本报告对全球14个国家和司法辖区的多个行业的大型企业的1,100名负责第三方风险管理的高级主管进行了调研。调研发现,第三方风险管理原则对不同行业和地区均普遍适用。有效的第三方风险管理项目此时显得尤为重要。毕马威国际和各毕马威成员所将以下外部各方纳入第三方范畴:销售商、供应商、服务提供商、代理、分销商、经纪、合资企业和经销商。对于内部第三方,我们还包括集团内部的关联公司、共享服务、母公司/实体。我们未将客户归为第三方,因为各企业在与客户进行交易前,并未通过第三方项目对其执行审查或准入程序。有效的第三方风险管理项目应于签订合同之前将企业的首席信息安全官纳入采购流程,担任数据安全性风险经理一职。此举将有助于企业了解:— 第三方访问、存储和传输该企业数据的方式— 第三方的控制环境是否符合该企业要求,抑或需要改进— 合同中是否应包含议定的具体要求来自风险职能部门的利益相关方可能还包括合规部门,该部门将确定第三方服务提供商是否将导致金融犯罪或制裁违规风险。签订合同后,企业的第三方风险管理项目应聚焦对合作关系和第三方履约的管理,并持续检查第三方对控制环境要求的合规情况。由于此类活动非常重要,且第三方向大多数企业提供的服务种类繁多,那么各企业应如何确保其第三方风险管理项目中制定了适当的治理结构、职责和服务交付模式?各企业应如何在有效管理第三方风险,以及满足内部各合作负责人和其他利益相关方对及时引入第三方的需求之间实现平衡?此外,第三方风险管理项目应如何最大程度利用创新和新兴技术,以便更好地对各关键控制手段的有效性进行持续评估?
