畢馬威：第三方風險管理展望2020（24頁）.pdf

1、采用哪種模式開展風險評估活動，是企業應考慮的另一因素。企業可能會選擇采用分散模式，即由業務關系管理人員協調固有風險評估活動?；蛘?，企業也可指定由某中央團隊在其提供的信息的基礎上代表其統一執行固有風險評估。在這種模式中，該團隊可協助業務關系負責人克服因整合及技能不足引起的挑戰，并提高執行的一致性;這一點至關重要，因為固有風險信息是第三方風險管理項目分析的基礎。畢馬威新加坡合伙人Lem Chin Kok表示：“在許多情況下，供應商管理人員所需的培訓和監督，會使維持分散模式需要較高的總成本。因此，我們通常會看到這兩種模式的混用，但此時往往會更偏向于集中模式，即由某中央團隊統一執行風險評估活動，并向業

2、務關系管理人員提供反饋，由后者最終決定是否繼續與第三方供應商合作?！蓖ǔ?，企業會面臨存在須同時滿足的特定要求;例如，在當今環境下，跨國公司須確保滿足不斷增長的全球監管要求，并應對各地區要求之間的細微差異。因此，在持續更新項目以符合相關要求以及新的監管預期時(包括顧客及客戶數據隱私)，獲得合規及技術風險管理部的適當支持顯得尤為重要。此外，受訪者還關注第四方和重要分包商風險管理。例如，第三方使用云服務提供商來支持服務交付，即形成重大分包商關系。鑒于企業與其第四方之間不存在直接的合同關系，因此持續監控此類第四方實屬不易。對于第四方風險管理，企業一般會采用圖8所述的一種或多種措施。了解分包商在第三方服務交付中扮演的角色，包括第四方可以訪問的數據及其角色如何對業務連續性風險產生影響，對于全面了解企業所涉服務的風險概況至關重要。了解第三方是否已通過項目管理其第三方(即其所服務的企業的第四方)，是確定是否允許該第三方使用分包商的重要一步。