外包与第三方合规管理（一）--风险管理.docxVIP

《合规管理体系指南》关于外包的表述如下：组织应当确保外包活动的全过程处于有效控制与持续监控之下。组织将业务运营外包不得免除其法定责任或合规义务。若组织将任何业务活动外包，应当开展充分的尽职调查，以确保其合规标准与承诺不因外包行为而降低。同时，应建立对承包商的管理机制，确保合同条款的有效履行（包括但不限于第三方绩效评估等监督措施）。

当组织将其业务进行外包时，通常需向第三方支付费用以完成一项或多项任务。根据法律规定，组织在实施业务外包时，不得将自身的法律义务及合规责任转移给第三方。该情况在2008年全球金融危机之后及近年来尤为明显。

相较于内部管理类似风险的难度，组织在管理与供应商或服务提供方相关的合规风险时面临更为复杂的挑战。不同业务领域、行业成熟度、组织规模、运营模式、业务复杂程度以及供应商或服务提供方的风险偏好等因素，进一步加剧了该类风险的管理难度。

例如，相较于初创企业或小型企业，大型企业对其品牌及声誉具有更高的关注度，因此更倾向于承担并投入资源以管理合规风险。

特定行业，例如食品、医疗器材及金融服务领域，通常面临较为严格的监管规定，因此有必要采取额外的措施，以确保相关行业的供应商已符合相应的监管要求。

如果是在海外开展业务，那情况会更加复杂。

向列入禁售国家清单的国家销售产品可能构成重大法律风险（如中兴通讯有限公司所遭遇的情形），无论该产品系由您指定的供应商提供，抑或通过其他第三方渠道进行销售。

例如，当与欧盟国家客户开展商业合作时，涉及的隐私保护法律风险与合规要求。中国制造商需审慎选择当地售后服务服务提供商，以确保符合欧盟更严格的隐私保护监管要求。

相关方应充分了解法律及监管环境的必威体育精装版发展动态。当前备受关注的领域为反洗钱及反恐怖融资合规管理，将业务外包给与该领域相关的第三方服务提供商可能使组织面临潜在合规风险。

与聘用供货商、服务提供商或其他第三方相关的潜在风险主要包括：贿赂行为、欺诈活动、利益冲突、垄断行为，以及涉及监管合规、产品质量、环境与安全标准、数据安全保护及劳动关系管理等方面的法律风险。

组织内部人员可能构成最显著的风险来源，其风险实质源于组织员工。即便组织已建立完善的内控体系，若授权负责运营、监督及管理该系统的员工及管理人员未严格遵守相关规定和要求，其设计的风险监控机制将无法发挥预期效果。

《指南》明确指出：组织应当评估与第三方相关流程的合规性风险，包括产品与服务的供应、产品经销等环节，并实施必要的控制措施，例如在合同条款中明确规定的合规义务。

第三方包括分销商、转售商、零售商，还包括代理及其他形式的第三方。

在雇佣供货商、服务提供商及其他第三方（以下简称第三方）之前，组织应首先对第三方进行背景调查，通过收集并核实组织可获取的有关第三方的全部信息，对其开展风险评估，确定其风险等级（包括高风险、中等风险或低风险），并仅与符合组织要求或愿意满足组织要求的第三方建立业务关系。

当决定聘用第三方时，组织应当采取必要措施，对与第三方风险评估等级相一致且已识别的显著风险进行系统性管理。该等措施应包括在聘用协议或其他相关文件中明确约定合规性条款及违约责任条款，并应将其纳入日常运营及风险监控机制中进行持续性管控。

组织应当维持一个经批准聘用的第三方名单，仅限于名单内的第三方进行聘用。未经审批，不得聘用名单之外的任何第三方。

重要的是对第三方的合规表现进行审查，审查频次应根据所确定的第三方风险等级进行相应调整。对于高风险等级的第三方，应增加审查频次；对于低风险等级的第三方，审查频次应设定为最低水平。

组织应与所聘用的第三方建立定期的合规沟通机制，特别是在双方合规管理部门、运营部门及高级管理层之间保持有效沟通。此类沟通应涵盖以下内容：通报组织必威体育精装版政策及运营流程要求；评估第三方自上次会议以来的合规状况；披露存在的问题；明确整改方案及解决相关问题的行动计划；在必要情况下，就第三方违规行为实施处罚措施。

组织有权委托第三方实施合规培训，并应要求第三方确保其工作人员在执行组织工作任务时明确传达相关合规要求。

组织应积极推广其举报热线，承诺在接到举报后采取相应的跟进措施，并明确零容忍政策以杜绝任何形式的报复行为。此类措施与组织针对第三方不当行为的其他治理机制相结合，将有效实现以下目标：第三方不仅应履行约定的义务，且应按照聘用协议的相关规定，以符合组织期望的方式妥善完成各项职责。