第三方风险管理展望2020

Model Risk Management I 1第三方风险管理展望2020毕马威国际home.kpmg/thirdpartyrisk目录简介第1节：主要调研发现第2节：有效第三方风险管理框架第3节：实现有效第三方风险管理的途径结语关于此次调研040810122022© 2021() —()————毕马威华振会计师事务所 特殊普通合伙中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司中国有限责任公司，毕马威会计师事务所澳门合伙制事务所及毕马威会计师事务所香港合伙制事务所，均是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。© 2021() —()————毕马威华振会计师事务所 特殊普通合伙中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司中国有限责任公司，毕马威会计师事务所澳门合伙制事务所及毕马威会计师事务所香港合伙制事务所，均是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。为寻求此类问题的答案，毕马威国际对来自全球14个国家和司法辖区的多个行业的大型企业的1,100名负责第三方风险管理的高级主管进行了调研。本报告中，我们将对此次调研的主要发现进行阐述，以表明第三方风险管理原则对不同行业和地区均普遍适用。为了对寻求优化自身第三方风险管理项目的企业提供协助，本文还介绍了我们在自身丰富的客户服务经验基础上提炼出的第三方风险管理框架和方法论要素。当前，企业们纷纷努力应对全球性事件和经济不确定性导致的经营环境变化，其中许多企业将重新评估其第三方合作伙伴的风险状况，并重新衡量自身的业务弹性。因此，持续有效的第三方风险管理项目此时显得尤为重要。对第三方的定义深入探讨调研发现之前，我们将对本报告中涉及的某些术语的含义进行澄清。首先，何谓“第三方”？此次调研中，仅有少数（41%）的受访者完全确定其所在企业对“第三方”进行了统一定义。毕马威国际和各毕马威成员所将以下外部各方纳入第三方范畴：销售商、供应商、服务提供商、代理、分销商、经纪、合资企业和经销商。对于内部第三方，我们还包括集团内部的关联公司、共享服务、母公司/实体。我们未将客户归为第三方，因为各企业在与客户进行交易前，并未通过第三方项目对其执行审查或准入程序。简而言之，第三方风险管理（TPRM）是指企业用于评估和管理由第三方产品和服务导致风险的项目。例如，对于将某企业的数据存储于第三方设施中的合同，该企业应评估数据安全性风险。有效的第三方风险管理项目应于签订合同之前将企业的首席信息安全官纳入采购流程，担任数据安全性风险经理一职。此举将有助于企业了解：— 第三方访问、存储和传输该企业数据的方式— 第三方的控制环境是否符合该企业要求，抑或需要改进— 合同中是否应包含议定的具体要求来自风险职能部门的利益相关方可能还包括合规部门，该部门将确定第三方服务提供商是否将导致金融犯罪或制裁违规风险。签订合同后，企业的第三方风险管理项目应聚焦对合作关系和第三方履约的管理，并持续检查第三方对控制环境要求的合规情况。由于此类活动非常重要，且第三方向大多数企业提供的服务种类繁多，那么各企业应如何确保其第三方风险管理项目中制定了适当的治理结构、职责和服务交付模式？各企业应如何在有效管理第三方风险，以及满足内部各合作负责人和其他利益相关方对及时引入第三方的需求之间实现平衡？此外，第三方风险管理项目应如何最大程度利用创新和新兴技术，以便更好地对各关键控制手段的有效性进行持续评估？简介当前，众多企业越来越依赖第三方供应商向客户提供与其业务密切相关的产品和服务。他们也意识到，第三方的失职可能会导致其声誉迅速受损，并对下游运营和成本造成严重影响。显然，各企业在应对此类问题时，应当采取清晰的第三方筛选、审批和管理策略。鉴于其中涉及众多来自业务、采购和风险监管领域的利益相关方，制定和执行此类策略仍充满挑战。4 | 第三方风险管理展望2020© 2021 () —() ————毕马威华振会计师事务所 特殊普通合伙中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司中国有限责任公司，毕马威会计师事务所澳门合伙制事务所及毕马威会计师事务所香港合伙制事务所，均是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。例如，金融服务企业会通过“了解您的客户”（KYC）程序确定客户准入。第三方风险管理项目涵盖的风险其次，我们具体探讨哪些第三方风险？图1中，我们展示了企业普遍面临的主要风险类别，以及部分归属该等类别的特殊风险。第三方关系中可能存在此类风险（通常是风险组合），取决于所提供的第三方产品或服务的性质。第三方风险管理项目应明确在服务或产品层面识别和评估各类风险所需的角色与职责，以便企业内部的风险专家确定第三方是否能够依据业务要求管理风险。可以看到，许多企业由于未能通过第三方的控制环境或自身的内部补充控制措施识别并降低风险，正面临严格处罚，声誉也因此受损，是为前车之鉴。第三方风险管理项目的首要成功因素，是应将时间、精力、经验聚焦于高风险第三方服务。在调研过程中，我们发现第三方风险管理项目中优先考虑的风险往往并非会对企业使命造成严重影响的风险。例如，数据治理、隐私和网络风险是各行业和地区第三方活动的首要驱动因素（参见图2）。— 监管要求— 盗窃/犯罪/争议风险— 欺诈、反贿赂与贪腐/制裁— 内部流程和标准合规— 服务交付风险— 扩张/实施风险— 并购— 遵从外包策略— 知识产权风险— 关键服务的供应商集中度— 行业集中度（包括分包商）— 关键技能集中度（即技术支持）— 地区集中度— 反向集中度— 向第三方出借款项的财务风险— 流动性风险— 业务连续性— 容灾— 人身安全— 运营弹性— 绩效管理（包括服务水平协议）— 模型风险— 人力资源风险（行为风险等）— 负面新闻— 法律诉讼（过去和未决的诉讼）— 第三方品牌— 第三方主要主管/负责人— 工作场所安全— 法律管辖权— 合同条款和条件— 适用于所有风险领域— 地缘政治风险— 气候可持续性图1. 第三方风险管理项目应覆盖的潜在风险— 信息安全— 网络安全— 数据保密/数据保护监管/合规风险策略风险集中度风险财务稳定性运 营 / 供 应 链风险声誉风险法律风险分包商风险国别风险技术/网络风险数据来源：《第三方风险管理展望2020》，毕马威国际，2020年第三方风险管理展望2020 | 5© 2021() —()————毕马威华振会计师事务所 特殊普通合伙中国合伙制会计师事务所，毕马威企业咨询 中国 有限公司中国有限责任公司，毕马威会计师事务所澳门合伙制事务所及毕马威会计师事务所香港合伙制事务所，均是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。57%60%财务风险60%运营风险技术风险（如集成中断）51%监管合规风险54%侵犯数据隐私风险45%声誉/品牌风险促进业务增长提高运营弹性管理网络风险32%22%40%支持业务转型 19%改善成本效益 36%保护品牌声誉 29%确保业务连续性/容灾 26%确保跨地区监管合规 26%数据治理和隐私 39%图2.