強化企業全方位戰略 - 延伸性企業風險管理

• 一間供應商的廠房倒塌而導致數百名員工死亡，其中甚至包含了童工
• 因授權第三方組織存取內部網絡而導致數千客戶之信用卡資訊及個人資料遭駭
• 供應商使用受污染的材料而導致企業主要產品需公告召回
• 一紙環保限污令，某生產重鎮全部強制停工
• 外包的行銷公司，在有獎問卷中不慎觸及敏感的國籍議題

過去，針對供應商風險，幾乎僅著重在供應商之產品品質、交貨數量或交期，因為一旦供應商未能如期交貨，企業即可能須承擔中斷生產所致損失。

今日，在美國海外反貪腐法(Foreign Corrupt Practices Act，簡稱FCPA)、英國反賄賂法(UK Bribery Act)或其他各國類似之法規之下，企業的可信度受其供應商行為之影響與日俱增。客戶已漸漸不再區分企業與其供應商行為，客戶將企業視為最終之服務 / 產品提供者，一旦服務 / 產品發生問題時，不但企業之聲譽受損，併同而來的，客戶也會要求企業負起責任。

有鑑於此，現今的企業更應該將風險的掌握範圍擴及第三方組織，或稱延伸性企業(Extended Enterprise，見圖1)，並涵蓋這些延伸性企業之企業健康度、環境安全管理、勞動法規遵循及智慧財產權使用、原物料採購實務或反貪腐規範等更多未述及之面向。

充分了解企業與延伸性企業的關係及相關風險，成為董事會與企業需面對的最大挑戰之一

也因為上述原因，延伸性企業風險管理(Extended Enterprise Risk Management，簡稱EERM)漸漸成為董事會關注的議題之一。根據Deloitte全球對於170家企業進行之調查，有87%的受訪者表示企業在過去兩至三年中曾經發生與第三方組織有關的負面事件。另外調查結果也顯示，藉由提高延伸性企業風險管理之權責層級至董事會及高階主管(C-Suite)，以更佳連結風險與策略、最終極大化企業生態圈(Business Ecosystem)優勢的概念，在企業的接受度日漸提升。

何謂延伸性企業

充分了解企業所有的第三方組織及其相關風險，儼然已成為為董事會與企業所面對的最大挑戰之一。

舉例來說，鮮少有大型企業能清楚地描繪出企業本身與上千個第三方組織間之關係。企業生態圈通常涵蓋了第二層及第三層之延伸組織，然而大多數企業對於第三層延伸組織之行為並可見度。即使如此，這些第三層延伸組織之行為仍可能對企業及其聲譽產生影響。此外，企業也可能忽視了位於其他地域、國家之第三方組織，或發現實務運作面因為異地商業慣例及文化規範之差異而更具挑戰性。

董事會應確保企業清楚地定義第三方組織及其行為係如何、及在何等範圍上影響企業運行，並造成企業的潛在曝險。據此，企業應建置一個全面性企業關係圖，涵蓋所有的第三方組織與對應的風險，針對應給予高度關注的區塊，企業亦可考慮與第三方組織發展更多元化的關係。

管理延伸性企業風險

企業需要知道延伸性企業會為其帶來何種風險、並成為企業之弱點。董事會應要求管理階層將延伸性企業風險納入公司整體風險評估，且確認公司設有適當的通報管道能通報至董事會及高階主管，使管理及處理延伸性企業帶來地問題及危機之方式能貼近並鞏固企業之價值鏈。舉例而言，保險之涵蓋範圍與涵蓋率應評估是否延伸至第三方組織，以避免其帶來的損失。

雖然現行的供應商風險評估的廣度已經更勝以往，但大部分企業就延伸性企業風險的管理上仍有進化的空間。舉例來說，部分企業係透過合約管理方法來因應第三方風險，相信簽約前執行盡職調查(Due Diligence)能有效消除與第三方組織持續互動所帶來的風險。因此，這些企業通常在簽約之後不再執行風險評估，僅在發現問題時或發生災害後才研擬應對措施。

亦有部份企業是以建立首選供應商清單作為管理方式。然而，卻鮮少企業會針對這些第三方組織給予風險評等，亦即評估且監控各供應商營運品質，進而釐清哪些組織需要較密切的管理或哪些組織需降級列為拒絕往來戶。

為了能採取主動方式管理延伸性企業，企業應辨認及設定，並要求第三方組織達成實務各面向之標準與期望目標。企業也應在與第三方組織簽訂的合約中將可執行驗證、測試第三方是否合乎規範之條款納入。舉例來說，可要求第三方組織每年提交聲明，聲明組織恪守企業之核心價值；或企業保有派員到第三方組織驗證查核的權利。除此，建議企業也應於合約中明示，若查核驗證之結果揭露不合規之事實，將影響評等，甚至終止合約。

儘管多數企業係設計一套標準並直接推行至所有第三方組織，但更適當的作法建議是因地制宜，亦即企業所設置之標準應對於當地法規、商業慣例、道德標準做在地化調整。保持企業與延伸性企業良好的雙向溝通，將會是企業將其企業價值與標準推廣至所有延伸性企業個體的最佳實踐方式。