第三方风险管理 (TPRM) 涉及识别、评估和控制与外包给供应商、供货商、承包商或合作伙伴相关的风险。这些风险会影响运营绩效、财务稳定性、法规遵从性和声誉。有效的 TPRM 计划可确保第三方满足组织的标准和要求，最大限度地减少潜在的干扰和不利后果。 

近年来，随着现代供应链的复杂性和互联性不断提高，TPRM 的重要性显著提升。根据毕马威国际 2022 年的研究，该研究调查了全球六个行业和 16 个国家、地区和司法管辖区的 1,263 名高级 TPRM 专业人士，TPRM 已成为 85% 企业的战略重点，高于疫情爆发前的 77% [1]。此外，在 2022 年 9 月对 100 名高管风险委员会成员进行的 Gartner 调查中，84% 的受访者表示，第三方风险“失误”导致运营中断，这凸显了建立强大的 TPRM 框架的迫切需求 [2]。 

在 ESG（环境、社会和治理）标准的背景下，第三方风险管理同样至关重要。确保第三方遵守 ESG 标准对于维护组织运营的可持续性和道德诚信至关重要。随着监管审查的不断加强和消费者对负责任的商业行为的需求不断增长，将 TPRM 整合到 ESG 计划中可使企业更有效地管理风险并促进积极的环境和社会影响。这种协调不仅可以维护组织的声誉，还有助于长期的韧性和成功。 

了解 ESG 中的第三方风险  

首先，我们来探讨一下第三方风险。第三方风险指的是当组织将服务或功能外包给外部实体（例如供应商、承包商或业务合作伙伴）时出现的潜在威胁和漏洞。这些风险可以表现为各种形式，包括运营中断、财务损失、法律责任、监管违规和声誉损害。从本质上讲，第三方风险源于依赖外部方，而外部方的行为、控制和做法可能与雇用组织的标准或期望不完全一致。随着企业越来越依赖全球供应链和互联网络，强大的第三方风险管理系统变得至关重要。这些系统可确保弹性、合规性和持续的运营完整性，从而保护组织免受与第三方依赖相关的无数风险的影响。 

环境、社会和治理 (ESG) 因素在第三方风险评估和管理中至关重要。超过 70% 的公司依靠外包来简化运营，第三方供应商和供应商对组织的 ESG 概况和报告产生重大影响。然而，许多第三方风险专业人士难以将第三方数据整合到他们的 ESG 透明度和报告工作中。鉴于该主题缺乏实用指导，这一挑战是可以理解的。TPRM 团队必须为不可避免的 ESG 考虑因素整合做好准备，但问题仍然存在：他们如何才能有效地实现这一目标？ 

环境风险 

环境风险是指组织的运营对自然环境的潜在影响。这些影响包括污染、资源枯竭、碳排放和废物管理问题。在第三方风险管理方面，识别和评估这些风险至关重要，因为它们会影响组织的环境可持续性目标。 

• 污染： 第三方可能通过制造、废物处理和运输等活动造成环境污染。这可能导致空气、水和土壤污染，从而损害生态系统和公众健康。 
• 碳排放： 第三方运营可能会显著增加温室气体排放。与碳足迹较高的公司合作可能会破坏组织减少整体环境影响的努力。 
• 废物管理问题： 第三方废物管理措施不当可能导致危险废物和非危险废物处置不当。这可能会造成环境危害、法规遵从问题，并损害合作组织的声誉。 
• 不遵守环境法规： 不遵守当地和国际环境法规的第三方可能会使组织面临法律责任、罚款和制裁。这种不合规行为还会损害组织的形象和利益相关者的信任。 
• 供应链风险： 供应链中的第三方可能通过不可持续的耕作、非法砍伐和采矿等行为引入环境风险。这些行为可能对全球环境可持续性产生深远影响。 
• 声誉受损： 与环境记录不佳的第三方合作可能会损害组织的声誉。利益相关者（包括客户和投资者）可能会将该组织视为环境有害行为的同谋。 

第三方行为造成污染的一个显著例子是 2010 年墨西哥湾的英国石油公司漏油事件。英国石油公司将业务外包给 Transocean 和 Halliburton 等分包商，而这些分包商的失职导致了这场最严重的环境灾难之一。漏油事件导致大面积水污染、海洋生物灭绝，并对墨西哥湾的生态系统造成长期破坏。另一个例子是大众汽车第三方供应商的排放丑闻。大众汽车使用第三方软件欺骗排放测试，使其车辆的污染物排放量超出限值 40 倍。这场“柴油门”丑闻造成了严重的环境破坏，并给大众带来了重大的法律和财务后果。这些事件凸显了对第三方运营进行严格审查和合规检查的必要性，以确保符合环境目标和法规。 

社会风险 

社会风险，也称为社会或社区风险，涵盖组织的行为对社会和当地社区的影响。这些影响可能包括劳工行为、侵犯人权行为以及对边缘群体的影响。第三方风险管理团队必须评估社会风险，以保护其组织免受法律、声誉和运营中断的影响。 

• 劳工实践： 第三方可能会采取剥削性劳动行为，例如强迫劳动或使用童工，以降低成本。这可能会损害合作组织的道德标准，并危及合作组织与客户和利益相关者的关系。 
• 侵犯人权： 第三方运营可能会造成或加剧侵犯人权的行为，例如歧视、不安全的工作条件和剥夺工人的权利。这些侵犯人权的行为可能会导致法律后果并损害组织的声誉。 
• 不遵守劳动法： 与不遵守劳动法的第三方合作可能会使组织面临法律责任和处罚，还会损害组织作为负责任雇主的声誉。 
• 供应链风险： 第三方供应商可能会侵犯人权，例如从冲突地区采购材料或使用剥削性工作条件。这可能会给合作组织带来重大的声誉风险。 
• 声誉受损： 与承担社会风险的第三方合作可能会损害组织的声誉，并破坏其负责任的实践努力。这可能会导致客户、投资者和员工等利益相关者失去信任。 

第三方运营侵犯人权的一个显著例子是雀巢产品在可可生产过程中使用童工。2015 年，雀巢因涉嫌在其供应链中使用童工而面临诉讼。该公司未能及时处理这些指控，导致声誉严重受损并产生法律后果。另一个例子是 Rana Plaza 悲剧，孟加拉国一家服装厂倒塌，造成 1100 多名工人死亡。该工厂为沃尔玛和 Primark 等公司生产服装，暴露了其第三方供应商的不道德劳工行为。这一事件凸显了负责任的采购和供应链管理对组织的重要性。 

治理风险 

治理风险，也称为公司治理风险，涉及组织为有效管理第三方关系而遵循的内部政策和程序。这些风险可能源于管理不善、监督不足和缺乏问责制，从而导致财务损失、声誉受损和监管处罚。第三方风险管理团队必须确保治理实践稳健，以减轻潜在风险并维护组织的利益。 

• 缺乏尽职调查： 未能对第三方进行彻底的尽职调查可能会导致与不符合组织标准或不遵守法规的实体建立合作关系。这可能会导致财务损失和声誉受损。 
• 监督和监测薄弱： 对第三方活动的监督不足可能导致不遵守合同条款、监管要求和道德标准。持续监控对于确保第三方遵守组织的治理政策至关重要。 
• 利益冲突： 与第三方的合作可能会产生利益冲突，从而影响决策过程并削弱利益相关者的信任。透明的治理实践对于识别和缓解此类冲突至关重要。 
• 网络安全和数据隐私问题： 第三方关系可能带来与数据泄露和网络攻击相关的风险。实施严格的网络安全措施和数据隐私协议对于保护敏感信息至关重要。 
• 声誉受损： 管理第三方关系时，治理不当可能导致声誉受损，影响组织的信誉和利益相关者的信任。确保强有力的治理框架是保持良好声誉的关键。 

治理风险的一个例子是富国银行账户欺诈丑闻，由于治理措施不力，员工得以创建数百万个未经授权的账户以达到销售目标。这一丑闻导致富国银行遭受巨额罚款、受到法律制裁，并损害了其声誉。另一个例子是安然公司的倒闭，其倒闭是由于公司治理不善、缺乏透明度以及第三方审计师的不道德行为造成的。这导致了历史上最大的公司破产案之一，并凸显了强大的治理结构在防止此类破产方面至关重要。 

最后的想法 

在当今互联互通的商业环境中，管理第三方风险对于维护组织的法律地位、声誉和运营效率至关重要。社会风险和治理风险是风险管理团队必须解决的两个主要问题。从不道德的劳工行为和侵犯人权行为到薄弱的治理框架和监督不足，如果管理不善，这些风险可能会产生重大负面影响。  

雀巢供应链中使用童工、富国银行和安然公司治理失败等备受关注的案例，凸显了尽职调查、严格监控和严格道德规范的必要性。组织必须采取积极主动的方法，确保以最高的诚信和合规性管理其第三方关系。 

展望未来，将环境、社会和治理 (ESG) 标准纳入第三方风险管理计划变得越来越重要。在我们的下一篇博客中，我们将探讨将 ESG 原则有效整合到组织风险管理战略中所需的步骤。请继续关注可操作的见解和最佳实践，以增强您的第三方风险管理框架。 

 

资料来源 

[1] https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2022/01/third-party-risk-management-outlook-2022.pdf 

[2] https://www.gartner.com/en/newsroom/press-releases/2023-02-21-gartner-survey-shows-third-party-risk-management-misses-are-hurting-ororganizations