Образец ходатайство о привлечении третьего лица: Заявление о привлечении третьего лица в гражданском деле

Содержание

Заявление о привлечении третьего лица в гражданском деле

Подать заявление о привлечении третьего лица по гражданскому делу в суд можно в любое время до окончания рассмотрения дела по существу. То есть вынесения решения по делу. Такой документ может подать истец, ответчик, само третье лицо. При этом истец может указать третьих лиц изначально в тексте искового заявления при подаче иска в суд, тогда отдельного ходатайства подавать по ним не нужно. И суд, как правило, привлекает этих лиц в дело без установления причин. Потом, при рассмотрении дела этих лиц суд может исключить из состава третьих лиц.

Есть 2 вида третьих лиц — заявляющие самостоятельные требования (по сути они являются истцами) и не заявляющие (могут быть на стороне истца или на стороне ответчика). Указывать о том, на чьей стороне будет выступать третье лицо в тексте ходатайства не обязательно. 

Для признания третьим лицом с самостоятельными требованиями подается:

Заявление о признании 3 лицом

При удовлетворении заявленного ходатайства суд вынесет определение о привлечении третьих лиц в дело. В этом случае судебное заседание откладывается. Рассмотрение дела начинается сначала. Но не привлечь третьи лица в процесс — весьма рискованно. Ведь при обжаловании решения есть шанс его отмены. А значит, процесс защиты права существенно затянется.

Определение суда о привлечении третьих лиц самостоятельному обжалованию не подлежит. После привлечения третьего лица суд возлагает на истца обязанность направить копию искового заявления и приложений к нему в адрес третьего лица. А также назначает судебное заседание, на которое в обязательном порядке повесткой будет приглашено такое лицо, суд предложит представить отзыв на иск со своей позицией по существу рассматриваемого спора.

Образец заявления о привлечении третьего лица

Образец заявления (ходатайства) о привлечении третьих лиц к участию в деле с учетом последних изменений законодательства.

 

В _________________________
(наименование суда)

Истец: _____________________
(ФИО полностью, адрес)

Ответчик: ______________

(ФИО полностью, адрес местожительства,

если известны: дата и место рождения, место работы,

идентификатор (один из) — ИНН, СНИЛС, серия и номер паспорта,

водительского удостоверения, СР на транспортное средство,

для организации — наименование, юр. и почтовый адрес, ИНН, ОГРН)

Заявитель (когда третье лицо само подает заявление):

________________________

(ФИО полностью, адрес местожительства, телефон, e-mail,

для организации — полное наименование, юр. и почтовый адрес,

ИНН, ОГРН, контактный телефон, e-mail)

в рамках гражданского дела № ____________

Заявление о привлечении третьего лица к участию в деле

В производстве ___________________ (наименование суда) находится гражданское дело № _________ по иску __________ (ФИО истца) к __________ (ФИО или наименование ответчика) о _________ (указать, о чем иск). В ходе подготовки к рассмотрению дела выяснилось, что итоговый судебный акт по делу может повлиять на права и законные интересы третьего лица _________ (ФИО или наименование третьего лица, адрес). А именно: ________________(указать, как результаты рассмотрения спора окажут влияние на права третьих лиц).

В соответствии со статьей 43 Гражданского процессуального кодекса РФ, третьи лица, не заявляющие самостоятельных требований относительно предмета спора, могут вступить в дело на стороне истца или ответчика до принятия судом первой инстанции судебного постановления по делу, если оно может повлиять на их права или обязанности по отношению к одной из сторон. Они могут быть привлечены к участию в деле также по ходатайству лиц, участвующих в деле, или по инициативе суда. При вступлении в процесс третьего лица, не заявляющего самостоятельных требований относительно предмета спора, рассмотрение дела в суде производится с самого начала.

На основании изложенного, руководствуясь статьей 43 Гражданского процессуального кодекса РФ,

Прошу:

  1. Привлечь в качестве третьего лица, не заявляющего самостоятельных требований,  ___________ (ФИО или наименование третьего лица полностью, адрес).

Дата подачи заявления: «___»_________ ____ г.                             Подпись _______


Скачать образец заявления:

  Заявление о привлечении третьего лица

Ходатайство о привлечении третьего лица в гражданском процессе

Гражданский процесс традиционно воспринимается как спор между двумя участниками. Однако нередко дело оказывается достаточно сложным и требует привлечения лиц, которые и не предъявляют собственных претензий, и не являются ответчиками. Чтобы суд признал их участие в производстве возможным, требуется составить ходатайство о привлечении третьего лица в гражданском процессе.

Файлы в .DOC:Бланк ходатайства о привлечении третьего лица в гражданском процессеОбразец ходатайства о привлечении третьего лица в гражданском процессе

Для чего привлекают третью сторону

Интересы участников, которые могут быть привлечены к рассмотрению дела, не всегда совпадают с интересами истца и ответчика. Многие из них вообще не имеют собственной позиции по делу. Поэтому и именуют их «третьей стороной». Отличительные черты этой группы участников выглядят так:

  • не выступают в роли инициатора дела;
  • имеют правоотношения только с одной из участвующих сторон;
  • судебное решение окажет влияние в определенной степени на интересы и права этой стороны.

Самая распространенная причина, по которой участники процесса привлекают к делу третьих лиц, заключается в попытке обрести новые аргументы в ведущемся споре. Другой вариант — попытка избежать возможных регрессивных требований и к ним.

Кроме того, нельзя не учитывать гражданскую позицию, при которой человек стремится оказать содействие суду. Его участие может привнести в рассматриваемое дело прозрачность, дополнить имеющиеся доказательства. Стоит отметить, что в ряде случаев привлечение новых участников процесса позволяет избежать открытия нового дела.

Права третьих лиц, заявляющих собственные требования, описаны в ст. 42 ГПК РФ. Не заявляющих — в ст. 43 ГПК РФ.

Особенности участия третьей стороны в деле

В зависимости от позиции третьей стороны, выделяются несколько вариантов изменения процесса судопроизводства после привлечения нового лица к делу.

Распространенный в практике вариант — привлечение нового участника дела по инициативе истца или ответчика. В этом случае новые лица традиционно собственных требований не предъявляют, разделяя интересы уже привлеченных субъектов.

Согласно ГПК, привлечь их к процессу можно вплоть до принятия решения по делу судом первой инстанции. Инициатором их включения в рассмотрение дела могут быть истец, ответчик и судья. При этом важно отметить следующий факт:

появление в процессе третьего лица не просто усложняет дело, а приводит к его рассмотрению с самого начала.

В отличие от лиц, не предъявляющих собственных требований, третья сторона, вступающая в дело с претензией к участникам процесса, несет все права и обязанности истца. Еще одно важное отличие в том, что вступают в дело они путем подачи не ходатайства, а оформления искового заявления на общих основаниях. При этом возможно, что новые требования будут предъявлены как обеим уже участвующим сторонам, так и любой одной из них.

Один из частых примеров заинтересованной в деле третьей стороны — еще один пострадавший участник ДТП, который наравне с истцом отстаивает собственные требования к виновнику происшествия.

В качестве третьей стороны может выступать не только гражданин, но и юридическое лицо, защищающее свои права.

Как подается заявление

Как уже говорилось, ходатайство о привлечении третьего лица в гражданском процессе может быть предъявлено суду на любом этапе судопроизводства вплоть до принятия решения по делу.

После того, как заявление предъявлено, суд рассматривает зафиксированную в нем просьбу на заседании с приглашением участвующих в нем сторон. В том случае, судья разделяет мнение заявителя о возможном влиянии исхода дела на права или обязанности привлекаемого лица, дело рассматривается вновь. При этом учитывается время, необходимое для знакомства нового участника с имеющимися материалами. А сам он уведомляется соответствующим образом о времени и месте очередного заседания.

Поскольку к привлечению третьей стороны суд относится, как правило, достаточно внимательно, в ходатайстве необходимо грамотно обосновать причины привлечения третьего лица. В случае, если доводы будут недостаточно убедительными, суд вправе отказать заявителю. Однако независимо от решения, должно быть вынесено определение суда, которое можно обжаловать, подав апелляционную жалобу.

Оформление документа

Установленного законом образца ходатайства о привлечении третьего лица в гражданском процессе не существует. Однако необходимо следовать общепринятым нормам оформления заявлений, чтобы у суда не осталось вопросов относительно его содержания и, как следствие, повода для отклонения заявления.

Структура ходатайства выглядит следующим образом:

  1. Шапка
    • наименование и адрес судебного органа;
    • сведения о заявителе;
    • сведения об ответчике;
    • реквизиты дела.
  2. Содержательная часть
    • название документа;
    • сведения о рассматриваемом деле и его суть;
    • ссылка на ст. ст. 43 ГПК РФ;
    • ФИО (или наименование организации) и адрес привлекаемого лица;
    • обоснование необходимости привлечения третьей стороны в силу затрагивания ее прав и обязанностей;
    • прошение;
    • перечень документов.
  3. Дата, подпись.

Обратим внимание, что привлечь таким образом заинтересованную сторону, имеющую собственные требования, нельзя. Инициатива должна в данном случае исходить от третьего лица, подающего самостоятельный иск.

Заявление о привлечении третьего лица

В _______________________________
                (наименование суда)


От ______________________________
(ФИО/наименование юридического лица полностью, адрес)

____________________________________________

(почтовый адрес,  телефон, эл. адрес)

     

Процессуальное положение:_________

(истец/ответчик)

 

Заявление о привлечении третьего лица

 

 

В производстве суда находится гражданское дело № ____ по иску _________ (указать ФИО/наименование  истца) к _________ (указать ФИО/наименование ответчика) о _________ (сущность исковых требований).

 

В ходе подготовки к рассмотрению дела выяснилось, что судебный акт  по делу может повлиять на права, свободы и законные интересы третьего лица _________ (указать ФИО или наименование третьего лица, адрес).

В соответствии со статьей 52 Гражданского процессуального кодекса РК, третьи лица, не заявляющие самостоятельные требования на предмет спора, могут вступить в процесс до вынесения судом первой инстанции решения по делу, если оно может повлиять на их права или обязанности по отношению к одной из сторон на стороне истца или ответчика. 

На основании изложенного, руководствуясь статьей 52 Гражданского процессуального кодекса РК,

 

Прошу суд:

  1. Привлечь в качестве третьего лица, не заявляющего самостоятельных требований  ___________ (указать ФИО или наименование третьего лица полностью, адрес).

 

Дата подачи заявления: «___»_________ ____ г.                             Подпись _______

 

________________________________________________________________


Внимание!!!

В случае недостаточности знаний мы рекомендуем обратиться к юристам, чтобы исключить риск некорректности использования данного образца документа применительно к Вашей ситуации. Использование данного документа может быть недостаточным для защиты Ваших интересов в суде.

Если у Вас остались вопросы обратитесь к нашим юристам по следующим контактам: 

+7 (727) 250-47-50; +7 (727) 296-41-23; +7 701 712 57 39

 

скачать документ: ОБРАЗЕЦ ЗАЯВЛЕНИЯ О ПРИВЛЕЧЕНИИ ТРЕТЬЕГО ЛИЦА

Публикации

Прочитать все статьи

Заявление о привлечении третьего лица

Образец заявления о привлечении третьего лица с учетом последних изменений законодательства РФ.

Зачастую помимо суда и сторон в рассмотрении дела принимают участие третьи лица. Все третьи лица делятся на 2 группы:

  • Предъявляющие требования на предмет спора;
  • Не предъявляющих таких требований, однако, вынесенное судом решение повлияет на их права  или обязанности.

Первая группа третьих лиц вступает в спор самостоятельно, а о привлечении второй вправе ходатайствовать заинтересованная сторона. В случае явной необходимости третье лицо может быть привлечено и по инициативе суда.

Примеров так называемого процессуального интереса на практике может быть масса. Один из наиболее ярких  — это привлечение в качестве третьего лица банка, если спор идет относительно заложенного в нем имущества между другими лицами.

В этом случае банк не имеет отношения к самому спору, однако решение суда по делу может повлиять на дальнейшую судьбу заложенного имущества, а поэтому интерес банка в данном случае налицо.

Привлечение третьего лица подобного типа часто может оказать существенную помощь стороне в отстаивании своей правоты, поэтому пренебрегать подобным правом не стоит.

Для привлечения третьего лица необходима подача соответствующего заявления. Его образец представлен ниже. Особых сложностей его составление не вызывает. При этом в заявлении необходимо грамотно отразить суть интереса стороны и обозначить те права или обязанности, которые могут возникнуть при вынесении определенного судебного решения.

Стоит также помнить, что третье лицо может быть приглашено к участию в деле в любой момент  до вынесения судом решения по делу.

 

В ____________________________
(Наименование суда, адрес)

По гражданскому делу № ________

Истец: ________________________
(Ф.И.О, адрес проживания,
контактные данные)

Ответчик: _____________________
(Ф.И.О, адрес проживания,
контактные данные)

 

Заявление о привлечении третьего лица

 

В настоящее время в производстве _____________________ (указать наименование суда) находится гражданское дело № _____________, по иску ________________________ (Ф.И.О. истца) к ________________________ (Ф.И.О. ответчика) о ________________________ (указать предмет спора). В данном процессе я являюсь _____________________ (указать процессуальное положение).

В ходе судебного разбирательства у меня появились основания считать, что судебное решение, которое будет вынесено судом, станет основанием для возникновения у меня прав и обязанностей перед __________________________________ (Ф.И.О. или наименование лица, его адрес, интересы которого будут затронуты вынесенным судебным решением).

При этом указанное лицо не имеет правовых оснований для заявления самостоятельных требований на предмет спора.

Поэтому согласно требованиям статьи 43 Гражданского процессуального кодекса РФ,

ПРОШУ:

 Привлечь в качестве третьего лица, не предъявляющего самостоятельных требований на предмет спора __________________________________ (Ф.И.О. или наименования, адрес заинтересованного лица).

 

Приложения:

Документы, подтверждающие наличие интереса к результатам спора со стороны третьего лица, если таковые имеются у стороны.

 

«___» «_________» 20__года                             Подпись _________________

 

 

 

Ходатайство о привлечении третьих лиц

]]>

Подборка наиболее важных документов по запросу Ходатайство о привлечении третьих лиц (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

Формы документов: Ходатайство о привлечении третьих лиц

Судебная практика: Ходатайство о привлечении третьих лиц Открыть документ в вашей системе КонсультантПлюс:
Подборка судебных решений за 2020 год: Статья 188 «Порядок и сроки обжалования определений» АПК РФ»Обжалование определения об отказе в удовлетворении ходатайства о привлечении третьего лица к участию в деле, заявленного стороной по делу, действующим законодательством не предусмотрено, а возражения в отношении определения, обжалование которого не предусмотрено, могут быть заявлены при обжаловании судебного акта, которым заканчивается рассмотрение дела по существу (часть 2 статьи 188 АПК РФ, абзац 4 пункта 6.1 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 28.05.2009 N 36 «О применении Арбитражного процессуального кодекса Российской Федерации при рассмотрении дел в арбитражном суде апелляционной инстанции»).»

Статьи, комментарии, ответы на вопросы: Ходатайство о привлечении третьих лиц Открыть документ в вашей системе КонсультантПлюс:
Статья: Отказ в привлечении третьего лица к участию в деле
(Подготовлен для системы КонсультантПлюс, 2021)Основанием для отказа в удовлетворении ходатайства стороны о привлечении третьего лица к участию в деле без самостоятельных требований, равно как и отказа в удовлетворении ходатайства лица, высказавшего просьбу о вступлении в дело в таком статусе, является отсутствие достаточных доказательств того, что судебный акт, принятый по результатам рассмотрения дела по существу, может повлиять на права и обязанности указанных лиц, затронуть их права и интересы, в том числе создать препятствия для реализации субъективных прав или надлежащего исполнения обязанностей по отношению к одной из сторон спора. Открыть документ в вашей системе КонсультантПлюс:
«Справочник по доказыванию в арбитражном процессе»
(под ред. И.В. Решетниковой)
(«Норма», «ИНФРА-М», 2020)Ходатайство об истребовании доказательств, поступившее с исковым заявлением, рассматривается единолично судьей без проведения судебного заседания и вызова сторон аналогично рассмотрению ходатайства о привлечении третьего лица, и удовлетворение его либо отказ в этом отражается в определении о принятии к производству заявления и подготовке дела либо в отдельном определении об удовлетворении ходатайства об истребовании доказательств или об отказе в этом, поскольку в соответствии со ст. 135 АПК РФ именно на стадии подготовки дела к судебному разбирательству суд определяет достаточность представленных доказательств и рассматривает ходатайства об истребовании доказательств от других лиц .

Нормативные акты: Ходатайство о привлечении третьих лиц

Ходатайство о привлечении третьего лица в суд

:
Процессуальный статус
ИНН
ОГРН
Юридический адрес
Почтовый адрес
Телефон
Факс
Адрес электронной почты
:
ИНН
ОГРН
Юридический адрес
Почтовый адрес
Телефон
Факс
Адрес электронной почты

Ходатайство
о привлечении третьего лица

В производстве находится дело № по иску к .

Принятие решения по указанному делу способно повлиять на права и обязанности , по отношению к истцу по данному делу в части: .

На основании вышеизложенного, руководствуясь ст. 51 АПК РФ,

Привлечь в качестве третьего лица на стороне истца.

1.

Копия уведомления о вручении или иных документов, подтверждающих направление другим лицам, участвующим в деле.

Ходатайство о привлечении в качестве третьего лица: образец

Материал подготовлен по заказу юридической компании ДоброПраво

Как составить ходатайство о привлечении в качестве третьего лица в гражданском и арбитражном процессе? Мы дадим образцы ходатайств о привлечении третьего лица в суды общей юрисдикции и арбитражные суды.

Специальной, законодательно утвержденной формы ходатайства не существует, поэтому при составлении данного документа следует придерживаться общераспространенных в судебной практике правил составления судебных документов. Ходатайство пишется от руки или печатается. В документе следует указать:

  • Наименование адресата – конкретного органа суда;
  • ФИО судьи, назначенного к рассмотрению дела;
  • Номер дела;
  • Данные третьего лица — заявителя (ФИО, адрес, контактный телефон – для физических лиц; наименование, адрес местонахождения организации, контактный телефон – для юридических лиц;
  • Ссылки на конкретные обстоятельства и доказательства, являющиеся свидетельством материальной заинтересованности третьего лица в исходе данного дела.
  • Обращение к суду с просьбой о привлечении к участию в данном судебном разбирательстве в качестве материально и юридически заинтересованного лица, не предъявляющего к сторонам разбирательства и предмету спора никаких самостоятельных требований.

В нижней части документа проставляется дата составления (подачи в суд) ходатайства, фамилия, инициалы заявителя – физического лица, печать организации, данные и подпись заявителя – юридического лица.

Третье лицо в процессуальном праве — это юридическое или физическое лицо, которое не является стороной по делу («не истец» и «не ответчик»), но юридически заинтересовано в результатах конкретного судебного разбирательства.
Важно: следует отличать третьих лиц от соистцов, вступающих в дело одновременно с его возбуждением, и от свидетелей, которые являются незаинтересованными лицами. Также не стоит путать понятие «третьего лица» в процессуальных и обязательственных (договорных и т.д.) правоотношениях. К примеру, «третье лицо по договору» и «третье лицо по делу»- это два абсолютно разных понятия.

Законодательство подразделяет третьих лиц на два типа (по критерию отношения к предмету спора):

  • Заявляющие самостоятельные требования – это лица, непосредственно «связанные» с предметом спора и/или претендующие на него. Проще говоря, такие лица могли бы выступать в качестве истцов (по отношению к ответчику или истцу), если бы обратились в судебный орган до подачи первоначального иска по поводу данного предмета спора.
    Третье лицо с самостоятельными требованиями, как правило, как и истец, оформляет свои претензии путем подачи искового заявления в судебный орган по правилам подсудности.
  • Не заявляющие самостоятельные требования (не относящиеся к участникам материальных правоотношений, которые привели к обращению в суд, но имеющие материальную заинтересованность в итогах конкретного спора между ответчиком и истцом).

Именно с целью привлечения к процессу третьих лиц, не имеющих самостоятельных требований и необходимо составление и подача в орган суда ходатайства о привлечении в качестве третьего лица.

Значение ходатайства о привлечении третьего лица

Привлечение к делу третьих лиц без самостоятельных требований обеспечивает реализацию ряда процессуальных задач:

  • защищает материально-правовые интересы самих третьих лиц;
  • способствует содействию в защите законных прав ответчика или истца;
  • позволяет максимально полно рассмотреть дело и установить объективную истину;
  • экономит время и снижает нагрузку на суд.

Кто может подать ходатайство о привлечении в качестве третьего лица?

Направить в суд ходатайство о привлечении в качестве третьего лица вправе:

  • Третье лицо;
  • Истец;
  • Ответчик;
  • Прокурор;
  • Суд вправе самостоятельно привлечь к участию в деле третье лицо, не заявляющее самостоятельных требований.

Ходатайство можно подать в любой момент до тех пор, пока орган суда не вынесет итоговое решение по делу.

Основания подачи ходатайства о привлечении третьего лица

Основанием для подачи ходатайства служит наличие вероятности последующего предъявления исковых требований к третьему лицу (к примеру, вероятность возникновения регрессного требования) или возможность возникновения прав на предъявление искового требования у самого третьего лица по результатам рассмотрения дела.

Особенности заявления ходатайства в гражданском и арбитражном процессе

Ходатайство о привлечении третьего лица в гражданском процессе

Порядок и условия привлечения к делу третьих лиц без заявленных требований в Гражданском процессе регламентированы ст. 43 Гражданского кодекса. В ней говорится, что третье лицо имеет право вступить на сторону ответчика или истца (при этом третьи лица несут их обязанности и наделяются их правами, не считая специальных прав) вплоть до вынесения органом суда окончательного решения по делу, если предстоящее вынесение судебного акта имеет потенциальное влияние на законные интересы, права и обязанности третьего лица, непосредственно связанные с истцом или ответчиком. Третье лицо может вступать в дело самостоятельно либо привлекаться сторонами, судом или прокурором на основании ходатайства. Окончательное решение о принятии ходатайства и целесообразности привлечения конкретного лица к делу принимает суд и выносит соответствующее определение.

Ходатайство о привлечении третьего лица в гражданском процессе

Арбитражным процессуальным кодексом так же, как и Гражданско-процессульным, предусматривается возможность и необходимость участия в судебном процессе третьих лиц, предъявляющих (ст.38 АПК РФ) и не предъявляющих (ст.39 АПК РФ) самостоятельные требования.

Регулирование аналогично гражданскому процессу.

Если Вы столкнулись с трудностями при написании и подаче в судебный орган ходатайства о привлечении в качестве третьего лица или не уверены в правильности его составления и соответствии актуальным нормам права, у Вас есть возможность прямо сейчас обратиться за квалифицированной юридической помощью.

Право на привлечение третьих сторон Образцы положений

В отношении

Право на привлечение третьих сторон

Использование третьих сторон BMS может привлекать Третьи стороны для выполнения действий по разработке в соответствии с условиями настоящего Соглашения. Любые такие Третьи стороны, осуществляющие деятельность по разработке в соответствии с настоящим Соглашением, должны соблюдать обязательства по конфиденциальности и неиспользованию, соответствующие тем, которые изложены в настоящем Соглашении. Компания BMS продолжает нести ответственность за выполнение своими Аффилированными лицами или разрешенными Сторонними подрядчиками своих обязательств по настоящему Соглашению, которые она (сублицензирует) или делегирует Аффилированному лицу или Стороннему подрядчику.

Защита третьих сторон Ни одно лицо (включая покупателя), имеющее дело с Агентом, Получателем или его или его агентами, не будет заинтересовано запрашивать:

Права третьих сторон Ничто из изложенного здесь не предназначено и не должно быть истолковано как предоставление или предоставление любому лицу, фирме или другому юридическому лицу, кроме сторон по настоящему Соглашению и их разрешенных правопреемников, любых прав или средств правовой защиты в соответствии с настоящим Соглашением или на его основании.

Ответственность перед третьими сторонами Участник не несет ответственности по долгам, обязательствам или обязательствам Компании, в том числе по решению, постановлению или постановлению суда.

Аффилированные лица и третьи стороны Если рецензент представлений активов обрабатывает PII аффилированных лиц эмитента или третьей стороны при выполнении проверки, и если такое аффилированное лицо или третье лицо идентифицировано для рецензента представлений активов, такое аффилированное лицо или третье лицо является предполагаемый сторонний бенефициар согласно Разделу 4.10, и настоящее Соглашение предназначено для выгод Аффилированного лица или третьей стороны. Аффилированное лицо или третье лицо может обеспечить соблюдение условий настоящего Раздела 4, связанных с PII.10 против Рецензента по заявлениям об активах, как если бы каждый из них подписал настоящее Соглашение.

Без третьих сторон Ничто в этом Соглашении не предназначено и не предоставляет никаких прав третьим лицам.

Заявление третьим сторонам За исключением случаев, предусмотренных в данном пункте 18.7 или прямо предусмотренных в другом месте настоящего контракта, ни одно лицо, не являющееся стороной этого контракта, не имеет никакого права в соответствии с Законом о контрактах (права третьих сторон) 1999 г. обеспечить соблюдение любого условия этого контракта.

ИСКЛЮЧЕНИЕ ПРАВ ТРЕТЬИХ СТОРОН Лицо, не являющееся стороной настоящего Соглашения, не имеет права в соответствии с Законом о контрактах (Правах третьих сторон) 1999 г. требовать соблюдения каких-либо условий настоящего Соглашения, но это не влияет на какие-либо права или средства правовой защиты. третьей стороны, которая существует или доступна помимо этого Закона.

Информация, являющаяся собственностью третьих сторон Ни одна третья сторона не заявляла или не имеет оснований утверждать, что какое-либо лицо, работающее в Компании или связанное с ней, (а) нарушило или может нарушить в любой существенной степени какое-либо из условий своего соглашение о найме, отказе от конкуренции или неразглашение информации с такой третьей стороной, (b) раскрытие или может быть раскрыто или использовано, или может использовать любую коммерческую тайну или служебную информацию или документацию такой третьей стороны, или (c) вмешиваться или может быть вмешательство в трудовые отношения между такой третьей стороной и любым из ее нынешних или бывших сотрудников, или запросил у Компании информацию, которая позволяет предположить, что такое требование может быть рассмотрено.Насколько известно Компании, ни одно лицо, работающее в Компании или связанное с ней, не использовало ненадлежащим образом или предлагало ненадлежащим образом использовать какую-либо коммерческую тайну или любую информацию или документацию, являющуюся собственностью какого-либо бывшего работодателя, и, насколько известно Компании, никто нанятый или связанный с Компанией, нарушил любые конфиденциальные отношения, которые такое лицо могло иметь с любой третьей стороной, в связи с разработкой, производством или продажей любого продукта или предлагаемого продукта, или разработкой или продажей любой услуги или предлагаемой услуги Компания, и у Компании нет оснований полагать, что будет какое-либо такое использование или нарушение.Насколько известно Компании, ни выполнение или доставка настоящего Соглашения и других связанных соглашений и документов, заключенных в связи с ним, ни ведение бизнеса Компании в качестве должностных лиц, сотрудников или агентов любым должностным лицом, директором или ключевой сотрудник Компании, или поведение или предлагаемое ведение бизнеса Компании, будет существенно противоречить или привести к существенному нарушению условий или положений или будет представлять собой существенный дефолт по любому контракту, соглашению или инструменту по которым любое такое лицо обязано.

Обязательства перед третьими сторонами Каждая сторона гарантирует и заявляет, что настоящее Соглашение не противоречит каким-либо договорным обязательствам, выраженным или подразумеваемым, взятым на себя с какой-либо Третьей стороной.

Кто считается третьей стороной или поставщиком?

Сторонний поставщик — это компания или организация, с которой у вас есть письменное соглашение о предоставлении продукта или услуги от имени вашей организации вашему клиенту или на которую вы полагаетесь на продукт или услугу для поддержания повседневной деятельности.

Более общий термин для третьей стороны — поставщик. Третья сторона является прямым поставщиком вашей организации, поскольку у вас есть контракт напрямую с ней.

Примеры третьих сторон

Вот несколько примеров того, кто считается третьей стороной:

  • Поставщики программного обеспечения как услуги (SaaS)
  • Аутсорсинговый центр обработки данных
  • Консультанты
  • Поставщик медицинских услуг

Некоторые из этих примеров могут рассматриваться как поставщиком, так и третьей стороной, в зависимости от того, как используются услуги.Например, ваша организация, скорее всего, напрямую контактирует с одним или несколькими поставщиками SaaS. Эти поставщики также могут обслуживать ваших клиентов непосредственно от вашего имени. Технически они будут отнесены к категории вашего стороннего поставщика, а также к более широко определенному термину поставщик.

Легко понять, почему эти термины часто путают, потому что границы часто размыты. Не все организации (фактически, большинство организаций) не проводят значимых или существенных различий между ними, и это нормально.Важно помнить, что ваша программа TPRM или VRM несет ответственность за управление и снижение самого риска. Важно внимательно проверять и контролировать организации, которые представляют риск для вашей организации, независимо от того, как вы их называете. Вы можете думать об этой общей идее как о «знании своего поставщика».

Как узнать своего стороннего поставщика / поставщика

Вы должны не только понимать значение слова «третья сторона», но также «знать своего поставщика».Что именно это означает? По сути, это означает, что ваша организация должна проверять деятельность поставщика и его компетенцию в предоставлении перспективных услуг и выполнении своих договорных обязательств. Это особенно верно, если отношения подпадают под какие-либо нормативные требования. Важно убедиться, что поставщики не представляют ненужного риска для вашей организации.

3 Рекомендации по знакомству со сторонними поставщиками

Вот три передовых метода, которые помогут вам знать своих поставщиков:

  1. Выполните комплексную проверку на этапе проверки поставщиков .В дополнение к стандартным требованиям вашей организации по комплексной проверке, которые выполняются в отношении каждого поставщика, обязательно проведите проверку биографических данных, проверки OFAC, запросите учредительный договор / лицензию на ведение бизнеса, изучите их финансовые показатели и проведите проверку государственного секретаря, просто для того, чтобы назовите несколько. Конечно, степень вашей должной осмотрительности должна соответствовать любым рискам, связанным с соглашением.
  2. Наладить постоянный мониторинг. Продолжайте проявлять должную осмотрительность по мере развития отношений . Постоянный мониторинг часто является забытым шагом в управлении рисками третьей стороны. Многие организации тщательно проверяют поставщиков перед подписанием контракта, а затем предполагают, что строгие проверки защитят их на неопределенный срок. На самом деле, из года в год в контрольной среде организации часто происходят регулярные изменения. Все, что угодно, от смены руководства, улучшения внутреннего программного обеспечения, миграции центров обработки данных, может значительно повлиять на то, насколько хорошо поставщик защищает вашу информацию и соблюдает договорные обязательства.Важно не пропустить этот шаг и настроиться на понимание неотъемлемых и остаточных рисков поставщиков, поскольку они могут измениться.

    Признаки новых рисков могут включать:

    • Ухудшение финансового состояния
    • Отсутствуют надлежащие меры безопасности
    • Третья сторона получает много жалоб от собственных клиентов вашей организации из-за низкого уровня обслуживания.
    • Поставщик не выполняет требования к уровню обслуживания
    1. Следите за новостями .Неудивительно, что Интернет может быть отличным ресурсом для ваших постоянных усилий по мониторингу. Обязательно запланируйте поиск в Интернете ваших критически важных поставщиков и поставщиков с высоким уровнем риска. Вы будете удивлены, обнаружив, что с помощью простого поиска по новостям вы можете быстро узнать много нового о своей третьей стороне.

    Значение слова «третья сторона / поставщик» не является слишком сложным или трудным для понимания. Однако, если вы посмотрите за пределы определения уровня поверхности, вы обнаружите, что это намного больше. Это важная концепция, и знание своей третьей стороны / поставщика имеет решающее значение для успеха программы управления поставщиками в организации.

    После того, как вы определили своих поставщиков, обязательно узнайте, кто является вашими критически важными поставщиками. Скачать инфографику.

    13. Управление третьими сторонами | Руководство по борьбе со взяточничеством

    13.1 Введение

    Повышение подверженности риску взяточничества третьих лиц

    Третьи стороны и посредники, в частности, являются самой большой областью рисков взяточничества для компаний.Эти риски растут по мере того, как компании выходят на новые рынки и передают все большую часть своей деятельности в руки третьих сторон. На этой динамичной и сложной арене программы противодействия взяточничеству необходимо регулярно тестировать, чтобы обеспечить уверенность в том, что они подходят для противодействия рискам третьих сторон и работают эффективно.

    Широкий спектр рисков взяточничества третьих лиц

    Важно понимать, что риски взяточничества связаны со многими видами отношений с третьими сторонами. Компании могут подумать, что некоторые типы третьих лиц не подпадают под действие законодательства о взяточничестве.Фактически, не существует различия между различными типами третьих лиц в соответствии с Законом Великобритании о взяточничестве или Законом США о борьбе с коррупцией за рубежом (FCPA). В соответствии с FCPA компании были привлечены к ответственности или подверглись расследованию за ненадлежащие действия с участием различных типов третьих лиц.

    Хотя основное внимание в данном руководстве уделяется предотвращению взяточничества, исходящего от слабого контроля третьих сторон или вытекающего из него, существует еще один значительный источник риска: он исходит из самой компании.Неизменно интерес компаний к управлению противодействием взяточничеству третьей стороной сосредоточен на рисках, исходящих от их партнеров, но в действительности все 10 основных расчетов FCPA связаны со взяточничеством, спровоцированным внутри компаний и направленным через третьих лиц, в том числе через консультантов, агентов и других лиц. партнеры по совместному предприятию.

    Положения о третьих лицах в законодательстве Великобритании и США о борьбе со взяточничеством

    Закон Великобритании о взяточничестве: Раздел 1 и Раздел 6 Закона прямо запрещают взятки, полученные через третьих лиц.Раздел 7 возлагает на компании ответственность за взяточничество, направленное на получение выгоды от связанных лиц, определяемых как лица, оказывающие услуги для или от имени компании. Раздел 8 гласит, что качество, в котором предоставляются такие услуги, не имеет значения, хотя существует опровержимая презумпция того, что сотрудники являются ассоциированными лицами.

    Закон США о коррупции за рубежом (FCPA ): Закон прямо запрещает коррупционные платежи, совершаемые через третьих лиц или посредников. Тот факт, что взятка дается третьей стороной, не исключает возможности привлечения к уголовной или гражданской ответственности согласно закону FCPA.Закон FCPA прямо указывает, что компания или физическое лицо может нести прямую ответственность за взятки, уплаченные третьей стороной, если принципал знает о неправомерном поведении третьей стороны. Совершение платежа третьей стороне является незаконным, «зная», что вся или часть платежа прямо или косвенно перейдет к иностранному должностному лицу. Термин «знание» включает «сознательное игнорирование» и «преднамеренное незнание». Посредники могут включать партнеров или агентов по совместному предприятию. Сами третьи стороны и посредники также несут ответственность за нарушение закона FCPA.

    Справочник по Закону США о борьбе с коррупцией за рубежом (Министерство юстиции, ноябрь 2012 г.), стр. 21–23 [1]

    13.2 Благоприятная среда

    13.2.1 Организация борьбы с взяточничеством

    Интегрируйте свой подход

    Разработайте и внедрите интегрированный и последовательный подход для управления третьими сторонами в рамках операций компании. Четко распределите обязанности по управлению третьей стороной и обеспечьте кросс-функциональную работу и подход, основанный на оценке рисков, при поддержке тональности сверху.

    Управление отношениями с третьими сторонами является сложным и включает в себя множество различных функций, распределенных по операциям компании. Несогласованные процессы и неопределенные обязанности могут привести к взяточничеству. Поэтому компания должна обеспечить, чтобы программа противодействия взяточничеству охватывала всю компанию и применялась в соответствии с согласованными и требуемыми стандартами.

    Есть много организационных проблем, связанных с управлением третьими сторонами и противодействием взяточничеству. Прежде всего, руководство и совет директоров могут не иметь полного представления о деятельности компании по противодействию рискам взяточничества третьих лиц и могут не понимать риски или не уделять им должного внимания.Еще одна проблема заключается в интеграции управления риском взяточничества с другими формами риска третьих лиц, такими как финансовые риски, риски в области прав человека, конфиденциальности данных и кибербезопасности.

    Комплексный подход — примеры передовой практики

    • Распределите обязанности: Возложите общую ответственность и подотчетность за третьи стороны на старшего менеджера и распределите четкие управленческие обязанности в компании. Бизнес-подразделения должны нести ответственность за управление отношениями с третьими сторонами и внедрение программы борьбы со взяточничеством в свою деятельность.
    • Интегрируйте свой подход к управлению рисками : Применяйте согласованные стандарты, политики и процедуры во всей организации, включая согласованные автоматизированные системы данных и инструменты. Функция централизованного управления рисками может использоваться для управления рисками в компании, включая противодействие взяточничеству третьих сторон.
    • Вовлечение и расширение возможностей функций поддержки : Обеспечение полной оценки рисков взяточничества третьих сторон в таких функциях, как комплаенс, юридические вопросы, финансы, закупки, внутренний аудит, управление рисками, безопасность, человеческие ресурсы и корпоративные вопросы.Четко изложите свои роли в поддержке линейного руководства и противодействии взяточничеству в цепочке поставок и убедитесь, что у них есть достаточные ресурсы для выполнения этой задачи.
    • Обеспечьте совместную работу : Обеспечьте совместную работу страновых и бизнес-единиц и функций поддержки. Это будет включать интеграцию подхода к управлению рисками, связанными с другими проблемными областями в рамках соблюдения и устойчивости.
    • Принимайте решения на местном уровне: Убедитесь, что на местном уровне применяются меры по борьбе со взяточничеством третьей стороной.Местное руководство знает местную культуру и риски и лучше всего способно реагировать на меняющиеся обстоятельства. В то же время будет соблюдаться баланс между центральным и местным управлением, и компании потребуется обеспечить поддержку самого местного управления для управления такими рисками, как неправильное толкование или невыполнение политик и процедур — или даже неправильные действия. Это может быть сделано, например, посредством визитов представителей юридических и нормативных органов на основе оценки рисков, улучшения связи для подразделений с высоким уровнем риска и периодических «проверок».

    13.2.2 Укрепление доверия в отношениях

    Построение доверительных и конструктивных отношений с третьими сторонами

    Развитие позитивных отношений с третьими сторонами и достижение общих целей для лучшего понимания и выявления рисков.

    Риск взяточничества может возникать из-за дисфункциональных отношений с третьими сторонами, когда несогласованные цели и пробелы в коммуникации могут привести к тому, что третьи стороны отклонят стандарты корпоративной этики в пользу более быстрой и дешевой работы. Соблюдение требований по борьбе со взяточничеством может легко рассматриваться как бремя для третьей стороны и решаться в виде галочки, что подрывает эффективность обучения, договорных положений и других мер контроля.

    Компании могут управлять этими рисками недопонимания и усталости от соблюдения нормативных требований, работая над тем, чтобы сотрудники и третьи стороны согласовали общие цели и вместе стремятся к совершенству и корпоративным стандартам добросовестности.

    Противодействие взяточничеству третьих лиц более эффективно, если компания поддерживает позитивные отношения и строит доверительные отношения с третьими сторонами, согласовывая цели и работая над достижением общих целей. Управление взаимоотношениями является важным инструментом: менеджер по взаимоотношениям является связующим звеном между компанией и третьей стороной, и они должны не только управлять договорными аспектами, но и способствовать повышению деловой ценности соблюдения стандартов компании, включая политику противодействия взяточничеству.

    Укрепление доверия — примеры передовой практики

    • Совместите свои ожидания: Согласуйте антикоррупционные коммуникации с третьими сторонами с более широкими корпоративными ожиданиями в отношении честности, профессионализма и качества.
    • Назначьте формальную ответственность: Возложите на менеджеров по работе с клиентами формальную ответственность в отношении должной осмотрительности, обучения и мониторинга третьих сторон с высоким уровнем риска. Например, ответственность может быть решена с помощью названий должностей, оценок и обзоров производительности.
    • Обеспечение последовательности: Создание инициатив по управлению качеством, целостности и последовательности в подходе к управлению взаимоотношениями. Например, создайте «послов» или рабочие группы, посвященные управлению третьими сторонами по борьбе с взяточничеством, и предоставьте индивидуальные ресурсы по борьбе со взяточничеством и обучение менеджеров по работе с клиентами.

    13.3 Сторонняя система противодействия взяточничеству

    В этом разделе изложены семь компонентов, которые составляют основу передовой практики в области управления третьими сторонами по борьбе со взяточничеством: систематический процесс выявления, привлечения и управления третьими сторонами.

    13.3.1 Идентификация

    Идентифицируйте всех ваших третьих лиц

    Идентифицируйте и зарегистрируйте всех ваших третьих лиц, а также собирайте, анализируйте и храните соответствующую информацию о них, включая их право собственности, то, как они работают, их стандарты честности и борьбы с коррупцией, а также любые существенные взяточничества и коррупционные риски.

    Для достижения эффективных процедур противодействия взяточничеству компания должна иметь четкое представление о своей третьей стороне.В зависимости от размера и типа бизнеса, который она ведет, компания может иметь несколько, сотни или тысячи третьих сторон, а типы третьих сторон могут быть однородными или сильно различаться.

    Третья сторона — это любое лицо, с которым компания осуществляет свою деятельность. [1] Сторонняя группа [2] компании может включать:

    • Продавцов / поставщиков
    • Дистрибьюторов / торговых посредников
    • Партнеры по совместным предприятиям / партнеры консорциума
    • Советники и консультанты (налоговые, юридические, финансовые, деловые)
    • Поставщики услуг (логистика , управление цепочкой поставок, хранение, обслуживание, переработка)
    • Подрядчики / субподрядчики
    • Лоббисты
    • Маркетинговые и торговые агенты
    • Таможенные или визовые агенты
    • Прочие посредники

    Самый высокий риск взяточничества лежит на агентах, поскольку они уполномочены представлять компанию.Однако риск взяточничества также связан с другими формами посредничества, такими как лоббисты и юридические фирмы. Поставщики также могут нести существенные риски, такие как сговоры на торгах и откаты.

    Для того, чтобы получить общее представление о профиле риска своей третьей стороны, компания должна собрать основную информацию обо всех своих третьих сторонах, которая будет использоваться на следующем этапе оценки риска. Этот этап сбора информации применяется ко всем существующим третьим сторонам, и необходимо принять политики и процедуры, разработанные для систематического сбора этой информации для всех новых третьих сторон.

    Информация, которую необходимо собрать, включает информацию о стране, в которой находится третья сторона и где предоставляются услуги, об объемах бизнеса с третьей стороной и характере выполняемой работы. Категории работы, представляющие повышенный риск, включают представление компании перед государственными органами или другими третьими сторонами, оказание услуг от имени компании и контакты с государственными чиновниками.

    Идентификация — примеры передовой практики

    • Дайте определение третьим сторонам: Имейте четкое понимание и определение третьих сторон.Обозначьте и опишите, что каждый тип третьей стороны делает для компании.
    • Думайте наперед: Помните о необходимости оценки рисков и комплексной проверки, которая будет опираться на точную и полную картину вашей сторонней группы. Примите первоначальное решение о том, какую информацию вам нужно будет собирать на каждом этапе. Это будет варьироваться от базовых данных для всех третьих сторон до обширной информации для третьих сторон с самым высоким риском. Определите, какая подходящая информация у вас уже есть.
    • Создайте централизованную базу данных: Создайте централизованную базу данных, в которой будет храниться вся информация о третьих лицах. Обеспечьте достаточную гибкость для добавления дополнительных категорий информации.
    • Спланируйте процесс: Определите четкий процесс сбора информации и заполнения базы данных. Информацию можно собирать различными способами, такими как записи о кредиторской задолженности, контракты, заключенные юридическими отделами и подрядными подразделениями, и обследования операционных функций, чтобы выяснить, кого они считают своими третьими сторонами, и характер отношений.
    • Выделите нижние уровни: При описании и классификации ваших третьих сторон подумайте о том, в какой степени они, в свою очередь, полагаются на партнеров в ведении своего бизнеса. Если они сильно зависят от субподрядчиков, нижних уровней в цепочке поставок или политически значимых лиц (ПЗЛ), это будет иметь отношение к процессу оценки рисков, и информацию об этих сторонах следует регистрировать.
    • Соблюдайте законы: Ознакомьтесь с требованиями соблюдения законов о данных и конфиденциальности для юрисдикций, к которым вы и ваши третьи стороны можете подпадать.Могут быть ограничения на типы данных, которые вам разрешено собирать, хранить или распространять, или на вопрос, в котором вам разрешено это делать.

    [1] В данном руководстве мы не рассматриваем дочерние компании как «третьи стороны», потому что, как контролируемые организации, дочерние компании должны подпадать под действие программы компании по борьбе со взяточничеством. См. Деловые принципы противодействия взяточничеству (Transparency International, 2013), стр. 8.

    [2] Рекомендации по надлежащей практике проведения комплексной проверки третьих сторон (Женева: WEF, 2013) содержит описания каждого из перечисленных здесь типов третьих сторон.

    13.3.2 Оценка риска

    Используйте процесс оценки рисков для устранения рисков третьих сторон и убедитесь, что уровень предоставляемых ресурсов соизмерим с уровнем риска

    Используйте процесс оценки рисков для выявления, сегментации, снижения и мониторинга связанных рисков и факторов риска различным типам третьих лиц и использовать эту информацию для разработки критериев, используемых при комплексной проверке, а также для разработки и / или улучшения общей программы противодействия взяточничеству.

    Процесс оценки рисков третьей стороной позволяет компаниям разработать пропорциональный подход, способный выявлять третьи стороны с более высоким риском и соответствующим образом реагировать на них. Это достигается путем выявления и оценки факторов, влияющих на риск взяточничества третьих лиц, и использования этой информации для определения категорий риска, основанных на типах третьих сторон и других заранее определенных критериях. Эти критерии затем используются в процессе комплексной проверки, описанном в разделе 12.3.4.

    Результаты оценки рисков также должны использоваться руководством для определения объема ресурсов, которые будут выделены на комплексную проверку, управление третьей стороной и мониторинг.Руководство также может использовать результаты оценки рисков для разработки подхода к поэтапному распределению и определению приоритетности типов третьих сторон и других факторов риска.

    Оценку рисков следует периодически повторять, чтобы высшее руководство и совет директоров могли судить о том, что работает эффективно, понимать возникающие риски и вносить поправки в программу борьбы с взяточничеством. Поскольку оценка риска используется для разработки критериев должной осмотрительности, периодическая оценка рисков может также привести к новым требованиям к должной осмотрительности для различных форм и уровней риска третьих сторон.

    Этапы оценки рисков третьей стороной

    Оценка рисков взяточничества имеет решающее значение для эффективной и действенной системы противодействия взяточничеству третьей стороной. Ключевая цель — понять факторы риска, связанные с различными типами третьих сторон, достаточно подробно, чтобы обеспечить последовательную категоризацию и пропорциональное снижение рисков.

    Шаги, изложенные ниже, сосредоточены на риске третьих лиц, основываясь на публикации TI-UK Диагностика риска взяточничества , в которой дается исчерпывающее описание методологии оценки рисков противодействия взяточничеству.

    Оценка риска, шаг 1 — Планирование, масштаб и мобилизация: Методология и порядок отчетности для оценки рисков взяточничества третьей стороной должны быть согласованы с процессом оценки рисков для других областей риска (таких как устойчивость, труд и безопасность). Также необходимо принять решения относительно объема, включая степень, в которой процесс будет применяться к третьим сторонам более низкого уровня, таким как субподрядчики.

    Этап оценки риска 2 — Сбор информации о типичных рисках третьих сторон : Получение достаточной информации для формирования всестороннего представления о рисках взяточничества, связанных с типами третьих сторон, используемых компанией (т.е. способы, которыми может иметь место взяточничество, особенно если они различаются по типу третьей стороны). Основные источники информации перечислены в таблице ниже.

    Оценка рисков — Источники информации о рисках

    • Внутренняя документация, такая как отчеты о должной осмотрительности, отчеты об инцидентах, отчеты о нарушениях и аудиторские отчеты
    • Интернет-исследования, такие как отчеты о борьбе с коррупцией
    • Руководство компании и сотрудники, особенно те, которые работают на местном уровне, и те, кто отвечает за заключение договоров и управление отношениями с третьими сторонами
    • Вспомогательные функции, такие как комплаенс, закупки и заключение договоров
    • Профессиональные советники и консультанты по борьбе с коррупцией
    • Третьи стороны компании
    • Торговые ассоциации и торговые палаты, такие как отчеты по вопросам отраслевой или рыночной коррупции
    • Посольства и верховные комиссии

    Кроме того, следует проводить собеседования с ключевыми третьими сторонами, такими как основные поставщики и подрядчики, работающие в юрисдикциях и / или секторах с высоким уровнем риска , чтобы получить • взгляд на отношение к должной осмотрительности, мониторингу и аудитам, а также на любые культурные особенности, связанные с темой взяточничества и коррупции.Эти интервью должны проводиться с наиболее высокопоставленным персоналом соответствующей третьей стороны, чтобы получить как можно более информированное и полное мнение.

    Этап оценки риска 3 — Определите общие факторы риска: Проанализируйте информацию, чтобы составить исчерпывающее определение и описание факторов риска взяточничества, связанных с типами третьих сторон, используемых компанией (т. Е. Причины, по которым взяточничество может быть больше скорее всего состоится).

    Оценка риска — Риски и факторы риска

    Риск — это вероятность того, что событие произойдет и отрицательно повлияет на достижение целей.Риск взяточничества третьих лиц — это риск предложения, выплаты или получения взятки через посредника или любое третье лицо (физическое или юридическое), действующее от имени компании, что подвергает компанию потенциальному юридическому и репутационному ущербу.

    Вот некоторые примеры рисков, связанных с третьими сторонами:

    • Дистрибьютор дает взятки таможенникам за перемещение товаров через границу.
    • Агент использует часть своих гонораров для подкупа сотрудников отдела закупок для заключения контракта с компанией.
    • Поставщик предлагает вознаграждение сотруднику компании для заключения с ним контракта.

    Фактор риска — это внутреннее или внешнее по отношению к компании обстоятельство, которое увеличивает вероятность риска. Различие в общих чертах можно охарактеризовать с помощью вопросов «Что может пойти не так и как это может случиться?» И «Почему это может произойти и какова вероятность этого?»

    Вот несколько примеров факторов риска третьих сторон:

    • Операции в странах с высоким уровнем коррупции
    • Операции в секторах, уязвимых для коррупции
    • Взаимодействие с государственными должностными лицами
    • Предоставление критически важных услуг
    • Зависимость от критически важных лицензий для работы
    • Опора на третьи стороны более низкого уровня
    • Полномочия представлять компания
    • Необычные платежные требования, способы или суммы

    Например, компания захочет определить типичные факторы риска, которым подвержены третьи стороны, работающие в различных секторах.В отчете ОЭСР о подкупе иностранных граждан по завершенным делам о взяточничестве за рубежом указано, что две трети случаев произошли в четырех секторах: добывающая промышленность (19 процентов), строительство (15 процентов), транспортировка и хранение (15 процентов) и информация и связь ( 10 процентов), хотя это не означает, что компания в секторах, отличных от перечисленных, не будет иметь высокого уровня риска. [1] В таблице ниже показаны некоторые отраслевые риски и факторы риска:

    Этап оценки риска 4 — Назначение категорий риска различным типам третьих сторон и другие критерии риска: Этот шаг связывает общий процесс оценки риска с процессом должной осмотрительности для оценка отдельных третьих сторон, описанная в разделе 13.3.4.

    Отнесите каждый тип третьей стороны, используемой компанией, к категории риска на основе типичных факторов риска, связанных с этим типом третьей стороны. Чаще всего используется три уровня риска: высокий, средний и низкий, но компании могут решить, что эта структура им не подходит. Числа, отнесенные к каждой категории, будут значительно различаться в зависимости от сектора и компании. Имейте в виду, что подход состоит в том, чтобы разделить третьи стороны, чтобы сосредоточить внимание на тех, кто подвергается наибольшему риску.Это означает, что нужно следить за числами в категории высокого риска, чтобы убедиться, что ими можно управлять с учетом выделенного количества ресурсов.

    Решите, требуются ли дополнительные критерии риска для процесса комплексной проверки для выявления третьих сторон с высоким уровнем риска. В зависимости от типичных рисков взяточничества, выявленных для сектора компании и бизнес-модели, это может включать критерии для выявления ряда различных проблем; например, есть ли у третьей стороны связи с местными органами власти, включают ли предлагаемые отношения долгосрочный и эксклюзивный контракт, будет ли тип предоставляемых услуг включать обширное и неконтролируемое взаимодействие с государственными должностными лицами или будет ли метод оплаты или сумма необычный.

    Этап оценки риска 5 — Определите процесс снижения выявленных рисков третьих сторон: После того, как профиль риска взяточничества третьей стороны станет понятен, компания должна решить, как лучше всего снизить эти риски, в том числе путем адаптации действий для определенных типов третьи стороны и для конкретных факторов риска.

    Этот процесс начинается с разработки сторонней системы противодействия взяточничеству (описанной в разделах с 13.3.1 по 13.3.8). Важным первым шагом является определение методологии комплексной проверки, исходя из категорий риска для типов третьих сторон и любых дополнительных критериев риска для оценки риска отдельных третьих сторон (описано в разделе 13.3.4). В зависимости от выявленных рисков компания может принять решение о дополнительных действиях.

    Например, в результате выявления новых или измененных рисков третьих сторон компания может улучшить свою благоприятную среду (описана в разделах с 13.2.1 по 13.2.2). Это может включать в себя ряд различных мероприятий; такие как новые коммуникации с большим вниманием к определенным факторам риска, введение расширенного межфункционального мониторинга определенных типов третьих сторон с высоким уровнем риска или обеспечение дополнительной поддержки для управления отношениями с третьими сторонами, используемыми на определенных рынках.

    Компания может принять решение об исключении или сокращении использования определенных сторон с высоким уровнем риска, таких как агенты и консультанты, с помощью специальных процедур утверждения, если они требуются местным законодательством. Компании также могут сократить количество сторонних организаций, которые у них есть, чтобы улучшить надзор и более эффективно управлять рисками. Необходимо проявлять осторожность, чтобы управлять воздействием такой рационализации на другие стратегические цели, например, путем мониторинга несоразмерного воздействия на более мелких или местных поставщиков.

    Некоторые риски могут потребовать дополнительного смягчения за счет действий, не связанных с компанией, таких как коллективные действия или работа с правительствами или межправительственными органами.

    Оценка рисков — примеры передовой практики

    • Сосредоточение внимания на высоких рисках : Сосредоточьте свои усилия и ресурсы на выявлении и снижении изначально самых высоких рисков. Это может потребовать, например, выделения дополнительных человеческих ресурсов и бюджета на сбор информации по выявлению факторов риска в местах, секторах или взаимоотношениях с повышенным риском, а также поиск внешней помощи в тех случаях, когда сама компания не может собрать необходимую информацию для оценки риска. факторы и наилучшие меры по снижению рисков.
    • Применяйте комплексный подход : Обеспечьте единый подход ко всем операциям с кросс-функциональной работой, избегая разрозненности.
    • Интегрируйте свой подход : Согласуйте процесс оценки рисков с процессами для других проблемных областей. Это может быть достигнуто путем обмена между компаниями между различными владельцами рисков или с помощью центральной функции управления рисками, которая устанавливает стандарты и процессы.
    • Будьте начеку : Избегайте рутинных или механических подходов к оценке рисков и не обращайте внимания на реальные или возникающие риски.Используйте методологии проверок и валидации для выявления возникающих проблем, таких как моделирование сценариев рисков, мозговой штурм, криминалистический анализ данных, статистический контроль качества и опыт сотрудников. Заблаговременно выявляйте новые источники информации о различных факторах риска.
    • Будьте непредвзятыми: Будьте непредвзято относитесь к типам третьих сторон с высоким уровнем риска. Например, в ходе иска 2010 года в соответствии с FCPA шесть нефтегазовых компаний должны были выплатить в общей сложности 236,5 млн долларов США в виде штрафов за взятки, сделанные от их имени их экспедитором (Panalpina), и за ложное отражение платежей в качестве законных коммерческих расходов. .[2] Несколько лет назад экспедиторы считались группой с низким уровнем риска. Сегодня они обычно подвергаются усиленным процедурам должной осмотрительности и мониторинга.
    • Получите поддержку : Привлекайте сотрудников и третьих лиц к процессу оценки рисков, вовлекая их в его разработку, а также посредством общения и обучения.
    • Задокументируйте процесс : Задокументируйте оценку рисков. Это поможет направлять дальнейшие оценки рисков и будет иметь важное значение для аудитов и расследования инцидентов.Это также будет служить доказательством адекватности процесса регулирующих расследований.

    [2] Отчет ОЭСР о подкупе иностранных должностных лиц: анализ преступления подкупа иностранных государственных должностных лиц (ОЭСР, 2014), стр. 8.

    13.3.3 Регистрация и предварительная квалификация

    Применять систематическую процедуру для привлечения третьих сторон

    Применять комплексный и последовательный подход к регистрации, проверке и привлечению третьих сторон, чтобы гарантировать, что соглашения выполняются в соответствии с желаемыми стандартами и что процедуры адаптированы к различным типам выявленных рисков .

    Риск взяточничества может возникать в результате привлечения третьих сторон через переменные и неполные процессы, в результате чего компания не может применять эффективные и надлежащие меры контроля из-за работы бункеров и ненадежных стандартов. Конкретные риски варьируются от нарушения процедур компании из-за местных обходных путей для срочных требований до преднамеренной фальсификации документации третьих лиц.

    Чтобы снизить эти риски, компания должна разработать политику и процедуры, которым необходимо следовать до вступления в любые будущие деловые отношения.Они должны описывать шаги, которые сотрудники должны выполнять при взаимодействии с третьими сторонами, включая возобновление таких соглашений, и должны последовательно применяться во всей организации. Политика и процедуры могут включать: определение третьих сторон и другую соответствующую терминологию (например, политически значимые лица, государственные должностные лица) и соответствующие примеры; описание процесса адаптации; руководство по обязанностям различных отделов, в том числе по согласованию / утверждению; и информация о требованиях к мониторингу.

    Последовательная регистрация всех потенциальных третьих сторон — это первый этап в обеспечении того, чтобы компания была связана только с третьими сторонами, которые соответствуют требуемым стандартам, включая стандарты честности и недопустимости взяточничества. Хотя это и выходит за рамки данного руководства, общие политики закупок и меры контроля могут обеспечить начальную основу для создания специальных процедур для взяточничества для привлечения третьих сторон.

    Процесс, описанный в этом разделе, относится конкретно к новым третьим сторонам.Однако существующие третьи стороны также должны быть приведены в соответствие со стандартами компании, и процесс может быть адаптирован для этой цели, как описано в разделе 13.3.7.3.

    Шаг регистрации 1 — Регистрация доли участия третьей стороны: Это начальная точка, в которой потенциальная третья сторона регистрируется в системе компании. Это может быть незапрошенная онлайн-регистрация компании, желающей зарегистрировать свою заинтересованность в том, чтобы стать третьей стороной, или когда компания приглашает третью сторону к участию в тендере.Цель состоит в том, чтобы идентифицировать и записывать основную информацию о тех, кто имеет или может иметь отношения с компанией. Веб-страница регистрации также может служить точкой, на которой компания сначала сообщает о своих ожиданиях третьим сторонам.

    Шаг регистрации 2 — Сделайте бизнес Дело: Перед тем, как пригласить компании к участию в торгах на установление договорных отношений, руководство утверждает бизнес-обоснование с встречной подписью и порогами утверждения. Здесь можно выделить любые известные риски.Этот этап может быть необязательным для третьих сторон, рассматриваемых для заключения контрактов с низкой стоимостью и низким уровнем риска.

    Менеджеры должны задавать вопросы, чтобы оспорить выдвинутое экономическое обоснование и определить процесс, с помощью которого была выбрана третья сторона для выявления любых ранних рисков. Например:

    • Каков характер предоставляемых услуг?
    • Есть ли альтернатива использованию внешнего третьего лица?
    • Существует ли уже утвержденная третья сторона, которая предоставляет услуги такого же типа в юрисдикции?
    • Кто представил компанию третьей стороне?

    Шаг регистрации 3 — Предварительный отбор третьей стороны для рассмотрения: От потенциальных третьих сторон требуется предоставить основную информацию, чтобы компания могла оценить их пригодность для дальнейшего рассмотрения.Большая часть этой информации будет относиться к общей процедуре закупок компании, но некоторые аспекты будут иметь прямое отношение к управлению риском взяточничества. Обычно компания требует, чтобы потенциальная третья сторона заполнила предварительную квалификационную анкету (PQQ), включающую основную информацию, такую ​​как:

    • Финансовая информация
    • Собственность, директора и должностные лица
    • Краткое описание полномочий и возможностей
    • Любые необходимые сертификаты или аттестации третьей стороны, например, связанные с информационной безопасностью, экологическими показателями и системами противодействия взяточничеству (например, сертификация в соответствии с предстоящим стандартом ISO 37001)
    • Любые прошлые судебные разбирательства или государственные административные санкции против компании или руководства, включая любые связанные с коррупцией

    Если предоставлена ​​удовлетворительная информация, третья сторона записывается как подходящая для приглашения к участию в торгах, но еще не утвержденная для участия.Если третья сторона переходит к этапу комплексной проверки, это может включать запросы на дополнительную информацию (совпадение между предварительной квалификацией и комплексной проверкой описано в разделе 13.3.4, этап 2).

    Компания может полагаться на внешних поставщиков для получения некоторой информации о предварительной проверке. Например, обмен этическими данными поставщиков (Sedex) — это некоммерческая организация, которая собирает данные о поставщиках по всему миру по вопросам устойчивости и собирает информацию, используя обширные вопросы по деловой этике, которые заполняются поставщиками и подтверждаются аудитами Sedex.[1]

    Шаг регистрации 4 — Решите, следует ли приглашать к участию в торгах: Данные PQQ оцениваются на предмет качества и точности перед тем, как вступить в обсуждение с третьей стороной или пригласить заявки. Третьим сторонам со средним и высоким уровнем риска и компаниям, участвующим в торгах по крупному контракту, может потребоваться предварительная комплексная проверка, прежде чем их можно будет пригласить к участию в тендере. Процесс комплексной проверки подробно описан в следующем разделе.

    13.3.4 Комплексная проверка

    Провести надлежащий уровень должной осмотрительности перед взаимодействием с третьими сторонами и периодически повторять

    Провести комплексную проверку, пропорциональную рискам, выявленным для различных типов третьих сторон, с акцентом на тех, которые подвержены наибольшему риску. Используйте заранее определенные критерии риска для оценки отдельных третьих сторон на предмет неотъемлемого риска и соответствующим образом меняйте уровень должной осмотрительности.

    Комплексная проверка проверяет третьи стороны на наличие красных флажков, чтобы компания могла избежать связи с третьими сторонами, которая может привести к репутационному ущербу или юридической ответственности. Это систематический, периодический процесс, выполняемый при заключении или продлении контракта или соглашения с третьей стороной. Обычно ему уделяется наибольшее внимание при противодействии взяточничеству у третьих лиц.

    Даже в этом случае компаниям сложно разработать и внедрить эффективный процесс комплексной проверки из-за большого количества третьих сторон, различий в их формах и деятельности, множественности рисков и неопределенности в отношении того, как лучше всего оценивать риски.

    Процесс комплексной проверки

    Компании должны найти подходящую методологию для проверки своих третьих сторон, чтобы убедиться, что они получают правильную информацию для обнаружения тревожных сигналов и оценки уровня добросовестности и соответствия третьей стороны согласованным критериям. Несмотря на то, что методология комплексной проверки направлена ​​на выявление третьих сторон с высоким уровнем риска, она должна быть способна управлять большим количеством третьих сторон в рамках имеющихся ресурсов и без непропорциональных затрат времени и усилий для большинства третьих сторон с низким уровнем риска.

    Компания может достичь более глубокого уровня понимания третьих сторон с повышенным риском за счет более тщательной проверки. В зависимости от обстоятельств, это может включать личные встречи с высокопоставленными должностными лицами третьей стороны, посещение объекта, получение информации о третьей стороне и принципалах из специализированных баз данных и привлечение местных экспертов для обеспечения дополнительной комплексной проверки. Если будет принято решение продолжить работу с третьей стороной, выполнение задания должно соразмерно контролироваться и отслеживаться, как описано в разделах 13.3.6 и 13.3.7.

    Методология должна быть построена на результатах оценки рисков взяточничества третьей стороны компании с использованием категорий риска для типов третьих сторон и других факторов риска взяточничества для структурирования процесса принятия решений отдельными третьими сторонами (описано в разделе 13.3. 2, шаги 4 и 5). Эти заранее определенные критерии риска позволяют компании оценивать отдельные третьи стороны на предмет неотъемлемого риска и соответственно изменять уровень должной осмотрительности.

    Методология также должна определяться подходом к рискам, установленным советом директоров, и соответствовать нормам должной осмотрительности, включая рекомендации регулирующих органов, профессиональных консультантов и антикоррупционные инициативы.Компания также может извлечь уроки из прошлых дел и сообщений таких органов, как Управление по борьбе с серьезным мошенничеством Великобритании, Управление финансового поведения Великобритании, Министерство юстиции США и Комиссия по ценным бумагам и биржам США.

    Методология, предложенная в этом разделе, может быть адаптирована компаниями в соответствии с их профилем риска, а также размером и характером их сторонней группы.

    Этап комплексной проверки 1. Присвойте рейтинг риска: Присвойте общие рейтинги риска третьим сторонам, выставив их по заранее определенным критериям (разработанным в процессе оценки рисков и основанным на типах третьих сторон и дополнительных факторах риска).Например, при использовании трех уровней риска третьей стороны решите, к какому уровню относится конкретная третья сторона.

    При присвоении общего рейтинга риска определенной третьей стороне компания проверит тип третьей стороны и соответствующую категорию риска, а также будет искать дополнительные факторы риска, такие как:

    • Насколько велик контракт третьей стороны. партия делает ставки?
    • Является ли рассматриваемый контракт уникальным / разовым?
    • Какова структура компенсации третьей стороне? (е.грамм. комиссионные с продаж)
    • Какие товары или услуги предоставляются? (например, лоббирование, развитие бизнеса)
    • Как третье лицо было упомянуто в компании? (например, государственным должностным лицом)
    • Есть ли у третьей стороны программа по борьбе со взяточничеством и соответствует ли эта программа собственным стандартам компании?

    Общий рейтинг риска, присвоенный третьей стороне, будет определять соответствующий уровень должной осмотрительности. Например:

    • Высокий риск : Этой категории уделяется наибольшее внимание, поскольку подробная информация собирается от сторонних организаций и проводится общедоступное исследование, часто поддерживаемое сбором рыночной информации.Этот уровень часто требует личных собеседований и выездов на места (иногда это называется должной осмотрительностью).
    • Средний риск: Эта категория обычно требует сбора некоторой информации от третьей стороны в дополнение к PQQ с последующим исследованием публичных записей для проверки информации и выявления любых значительных юридических, нормативных или репутационных проблем.
    • Низкий риск : Эта категория требует очень ограниченного или не требует дополнительной информации, кроме первоначального PQQ.Если владелец взаимоотношений узнает о каких-либо проблемах либо через PQQ, либо через взаимодействие с третьей стороной, это может повысить рейтинг риска до среднего. Очень небольшие контракты или спотовые закупки до определенного порога не подлежат должной осмотрительности, если только PQQ не поднимает красный флаг, такой как связь с иностранным государственным должностным лицом или прошлое ненадлежащее поведение.
    • Выборка : Комплексная проверка на уровне, превышающем присвоенную категорию риска, проводится на статистически достоверной выборке компаний со средним и низким уровнем риска, чтобы обеспечить проверку работоспособности методологии присвоения категорий риска.

    Этап комплексной проверки 2 — Получите дополнительную информацию: Для третьих сторон со средним и высоким уровнем риска дополнительная информация и документация запрашиваются с использованием анкеты третьей стороны и анкеты для бизнес-подразделения. Уровень детализации анкет будет соответствовать категории риска третьей стороны. Использование системы электронного документооборота позволит централизованно регистрировать эти и любые другие коммуникации с третьей стороной. Он также может служить хранилищем документов, предоставленных третьей стороной, таких как кодекс поведения, политика противодействия взяточничеству или подтверждение регистрации.Компания должна быть готова к появлению красных флажков или вопросов и соответственно расширить сбор информации на шаге 3. Красные флажки могут включать неясные структуры собственности, сопротивление запросам информации, негативное освещение в СМИ и ссылки на высокопоставленных государственных чиновников или других политически значимых лиц. .

    Важно, чтобы требования должной осмотрительности, предъявляемые к третьей стороне, обеспечивали правильный баланс между требуемой информацией и бременем ее предоставления. Разработка процесса, который требует наличия хорошо обеспеченного ресурсами внутреннего отдела комплаенса для выполнения ваших требований, сделает его слишком обременительным для малых и средних предприятий (МСП) и местных компаний, в которых основной язык отличается от языка компании.Использование существующих стандартных форм или их создание через отраслевые органы или инициативы может помочь снизить нагрузку на третьи стороны. Также стоит отметить, что в некоторых юрисдикциях или секторах общая осведомленность и участие в борьбе с взяточничеством и коррупцией очень низки, что ставит в невыгодное положение местные компании, конкурирующие за бизнес. В этих случаях компания может рассмотреть возможность инвестирования в образование, например, посредством инициатив коллективных действий, чтобы повысить осведомленность и создать равные правила игры в юрисдикциях, где работает компания.

    Этап комплексной проверки 3 — Исследование, сбор и оценка прочей информации: На основе анализа дополнительной информации, предоставленной третьей стороной, более полная информация запрашивается через ресурсы компании и за ее пределами. Дополнительная информация может быть собрана по таким направлениям, как:

    · Предоставляемые услуги

    · Корпоративная информация (например, подтверждение права собственности, если не было запрошено или предоставлено ранее)

    · Члены руководства третьей стороны и те, кто будет работать с компанией

    · Структура управления

    · Рекомендации от компаний-аналогов

    · Раскрытие информации о судебных / уголовных или административных действиях

    · Негативное освещение в СМИ

    · Кодекс поведения (если не запрашивался или не предоставлялся ранее)

    · Антивирус -программа по борьбе со взяточничеством, включая политику и обучение сотрудников

    · Соблюдение / соответствие собственной политике компании

    · Использование субподрядчиков / других третьих сторон (и любых связанных документов политики)

    · Появление в списках санкций / отстранений

    · Отношения с государственными служащими а также семейные отношения директора и персонала с политически значимыми лицами и государственными служащими, а также наем политически значимых лиц и компаний, принадлежащих политическим лицам, далее по цепочке поставок

    Комплексная проверка шаг 4 — Снижение любых выявленных рисков: Оценить результаты комплексной проверки и продолжить запрашивать одобрение руководства, если все в порядке.Для третьих сторон с высоким уровнем риска или в тех случаях, когда для третьей стороны со средним уровнем риска были выявлены особые красные флажки (например, крупные или важные контракты, лоббистские услуги), в оценке должны быть задействованы юридические вопросы и соблюдение нормативных требований.

    Проведите дополнительную работу по снижению любых выявленных значительных рисков или решите не продолжать. Устранение недостатков в программе по борьбе со взяточничеством может быть сделано до назначения, или может быть достигнута договоренность о том, что они будут реализованы сразу после назначения к установленной дате с четким механизмом последующих действий.

    Этап 5 комплексной проверки — Решите, следует ли переходить к заключению контракта: При условии снижения всех выявленных рисков, отчет о комплексной проверке подписывается руководством как удовлетворительный и получено необходимое одобрение руководства для заключения договора с третьей стороной . В случае сложных решений или при сохранении высоких остаточных рисков решение о том, привлекать ли третью сторону или нет, может быть передано в юридический отдел или в специальный комитет, в состав которого входят представители юридического отдела и отдела соблюдения нормативных требований.

    Due Diligence — Примеры передовой практики

    • Не полагайтесь полностью на других: Не предполагайте, что из-за того, что третья сторона используется партнерской компанией или была сертифицирована аккредитованным поставщиком, это устраняет необходимость для надлежащей проверки. Точно так же, когда третьи стороны приобретаются посредством слияния и поглощения, не полагайтесь на предыдущую комплексную проверку или уже давно существовавшие отношения с приобретением.
    • Сбалансируйте и интегрируйте свой подход : Убедитесь, что комплексная проверка сбалансирована и интегрирована с другими компонентами управления третьими сторонами по борьбе с взяточничеством, такими как обеспечение индивидуальной коммуникации и обучения.
    • Используйте выборку : Используйте выборку для контроля качества, чтобы убедиться, что ваша методология работает и учитывает высокие риски.
    • Разрешить : Своевременное завершение процесса комплексной проверки, чтобы дать держателю деловых отношений и / или третьему лицу возможность должным образом снизить любые выявленные риски.
    • Руководство по принятию решений на местном уровне : Включите суждение лиц, близких к деловой активности, например менеджеров по работе с клиентами, в решениях по результатам комплексной проверки.Ответственность за принятие решений на местном уровне должна быть сбалансирована, и компании необходимо будет обеспечить наличие централизованного функционального ввода для установления и мониторинга стандартов и применения должной осмотрительности, а также того, что в зависимости от уровня риска установлены пороги утверждения руководством и требования встречной подписи. на месте, чтобы обеспечить проверку соответствия.
    • Избегайте чрезмерного обременения третьих сторон: Убедитесь, что ваша процедура комплексной проверки не перегружает и не ведет к необоснованному исключению более мелких и местных третьих сторон.
    • Участвуйте в законах и соблюдении требований: Участвуйте в принятии решений юридическими и юридическими лицами, используя подход, основанный на оценке риска. Если риски остаются высокими или при принятии сложных решений, решение может быть передано в специальный комитет.
    • Задокументируйте процесс: Во всех случаях документируйте процесс принятия решений, чтобы показать, что он продуман и тщателен.
    • Проведите качественную оценку : Используйте суждение руководства и сотрудников, таких как менеджеры по взаимоотношениям с третьими сторонами и сотрудники отдела комплаенс — это критически важно для эффективной комплексной проверки.Взяточничество часто может происходить в неожиданных местах, и автоматизированный подход или подход «галочки» может только следовать установленным каналам или отмечать тенденции. Компания должна внимательно следить за новыми рисками. Следует поощрять тех, кто занимается должной осмотрительностью в отношении третьих сторон, проявлять интерес, задавать вопросы и проявлять новаторский подход.
    • Решение проблем : Если комплексная проверка выявила проблемы, подумайте о назначении внешнего консультанта для проведения дальнейшего исследования. Вопрос также может быть поднят во время личной встречи с руководством третьей стороны и составления графика для исправления или смягчения последствий.Совместное изучение и анализ зоны риска обеими группами менеджмента также может устранить риски. К дискуссиям о риске взяточничества следует относиться осторожно, поскольку они будут чувствительны к третьей стороне, а культурные различия также могут привести к недопониманию или оскорблению.

    13.3.5 Контракт

    Контракт с третьей стороной — это больше, чем соглашение — это критически важный антикоррупционный контроль. В нем четко излагаются ожидания компании в отношении противодействия взяточничеству и этического поведения, устанавливаются права и указываются антикоррупционные требования и процессы для мониторинга, повторного назначения, исправления, прекращения действия и выхода.

    Положения о борьбе со взяточничеством и права, включенные в контракт, будут определяться степенью влияния компании в отношениях.В качестве принципала компания по контракту будет требовать, чтобы ее агенты и аналогичные посредники соблюдали ее программу по борьбе со взяточничеством, но в других ассоциациях (таких как поставщики, консорциумы и совместные предприятия) компания может иметь недостаточные рычаги воздействия, чтобы настаивать на соблюдении всех элементов свою программу по борьбе со взяточничеством и, возможно, придется больше полагаться на комплексную проверку, чтобы обеспечить этичное поведение путем выбора правильных партнеров. Во всех случаях компания должна стремиться к договорному обязательству о том, что третья сторона будет соблюдать законы о борьбе со взяточничеством и коррупцией и установить свои собственные средства контроля для предотвращения и выявления нарушений этого обязательства.

    В качестве ключевого средства борьбы с взяточничеством договорные положения могут также использоваться для снижения конкретных рисков взяточничества. Например, некоторые компании применяют дополнительные положения для высокорисковых посредников, взаимодействующих с правительством, включая подробные требования к ведению записей для встреч с должностными лицами, а также для подарков и знаков гостеприимства.

    Контракт — Примеры передовой практики

    • Установите условия противодействия взяточничеству с самого начала : Сделайте договорные условия противодействия взяточничеству известными в начале процесса назначения / отбора, когда еще есть споры о присуждении контракта контракта.Третья сторона с большей вероятностью согласится с условиями, когда ее предложение все еще находится на рассмотрении, чем на заключительных этапах, когда назначение почти готово. Это также снижает вероятность того, что при разработке соглашения возникнут поздние сюрпризы или камни преткновения.
    • Справочные коды, стандарты и законы: Рассмотрите возможность требования соответствия ведущим кодексам, таким как Принципы ведения бизнеса Transparency International по противодействию взяточничеству, Правила поведения ICC и сертификаты по борьбе со взяточничеством (например, готовящийся к выпуску ISO 37001).Также можно ссылаться на законы, такие как Закон Великобритании о взяточничестве и FCPA.
    • Предоставьте типовые контракты : Укажите лиц, ответственных за заключение контрактов, со стандартными контрактами и условиями борьбы со взяточничеством, с комментариями и подробным юридическим анализом. Это необходимо для обеспечения согласованности и того, что условия борьбы со взяточничеством не отклоняются в ходе переговоров и составления, будь то ошибка, упущение или внешнее давление.
    • Взаимодействие внутри компании на условиях контракта: Обеспечение межфункциональных консультаций при составлении типовых контрактов и понимание руководством положений, прав и договорных вопросов, связанных с ключевыми рисками, включая взяточничество.
    • Расширить права на субподрядчиков : Если третья сторона в значительной степени полагается на использование субподрядчиков, предусмотрите права, распространяющиеся на третьи стороны, такие как право получать информацию или утверждать назначение всех субподрядчиков. подрядчиков или установить критерии, в которых третья сторона привлекает субподрядчиков с высокой степенью риска, взаимодействует с иностранными государственными должностными лицами или имеет в прошлом случаи взяточничества. Компания может также потребовать, чтобы сотрудник первого уровня требовал от своих субподрядчиков соблюдения требований компании по борьбе со взяточничеством.Если цепочка поставок считается высокорисковой и у компании есть достаточные рычаги воздействия, она должна обеспечить полную видимость для поставщиков первого уровня. В исключительных случаях, когда цепочка поставок тесно интегрирована, это может включать в себя договорное требование о том, что в свои собственные контракты с третьими сторонами более низкого уровня ассоциированное лицо первого уровня будет включать права аудита для самой компании или ее представителей. В любом случае компания должна удостовериться в том, что ассоциированный сотрудник первого уровня имеет место и может осуществлять аудиторские права в отношении своих третьих сторон.
    • Обновите условия контракта : Для давних отношений или отношений, возникающих в результате приобретений, не упускайте из виду обновление условий контракта. Для третьих сторон с высоким уровнем риска внедрите процедуру регулярной проверки контрактов с юридической точки зрения и соответствия. Законы и правила, бизнес-среда, потребности и другие обстоятельства постоянно меняются. Например, вступление в силу Закона Великобритании о взяточничестве означало, что многие контракты были обновлены, чтобы отразить положения Закона. Со временем толкования в судебных делах, касающихся третьих сторон, могут нуждаться в отражении в контрактах с третьими сторонами.
    • Определите процесс реагирования на потенциальные нарушения . Чтобы поощрять открытое обсуждение рисков взяточничества, изложите четкие ожидания относительно того, как третья сторона должна реагировать на случаи взяточничества. В зависимости от возможностей компании определите процессы и графики расследования, отчетности и устранения недостатков сторонней программы по борьбе со взяточничеством.
    • Создайте подробный план выхода. Для значительных контрактов подготовьте план того, как компания выйдет из контракта в случае нарушения требований по борьбе со взяточничеством.Это особенно важно для совместных предприятий и консорциумов, выход из которых может быть затруднен.
    • Ведение всеобъемлющих записей : Ведение полной и актуальной инвентаризации отношений и контрактов с третьими сторонами с использованием системы агрегированных данных.

    13.3.6 Менеджмент

    Используйте индивидуализированные коммуникации и обучение, а также механизмы советов и отчетности для управления отношениями с третьими сторонами

    Обеспечьте индивидуальные коммуникации и обучение менеджеров по взаимоотношениям с третьими сторонами и сторонних сотрудников, соразмерных уровню риска. Предоставлять третьим сторонам доступ к конфиденциальным советам и каналам связи, а также отслеживать любые достоверные сообщения.

    12.3.6.1 Связь и обучение

    Процесс должной осмотрительности должен предоставить доказательства удовлетворительной программы противодействия взяточничеству, соответствующей профилю рисков третьей стороны. Даже в этом случае нельзя быть уверенным, что сотрудники третьей стороны будут обладать достаточным пониманием и навыками или даже будут действовать желаемым образом. Следовательно, компании необходимо будет четко и доступно сообщить третьим сторонам о важности, которую она придает противодействию взяточничеству, о том, как, по ее мнению, будут действовать сотрудники третьих сторон и как распознавать определенные риски и справляться с ними.

    Контракты и информирование о кодексе поведения и ожиданиях в отношении делового поведения третьих сторон являются платформой для передачи требований компании к третьим сторонам по борьбе со взяточничеством.

    «Образование — это ключ к успеху. Это первоначальное вложение времени имеет большое значение. Мы известная компания и хотим быть уверены, что не сотрудничаем с потенциально опасной третьей стороной ».

    Интервью, старший специалист по комплаенсу

    Обучение должно быть стандартным компонентом инструментария для управления противодействием взяточничеству третьей стороной и считаться требованием для третьих сторон с высоким уровнем риска, однако компании часто игнорируют его.

    Коммуникации и обучение должны быть сосредоточены на третьих сторонах с высоким уровнем риска, таких как торговые агенты, но не следует предполагать, что крупные глобальные компании не нуждаются во внимании. Хотя можно ожидать, что у них будут действующие программы по борьбе со взяточничеством, продолжающееся применение мер по борьбе со взяточничеством с участием крупных компаний показывает, что это не является гарантией хорошей практики противодействия взяточничеству. Сотрудники крупных третьих сторон и их субподрядчики могут воспользоваться специальным обучением и индивидуализированными коммуникациями при работе от имени компании.

    Коммуникации и обучение — примеры передовой практики

    • Используйте подход к обучению, основанный на оценке риска: Например, используйте индивидуальное и более частое и очное обучение (считается более эффективным) для более высокого риска уровни и дистанционное онлайн-обучение для низкого уровня риска, а также гибрид обоих подходов для среднего уровня риска.
    • Интегрируйте систему обмена сообщениями: Поместите коммуникацию и обучение в области борьбы с взяточничеством в контекст корпоративных стандартов и процессов, других вопросов устойчивого развития и обязательств по ответственности.Коммуникации по борьбе со взяточничеством должны быть точными и заметными среди множества корпоративных коммуникаций, чтобы сообщение могло быть донесено до них.
    • Обеспечьте тон сверху: По возможности вовлекайте стороннее высшее руководство в обучение и общение, например, появляясь во вступлении, чтобы сказать несколько слов.
    • Сделайте это доступным: Сообщите о требованиях, рекомендациях и обучении по борьбе со взяточничеством на местных языках и в стиле, который ясно и неправомерно объясняет, что ожидается от сотрудников.
    • Обучите своих сотрудников: Регулярно проводите индивидуальное обучение сотрудников, которые взаимодействуют с третьими сторонами — это должно соответствовать выявленным рискам третьих сторон и соответствовать сообщениям, передаваемым третьим сторонам.
    • Интегрировать обучение сотрудников и сторонних организаций: Для некоторых третьих сторон, таких как торговые агенты, сопоставить обучение с обучением, предоставляемым сотрудникам, и рассмотреть возможность его распространения, по соглашению с участвующими сторонами, на субподрядчиков более низкого уровня с высоким уровнем риска, таких как таможенные брокеры назначается агентами.В случае необходимости привлекайте к обучению сотрудников третьи стороны или изменяйте внутреннее обучение — это может оказаться рентабельным.
    • Предоставить индивидуальные кодексы поведения или руководящие принципы делового поведения: Например, опубликуйте специальную страницу на веб-сайте компании, на которой изложены руководящие принципы для поставщиков, субподрядчиков и других третьих сторон, включая стандарты поведения и ожидания поставщиков в конкретных областях проблем , например подарки, развлечения и конфликт интересов.[1]
    12.3.6.2 Каналы для консультаций и сообщений

    Каналы для консультаций предоставляют информацию и отвечают на вопросы о программе по борьбе со взяточничеством. Каналы для оповещения (также называемые каналами для изобличения, горячими линиями или телефонами доверия) предназначены для сотрудников, чтобы они могли выразить озабоченность или сообщить о случаях взяточничества. Реже они предоставляются деловым партнерам.

    Компаниям следует рассмотреть возможность предоставления каналов связи для третьих сторон.Поскольку информаторы часто страдают от своих действий, сторонние сотрудники могут неохотно сообщать о проблемах. Их может воодушевить то, насколько хорошо компания обрабатывает отчеты и решает проблемы, а также объясняя конфиденциальность и защиту. Использование внешнего провайдера для канала обратной связи может также побудить третью сторону сообщить о своих опасениях, зная, что линия обслуживается независимым органом. Чтобы еще больше стимулировать использование каналов, компании следует подумать о том, чтобы сделать их доступными как на английском, так и на соответствующих иностранных языках.

    Каналы для консультаций и сообщений — примеры передовой практики

    • Поощрять третьи стороны высказываться: Расширить внутренние каналы связи до третьих лиц.
    • Проверка существующих каналов: Включите наличие процесса обсуждения у третьей стороны в качестве критерия должной осмотрительности.
    • Укрепите доверие к процессу: Преодолейте нежелание или опасения по поводу отчетности третьих сторон, укрепив их доверие к процедуре высказывания со стороны.Например, объяснение и напоминание о правовой защите информаторов, использование независимого агентства и / или отчетность о количестве (не характере) инцидентов и количестве разрешенных инцидентов.
    • Обеспечить обучение: Если компания проводит индивидуальное обучение для сотрудников третьих сторон, включите в курс обсуждение каналов для обсуждения. Это будет предметом согласования с третьей стороной, так как это может быть деликатная тема.
    • Поощряйте прямую отчетность: Дайте понять, что вопросы следует сообщать через компанию, будь то через менеджера по работе с клиентами, менеджера по соблюдению нормативных требований или через канал сообщения о нарушениях.

    12.3.6.3 Управление инцидентами

    Никакая программа по борьбе со взяточничеством не гарантирует, что компания не будет иметь случаев взяточничества в своей цепочке поставок. Необходима процедура для быстрого, тщательного и эффективного прогнозирования инцидентов и управления ими. Инциденты могут быть выявлены посредством мониторинга, аудитов, изобличения (включая внутренние подсказки из линий связи или сообщения властям) и сообщений СМИ или властями как следствие других расследований.Характер инцидента может варьироваться от подозрения до высокой вероятности взяточничества.

    При получении информации или заявлении о происшествии руководство должно проинформировать и проконсультироваться с юридическим отделом и отделом нормативно-правового соответствия и немедленно сообщить об инциденте высшему руководству. Все предполагаемые случаи взяточничества должны пройти сортировку, чтобы установить их достоверность, а также масштаб и серьезность затронутых проблем, что определит соответствующий уровень реагирования. Компания должна иметь план внутренних и внешних коммуникаций и эскалации, и в случае серьезного инцидента инвесторы должны будут быть проинформированы о потенциальной серьезности и действиях, которые необходимо предпринять.

    Компания должна расследовать, не сработали ли ее средства контроля и существует ли потенциальная уязвимость в соответствии с законами о взяточничестве. В рамках расследования компании, вероятно, потребуется реализовать свои договорные права на аудит третьей стороной, защитить и просмотреть документацию и электронные файлы, а также провести внутренние и сторонние интервью. Это может включать использование сторонней фирмы, имеющей опыт проведения расследований. Если сотрудники предположительно участвовали во взяточничестве с третьей стороной, компании может потребоваться приостановить их в случае необходимости.

    Управление инцидентами — Примеры передовой практики

    • Сотрудничать с властями: Разработать политику и процедуру для сообщения властям и полного сотрудничества с ними, если есть вероятность того, что взяточничество имело место, управляемое вашим юридическим лицом отделение.
    • Решите, продолжить или прекратить отношения : Решите, можно ли продолжить отношения в ходе расследования или их следует приостановить.Например, вы можете решить продолжить отношения, в которых третья сторона является важным партнером или инцидент со взяточничеством относится к одной функции третьей стороны и не отражает всю компанию. Если связь продолжается, прекратите контакты с лицами, причастными к обвинениям во взяточничестве или расследованию. Завершение судебного дела против компании, вероятно, будет сопровождаться корректирующими действиями, включая смену руководства и усиление мер по борьбе со взяточничеством. Даже в этом случае вы можете решить прекратить сотрудничество с третьей стороной, если поведение, о котором идет речь, было вопиющим, а проблемы остаются.Процесс принятия решений должен быть продуманным и задокументированным.
    • Учитесь на инцидентах : После того, как инцидент был завершен, улучшите свое стороннее управление с учетом всех извлеченных уроков.

    13,3.7 Мониторинг

    Внедрить строгие процедуры мониторинга для предотвращения и выявления случаев взяточничества и нарушений программы противодействия взяточничеству

    Требовать от третьих лиц с высоким риском ежегодной самосертификации того, что они соблюдают программу противодействия взяточничеству. Периодически повторяйте комплексную проверку существующих третьих сторон. Для сторон с высоким риском и там, где существует значительная озабоченность по поводу взяточничества, используйте договорные права аудита.

    Строгие процедуры контроля служат сдерживающим фактором для третьих сторон и сотрудников, рассматривающих взяточничество, и являются способом выявления подозрений или случаев взяточничества.

    Компания должна регулярно собирать новую информацию о третьих лицах, запрашивая обновленную информацию непосредственно у них, требуя от них самостоятельной сертификации соблюдения программы компании по борьбе со взяточничеством, проведения повторной комплексной проверки, осуществления прав на аудит и / или использования технологий для автоматизации некоторые из этого процесса.Подробный отчет сторонних аудитов описан в разделе 13.3.7.2.

    Результаты мониторинга будут регулярно сообщаться руководству и предоставлять информацию для публичной отчетности компании о мерах по борьбе со взяточничеством.

    Мониторинг — примеры передовой практики

    • Обновите информацию: Попросите все третьи стороны ежегодно заполнять онлайн-анкету, обновляя основную информацию о своей компании, такую ​​как собственность, приобретения и годовые отчеты.
    • Требовать ежегодной сертификации: Требовать ежегодной самосертификации от директора или главного исполнительного директора третьих сторон с высоким риском того, что а) их программа по борьбе со взяточничеством внедрена и подлежала пересмотру в течение года и б) существует Случаев взяточничества не было. Сертификация может включать заявление о любых достижениях, разработках или проблемах, которые могут повлиять на реализацию программы.
    • Продлить комплексную проверку: Все привлеченные по контракту третьи стороны периодически повторяют комплексную проверку, а также при повторном назначении.Для третьих сторон с высоким уровнем риска следует учитывать периодичность каждые два-три года.
    • Использовать технологию: Для определенных типов третьих сторон с высоким уровнем риска рассмотрите возможность постоянного мониторинга их профиля риска с использованием неблагоприятных средств массовой информации или более широкой технологии проверки данных. Также можно использовать инструменты мониторинга транзакций и анализа дат (описанные в разделе 6).
    • Демонстрация достижений: Поощряйте третьи стороны демонстрировать любые достижения в противодействии взяточничеству, такие как коллективные действия.Это укрепляет отношения, а также может дать ценные знания, которые можно применить к вашим третьим сторонам.
    13.3.7.1 Внутренний контроль

    После заключения контракта меры контроля программы борьбы со взяточничеством должны применяться ко всем отношениям с третьими сторонами, уделяя особое внимание тем, которые представляют наибольший риск. Программа компании по борьбе с взяточничеством будет включать внутренние финансовые и бухгалтерские меры контроля, такие как пороги утверждения, встречные подписи и разделение обязанностей, но они, возможно, потребуют уточнения для определенных типов третьих сторон для противодействия выявленным рискам.

    Операции с третьими сторонами должны отслеживаться на предмет контроля в ходе отношений. Технологические системы могут помочь отслеживать, где действия выполняются эффективно, и выделять, где транзакции или модели поведения выходят за рамки обычного. Например, аналитика данных по схемам закупок может выявить подозрительные или аномальные платежи, а инструменты отслеживания радиочастотной идентификации (RFID) могут использоваться для отслеживания дорогостоящих товаров и выявления случаев подмены, утечки, подделки или кражи, действий, которые часто становятся возможными благодаря взяточничество.

    Внутренний контроль — примеры передовой практики

    • Проверить действия на соответствие политикам компании: Проверить, что действия, выставленные в счет-фактурах, соответствуют политике компании в отношении гостеприимства, командировочных расходов, подарков, пожертвований, спонсорства и «вознаграждений за упрощение формальностей».
    • Изучите расходы с высокой степенью риска: Обеспечьте дополнительную проверку платежей по типам расходов с высоким уровнем риска (включая визы, таможню, налоги, правительственные сертификаты, лицензии, бонусы, комиссионные, подарки, развлечения, путешествия, пожертвования, маркетинг).
    • Проверьте свои средства контроля: Проверьте средства контроля, выбрав транзакции, убедившись, что надежная сторонняя документация хранится и транзакции точно регистрируются.
    • Обеспечьте соблюдение пороговых значений и встречных подписей: Обеспечьте соблюдение пороговых значений и встречных подписей для утверждения контрактов, платежей и транзакций.
    • Внедрение проверок и согласований : Введение и обеспечение выполнения списаний дебиторской задолженности, условий кредитования третьих сторон и повторной покупки запасов, проданных третьим сторонам.
    • Ограниченные юрисдикции: Выполняйте платежи только в юрисдикциях, где находится или работает третья сторона.
    • Запретить выплаты наличными: Запретить выплаты наличными и обеспечить строгий контроль за наличностью.
    • Разделение обязанностей: Убедитесь, что ни один сотрудник не занимается всеми аспектами отношений с третьей стороной.
    • Проверить платежи по предоставленным товарам и услугам: Проверить соответствие платежей за предоставленные товары и услуги.
    • Предоставьте подтверждающую документацию: Убедитесь, что счета-фактуры на платежи подтверждены полной документацией.

    13.3.7.2 Аудит третьей стороной

    Права на аудит являются стандартной частью соглашений со всеми третьими сторонами, однако вопрос о том, проводить ли аудит третьих сторон и каким образом, является большой проблемой для многих компаний. Опросы показывают, что многие компании не осуществляют аудиторские права. Исследование, проведенное КПМГ в 2015 году, показало, что более половины компаний, опрошенных с оговорками о праве на аудит, не применяют их (см .: Глобальное исследование по борьбе со взяточничеством и коррупцией, 2015 год, КПМГ, 2015, стр.3.). Часто права реализуются только тогда, когда возникает серьезная проблема с третьей стороной и отношения могут быть прекращены.

    Отсутствие прав на аудит часто связано с ресурсами и затратами, необходимыми для проведения аудитов, требованиями аудита по другим проблемным областям или сопротивлением третьих сторон аудиту. Есть также ряд проблем:

    • Третьи стороны могут иметь большой опыт в оформлении витрин, демонстрируя передовой опыт и сообщая аудиторам то, что они хотят услышать.
    • Аудит компаний первого уровня может быть недостаточным. Сотрудники первого уровня могут направлять взятки через субподрядчиков или полагаться на поставщиков и посредников при оказании услуг в тех случаях, когда взяточничество носит системный характер, например, в логистике или получении лицензий.
    • Удовлетворительный результат не гарантирует целостности. Уроки могут быть извлечены из тщательно проверенных проблемных областей, таких как работа или безопасность, где произошли серьезные инциденты, несмотря на доказательства предыдущих удовлетворительных проверок.

    Для всего этого права на аудит являются полезным сдерживающим фактором, ясно сигнализируя третьим сторонам о приверженности компании борьбе со взяточничеством и коррупцией.Кроме того, хотя основная цель может заключаться в повышении внимания, которое третья сторона уделяет своей программе по борьбе со взяточничеством, неисполнение прав аудита может рассматриваться властями как недостаток в случае расследования.

    Аудиты третьей стороной — Примеры передовой практики

    • Сосредоточение внимания на наивысших рисках : Сосредоточение сторонних аудитов на третьих сторонах с более высоким уровнем риска, но рассмотрите возможность аудита контрольной выборки третьих сторон с более низким уровнем риска, выбранных случайным образом.
    • Аудиты как должная осмотрительность : Рассматривайте аудиты как продолжение должной осмотрительности:
      • Применяется последовательно, периодически и пропорционально ко всем третьим сторонам с высоким уровнем риска
      • Осуществляется в отношении любой третьей стороны, если существует серьезная озабоченность по поводу взяточничества
    • Использование внешних аудиторов : Привлечение внешних аудиторов для получения независимой точки зрения. Они могут использовать обширный опыт передовой практики и пользуются большим доверием у заинтересованных сторон.Они также могут быть более приемлемыми для третьих лиц.
    • Рассмотрите более низкие уровни: Рассмотрите отношения с субподрядчиками и помните, что реальные риски могут лежать на более низких уровнях.
    • Проведение визитов на место : Помните, что это важный аспект аудита.
    • Управляйте затратами: Уменьшите нагрузку на ресурсы, проводя аудиты на постоянной основе в зависимости от времени, типов третьих сторон, бизнес-подразделений и местоположений.Использование коллективных отраслевых инициатив, где это уместно, таких как Sedex, также может снизить затраты на аудит.
    • Противодействие : Если третья сторона предоставляет аргументы, задержки или препятствия для сопротивления аудиту, постарайтесь найти работоспособное решение, чтобы успокоить третью сторону и позволить провести аудит. Например, можно провести обсуждение с владельцем или исполнительным директором, чтобы объяснить, почему необходим аудит, как он будет проводиться, и с уважением относиться к их озабоченности по поводу интеллектуальной собственности или рыночной конфиденциальной информации.Их интересы могут быть защищены путем редактирования информации в отчетах или привлечением независимого аудитора.
    • Разработайте план аудита и протоколы аудита: Разработайте их на основе ваших потребностей, опыта и лучших практик сравнительного анализа. Если вы используете независимых аудиторов, у них будет типовой план и протоколы, но вы должны сравнить их со своими собственными, чтобы убедиться, что подход подходит для ваших целей. Примеры можно найти в руководствах профессиональных организаций и консультантов. Примером может служить Практическое руководство Института внутренних аудиторов, Аудиторские программы по борьбе со взяточничеством и коррупцией.[1]
    • Будьте последовательны : Применяйте одни и те же стандарты аудита во всех проблемных областях. Это предотвращает отбор мелочей, позволяет делиться передовым опытом и повышает уверенность в результатах аудитов по борьбе со взяточничеством.
    • Используйте опыт : Используйте опытных интервьюеров и рецензентов, знающих передовой опыт и умеющих распознавать красные флажки.
    • Сущность ценности выше формы : При тестировании транзакций акцент должен делаться на достижении понимания сущности или бизнес-цели транзакции, а не ее юридической формы.
    • Установите связи: При тестировании свяжите финансовую информацию с нефинансовой.

    Последующие действия: Проведите дополнительные интервью или запросы, если это необходимо для получения разъяснений.


    [1] Практическое руководство: аудит программ противодействия взяточничеству и коррупции (IIA, 2014).

    13.3.7.3 Применение концепции к существующим третьим сторонам

    Структура, описанная в предыдущих разделах, в первую очередь относится к процессу привлечения новых третьих сторон.Однако, как только будут установлены политика и процедуры для управления третьими сторонами, их также следует применять ретроспективно к существующим сторонним группам компании. Кроме того, существующие отношения с третьими сторонами могут нуждаться в периодическом пересмотре в связи с изменениями критериев риска взяточничества или усилением контроля программы борьбы со взяточничеством.

    Ретроспективная комплексная проверка

    В процессе идентификации и оценки рисков компания собирает информацию о своих существующих третьих сторонах и использует ее для определения категорий риска.Затем компания должна присвоить рейтинг риска каждой из существующих третьих сторон, используя тот же процесс, который описан в разделе 4.4.

    После того, как компания присвоила категории риска существующей третьей стороне, ей следует провести ретроспективную комплексную проверку этих рисков. Менеджеры по работе с клиентами должны объяснять процесс своим третьим сторонам, выдавать им PQQ и анкеты, выявлять красные флажки и проводить обсуждения со своим руководством, если и когда будут выявлены потенциальные проблемы.Они должны сообщать обо всех изменениях в программе управления третьей стороной по борьбе со взяточничеством, а также о новых ожиданиях и требованиях, с которыми существующие третьи стороны могут столкнуться при продлении контракта. При выявлении значительных проблем следует разработать планы смягчения последствий, а при слишком высоком остаточном риске будет принято решение о том, следует ли пересматривать контракт, прекращать отношения или просто не продлевать контракт после его истечения. Это решение должно включать юридические аспекты и соблюдение требований, а в случае сложных решений оно может быть передано в комитет.

    Основной проблемой для компании будет распределение ресурсов. Для компании с большим количеством сторонних организаций это будет серьезным мероприятием, и она должна использовать подход, основанный на оценке риска, в соответствии с которым проведение комплексной проверки и снижение рисков для третьих сторон с наибольшим риском является главным приоритетом и основным направлением ее ресурсов.

    Комплексная проверка при повторном привлечении

    Комплексная проверка должна быть повторена при повторном привлечении всех третьих сторон с высоким уровнем риска и других третьих сторон в зависимости от подхода компании к рискам.Однако, если третья сторона уже подвергалась предварительному привлечению или возобновлению должной осмотрительности и регулярному мониторингу, нет необходимости начинать с нуля. Скорее, компания должна проверить информацию о третьей стороне, чтобы проверить ее актуальность и полноту, а также выявить любые потенциальные проблемы или красные флажки. Если информация отсутствует или неадекватна или у менеджера по взаимоотношениям есть опасения, компания должна провести поиск в Интернете, провести обсуждения с руководством третьей стороны и запросить информацию для решения этих проблем и выявления любых событий, таких как изменения в структуре владения акциями или управления, программа или бизнес-модель противодействия взяточничеству, а также любые обвинения, инциденты или санкции в отношении третьей стороны, о которых не было сообщено компании.Эти проверки должны проводиться для всех третьих сторон с высоким уровнем риска; при обнаружении значительных проблем компания должна рассмотреть возможность проведения полной комплексной проверки, включая комплексную проверку на местах, и, возможно, привлечение внешнего поставщика комплексной проверки.

    Включение результатов оценки рисков

    Если оценка рисков компании выявила новые риски третьих сторон, которые ранее не учитывались программой управления третьей стороной компании, или ранее существовавшие риски, которые не были должным образом классифицированы или смягчены, Компания должна применять новые критерии должной осмотрительности и, по возможности, процедуры мониторинга — включая аудит — к существующим третьим сторонам, где риски наиболее высоки.Это может включать пересмотр индивидуальных контрактов.

    Применение концепции к существующим третьим сторонам — примеры передовой практики

    • Используйте поэтапный подход, основанный на оценке риска: Если более высокие риски взяточничества связаны с определенными географическими регионами или направлениями бизнеса, выполните ретроспективную комплексную проверку поэтапно процесс в соответствии со структурами и подразделениями компаний с повышенным риском.
    • Согласование с существующими бизнес-процессами: Для третьих сторон с низким и средним уровнем риска: сокращение дублирования и повышение эффективности использования ресурсов путем согласования ретроспективной комплексной проверки с существующими бизнес-процессами, такими как циклы проверки контрактов.

    13.4 Публичная отчетность

    Публично сообщайте о ваших действиях по борьбе со взяточничеством третьих лиц

    Предоставляйте актуальную информацию в доступной форме, чтобы сообщить заинтересованным сторонам о приверженности вашей компании борьбе со взяточничеством и мерах по борьбе с коррупцией в отношении третьих сторон.

    Публичная отчетность — это способ, с помощью которого компании могут продемонстрировать заинтересованным сторонам, что они ответственно управляют третьими сторонами и имеют соответствующие системы для противодействия рискам, включая коррупцию. Это усиливает сообщения о борьбе со взяточничеством, передаваемые компанией другими способами своим нынешним и потенциальным сотрудникам и третьим сторонам. Не следует упускать из виду ценность отчетности для бизнеса, поскольку она может влиять на репутацию, качество, производительность и изменения.

    Антикоррупционная политика для представителей

    «Корпорация Microsoft и все ее дочерние компании и совместные предприятия по всему миру (« Microsoft ») требует своих торговых партнеров (например, торговых посредников, консультантов по программному обеспечению, производителей оригинального оборудования и дистрибьюторов), поставщиков, продавцов, консультантов, лоббистов и любых других сторонних представителей (совместно именуемых «Представители Microsoft») в соответствии с настоящей Политикой… Партнеры несут ответственность за обучение всех сотрудников, работающих от имени Microsoft.Мы предоставляем бесплатное онлайн-обучение и другие ресурсы в материалах слева ».

    Веб-сайт Microsoft

    Публичная отчетность — Примеры передовой практики

    • Определите ключевое содержание : Включите описание программы противодействия взяточничеству, процессов оценки рисков, процессов должной осмотрительности, применяемых к третьим сторонам и вклад программы в устойчивость. Ключевой контент также может включать обязательства, которые компания требует от своих третьих сторон, например соблюдение антикоррупционного законодательства, кодекса поведения, политики в отношении конфликтов интересов и политики в отношении подарков и развлечений.
    • Взаимодействуйте с заинтересованными сторонами : узнайте от заинтересованных сторон, что они считают существенным и что они хотят знать о компании. Сделайте это ценным бизнес-процессом, на основе которого будут действовать, а не поверхностным процессом, предназначенным исключительно для общения.
    • Определите существенность : Принимая решение о том, о чем сообщать, помните, что существенные проблемы — это те, которые важны для заинтересованных сторон и могут повлиять на способность компании реализовывать свою стратегию.
    • Определите ценность бизнеса : рассматривайте отчетность как способ увеличения стоимости. Например, укрепляя доверие инвесторов, передавая ключевые сообщения о борьбе со взяточничеством и повышая качество и производительность.
    • Продвигайте тон сверху: Продемонстрируйте приверженность руководства недопущению коррупции посредством сообщений и отчетов о своих действиях (например, посещениях объектов).
    • Мониторинг внешних ожиданий : Мониторинг и согласование с быстро меняющимися внешними ожиданиями и правилами для обеспечения прозрачности и отчетности как для добровольной, так и для обязательной отчетности.
    • Интегрируйте коммуникации : интегрируйте внутренние и внешние коммуникации и отчетность, поскольку они усиливают друг друга.
    • Включить показатели эффективности : Использование показателей эффективности, таких как проведенное обучение, инициативы коллективных действий, наличие и использование линий связи, используемые системы качества, сертификаты, восприятие третьими сторонами приверженности компании принципам добросовестности, расторжение контрактов и предоставление отчетов о них, доверие третьих лиц к компании и их понимание антикоррупционной программы, аудитов и т. д.
    • Индивидуальные отчеты : Предоставляйте адаптированные общедоступные отчеты для ваших третьих лиц. Например, сфокусирован на регионе, стране или характере отношений.
    • Сделайте его доступным и актуальным: Отчет об управлении третьей стороной в годовых отчетах, отчетах об устойчивом развитии и социальных сетях, а также на специальных веб-страницах.

    13.5 Информационные технологии управления

    13.5.1 Документация

    Процедура документации для третьей стороны по борьбе с взяточничеством является ключевым аспектом внутреннего контроля.Это важно по ряду причин, в том числе:

    • Соответствие законам : В случае расследования взяточничества власти Великобритании будут искать доказательства наличия адекватных процедур для документации. Отсутствие надлежащей документации часто является основанием для принудительного исполнения в соответствии с положениями о бухгалтерском учете FCPA.
    • Обеспечение аудита или следствия для расследования : Полная запись транзакций будет необходима для аудита и расследования случаев взяточничества со стороны властей.
    • Выявление взяточничества : Пробелы в документации, несоответствующие или фальсифицированные бухгалтерские книги и записи о сделках с третьими сторонами являются красным флажком для взяточничества.
    • Противодействие взяточничеству : Надежная система документации может предотвратить взяточничество.
    • Отслеживание внутреннего соответствия: Документация может помочь отследить соблюдение программы по борьбе со взяточничеством.
    • Непрерывное улучшение : Записи могут предоставлять информацию для упрощения процессов или улучшения контроля.

    Документация — Примеры передовой практики

    • Адаптируйте свой подход : Адаптируйте, если необходимо, политики и процедуры документации для поддержки управления сторонними организациями по борьбе с взяточничеством.
    • Интегрируйте документацию и рабочий процесс: Интегрируйте систему документации в систему электронного документооборота.
    • Требовать согласования : Требовать, чтобы процедуры документации третьей стороны соответствовали процедурам вашей компании, и контролировать их выполнение.
    • Записывать оценки рисков и комплексную проверку: Полностью задокументировать оценки рисков и проверки должной осмотрительности.
    • Уточните коды счетов : Обеспечьте полностью описательные названия кодов счетов и точную регистрацию уязвимых транзакций, таких как гонорары за консультационные услуги, представительские расходы, небольшие взятки («платежи за упрощение формальностей»).
    • Вести записи встреч : Записывать переговоры и встречи, включая любые важные неформальные обсуждения с третьими сторонами, особенно если они касаются честности или этического поведения.
    • Сроки удержания на заказ : Для третьих сторон, контракты или отношения которых выходят за рамки стандартных сроков хранения, проконсультируйтесь с юридическим отделом о потребностях, связанных с антикоррупционным и другим законодательством.

    13.5.2 Новые технологии и инструменты управления данными

    Развитие технологий предоставляет компаниям доступ к новым источникам и большему количеству данных о поставщиках. Новые технологии ускоряют оцифровку большинства форм корпоративной информации, и они становятся все более доступными с помощью электронных средств. Однако наибольшее развитие произошло в доступе к информации, которая до сих пор была недоступна; например, через социальные сети и другие формы сбора и анализа больших данных.Этот избыток данных также создает проблемы с точки зрения технологий, человеческих ресурсов и опыта, необходимых для обработки и анализа данных и превращения их в полезную информацию.

    Следующие категории показывают различные способы использования новых технологий и управления данными для поддержки управления отношениями с третьими сторонами:

    Комплексная проверка взаимоотношений с третьими сторонами

    Официальные и неофициальные источники данных могут быть использованы для получить более полное представление о бизнесе, директорах и руководстве третьей стороны, потенциальных конфликтах интересов, отношениях с политически значимыми лицами или другими лицами с высоким уровнем риска и конечными бенефициарными владельцами.В зависимости от предполагаемого риска и доступности информации могут быть рассмотрены нетрадиционные источники, включая данные из других юрисдикций, агрегаторы новостей и социальные сети. Помните о любых местных ограничениях в отношении конфиденциальности данных (см. «Законы о защите данных» ниже).

    Системы электронных закупок и управление поставщиками

    Технологии также могут облегчить третьим сторонам выполнение требований должной осмотрительности за счет использования порталов самообслуживания, где третья сторона может заполнить и загрузить необходимые данные и периодически обновляйте его.Такие системы могут значительно сократить время и стоимость предварительной проверки для обеих сторон. Вспомогательные системы могут обнаруживать аномалии в любых введенных данных и вызывать тревогу.

    Непрерывный мониторинг существующих отношений

    Автоматизация постоянного мониторинга часто упускается из виду [1], но, если она хорошо спроектирована, хорошая система улавливает исключения, такие как любые изменения владельца, новые обвинения или судебные дела, нарушение новости (положительные или отрицательные) и любая другая информация, которая может иметь отношение к текущему коммерческому управлению отношениями.Уровень сложности такой системы мониторинга должен соответствовать размеру договорных отношений и уровню предполагаемого риска.

    Управление существующими отношениями

    Хорошее управление данными и их хранение, конечно, позволят лучше управлять текущими отношениями. Кроме того, такие системы будут неоценимы в случае любого случая взяточничества или расследования.

    Примеры того, как можно использовать такую ​​систему:

    • Управление взаимоотношениями : Документирование, анализ и отслеживание взаимоотношений на протяжении всего процесса, включая контракты, транзакции, встречи, переговоры и прогресс, производительность и результаты, включая аудит.
    • Соответствие : Отслеживание соблюдения программы компании по борьбе с взяточничеством с использованием ключевых показателей внутреннего контроля, красных флажков и несоблюдения.
    • Контрольный журнал : предоставление доступных записей, которые могут использоваться в качестве доказательств в случае проведения расследований аудиторами или властями.

    Доступность данных

    Информацию можно обрабатывать централизованно и сделать доступной для сотрудников на местном уровне через Интернет и мобильные устройства.Доступ может быть предоставлен всем сотрудникам, чтобы они знали, какие третьи стороны зарегистрированы или аккредитованы, или доступ может быть ограничен по функциям или географическому положению в зависимости от обстоятельств.

    Законы о защите данных

    Процессы должной осмотрительности и мониторинга должны соответствовать законам о защите данных в юрисдикциях, в которых работает компания и ее третьи стороны. Законы о защите данных могут стать серьезным препятствием для проведения комплексной проверки, не позволяя компаниям получать информацию о третьих лицах.Например, Закон Великобритании о защите данных 1988 г. требует, чтобы личные данные не хранились дольше, чем это необходимо. Директива ЕС о защите данных предусматривает, что данные не должны обрабатываться вообще, за исключением случаев, когда выполняются условия по трем категориям прозрачности, законной цели и соразмерности.

    Некоторая информация будет защищена законами о защите конфиденциальности и будет доступна только отделам, отвечающим за соблюдение нормативных требований, или юридическим отделам. Некоторая информация, хранящаяся в системе компании, неизбежно будет конфиденциальной, например доказательства риска взяточничества, конфликта интересов, ненадлежащего поведения, слабых мест или красных флажков.

    Новые технологии и инструменты управления данными — Примеры передовой практики

    • Консультации юрисконсультов : Привлечение юрисконсультов к разработке и внедрению систем для обеспечения соблюдения законодательства.
    • Разработка и применение новой технологии : Решите, использовать ли коммерческие программные системы, которые широко доступны для компаний любого размера, или разрабатывать собственные решения. Обсудите проект с представителями компании, которые будут использовать систему, а также с третьими сторонами, которым, возможно, придется вводить данные.


    [1] Kroll and Compliance Week, 2015, стр.21

    Отношения со сторонними организациями: часто задаваемые вопросы для дополнения бюллетеня OCC 2013-29

    Управление валютного контролера (OCC) выпускает часто задаваемые вопросы (FAQ) в дополнение к бюллетеню OCC 2013-29, «Отношения со сторонними организациями» : Руководство по управлению рисками », выпущено 30 октября 2013 г.Эти часто задаваемые вопросы призваны разъяснить существующие рекомендации OCC и отразить развивающиеся отраслевые тенденции.

    В этом новом бюллетене отменяется бюллетень OCC 2017-21 «Отношения с третьими сторонами: часто задаваемые вопросы для дополнения бюллетеня OCC 2013-29», выпущенный 7 июня 2017 года. Часто задаваемые вопросы из бюллетеня OCC 2017-21 были включены без изменений в этот новый бюллетень, за исключением вопроса № 24, который был обновлен, чтобы отразить текущую информацию отчета AICPA Service Organization Control. Номера часто задаваемых вопросов из бюллетеня OCC 2017–21 указаны в скобках по всему бюллетеню.

    Бюллетень OCC 2013-29 посвящен управлению рисками в отношениях с третьими сторонами. OCC ожидает, что банк будет практиковать эффективное управление рисками независимо от того, осуществляет ли банк внутреннюю деятельность или через третью сторону. Использование банком третьих сторон не уменьшает ответственность банка за осуществление деятельности безопасным и надежным образом и в соответствии с применимыми законами и нормативными актами. Управление рисками третьих сторон в банке должно соответствовать уровню риска и сложности его взаимоотношений с третьими сторонами; Чем выше риск индивидуальных отношений, тем более надежным должно быть управление рисками третьей стороны для этих отношений.Руководство банка должно определять риски, связанные с каждым из взаимоотношений банка с третьими сторонами.

  1. Что такое отношения с третьими сторонами? (первоначально FAQ № 1 в бюллетене OCC 2017–21)
    Бюллетень OCC 2013–29 определяет отношения с третьей стороной как любое деловое соглашение между банком и другим лицом, заключенное по контракту или иным образом.

    Руководство банка должно проводить тщательную комплексную проверку и постоянный мониторинг каждого стороннего поставщика услуг банка, который поддерживает критически важные виды деятельности.OCC понимает, что, хотя банкам может потребоваться подробная информация, они могут не получить всю информацию, которую они ищут, о каждом важном стороннем поставщике услуг, особенно от новых компаний. Когда банк не получает всю необходимую ему информацию о сторонних поставщиках услуг, которые поддерживают критически важную деятельность банка, OCC ожидает, что совет директоров и руководство банка

    • разработать соответствующие альтернативные способы анализа этих критически важных сторонних поставщиков услуг.
    • установить средства контроля, снижающие риски.
    • быть готовым к устранению перебоев в доставке (например, использовать несколько платежных систем, генераторы для электроэнергии и несколько линий связи на критических объектах и ​​за их пределами).
    • принимает решения, основанные на оценке риска, о том, что эти важные сторонние поставщики услуг являются лучшими поставщиками услуг, доступными для банка, несмотря на то, что банк не может получить всю информацию, которую он хочет.
    • хранят соответствующую документацию обо всех своих усилиях по получению информации и соответствующих решениях.
    • обеспечивает соответствие контрактов потребностям банка.
  2. Что такое «деловая договоренность»?
    Бюллетень OCC 2013-29 утверждает, что отношения с третьими сторонами — это любые деловые отношения между банком и другим лицом, заключенные по контракту или иным образом. Термин «деловое соглашение» следует толковать в широком смысле и является синонимом термина «отношения с третьей стороной». В примечании к бюллетеню OCC 2013-29 приводятся примеры деловых соглашений (взаимоотношений с третьими сторонами), таких как деятельность, связанная с внешними продуктами и услугами, использование независимых консультантов, сетевые соглашения, обработка платежей продавцов, услуги, предоставляемые аффилированными и дочерними компаниями, совместные предприятия и другие деловые соглашения, в которых банк поддерживает постоянные отношения или может нести ответственность за соответствующие записи.Ни письменный договор, ни денежный обмен не требуются для установления деловых отношений; все, что необходимо, — это соглашение между банком и третьей стороной. Деловые соглашения обычно исключают клиентов банка.

    Традиционно банки используют термины «продавец» или «внешний подрядчик» для описания деловых отношений и часто используют эти термины вместо отношений с третьими сторонами. «Поставщиком» обычно является физическое лицо или компания, предлагающие что-то на продажу, а банки могут «передать» выполнение банковских функций или задач другой компании.Отношения банка с поставщиками или организациями, которым банки передают функции или деятельность банка на аутсорсинг, не являются единственными видами деловых соглашений.

    С момента публикации бюллетеня OCC за 2013-29 годы деловые отношения расширились и стали более разнообразными, а в некоторых случаях — более сложными. OCC получил запросы о разъяснении деловых договоренностей и их отношения к бюллетеню OCC 2013-29. Вот несколько примеров:

    • Реферальные соглашения: Реферальные соглашения — это продолжающееся соглашение между банком и другой стороной (например,g., банк, юридическое или физическое лицо), в котором банк направляет потенциальных клиентов (или «потенциальных клиентов») другой стороне в обмен на некоторую форму компенсации. Компенсация также может быть нефинансовой, такой как кросс-маркетинг. У банка есть деловые отношения со стороной, получающей направление от банка.
    • Оценщики и компании по управлению оценкой: Некоторые банки содержат утвержденную группу или список индивидуальных оценщиков. Когда запрашивается оценка, банк заключает договор с индивидуальным оценщиком.Это устанавливает деловые отношения между банком и индивидуальным оценщиком. Банки могут также передать на аутсорсинг процесс привлечения оценщиков недвижимости оценочным управляющим компаниям. В таком случае у банка есть деловые отношения с оценочной управляющей компанией, которую использует банк. 2
    • Поставщики профессиональных услуг: Поставщики услуг, такие как юридические фирмы, консультанты или аудиторские фирмы, часто предоставляют профессиональные услуги банкам. Банк, получающий эти профессиональные услуги, имеет деловые отношения с поставщиком профессиональных услуг. 3
    • Компании по техническому обслуживанию, кейтерингу и кастодиальным услугам: Есть много компаний, которые могут потребоваться банку или бизнесу для предоставления продукта или услуги банку или клиентам банка. У банка есть деловые отношения с каждым из этих типов компаний. 4
  3. Имеет ли компания, предоставляющая банку облачные вычисления, отношения с банком третьей стороной? Если да, то каковы ожидания стороннего управления рисками?
    Согласно бюллетеню OCC 2013-29, банк, имеющий деловые отношения с поставщиком облачных услуг, имеет отношения третьей стороны с поставщиком облачных услуг.Управление рисками третьих сторон для служб облачных вычислений в основном такое же, как и для других сторонних отношений. Уровень должной осмотрительности и надзора должен быть соизмерим с риском, связанным с деятельностью или данными с использованием облачных вычислений. Руководству банка следует иметь в виду, что конкретные технические средства контроля в облачных вычислениях могут работать иначе, чем в более традиционных сетевых средах.

    При использовании служб облачных вычислений руководство банка должно четко понимать и задокументировать в контракте средства контроля, за управление которыми несет ответственность поставщик услуг облачных вычислений, и средства контроля, за настройку и управление которых несет ответственность банк.Независимо от разделения обязанностей по контролю между поставщиком облачных услуг и банком, банк несет полную ответственность за эффективность контрольной среды.

    Банк может иметь отношения третьей стороны с третьей стороной, которая заключила субподряд с поставщиком облачных услуг для размещения систем, поддерживающих стороннего поставщика услуг. Как и в случае с другими отношениями с третьими сторонами, руководство банка должно провести комплексную проверку, чтобы подтвердить, что третья сторона может удовлетворительно контролировать и контролировать субподрядчика облачных услуг. 5 Во многих случаях для этой цели могут использоваться независимые отчеты, такие как отчеты системного и организационного контроля (SOC). 6

  4. Если агрегатор данных 7 собирает разрешенные клиентом данные из банка, имеет ли агрегатор данных отношения третьей стороны с банком? Если да, то каковы ожидания стороннего управления рисками?
    Агрегатор данных обычно действует по запросу и от имени клиента банка без участия банка в соглашении.Банки обычно позволяют обмениваться информацией о клиентах, с разрешения клиента, с агрегаторами данных для поддержки выбора клиентов финансовых услуг. Наличие у банка деловых отношений с агрегатором данных зависит от уровня формальности любых договоренностей, которые Банк имеет с агрегатором данных для обмена данными с разрешения клиентов.

    Банк, имеющий деловые отношения с агрегатором данных, имеет отношения с третьей стороной в соответствии с существующими рекомендациями в бюллетене OCC 2013-29.Независимо от структуры деловой договоренности по обмену данными с разрешения клиентов, уровень должной осмотрительности и постоянного мониторинга должен быть соизмерим с риском для банка. Во многих случаях банки могут не получать прямых услуг или извлекать выгоду из этих договоренностей. В этих случаях уровень риска для банков обычно ниже, чем при более традиционных деловых соглашениях. Однако банки по-прежнему несут ответственность за безопасное и надежное управление этими отношениями с защитой потребителей.

    Информационная безопасность и защита конфиденциальных данных клиентов должны быть основным направлением управления рисками сторонних организаций, когда банк планирует или имеет деловые отношения с агрегатором данных. Нарушение безопасности агрегатора данных может поставить под угрозу многочисленные банковские реквизиты клиентов и конфиденциальную информацию о клиентах, нанеся ущерб клиентам банка и потенциально вызвав риск репутации и безопасности, а также финансовую ответственность для банка.

    Если банк не получает прямую услугу от агрегатора данных и если нет договоренности о бизнесе, банки все равно имеют риск обмена данными, разрешенными клиентами, с агрегатором данных.Руководство банка должно провести комплексную проверку, чтобы оценить деловой опыт и репутацию агрегатора данных, чтобы получить уверенность в том, что агрегатор данных поддерживает средства контроля для защиты конфиденциальных данных клиентов.

    Ниже приведены примеры различных типов взаимодействия банков с агрегаторами данных.

    • Соглашения об использовании банками услуг агрегирования данных: 8 Деловое соглашение существует, когда банк заключает договор или устанавливает партнерские отношения с агрегатором данных для использования услуг агрегатора данных для предложения или улучшения банковского продукта или услуги.Должная осмотрительность, переговоры по контракту и постоянный мониторинг должны быть соразмерны риску, как и управление рисками банка в отношениях с другими третьими сторонами.
    • Соглашения об обмене данными с разрешения клиентов: Многие банки заключают двусторонние соглашения с агрегаторами данных для обмена данными с разрешениями клиентов, как правило, через интерфейс прикладного программирования (API). 9 Банки обычно заключают эти соглашения для обмена конфиденциальными данными клиентов через эффективный и безопасный портал.Эти бизнес-механизмы с использованием API-интерфейсов могут сократить использование менее эффективных методов, таких как очистка экрана, и могут позволить клиентам банка лучше определять и управлять данными, которыми они хотят поделиться с агрегатором данных, и ограничивать доступ к ненужным конфиденциальным данным клиентов.

      Когда банк устанавливает договорные отношения с агрегатором данных для обмена конфиденциальными данными клиентов (с разрешения клиента банка), банк устанавливает деловое соглашение, как определено в бюллетене OCC 2013-29.В такой договоренности клиент банка разрешает обмен информацией, и банк обычно не получает прямых услуг или финансовой выгоды от третьей стороны. Однако, как и в случае с другими деловыми соглашениями, банки должны получить определенную уверенность в том, что агрегатор данных надлежащим образом управляет конфиденциальной информацией о клиентах банка с учетом потенциального риска.

    • Очистка экрана: Распространенным методом агрегирования данных является очистка экрана, при котором агрегатор данных использует учетные данные клиента (которые предоставил клиент) для доступа к веб-сайту банка, как если бы это был клиент.Агрегатор данных обычно использует автоматизированные сценарии для сбора различных данных, которые затем предоставляются клиенту или приложению финансовых технологий (финтех), которое обслуживает клиента или другой бизнес. Соответствующие соглашения о разрешенном клиентом обмене информацией обычно заключаются между клиентом и поставщиком финансовых услуг или агрегатором данных и не предполагают договорных отношений с банком.

      Хотя действия по очистке экрана обычно не соответствуют определению организации бизнеса, банкам следует принять участие в соответствующем управлении рисками для этой деятельности.Очистка экрана может создавать операционные риски и риски для репутации. Банки должны принимать меры для обеспечения безопасности и надежности обмена данными, полученными с разрешения клиентов, с третьими сторонами. Системы мониторинга информационной безопасности банков или их поставщиков услуг должны выявлять крупномасштабные действия по очистке экранов. При обнаружении банкам следует предпринять соответствующие шаги для определения источника этих действий и провести надлежащую проверку, чтобы получить разумные гарантии контроля за управление этим процессом.Эти усилия могут включать исследования для подтверждения собственности и понимания деловой практики фирм; прямое общение для изучения методов обеспечения безопасности и управления; обзор независимых аудиторских отчетов и оценок; и постоянный мониторинг деятельности по обмену данными.

  5. Какой вид комплексной проверки и постоянного мониторинга следует проводить, когда банк заключает договор, в котором банк имеет ограниченные переговорные возможности?
    Некоторые компании не разрешают банкам обсуждать изменения в их стандартном контракте, не делятся своими планами возобновления бизнеса и аварийного восстановления, не разрешают посещения объектов или не отвечают на анкету банка по комплексной проверке.В таких ситуациях возможности руководства банка по проведению должной осмотрительности, переговоров по контракту и постоянного мониторинга, которые обычно проводятся, ограничены, даже если отношения с третьей стороной связаны с критически важной деятельностью банка или поддерживают ее.

    Когда банк не получает всю информацию, которую он ищет, о третьей стороне, которая поддерживает критически важную деятельность банка, руководство банка должно предпринять соответствующие действия для управления рисками в этой договоренности. Такие действия могут включать

    • определение того, находится ли риск для банка, связанного с ограниченными возможностями ведения переговоров, в пределах его аппетита к риску.
    • определение подходящих альтернативных методов анализа этих важных третьих сторон (например, использование информации, размещенной на веб-сайте третьей стороны).
    • готовится устранить перебои в доставке (например, использовать несколько платежных систем, генераторы для электроснабжения и несколько линий связи на критических объектах и ​​за их пределами).
    • проводит тщательный анализ для подтверждения решения о том, что конкретная третья сторона является наиболее подходящей третьей стороной, доступной для банка.
    • сохранение соответствующей документации об усилиях по получению информации и связанных с ней решений.
    • , подтверждающий, что контракты соответствуют потребностям банка, даже если они не являются индивидуализированными контрактами.
  6. Как банкам следует структурировать процесс управления сторонними рисками? (Первоначально часто задаваемые вопросы № 3 в бюллетене OCC 2017–21)
    У банков нет единого способа структурировать свой процесс управления рисками третьей стороны. В бюллетене OCC 2013-29 отмечается, что OCC ожидает, что банки примут эффективный процесс управления рисками третьих сторон, соизмеримый с уровнем риска и сложностью их взаимоотношений с третьими сторонами.Некоторые банки распределили ответственность за процесс управления рисками третьих сторон между своими бизнес-направлениями. Другие банки централизовали управление процессом в рамках своих функций соответствия, информационной безопасности, закупок или управления рисками. Независимо от того, где находится подотчетность, каждое применимое направление бизнеса может внести ценный вклад в процесс управления рисками третьей стороны, например, путем выполнения оценки рисков, изучения вопросников и документов комплексной проверки и оценки средств контроля над отношениями с третьими сторонами.Персонал, выполняющий функции контроля, такие как программы аудита, управления рисками и соответствия, должен участвовать в управлении отношениями с третьими сторонами. Независимо от того, как банк структурирует свой процесс управления рисками третьих сторон, совет директоров несет ответственность за надзор за разработкой эффективного процесса управления рисками третьих сторон, соизмеримого с уровнем риска и сложностью отношений с третьими сторонами. Периодическая отчетность совета директоров важна для обеспечения выполнения обязанностей совета директоров.
  7. Бюллетень OCC 2013-29 определяет отношения с третьими сторонами очень широко и гласит, что это применимо к отношениям с меньшим риском. Как банку снизить затраты на надзор за отношениями с меньшим риском? (первоначально FAQ № 2 из бюллетеня OCC 2017–21)
    Не все отношения с третьими сторонами представляют одинаковый уровень риска. Одна и та же взаимосвязь может представлять разные уровни риска для разных банков. Руководство банка должно определить риски, связанные с отношениями с каждой третьей стороной, а затем определить, как скорректировать практику управления рисками для каждого отношения.Цель состоит в том, чтобы методы управления рисками банка для каждого отношения были соизмеримы с уровнем риска и сложностью отношений с третьими сторонами. Эта оценка риска должна периодически обновляться на протяжении всего сотрудничества. Не следует проводить разовую оценку в начале отношений.

    OCC ожидает, что банки будут проводить комплексную проверку и постоянный мониторинг всех отношений с третьими сторонами. Однако уровень должной осмотрительности и постоянного мониторинга может различаться для каждой третьей стороны и должен быть индивидуальным.Уровень должной осмотрительности и постоянного мониторинга должен соответствовать уровню риска и сложности, создаваемым взаимоотношениями с каждой третьей стороной. OCC ожидает, что в отношении критически важных мероприятий комплексная проверка и постоянный мониторинг будут надежными, всеобъемлющими и надлежащим образом задокументированными. Кроме того, в отношении действий, которые руководство банка определяет как низкорисковые, руководство должно следовать установленным советом директоров политикам и процедурам в отношении должной осмотрительности и постоянного мониторинга.

  8. Бюллетень OCC 2013-29 заявляет, что OCC ожидает более всестороннего и строгого надзора и управления отношениями с третьими сторонами, которые связаны с критически важными видами деятельности.Какие отношения с третьими сторонами связаны с критически важными действиями?
    Бюллетень OCC 2013-29 указывает, что критически важные виды деятельности включают важные банковские функции (например, платежи, клиринг, расчеты и хранение) или важные общие услуги (например, информационные технологии) или другие виды деятельности, которые
    • может привести к тому, что банк столкнется со значительным риском, если третья сторона не оправдает ожиданий.
    • может оказать значительное влияние на клиентов.
    • требуют значительных инвестиций в ресурсы для реализации отношений с третьей стороной и управления рисками.
    • Код
    • может оказать серьезное влияние на банковские операции, если банку потребуется найти альтернативную третью сторону или если внешняя деятельность будет осуществляться внутри компании.
    В рамках постоянного мониторинга руководство банка должно периодически оценивать существующие отношения с третьими сторонами, чтобы определить, является ли характер выполняемой деятельности критически важной. Некоторые банки присваивают критичность или уровень риска каждому взаимоотношению с третьей стороной, тогда как другие определяют критически важные виды деятельности и тех третьих сторон, которые связаны с критически важными видами деятельности.Любой из подходов соответствует принципам управления рисками, изложенным в бюллетене OCC 2013-29. Не все отношения, связанные с критически важными действиями, обязательно являются критическими отношениями с третьей стороной. Простое участие в критически важной деятельности не обязательно делает третью сторону критически важной третьей стороной. Банк часто имеет несколько отношений с третьими сторонами, которые поддерживают одну и ту же важную деятельность (например, крупный банковский проект или инициативу), но не все эти отношения имеют решающее значение для успеха этой конкретной деятельности.Независимо от подхода банка, у банка должна быть надежная методология для определения того, какие отношения с третьими сторонами подлежат более всестороннему и строгому надзору и управлению рисками.
  9. Как руководство банка должно определять риски, связанные с отношениями с третьими сторонами?

    Бюллетень OCC 2013-29 признает, что не все отношения с третьими сторонами представляют одинаковый уровень риска или критичности для операций банка. Риск не зависит от размера сторонних отношений.Например, крупный поставщик услуг, доставляющий канцелярские товары, может иметь низкий риск; небольшой поставщик услуг в зарубежной стране, который предоставляет услуги информационных технологий для колл-центра банка, может считаться высокорисковым.

    Некоторые банки классифицируют свои отношения с третьими сторонами по сходным характеристикам риска и критичности (например, поставщики услуг информационных технологий; менеджеры портфелей; поставщики общественного питания, обслуживания и земледелия; а также поставщики услуг безопасности). Затем руководство банка применяет различные стандарты для комплексной проверки, заключения контрактов и постоянного мониторинга в зависимости от профиля риска категории.Разграничивая сторонних поставщиков услуг по категориям, профилю риска или критичности, банк может повысить эффективность комплексной проверки, заключения контрактов и постоянного мониторинга.

    Руководство банка должно определить риски, связанные с каждой третьей стороной или каждой категорией отношений. Управление рисками третьих сторон в банке должно соответствовать уровню риска и сложности его взаимоотношений с третьими сторонами; Чем выше риск для отдельного лица или категории отношений, тем более надежным должно быть стороннее управление рисками для этих отношений или категории отношений.Политика банка в отношении степени должной осмотрительности, переговоров по контрактам и постоянного мониторинга отношений с третьими сторонами должна показывать различия, соответствующие разным уровням риска.

  10. Считается ли создание финтех компании важным видом деятельности? (первоначально FAQ № 7 из бюллетеня OCC 2017–21)
    Взаимоотношения банка с финтех-компанией могут включать или не включать критически важную деятельность банка, в зависимости от ряда факторов. Бюллетень OCC 2013-29 содержит критерии, которые совет директоров и руководство банка могут использовать для определения важнейших видов деятельности.Правление и руководство каждого банка должны определять важнейшие виды деятельности банка и отношения с третьими сторонами, связанные с этими критически важными видами деятельности. Правление (или его комитеты) должны утверждать политику и процедуры, определяющие, как выявляются критически важные виды деятельности. Согласно бюллетеню OCC 2013-29, важнейшие виды деятельности могут включать в себя важные функции банка (например, платежи, клиринг, расчеты и хранение), важные общие услуги (например, информационные технологии) или другие виды деятельности, которые
    • может привести к тому, что банк столкнется со значительным риском, если третья сторона не оправдает ожиданий.
    • может оказать значительное влияние на клиентов банка.
    • требует значительных вложений в ресурсы для установления отношений с третьими сторонами и управления рисками.
    • Код
    • может оказать серьезное влияние на банковские операции, если банку придется найти альтернативную третью сторону или если аутсорсинговые операции придется проводить внутри компании.
    OCC ожидает, что банки будут более всесторонне и строго управлять отношениями с третьими сторонами, которые связаны с критически важными видами деятельности.
  11. Каковы обязанности руководства банка в отношении субподрядчиков третьей стороны?
    Третьи стороны часто прибегают к помощи поставщиков, поставщиков услуг или других организаций.В бюллетене OCC 2013‑29 эти организации называются субподрядчиками, которые также называются четвертыми сторонами.

    В рамках комплексной проверки и постоянного мониторинга руководство банка должно определить, надлежащим ли образом третья сторона осуществляет надзор и мониторинг своих субподрядчиков. Бюллетень OCC 2013-29 включает информацию о видах деятельности, которые руководство банка должно проводить в отношении того, как третьи стороны осуществляют надзор и мониторинг субподрядчиков.

    Третьи стороны могут не управлять своими субподрядчиками с той же строгостью, которую банк применил бы, если бы он привлек субподрядчика напрямую.Чтобы продемонстрировать свой надзор за своими субподрядчиками, третья сторона может предоставить банку независимые отчеты или сертификаты. Например, как объясняется в FAQ № 23, отчет SOC 1, тип 2 может быть особенно полезным, поскольку стандарты Американского института сертифицированных бухгалтеров требуют, чтобы аудитор определял и сообщал об эффективности внутреннего контроля клиента за финансовая отчетность и соответствующие средства контроля для мониторинга соответствующих субподрядчиков. Другими словами, отчет SOC 1 может предоставить руководству банка полезную информацию для целей оценки того, имеет ли третья сторона эффективный надзор за своими субподрядчиками.

    В ходе комплексной проверки руководство банка должно оценить объем и виды деятельности по субподряду, а также географическое расположение субподрядчиков. Руководство банка должно определить способность третьей стороны выявлять и контролировать риски, связанные с использованием субподрядчиков, и определять, насколько качество субподрядчика является удовлетворительным, и если субподрядчик имеет достаточный контроль, независимо от того, где находится деятельность субподрядчика.

    В контрактах должно быть указано, когда и как третья сторона уведомит банк о своем намерении использовать субподрядчика, а также о том, как третья сторона будет отчитываться перед банк в отношении соблюдения субподрядчиком показателей эффективности, результатов периодических проверок, соблюдения законов и нормативных актов, а также других договорных обязательств третьей стороны.

    Ключевые области постоянного мониторинга могут включать:

    • характер и степень изменений в зависимости, подверженности или эффективности третьей стороны субподрядчикам.
    • местонахождение субподрядчиков и банковские данные.
    • , предоставляют ли субподрядчики услуги для критически важных работ.
    • , имеют ли субподрядчики доступ к конфиденциальной информации о клиентах.
    • мониторинг и контрольное тестирование субподрядчиков третьей стороной.
    Инвентаризация банка сторонних отношений должна идентифицировать третьи стороны, которые используют субподрядчиков. Это особенно важно для взаимоотношений банка с третьими сторонами, которые поддерживают критически важную деятельность банка, или для третьих сторон с повышенным риском.
  12. Когда несколько банков используют одних и тех же сторонних поставщиков услуг, могут ли они сотрудничать 10 , чтобы соответствовать ожиданиям в отношении управления отношениями с третьими сторонами, указанным в бюллетене OCC 2013-29? (изначально FAQ No.4 из бюллетеня OCC 2017-21)
    Если они используют одних и тех же поставщиков услуг для защиты или получения аналогичных продуктов или услуг, банки могут сотрудничать 11 для удовлетворения определенных ожиданий, таких как выполнение комплексной проверки, переговоров по контрактам и обязанности по мониторингу описаны в бюллетене OCC 2013-29. Однако аналогичные продукты и услуги могут представлять различный уровень риска для каждого банка, который использует эти продукты или услуги, что делает сотрудничество полезным инструментом, но недостаточным для полного выполнения обязательств банка в соответствии с Бюллетенем OCC 2013-29.Совместная работа позволяет использовать ресурсы за счет распределения затрат между несколькими банками. Кроме того, многие банки, использующие аналогичные продукты и услуги от поставщиков технологий или других услуг, могут стать членами групп пользователей. Часто эти группы пользователей создают возможность для банков, особенно местных банков, сотрудничать со своими коллегами по вопросам инновационных продуктов, усовершенствований существующих продуктов или услуг, а также по вопросам обслуживания клиентов и управления взаимоотношениями с поставщиками услуг.Однако банки, использующие индивидуализированный продукт или услугу, могут быть не в состоянии использовать сотрудничество для полного выполнения своих обязательств по комплексной проверке, переговорам по контрактам или текущим обязанностям.

    Банки могут использовать различные инструменты, предназначенные для помощи в оценке средств контроля сторонних поставщиков услуг. В целом, эти типы инструментов предлагают стандартизированные подходы к выполнению комплексной проверки и постоянного мониторинга сторонних поставщиков услуг с помощью участвующих третьих сторон в заполнении общих анкет для оценки безопасности, конфиденциальности и устойчивости бизнеса.После того, как третьи лица заполнят анкеты, результаты могут быть переданы многочисленным банкам и другим клиентам. Сотрудничество может привести к усилению переговорных возможностей и снижению затрат для банков на этапе согласования контрактов в жизненном цикле управления рисками.

    Некоторые общественные банки присоединились к альянсу, чтобы создать стандартизированный контракт со своими общими сторонними поставщиками услуг и улучшить переговорные возможности.

  13. При сотрудничестве для выполнения обязанностей по управлению отношениями с общим сторонним поставщиком услуг, какие обязанности каждый банк по-прежнему должен выполнять индивидуально, чтобы соответствовать ожиданиям, изложенным в бюллетене OCC 2013-29? (изначально FAQ No.5 из бюллетеня OCC 2017-21)
    Хотя соглашения о сотрудничестве могут помочь банкам в выполнении их обязанностей на этапах жизненного цикла по управлению рисками третьих сторон, каждый отдельный банк должен иметь свой собственный эффективный процесс управления рисками третьих сторон, адаптированный к специфике каждого банка. потребности. Некоторые индивидуальные специфические для банка обязанности включают определение требований к планированию и прекращению обслуживания (например, планы по управлению отношениями со сторонним поставщиком услуг и разработку планов действий в чрезвычайных ситуациях в ответ на прекращение обслуживания), а также
    • интеграция использования продуктов и каналов доставки в процесс стратегического планирования банка и обеспечение согласованности с внутренним контролем банка, корпоративным управлением, бизнес-планом и аппетитом к риску.
    • для оценки степени риска, который несет банк через стороннего поставщика услуг, и способности банка отслеживать и контролировать риск.
    • осуществляет контроль информационных технологий в банке.
    • постоянный сравнительный анализ производительности поставщика услуг по контракту или соглашению об уровне обслуживания.
    • оценивает структуру вознаграждения третьей стороны, чтобы определить, создает ли она стимулы, способствующие принятию ненадлежащего риска.
    • отслеживает действия третьих лиц от имени банка на предмет соблюдения применимых законов и нормативных актов.
    • отслеживает сроки аварийного восстановления и обеспечения непрерывности бизнеса сторонней организации для возобновления деятельности и восстановления данных для согласованности с планами аварийного восстановления и обеспечения непрерывности бизнеса банка.
  14. Может ли банк полагаться на отчеты, сертификаты соответствия и независимые аудиты, предоставленные организациями, с которыми он имеет отношения с третьей стороной?
    При проведении комплексной проверки и постоянного мониторинга руководство банка может получать и просматривать различные отчеты (например,g., отчеты о соблюдении соглашений об уровне обслуживания, отчеты независимых рецензентов, сертификаты соответствия стандартам Международной организации по стандартизации (ISO), 12 или отчеты SOC). 13 Лицо, просматривающее отчет, сертификат или аудит, должно обладать достаточным опытом и знаниями, чтобы определить, в достаточной ли мере он учитывает риски, связанные с отношениями с третьей стороной. Бюллетень

    OCC 2013-29 объясняет, что руководство банка должно учитывать, содержат ли отчеты достаточную информацию для оценки средств контроля третьей стороны или необходима дополнительная проверка посредством аудита, проводимого банком или другой третьей стороной по запросу банка.В частности, руководство может рассмотреть следующее:

    • Достаточно ли отчета, сертификата или объема аудита, чтобы определить, будет ли структура контроля третьей стороны соответствовать условиям контракта.
    • Соответствует ли отчет, сертификат или аудит общепризнанным стандартам.
    Для некоторых сторонних отношений, например, с поставщиками облачных услуг, которые распределяют данные по нескольким физическим точкам, аудит на месте может быть неэффективным и дорогостоящим.Американский институт сертифицированных общественных бухгалтеров разработал отчеты SOC для облачных вычислений на основе структуры, разработанной Cloud Security Alliance. Когда такие отчеты доступны, они могут предоставить банку ценную информацию. Принципы инфраструктуры финансового рынка — это международные стандарты для платежных систем, центральных депозитариев ценных бумаг, систем расчетов по ценным бумагам, центральных контрагентов и торговых репозиториев. Одна из ключевых целей Принципов для инфраструктур финансового рынка состоит в том, чтобы способствовать четкому и исчерпывающему раскрытию информации организациями финансового рынка, которые часто находятся в отношениях с банками с третьими сторонами.Коммунальные предприятия финансового рынка обычно раскрывают информацию, чтобы объяснить, как их бизнес и операции отражают каждый из применимых Принципов для инфраструктур финансового рынка. Банки, которые имеют отношения третьих сторон с коммунальными предприятиями финансового рынка, могут полагаться на такое раскрытие информации. Банки также могут полагаться на объединенные аудиторские отчеты, которые представляют собой аудит, оплачиваемый группой банков, которые используют одну и ту же компанию для аналогичных продуктов или услуг.
  15. Какие возможности сотрудничества существуют для устранения киберугроз для банков, а также для их отношений с третьими сторонами? (изначально FAQ No.6 из бюллетеня OCC 2017-21)
    Банки могут взаимодействовать с рядом организаций по обмену информацией, чтобы лучше понять киберугрозы для своих собственных учреждений, а также для третьих сторон, с которыми они связаны. Банки, участвующие в форумах по обмену информацией, улучшили свою способность определять тактику атак и успешно предотвращать кибератаки на свои системы. Банки могут использовать Центр обмена и анализа информации о финансовых услугах (FS-ISAC), Группу готовности к компьютерным чрезвычайным ситуациям США (US-CERT), InfraGard и другие организации по обмену информацией для отслеживания киберугроз и уязвимостей и улучшения управления рисками и внутреннего контроля.Банки также могут использовать FS-ISAC для обмена информацией с другими банками.
  16. Может ли банк сотрудничать с начинающей финтех-компанией с ограниченной финансовой информацией? (первоначально FAQ № 8 из бюллетеня OCC 2017-21)
    В бюллетене OCC 2013-29 говорится, что банки должны учитывать финансовое состояние своих третьих сторон на этапе комплексной проверки жизненного цикла, прежде чем банки выберут или заключат контракты. или отношения с третьими сторонами. При оценке финансового состояния начинающей или менее устоявшейся финтех-компании банк может учитывать доступ компании к средствам, ее источники финансирования, прибыль, чистый денежный поток, ожидаемый рост, прогнозируемую способность заимствования и другие факторы, которые могут повлиять на общая финансовая стабильность третьей стороны.Оценка изменений финансового состояния третьих сторон — это ожидание этапа постоянного мониторинга жизненного цикла. Поскольку он может получать ограниченную финансовую информацию, банк должен иметь соответствующие планы действий в чрезвычайных обстоятельствах на случай, если начинающая финтех-компания столкнется с перебоями в бизнесе, потерпит неудачу или объявит о банкротстве и не сможет выполнять согласованные действия или услуги.

    Некоторые банки выразили недоумение по поводу того, должны ли сторонние поставщики услуг соблюдать банковские правила андеррайтинга кредитов.В бюллетене OCC 2013-29 говорится, что в зависимости от значимости отношений с третьей стороной анализ финансового состояния третьей стороны может быть столь же всеобъемлющим, как если бы банк предоставлял кредит стороннему поставщику услуг. Это заявление могло быть неправильно истолковано как означающее, что банк не может вступать в отношения с третьими сторонами, которые не соответствуют критериям кредитования банка. В бюллетене OCC 2013-29 таких требований или ожиданий нет.

  17. Некоторые третьи стороны, такие как финтех, стартапы и малые предприятия, часто ограничены в своей способности предоставлять такой же уровень информации, связанной с должной осмотрительностью, что и более крупные или более авторитетные третьи стороны.Какой вид комплексной проверки и постоянного мониторинга следует применять к этим компаниям?
    Бюллетень OCC 2013-29 гласит, что банки должны учитывать финансовое состояние своих третьих сторон в ходе комплексной проверки и постоянного мониторинга. Когда третьи стороны, такие как финтех, стартапы и малые предприятия, имеют ограниченную информацию о комплексной проверке, банку следует рассмотреть альтернативные источники информации. Банк может учитывать доступ компании к средствам, ее источники финансирования, прибыль, чистый денежный поток, ожидаемый рост, прогнозируемую способность заимствования и другие факторы, которые могут повлиять на общую финансовую стабильность третьей стороны.Оценка изменений финансового состояния третьих сторон является ожидаемым элементом постоянного мониторинга в рамках управления рисками банка. Когда банк может получить только ограниченную финансовую информацию, банк должен иметь планы действий в чрезвычайных обстоятельствах на случай, если эта третья сторона столкнется с перебоями в бизнесе, потерпит неудачу или объявит о банкротстве и не сможет выполнять согласованные действия или услуги.

    Руководство банка может гибко применять различные методы комплексной проверки и постоянного мониторинга, когда у компании может не быть такого же уровня корпоративной инфраструктуры, как у более крупных или более авторитетных компаний.В ходе комплексной проверки и до подписания контракта руководство банка должно оценить риски, связанные с отношениями, и понять среду управления рисками и контроля третьей стороны. Объем должной осмотрительности и метод должной осмотрительности должны варьироваться в зависимости от уровня риска отношений с третьей стороной. Хотя методы должной осмотрительности могут различаться, для руководства важно сделать вывод о том, что у третьей стороны имеется достаточная среда для контроля рисков, связанных с соглашением.

  18. Как банк может предлагать продукты или услуги малообеспеченным или недостаточно обслуживаемым слоям населения через отношения третьей стороны с финтех-компанией? (Первоначально FAQ № 9 из бюллетеня OCC 2017–21)
    Банки сотрудничали с финансово-технологическими компаниями несколькими способами, чтобы помочь удовлетворить банковские потребности потребителей с недостаточным или недостаточным уровнем обслуживания. Банки могут сотрудничать с финтех-компаниями, предлагая сбережения, кредиты, финансовое планирование или платежи в целях расширения доступа потребителей.В некоторых случаях банки служат только в качестве посредников для продуктов или услуг финтех-компаний с одним из продуктов или услуг, предоставляемых банками. Например, несколько банков заключили партнерские отношения с финтех-компаниями, чтобы установить специальные интерактивные киоски или банкоматы (банкоматы). ) с видеоуслугами, которые позволяют потребителю напрямую разговаривать с кассиром банка.Часто эти интерактивные киоски или банкоматы устанавливаются в магазинах розничной торговли, общественных центрах для пожилых людей или в других местах, где нет отделений для обслуживания населения.Некоторые финтех-компании предлагают банкам другие способы сотрудничества с ними. Например, клиенты банка могут связать свои сберегательные счета с приложением финтех-компании, которое может предложить клиентам банка стимулы для экономии на краткосрочные чрезвычайные ситуации или достижения конкретных сберегательных целей.

    В этих примерах считается, что финтех-компания имеет отношения третьей стороны с банком, которые подпадают под действие Бюллетеня OCC 2013-29.

  19. Что следует учитывать банку при заключении рыночного кредитного соглашения с небанковскими организациями? (изначально FAQ No.10 из бюллетеня OCC 2017-21)
    При участии в деятельности по кредитованию на рынке правление и руководство банка должны понимать отношения между банком, кредитором на рынке и заемщиками; полностью осознавать правовые, стратегические, репутационные, операционные и другие риски, связанные с этими соглашениями; и оценивать практику кредитора на торговой площадке на предмет соответствия применимым законам и постановлениям. Как и в случае любых отношений с третьими сторонами, руководство банков, связанных с рыночными кредиторами, должно обеспечивать соответствие подверженности риску стратегическим целям их совета директоров, аппетиту к риску и целям безопасности и устойчивости.Кроме того, до начала деловых отношений с рыночными кредиторами совет директоров должен принять соответствующую политику, включая ограничения концентрации.

    Банки должны иметь соответствующий персонал, процессы и системы, чтобы они могли эффективно отслеживать и контролировать риски, присущие рыночным отношениям кредитования. Риски включают репутационные, кредитные риски, риски концентрации, комплаенс, рыночные риски, риски ликвидности и операционные риски. Например, для управления кредитным риском банки должны иметь соответствующие руководящие принципы андеррайтинга ссуд, и руководство должно гарантировать, что ссуды подписываются в соответствии с этими руководящими принципами.Для управления рисками соответствия банкам не следует создавать или поддерживать рыночных кредиторов, которые имеют неадекватные процессы управления соблюдением, и должны контролировать рыночных кредиторов, чтобы гарантировать, что они надлежащим образом соблюдают применимые законы, постановления и инструкции о защите прав потребителей. Когда банки заключают рыночные договоренности о кредитовании или обслуживании, «клиенты» банков могут ассоциировать продукты рыночных кредиторов с продуктами банков, тем самым создавая репутационный риск, если эти продукты неэффективны или причиняют вред клиентам.Кроме того, операционный риск может быстро возрасти, если операционные процессы банков и рыночных кредиторов не включают соответствующие лимиты и меры контроля, такие как согласованные в контракте лимиты на объем ссуд и надлежащее андеррайтинг.

    Для устранения этих рисков комплексная проверка кредиторов на рынке, проводимая банками, должна включать консультации с соответствующими подразделениями банка, такими как кредитование, комплаенс, финансы, аудит, операции, бухгалтерский учет, юридические вопросы и информационные технологии. В контрактах или других регулирующих документах должны быть изложены условия соглашений об уровне обслуживания и договорные обязательства.Последующие значительные изменения в контрактах должны побудить к переоценке банковских политик, процессов и методов управления рисками.

  20. Применяется ли Бюллетень OCC 2013-29, когда банк привлекает третью сторону для предоставления клиентам банка возможности совершать мобильные платежи с использованием своих банковских счетов, включая дебетовые и кредитные карты? (первоначально FAQ № 11 из бюллетеня OCC 2017-21)
    Ожидается, что при использовании сторонних поставщиков услуг в среде мобильных платежей банки будут действовать в соответствии с бюллетенем OCC 2013-29.Банки часто заключают деловые соглашения со сторонними поставщиками услуг для предоставления программного обеспечения и лицензий в среде мобильных платежей. Эти сторонние поставщики услуг также оказывают помощь банкам и их клиентам (например, аутентификация платежей, доставка информации о платежных счетах на мобильные устройства клиентов, помощь сетям карт в обработке платежных транзакций, разработка или управление мобильным программным обеспечением (приложениями). или аппаратное обеспечение, управление внутренними серверами или отключение украденных мобильных телефонов).

    Многие клиенты банков планируют использовать транзакционные счета и кредитные, дебетовые или предоплаченные карты, выпущенные их банками, в среде мобильных платежей. Поскольку почти все банки выпускают дебетовые карты и предлагают транзакционные счета, банки часто участвуют в средах мобильных платежей, даже если они не выпускают кредитные карты. Банки должны работать с поставщиками мобильных платежей, чтобы установить процессы аутентификации регистрации учетных данных клиентов, которые клиенты предоставляют поставщикам мобильных платежей.

  21. Может ли общественный банк передать на аутсорсинг разработку, обслуживание, мониторинг и соблюдение требований своей системы управления соответствием? (Первоначально FAQ № 12 из бюллетеня OCC 2017-21)
    Банки могут передавать некоторые или все аспекты своих систем управления соответствием третьим сторонам при условии, что банки контролируют и обеспечивают соблюдение третьими сторонами текущих и последующих изменений в законодательстве о защите прав потребителей. и правила. Некоторые банки передают обслуживание или мониторинг на аутсорсинг или используют третьих лиц для автоматизации процессов сбора данных и управления (например, для подачи отчетов о соответствии в соответствии с Законом о банковской тайне или для обработки или раскрытия информации о заявках на ипотечную ссуду).OCC ожидает, что все банки будут развивать и поддерживать эффективную систему управления соблюдением требований и обеспечивать справедливый доступ к финансовым услугам, обеспечивать справедливое отношение к клиентам и соблюдать законы и правила о защите прав потребителей. Сильные системы управления соответствием включают соответствующие политики, процедуры, практики, обучение, внутренний контроль и системы аудита для управления и мониторинга процессов соответствия, а также выделение соответствующих ресурсов соответствия.
  22. Как руководство банка должно решать вопросы управления рисками третьей стороны при использовании модели третьей стороны или третьей стороны для помощи в управлении рисками модели?
    Принципы, изложенные в бюллетене OCC 2013-29, актуальны, когда банк использует стороннюю модель или привлекает третью сторону для помощи в управлении рисками модели, как и принципы, изложенные в бюллетене OCC 2011-12 «Надлежащие методы работы с модельными рисками». Менеджмент: Руководство по надзору за модельным управлением рисками.»Соответственно, сторонние модели должны быть включены в процессы управления рисками третьей стороны и моделировать процессы управления рисками. Руководство банка должно провести надлежащую комплексную проверку отношений с третьими сторонами и самой модели.

    Если у банка нет достаточного опыта внутри компании банк может принять решение о привлечении внешних ресурсов (например, третьей стороны) для оказания помощи в выполнении определенных действий, связанных с моделированием управления рисками и текущими обязанностями банка по мониторингу третьей стороной.Эти действия могут включать проверку и анализ модели, функции соответствия или другие действия в поддержку внутреннего аудита. Руководство банка должно понимать и оценивать результаты деятельности по валидации и контролю рисков, проводимой третьими сторонами. Руководство банка обычно назначает внутреннюю сторону для

    • убедиться, что согласованный объем работ выполнен третьей стороной.
    • оценивает и отслеживает выявленные проблемы и обеспечивает их решение.
    • убедиться, что выполненная работа включена в модель управления рисками банка и сторонние процессы управления рисками.
    Руководство банка должно провести анализ каждой сторонней модели с учетом рисков, чтобы определить, работает ли она так, как предполагалось, и достаточны ли существующие действия по валидации. Банки должны ожидать, что третья сторона будет проводить постоянный мониторинг эффективности и анализ результатов модели, раскрывать результаты банку и вносить соответствующие изменения и обновления в модель с течением времени, если это применимо.

    Многие сторонние модели могут быть изменены банком в соответствии со своими потребностями. Выбор настроек банка должен быть задокументирован и обоснован как часть валидации. Если третьи стороны предоставляют входные данные или предположения, необходимо проверить актуальность и уместность данных или предположений. Руководство банка должно периодически проводить анализ результатов работы сторонней модели, используя собственные результаты банка.

    Многие третьи стороны предоставляют банкам отчеты о независимых сертификатах или проверках сторонней модели.Отчеты о проверке, предоставляемые сторонним поставщиком моделей, должны идентифицировать аспекты модели, которые были рассмотрены, выделять потенциальные недостатки в ряде финансовых и экономических условий (если применимо) и определять, требуются ли корректировки или другие компенсирующие меры. Эффективные отчеты о валидации включают четкие резюме с изложением цели модели и синопсисом результатов валидации модели, включая основные ограничения и ключевые предположения. Отчеты о валидации не следует принимать за чистую монету.Руководство банка должно понимать любые ограничения, с которыми сталкивается валидатор при оценке процессов и кодов, используемых в моделях.

    В рамках этапов планирования и завершения жизненного цикла стороннего управления рисками банк должен иметь план действий в чрезвычайных ситуациях на случай, если сторонняя модель больше не доступна или не может поддерживаться третьей стороной. Руководство банка должно иметь как можно больше внутренних знаний на случай, если третья сторона или банк расторгнет договор, или если третья сторона больше не занимается бизнесом.

  23. Могут ли банки получить доступ к отчетам об экспертизе межведомственных поставщиков технологических услуг (TSP)? (Первоначально FAQ № 13 из Бюллетеня OCC 2017-21)
    Отчеты о проверке TSP 14 доступны только для банков, которые имеют договорные отношения с TSP во время проверки. Поскольку официальные полномочия OCC (и других федеральных банковских регуляторов) должны проверять TSP, который вступает в договорные отношения с регулируемым финансовым учреждением, OCC (и другие федеральные банковские регуляторы) не могут предоставить копию отчета о проверке TSP финансовым учреждениям, которые либо рассматривают возможность передачи деятельности проверяемому TSP, либо заключают договор после даты проверки.

    Банки могут запрашивать отчеты о проверке TSP через соответствующий надзорный офис OCC банка. Отчеты о проверке TSP предоставляются по запросу. OCC может, однако, заранее распространять отчеты о проверке TSP в определенных ситуациях из-за серьезных проблем или других выводов. банкам, имеющим договорные отношения с этим конкретным TSP.

    Хотя банк не может делиться отчетом об исследовании TSP или его содержанием с другими банками, банк, который не заключил договор с конкретным TSP, может запрашивать информацию у других банков с информацией или опыт работы с конкретным поставщиком услуг, а также информация от поставщика услуг, необходимая для выполнения обязательств банка по комплексной проверке.

  24. Может ли банк полагаться на отчет о контроле обслуживающей организации (SOC) третьей стороны, подготовленный в соответствии с Положением о стандартах аттестационных заданий № 18 (SSAE 18) Американского института сертифицированных бухгалтеров? » внутренний контроль над финансовой отчетностью, включая политики, процессы и внутренний контроль.Если третья сторона использует субподрядчиков (также называемых четвертыми сторонами), банк может счесть особенно полезным отчет третьей стороны по SOC 1 типа 2, поскольку SSAE 18 требует, чтобы аудитор определял и сообщал об эффективности средств контроля, реализованных третьей стороной. контролировать контроль субподрядчика. Другими словами, в отчете SOC 1 типа 2 будет рассмотрен вопрос о том, имеет ли третья сторона эффективный надзор за своими субподрядчиками. Банку следует рассмотреть вопрос о том, содержит ли отчет SOC 1 типа 2 достаточную информацию и достаточен ли объем для оценки рискованной среды третьей стороны или требуется ли банку дополнительный аудит или обзор для надлежащей оценки контрольной среды третьей стороны.
  25. Как банк может использовать сторонние оценочные услуги (иногда называемые сторонними утилитами)?
    Сторонние сервисные компании по оценке были созданы, чтобы помочь банкам в управлении рисками третьих сторон, включая комплексную проверку и постоянный мониторинг. Эти компании предлагают банкам стандартизированный вопросник с ответами от различных третьих лиц (особенно компаний, связанных с информационными технологиями). Преимущество этого механизма состоит в том, что третья сторона может предоставить ту же информацию многим банкам, используя стандартизированный вопросник.Банки часто платят коммунальным предприятиям за получение анкеты. Коммунальное предприятие может предоставлять и другие услуги помимо анкеты. Эта форма сотрудничества может помочь банкам повысить эффективность комплексной проверки и постоянного мониторинга. Когда банк использует стороннее коммунальное предприятие, у него есть деловые отношения с коммунальным предприятием, и это коммунальное предприятие должно быть включено в процесс управления сторонними рисками банка.

    Руководство банка должно понимать, как информация, содержащаяся в отчете о коммунальном предприятии, охватывает конкретные услуги, которые банк получил от третьей стороны, и удовлетворяет потребности банка в комплексной проверке и постоянном мониторинге.Например, в некоторых случаях стандартной анкеты может быть недостаточно, если третья сторона поддерживает критически важную деятельность в банке, поскольку информация, запрошенная в анкете, может не относиться к банку. В этих обстоятельствах руководству банка может потребоваться дополнительная информация от третьей стороны.

  26. Как совет директоров банка утверждает контракты с третьими сторонами, которые связаны с критически важными видами деятельности?
    Бюллетень OCC 2013-29 указывает, что правление банка должно утверждать контракты с третьими сторонами, которые связаны с критически важными видами деятельности.Это заявление не означало, что совет директоров должен читать или участвовать в переговорах по каждому из этих контрактов. Правление должно получить достаточно информации, чтобы понять стратегию банка по использованию третьих сторон для поддержки продуктов, услуг и операций, а также понять ключевые зависимости, затраты и ограничения, которые банк имеет в отношении этих третьих сторон. Это позволяет совету директоров понимать преимущества и риски, связанные с привлечением третьих сторон для оказания критически важных услуг, и сознательно одобрять контракты банка.Совет директоров может использовать краткое изложение контрактов при их рассмотрении и может делегировать фактическое утверждение контрактов с третьими сторонами, которые связаны с критически важными видами деятельности, комитету совета директоров или высшему руководству.
  27. Каким образом банк должен управлять рисками третьей стороны при получении альтернативных данных от третьей стороны?
    Банки могут использовать или намереваются использовать широкий спектр альтернативных данных в области кредитного андеррайтинга, обнаружения мошенничества, маркетинга, ценообразования, обслуживания и управления счетами. 15 Для целей этого FAQ альтернативные данные означают информацию, которая обычно не встречается в кредитных файлах потребителей в общенациональных агентствах по информированию потребителей или обычно предоставляется потребителями как часть заявок на получение кредита. 16 При рассмотрении отношений с третьими сторонами, которые могут включать использование альтернативных данных банком или от имени банка, руководство банка должно 17
    • проводит комплексную проверку третьих сторон перед выбором и заключением договоров.Степень должной осмотрительности должна быть соизмерима с риском для банка от отношений с третьей стороной.
    • гарантирует, что альтернативное использование данных совместимо с безопасными и надежными операциями. Соответствующий контроль данных включает тщательную оценку качества и пригодности данных для поддержки разумных банковских операций. Кроме того, руководство по управлению рисками модели OCC содержит важные принципы, в том числе те, которые могут использовать альтернативные данные.
    • проанализирует соответствующие законы и нормативные акты о защите прав потребителей, чтобы понять возможности, риски и нормативные требования, прежде чем использовать альтернативные данные.Основываясь на этом анализе, данные, представляющие больший риск соответствия, требуют более надежного управления соответствием. Надежное управление соответствием включает соответствующее тестирование, мониторинг и средства контроля, чтобы гарантировать понимание и устранение комплаенс-рисков.
    • проводит постоянный мониторинг третьих сторон таким образом и с частотой, которые соразмерны риску для банка, связанному с отношениями с третьими сторонами.
    • обсуждает свои планы с менеджером портфеля OCC, ответственным экспертом или надзорным офисом, если использование альтернативных данных из сторонних отношений представляет собой существенное отклонение от существующих бизнес-планов банка или существенные изменения в использовании банком альтернативных данных. данные.
  28. Пожалуйста, свяжитесь с Ласаро Баррейро, директором по политике управления и операционным рискам, Отдел операционных рисков, по телефону (202) 649-6550.

    Гроветта Н. Гардинир
    Старший заместитель контролера по политике банковского надзора

    5 фактов об управлении рисками взаимоотношений с третьими сторонами

    Все больше организаций привлекают третьих лиц для достижения своих стратегических целей, повышения эффективности и экономии средств за счет передачи непрофильных или специализированных функций более опытным поставщикам.По мере роста популярности аутсорсинга и быстрого расширения возможностей поставщиков регулирующий надзор также расширяется, чтобы отслеживать конфиденциальные данные и процессы, которыми управляют третьи стороны. Следует помнить, что, хотя процессы могут быть переданы на аутсорсинг, присущие им риски — нет.

    Предполагается, что в будущем использование сторонних организаций будет увеличиваться с учетом повышения производительности и финансовых выгод. Следовательно, ваши сторонние средства контроля и стратегии мониторинга должны развиваться не только для обеспечения того, чтобы третьи стороны работали эффективно и в соответствии с вашими соглашениями, но также для защиты конфиденциальной информации и защиты вашей компании от ущерба репутации бренда или непреднамеренного нарушения законов.

    Вот пять концепций, которые следует учитывать при оценке ваших отношений с третьими сторонами:

    • Знайте свои отношения с третьими сторонами. Отношения с третьей стороной — это любое деловое соглашение между организацией и другим юридическим лицом, заключенное по контракту или иным образом. Вы уже знаете, что компании, с которыми у вас заключены контракты и деловые операции, такие как продавцы, поставщики, дистрибьюторы и подрядчики, являются третьими сторонами. Однако вы можете не осознавать, что недокументированные соглашения, которые были заключены в течение длительного периода времени, также имеют право, в том числе соглашения с контрактными производителями, брокерами, агентами и торговыми посредниками.Чтобы усложнить ситуацию, некоторые третьи стороны могут сами использовать третью сторону без вашего ведома или согласия, что создает дополнительные проблемы в управлении контрактами и надзоре. В рамках управления отношениями с третьими сторонами вы должны получить представление о том, будут ли ваши третьи стороны передавать какие-либо из своих обязательств на субподряд и переходят ли к ним условия вашего соглашения.

    • Обеспечьте адекватное страховое покрытие. Изменились ли ваши потребности в страховании с момента подписания контракта с третьей стороной? Хотя страховое покрытие могло быть адекватным при первоначальном подписании соглашения, любое количество элементов, таких как технологии, места доставки или места производства, могло измениться с течением времени, и, таким образом, ваше покрытие может больше не соответствовать требованиям. Обычно отношения с третьими сторонами требуют наличия определенных уровней страхового покрытия. Если третья сторона не сможет обеспечить надлежащее покрытие и произойдет невыявленное событие или ситуация, ваша организация может столкнуться с дополнительным риском и воздействием, которые можно было предотвратить на этапе заключения контракта.Вы уверены, что ваши третьи стороны имеют достаточную защиту в случае аварии или утечки данных?

    • Пересмотрите контракты на предмет соответствия новым законам. Были ли ваши контракты обновлены, чтобы отразить последние положения о безопасности и конфиденциальности данных? В связи с тем, что за последние несколько лет были приняты новые законы о безопасности и конфиденциальности данных, некоторые из ваших соглашений, вероятно, необходимо будет обновить, чтобы четко разграничить обязанности между сторонами. Например, есть ли у вас четкое разделение ответственности в отношении защиты данных и план на случай утечки данных? По мере того как компании расширяются на международном уровне, соблюдению Закона о борьбе с коррупцией за рубежом (FCPA) уделяется больше внимания, отчасти из-за опасений, связанных с мерами соблюдения иностранными третьими сторонами.Кроме того, несколько стран приняли законы о борьбе со взяточничеством, которые являются столь же, если не более строгими; эти законы создают несколько сложную решетку юридических вопросов юрисдикции на случай, если компания станет объектом расследования.

    • Разработайте и внедрите сторонний процесс управления рисками. Ключевая цель процесса управления рисками третьей стороны состоит в том, чтобы определить ваши отношения с третьими сторонами с наибольшим риском и затем предпринять действия по снижению этих рисков до приемлемого уровня.Вам следует применять целостный подход к оценке отношений со сторонними организациями и использовать структуру, гибкую в соответствии с меняющимися потребностями вашей организации. Разработка и внедрение сторонней оценки рисков начинается с использования межфункциональной группы и определения ролей и обязанностей при проведении оценки. Примеры лиц, которые могут участвовать в этой оценке, включают закупки, информационные технологии (ИТ), финансы и владельцев бизнеса, ответственных за управление отношениями после заключения соглашения.Вы должны внутренне определить план проекта оценки рисков и определить совокупность ваших отношений с третьими сторонами. Затем определите категории рисков, которые будут оцениваться и считаться критическими для вашей организации (например, стратегические, репутационные, операционные, финансовые, соответствие нормативным требованиям, безопасность, мошенничество), и разработайте критерии взвешивания для каждой категории рисков, которые будут применяться к вашей третьей стороне. Для каждой третьей стороны кросс-функциональная команда должна затем оценить риски на основе воздействия и вероятности, чтобы третьи стороны можно было классифицировать и распределить по уровням приоритета.В рамках этого процесса могут использоваться такие инструменты, как сторонние опросы. После того, как третьи стороны будут оценены и впоследствии распределены по уровням, вы можете разработать планы снижения рисков и выделить ресурсы, чтобы сосредоточиться на третьих сторонах с более высоким риском. Некоторые меры по смягчению последствий могут включать большее внимание к деятельности по мониторингу контрактов этой третьей стороны, включая возможное проведение аудитов соответствия.

    • Использование аудита для управления ожиданиями риска. Сторонние соглашения должны содержать пункт о праве на аудит, который позволяет вам оценить, соблюдает ли третья сторона условия соглашения.В связи с изменением проблем безопасности и конфиденциальности, а также с различными законами о финансовом регулировании, вам может потребоваться обновить формулировки положений контракта или потенциально создать дополнения, чтобы включить положение об аудите, которое устраняет новые риски, возникшие с момента первоначального подписания соглашения, а не просто денежные резервы. В зависимости от важности контракта для вашей организации, вам следует проводить периодические сторонние аудиты, чтобы гарантировать выполнение условий контракта.С новым соглашением вы можете захотеть провести аудит, чтобы убедиться, что третья сторона согласна с вашей интерпретацией соглашения, и побудить к его соблюдению в будущем. И наоборот, если соглашение подходит к концу, заключительный аудит может быть полезным, чтобы убедиться, что третья сторона выполнила свои обязательства в соответствии с условиями соглашения. Как вы определяете, какую третью сторону проводить аудит и когда? Эта информация должна быть одним из результатов вашей сторонней оценки рисков.

    Привлечение сторонних организаций может помочь вашему бизнесу значительно повысить эффективность, но вы должны помнить, что неотъемлемый риск по-прежнему лежит на вашей организации.Принятие во внимание этих пяти ключевых моментов позволит вам реализовать гибкую структуру рисков взаимоотношений с третьими сторонами, которая поможет обеспечить эффективную работу третьих сторон, а ваша организация будет соответствовать развивающимся законам и нормативным актам.

    Сторонняя политика управления рисками информационной безопасности

    Сторонняя политика информационной безопасности

    Политика управления рисками, версия 1.0.0

    Для учета рисков информационной безопасности, связанных со сторонними отношениями.

    Цель

    (ОРГАНИЗАЦИЯ) использует сторонние продукты и услуги для поддержки нашей миссии и целей. Отношения с третьими сторонами несут неотъемлемые и остаточные риски, которые следует рассматривать как часть нашей должной осторожности и осмотрительности. Политика управления рисками информационной безопасности третьих лиц содержит требования о том, как (ОРГАНИЗАЦИЯ) будет проводить комплексную проверку информационной безопасности третьей стороны.

    Аудитория

    Эта политика применяется ко всем лицам, которые взаимодействуют с третьей стороной от имени (ОРГАНИЗАЦИИ).

    Определения

    Следующие определения применяются только для облегчения понимания читателем данной политики:

    • Сотрудник — определяется как человек, который работает неполный или полный рабочий день с почасовой оплатой или наемным окладом. для (ОРГАНИЗАЦИИ) в качестве сотрудника, а не независимого подрядчика. Иногда его называют «сотрудником W2».
    • Третья сторона или 3 rd -сторона — любое лицо или организация, которые предоставляют услуги или продукты (ОРГАНИЗАЦИИ) и не являются сотрудниками.
    • Информационные ресурсы — любая система, участвующая в создании, использовании, управлении, хранении и / или уничтожении (ОРГАНИЗАЦИИ) информации и самой информации.
    • Неотъемлемый риск информационной безопасности — риск информационной безопасности, связанный с характером отношений между сторонами 3 rd без учета каких-либо средств защиты или контроля. Неотъемлемый риск иногда называют «воздействием» и используется для классификации отношений с третьими сторонами в качестве индикатора того, какая дополнительная комплексная проверка может быть оправдана.
    • Остаточный риск информационной безопасности — риск информационной безопасности, остающийся после учета всех применимых средств защиты и контроля.

    Политика

    Политика состоит из трех разделов; общие, физические и технические в соответствии с указанными мерами предосторожности или требованиями.

    Оценки

    • Каждые 3 -сторона, получившая доступ к (ОРГАНИЗАЦИИ) информационным ресурсам, должна подписать (ОРГАНИЗАЦИЕЙ) Соглашение о неразглашении с третьей стороной и соглашение о бизнес-партнерстве (если применимо).
    • Все 3 rd -сторонние отношения должны быть оценены на предмет неотъемлемого риска информационной безопасности до любого взаимодействия с (ОРГАНИЗАЦИЯ) информационными ресурсами.
    • Должны быть установлены критерии классификации неотъемлемого риска; «Высокий», «Средний» и «Низкий».
    • Все отношения с 3 rd сторонами должны переоцениваться на предмет неотъемлемого риска информационной безопасности два раза в год и каждый раз, когда происходят существенные изменения в том, как (ОРГАНИЗАЦИЯ) использует сторонний продукт или услугу.
    • 3 rd Отношения сторон со значительным неотъемлемым риском (классифицируемым как «высокий» или «средний») должны быть оценены на предмет остаточного риска с использованием вопросников, общедоступной информации и / или технических инструментов.
    • При оценке остаточных рисков информационной безопасности необходимо учитывать административные, физические и технические средства контроля.
    • Пороговые значения остаточного риска информационной безопасности должны быть установлены для 3 rd отношений между сторонами со значительным неотъемлемым риском (классифицируемым как «высокий» или «средний»).
    • 3 rd -сторонние отношения, которые не соответствуют установленным пороговым значениям остаточного риска информационной безопасности:
      • Должны быть официально одобрены исполнительным руководством после установленного процесса отказа, и / или;
      • Изменено таким образом, чтобы снизить неотъемлемый и / или остаточный риск информационной безопасности до достижения (ОРГАНИЗАЦИЯ) установленных пороговых значений.
    • 3 rd -сторонние отношения, касающиеся отраслевых и / или нормативных требований (т.е. PCI-DSS, HIPAA и т. Д.) Необходимо пересматривать не реже одного раза в год.

    Менеджмент

    • 3 rd — в соглашениях и контрактах сторон должны быть указаны:
      • Информация (ОРГАНИЗАЦИЯ), к которой поставщик должен иметь доступ,
      • Как (ОРГАНИЗАЦИЯ) информация должна быть защищена 3 rd -party,
      • Как (ОРГАНИЗАЦИЯ) информация должна передаваться между (ORGANIZATION) и 3 rd -party,
      • Приемлемые методы возврата, уничтожения или утилизации (ORGANIZATION) информации в 3 rd — владение стороной в конце отношений / контракта,
      • Минимальные требования к информационной безопасности,
      • Требования к реагированию на инциденты информационной безопасности и уведомлению,
      • Право на (ОРГАНИЗАЦИЮ) на аудит 3 rd — стороны защиты и контроля информационной безопасности.
    • Если сторона 3 -го заключает субподряд на часть услуг в области информационных и коммуникационных технологий, предоставляемых (ОРГАНИЗАЦИИ), сторона 3 -го обязана обеспечить соблюдение надлежащей практики информационной безопасности на всей цепочке поставок,
    • Сторона 3 rd должна использовать (ОРГАНИЗАЦИЯ) информационные ресурсы только для целей делового соглашения и / или контракта.
    • Работа, выходящая за рамки определенных в контракте параметров, должна быть одобрена в письменной форме соответствующим (ОРГАНИЗАЦИЯ) пунктом контакта.
    • 3 rd производительность сторон должна проверяться ежегодно, чтобы гарантировать соответствие согласованным контрактам и / или соглашениям об уровне обслуживания (SLA). В случае несоблюдения контрактов или SLA будут проводиться регулярные встречи до тех пор, пока не будут выполнены требования к производительности.
    • Основные ИТ-операции стороны 3 rd должны регистрироваться или фиксироваться в журнале:
      • Предоставляется ИТ-руководству (ОРГАНИЗАЦИИ) по запросу, и
      • Должен включать такие события, как смена персонала, пароль изменения, основные этапы проекта, результаты, а также время прибытия и отправления.
    • Любая другая (ОРГАНИЗАЦИЯ) информация, полученная стороной 3 -го во время действия контракта, не может быть использована для собственных целей 3 -й стороны или разглашена другим лицам.
    • 3 rd — персонал стороны должен сообщать обо всех инцидентах безопасности непосредственно соответствующему ИТ-персоналу (ОРГАНИЗАЦИИ).
    • (ОРГАНИЗАЦИЯ) IT предоставит технический контакт для стороны 3 rd . Контактное лицо будет работать со стороной 3 rd , чтобы обеспечить соблюдение этой политики.
    • 3 rd — стороны должны предоставить (ОРГАНИЗАЦИЯ) список ключевого персонала, работающего над контрактом, по запросу.
    • 3 rd — стороны должны предоставить (ОРГАНИЗАЦИИ) уведомление о ключевых кадровых изменениях в течение 24 часов с момента изменения.
    • При выходе из контракта сотрудника 3 rd по любой причине сторона 3 rd обеспечит сбор и возврат всей конфиденциальной информации (ОРГАНИЗАЦИИ) или уничтожение в течение 24 часов.
    • При расторжении договора 3 -сторонам необходимо напомнить о требованиях конфиденциальности и неразглашения.
    • При расторжении контракта или по требованию (ОРГАНИЗАЦИИ) сторона 3 rd должна немедленно сдать все (ОРГАНИЗАЦИЯ) значки, карты доступа, оборудование и расходные материалы.
    • Любое оборудование и / или расходные материалы, которые должны оставаться у 3 rd — стороны, должны быть задокументированы уполномоченным (ОРГАНИЗАЦИОННЫМ) ИТ-руководством.

    Отказ от прав

    Отказ от определенных и конкретных положений политики может быть подан после (ОРГАНИЗАЦИИ) процесса отказа.Никаких исключений из любых положений, указанных в этой политике, нет до тех пор, пока не будет предоставлен отказ.

    Обеспечение соблюдения

    Эта сторонняя политика управления рисками информационной безопасности дополняет и дополняет все другие связанные политики информационной безопасности, она не заменяет любую такую ​​политику и наоборот. Если есть какие-либо предполагаемые или непреднамеренные конфликты между политиками (ОРГАНИЗАЦИИ), они должны быть доведены до сведения (ОРГАНИЗАЦИИ) для немедленного согласования.

    Персонал, нарушивший любое положение этой политики, может быть подвергнут санкциям, включая лишение прав доступа, увольнение, расторжение контракта (ов) и / или соответствующие гражданские или уголовные санкции.

    История версий

    Версия Дата изменения Дата утверждения Утверждено Причина / Комментарии 0,0 Сентябрь, 2020 Сентябрь, 2020 John Doe Источник документа
    7109 7109 Сторонняя политика управления рисками информационной безопасности шаблон

    Оцените свой балл или закажите бесплатную демоверсию сегодня ОценщикПолучите демоверсию

    Знаете ли вы, как третьи стороны действительно влияют на ваши бизнес-цели?

    Многие организации широко используют сторонние организации для расширения своих возможностей, использования внешних инноваций, аутсорсинга или сокращения затрат.Третьи стороны играют все более важную роль в сегодняшних цифровых инициативах, но сторонние экосистемы и цепочки поставок становятся все более техническими, цифровыми и сложными. Проблема не столько в привлечении третьих сторон, сколько в управлении рисками для бизнес-целей организации, которые они несут. Более того, риск третьих сторон — это не просто один из видов рисков — это смешанный пакет, который по-разному влияет на организацию в зависимости от их зависимости от третьих сторон, от того, насколько стратегически важны третьи стороны по отношению к их целям или представляют ли они единую точку отказа. .Неправильное управление рисками может привести к негативным последствиям для бизнеса, включая финансовые потери, репутационный ущерб, несоблюдение нормативных требований и подрыв доверия клиентов.

    Вопрос, который я хочу обсудить сегодня: знает ли большинство организаций, как использование ими третьих лиц влияет на их организацию? Понимание последствий может быть трудным, в основном потому, что третьи стороны могут нести новые и неизвестные риски для вашей организации. Например, третьим сторонам часто требуется доступ к конфиденциальным системам и данным вашей организации (например,g., клиент, пациент, интеллектуальная собственность) — и, вероятно, не только эта третья сторона, но также их подрядчики, сотрудники и даже их собственные третьи стороны (4 th , 5 th , N th стороны), которые получают доступ к вашим конфиденциальным данным. Другой риск — это киберугрозы, которые эти третьи стороны и N представляют после получения доступа к вашим системам и сетям. Еще одна проблема — риск отказоустойчивости. У вашей организации есть контроль над вашими собственными усилиями по восстановлению и планированию отказоустойчивости, но практически нет контроля над тем, насколько устойчивы ваши третьи стороны и какие последующие последствия могут иметь для вашей организации.

    Невозможно устранить все риски, связанные с третьими сторонами, но с надлежащим корпоративным управлением и управлением рисками вы можете реализовать надежный надзор, сосредоточиться на правильных рисках и значительно снизить влияние на вашу организацию. Давайте обсудим четыре области в управлении третьими сторонами, риски, которые они создают, и влияние на организацию.

    Поймите свою экосистему
    Третьи стороны становятся жизненно важной частью внутренней экосистемы вашего бизнеса, когда они поддерживают определенный отдел, становятся частью вашего продукта или предоставления услуг или предоставляют жизненно важный опыт.Очень важно понимать, как они подходят друг другу, и управлять ими. Вот несколько способов сделать это:

    • Документируйте, отслеживайте и понимайте структуру внутренней организации и взаимозависимости между бизнес-процессами, ИТ-системами, местоположениями, устройствами и данными. Затем отследите и сопоставьте все ваши третьи стороны (а также 4 , 5 и N сторон) с областями организации, которую они поддерживают. Относитесь к этому упражнению так, как если бы они были частью ваших процессов, систем и людей.
    • Определите критичность каждой третьей стороны по результатам анализа воздействия на бизнес (BIA), который выполняют ваши группы по обеспечению устойчивости бизнеса. BIA проводятся для определения критичности и целей восстановления для области вашего бизнеса, такой как бизнес-процесс, отдел или местоположение. Поскольку третьи стороны сопоставлены с внутренней организацией на предыдущем этапе, это помогает вам понять относительную критичность каждой третьей стороны, а затем определить приоритеты действий, которые вы предпринимаете для управления ими.

    Взаимодействие с осторожностью
    Критический элемент в использовании третьих лиц — начать с правильной ноги. Каждая третья сторона должна быть полностью оценена до того, как взаимодействие, контракты и соглашения об уровне обслуживания (SLA) должны быть завершены, а все взаимодействия с третьими сторонами должны быть завершены через официальные каналы. Процесс адаптации должен быть полным, последовательным и своевременным для всех третьих сторон. Шаги, которые необходимо выполнить, включают:

    • Завершение контрактов, выполнение ожидаемых результатов и заключение соглашений об уровне обслуживания.
    • Определить условия контракта для использования третьими сторонами 4-й, 5-й и N-й сторон и их ответственности за них.
    • Выявить и оценить риски использования третьей стороны. Оцените риски до начала взаимодействия, чтобы убедиться, что ими можно управлять до соответствующих уровней.

    Определите личности
    Совершенно необходимо определить и защитить доступ третьих лиц к критически важным онлайн-ресурсам вашей организации, особенно к данным клиентов. Обратите особое внимание на использование третьими лицами третьих лиц.Рассмотрите возможность реализации бизнес-стратегии обеспечения идентичности, которая дает пользователям свободу эффективного и легкого доступа только к тем системам и данным, которые необходимы для их ролей, без ущерба для состояния информационной безопасности организации или обязательств по соблюдению требований

    Последовательное управление
    Управление означает наличие основанного на стандартах и ​​передовых методов управления всем жизненным циклом сторонних организаций, поддерживающих вашу организацию, включая управление рисками.Правильное управление рисками третьих сторон требует программного, скоординированного и ориентированного на риски подхода. Для этого вам необходимо:

    • Управляйте отношениями с третьими сторонами на протяжении всего жизненного цикла, от создания новых или изменения отношений с третьими сторонами до их прекращения.
    • Оценивать, снижать и контролировать широкий спектр рисков (например, риск информационной безопасности, мошенничества, судебных разбирательств и соблюдения нормативных требований, риск контракта, финансовый риск, отказоустойчивость, финансовая жизнеспособность, репутация, стратегический риск, риск стороны N th и т. Д.).
    • Сосредоточьте управление рисками на третьих сторонах, которые имеют наибольшее значение.
    • Контролируйте их работу, чтобы убедиться, что третьи стороны выполняют свои обязательства.

    Опять же, знаете ли вы, как ваши третьи стороны влияют на возможности вашей организации по достижению ее стратегических целей? Это не обсуждение на основе принципа «все готово», а — как вы можете видеть из приведенного выше руководства — постоянную дисциплину, которую вы должны соблюдать во время каждого взаимодействия с каждой третьей стороной. Уровень дисциплины и усилий должен соответствовать важности третьей стороны для ваших бизнес-целей.Воздействие на ваш бизнес часто проявляется в рисках, которые вы отслеживаете и отслеживаете, в показателях, которые показывают, соответствует ли третья сторона ожиданиям, и в успехе (или отсутствии такового) их взаимодействия с вашей организацией.

    # #

    Ищете больше? Ознакомьтесь с этими дополнительными ресурсами, чтобы улучшить стороннее управление и управление рисками.

    Электронная книга: Управление сторонними рисками для продвижения цифровой трансформации
    Руководство по управлению сторонними рисками для бизнеса и безопасности

    RSA® Digital Risk Index
    Вы изо всех сил пытаетесь оценить, насколько серьезным рискам подвергается ваша организация в результате цифровой трансформации? Пройдите нашу быструю самооценку, и в считанные минуты вы получите более четкое представление о своих цифровых рисках.

    Присоединяйтесь к обсуждению #TalkingDigitalRisk в Twitter и социальных сетях, подписавшись на @RSAsecurity

    .
    alexxlab

    *

    *

    Top