第三方管理往往是企业合规管理中隐蔽性最高、管理难度最大的一个环节,而建立一套健全有效的第三方风险识别与管控体系是企业合规管理中的重中之重。
为探讨企业第三方风险管理中遇到的诸多问题,寻找有效管理路径,2019年11月,普华永道法务会计服务部在上海举办了以“第三方风险管理的困境与破局”为主题的圆桌论坛。多位来自全球知名医疗器械企业的资深合规、法务、内控、渠道管理人员共聚一堂,展开深度对话,分享了目前医疗器械企业第三方风险管理工作的最佳实践经验。
企业往往在生产、销售、运营等多个环节使用一系列第三方合作伙伴,以降低运营成本、借鉴专业经验,通过与第三方的合作实现自身所不能达到的商业深度与广度,力争覆盖更多的区域。就目前医疗器械市场而言,截至2017年,中国人口超过一百万的城市有102 个(美国只有10个),人口与医疗设施在地理位置上的广泛分布特征造成了中国医疗器械市场的碎片化现象。因此,为了发展中国市场,更好地实现企业销售目标,同时为终端客户提供更高效的服务,很多医疗器械企业确实存在使用大量第三方合作伙伴的业务需求。
然而,使用第三方的过程往往伴随着种种合规风险。第三方的不当行为可能导致企业承担难以预估的法律风险和名誉损失;近年来,通过支付第三方佣金、服务费等方式行贿的案例更是屡见不鲜。因此,对医疗器械企业而言,预防和发现第三方的合规风险较之增强企业自身的内部控制更具挑战性。普华永道“2018年全球经济犯罪问卷调查”结果显示,在企业最具有破坏性的欺诈案件中,40%的欺诈主体来自于企业外部,而企业外部的欺诈主体中,68%为公司的第三方合作伙伴。
统计记录显示,2019年美国司法部与美国证券交易委员会共公布了23宗以公司为处罚对象的海外反腐败法执法案例,其中有19宗案例涉及了第三方的不当行为, 6宗案例涉及在中国的腐败。这6宗案例涉及罚款金额高达4.5亿美元。上述案件中,涉及不当行为的第三方类型主要为代理商、经销商、咨询公司以及承包商等。
面临越发严峻的合规执法形势,参与论坛的医疗器械企业管理人员均表示,企业目前十分重视第三方的合规管理工作,企业正在或计划增加对第三方及其合规管理的资源投入,以降低未来企业违规的法律风险。根据我们法务会计服务的相关经验,典型的第三方风险管理流程往往如下图所示:
然而,与会嘉宾在讨论中指出,中国医疗器械企业的第三方风险管理工作依然普遍面临以下挑战:
很多医疗器械企业的第三方风险管理制度仍处于起步阶段,尚未形成覆盖第三方全生命周期的成熟管理体系;在第三方尽职调查、培训和审计等环节存在缺失,或是执行不到位的情况。
第三方风险管理制度缺乏一套标准流程。很多医疗器械企业尚未建立能够适应中国市场独特性的第三方合规风险评估体系,而是将其在别国的实践经验或其他类型企业的合规风险管理流程生搬硬套。例如,某些企业虽然执行了第三方审计流程,但是由于第三方的配合程度不一导致审计范围与程序受限,或由于缺乏明确的评价标准,导致审计结果不能有效转化为处置或改进措施,致使第三方审计流程囿于形式却不能有效地降低企业的合规风险。
部分医疗器械企业在第三方管理上的技术应用较为落后。例如,第三方信息管理系统的业务流程不清晰,功能模块不完整,且孤立于企业的业务系统,无法适应企业在第三方管理工作中对数据质量与处理效率的要求;风险评估与调查中的数据分析依然依赖于Excel等基础工具,分析模式单一,分析结果难以深入反映问题等。
部分医疗器械企业未能配备与其第三方业务规模相适应的合规管理团队,或者存在合规管理团队和业务部门界限不清晰、职责不明确的问题。由此导致合规管理团队在处理第三方合作伙伴的审核、培训等日常工作时已经应接不暇,难以形成良好的风险评估、风险预测、风险应对的风险管理闭环。
我们认为,医疗器械企业为了提升第三方风险管理的工作成效可以从以下方面入手:
贯穿第三方全生命周期的风险管理流程:企业合规管理流程应贯穿第三方选用、签约、持续管理、监控和合作终止的全生命周期,通过打通生命周期实现对第三方合规风险的全面评估和有效控制。同时,企业应当注意避免员工为了完成流程而浮于表面执行程序的形式主义。
基于自身风险与现状评估的第三方风险管理:企业需要深入分析自身所处的商业环境以及其与第三方之间的关系,避免生搬硬套所谓的“行业最佳实践”或是“权威合规管理框架”,着眼于制定一套因地制宜、因时制宜,同时又切实降低本企业合规风险的第三方风险管理流程。
由技术升级驱动的第三方风险管理:通过开发高效而易用的第三方信息管理系统,并与企业的业务系统联通,从而实现合规控制与公司的财务控制和业务活动管理相融合。针对公司与第三方日常业务产生的海量数据,运用最新的数据分析技术识别和分析合规风险;同时,运用RPA(Robotic Process Automation,即机器人流程自动化)、数据分析、自动抓取第三方公开信息等技术方式替代重复性工作,降低企业的合规管理成本。
多方合力的第三方风险管理:统筹并加强企业多部门之间的协作,提升竞争力,使其能够适应企业日益庞大的业务量和随之带来的合规风险。同时,加强企业与同行业其他企业以及外部合规服务专业机构之间的合作,将合规管理中的偶发性工作、需要特定技能或者专业设备的工作交由外部合规服务机构完成,从而使企业合规官可以有更多精力专注于合规体系的顶层设计与核心事务管理。另外,加强企业与第三方的交流,通过规范有效的沟通、培训与反馈环节,提升第三方自身合规管理能力,推进形成企业与第三方共同成长的良好势态。
来源:普华永道中国