2022-2023年度第三方风险管理展望分析报告.pdf_报告吧baogao8.com-

资源描述

2022-2023年度第三方风险管理展望分析报告调研反映的关键问题要务和下一步工作关于本调研前言04061612前言随着经济复苏加速，第三方风险管理正变得空前重要。在供应链断裂、网络威胁和不断增长的通胀压力下，全球企业正在评估自身的运营韧性以及它们对第三、第四方的依赖性。大部分企业难以维持一个符合自身需求的第三方风险管理运营模式第三方风险事件使业务严重受损并影响声誉技术承诺尚未兑现企业低估了其对实施一个良好的第三方风险管理计划的需求，导致预算不足资源有限的问题仍然存在毕马威国际的最新研究调查了来自六个行业、16个国家、地区及司法区的1,263名高级第三方风险管理专业人员显示第三方风险管理是85%企业的战略要务，比疫情爆发前的77%有所上升。然而，第三方风险管理的前景仍面临重重挑战。五大关键问题：01020504034 I 2022年度第三方风险管理展望第三方风险事件使业务严重受损并影响声誉第三方风险管理运营模式的缺陷将导致企业失去风险缓释的机会，正成为全球企业的主要问题。近四分之三受访者（73%）已在过去三年经历过至少一次由第三方导致的重大业务中断。企业低估了其对实施一个良好的第三方风险管理计划的需求，导致预算不足从业者受到预算不足问题的限制，不得不优先考虑策略性举措，而不是战略提升。五分之三受访者（61%）认为，鉴于第三方风险管理在企业中承担的关键角色，其价值被低估了。如果企业能了解一个良好第三方风险管理计划的全面复杂性，而不是仅顾及其个别组成部分，它们便可支持更多预算，同时受益于运营韧性、网络安全和舞弊应对上的效率提升。技术承诺尚未兑现受访者期望在三年内，通过新科技的应用实现流程自动化来处理或支持58%的第三方风险管理工作，从而使它们能专注于需要人工审核及互动的工作。但到目前，59%的受访者对新科技为它们带来的第三方风险管理上的透明度不足感到失望。资源有限的问题仍然存在第三方风险管理项目不断发展，同时，风险管理团队需应对日益增加的工作量。数字化工具将有助于分担一部分工作，但第三方风险管理的职责范围正不断扩大，涉及第三方所有风险、领域和类型。譬如，评估第三方环境风险的企业数量预计在三年内达30%。因此，企业应优先采用风险导向方案，将资源分配到风险最高的安排上。0102030405大部分企业难以维持一个符合自身需求的第三方风险管理运营模式大部分受访者承认，在新冠疫情期间，助它们避免第三方风险事件的更多是运气，而不是它们的第三方风险管理项目。因此，77%受访者认为自身企业应尽早对第三方风险管理的运营模式进行全面改革。2022年度第三方风险管理展望 I 5我们的调研显示，第三方风险管理负责人需要对它们的运营模式以及应对第三方风险的方案作出重大变革。随着供应链及生态体系的持续扩张以及第四方风险带来更多复杂性，此需求只会不断增长。强大的领导力以及通晓业界话语能清晰反映业务合作伙伴对其第三方设定的业务重点是关键。我们在第三章提出的相关建议，旨在支持在疫情复苏过程中董事会及管理层一直将第三方风险管理作为重要议程的业务环境。我们意识到立即行动的必要，并了解到第三方风险管理负责人面对的难题没有快速解决办法，因此，我们根据机构方案的成熟度，提出了若干关注领域以供参考并提升相关机构的风险管理方案。调研反映的关键问题01第三方风险事件使业务严重受损并影响声誉第三方风险管理负责人向我们表示，在疫情期间，董事会及管理层开始更为关注第三方风险管理项目以及它们对第三方的整体依赖性。董事会的关注反映了第三方导致的业务中断对企业业绩产生了重大影响。如果企业仍不立即采取行动提升第三方风险管理，此问题将变得更为严重。为此，我们看到越来越多企业反映，第三方风险管理项目的低效正为它们带来声誉风险73%受访者如是说，比2020年调研的68%有所提升。第三方导致业务中断和声誉受损我们的调研显示，多数企业已在近期遇到过由第三方导致的业务中断。仅在过去三年，近四分之三受访者（73%）已至少遇到过一次直接由第三方导致的业务中断。五分之二受访者（38%）甚至已遇到过三次或更多次（图1）。运营韧性并非企业艰难应对的唯一第三方问题。三分之二受访者（65%）越发担忧，收费支付流程的低效意味着它们并没有从服务供应商处获得完整的价值。举例而言，如果机构没有建立相应的机制来对照合同条款对第三方的服务交付进行比较，它们可能最终要为不可接受的延迟或不符合标准的服务支付全额费用。另外，某些机构与其第三方的合同可能没有包含服务水平协议或相关的财务激励。同时，54%受访者认为他们在过去12个月，至少一次被第三方超额收费机构可通过建立一个体系，标识出开票费用高于工作说明书列明费用的情况，从而有效管控此问题。图1：企业正经历着多重的源于第三方的业务中断您在过去三年有否经历过第三方导致的重大业务中断、财产损失或声誉受损？能源/矿业，包括公用事业汽车总计金融服务零售制造经历过三次以上的业务中断38%制药/生命科学，包括医疗保健39%57%28%37%32%28%信息来源：2022 年度第三方风险管理展望（Third-Party Risk Management Outlook 2022），毕马威国际，2022 年1 月6 I 2022年度第三方风险管理展望第四方进一步加大压力毕马威德国合伙人Alexander Geschonneck 表示，第三方风险管理的挑战还来源于企业正愈加依赖供应链中的分包商，这将带来进一步的复杂性。“第四方已成为近期在不同行业发生的多起业务中断事件的主要责任方，”他说。“对制造业而言，业务中断可能源于航运失效。更广泛而言，这可能是供应商的云服务供应商的某个会导致网络安全事件的安全漏洞。”第四方构成的挑战已受到我们调研的受访者的关注。五分之四受访者（79%）表示他们迫切需要提升他们用以识别及评估供应链及更广泛的生态体系中的第四方的方式；比2020年的72%有了显著上升。当企业与此类第四方未订立任何合约安排或直接关系时，此挑战将很可能进一步加剧。02企业低估了其对实施一个良好的第三方风险管理计划的需求，导致预算不足第三方风险主管应立即复核并升级自身的运营模式。为此，他们需要获得高级领导层提供的预算及支持。重要的是，此预算需要足以满足整个企业项目层面的要求，而不是仅满足单个第三方交易层面的要求。此方面的主要障碍是企业未能充分了解第三方风险管理的复杂性。在我们的调研中，61%的受访者认为第三方风险管理的价值被低估了，考虑到机构业务模型对第三方的依赖程度。二分之一受访者（52%）提醒到，他们企业内部没有建立足够的能力以管理他们面对的所有第三方风险（不同行业中持此观点的受访者比例略有不同，见图2）。图2：机构缺乏足够的资源以有效管理第三方风险我们缺乏足够的内部能力以管理我们面对的所有第三方风险金融服务同意此说法53%零售52%52%能源/矿业，包括公用事业59%总计制药/生命科学，包括医疗保健51%49%43%汽车制造业2022年度第三方风险管理展望 I 7信息来源：2022年度第三方风险管理展望（Third-Party Risk Management Outlook 2022），毕马威国际，2022 年1 月资金缺乏使第三方风险管理主管难以提升所需的技术、人才和流程来帮助他们提升效率并从战略和企业层面对第三方进行评估。比如，近七成受访者（68%）表示，他们目前尚未建立战略合作关系，为此还需要进行大量工作，以支持网络安全、“环境、社会及治理”（ESG）和运营韧性等重大举措。实际上，第三方风险管理获得的有限资金仅足以应付核心支出和策略性投资。在我们的调研中，63%的受访者表示他们的预算主要用于正常业务成本，而不是战略提升上。运营韧性需要更多第三方风险管理运营韧性是第三方风险管理团队可在其中作出更大贡献的领域之一。超过四分之三受访者（77%）认为，他们应在确保业务延续性上扮演比现在更活跃的角色。此外，仅五分之一受访者（19%）表示，运营韧性是目前他们企业的第三方风险管理活动中的首要驱动因素。受访者认为，这是一个严重疏忽，考虑到当供应链中的第三方和第四方受到不充分评估，以及它们在向客户交付货品或服务过程中的相互作用时，将可能产生不良后果。毕马威美国合伙人Greg Matthews 认为运营韧性不仅涉及业务延续性，还应关注围绕货品及服务交付的多重因素，从而了解价值链如何能够抵御第三方、技术、地理区域、人员及其它业务中断事件，鉴于此类事件经常一起发生。强而有力、一致的领导力是关键。“您需要建立一个统一的企业内部方案以确定韧性的定义、管理不同业务部门运营服务所涉及的复杂事项，并识别及了解其中涉及的人员、地理区域、技术和第三方。”他解释道。通晓业界话语Matthews 认为，企业领导层低估了第三方风险管理在企业内部不同部门实施所蕴含的复杂性。“领导层常以为第三方风险管理应由个别职能负责，如采购、某些风险部门或业务单元，因而忽略了一个统一、协调方案可带来的协同效应。”他说。如果企业在设计及建立第三方风险管理项目时采取一个更为全面性的视角，清晰展示其它项目对第三方风险管理项目的依存关系，那么，其规模和范围将更为明确，从而使领导层能够拨出合理的预算以应对企业整体需求。“企业的首要指标是产出时间和缩短聘用一个第三方所需的时间，”Matthews 补充道。“但为了实现此目标，企业需要先解决多个机构内部难题，如职责划分、数据模型、技术需求和在风险与速度之间取得平衡。这些问题的解决要求一个企业主导视角，而不是各自为政的方案。”8 I 2022年度第三方风险管理展望 03 技术承诺尚未兑现第三方风险管理团队已尽可能依靠科技来减轻负担。平均近半数（46%）的第三方风险管理工作均在某种程度上受到科技或流程自动化的支持。主管们希望受支持工作的比例在三年内上升到58%。第三方风险管理团队主要使用工作流解决方案来支持流程；同时，与第三方风险管理相关的风险职能则使用各类平台和第三方服务供应商来支持尽职调查活动。期望与现实之间的差距虽然第三方风险管理主管对技术怀有较高期望，但受访者反馈显示，现有技术工具往往不如人意或会带来额外负担。多数受访者表示，他们往往不能在技术方案上取得最终满意，或会遇到数据相关问题。此外，有关技术是否存在缺陷或技术方案表现不佳是否源于其执行方式的讨论还在进行中。在我们的调研中，受访者将整合挑战视为第三方风险管理转型的第二大障碍，仅次于数据泄露。从技术层面来看，可见度缺失仍然是首要问题。五分之三受访者（59%）表示，他们的技术方案根本不能提供“他们所需的可见度”，以管理供应链的第三方风险。此可见度是指在订约流程的不同阶段，都可以让受访者了解第三方环境中存在哪些控制措施可以确保服务交付符合预期。但毕马威美国总监Joy St.John 认为，可见度并非唯一问题。“主管还对技术方案的构造、项目的过度设计以及缺乏对项目表现和第三方表现的有效、明确汇报感到不满。”她说。完美遥不可及考虑到现有限制的情况下，若企业将自动化规模提升到受访者计划的水平，那么，新的挑战和风险或会出现，这可能对已超负荷工作的第三方风险管理团队产生反作用。第三方风险管理项目的技术问题的解决要求企业实施统一方案，反映了不同的采购、合同生命周期管理和卖方绩效系统各有不同，而企业应以全局性思维整合相关基础数据。企业还应调整团队对技术可对工作流或风险管理等方面作出的贡献的期望，确保“完美不会成为良好的敌人”。领导层常以为第三方风险管理应由个别职能负责，如采购、某些风险部门或业务单元，因而忽略了一个统一、协调方案可带来的协同效应2022年度第三方风险管理展望 I 9推迟并实施替代方案“机构在资源紧缺的情况下如何实现在三年内评估各项ESG 风险的目标？”毕马威澳大利亚合伙人Gavin Rosettenstein 问道。随着技术提升，工作流及自动化将可能扮演更重要的角色。但更直接的是，采用一个风险导向方案可实现更有针对性的措施，专注于已存在的不同类型的安排，并仅限于相关风险类型。“并非所有第三方都会带来环境风险。因此，若对所有第三方均进行评估，机构将难以优化项目规模和缩短第三方聘用所需的时间。”Rosettenstein 解释。“机构应专注于提高意识，而不是评估所有第三方的环境风险。”同时，St.John 建议机构应重点关注ESG 与声誉风险之间的联系。“企业希望通过评估第三方确认其过往是否存在不佳的ESG 业绩，”她说，“全面的环境风险评估或无必要，加强在声誉方面的背景审查可能已经足够。”04 资源有限的问题仍然存在多数企业尚未具备它们所需的第三方风险管理能力。扩大第三方风险管理团队的职责范围以覆盖更广泛风险，以及更深入地了解各个第三方如何管理风险，可显著增加资源压力。此方面的其中一个例子是企业对ESG 绩效设定的目标。近年来，ESG 的重要性快速增长。第三方风险管理对相关风险的关注也将在未来随之增强。十分之三的受访者表示他们正计划在三年内就ESG 中的环境风险部分对所有第三方进行评估；比目前已这样做的23%有所上升。当按企业规模细分时，此比例进一步增大：约一半大型企业（即收入超过100亿美元的企业）的受访者表示，他们将在未来三年内评估所有第三方的各项ESG 风险。图3：大型企业更有可能评估所有第三方的ESG 风险将在三年内评估第三方的ESG风险大型企业(超100亿美元)中型企业(10亿美元至100 亿美元)小型企业(少于10亿美元)50%44%51%38%31%30%31%28%27%信息来源：2022年度第三方风险管理展望（Third-Party Risk Management Outlook 2022），毕马威国际，2022 年1 月治理社会环境05 大部分企业难以维持一个符合自身需求的第三方风险管理运营模式如我们的发现所示，企业的第三方风险管理项目往往不能交付预期成果。在疫情最严峻的时期，随着企业纷纷重估第三方的风险状况并估量它们的风险敞口，项目缺陷已变得不容忽视。如今，企业必须立即应对这些缺陷。我们的发现为第三方风险管理主管敲响了警钟。超过一半受访者（55%）认为，让他们在危机中避免重大第三方风险事件的是运气，而不是他们的仔细监督。超过四分之三受访者（77%）承认，他们企业的第三方风险管理运营模式早应进行全面改革（见图4）。是时候作出重大改变“我们预期在疫情出现后第三方风险管理的战略重要性将进一步上升”毕马威英国合伙人Jon Dowie 说。“但令人担忧的是，企业并未对第三方风险管理执行其所需的变革。企业目前的关注更多是解决一些策略性问题，而不是建立一个企业统一的解决方案和调动机构内各部门的参与。企业应意识到这点并解决这个问题。”多数机构仍需进行大量工作才能建立成熟的第三方风险管理；它们甚至还不具备一个有效的运营模式所必需的核心要素。其中一个挑战是，第三方风险管理是一个专注于服务采购和管理的更大型项目的组成部分。对此更大型项目的了解是人们认识第三方风险管理工作的完整价值的关键。稍多于三分一受访者（36%）表示他们机构的项目已与采购和法务等合作职能完成整合。同样较低比例的受访者表示他们定期向高级管理层汇报，或明确了第三方风险管理项目及整个生命周期中的职责划分。如果第三方风险管理主管要想实现企业赋予他们的战略期望，那么上述要务便至关重要。我们将在下节探讨受访者提及的种种挑战，并就符合企业需求的第三方风险项目所需具备的五个关键成功因素展开阐述。图4：机构承认自身的运营模式需要升级疫情的影响表明，我们应立即全面改革第三方风险管理运营模式82%能源/矿业，包括公用事业69%汽车77%总计74%金融服务77%零售77%制造业同意此说法79%制药/生命科学，包括医疗保健信息来源：2022年度第三方风险管理展望（Third-Party Risk Management Outlook 2022），毕马威国际，2022 年1 月要务和下一步工作2022年，随着企业正努力应对新的和不断变化的法规、复杂的运营模式、快速增长的供应商群体，以及网络安全和供应链断裂等后疫情时期的现实问题，第三方风险管理仍将占据董事会及管理层议程的首要位置。第三方风险事件使业务严重受损并影响声誉企业低估了其对实施一个良好的第三方风险管理计划的需求，导致预算不足技术承诺尚未兑现资源有限的问题仍然存在大部分企业难以维持一个符合自身需求的第三方风险管理运营模式0102030405五大问题回顾：本调研提及的五大问题不存在速效解决办法，尤其是由于企业预算有限，且第三方风险管理主管必须在这个多变的业务环境中不断调配有限的资源。我们发现，成熟度较低、寻求建立一个第三方风险管理项目的机构一般有着相同的关注领域，而那些希望优化已有项目的成熟度较高的机构也是如此。下文列出了这些共同关注领域，并探讨如何实现第三方风险管理转型。A.成熟度较低或中等的第三方风险管理项目的关注领域成熟度较低或中等的机构的首要任务是建立一个能妥善管理第三方的项目。对任何机构而言，下列是一个可行的第三方风险管理项目所必须具备的要素。订约前尽职调查：建议在签订合同前完成合理的尽职调查。视乎所处的行业和服务，网络安全、业务延续性或合规等关键风险可优先于其它风险。风险导向方案：建议不需要以相同的深入程度检视所有第三方交易。考虑到有限的时间和资源，您应重点关注会影响到最关键服务的第三方。随着第三方风险管理项目的逐渐成熟，您可扩大项目范围以覆盖更多类型的第三方安排和其它风险领域。持续监控：对于支持关键服务的第三方，应建立一个持续监控方案，以在整个合同周期中评估第三方表现，确保其服务交付符合预期。该控制评估应由关系负责人执行，并由负责该风险的职能监督。项目治理：此方面注重于监督、监控和治理相关安排，有效解决所发生的问题和妥善处理所需决策与既定政策不一致的情况。此类治理决策需要有合理的政策和明确的职责划分，以避免无效质询和不良决策。B.成熟度较高的第三方风险管理项目的关注领域第三方风险管理项目成熟度较高的机构，其项目已合理建立并完全可执行，应专注于优化项目。此需求一般源于成本压力以及机构对评估需时过长的不满。成熟的第三方风险管理项目的优化一般关注以下领域：自动化：机构希望自动化端对端工作流，拥有技术工具/方案以取代人手工作或缩短此类工作的耗时。这将有助更快的决策和成本管理。为完成不同组成部分的工作，还可利用行业设施或资讯（industry utilities or feeds）以精简尽职调查流程。风险导向方案：为了进一步优化第三方服务的风险分级，可收紧用于将某事项定义为重大风险或高风险的标准，包括：对面临标准第三方风险状况的同类型机构（例如附属机构）使用专属项目计划，以允许对其实施“轻触式”方案。当服务出现名义风险时，直接进入采购订单的执行。通过第三方项目处理剩余的“标准”合同，但同时减少各个风险类别的问题数量，评估现场/亲身尽职调查的需求，并利用行业设施（industry utilities）提供涵盖相关领域的评估报告。退出和撤离：机构希望了解当非由它们导致的受压情况发生时，它们可如何退出合作关系。它们还需确保服务继续向客户及市场提供。为此，机构必须将具体服务与机构内的产品和流程配对。服务交付模型：我们看到越来越多企业建立了统一、涵盖整个企业的“卓越中心”（不一定是集权化的）。卓越中心是其中一种最高效的途径，让资源有限的机构得以管理数量众多的第三方群体。统一的架构有助实现项目内的一致性、提升数据质量、明确中心团队与关系负责人之间的问责制度。第四方与分支的管理：对成熟项目而言，第四方以及公司间及公司内部交易也纳入项目范围内。可受益于合理控制的设立（如合同存档）以及项目步骤与第三方风险管理项目要求的步骤匹配。毕马威可如何协助第三方风险管理主管实现目标第三方风险管理主管意识到他们需要一个结构化及分阶段的方案才能实现合理水平的董事会及管理层关注和投资。毕马威专业人员可满足您的以下需求，以实现您的第三方风险管理项目目标：1.评估您的要求和范围首先，您可评估您企业所在的司法辖区的监管发展。视乎您企业所处的地区和行业，多个国际监管机构正从涵盖更广的外包视角到更有针对性的视角（如隐私、网络安全和ESG 等）审视第三方风险管理。执行项目时，企业应确保对上述监管要求的合规，并随时准备好回应监管机构质询以避免财务或声誉受损。一个有效的第三方风险管理项目须依赖数个组成部分的整合和稳定运行，包括人员、流程、交付模型、治理、数据和技术。就这些领域对贵方项目的现状进行评估可助您了解贵机构当前的成熟度水平。藉此，您可识别各个组成部分的优势与缺陷，同时确定整体运营模式是否符合贵方需求、可持续及已有效整合。需特别指出，在设定愿景和成熟度目标时，您不需要为第三方风险管理的所有组成部分设定类似的成熟度。根据您的项目重点，某些组成部分的成熟度可能高于其它部分，以满足业务需求。成熟度评估第三方风险管理能力的快速现状评估；提供观察发现与建议监管评估与相关监管要求的差距分析；提供观察发现与建议商业论证与路线图以改进为重点并评估项目推行所需的投入水平内部审计共建三道防线架构设计建立或强化第三方风险管理项目及流程组成部分；制定项目文档、生命周期模板和技术业务要求科技赋能设置及实施工作流技术、风险情报软件和第三方应用微调与优化提升第三方风险管理项目和流程的元素；如指标与汇报、数据分析或第三方风险管理的风险偏好情境测试对第三方业务连续性和退出计划进行测试代管服务为订约前及订约后的第三方筛选与监控执行端对端流程。将先进技术与数据源融入领先的操作流程，并由风险领域专家交付第三方评估执行订约前及订约后的组合式风险及控制评估评估转型执行2.助您实现项目转型毕马威已投入大量时间和全球资源，根据我们的跨行业及全球经验，设计并开发一个端对端第三方风险管理项目模板。毕马威 Powered Enterprise Risk第三方风险管理项目涵盖了“模范样本”中80%的解决方案，并可根据客户需求进行配置。该方案获得多项资产赋能和支持，包括治理架构、政策、职责与角色矩阵、计分方法、问卷和汇报模板。虽然该模型是技术不可知论者，但我们已利用领先的治理、风险和合规（GRC）平台建造该模型，以支持快速实施并提升其支持的项目。由于第三方风险管理不存在“万能”解决方案，所以我们认为，校准和调整全套项目组件以提升机构的成熟度是项目成功的关键。实施涵盖整个企业的第三方风险管理项目是一项重大举措，需要有充足的资源以及高管层的全方位支持才能成功。您需要明确您的目标、如何实现此目标，以及您需要什么来完成整个计划。鉴此，我们可首先假设，您已低估了项目所需的投入和运营之间的相互依赖性，并寻求获得额外的前期投资。我们预计在未来数年，企业将继续推进自动化并从数字化趋势中获利。为此，毕马威已与主要的技术及行业设施供应商建立合作关系，以提升客户流程及尽职调查自动化的效率，并实现对控制的持续监控。我们提升对第三方风险管理、采购、合同生命周期管理和其它风险职能的整合，以利用这些领域的优势和提升用户体验。3.执行您的项目，同时为意外情况做好资源规划根据我们的经验，一个完全运转的第三方风险管理项目需要更多资源以执行订约前及订约后的评估和监控活动。第三方风险管理能力包含一个跨机构运营模型，执行人员需要掌握多种技能才能有效管理所有风险。这将使企业更难以在内部建立所有能力。如我们的调研所示，机构正受到资源可用性及人员技能缺乏的挑战，并致力寻找更好、更明智的方法来管理第三方风险管理活动。某些机构采用多种技术赋能手段和替代交付模型来弥补这些能力缺口，并通过提升效率获益。由于我们在风险与合规领域的优势以及我们的全球网络，客户经常要求我们执行其第三方风险管理项目中的持续风险评估组件，包括网络评估、控制评估、制裁与反贿赂及贪污审查等。这有助推动客户的项目实施，同时管控成本。毕马威的全球第三方风险管理团队可助您建立第三方风险管理项目，因我们确信，良好的风险管理实务最终将有利于您的业务、客户和社区。请联络我们以了解服务详情。

展开阅读全文