shí)者上表，示仍，有其很所多在工企作業(yè)要在做就哪些服務(wù)可以外包程序要求：以高一質(zhì)致量的數(shù)方據(jù)式實(shí)施第三方風(fēng)險(xiǎn)管理以獲取分析所需的建立具有所需技能、經(jīng)驗(yàn)和能力的評(píng)估團(tuán)隊(duì)通方過服基務(wù)于風(fēng)險(xiǎn)的措施評(píng)估與項(xiàng)目的風(fēng)險(xiǎn)偏好相關(guān)的第三于簽訂合同和制定決策之前進(jìn)行風(fēng)險(xiǎn)評(píng)估10 | 第三方

20、風(fēng)險(xiǎn)管理展望2020持集續(xù)和分調(diào)析查和反緩饋解收風(fēng)集險(xiǎn)，而非僅僅關(guān)注眼前的數(shù)據(jù)收在合同有效期內(nèi)開展持續(xù)監(jiān)控采用有助于明確程序并提高一致性的流程和模板除第三方外，進(jìn)一步覆蓋第四方和重要分包商風(fēng)險(xiǎn)企業(yè)必須采取行動(dòng)的原因：企業(yè)必須采取行動(dòng)的原因：各三企方業(yè)風(fēng)險(xiǎn)之管間理在的運(yùn)最營(yíng)終模責(zé)式任的規(guī)選定取上也仍千存差在萬較別大（差參異見，圖對(duì)5第）只通有過2自4動(dòng)%化的提受高訪第者三表方示風(fēng)，險(xiǎn)其管所理在項(xiàng)企目業(yè)的已效經(jīng)率在日常工作中目52不%夠的人受性訪化者，認(rèn)有為礙，其開所展在業(yè)企務(wù)業(yè)的第三方風(fēng)險(xiǎn)管理項(xiàng)數(shù)據(jù)技挑能戰(zhàn)不足是受訪者在第三方風(fēng)險(xiǎn)管理變革中面臨的最大部67眾%多的職受能訪部者門稱實(shí)，施其，所而在

21、非企某業(yè)特的定第人三員方或風(fēng)團(tuán)險(xiǎn)隊(duì)評(píng)估由內(nèi)只解有第3三2方%造的成受的訪風(fēng)者險(xiǎn)表示，其所在企業(yè)非常善于全面了只風(fēng)有險(xiǎn)3的6措%施的進(jìn)受行訪持者續(xù)表監(jiān)示控，其所在企業(yè)已經(jīng)采取基于推移而不了了之4方0進(jìn)%行的監(jiān)受控訪，者通表常示是，因其為所他在們企允業(yè)許未此于類合監(jiān)同控簽隨訂著后時(shí)對(duì)間第的三7評(píng)2估%方的式受訪者表示，其所在企業(yè)亟需改善對(duì)第四方的要求：收三方服方務(wù)評(píng)表估現(xiàn)、及準(zhǔn)其入所和處了監(jiān)解控制第方三面環(huán)境的方方風(fēng)能力險(xiǎn)面的管，理以能力項(xiàng)及目在管在管理理第三第制詳定情綜、合風(fēng)數(shù)險(xiǎn)據(jù)評(píng)模分型、，合以同收信集息第和三績(jī)方效信監(jiān)控息，包括服務(wù)獲和取事內(nèi)項(xiàng)部，輸同入時(shí)數(shù)獲據(jù)取，外以部監(jiān)輸控入和數(shù)記據(jù)錄，

22、與以第監(jiān)三控方第相三關(guān)方的實(shí)件時(shí)信風(fēng)息險(xiǎn)，得如分負(fù)和面財(cái)新務(wù)聞穩(wěn)、定企性業(yè)評(píng)所級(jí)有權(quán)變更、公司行動(dòng)、網(wǎng)絡(luò)于況環(huán)境。出理現(xiàn)想變情化況時(shí)下進(jìn)，行化應(yīng)時(shí)于實(shí)時(shí)，問通題更新或過程外因序更產(chǎn)新生第或第三方三風(fēng)方控險(xiǎn)狀制依據(jù)服務(wù)水平協(xié)議對(duì)績(jī)效進(jìn)行實(shí)時(shí)跟蹤基于關(guān)鍵風(fēng)險(xiǎn)指標(biāo)對(duì)風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)跟蹤若影合響同合續(xù)同簽條或款第和三決方策關(guān)，則系應(yīng)延開續(xù)展時(shí)數(shù)風(fēng)據(jù)險(xiǎn)驅(qū)評(píng)動(dòng)估型和決績(jī)策效監(jiān)控企業(yè)必須采取行動(dòng)的原因：3企7業(yè)%內(nèi)的部受上訪下者共表享示第，三系方統(tǒng)數(shù)互據(jù)不的兼主容要等難技題術(shù)壁壘是其所在 合不同到電一子半檔的案受、訪風(fēng)者險(xiǎn)非監(jiān)常控信和任報(bào)其告所、在企第三業(yè)的方第名三錄方基礎(chǔ)設(shè)施要求：設(shè)自立動(dòng)第化三和方報(bào)風(fēng)告險(xiǎn)提

23、管供理支技持術(shù)架構(gòu)，為高效工作流程、任務(wù)對(duì)審計(jì)軌跡進(jìn)行記錄并確保其易于理解制式定，符并合在企各業(yè)運(yùn)務(wù)營(yíng)線方和式地（區(qū)集間中實(shí)或現(xiàn)分一散致的）的風(fēng)服險(xiǎn)管務(wù)理交付模動(dòng)中將等企第業(yè)三方現(xiàn)風(fēng)有險(xiǎn)整管體理程活序動(dòng)中和，技以術(shù)及納當(dāng)入前采風(fēng)購(gòu)險(xiǎn)、監(jiān)法控務(wù)部、門財(cái)和務(wù)活僅了四評(píng)分估之所一需（的2所6有%數(shù)）據(jù)的受訪者確信，其所在企業(yè)具備第三方風(fēng)險(xiǎn)管理展望2020 | 11風(fēng)險(xiǎn)管理的途徑第3節(jié)：實(shí)現(xiàn)有效第三方企業(yè)應(yīng)如何轉(zhuǎn)變其第三方風(fēng)險(xiǎn)管理項(xiàng)目，以確保圍繞治理、程序、基礎(chǔ)設(shè)施及數(shù)據(jù)等四大支持要素進(jìn)行項(xiàng)目?jī)?yōu)化？我們認(rèn)為，這項(xiàng)轉(zhuǎn)變應(yīng)由項(xiàng)目提升、程序優(yōu)化及創(chuàng)新所構(gòu)成的循環(huán)來持續(xù)推動(dòng)。為實(shí)現(xiàn)這一目標(biāo)，各企業(yè)在實(shí)務(wù)中應(yīng)采

24、取四個(gè)關(guān)鍵步驟包括：形成愿景共識(shí)、確立模式、優(yōu)化完善和不斷發(fā)展。12 I 第三方風(fēng)險(xiǎn)管理展望2020務(wù) 所20，21均畢是馬與威英華國(guó)振私會(huì)營(yíng)計(jì)擔(dān)師保事有務(wù)限所公(特司殊普畢通馬合威伙國(guó))際有中限國(guó)公合司伙相制關(guān)會(huì)聯(lián)計(jì)的師獨(dú)事立務(wù)成所員，所畢全馬球威性企組業(yè)織咨中詢的(中成國(guó)員)。有版限權(quán)公所司有，中不國(guó)得有轉(zhuǎn)限載責(zé)。任公司，畢馬威會(huì)計(jì)師事務(wù)所澳門合伙制事務(wù)所及畢馬威會(huì)計(jì)師事務(wù)所香港合伙制事1形成愿景共識(shí)幾乎所有企業(yè)都制定了某種形式的第三方風(fēng)險(xiǎn)管理項(xiàng)目。盡管51%的受訪者所在的企業(yè)在這方面的預(yù)算有限，但鑒于企業(yè)對(duì)第三方的使用受到日益關(guān)注，四分之三（76%）的受訪者表示，在發(fā)展和增強(qiáng)自身第三方風(fēng)

25、險(xiǎn)管理項(xiàng)目方面，能夠獲得資金支持或資金支持在不斷增長(zhǎng)。對(duì)于企業(yè)整體第三方風(fēng)險(xiǎn)管理項(xiàng)目而言，關(guān)鍵考慮事項(xiàng)之一是指定項(xiàng)目負(fù)責(zé)人并確定第三方風(fēng)險(xiǎn)管理在組織中的地位。 這最終應(yīng)根據(jù)各企業(yè)的性質(zhì)和復(fù)雜程度確定。盡管我們的調(diào)研發(fā)現(xiàn)，此職責(zé)最有可能會(huì)被賦予風(fēng)險(xiǎn)及合規(guī)部（30%）或者財(cái)務(wù)、行政及運(yùn)營(yíng)部（29%）（參見圖5）。對(duì)于后者而言，越來越多企業(yè)認(rèn)為，應(yīng)由采購(gòu)部執(zhí)行第三方風(fēng)險(xiǎn)管理生命周期內(nèi)的活動(dòng)。畢馬威德國(guó)合伙人Alexander Geschonneck表示：“我們發(fā)現(xiàn)，若將第三方風(fēng)險(xiǎn)管理職能賦予覆蓋面更廣泛的采購(gòu)部門，則可顯著提高運(yùn)營(yíng)效率并改善第三方服務(wù)的業(yè)務(wù)關(guān)系負(fù)責(zé)人的用戶體驗(yàn)。話雖如此，若要采購(gòu)部門

26、承擔(dān)執(zhí)行第三方風(fēng)險(xiǎn)管理的責(zé)任，可能需要進(jìn)行技能提升和文化變革；此外，向風(fēng)險(xiǎn)委員會(huì)和董事會(huì)匯報(bào)第三方風(fēng)險(xiǎn)時(shí)，可能會(huì)涉及復(fù)雜的匯報(bào)途徑?！蔽覄?wù)們的發(fā)業(yè)現(xiàn)務(wù)，關(guān)若系將負(fù)第責(zé)三人方的風(fēng)用險(xiǎn)戶管體理驗(yàn)歸。入更廣泛的采購(gòu)部門，可顯著提高運(yùn)營(yíng)效率并改善第三方服 Alexander Geschonneck, 畢馬威德國(guó)合伙人5%5%29%財(cái)務(wù)、行政和運(yùn)營(yíng)CEO辦公室信息安全采購(gòu)風(fēng)險(xiǎn)合規(guī)法務(wù)審計(jì)地區(qū)/部門風(fēng)險(xiǎn)圖 5. 您所在企業(yè)內(nèi)最終負(fù)責(zé)第三方風(fēng)險(xiǎn)管理的部門430%2%10%15%資料來源：第三方風(fēng)險(xiǎn)管理展望2020，畢馬威國(guó)際，2020年在確立項(xiàng)目愿景、防范措施和負(fù)責(zé)部門后，企業(yè)應(yīng)構(gòu)建技術(shù)賦能愿景。在這方面，

27、企業(yè)應(yīng)避免急于求成。盡管許多企業(yè)意識(shí)到，實(shí)現(xiàn)項(xiàng)目整體自動(dòng)化，對(duì)于擴(kuò)大第三方風(fēng)險(xiǎn)管理的規(guī)模及協(xié)助團(tuán)隊(duì)處理和分析大量數(shù)據(jù)至關(guān)重要（參見圖6），但實(shí)際上，技術(shù)應(yīng)被視為支持手段，而非驅(qū)動(dòng)因素。因此，對(duì)薄弱流程實(shí)行自動(dòng)化無法起到顯著的增強(qiáng)效果。第三方風(fēng)險(xiǎn)管理展望2020 I 13圖6. 在未來12個(gè)月和未來3年內(nèi)，您的團(tuán)隊(duì)將對(duì)以下哪個(gè)舉措投入最多時(shí)間和精力？未來12個(gè)月 未來3年39%33%32%31%31%28%26%25%20% 采用新技術(shù)對(duì)第三方風(fēng)險(xiǎn)自管動(dòng)理化核心程序進(jìn)行 對(duì)企業(yè)整體程序進(jìn)行標(biāo)準(zhǔn)化改進(jìn)數(shù)據(jù)共享及重用的方式對(duì)現(xiàn)有方法和程序進(jìn)行創(chuàng)新 采用先進(jìn)的預(yù)測(cè)分析技術(shù) 增強(qiáng)第四方及分包商透明度/評(píng)

28、估跨組織協(xié)作，制對(duì)定措面施向整個(gè)行業(yè)的應(yīng) 將關(guān)鍵的第三方風(fēng)險(xiǎn)管理活動(dòng)外包38%34%27%29%33%27%25%24%20%資料來源：第三方風(fēng)險(xiǎn)管理展望2020，畢馬威國(guó)際，2020年2確立模式第三方風(fēng)險(xiǎn)管理項(xiàng)目較為復(fù)雜。由于第三方服務(wù)遍及企業(yè)的方方面面，且每項(xiàng)第三方服務(wù)都會(huì)帶來多種風(fēng)險(xiǎn)，因此單項(xiàng)風(fēng)險(xiǎn)評(píng)估時(shí)應(yīng)咨詢各種監(jiān)督部門。畢馬威美國(guó)合伙人Amanda Rigby表示：“在制定項(xiàng)目后，企業(yè)應(yīng)繼續(xù)對(duì)其進(jìn)行微調(diào)并闡明其運(yùn)作方式，以提高其在整個(gè)企業(yè)中的效率。第三方風(fēng)險(xiǎn)管理項(xiàng)目發(fā)展無法一蹴而就。大多數(shù)客戶要經(jīng)歷三次甚至更多的項(xiàng)目迭代后，才能找到適當(dāng)?shù)钠胶恻c(diǎn)。”在項(xiàng)目開發(fā)階段所需考慮的因素包括明確在

29、整個(gè)第三方風(fēng)險(xiǎn)管理生命周期內(nèi)引入業(yè)務(wù)利益相關(guān)方的方式、時(shí)間 和地點(diǎn)。例如，采購(gòu)部通常負(fù)責(zé)第三方準(zhǔn)入和管理程序，而企業(yè)負(fù)責(zé)人和第三方風(fēng)險(xiǎn)管理的集中評(píng)估人員則負(fù)責(zé) 在關(guān)鍵節(jié)點(diǎn)（如風(fēng)險(xiǎn)評(píng)估的初期和持續(xù)階段）與風(fēng)險(xiǎn)領(lǐng) 域?qū)＜疫M(jìn)行溝通（參見圖7以了解所涉及的主要部門）。除此之外，第三方風(fēng)險(xiǎn)管理項(xiàng)目小組主要對(duì)項(xiàng)目執(zhí)行負(fù) 責(zé)，風(fēng)險(xiǎn)監(jiān)督部門則對(duì)其監(jiān)督的風(fēng)險(xiǎn)負(fù)責(zé)，而業(yè)務(wù)部門 則對(duì)第三方服務(wù)的日常管理負(fù)責(zé)。14 I 第三方風(fēng)險(xiǎn)管理展望2020第迭三代方后風(fēng)，險(xiǎn)才管能理找項(xiàng)到目適發(fā)當(dāng)展的無平法衡一點(diǎn)蹴。而就。我們?cè)谌虻拇蠖鄶?shù)客戶須經(jīng)歷三次甚至更多的項(xiàng)目 Amanda Rigby，畢馬威德國(guó)合伙人圖7. 誰是第三方

30、風(fēng)險(xiǎn)管理的第二道防線？財(cái)務(wù)監(jiān)管與合規(guī)信息安全技術(shù)風(fēng)險(xiǎn)管理一般風(fēng)險(xiǎn)管理21%11%9%3%5%23%3%21%3%法律顧問內(nèi)部審計(jì)供應(yīng)鏈/物流采購(gòu)或運(yùn)營(yíng)資料來源：第三方風(fēng)險(xiǎn)管理展望2020，畢馬威國(guó)際，2020年采用哪種模式開展風(fēng)險(xiǎn)評(píng)估活動(dòng)，是企業(yè)應(yīng)考慮的另一因素。企業(yè)可能會(huì)選擇采用分散模式，即由業(yè)務(wù)關(guān)系管理人員協(xié)調(diào)固有風(fēng)險(xiǎn)評(píng)估活動(dòng)?；蛘撸髽I(yè)也可指定由某中央團(tuán)隊(duì)在其提供的信息的基礎(chǔ)上代表其統(tǒng)一執(zhí)行固有風(fēng)險(xiǎn)評(píng)估。在這種模式中，該團(tuán)隊(duì)可協(xié)助業(yè)務(wù)關(guān)系負(fù)責(zé)人克服因整合及技能不足引起的挑戰(zhàn)，并提高執(zhí)行的一致性；這一點(diǎn)至關(guān)重要，因?yàn)楣逃酗L(fēng)險(xiǎn)信息是第三方風(fēng)險(xiǎn)管理項(xiàng)目分析的基礎(chǔ)。畢馬威新加坡合伙人Lem Ch

31、in Kok表示：“在許多情況下，供應(yīng)商管理人員所需的培訓(xùn)和監(jiān)督，會(huì)使維持分散模式需要較高的總成本。因此，我們通常會(huì)看到這兩種模式的混用，但此時(shí)往往會(huì)更偏向于集中模式，即由某中央團(tuán)隊(duì)統(tǒng)一執(zhí)行風(fēng)險(xiǎn)評(píng)估活動(dòng)，并向業(yè)務(wù)關(guān)系管理人員提供反饋，由后者最終決定是否繼續(xù)與第三方供應(yīng)商合作?！蓖ǔ?，企業(yè)會(huì)面臨存在須同時(shí)滿足的特定要求；例如，在當(dāng)今環(huán)境下，跨國(guó)公司須確保滿足不斷增長(zhǎng)的全球監(jiān)管要求，并應(yīng)對(duì)各地區(qū)要求之間的細(xì)微差異。因此，在持續(xù)更新項(xiàng)目以符合相關(guān)要求以及新的監(jiān)管預(yù)期時(shí)（包括顧客及客戶數(shù)據(jù)隱私），獲得合規(guī)及技術(shù)風(fēng)險(xiǎn)管理部的適當(dāng)支持顯得尤為重要。此外，受訪者還關(guān)注第四方和重要分包商風(fēng)險(xiǎn)管理。例如，第三方

32、使用云服務(wù)提供商來支持服務(wù)交付，即形成重大分包商關(guān)系。鑒于企業(yè)與其第四方之間不存在直接的合同關(guān)系，因此持續(xù)監(jiān)控此類第四方實(shí)屬不易。對(duì)于第四方風(fēng)險(xiǎn)管理，企業(yè)一般會(huì)采用圖8所述的一種或多種措施。了解分包商在第三方服務(wù)交付中扮演的角色，包括第四方可以訪問的數(shù)據(jù)及其角色如何對(duì)業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)產(chǎn)生影響，對(duì)于全面了解企業(yè)所涉服務(wù)的風(fēng)險(xiǎn)概況至第三方風(fēng)險(xiǎn)管理展望2020 I 15關(guān)重要。了解第三方是否已通過項(xiàng)目管理其第三方（即其所服務(wù)的企業(yè)的第四方），是確定是否允許該第三方使用分包商的重要一步。 我往們往看更到偏向企于業(yè)會(huì)集同中時(shí)模采式用而上非述分兩散種模模式式。，且畢馬威Le新m加C坡hi合n 伙Ko人k解決

33、此類初步考慮事項(xiàng)是第三方風(fēng)險(xiǎn)管理走向成熟的重要3一步，但也只是必經(jīng)的其中一步。企業(yè)需要擴(kuò)展其第三方風(fēng)險(xiǎn)管理項(xiàng)目，以涵蓋簽訂合同前的風(fēng)險(xiǎn)評(píng)估，并在整個(gè)合同有效期內(nèi)進(jìn)持續(xù)監(jiān)控。優(yōu)化流程流程優(yōu)化旨在確保不滿足既定風(fēng)險(xiǎn)和重要性標(biāo)準(zhǔn)的第三方不會(huì)被納入第三方風(fēng)險(xiǎn)管理項(xiàng)目評(píng)估。企業(yè)可通過兩種方式優(yōu)化風(fēng)險(xiǎn)分級(jí)程序：風(fēng)險(xiǎn)細(xì)分，即針對(duì)第三方服務(wù)建立嚴(yán)格的風(fēng)險(xiǎn)評(píng)分方法；以及完善服務(wù)交付模式，從而降低成本和加強(qiáng)問責(zé)。這些措施將有助于應(yīng)對(duì)受訪者在調(diào)查中提出的企業(yè)預(yù)算有限的問題，并可支持各團(tuán)隊(duì)根據(jù)所獲數(shù) 據(jù)作出正確決策。16 I 第三方風(fēng)險(xiǎn)管理展望2020圖8. 以下哪些程序和業(yè)務(wù)需要管理第四方風(fēng)險(xiǎn)？49%集中維護(hù)的存貨

34、51%45%43%由第三方負(fù)責(zé)的監(jiān)管3%以上都不是/不清楚由企業(yè)負(fù)責(zé)的監(jiān)管第四方合的同一與致第性三方合同資料來源：第三方風(fēng)險(xiǎn)管理展望2020，畢馬威國(guó)際，2020年第三方風(fēng)險(xiǎn)管理展望2020 I 17企業(yè)應(yīng)將第三方分為三類：為企業(yè)帶來名義風(fēng)險(xiǎn)且無需進(jìn)行風(fēng)險(xiǎn)評(píng)估的第三方適用于標(biāo)準(zhǔn)的第三方風(fēng)險(xiǎn)管理程序的第三方具有類似風(fēng)險(xiǎn)狀況，且可通過特別項(xiàng)目進(jìn)行更高效集中管理的第三方風(fēng)險(xiǎn)細(xì)分應(yīng)能根據(jù)第三方風(fēng)險(xiǎn)評(píng)估要求為具有特殊風(fēng)險(xiǎn)狀況的第三方進(jìn)行量身定制和調(diào)整。例如，企業(yè)的第三方辦公用品供應(yīng)商和核心客戶服務(wù)中心承包商無需進(jìn)行同等程度的評(píng)估。在實(shí)務(wù)中，可通過為采購(gòu)服務(wù)類別設(shè)定名義風(fēng)險(xiǎn)或特殊項(xiàng)目來實(shí)現(xiàn)。在制定標(biāo)準(zhǔn)的第

35、三方風(fēng)險(xiǎn)管理程序時(shí)，應(yīng)預(yù)先提出一系列門檻問題，包括：該第三方與我們的客戶/顧客之間是否存在相互影響？相關(guān)工作是否在企業(yè)所在的國(guó)家內(nèi)執(zhí)行？第三方是否可以獲取知識(shí)產(chǎn)權(quán)或顧客/客戶數(shù)據(jù)？如是，這些數(shù)據(jù)是否將存儲(chǔ)在云上？第三方服務(wù)是否涉及監(jiān)管審查領(lǐng)域或要求？該第三方服務(wù)是否屬于重大外包或關(guān)鍵職能？對(duì)上述任一問題的肯定回答，都有可能導(dǎo)致需要相關(guān)風(fēng)險(xiǎn)監(jiān)督職能的介入，并完成特定的風(fēng)險(xiǎn)問卷調(diào)查和盡職調(diào)查評(píng)估。反之，對(duì)上述問題的否定回答，則可能會(huì)限制風(fēng)險(xiǎn)評(píng)估活動(dòng)的數(shù)量，由此減少工作量和成本。在優(yōu)化第三方風(fēng)險(xiǎn)管理的服務(wù)交付模式方面，我們看到領(lǐng)先項(xiàng)目正在對(duì)應(yīng)由哪個(gè)部門負(fù)責(zé)第三方風(fēng)險(xiǎn)管理活動(dòng)進(jìn)行審視。 分散模式要求第

36、三方關(guān)系管理人員深度參與，因此其最大的挑戰(zhàn)來自人員技能不足。在出現(xiàn)全球性事件及經(jīng)濟(jì)不明朗之際，某些企業(yè)也面臨著難以準(zhǔn)確獲取最新第三方服務(wù)信息的問題，他們承認(rèn)第三方關(guān)系管理人員的壓力已經(jīng)增加。為應(yīng)對(duì)這類人才短缺挑戰(zhàn)，受訪者們表示培訓(xùn)和技能培養(yǎng)是其第三方風(fēng)險(xiǎn)管理項(xiàng)目重點(diǎn)關(guān)注的領(lǐng)域之一（參見圖9）。由于意識(shí)到各企業(yè)的風(fēng)險(xiǎn)領(lǐng)域?qū)＜覕?shù)量有限，因此許多客 戶正在將第三方風(fēng)險(xiǎn)管理程序的各個(gè)執(zhí)行方面集中起來， 并確定能夠由通才完成風(fēng)險(xiǎn)評(píng)估和盡職調(diào)查環(huán)節(jié)。同時(shí)，各企業(yè)也正識(shí)別需要領(lǐng)域?qū)＜姨貏e關(guān)注的控制和風(fēng)險(xiǎn)領(lǐng)域。盡管中央團(tuán)隊(duì)可能會(huì)負(fù)責(zé)執(zhí)行風(fēng)險(xiǎn)評(píng)估和評(píng)分，是否繼續(xù)與第三方簽訂合同仍將由企業(yè)決定。我們認(rèn)為，明確界定

37、第三方風(fēng)險(xiǎn)管理流程中的這些組成部分，將有助于企業(yè)實(shí)現(xiàn)任務(wù)的自動(dòng)化、構(gòu)建工作流程，并簡(jiǎn)化不同部門的信息收集和分析工作。4發(fā)展與創(chuàng)新鑒于第三方風(fēng)險(xiǎn)管理項(xiàng)目中的最主要工作包括信息收集以及第三方控制信息評(píng)估，這些領(lǐng)域?qū)⒊蔀橥顿Y的重點(diǎn)。在未來幾年內(nèi)，我們預(yù)計(jì)以下兩大方面將取得重大進(jìn)展：行業(yè)內(nèi)共享盡職調(diào)查結(jié)果使用技術(shù)和評(píng)分服務(wù)并以更為連續(xù)和一致的方式評(píng)估第三方的控制環(huán)境本次調(diào)查的大多數(shù)受訪者正在或希望通過共享評(píng)估信息來降低成本。越來越多的企業(yè)承認(rèn)并接受，行業(yè)部門可以在第三方及其客戶之間收集和分享信息。此舉對(duì)于第三方及其客戶而言價(jià)值十分明確。對(duì)于第三方，信息的收集和分享可能意味著，行業(yè)部門只需收集一次信息并

38、完成一次評(píng)估，并隨后向其所有客戶提供評(píng)估結(jié)果，而無需每個(gè)客戶單獨(dú)進(jìn)行風(fēng)險(xiǎn)評(píng)估。在這種情形下，客戶可以及時(shí)取得必要的評(píng)估信息，并通過整個(gè)行業(yè)分擔(dān)相關(guān)的風(fēng)險(xiǎn)評(píng)估成本。18 I 第三方風(fēng)險(xiǎn)管理展望2020在第三方風(fēng)險(xiǎn)管理的技術(shù)創(chuàng)新方面，我們的調(diào)查顯示企業(yè)正將有限的預(yù)算投資在新工具上（參見圖9）。這與我們的第三方風(fēng)險(xiǎn)管理項(xiàng)目發(fā)展經(jīng)驗(yàn)一致。在過去，企業(yè)一般通過增加員工來完成更多的評(píng)估活動(dòng)?，F(xiàn)在，我們看到領(lǐng)先的第三方風(fēng)險(xiǎn)管理團(tuán)隊(duì)正利用自動(dòng)化、數(shù)據(jù)分析、自然語(yǔ)言處理以及評(píng)分服務(wù)來對(duì)特定風(fēng)險(xiǎn)領(lǐng)域、績(jī)效管理及合同合規(guī)性進(jìn)行低成本高靈活性的持續(xù)監(jiān)控。各第三方風(fēng)險(xiǎn)管理項(xiàng)目正在探索如何利用機(jī)器學(xué)習(xí)來評(píng)估與風(fēng)險(xiǎn)事件相關(guān)

39、的內(nèi)部數(shù)據(jù)，以便能夠識(shí)別可能由第三方引起的風(fēng)險(xiǎn)事件。它們正在對(duì)第三方是否遵守服務(wù)水平協(xié)議條款實(shí)行自動(dòng) 監(jiān)控，以確定是否可就未履行的承諾收回費(fèi)用，并采取 更積極主動(dòng)的態(tài)度解決聲譽(yù)風(fēng)險(xiǎn)，例如對(duì)社交媒體數(shù)據(jù) 進(jìn)行自動(dòng)化分析。圖9. 您當(dāng)前投資于哪些第三方風(fēng)險(xiǎn)管理領(lǐng)域？工具及技術(shù)在團(tuán)隊(duì)調(diào)整其項(xiàng)目以應(yīng)對(duì)全球性事件、經(jīng)濟(jì)不確定性及其后果的過程中，一些創(chuàng)新舉措的吸引力日益增強(qiáng)。由于企業(yè)當(dāng)前進(jìn)行現(xiàn)場(chǎng)審查的能力有限，他們正設(shè)法通過其他方式更新第三方風(fēng)險(xiǎn)管理項(xiàng)目，以應(yīng)對(duì)新的現(xiàn)實(shí)環(huán)境；例如，確定持續(xù)監(jiān)控如何能夠代替標(biāo)準(zhǔn)風(fēng)險(xiǎn)問卷調(diào)查、盡職調(diào)查評(píng)估和現(xiàn)場(chǎng)審查，來達(dá)成第三方風(fēng)險(xiǎn)管理項(xiàng)目的部分目標(biāo)。企業(yè)也正重新思考如何利用數(shù)據(jù)驅(qū)動(dòng)的主動(dòng)風(fēng)險(xiǎn)監(jiān)控（即利用人工智能和機(jī)器學(xué)習(xí)）來識(shí)別第三方彈性預(yù)警 指標(biāo)，并幫助降低未來危機(jī)的影響。最后