聚焦於前方攀升的道路：第三方治理與風險管理

企業生態圈(Business Ecosystem)是企業的新形態，它使一個組織的實體與非實體界線延伸至第三方，甚至是更外層的其他企業體，也使得企業與第三方組織共同創造與分享價值成為掌握競爭優勢的關鍵策略之一。現今，處於領導地位的企業均紛紛投資於延伸性企業風險管理(Extended Enterprise Risk Management，簡稱EERM)，並採用有效的風險管理工具 – 「風險智能」(Risk Intelligent)，積極控制有關品牌與聲譽之風險，強化成長及創新的力道，以提升企業之整體表現，特別是對於某些需面臨第三方組織之不法行為或懲罰性罰款違法行為的企業而言，延伸性企業風險管理之重要性將更為顯著。

Deloitte全球於2018年所發布之「延伸性企業風險管理(EERM)全球調查」反映了來自美洲、歐洲中東與非洲區、亞太地區15個國家各類產業之企業組織內資深領導者的觀點。此項調查之受訪者大多負責組織之延伸性企業治理與風險管理，包括財務長、採購或廠商管理長、風管長、內部稽核長，以及其他領導法律遵循與資訊科技風險的管理者。今年度的受訪者將近千人，比起去年度之調查參與人數，幾乎增加了兩倍；且從今年度參與者的調查記錄可以得知，EERM在企業組織中之地位以及投資之資源，遠比以往都增強許多。然而此調查亦發現也反映出企業開始意識到：執行有效的EERM計畫，確實具有其複雜度與挑戰性。

今年度之「延伸性企業風險管理(EERM)全球調查」列出了各企業組織目前針對EERM聚焦之六大關鍵項目：

一、固有風險與成熟度

約有七成的受訪者相信EERM的固有風險，在某種程度上提高許多，然而，組織自我評估之整體EERM之成熟度，卻仍以緩慢的速度在進步。

• 有42%的受訪者回應，組織對第三方的倚賴程度有「些許」的增加，而11%的受訪者則表示有「顯著」的增加。

• 有55%的受訪者認知到延伸性企業風險的固有風險有「些許」的增加，而11%的受訪者則表示有「顯著」的增加。

• 固有風險增加之首要因素為法規變動所帶來的影響(49%)，而次要因素則為更嚴格的法規審查(45%)。

值得一提的是，某些受訪者，特別是來自北美地區且為金融服務與能源資源產業者，在2018調查時降低了它們先前對於EERM成熟度之自我評估結果，這似乎反映了這些企業對於管理現況有更了深層的認知，也顯示了他們對於與第三方組織相關的議題有了更完整的了解。值得我們留意的是，隨著更新的優良典範(Better Practice)不斷出現，組織管理的標竿也不斷在往前推進著，那些仍駐足原點的企業組織在成熟度曲線上的位置，實質上卻反而退後了。

53%的受訪者認為，所處現況要達成EERM成熟度的理想狀態，大約需要兩到三年的時間，或甚至更久，這相較於往年的調查結果，受訪者樂觀認為六個月至一年的時間可以達成，可以發現企業現在對於EERM之困難度認知已越趨實際。

二、商業個案與投資

從調查中發現，企業為了發展EERM到理想的成熟度，平均每年約需投資五十萬至一百五十萬美金於全職員工或是攸關的專案。在大多數具有整合性或最佳化EERM的企業中，中央化營運的成本平均約達三百萬美金，且需約五十位全職員工負責此管理工作。另外，當企業擁有超過五萬個第三方組織，甚至需投入高達五百萬美金的中央營運成本，以及約一百位全職員工投入管理；即便是涉及第三方組織較少但卻想積極提升EERM成熟度的企業，多數也需每年投資約十萬至五十萬美金。根據2018年之調查顯示：

• 有48%的受訪者認為降低成本是投資於EERM的主要目的，因為他們認為，藉由運用第三方組織或避免支付不必要的款項能為組織帶來效率。
• 有26%的受訪者認為藉由做好EERM，他們可以獲取更大程度的彈性來適應市場的不確定性；而21%的受訪者則認為投資於EERM能帶來創造營收的機會，例如，發現某些被不實短報的營業收入。

三、集中化（Centralized）控管

2018年的研究調查結果顯示，有愈來愈多的組織漸開始採行較集中化的監督方式，舉凡像工作職責或組織架構或甚至是科技的運用。如：Centers of Excellence (CoEs)或共享服務模式(無論是完全由內部團隊來營運或是與外包服務供應商有部分合作)。僅有４%的組織使用外部建置，將EERM完全置於外包管理服務的環境中。

• 目前有55%的組織使用相對較分散化的管理方式(相較於去年的62%，已經有所下降)，此項結果顯示，目前組織已開始從分散化的管理模式朝集中化管理模式邁進。
• 另外，有44%的受訪者表示已投資於組織內的集中化CoE，而30%則使用委外服務機構。

四、科技平台

在2018年的調查中Deloitte全球提出一參考趨勢：三層科技架構(Three-tiered Technology Architecture)會快速形成組織管理延伸性企業風險的普遍設置，此科技架構包含(1) ERP系統與其他採購使用之骨幹應用程式(Backbone Applications)；(2)通用之GRC軟體，或有針對EERM客製化過的風險管理套裝軟體，以及(3)專門為EERM流程設計或專門用於特定風險領域之其他套裝軟體。此三層科技架構含括新興科技的應用，以人們平常使用的語言(natural language)處理資料，以及機器學習(machine learning)來蒐集並分析來源多樣化的資料(包含網際網路的資源)，且在沒有人工密集監督或協助處理的情況下，其分析的準確度已超越過去所能想像的程度。調查結果與此趨勢相符，在質量調查中受訪者指出，組織已不再熱衷於建構複雜的EERM客製系統；相較於去年20%的受訪者仍使用客製化系統，今年之比例已大幅下降至10%。

能為企業帶來敏捷式營運的雲端科技則是現在最受歡迎的新興科技平台，而將EERM相關之例行公事進行自動化處理的機器人流程自動化(Robotic Process Automation, RPA)則名列第二。調查發現，有46%的受訪者正計畫要使用標準雲端科技來管理延伸性企業風險，且有31%考慮採用RPA處理EERM相關之例行公事，甚至推行於全公司。

五、分包商風險

組織雖然持續投資並更新EERM的管理焦點，但這些受訪組織卻缺乏對於第三方所雇用分包商之適當了解，這樣的限制使得組織難以訂定策略來管理分包商，並執行適當的約束機制。近年的法規如英國的反奴役法(Modern Slavery Act)與歐洲的一般資料保護規則(GDPR)，皆要求組織必須管理其第四或第五方組織，使得分包商管理開始成為令人注目的議題。其他國際法規組織如美國聯邦儲備委員會、美國財政部貨幣監理署以及香港金融管理局等，也都提出了組織應深入了解這塊領域的需求。

Deloitte的研究調查顯示，57%的受訪者認為他們的組織並沒有對其第三方所雇用之分包商有適當且足夠的認識，顯示分包商應有之能見度過低。21%的受訪者則表示他們並不確定組織對於分包商了解的程度。僅有2%的受訪組織表示他們會定期追蹤並監控分包商(第四或第五方組織)，10%則僅針對公司攸關重要的分包商進行追蹤與監控。

六、組織的勢在必行與責任

論及EERM之責任所在，通常會建議應歸責於組織的最高管理階層。調查結果中有78%的受訪者提出EERM之最終負責人應是執行長、財務長、採購長、風管長，或是董事會成員。33%的受訪者則認為執行長與財務長為EERM的負責人。然而有相當比例的受訪者認為，高階主管(C-Suite)對於EERM計畫的了解與參與度，仍有進步的空間。

在某些案例中，有少部分的組織在董事會或執行長之監督下，將EERM的最終責任從採購長、供應商管理主管轉移到風險長和財務長的職責中。從調查回覆中，組織中由採購長管擔任EERM負責人的比例，已從去年17%下降至13%；同時，這份責任由財務長與風管長承擔的比例也分別提升3%。

另一方面，Deloitte的調查結果也顯示，有38%的董事會成員以及39%的風險控管主導單位，對於EERM計畫僅有些微程度的參與。另一方面，也僅有22%的受訪組織之董事會會整合組織策略與風險趨避程度針對EERM進行季度或半年度審核，大多數的組織(78%)則僅針對EERM進行年度審核或更少次數的定期審核。

總結以上研究調查之分析，我們相信，企業組織於過去幾年內針對EERM之投資將會在2018年或2019年得到報酬。如同各受訪組織所認同的，大約兩至三年時間的努力，將使組織的EERM邁向整合及成熟。另外，科技的運用將會持續成為提升管理效率的重要角色，然而這並不代表組織需要大費周章建設內部專用之科技設備，取而代之的，應該是更有效地運用市面上所提供之科技平台服務。最後，組織對於EERM之重視程度提升，也可能帶來市場對於EERM之人才需求。我們期望，即使是以緩慢的速度在改變，企業組織仍能逐漸提升投資意願，以致力於第三方治理與風險管理，善用延伸性企業來強化公司競爭力，並做出有利之企業差異化，一同聚焦於前方邁向攀升的道路。