2.企业要确保关键供应商能够满足企业的业务与合规需求。3.对于不同风险级别的供应商要采取不同深度的尽职调查工作,切忌“一刀切”。5.企业可以使用ISO发布的《合规管理体系框架指南》作为基点。7.利用外部资源获取的客观数据对供应商的尽职调查工作进行校准。8.牢记尽职调查的目标:确保风险尽可能的远离企业业务。当前,把供应商的尽调工作外包已经是大型企业的普遍做法,受托企业需要对供应商进行尽职调查,以确保委托方不被供应商的违规风险所牵连,同时确保委托方企业筛选出更高质量的合作供应商。它是指企业在与供应商的服务和/或产品合作之前,在遵守法律的要求下对供应商进行调查的过程。这就像在签署抵押贷款之前贷款企业对房屋进行的检查。企业有义务确保其引进的任何供应商符合企业的经营管理与合规管理标准。2、 贿赂与腐败风险
3、 境外业务的风险
4、 被监管罚款风险
5、 人员流动风险
6、 客户满意度低的风险
7、 错过机会的风险
8、 品牌声誉受损风险
9、 产品故障风险
10、经济损失风险
11、 企业倒闭风险
……
#02
虽然尽职调查是一个持续的过程,但它可以分三个阶段进行:签订合同前、签订合同后、受某事件的驱动。
![]()
通常,在与供应商签署合作合同前,企业需要对供应商的基本情况进行了解,以保证该供应商没有潜在的风险。在签订合同后,对于供应商要进行时时的监督,一旦发现“异常”的信号,就要再次启动针对该信号的尽职调查工作。在企业经营中可能遇到某些重大事件,比如经营模式的调整、受到外部监管机构的调查等等,一旦遇到此类事件,企业有必要对相应的供应商采取及时的尽职调查工作。#03
尽管尽职调查的目的是将风险扼杀在萌芽中,但尽职调查本身也存在着挑战。1、可能发生无法收集足够的信息用来准确地审查某个被调查对象的情况。
2、可能存在尽调设计模板不充分、未及时更新的情况。
3、可能错过最佳的尽调时间。如尽调的最佳时间是在签订/续签合同前,在此时间段被调查方通常都会积极配合尽职调查工作。4、供应商填写问卷的完整性可能会影响到对其风险评估的准确性。5、若需要评估的供应商数量较多,可能将导致审查人员工作延误,也可能会导致企业在没有获取完整尽调报告的情况下与不恰当的供应商签约。6、若过于依赖审查人员的主观判断可能导致对于尽职调查风险判断的标准不统一。
企业需要找到适合当下业务需求的恰当的尽调行为。同时,对于风险级别不同的供应商其所面临的尽调工作的详细程度也是有差异的。与风险较低、较少交换企业资源的供应商相比,企业会对风险更高的供应商进行更为深入的尽职调查工作。比如,在某企业对供应商进行风险判断的问题列表中,有一道问题是:供应商是否可以访问本企业内部的信息平台?如果回答是“是”,则企业需要供应商提供一份关于其自身的信息安全合规管理的方案及执行情况,以供相关审查人判断供应商是否有保全企业信息安全的能力。企业必须用正确的问题及依据问题的回答或相关支持性文件来评估每个可能危及到企业自身风险的供应商,以防止出现潜在的漏洞。如果分发“一刀切式”的调查问卷,对每家第三方供应商都询问相同的问题,则可能会出现过度评估低风险供应商和未充分评估高风险供应商的问题。所以,当公司确定调查问卷范围时,需要根据供应商的不同风险级别来设定相关问题。确定尽调问题时应考虑的关键要素有:业务的连续性、合规性、网络安全、金融安全、第四方责任、公司地理位置、信息安全(措施)、适用法律、物理安全性等;公司章程
营业执照
公司结构
所有权信息
执行/董事会成员信息
服务交付地点
财务申报文件/年度报告
税务文件
资产与负债
ESG记录
审计报告/管理声明
事件历史记录
业务连续性/弹性计划
发生严重问题后的恢复计划
渗透率测试
培训
政策和程序
信息安全(措施)
客户支持程度
隐私条款
数据存储
雇佣/终止
其他特殊问题
随着业务和市场的变化,尽职调查的内容应当在整个供应商的生命周期中随着环境的变化而变化。在调整调查内容的同时可以使公司尽职调查的焦点集中在不同的目标上。以下是在签订合同前后的尽职调查阶段需要问询的常见问题,以及需要关注的风险领域:(2)该产品/服务的性质是什么?(所有供应商/服务/地点/设施并不相同)
(1)在实施了适当的控制后,相关联的风险得分是多少?
(2)供应商的固有/剩余风险等级是什么--高、中或低?
(3)自上次评估以来,供应商的风险水平是否有任何变化?
审查人员可以使用基本的尽职调查问卷作为基础卷,其好处是可以加快审批流程,统一评估供应商,减少现场评估工作的需要,并将签订合同前后的基本风险排除。虽然企业可以使用行业标准的调查问卷作为基点,但一定要根据企业的特定业务需求对尽调问卷进行个性化设置,以下是进行尽职调查的一些小提示:大而全的问卷等于无效提问
构建适用于不同框架、法规和标准的问题集库
使用针对不同行业的标准调查问卷
在标准问卷中插入其他关键问题
基于诸如服务类型、固有风险和设施位置等因素设置问卷的逻辑关系
其他考虑因素
❖请勿将尽调评估结果告诉供应商以免其通过更改答案来降低对其风险评估的打分 ❖尽可能将问卷设置为定量问卷,以确保分析师评审的一致性/客观性。 ❖必要时请供应商提供针对与评审内容相关的参考的文件
服务类型
服务地点
合同金额
无论服务内容和范围如何变化,都需要考虑到每个风险级别的供应商与企业的“连接度”,尽力将基本评级系统“格式化”。这有助于公司清楚地了解所有供应商的整体风险,以及对企业本身的影响。基于供应商固有风险的尽职调查有助于公司根据优先级监控这些事件,例如访问级别或风险临界程度等等。低风险供应商需要被监控的范围要少于中、高或关键风险供应商。每个供应商收到的新一期的尽调问卷是基于其前一次固有风险评估后的风险级别;此外,固有风险可以决定公司对供应商进行尽职调查评估的频率,低风险供应商的评估频率应低于高风险供应商。一般来说,作为审查人员获取完整的供应商相关信息是有一定困难的。审查人员不应该全盘接受在尽职调查中从供应商处获得的数据,要始终抱有怀疑态度,更要进行二次或多次确认。同时,因为语言的局限性,对于相关问卷的问题供应商可能会预判出企业期望的答案,并非完全客观作答。所以,审查人员可以采用通过自有的或者外部专业机构的供应商信息分析系统来对关键信息进行确认。下面是几种可靠的信息来源,可以从第三方获取相关信息:工商信息数据
公开的财务数据
信用中国
ESG评估
社交媒体互动平台
正规的媒体信息渠道
#06
当企业设计并完成了对供应商尽职调查的基本流程并不是工作的结束,更要保证对于该流程的时时监督以及持续改进,比如:参考文章:ProcessUnity——PROCESSUNITY WHITE PAPER
声明:本文内容转载自公众号:合规官,转载只为行业交流,我们非常尊重原作者版权,如涉及版权问题,请联系本公众号小编,谢谢!
