Model Risk Management I 1 第三方风险管理 展望2020 毕马威国际 home.kpmg/thirdpartyrisk目录 简介 第1节： 主要调研发现 第2节： 有效第三方风险管理框架 第3节： 实现有效第三方风险管理的途径 结语 关于此次调研 04 08 10 12 20 22 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载为寻求此类问题的答案，毕马威国际对来自全球14个国家 和司法辖区的多个行业的大型企业的1,100名负责第三方风 险管理的高级主管进行了调研。 本报告中，我们将对此次调研的主要发现进行阐述，以表 明第三方风险管理原则对不同行业和地区均普遍适用。为 了对寻求优化自身第三方风险管理项目的企业提供协助， 本文还介绍了我们在自身丰富的客户服务经验基础上提炼 出的第三方风险管理框架和方法论要素。 当前，企业们纷纷努力应对全球性事件和经济不确定性导 致的经营环境变化，其中许多企业将重新评估其第三方合 作伙伴的风险状况，并重新衡量自身的业务弹性。因此， 持续有效的第三方风险管理项目此时显得尤为重要。 对第三方的定义 深入探讨调研发现之前，我们将对本报告中涉及的某些术 语的含义进行澄清。首先，何谓“第三方”？ 此次调研中，仅有少数（41%）的受访者完全确定其所在 企业对“第三方”进行了统一定义。毕马威国际和各毕马 威成员所将以下外部各方纳入第三方范畴：销售商、供应 商、服务提供商、代理、分销商、经纪、合资企业和经销 商。对于内部第三方，我们还包括集团内部的关联公司、 共享服务、母公司/实体。我们未将客户归为第三方，因 为各企业在与客户进行交易前，并未通过第三方项目对其 执行审查或准入程序。 简而言之，第三方风险管理（TPRM）是指企业用于评 估和管理由第三方产品和服务导致风险的项目。例如， 对于将某企业的数据存储于第三方设施中的合同，该企 业应评估数据安全性风险。有效的第三方风险管理项目 应于签订合同之前将企业的首席信息安全官纳入采购流 程，担任数据安全性风险经理一职。此举将有助于企业 了解： 第三方访问、存储和传输该企业数据的方式 第三方的控制环境是否符合该企业要求，抑或需 要改进 合同中是否应包含议定的具体要求 来自风险职能部门的利益相关方可能还包括合规部门， 该部门将确定第三方服务提供商是否将导致金融犯罪 或制裁违规风险。 签订合同后，企业的第三方风险管理项目应聚焦对合 作关系和第三方履约的管理，并持续检查第三方对控 制环境要求的合规情况。 由于此类活动非常重要，且第三方向大多数企业提供的 服务种类繁多，那么各企业应如何确保其第三方风险管 理项目中制定了适当的治理结构、职责和服务交付模式？ 各企业应如何在有效管理第三方风险，以及满足内部各 合作负责人和其他利益相关方对及时引入第三方的需求 之间实现平衡？此外，第三方风险管理项目应如何最 大程度利用创新和新兴技术，以便更好地对各关键控 制手段的有效性进行持续评估？ 简介 当前，众多企业越来越依赖第三方供应商向客户提供与其业务密切相关的产品和服务。他们也 意识到，第三方的失职可能会导致其声誉迅速受损，并对下游运营和成本造成严重影响。显然， 各企业在应对此类问题时，应当采取清晰的第三方筛选、审批和管理策略。鉴于其中涉及众多 来自业务、采购和风险监管领域的利益相关方，制定和执行此类策略仍充满挑战。 4 | 第三方风险管理展望2020 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载例如，金融服务企业会通过“了解您的客户”（KYC） 程序确定客户准入。 第三方风险管理项目涵盖的风险 其次，我们具体探讨哪些第三方风险？图1中，我们展示 了企业普遍面临的主要风险类别，以及部分归属该等类别 的特殊风险。 第三方关系中可能存在此类风险（通常是风险组合），取 决于所提供的第三方产品或服务的性质。第三方风险管理 项目应明确在服务或产品层面识别和评估各类风险所需的 角色与职责，以便企业内部的风险专家确定第三方是否能 够依据业务要求管理风险。可以看到，许多企业由于未能 通过第三方的控制环境或自身的内部补充控制措施识别并 降低风险，正面临严格处罚，声誉也因此受损，是为前车 之鉴。 第三方风险管理项目的首要成功因素，是应将时间、精力、 经验聚焦于高风险第三方服务。在调研过程中，我们发现 第三方风险管理项目中优先考虑的风险往往并非会对企业 使命造成严重影响的风险。例如，数据治理、隐私和网络 风险是各行业和地区第三方活动的首要驱动因素（参见图 2）。 监管要求 盗窃/犯罪/争议风险 欺诈、反贿赂与贪腐/制裁 内部流程和标准合规 服务交付风险 扩张/实施风险 并购 遵从外包策略 知识产权风险 关键服务的供应商集中度 行业集中度（包括分包商） 关键技能集中度（即技术支持） 地区集中度 反向集中度 向第三方出借款项的财务风险 流动性风险 业务连续性 容灾 人身安全 运营弹性 绩效管理（包括服务水平协议） 模型风险 人力资源风险（行为风险等） 负面新闻 法律诉讼（过去和未决的诉讼） 第三方品牌 第三方主要主管/负责人 工作场所安全 法律管辖权 合同条款和条件 适用于所有风险领域 地缘政治风险 气候可持续性 图1. 第三方风险管理项目应覆盖的潜在风险 信息安全 网络安全 数据保密/数据保护 监管/合规风险 策略风险 集中度风险 财务稳定 性 运营/ 供应链 风险 声誉风险 法律风险 分包商风险 国别风险 技术/网络风 险 数据来源：第三方风险管理展望2020，毕马威国际，2020年 第三方风险管理展望2020 | 5 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载57% 60% 财务风险 60% 运营风险 技术风险（如集 成中断） 51% 监管合规风险 54% 侵犯数据隐 私风险 45% 声誉/品牌风 险 促进业务增长 提高运营弹性 管理网络风险 32% 22% 40% 支持业务转型 19% 改善成本效益 36% 保护品牌声誉 29% 确保业务连续性/容灾 26% 确保跨地区监管合规 26% 数据治理和隐私 39% 图2. 哪些是您当前业务中第三方风险管理活动最重要的驱动因素？ 然而，我们在审视各企业的第三方风险管理项目所涵 盖的风险时发现，仅54%的受访者将数据/隐私列为首 要风险（参见图3）。 与毕马威英国的合伙人David Hicks探讨此事时，他表 示：“第三方风险管理项目应具备经过详细斟酌的合 理策略，并阐明风险偏好。此举才能在管理和上报董 事会和管理层时有据可循。” 从全球性事件和经济不确定性导致的新常态角度再次审视 该等数据时，我们发现仅有少数受访者（22%）将运营弹 性视为第三方风险管理活动的驱动因素。毕马威澳大利亚 总监Gavin Rosettenstein表示：“近期在与客户的讨论交 流中，我们发现第三方风险管理和供应链团队非常注重和 认可第三方在向客户交付重要商业服务中扮演的角色。我 们预计未来几年，运营弹性将成为持续推动对第三方风险 管理投入的因素。” 数据来源：第三方风险管理展望2020，毕马威国际，2020年 第三方风险管理项目 应具备经过详细斟酌 的合理策略，并阐明 风险偏好。此举才能 在管理和上报董事会 和管理层时有据可循。 David Hicks 毕马威英国合伙人 数据来源：第三方风险管理展望2020，毕马威国际，2020年 图3. 您的第三方风险管理活动涵盖以下哪些风险？ 6 | 第三方风险管理展望2020 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载内部审计 毕马威 第三方风险管理 概览 区分第三方风险管理项目与程序 首先应当注意的是，我们认为不存在“通用”的第三方风险管理项目。换而言之，各行业行之有效的第三方风险管理 项目，均须在指定的项目治理层的领导下，依照特定的第三方风险识别、监督和管理程序行事。图4简单介绍了第三 方风险管理项目的主要方面，以及如何将其用于第三方风险管理的整个生命周期。 图4. 第三方风险管理项目的主要方面和生命周期 近期在与客户的讨论交流中，我们发现第三方风险管理和供应链团队非常注重和认可第三方在向 客户交付重要商业服务中扮演的角色。 Gavin Rosettenstein，毕马威澳大利亚总监 数据来源：第三方风险管理展望2020，毕马威国际，2020年 下一节中，我们将探讨此次调研的主要发现。第2节中，我们将简要介绍毕马威用于制定有效第三方风险管理运营模 式的框架。最后在第3节中，我们还将提出各企业在推动积极变革、实现有效风险管理过程中应采取的措施。 我们希望本文能对您有所帮助，也很乐意与您做进一步交流。 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。 第三方风险管理展望2020 | 7 第三方风险管理 领域专家 监控和测试 业务线 程序监控 程序执行、关系负责人 合同管理 风险相关意见、挑战、经验 协调、建议、评估、质疑 独立鉴证 项目监控主要调 研发现 第1节： 第三方风险管理属战略要点 超过四分之三的受访者（77%）表示第三方风险管理是其 业务的战略关注点之一。此外，十分之六的受访者认为第 三方失职是其所在企业面临的最大声誉风险。这反映了各 企业在向客户提供重要产品和服务方面对第三方的依赖程 度。同时，不断上升的监管压力，尤其是对侵犯隐私、丢 失客户数据或运营弹性等方面的监管压力，也进一步使第 三方关系受到严格监控。十分之六（59%）的受访者声称 其所在企业近期受到了与第三方风险管理相关的制裁和监 管处罚。 全球性事件和经济不确定性凸显了第三方在业务运营中的 必要性。毕马威特此提出在发生疫情或出现全球性事件或 经济不确定性后，企业应当考虑的四个阶段，包括：“反 应”、“调整”、“恢复”和“新常态”。就第三方风险 管理而言，前两个阶段是指紧急启用远程办公模式并调整 第三方服务交付模式，以确保维持客户服务。后两个阶段 则涵盖了企业在新常态下运营模式的准备，在新常态下， 控制环境将进一步延伸至临时远程办公地点，工作场所也 要求保持社交距离以避免病毒传播。第三方风险管理项目 还需考虑可能出现的政府规定，且随着危机的财务影响显 现而导致第三方生态系统恢复普遍存在不确定性时，可能 应对项目进行更新。 各企业的第三方风险管理措施千差别 当前，全球各地企业与种类繁多的第三方展开着合作，而 各第三方则代表其合作企业对部分风险进行管理。因此， 在决定引入第三方之前，各企业应了解第三方依据要求管 理风险的能力。然而，此次调研显示，许多企业还未做好 准备以应对复杂的跨业务线和跨地区的整体风险评估。于 第三方引入阶段以及合同生命周期中预先进行整体风险识 别和评估，对于企业了解其所有第三方合作伙伴的总体风 险状况至关重要。四分之三（74%）的受访者承认其所在 企业内部亟需实施更为一致的第三方风险管理。 以风险为基础是第三方风险管理项目合理化 的首要手段 在当前的商业环境下，管理第三方风险实属不易，项目涵 盖的范围以及所需的协调工作量会使部分人感到难以应对。 企业由于资源和预算有限，对此也爱莫能助。半数企业并 不具备管理自身面临的所有第三方风险所需的内部能力。 我们认为，企业可以采取基于风险的措施对风险最大的第 三方产品和服务进行评估和监控，从而保证第三方风险管 理的效率和效果。 8 | 第三方风险管理展望2020 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载数据和技术有助改善第三方风险管理团队的 绩效 来自不同行业和地区的受访者均表示，近年来第三方评 估活动的规模已经扩大。首先，为了进行更多风险评估， 第三方风险管理项目已经增加了人手。目前，各企业可 以采取以下创新手段： 进一步提高内部第三方风险管理程序的自动化水 平 利用共享服务提供商分发尽职调查问卷并收集反馈 从间歇性风险评估向持续控制监控转变 当前，我们发现只有约四分之一的企业已经利用技术提 高工作流程自动化水平或对第三方进行监控。然而，在 获得额外资金支持的情况下，技术是受访者最愿意进行 的投资（61%）。 毕马威英国合伙人Jon Dowie称：“由于业界终于就对 间歇性风险评估加以改进一事达成共识，因此当前第三 方风险管理工作尤为振奋人心。来自各行各业的企业正 通力合作，基于统一标准开展调研并分享评估结果，以 便各自团队可集中精力应对第三方风险，而无需对各种 反馈进行跟踪调查或穿梭各地开展实地评估。” 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。 来自各行各业的企业正通力合作，基于统一标 准开展调研并分享评估结果，以便各自团队可 集中精力应对第三方风险，而无需对各种反馈 进行跟踪调查或穿梭各地开展实地评估。 Jon Dowie 毕马威英国合伙人 项目持续调整正当时 当前，各企业正不断优化其第三方风险管理项目，以更 好地了解自身当前可能面临的由第三方失职导致的服务 中断风险。此外，各企业也正提升识别、评估和管理风 险的范畴以涵盖重要分包商。如本报告下一节所述，许 多企业在运营模式整体改进方面仍存在空间，包括治理、 程序、基础设施和数据等。在此基础上，我们的分析进 一步优化了各企业在改进其第三方风险管理项目方面所 应采取的措施。此类措施在本报告第3节中进行了概述， 主要用于帮助团队提升各自项目，优化各类程序，并利 用新兴技术在有限资源基础上实现更优结果。 第三方风险管理展望2020 | 9要实现第三方风险管理变革，各项目应突破对 其最初设立和后续迭代各阶段造成影响的障碍。 Greg Matthews 毕马威美国合伙人 毕马威美国合伙人Greg Matthews表示，当前 各种优秀的第三方风险管理项目正处于试验阶 段，与新兴运营模式一起用于更迅速实现同等 第三方风险识别、监控和管理效果。他解释称： “要实现第三方风险管理变革，各项目应突破 对其最初设立和后续迭代各阶段造成影响的障 碍，如管理层支持不足、问责不足、第三方抵 制风险管理程序等。” 毕马威的有效第三方风险管理运作模式框架基 于以下四大支持要素：治理、程序、基础设施 和数据。各支持要素具有下文所述的特别要求。 但令人担忧的一点是，如我们的调研数据所示， 许多企业离成熟管理仍有较长一段路要走。 有效第三方风 险管理框架 第2节： 治理 要求： 指定项目单一负责人 设立向高级管理层和董事会报告的架构 制定企业的外包和第三方策略，并明确风险好 制定政策、标准、风险偏好以规定项目的范围和关 注点 基于议定第三方服务定义创建项目采用的第三方服务 列表 企业必须采取行动的原因： 74%的受访者表示，其所在企业亟需提升第三方风险 管理的整体一致性 57%的受访者表示，其所在企业在就哪些服务可以外包 达成全面共识上，仍有很多工作要做 程序 要求： 以一致的方式实施第三方风险管理以获取分析所需的 高质量数据 建立具有所需技能、经验和能力的评估团队 通过基于风险的措施评估与项目的风险偏好相关的第三 方服务 于签订合同和制定决策之前进行风险评估 10 | 第三方风险管理展望2020 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载持续分析和缓解风险，而非仅仅关注眼前的数据收 集和调查反馈收集 在合同有效期内开展持续监控 采用有助于明确程序并提高一致性的流程和模板 除第三方外，进一步覆盖第四方和重要分包商风险 企业必须采取行动的原因： 52%的受访者认为，其所在企业的第三方风险管理项 目不够人性化，有碍其开展业务 技能不足是受访者在第三方风险管理变革中面临的最大 挑战 67%的受访者称，其所在企业的第三方风险评估由内 部众多职能部门实施，而非某特定人员或团队 只有32%的受访者表示，其所在企业非常善于全面了 解第三方造成的风险 只有36%的受访者表示，其所在企业已经采取基于 风险的措施进行持续监控 40%的受访者表示，其所在企业未于合同签订后对第三 方进行监控，通常是因为他们允许此类监控随着时间的 推移而不了了之 72%的受访者表示，其所在企业亟需改善对第四方的 评估方式 基础设施 要求： 设立第三方风险管理技术架构，为高效工作流程、任务 自动化和报告提供支持 对审计轨迹进行记录并确保其易于理解 制定符合企业运营方式（集中或分散）的服务交付模 式，并在各业务线和地区间实现一致的风险管理 将第三方风险管理活动和技术纳入采购、法务、财务 等企业现有整体程序中，以及当前风险监控部门和活 动中 企业必须采取行动的原因： 各企业之间在运营模式的选取上仍存在较大差异，对第 三方风险管理的最终责任规定上也千差万别（参见图5） 只有24%的受访者表示，其所在企业已经在日常工作中 通过自动化提高第三方风险管理项目的效率 数据 要求： 收集实时数据，以了解第三方风险管理项目在管理第 三方评估、准入和监控方面的能力，以及在管理第三 方服务表现及其所处控制环境方面的能力 制定综合数据模型，以收集第三方信息，包括服务 详情、风险评分、合同信息和绩效监控 获取内部输入数据，以监控和记录与第三方相关的事件 和事项，同时获取外部输入数据，以监控第三方的实时 信息，如负面新闻、企业所有权变更、公司行动、网络 风险得分和财务稳定性评级 于风险得分发生变化时，通过程序更新第三方风险状 况。理想情况下，应于问题或外因产生或第三方控制 环境出现变化时进行实时更新 依据服务水平协议对绩效进行实时跟踪 基于关键风险指标对风险进行实时跟踪 若合同续签或第三方关系延续时风险评估和绩效监控 影响合同条款和决策，则应开展数据驱动型决策 企业必须采取行动的原因： 37%的受访者表示，系统互不兼容等技术壁垒是其所在 企业内部上下共享第三方数据的主要难题 不到一半的受访者非常信任其所在企业的第三方 合同电子档案、风险监控和报告、第三方名录 仅四分之一（26%）的受访者确信，其所在企业具备 了评估所需的所有数据 第三方风险管理展望2020 | 11 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载实现有效第三方 风险管理的途径 第3节： 企业应如何转变其第三方风险管理 项目，以确保围绕治理、程序、基 础设施及数据等四大支持要素进行 项目优化？我们认为，这项转变应 由项目提升、程序优化及创新所构 成的循环来持续推动。为实现这一 目标，各企业在实务中应采取四个 关键步骤包括：形成愿景共识、确 立模式、优化完善和不断发展。 12 I 第三方风险管理展望2020 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载我们发现，若将第三方风险管理归入更广泛的采购部门，可显著提高运营效率并改善第三方服 务的业务关系负责人的用户体验。 Alexander Geschonneck, 毕马威德国合伙人 1 形成愿景共识 几乎所有企业都制定了某种形式的第三方风险管理项目。 尽管51%的受访者所在的企业在这方面的预算有限，但 鉴于企业对第三方的使用受到日益关注，四分之三 （76%）的受访者表示，在发展和增强自身第三方风险 管理项目方面，能够获得资金支持或资金支持在不断增 长。 对于企业整体第三方风险管理项目而言，关键考虑事项 之一是指定项目负责人并确定第三方风险管理在组织中 的地位。 这最终应根据各企业的性质和复杂程度确定。 尽管我们的调研发现，此职责最有可能会被赋予风险及 合规部（30%）或者财务、行政及运营部（29%）（参 见图5）。对于后者而言，越来越多企业认为，应由采 购部执行第三方风险管理生命周期内的活动。 毕马威德国合伙人Alexander Geschonneck表示：“我们 发现，若将第三方风险管理职能赋予覆盖面更广泛的采购 部门，则可显著提高运营效率并改善第三方服务的业务关 系负责人的用户体验。话虽如此，若要采购部门承担执行 第三方风险管理的责任，可能需要进行技能提升和文化变 革；此外，向风险委员会和董事会汇报第三方风险时，可 能会涉及复杂的汇报途径。” 15% 10% 2% 30% 4% 5% 5% 29% 财务、行政和运营 CEO 办公室 信息安全 采购 风险合规 法务 审计 地区/ 部门风险 图 5. 您所在企业内最终负责第三方风险管理的部门 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。 资料来源：第三方风险管理展望2020，毕马威国际，2020年 在确立项目愿景、防范措施和负责部门后，企业应构建技术赋能愿景。在这方面，企业应避免急于求成。尽管许多企业 意识到，实现项目整体自动化，对于扩大第三方风险管理的规模及协助团队处理和分析大量数据至关重要（参见图6）， 但实际上，技术应被视为支持手段，而非驱动因素。因此，对薄弱流程实行自动化无法起到显著的增强效果。 第三方风险管理展望2020 I 13采用新技术 对第三方风险管理核心程序进行 自动化 对企业整体程序进行标准化 改进数据共享及重用的方式 对现有方法和程序进行创新 采用先进的预测分析技术 增强第四方及分包商透明度/评估 跨组织协作，制定面向整个行业的应 对措施 将关键的第三方风险管理活动外包 未来12个月 未来3年 39% 33% 32% 31% 31% 28% 26% 25% 20% 38% 34% 27% 29% 33% 27% 25% 24% 20% 图6. 在未来12个月和未来3年内，您的团队将对以下哪个举措投入最多时间和精力？ 2 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。 确立模式 第三方风险管理项目较为复杂。由于第三方服务遍及 企业的方方面面，且每项第三方服务都会带来多种风 险，因此单项风险评估时应咨询各种监督部门。毕马 威美国合伙人Amanda Rigby表示：“在制定项目后， 企业应继续对其进行微调并阐明其运作方式，以提高 其在整个企业中的效率。第三方风险管理项目发展无 法一蹴而就。大多数客户要经历三次甚至更多的项目 迭代后，才能找到适当的平衡点。” 在项目开发阶段所需考虑的因素包括明确在整个第三方 风险管理生命周期内引入业务利益相关方的方式、时间 和地点。例如，采购部通常负责第三方准入和管理程序， 而企业负责人和第三方风险管理的集中评估人员则负责 在关键节点（如风险评估的初期和持续阶段）与风险领 域专家进行沟通（参见图7以了解所涉及的主要部门）。 除此之外，第三方风险管理项目小组主要对项目执行负 责，风险监督部门则对其监督的风险负责，而业务部门 则对第三方服务的日常管理负责。 资料来源：第三方风险管理展望2020，毕马威国际，2020年 14 I 第三方风险管理展望2020一般风险管理 采购或运营 内部审计 法律顾问 供应链/物流 技术风险管理 信息安全 监管与合规 21% 23% 21% 11% 9% 3% 5% 3% 3% 图7. 谁是第三方风险管理的第二道防线？ 财务 采用哪种模式开展风险评估活动，是企业应考虑的另一 因素。企业可能会选择采用分散模式，即由业务关系管 理人员协调固有风险评估活动。或者，企业也可指定由 某中央团队在其提供的信息的基础上代表其统一执行固 有风险评估。在这种模式中，该团队可协助业务关系负 责人克服因整合及技能不足引起的挑战，并提高执行的 一致性；这一点至关重要，因为固有风险信息是第三方 风险管理项目分析的基础。 毕马威新加坡合伙人Lem Chin Kok表示：“在许多情况 下，供应商管理人员所需的培训和监督，会使维持分散 模式需要较高的总成本。因此，我们通常会看到这两种 模式的混用，但此时往往会更偏向于集中模式，即由某 中央团队统一执行风险评估活动，并向业务关系管理人 员提供反馈，由后者最终决定是否继续与第三方供应商 合作。” 第三方风险管理项目发展无法一蹴而就。我们在全球的大多数客户须经历三次甚至更多的项目 迭代后，才能找到适当的平衡点。 Amanda Rigby，毕马威德国合伙人 通常，企业会面临存在须同时满足的特定要求；例如， 在当今环境下，跨国公司须确保满足不断增长的全球监 管要求，并应对各地区要求之间的细微差异。因此，在 持续更新项目以符合相关要求以及新的监管预期时（包 括顾客及客户数据隐私），获得合规及技术风险管理部 的适当支持显得尤为重要。 此外，受访者还关注第四方和重要分包商风险管理。例 如，第三方使用云服务提供商来支持服务交付，即形成 重大分包商关系。鉴于企业与其第四方之间不存在直接 的合同关系，因此持续监控此类第四方实属不易。对于 第四方风险管理，企业一般会采用图8所述的一种或多种 措施。了解分包商在第三方服务交付中扮演的角色，包 括第四方可以访问的数据及其角色如何对业务连续性风 险产生影响，对于全面了解企业所涉服务的风险概况至 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。 资料来源：第三方风险管理展望2020，毕马威国际，2020年 第三方风险管理展望2020 I 15解决此类初步考虑事项是第三方风险管理走向成熟的重要 一步，但也只是必经的其中一步。企业需要扩展其第三方 风险管理项目，以涵盖签订合同前的风险评估，并在整个 合同有效期内进持续监控。 3 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。 优化流程 我们看到企业会同时采用上述两种模式，且 往往更偏向于集中模式而非分散模式。 Lem Chin Kok 毕马威新加坡合伙人 流程优化旨在确保不满足既定风险和重要性标准的第三方 不会被纳入第三方风险管理项目评估。企业可通过两种方 式优化风险分级程序：风险细分，即针对第三方服务建立 严格的风险评分方法；以及完善服务交付模式，从而降低 成本和加强问责。这些措施将有助于应对受访者在调查中 提出的企业预算有限的问题，并可支持各团队根据所获数 据作出正确决策。 16 I 第三方风险管理展望2020 关重要。了解第三方是否已通过项目管理其第三方 （即其所服务的企业的第四方），是确定是否允许 该第三方使用分包商的重要一步49% 51% 43% 45% 3% 集中维护的存货 由第三方负责的监管 由企业负责的监管 第四方合同与第三方合同 的一致性 以上都不是/不清楚 图8. 以下哪些程序和业务需要管理第四方风险？ 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。 资料来源：第三方风险管理展望2020，毕马威国际，2020年 第三方风险管理展望2020 I 17企业应将第三方分为三类： 为企业带来名义风险且无需进行风险评估的第三方 适用于标准的第三方风险管理程序的第三方 具有类似风险状况，且可通过特别项目进行更高效 集中管理的第三方 风险细分应能根据第三方风险评估要求为具有特殊风险状 况的第三方进行量身定制和调整。例如，企业的第三方办 公用品供应商和核心客户服务中心承包商无需进行同等程 度的评估。 在实务中，可通过为采购服务类别设定名义风险或特殊项 目来实现。在制定标准的第三方风险管理程序时，应预先 提出一系列门槛问题，包括： 该第三方与我们的客户/顾客之间是否存在相 互影响？ 相关工作是否在企业所在的国家内执行？ 第三方是否可以获取知识产权或顾客/客户数据？如是， 这些数据是否将存储在云上？ 第三方服务是否涉及监管审查领域或要求？ 该第三方服务是否属于重大外包或关键职能？ 对上述任一问题的肯定回答，都有可能导致需要相关风险 监督职能的介入，并完成特定的风险问卷调查和尽职调查 评估。反之，对上述问题的否定回答，则可能会限制风险 评估活动的数量，由此减少工作量和成本。 在优化第三方风险管理的服务交付模式方面，我们看到领 先项目正在对应由哪个部门负责第三方风险管理活动进行 审视。 分散模式要求第三方关系管理人员深度参与，因此 其最大的挑战来自人员技能不足。在出现全球性事件及经 济不明朗之际，某些企业也面临着难以准确获取最新第三 方服务信息的问题，他们承认第三方关系管理人员的压力 已经增加。 为应对这类人才短缺挑战，受访者们表示培训和技能培养 是其第三方风险管理项目重点关注的领域之一（参见图9）。 由于意识到各企业的风险领域专家数量有限，因此许多客 户正在将第三方风险管理程序的各个执行方面集中起来， 并确定能够由通才完成风险评估和尽职调查环节。 同时，各企业也正识别需要领域专家特别关注的控制和风 险领域。尽管中央团队可能会负责执行风险评估和评分， 是否继续与第三方签订合同仍将由企业决定。我们认为， 明确界定第三方风险管理流程中的这些组成部分，将有助 于企业实现任务的自动化、构建工作流程，并简化不同部 门的信息收集和分析工作。 4 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。 发展与创新 鉴于第三方风险管理项目中的最主要工作包括信息收集以 及第三方控制信息评估，这些领域将成为投资的重点。在 未来几年内，我们预计以下两大方面将取得重大进展： 行业内共享尽职调查结果 使用技术和评分服务并以更为连续和一致的方式评估 第三方的控制环境 本次调查的大多数受访者正在或希望通过共享评估信息来 降低成本。越来越多的企业承认并接受，行业部门可以在 第三方及其客户之间收集和分享信息。此举对于第三方及 其客户而言价值十分明确。对于第三方，信息的收集和分 享可能意味着，行业部门只需收集一次信息并完成一次评 估，并随后向其所有客户提供评估结果，而无需每个客户 单独进行风险评估。在这种情形下，客户可以及时取得必 要的评估信息，并通过整个行业分担相关的风险评估成本。 18 I 第三方风险管理展望2020工具及技术 审核现有合同 加强工作确保合规 培训及技能培养 数据可用性及管理 与关键第三方相关的评估活动 与网络和隐私风险相关的评估活动 44% 61% 47% 59% 55% 42% 39% 28% 35% 28% 39% 49% 40% 30% 27% 11% 图9. 您当前投资于哪些第三方风险管理领域？ 2021 ( ) ( ) 毕马威华振会计师事务所 特殊普通合伙 中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事 务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。 在第三方风险管理的技术创新方面，我们的调查显示企业 正将有限的预算投资在新工具上（参见图9）。这与我们的 第三方风险管理项目发展经验一致。在过去，企业一般通 过增加员工来完成更多的评估活动。现在，我们看到领先 的第三方风险管理团队正利用自动化、数据分析、自然语 言处理以及评分服务来对特定风险领域、绩效管理及合同 合规性进行低成本高灵活性的持续监控。各第三方风险管 理项目正在探索如何利用机器学习来评估与风险事件相关 的内部数据，以便能够识别可能由第三方引起的风险事件。 它们正在对第三方是否遵守服务水平协议条款实行自动 监控，