合作伙伴风险管理（EERM）2020全球调查报告.pdf

肩负责任 提升效益达至理想平衡合作伙伴风险管理（EERM）2020全球调查报告前言欢迎来到我们的第五届全球合作伙伴风险管理（EERM）年度调研，在许多企业中也被称为第三方风险管理（TPRM）。我可以自豪地说，过去五年来，调研参与人数大幅增加，来自20个国家的参与人数达到创纪录的1,145人。在同一时期，我们看到我们的客户更加重视EERM项目，并采取措施解决我们之前的调查中所反映出的关注问题。这份报告中的调查结果反映了在2019年11月至2020年1月期间从参与者收集的反馈。自我们的调查结束以来，随着COVID-19大流行影响到全球和各行业的企业，风险格局发生了显著变化。为了与这些变化保持一致，我们在本报告中提出的观点（包括COVID-19相关评论）反映了不断变化的情况，这些观点主要基于我们随后与客户的对话和接触。优先处理EERM的重要性现在比以往任何时候都更加清晰。早期迹象显示，那些对EERM计划进行了适当投入的企业在应对危机方面比那些没有的表现得更好。COVID-19大流行比以往任何时候都更加强调了EERM的重要性。然而，在撰写这份报告时，尚有二分之一的受访者还没有意识到业务持续性和恢复力是他们关键商业关系的最大风险。他们并没有为此划拨EERM预算。我们预计，许多企业将重新评估它们如何定位EERM，以便更好地应对像本次疫情流行的重大影响事件。我们预计EERM的发展度曲线将在未来12个月内加快。今年的主要调查结果如下： 企业机构越来越担心错误的第三方风险管理所带来的成本上升。这反映出对关键第三方的依赖有日渐增长趋势。 企业机构更加意识到需要成为一个负责任的企业。这是目前EERM投入的主要推动力之一。然而，许多企业并无将有关商业倡议嵌入管理第三方关系的预算分配。2首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡 与EERM相关的监管活动增多，给所有企业都带来了压力，不论行业或国家。这迅速提高了对一个成熟EERM定义的基准和期望。没有对此作出反应的企业现在也被认为不够成熟，因为同行的基准也提高了。 各企业正在制定未来两到三年内转变EERM的愿景。这长期展望关注的是通过改变交付模式和技术实现的效率和效果。调研受访者尤其对他们的EERM技术不满。各企业都在努力理解并跟上快速发展的技术环境，并且特别关注EERM系统能不能与彼此无缝相互整合。 更多的企业正在为他们的EERM项目进行探索和争取外部支持，以实现他们的发展愿景。这包括更频繁地收取外部风险情报、采用应用模式和托管服务协助。 高管们正在将他们的关注点从风险扩展到更广泛的第三方管理。这包括其他重点方面，如合同管理、绩效管理、财务管理和采购活动。这种更广泛的关注是一种明智的前进方式，但目前一些企业还在努力协调其方法，并如何及时获得必要的决策数据。我们希望您喜欢我们的报告，并在您阅读时发现它既有趣又有见地。我们在全球的EERM专业人员可以帮助您了解这项调查的结果及如何把握您企业独特的机会。要了解更多，请在这里联系您的当地德勤专家。3首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡Foreword了解COVID-19对合作伙伴的影响COVID-19测试了每个企业应对EERM的态度我们的研究显示，尽管企业在策略上越来越依赖供应链、支持服务、销售和分销、合资伙伴、子公司和附属公司等关键第三方，但在如COVID-19大流行等大规模扰乱时，大多数企业都没有做好管理第三方风险的准备。在过去的几年里，企业越来越多地使用第三方来实现战略目标，而不仅仅是在技术上实现降低成本或其他短期目标。这逐步导致企业在越来越多的风险领域中面临新的风险，并加剧了管理失败的后果。其中一些风险被有意识地包含在适当的风险管理中，但有些风险则被忽视。COVID-19凸显了第三方失败对企业所造成的巨大战略影响，以及某些风险可以如何快速的影响运作，特别是在由实时技术加速的互联世界中，加速其影响。问题是什么?我们的调研结果再次证实，与去年同期相比，对于企业机构来说，拥有一个更强、更全面、更综合的EERM方法变得越来越重要。然而，由于不确定的经济和宏观环境，企业很难作出所需投入。零碎的投入相反，企业对EERM进行零散的投入，这削弱了企业发展成熟度的增长，忽视了某些风险，并对2015年至2020年期间的核心基本任务产生不利影响。即使是最成熟的EERM方案也不能完全消除损失的风险。但是，除了COVID-19造成的损失日益增加之外，我们还看到，有证据显示企业缺乏所需的合作伙伴情报和有规划的去应对如这种疫情流行等重大影响事件。在我们之前的研究中，我们看到许多企业每年自行识别他们的合作伙伴管理不足之处，现在这些不足之处也对这些企业在应对这个全球事件时为他们创造了挑战。EERM欠缺成熟只有15%的企业整合或优化了他们与其第三方的风险管理方法。这意味着绝大多数的企业（85%）没有开发适当的能力，以综合和整体的方式管理其生态系统中所有第三方类型的相关第三方风险。关注今年最大的监管问题多年来，许多受访者表示，他们倾向于将年度投入主要或完全集中在年度最重大的监管问题上。例如，在2018年和2019年，是数据隐私、信息安全和网络风险。许多企业忽视了如抗风险能力和业务持续性之类的风险。在我们此次调研中，近二分之一的受访者没有分配一定的EERM预算来解决第三方的抗风险能力和业务持续性的问题。4首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡“基础能力”不够到2019年，受访者已经意识到，他们对EERM投入的零散方式削弱了他们做好基本或核心任务的能力，例如了解第三方关系的性质和重要性（50%）和了解相关合同条款（43%）。进而之，这对企业们确保EERM努力（包括对第三方的持续监控）与所涉及的风险成比例的能力产生了不利影响，这是危机时期的一项至关重要的需求。忽视关键第三方的退出计划和集中风险即使到2020年，也只有40%的受访者认为他们有适当的关键第三方退出计划。33%欠缺这样的计划，剩下的27%不知道他们是否有这样的计划。关于集中风险，几乎一半的受访者都表示只被动式的对不论是否为关键的第三方，进行不到一年一次的评估。不到三分之一（31%）的受访者在其EERM预算中有分配资金来管理此类风险。在我们调研中所询问的20个风险领域中，集中风险是第四最少投入的风险领域。忽视分包商在过去的两年里，我们的调研发现，分包商风险，也被称为第四方和第五方风险，没有引起企业领导的适当关注。在2020年，只有20%的受访者表示，他们有效地监控了所有或最关键的分包商。我们认为，这种缺乏关注是由许多不同的因素造成的，包括不知道谁是相关分包商及其带来的风险，以及对此重要方面缺乏足够的预算。在某些情况下，企业将分包商管理视为纯属其雇用这些分包商的第三方的责任。与快速发展的EERM科技技术保持同步的挑战在2020年，只有28%的受访者对他们的EERM技术解决方案感到满意。48%的受访者部分不满意，24%的受访者不满意。39%的人希望探索不同的技术解决方案。快速发展的技术解决方案与新的创新解决方案进入市场门槛不高助长了这一点。然而，对科技最大的担忧是系统之间不能合并整合，有61%的受访企业抱怨此问题。受访者认为其现有科技解决方案的报告能力不足，无法在以下方面提供帮助： 作出有关第三方的关键业务决策； 可视化与第三方重要性或集中度相关的风险管理数据，例如地理空间维度；或 创建提供实时情报的管理仪表板，这些情报可以被有意义地解释和及时采取行动。5首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡危机应对我们的经验显示，各企业对这种情况的最初反应是通过加强监测，确定和评估对其最重要的第三方和分包商的影响。企业最初通过加强监控来确定并评估对其最关键的第三方和分包商的影响，从而对这种情况做出了响应。虽然每个企业对第三方风险的反应是由其特定的环境驱动的，但我们注意到早期做法中的一些共通点。关键性评估大多数全球性企业都有成千上万的第三方。在任何时候管理风险都需要关注那些风险最高的第三方；在时间和资源有限的危机中，这一点更为重要。根据已知的供应商的关键性和影响的可能性，迅速有效地关注真正面临的风险是至关重要的。我们的调研认识到，许多企业没有对第三方全面的分析及了解，因此在疫情流行形成时，浪费了宝贵的时间以建立相关全面分析。关键第三方的新兴良好实践反应积极的企业比其他企业更早采取以下步骤。在早期他们： 确定整体业务关键活动、产品、服务、业务流程和系统。 确定整体业务中哪些是高度依赖第三方的，以及这些第三方是谁。哪些是真正对业务至关重要的关键第三方。 将集团内部安排、子公司和附属公司均包括在该分析中。这就是企业应对大流行的举措与应对合作伙伴管理相关措施互相呼应的地方。 了解内部已能获得的关键第三方的数据，以确定潜在风险区域。例如，唯一供应商，低库存水平等。 利用外部资源填补内部信息的空白，特别是与供应商交货地点和财务状况等相关信息。他们也会迅速地亲自与关键的供应商接触，而不是只依赖于他们常规的数据收集流程或内部重点分析。他们对交付地点和其他与第三方相关的关键点有很好的了解，因为总部地点信息并不能完全识别有关第三方地缘政治风险的真正水平。意识到更积极主动管理的企业所实现到的效益是很重要的。对关键第三方关系的持续管理可实时了解实际情况。勿庸置疑，两者关系越牢固，讨论就越透明，对现实的反映就越准确。6首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡主动对话和监督对于初步评估中已引起高度关注的第三方，企业需要： 了解真正的风险暴露和决定需要采取行动的地方。 研究除了与第三方接触的传统方法以外的替代方法，例如使用供应商调查表。这些传统方法不太可能够快地获得所需的洞察或结果。 考虑一个更实际的，个人化的方法来与关键的第三方互动，并充分了解其情况。 与此同时，需要为被确定为风险最大的第三方重新验证相关应急计划（如果还不存在，则需要制定应急计划）。相关的行动取决于潜在问题。例如，如果面临的挑战纯粹与财务健康有关，那么解决方案的范围包括从更改付款条件（例如提供预付款）到完全收购供应商。如果根本原因是无法从特定地区获得服务或产品，则需要考虑采用替代性采购策略，并需要快速的市场分析、合同签订和供应商入职流程。分包商（第四方和第五方）企业被迫必须了解其合作伙伴对分包商的依赖性及其带来影响的可视性。一旦企业掌握了他们的关键分包商是谁，他们需要了解其第三方对他们雇佣的分包商，在有证据支持下，获得什么程度的的保证。由于这些关系的重要性，一些企业更进一步与其第三方组成联合视察队，对上述第四方进行具体评估和监测活动。在可以获得外部风险情报的情况下，一些企业采用了更快的初始评估方法，通过使用风险情报工具来了解关键的第四方的控制环境，包括财务偿付能力。企业必须评估来自不同级别的分包商在第三方供应链中失败时的影响。对于与风险最大的分包商之间的关键关系，必须重新验证（或制定）应急计划。可视化在企业应对COVID-19大流行的措施中，使用工具可视化与第三方有关的风险管理数据的情况显著增加。具体来说，许多企业采用可视化解决方案来绘制病毒的传播图，并覆盖关键的第三方位置，模拟潜在的影响。EERM团队仔细考虑最适合可视化的原素，比如越来越多地使用地理空间数据。一些例子包括风险决策（与全球供应链有关的地点考虑）和应变能力（通过使用地理空间图和数据层作情景规划及模拟来应对危机）。趋势的模型可以帮助企业预测第三方失败的地方，并使其能够采取主动积极的行动。各企业还为企业领导和董事会成员开发了新的执行仪表板，以支持就风险影响和反应进行定期对话和沟通。7首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡失败成本近一半的受访者表示，第三方或分包商失败的财务影响在过去5年至少翻了一倍。五分之一的受访者认为财务影响已经扩大了十倍。平衡责任与成本渴望成为负责任的企业已成为EERM投入的主要推动力之一。由于成本压力，许多企业没有足够的预算将负责任的业务活动嵌入到所有第三方关系中。加强的监管活动监管活动的增加鼓励企业更灵活的向成熟的EERM迈进。那些无法跟上多变期望的企业在EERM成熟度发展旅程上会落后于同行。更广泛的关注高管们正在将他们的关注范围从风险扩展到更广泛的第三方管理。长期来看这将促进协同增效，但同时会在过渡期间带来协调挑战。2020关键主题转型愿景企业正在制定关于EERM在未来两到三年内转型的长期愿景。这涉及到对第三方整体管理，而并不只是零散的管理，藉由“合作伙伴集成信息库”：一个基于尖端技术构建而成的集中式智能信息库来实现。善用外部支持越来越多的企业使用外部支援来改进和补充他们的EERM计划。这些支持包括风险情报、应用模式和托管服务等方面。8首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡01失败成本近一半的受访者表示，第三方或分包商失败的财务影响在过去5年至少翻了一倍。五分之一的受访者认为财务影响已经扩大了十倍。9首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡01 失败成本在2019年11月至2020年1月期间，我们对各企业进行了调研时，受访者已经对不确定的商业环境感到担忧。我们在2019年第三季度进行的全球CFO调研显示，许多国家的商业乐观情绪持续下降，但美国和中国的商业乐观情绪有所改善。然而，在调研结束后不久，各国的情绪都因COVID-19快速传播受到沉重地打击。当谈到承担风险时，我们的调研发现，无论未来的经济前景如何，世界各地的商业领袖倾向于采取进攻型的战略来应对其特定市场的急剧变化。这鼓励企业加强其战略与风险管理之间的一致性，并认识到错误的代价越来越大。因此，企业期望对所涉及的风险以及如何减轻这些风险有更深入的理解。我们的调研回应再次证实，即使在确认COVID-19为大流行之前，企业对第三方风险的认识也有所提高：近一半（46%）的受访企业认为，第三方或分包商的失败对财务的影响在过去五年中至少增加了一倍，其中五分之一的受访者表示对企业的财务影响增加了十倍。财政影响包括罚款、直接补偿费用和收入损失。这与我们五年前第一份报告的调研形成了强烈对比，当时大型跨国企业估计其直接财务风险为200万至5,000万美元。5年过去了，近二分之一的受访者认为他们的财务风险暴露至少增加了一倍。这包括全球立法和监管的影响，并对长期和系统性的违规行为加重处罚。企业估计，他们面临的重大第三方事件的财务风险为5亿美元或更多。200-5,000万美元5,000万美元 - 10亿美元估计是10亿美元或更多。10首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡11%17%受访者表示，这些事件对客户服务、财务状况、监管合规和/或声誉造成了严重影响。在过去面临第三方严重影响风险事件的企业中，超过半数企业（总受访者中占9%）认为相关第三方风险事件完全是由第三方造成。少数受访者（1%）认为严重影响事件完全由分包商（第4方或第5方）造成，其余7%认为其第三方与分包商均有责任。的企业在过去三年中面临过严重的第三方风险事件受访上市公司认为，如果第三方风险得不到充分管理，事件发生后股价可能下跌10%或更多。第三方9%分包商1%第三方和分包商7%与前一年相比急剧上升11首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡26%30%8%15%21%20%18%10%6%12%15%46%8%11%图1.1：重大第三方事件的财务影响图1.2：重大第三方事件对股价的相关影响多于10亿美元5-10亿美元1-5亿美元5,000万-1亿美元2,500-5,000万美元1,000-2,500万美元100-1,000万美元小于100万美元股价下跌超过10%股价下跌5-10%股价下跌不超过5%无显著影响不知道/不适用12首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡7%1%9%83%17%13%5%15%67%33%29%6%30%35%65%关于失败成本的行业比较数据见第56页。图1.3：按影响程度划分的第三方事件的发生率面对了严重影响冲击事件面对了中度影响冲击事件面对了轻微的影响冲击事件84%的受访者说，他们的企业在过去三年中遭遇了第三方合作伙伴事件，略高于去年的83%。第三方第三方分包商第三方和第三方分包商没有13首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡德勤的观点随着企业的快速扩张和对合作伙伴更重要的依赖，风险随着战略回报的增加而不断提高。第三方的不当行动或失败会产生新的风险，这些风险会严重损害实现战略目标的能力，损害企业的声誉，破坏业务的连续性和弹性，甚至招致重大惩罚和监管执法行动。COVID-19凸显了第三方失败的巨大战略影响，以及在互联世界中通过实时技术加速了某些风险比以往更快地发生。但即使COVID-19之前，在2019年末和2020年初的几起备受瞩目的商业失败的例子也凸显出EERM并不总是得到应有的战略关注。危机往往会加强投入良好风险管理的必要性，正如我们在全球金融危机后所看到的那样，在COVID-19疫情复苏期间也可能看到同样情况。我们相信，随着对新冠肺炎危机期间第三方失败造成的潜在损害的了解日益加深，领导层将更加关注EERM的价值，并在资源、能力、技术和报告方面进行切实投入。更积极主动地应对危机，并反思危机中吸取教训的企业，将发展出使其在竞争中脱颖而出的能力。这些能力可以确保员工的付出获得更好的结果，优化危机中期的财务影响，并使企业更具弹性，准备好应对未来的危机。由第三方失败造成损失的明确影响相对容易量化，如罚款、补偿费用和任何减轻损失影响的直接支出。然而，声誉受损和业务连续性缺失所造成的隐性损失往往更高，也更难量化。我们预测，通过调研发现，在与第三方相关的触发事件发生之后，上市公司将越来越多地通过股价、市值和市场份额的下降来衡量这些损失。危机往往会促使企业加强对EERM的投入。14首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡02平衡责任与成本渴望成为负责任的企业已成为EERM投入的主要推动力之一。由于成本压力，许多企业没有足够的预算将负责任的业务活动嵌入到所有第三方关系中。15首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡01 0203 0402 平衡责任与成本今年的调查显示，董事会和管理层更强调社会影响。它涵盖了广泛的领域，包括人权、治理和环境。社会影响已经成为集成业务战略的一个重要元素，企业现在也希望将其应用到合作伙伴中。在过去的五年中，成为一个负责任的企业，并建立企业声誉，是EERM投入的主要动力。EERM投入的主要推动力对第三方合作伙伴风险事件的回应监管要求和审查渴望成为一个负责任的企业降低成本16首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡尽管越来越多企业希望成为一个负责任的企业，但大部分企业并没有投入在一个负责任企业相关的风险领域。企业没有在以下第三方风险领域进行投入：气候风险环境风险（空气污染、水污染）金融罪行（洗黑钱、制裁）反贿赂和贪污劳工和现代奴隶制的风险健康和安全数据隐私17首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡53%64%41% 51%投入EERM以降低成本仍然很重要。但它不再是首要原因。甚至在宣布COVID-19为大流行之前，渴望发展能力去应对第三方相关事件（47%的受访者）是今年投入EERM最大的动机。去年，由于企业对更广泛的业务和宏观经济环境不确定和不乐观，降低成本成为主要动机。今年，企业仍然希望实现效率（只要不损害竞争优势），但成本降低现在仍是第四大驱动力，达到39%。收入保障和成本控制计划（Cost Revenue Recovery）。提高效率的措施，如为EERM投入共享服务中心。希望在不久的将来执行更多的CRR计划。没有将CRR计划与他们的EERM计划对齐，或者没有意识到它们是协调的。成本降低从何而来?18首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡这些风险领域普遍地适用于所有行业的企业，并在过去几年中一直是监管部门关注的焦点。EERM投入仍然偏向某些风险领域与去年相比，管理第三方风险的预算更可能被分配到更多的风险领域里，但投入仍倾向于：这并不意外，因为最大的第三方风险被认为是：而最大比例的第三方事件涉及：企业没有为以下风险领域优先考虑预算，以下风险领域可能面临投入不足的风险：信息安全网络风险网络风险数据隐私反贿赂和贪污信息安全网络风险信息安全分包商风险集中风险气候风险地缘政治风险反贿赂和贪污健康和安全反贿赂和贪污违反监管规例19首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡大多数受访者认为，他们的企业在EERM方面投入不足受访者仍然认为他们在EERM上的投入不足，尽管这比去年的70%有相当大的下降。认为管理第三方风险的预算不足。感觉对第三方风险框架的内部独立审查没有达到预期目标。这样的审查通常由内部审计团队完成。认为对第三方的持续监控不足。此监控包括一线或业务单位人员的审计（远程或现场），对入职检查的重新评估，跟踪来自风险情报解决方案或不良媒体警报的洞察，以及要求第三方进行自我认证。20首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡47%45%43%41%40%39%25%22%20%15%图2.1：EERM投入的主要推动力应对第三方相关事件应对加强的监管活动要求或监管审查成为具有道德供应链的负责任企业保护和增加收入（满足客户的期望）解决内部合规需求降低成本增加对企业品牌的信心满足投资者/股东的期望对市场不确定性有更好的 反应和灵活性开启获取创新科技解决方案的途径21首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡31%35%36%49%49%20%29%51%图2.2：通过成本和收入回收计划以提高利润没有/不知道你们进行了成本或收入回收吗?是不不知道你将来打算进行成本或收入回收?你是否愿意在这方面做得更多?有22首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡55%26%3%1%31%4%39%60%5%1%1%43%11%23%60%43%6%5%4%1%6%49%26%4%3%6%7%4%10%10%57%65%9%13%40%4%46%48%3%1%2%51%4%55%47%8%8%6%7%5%3%41%32%8%2%6%6%0%6%2%有关平衡责任和成本数据的行业比较，请参阅第58页。图2.3：受事件和新兴风险影响的风险领域，与其预算分配对比反贿赂和贪污气候风险集中风险行为风险合同风险网络风险数据隐私环境风险（空气污染、水、废物）金融罪行（洗黑钱、制裁）地缘政治风险健康和安全风险信息安全知识产权风险劳工和现代奴隶制的风险实体安全质量风险违反监管规例韧性/业务连续性风险战略风险分包商风险预算分配对您的企业造成最大的第三方风险受到先前风险事件的影响23首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡德勤的观点对EERM进行零散有限的投入会削弱企业成熟度的增长，使其更难从战略和长期的角度来看待EERM。例如，尽管希望成为负责任企业，但对核心风险领域却缺乏投入，就是这种短视做法的后果。我们预期企业对全球问题做出更积极的回应，如气候变化、可持续性、食品和产品安全，以及道德企业的必要性。客户日益增长的积极性将在制定企业议程中的负责任第三方管理方面发挥重要作用。透过企业渴望成为一个负责任的企业，并被视为一个负责任的企业，我们希望看见更多对EERM投入的业务案例，除了增加更多预算，并使企业能够证明投入的回报（或者，如果不这样做，可能会有回报降低的风险）。尽管在资助EERM计划方面存在成本压力，但我们的调查清楚地表明，企业领导人忽视或低估了合理的收入保障和成本控制计划（Cost Revenue Recovery）在优化合作伙伴中的作用。一个健全的CRR计划可以为一个企业的EERM成熟度发展之旅提供能量，与资金， 例如通过回收计划中发现的超额支付和收入流失。我们的经验表示，企业领导可能不愿意委托第三方进行严谨的审查，担心这是发出缺乏信任或需要“监督”关系的信号。然而，在实践中，CRR的发现并不旨在挑起冲突。相反，它们被用来展示良好的治理，鼓励正确的行为，促进对现有合同的重新谈判，或者在续约时谈判更有利的条款。与此同时，我们预测，负责任的企业将迅速扩展其业务连续性计划，以包括在疫情流行等事件中第三方对员工、客户和公众健康的影响，即使这会导致更高的成本。我们的经验表示，企业领导可能不愿意委托第三方进行严谨的审查，担心这是发出缺乏信任或需要“监督”关系的信号。24首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡03加强的监管活动监管活动的增加鼓励企业更灵活的向成熟的EERM迈进。那些无法跟上多变期望的企业在EERM成熟度发展旅程上会落后于同行。25首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡202020192018201720162% 2% 1% 1% 2%20%18% 19%20%13%48%44%50%51%46%29%1% 7% 7%6%11%29%24%22%28%03 加强的监管活动由于来自监管机构的压力越来越大，近一半（45%）的受访者加大了对EERM的投入。监管机构的影响力越来越大：扩大其职权范围以应对新出现的风险，并将其权力扩展到国外。监管机构的影响已经远远超出了普遍受到监管的行业，进入了以前未曾考虑到的风险领域。除了美国的反海外腐败法（Foreign Corrupt Practices Act）等针对贿赂和腐败的立法外，还有新的规定防止违反制裁。企业还必须应对保护工人条件的法规，如英国现代奴隶法案和其他国家类似的劳动法。他们还必须考虑隐私法规，如欧洲通用数据保护条例（GDPR）和即将出台的云端服务外包法规，以及涵盖气候变化和运营弹性的新的或更明确的要求。在监管机构的职权范围不断扩大的同时，监管审查也在加强。监管活动的加强正在改变对EERM发展度的期望受管制的企业通过推动或重新定义EERM成熟度的边界来应对。有些企业努力地跟上这些升高的期望，同时却冒着落后的风险，处境危险。这可以解释为什么企业在EERM成熟度的每个阶段的总体比例（基于自我们的调研开始以来一直使用的相同五分制量表见第27页的德勤EERM成熟度模型）在过去一年中保持相当稳定。 只有15%的企业认为自己的EERM在已整合或已优化阶段。大部分的企业（46%）认为自己的EERM在已应对阶段。 只有一小部分企业（11%）处于初期阶段。剩下的28%则处于已明确阶段。这意味着绝大多数企业仍然有很大的空间来改进他们的EERM方法。图3.1：第三方风险管理的成熟度变化（2016-20）已优化已明确初期已整合已应对26首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡 德勤EERM成熟度模型治理和监督初期已明确已应对已整合已优化 没有正规的治理 实施有限的本地治理 为减低风险而投入的力度极少 实施本地政策和程序 实施全球政策和程序 实施本地治理流程 集中于预防问题 实施全球治理流程 集中于预防问题和创造价值 政策和程序与业务流程全面一致 机构全面实施程序 实施全面整合的政策和程序 企业与程序相一致 全面整合的全球治理流程 最先进的实践，与价值动因相关连 在战略规划和决策中包含第三方 实施有限的正规政策和程序 已明确的活动数量有限 救火模式 明确各独立操作部门的流程 部门被动地解决问题 业务流程协调一致 监察相关数据表并做出警示，并且提供一些积极的问题解决方案 全面标准化的流程，并结合了工具和数据 使用分析技术做出积极的决策，以提升利润和绩效 流程与战略一致，并整合到第三方 持续改进和积极反响 运用预测性和传感分析技术、工具和数据表 不定期使用简单和最便宜的工具 使用现成工具解决问题 可获取的第三方数据有限 使用经调适的工具进行报告和监察 使用定制化工具做出战术性决策 可附加价值的工具 内部数据集中化，且容易获取 高度定制化的决策支持工具 整合的外部数据源，以获得更多洞察 以工具和分析技术作为主要价值动因和区分因素 衡量指标和报告有限 本地和临时的衡量指标和报告 使用业务部门衡量指标和报告推动绩效提升 实施全球衡量指标和报告 实施本地治理流程 企业整体贯彻使用衡量指标和报告，以推动绩效提升 实施全球治理流程 个人努力 管理层意见有限 缺乏培训 设定现有职务的责任 管理层的意见增加 专职职务 投入于各独立操作部门的高管人员 提供一定的培训 企业整体对第三方价值的意识 全企业的职务 高管承担企业层面的责任 针对整个周期的专职职务为专业人员提供培训 两方面均设有高管负责人，确保提供的服务与战略目标一致 为权宜之计的效益而承担风险 为短期效益而承担风险 风险与全企业中期效益相配 高管推动业务部门的风险文化 具智慧地承担风险，与企业战略相配 高层基调推动企业风险文化 风险承担在整个企业全面一致业务流程政策和准则工具和技术风险衡量指标和报告人员和组织风险文化27首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡分包商对分包商（第四方或第五方）缺乏充分的覆盖仍然是一个瞩目的挑战：只有20%的受访者表示，他们能够有效地监控所有或相对更重要的分包商。最需要关注和改进的领域是：EERM的范围有以下不足：这表明对第三方的监督往往不全面。我们认为，缺乏重视是由许多不同的因素造成的。这些包括对谁是分包商和他们所带来的风险缺乏了解，以及缺乏能力（时间、人员和预算）。在某些情况下，因责任问题，企业不希望过度执行他们期望其第三方应执行的角色。EERM的成熟度受到阻碍，是因为许多企业其程序中没有涵盖或考虑所有类型的第三方关系。实时信息、风险衡量指标和报告持牌人和合资伙伴管理第三方的工具和技术销售代理、分销商和加盟商领导对第三方的管治和全面监督集团公司、子公司和附属公司23%不自行亦不通过第三方监督分包商29%完全依赖第三方进行分包商管理只有8%的企业定期识别和监控所有分包商，还有12%对关键第三方的分包商进行监控。15%在有临时的需要下才识别和审查分包商13%在与第三方签订新合同时对其分包商进行审查28首页前言COVID-19的影响2020年关键主题02平衡责任与成本03加强的监管活动04转型愿景05善用外部支持06更广泛的关注行业概观联系人失败成本012019-21年的预测和COVID-19的影响受访者资料肩负责任 提升效益达至理想平衡对分包商不一致的监测将受到进一步的审查，因为企业承认他们对超越直接签约方以外的依赖会产生重大的风险。