2024第三方风险管理政策制定策略研究报告

目录 第一部分 什么是第三方风险政策，为什么我需要它？ 什么是第三方风险政策？04为什么合规需要这个？04谁 else 使用了该政策？07什么是没有第三方风险政策的风险？07 第二部分 制定政策：我该如何开始？09确定相关风险和相应的风险水平。09实体评估基础12 第三部分 现在我有了一个第三方风险政策，接下来会发生什么？ 13 13141516政策执行更多关于自动化、政策引导的合规解决方案维持政策塑造组织风险管理文化 第一部分 什么是第三方风险政策，为什么我需要它？ “没有人是一座孤岛”——我们所有人都听说过这句著名的第17行。th- 世纪诗歌。这一点对企业和其他组织也是如此。对于当今的组织来说，如果要达到基本运作水平，更不用说发展和繁荣，那么作为“孤岛”般独立运营几乎是不可能的，除非它们与第三方建立联系。无论是金融机构、消费品公司，还是非营利组织，与第三方如供应商和供应商合作对于实现战略目标至关重要。 尽管如此，与第三方进行商业活动固有的风险可能潜在地超过这些关系的利益——并且在当前日益复杂的商业环境、监管扩大以及网络和欺诈威胁不断加剧的情况下，这些风险正在继续加剧。 为防范这些风险，成熟的企业会制定并利用第三方风险管理政策。该政策提供了标准化指导，用于评估特定风险因素，并确定第三方是否为可接受的合作伙伴——即那些能够在不损害企业声誉或盈利能力的情况下促进企业增长和运营效率的合作伙伴。 什么是第三方风险政策？ 什么意味着“拥有”第三方风险政策？ 这项政策作为第三方风险管理框架的基础，理想情况下适用于整个业务——而不仅仅是合规部门。鉴于业务中的每个部分都可能在不同时间与第三方合作以获取所需的货物或服务，因此该框架需要成为支持并保护整个业务免受外部风险的基础设施的一部分。 同时，政策是积极尽职调查过程的一个必要组成部分，在这个过程中，第三方将被筛选、评估和评估，以了解它们可能对业务带来的风险。这些风险可能是由监管要求驱动的，或者是由避免与被制裁或涉及腐败行为（如贿赂或洗钱）的实体建立关系的需求驱动的。或者，它们可能是由网络犯罪、B2B欺诈以及新兴技术（如生成式人工智能（AI））日益增长的风险驱动的。 公司创建和使用这些政策的程度存在惊人的差异。在某些组织中，这些政策甚至可能没有书面记录。或者，它们可能以幻灯片的形式存在，或者存在于只供合规团队内部和相关专业人士使用的Word文档中。但这并不是最佳实践，实际上可能会加剧公司因与第三方关系而面临的风险程度。 简单来说，该政策就像一本手册，设定了明确的风险阈值，这些阈值决定了公司应该与哪些人合作以及不应该与哪些人合作。它帮助业务回答基础问题：我们关注哪些风险？为什么我们关注它们？然后政策提供指导，说明应检查第三方哪些方面，以确定这些风险是否存在。 为什么合规需要这个？ 第三方风险政策并非仅为了合规团队的利益而存在。第三方风险是一种更大范围的企业风险，它影响了所有与外部公司和个体合作的团队。如果不被发现和缓解，许多风险都可能对公司产生破坏性的影响。例如，未能遵守关键法律和规定的公司不得不支付美国证券交易委员会（SEC）数十亿美元的罚款，以解决起源于第三方的《外国腐败行为法》（FCPA）违规行为。在其他市场的广泛法规中，包括数据保护法规，也存在类似的执法监督。而这只是金钱损失；由此产生的媒体报道和公众信任的丧失可能会给企业的声誉带来致命打击，导致企业永久关闭。 在合规团队特别关注的情况下，第三方风险政策可以帮助解决企业“防御线”（LOD）的一个常见结构性问题——即与外部方进行交互的人员或团队（应）在评估这些方可能对企业构成的风险中扮演主要角色的问题。 这是在一家没有正式政策的企业中，第三方风险管理流程可能的样子。距离供应商、供应商和其他第三方最近的功能没有配备进行风险评估或缓解流程的知识、指导，或者技术解决方案——但我们会很快谈到这一点——。因此，由于缺乏更好的替代方案，这项责任最终被转交给第二级风险（LOD）并分散到不同的第二线部门。每一次，可能成百上千次， 我：I如果您对通过增加自动化来提高运营效率和合规性防御能力有认真兴趣，您需要确保您已经制定了一个必要的第三方风险政策作为第一步。 创建和实施第三方风险政策可以减少第二层次的凸起，重新分配责任，使第二个层级决策团队能够专注于其专业领域最能发挥价值的案例——那些难以在政策参数内简单裁定的灰色地带或边缘案例。同时，第一个层级决策团队在一系列指南和程序的帮助下，能够对与外部方的业务关系和互动做出明智的决定，从而对业务的潜在风险承受能力有了更清晰的认识。 另一个第三方风险政策的显著益处是，它是自动化第三方风险管理流程的重要要求。该政策使您能够实施允许用户根据组织定义的一套标准来监控第三方合规风险的科技解决方案。这些解决方案通常能够实现自动化的筛选工作流程，可以根据您的政策和您对重大风险的定义进行配置。因此，如果您对通过增加自动化来提高运营效率和合规性防御能力表示认真兴趣，您需要确保您已经拥有第三方风险政策作为一个必要的第一步。 谁 else 使用了该政策？ 此外，合规、采购和法律等部门也可能积极使用第三方风险政策： 技术上，所有业务单元、线条和部门都参与第三方风险管理，在尽职调查和风险评估阶段与风险管理领域的专家（SMEs）合作。但这些风险管理领域的专家是风险政策的首要利益相关者。他们主要负责通过确定哪些风险对业务最为重要来制定政策；设计实体筛选和评估的过程；以及选择、实施和使用支持筛选、入驻和监控这些实体的技术解决方案和系统。 信息安全 确保第三方拥有充分的政策和流程，以应对网络安全和系统及数据的不当使用。 什么是没有第三方风险政策的风险？ 除了可能遗漏并导致业务受损的第三方风险之外，不采用正式政策运营也存在许多弊端。我们已提及其中之一：为合规自动化设置障碍。拥有第三方风险政策是实施以政策为导向的工作流程，分析第三方数据以进行风险评估的智能合规解决方案的前提条件。 业务连续性 为确保第三方即使在经历关键风险事件的情况下也能继续提供商品或服务，已建立系统和流程。 另一个内部风险涉及需要在全公司范围内对第三方风险管理进行标准化。持续稳定的 商业。一项正式的第三方风险管理政策确立了一个一套程序、评估标准和风险评估方法。这有助于防止对 金融 每个供应商或合作伙伴采取临时措施，以及避免在各个职能之间出现孤岛、重复和不一致。没有这项政策，您实际上无法建立一个一致的第三方风险管理框架。这将增加评估和监控第三方时的模糊性和低效率风险。 为确保第三方能够履行财务义务，从而继续运营并向客户提供商品或服务。 风险评估中的差异，即不同利益相关者对不同的第三方施加的审查程度不同，可能导致错误和错失机会，最终损害企业。意识到这种情况可能发生或正在积极发生，通常会导致我们在第二次LOD中看到的膨胀，在那里第三方评估的各个方面都达到合规及其紧密关联。 保险 为确保第三方能够从可能对他们的客户提供各种风险（运营、声誉、财务）的不利事件中得到充分保护。 最终，然而，一个健全的第三方风险管理政策能够赢得合规团队对既有实际成果又具无形价值的认可： 您最担心的是，如果您的合规团队是……未有效管理风险？ ••该公司仅与可靠、值得信赖的合作伙伴建立关系，这提升了公司自身从客户和外部利益相关者那里获得的信任。 ••由于未检测到的第三方风险导致的法律和财务影响得到最小化——因此，减少了诉讼、监管罚款和意外支出。 ••第三方筛选、入驻和监控的过程——特别是在使用合规自动化解决方案时——变得更加流畅和高效，从而降低行政负担，释放资源以用于更战略性的活动。 然后，还有关于合规功能如何被业务其他部分所看待的问题——特别是在组织的领导层中。一个结构良好的第三方风险管理政策有助于使合规性被视为价值创造者而不是成本中心。确实，要证明因政策实施而避免了各种风险这一概念可能很困难；采购团队在试图获得成本规避的认可时，往往面临类似的挑战，相对于可触摸和可衡量的成本节约，成本规避是难以证明的。 第二部分 制定政策：我该如何开始？ 确定相关风险和相应的比例风险水平 实施第三方风险政策的第一步是评估不同类型的风险，并确定哪些风险最为相关。 这不是不同风险类型的不完整列表。在风险加高的商业环境中，风险排序应以考虑您的商业目标及其可能造成的危害事件为出发点。风险管理策略可能还需显式涉及其他风险领域——例如地缘政治风险、运营风险或声誉风险。 该过程的下一阶段包括定义您的风险偏好——即您的组织或业务在其第三方关系背景下愿意接受或容忍的风险水平。风险偏好通常通过一系列因素的组合来确定，包括： ••••••••••其吸收损失的能力适用的监管要求它愿意承担风险以实现那些目标。期望来自利益相关者，包括股东、客户和员工该组织的目标和目标 Risk appetite并非一刀切的概念——它必须根据业务量身定制且比例适中。 风险偏好并非一刀切的概念——它需要量身定制。相称的；成比例的对于企业而言，比例性主要受企业类型的影响；不同行业的企业将会有不同的风险因素和规定，这些因素在风险容忍度上的重要性会有所不同。例如： 实体评估基础 一旦您确定了哪些风险对您的业务最具影响，以及业务对不同风险因素的容忍度，下一步就是捕捉将用于评估第三方的标准化流程。目标是能够构建一个实体的风险轮廓，该轮廓最终将用于决定是否以及如何与该实体建立关系。 政策应包含一个基于全面的法人、运营和财务第三方数据的评估框架。您企业采用的最终权衡框架将受到企业特定能力、目标和优先级的影响。但以下是一个作为政策起点的良好通用清单： 把这三个评估支柱融入到风险政策中，有助于确保使用该政策的所有利益相关者——特别是位于第一和第二损失层级（LOD）的成员——将遵循统一且，更重要的是，目标该流程既全面又平衡。值得注意的是，该政策还可能根据实体及其提供的产品或服务的关键性级别 包含例外情况。这些例外情况也可能扩展到某些实体，其中该实体与您的业务关系的性质或持续时间产生了最小风险的假定。 记录政策中的例外情况有助于消除歧义，尤其是在不可避免的员工流动情况下。它也有助于通过传达一种实用且合理的风险文化，促进业务增长，而不是限制它，从而得到接受和采纳。 第三部分 现在我有了一个第三方风险政策，接下来会发生什么？ 政策执行 与其他影响业务流程和目标的新政策一样，如果您希望同事们遵守第三方风险管理政策，就必须正式推出该政策。采用结构化方法将有助于确保其有效沟通、实施和融入日常运营。 领导层的支持和认可 确保高级管理层理解并支持新政策的重要性。通过您组织政策治理流程启动的审批，获得他们的承诺。您将需要他们的承诺来分配必要的资源并提供实施指导。 跨职能团队 建立一个专门的团队，团队成员来自但不限于一级和二级LODs，包括合规性、法律、采购、IT和企业风险管理（ERM），以监督实施和持续管理。考虑通过您的合规性和/或风险管理流程正式确定该团队的角色。 沟通与培训 制定一项沟通计划，向员工、第三方以及关键利益相关者通报新政策及其要求。为涉及第三方关系的员工创建培训计划，帮助他们理解在遵守政策中所扮演的角色和责任。应咨询人力资源团队以获得指导和支持。 数据和工具 研究那些能够帮助您充分实现第三方风险政策益处的科技解决方案。了解利用第三方数据和自动化功能的新选项，通过引入人工智能（AI）和机器学习算法，更有效地识别模式、异常和潜在风险。 更多关于自动化、政策引导的合规解决方案 许多合规和风险管理团队利用自动化技术来最大化其资源并减少筛查和监控第三方所涉及的手工劳动。在持续不确定的全球商业环境中，合规团队接到指示，要“以更少的资源完成更多工作”并加快对业务保护的至关重要的尽职调查过程。自动解决方案帮助将传统上漫长且繁重的流程转变为一种现代的、流程化、前瞻性的持续风险缓解方法。 所有您第三方风险政策的要素——包括重大风险的定义、特定风险因