第三方风险管理（TPRM）涉及识别、评估和控制与外包给供应商、供货商、承包商或合作伙伴相关的风险。这些风险会影响运营绩效、财务稳定性、合规性和声誉。有效的 TPRM 计划可确保第三方符合组织的标准和要求，最大限度地减少潜在的干扰和不利结果。 

近年来，由于现代供应链的复杂性和互联性不断提高，TPRM 的重要性大幅增加。毕马威国际会计师事务所（KPMG International）在 2022 年对全球 16 个国家、地区和司法管辖区、6 个行业的 1,263 名高级 TPRM 专业人士进行了调查，结果显示，TPRM 已成为 85% 企业的战略重点，高于大流行病爆发前的 77% [1]。此外，2022 年 9 月，Gartner 对 100 名执行风险委员会成员进行了调查，84% 的受访者表示，第三方风险 "失误 "导致了运营中断，这凸显了对健全的 TPRM 框架的迫切需要[2]。 

就 ESG（环境、社会和治理）标准而言，第三方风险管理同样至关重要。确保第三方遵守 ESG 标准对于保持组织运营的可持续性和道德完整性至关重要。随着监管审查的不断加强和消费者对负责任的商业行为需求的不断增长，将 TPRM 纳入 ESG 计划可使企业更有效地管理风险，并促进对环境和社会的积极影响。这种结合不仅能维护企业的声誉，还有助于企业的长期发展和成功。 

了解 ESG 中的第三方风险  

第三方风险是指企业将服务或职能外包给外部实体（如销售商、供应商、承包商或业务合作伙伴）时产生的潜在威胁和漏洞。这些风险的表现形式多种多样，包括运营中断、财务损失、法律责任、监管漏洞和声誉受损。从根本上说，第三方风险来自于对外部各方的依赖，而这些外部各方的行动、控制和实践可能并不完全符合雇佣组织的标准或期望。随着企业越来越依赖全球供应链和互联网络，强大的第三方风险管理系统变得至关重要。这些系统可确保复原力、合规性和持续的运营完整性，从而保护组织免受与第三方依赖性相关的无数风险。 

环境、社会和治理（ESG）因素在第三方风险评估和管理中至关重要。超过 70% 的公司依靠外包简化运营，因此第三方厂商和供应商对企业的环境、社会和治理概况和报告产生了重大影响。然而，许多第三方风险专业人员却很难将第三方数据纳入其环境、社会和公司治理透明度和报告工作中。由于缺乏相关的实用指导，这一挑战是可以理解的。TPRM 团队必须为不可避免地整合 ESG 考虑因素做好准备，但问题仍然是：他们如何才能有效地实现这一目标？ 

环境风险 

环境风险指的是组织运营对自然环境的潜在影响。这些风险包括污染、资源损耗、碳排放和废物管理问题。说到第三方风险管理，识别和评估这些风险至关重要，因为它们会影响组织的环境可持续发展目标。 

• 污染： 第三方可通过制造、废物处理和运输等活动造成环境污染。这可能导致空气、水和土壤污染，损害生态系统和公众健康。 
• 碳排放： 第三方运营会大大增加温室气体排放。与碳足迹大的公司建立合作伙伴关系，可能会破坏组织为减少其整体环境影响所做的努力。 
• 废物管理问题： 第三方不适当的废物管理做法可能导致有害和无害废物的不当处置。这可能会造成环境危害、合规问题，并损害合作组织的声誉。 
• 不遵守环境法规： 第三方如果不遵守当地和国际环境法规，会使组织面临法律责任、罚款和制裁。这种不合规行为还会损害组织的形象和利益相关者的信任。 
• 供应链风险： 供应链中的第三方可能会通过不可持续的耕作、非法伐木和采矿等行为带来环境风险。这些做法会对全球环境可持续性产生深远影响。 
• 声誉受损： 与有不良环境记录的第三方合作会损害组织的声誉。包括客户和投资者在内的利益相关者可能会将组织视为有害环境行为的同谋。 

2010 年英国石油公司在墨西哥湾的漏油事件就是第三方行为造成污染的一个显著例子。英国石油公司将业务外包给越洋公司（Transocean）和哈利伯顿公司（Halliburton）等分包商，而这些分包商的失职造成了最严重的环境灾难之一。这次泄漏导致了大面积的水污染，海洋生物遭到毁灭性打击，海湾生态系统也受到了长期破坏。另一个例子是涉及大众汽车第三方供应商的排放丑闻。大众汽车利用第三方提供的软件在排放测试中作弊，使其车辆排放的污染物比标准高出 40 倍。这一 "柴油门 "丑闻造成了严重的环境破坏，并给大众汽车带来了巨大的法律和经济影响。这些事件凸显了对第三方运营进行严格审查和合规检查的必要性，以确保与环境目标和法规保持一致。 

社会风险 

社会风险也称为社会或社区风险，包括组织的行为对社会和当地社区的影响。其中可能包括劳工实践、侵犯人权行为以及对边缘群体的影响。第三方风险管理团队必须评估社会风险，以保护其组织免受法律、声誉和运营方面的干扰。 

• 劳动实践： 第三方可能会为降低成本而采用剥削性的劳动方式，如强迫劳动或雇佣童工。这会对合作组织的道德标准造成不良影响，并危及其与客户和利益相关者的关系。 
• 侵犯人权： 第三方运营可能导致或助长侵犯人权的行为，如歧视、不安全的工作条件和剥夺工人权利。这些侵权行为可能会导致法律后果，并损害组织的声誉。 
• 不遵守劳动法： 与不遵守劳动法的第三方合作会使组织面临法律责任和处罚。它还会损害组织作为负责任雇主的声誉。 
• 供应链风险： 第三方供应商可能会侵犯人权，例如从冲突地区采购材料或使用剥削性的工作条件。这会给合作组织带来巨大的声誉风险。 
• 声誉受损： 与从事社会风险活动的第三方结盟可能会损害组织的声誉，破坏其为实现负责任做法所做的努力。这会导致失去利益相关者（包括客户、投资者和员工）的信任。 

涉及第三方运营的侵犯人权行为的一个显著例子是雀巢产品的可可生产中使用童工。2015 年，雀巢因涉嫌在供应链中使用童工而面临诉讼。该公司未能及时处理这些指控，导致了巨大的声誉损失和法律后果。另一个例子是拉纳广场悲剧，孟加拉国一家制衣厂倒塌，导致 1100 多名工人丧生。该工厂为沃尔玛和 Primark 等公司生产服装，暴露了其第三方供应商不道德的劳动行为。这一事件揭示了负责任的采购和供应链管理对企业的重要性。 

治理风险 

治理风险又称公司治理风险，涉及一个组织为有效管理第三方关系而遵循的内部政策和程序。这些风险可能源于管理不善、监督不力和缺乏问责，从而导致经济损失、声誉受损和监管处罚。第三方风险管理团队必须确保管理实践的稳健性，以降低潜在风险，保障组织利益。 

• 缺乏尽职调查： 未能对第三方进行彻底的尽职调查，可能会导致与不符合组织标准或法规的实体建立伙伴关系。这可能导致经济损失和声誉受损。 
• 监督和监测薄弱： 对第三方活动监督不力可能导致不遵守合同条款、监管要求和道德标准。持续监督对于确保第三方遵守组织的管理政策至关重要。 
• 利益冲突： 与第三方的伙伴关系可能会造成利益冲突，从而损害决策过程，削弱利益相关者的信任。透明的治理做法对于识别和减少此类冲突十分必要。 
• 网络安全和数据隐私问题： 第三方关系可能带来与数据泄露和网络攻击有关的风险。实施严格的网络安全措施和数据隐私协议对保护敏感信息至关重要。 
• 声誉受损： 在管理第三方关系方面，不良的治理做法会导致声誉受损，影响组织的信誉和利益相关者的信任。确保强有力的治理框架是保持良好声誉的关键。 

治理风险的一个例子是富国银行的账户欺诈丑闻，在这起丑闻中，由于治理措施不当，员工为达到销售目标而创建了数百万个未经授权的账户。这一丑闻导致了重大的经济处罚、法律影响和富国银行声誉的损害。另一个例子是安然公司的倒闭，其原因是公司治理不善、缺乏透明度以及第三方审计师的不道德行为。这导致了历史上最大的企业破产之一，凸显了强有力的治理结构对防止此类失败的至关重要性。 

最终想法 

在当今相互关联的商业环境中，管理第三方风险对于维护组织的法律地位、声誉和运营效率至关重要。社会和治理风险是风险管理团队必须解决的两个主要问题。从不道德的劳动实践和侵犯人权行为到薄弱的治理框架和不充分的监督，这些风险如果管理不当，就会产生重大的负面影响。  

雀巢供应链中使用童工或富国银行和安然公司治理失误等备受瞩目的案例，都强调了尽职调查、严格监控和强有力的道德实践的必要性。各组织必须采取积极主动的态度，确保以最诚信和合规的方式管理其第三方关系。 

展望未来，在第三方风险管理计划中实施环境、社会和治理 (ESG) 标准正变得越来越重要。在下一篇博客中，我们将探讨将环境、社会和治理原则有效纳入贵组织的风险管理策略所需的步骤。敬请关注我们的博客，我们将为您提供可行的见解和最佳实践，以加强您的第三方风险管理框架。 

 

资料来源 

[1] https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2022/01/third-party-risk-management-outlook-2022.pdf 

[2] https://www.gartner.com/en/newsroom/press-releases/2023-02-21-gartner-survey-shows-third-party-risk-management-misses-are-hurting-ororganizations