議題觀點

企業生態圈來襲!企業已經做好因應對策了嗎?

勤業眾信風險管理諮詢 (股) 公司 / 吳志洋執行副總經理、薛如倩副總經理

Ecosystem這名詞您一定不陌生?說到企業的生態圈是什麼,大家第一個直覺的印象是什麼呢?我想95%的人馬上就聯想到供應商或外包廠商。事實不然,所謂的企業的生態圈是指所有與企業有互動的stakeholder,也就是各種商業活動(All types of transactions)的起始到交易的結束,所有接觸到的對象均屬之。

您想過企業的生態圈,除了有商業活動往來的第三方之外,第三方的背後,還可能延伸出第四、五方嗎?例如:大包商再延伸出的分包商或小包商、與某廠商的合作案可能還有其他的協力廠商嗎?或許我們稱之為廣義的第三方,或者是延伸性企業,會更容易來理解些。

瞭解了第三方這個觀念之後,若接踵而來的下一個問題是「誰能說出貴公司有幾家第三方企業?」我記得在諸多研討會的會場,所有與會的主管在這個問題拋出之後都是語塞的。這反映出,當今企業對於第三方的掌控度可能是不高的。

第三方風險評估,從「盤點第三方」開始 

猶記得在一個採購循環流程的內部流程健檢案中,我們發現公司的新供應商評選流程以及供應商年度評鑑僅就工程承包商作評估,工程承包商的分包、轉包商完全沒有在評估考量內。我們發現公司管理階層對於工程承包商的分包、轉包商之名稱與施工項目,完全提不出清冊,就更不必說這些分包、轉包商是否被納入需簽署廉潔條款或行為準則的範圍了。雖然傳統派管理階層會透過在工程承包合約上的條款明白列示「承包商要負完全責任」的手法來針對風險做控制。但我們必須說,這比較是從法律角度來思維的,因為在該公司諸多工程承包案中因分包或下包商在施工中所帶來層出不窮的問題,遑論賠償金額是否能轉嫁給承包商,已經賠上的公司信譽可是無處求償呀!

魔鬼藏在細節裡 

有一個實務上評估對象篩選的迷思,也就是從交易金額大小去做篩選的方式,在此也值得一提。在2014年美國大型零售商塔吉特公司(Target)發生了超過一億筆客戶數據被盜的新聞,其信息洩露發生原因是駭客從一間幫塔吉特維修冷氣的包商去侵入了塔吉特的數據連接器,再進入了塔吉特支付平台。據悉,這家冷氣維修包商一年與塔吉特的交易金額小於十萬元美金,以交易金額的重大性而言大概是小於百分之一吧,所以,塔吉特在事發前完全沒有想過這家冷氣維修包商將帶來資訊安全的大風暴,也不曾對這家能連結到塔吉特數據連接器的冷氣維修商做過任何的風險監測、風險評估。

掌握「第三方與風險矩陣圖」再來談第三方風險管理 

風險評估,是近年來廣被接受的觀念,相信管理階層均不陌生,然而大家針對企業的第三方做過哪些風險評估?究竟是否有過於集中、地緣政治、勞工人權、軟體侵權……等風險呢?傳統思維的風險,是從採購、銷售等各循環切入去看供應商的,然新的管理型態,應該是能做到因應不同風險型態,去篩選出哪些第三方與該風險攸關。當然,這些第三方,可能跨越各作業流程的。舉例,當我們談到過於集中風險,涵蓋範圍有可能從原料供應商(採購循環)、客戶(銷售循環)到專業性服務提供(採購循環)等等。管理階層需要的是一個全貌,從風險切入,囊括各個面向的第三方,分別散佈在哪些不同的作業流程,以及趨避的風險的規劃為何。因應方式可能包羅萬象,有可能會需要建置合約系統,知悉哪些合約有異於公司標準的商業條款、有保密義務、有鉅額賠償或賠償無上限的天條、有接受定期查核義務;有可能公司需要成立專案小組定期針對第三方做問卷調查、執行第三方查核、幫第三方做定期教育訓練;有可能公司需要有系統提醒機制以按時提交某些聲明書或報表給廠商……等等。

第三方風險是哪個權責單位的管轄範圍? 

第三方風險已經逐漸跳升為董事會或高階管理階層的關心議題,然而並不是所有企業都有編制風險長的角色。因而實務的運作上,越來越多的企業開始透過集中化的方式來監理第三方風險,因為越來越多的企業發現採購管理供應商、資訊部門管理軟體風險、工廠管理環安衛風險的分散式管理,不但提高了管理成本,還引發了第三方的不滿,因為第三方總是會收到公司方在不同議題上有不同的部處人員在與他們溝通。例如:不同月份可能要簽屬、用印不同文件、散落在不同月份的不同議題的實地查核。在各種公司治理議題逐漸被重視的潮流下,第三方的不滿心聲已經逐漸升高為「夠了沒?能不能一次講清楚到底有哪些事情?」上述心聲,其實是企業能夠透過統整規劃,能幫第三方避免掉的。

 

預測第三方風險,並非遙不可及 

使用能幫助企業的衍伸性企業風險管理系統何其重要!您用什麼系統在做第三方的風險管理?從Deloitte & Touche 2019的全球第三方管理問卷,我們發現接近六成的回覆竟用ERP系統、用專門管理第三方風險平台的企業僅占不到二成。詭譎的是,在實際的研討會中詢問與會人員,大家都紛紛表示知道用ERP並無法能滿足第三方風險管理的需求,但令我們驚訝的是,大家竟然在知悉第三方風險逐漸升高的狀態下,還繼續用支援度不夠高的系統在管理風險。好的第三方風險管理系統,現在已經能夠做到整合Data Intelligence的程度,如:Information Security、Finance Health、Financial Crime、Ethics、CSR資訊等等了。透過這些Data Intelligence的運用,企業已經能透過Dashboard或系統的警示功能快速地瀏覽或收到通知,在第一時刻掌控住企業的第三方風險了。

是否找到您要的資訊?