管理各种风险是建立和维持成功的业务的重要组成部分。随着业务通过技术日益互连,并且供应链不仅遍及地区或国家,而且遍及全球,有效的供应商风险管理(VRM)尤为重要。
开发风险管理流程以识别和最小化风险涉及解决各种领域,例如网络安全,法规遵从性,供应商关系管理以及仔细的第三方风险评估。借助正确的技术工具和智能规划的帮助,可以解决供应商风险管理的一般挑战和特定于业务的流程改进,您可以构建成功的供应商风险管理程序。
VRM计划的目标很简单:监视,管理和减少由与第三方供应商和信息(IT)专业人员的关系造成的风险敞口。如果做得正确,供应商风险管理将建立在一套全面,清晰的策略和流程的基础之上,这些策略和流程可支持消除额外的额外风险并减轻已经存在的风险,包括:
损害公司声誉。
昂贵的法律纠缠和责任。
使用不完整或错误信息做出的决定。
数据泄露导致机密信息的发布。
由于全球化和广泛的数字化转型,供应商风险管理不仅仅是您供应链中的供应商管理。为了降低成本并提高敏捷性和盈利能力,许多企业正在将必要的业务流程外包给第三方。
在理想的情况下,卸载这些流程可以对您自己的流程进行具有战略意义的改进,并通过减少开销和人工来降低成本。但是,许多第三方供应商给他们带来了相当数量的第三方网络安全风险,以及潜在的安全漏洞,网络攻击和其他数据安全挑战以及合规性问题和声誉损失。
因此,您选择用于服务和供应的供应商的信息技术(IT)功能,信息安全性和网络安全性必须与您自己的卖方一样强大或可靠,甚至更好。
建立全面而详细的供应商选择流程将为那些高风险供应商提供筛选条件,否则他们可能会被漏掉而未被发现,并且还允许您优化现有供应商列表,以确保所有供应商都重视安全性,性能和合规性。
您的业务需求特定于您的公司和行业,但是每一项业务都可以从建立在一套既定最佳实践基础上的坚实基础开始,制定有效的供应商风险管理计划。
在没有事先确定路线的情况下浏览第三方风险管理过程中潜在的危险区域会很快使您陷入遗憾。开始之前,请确定如何管理供应商风险评估,作为管理供应商风险的一部分。
理想情况下,您将开发:
政策,提供管理第三方风险的一般指导和目标。
计划,该框架提供了一个框架和大纲,可用于所有利益相关者识别风险,解决风险以及衡量纠正措施的成功程度以进一步完善。
程序,详细说明特定的日常任务,职责和工作流程。
无论他们是主要的供应商还是处理业务流程的服务提供商,每个供应商都应经过仔细的风险评估,然后再添加到供应链或服务名册中。建立一个彻底而详细的供应商选择流程将为那些可能会漏掉一些未被发现的高风险供应商提供一个筛选器,并且还允许您完善现有供应商列表,以确保所有供应商都像您一样重视安全性,性能和合规性做。
供应商选择和审查政策和程序将因公司而异,但可能包括:
全面评估所有第三方供应商。在对新的潜在供应商的评估程序中进行尽职调查。
对所有供应商进行彻底的供应商风险评估,以识别和详细说明每个供应商为您的业务造成的网络安全,信息安全,合规性,声誉和其他数据安全风险。
根据供应商的潜在风险级别(按服务级别划分)来组织您的供应商。分离那些可以缓解的风险水平,并去除那些风险状况超出公司可接受风险水平的风险水平。
制定一套正式的合同标准,可以将其用作建立或(重新)评估所有第三方关系的起点。此类标准应明确:
供应商和您公司在关系生命中的责任,以及超出标准的动机和不符合标准的惩罚。
正式的谈判程序
正式的审批流程
根据(重新)协商和其他情况的变化,用于存储,监视和修改合同的正式过程。
将VRM的所有权和任何其他第三方风险管理职责分配给适当的各方。应该建立独立但合作的团队
风险管理和合规性(包括安全控制)
内部审计
与VRM员工合作,建立一个流程集,以自动分析潜在的新供应商创建的风险敞口,并提供明确的性能和合规性基准。理想情况下,该系统将允许潜在供应商和现有供应商实时评估这些因素,从而避免令人讨厌的意外发生。
使用全面的采购解决方案可以通过自动执行批准工作流程,提供将供应商连接到您的系统以提高透明度的供应商门户以及实时数据分析来衡量关键的供应商关键绩效指标(KPI)来提供帮助。
创建多个和冗余的突发事件,以在潜在或现有的第三方供应商超出可接受的风险水平(例如,不遵守合同条款和条件,违反行业或法律法规或数据泄露)时自动生成警报并采取措施
自从商业兴起以来,定期尽职调查是21世纪健康业务关系的必要组成部分。
通过使用人工智能支持的自动化和分析,尽职调查变得更加简单。除了能够根据所选的KPI实时跟踪和衡量供应商绩效之外,您还可以分析其他数据,这些数据包含有关供应商和服务提供商的健康状况和风险状况的重要信息,包括:
财务报表,可以揭示可能导致财务下降甚至供应商业务崩溃的根本问题。
服务组织控制(SOC)报告,其中包含有关供应商对标准,法律和行业要求的合规性以及实现此合规性的内部控制的重要信息。
贵公司为确定特定的合规水平而执行的其他评估,例如一般风险评估,公众认知审计和信息安全评估。
尽职调查还提供了一个极好的机会,可以与您的供应商一起共同努力,共同改进流程,建立互惠互利的关系,从而在整个采购到付款(P2P)流程中带来更高的效率。交流与协作可以帮助您将最佳供应商转变为战略业务合作伙伴,以实现共同的成功。
除了跟踪供应商的性能和合规性之外,将镜头放在自己的控件上,不仅可以帮助您确定需要改进的地方,而且还可以提供清晰,干净的数据,从而简化外部审核,并最大程度地减少因非审核造成的负面影响的风险。合规性。
与尽职调查一样,通过全面的数据透明性和对包含深层数据分析的全面的基于云的采购解决方案提供的信息的实时访问的支持,内部审计得到了极大的简化。衡量您自己的IT安全性或《健康保险可移植性和责任法案》(HIPPA)的合规性还为您的供应商评估提供了有用的参考框架。
报告和协作也得到了改善,因为参与该过程的每个人都可以在适当级别上访问基本信息,并且能够按需生成自定义报告和仪表板。您的风险评估,沟通和审计流程越全面和清晰,您的业务就会越安全。
战略性VRM计划是贵公司企业风险管理(ERM)的关键组成部分。ERM将VRM背后的概念(一种用于确定,评估和消除风险的强大计划驱动策略)作为概念,并将其应用于整个公司。
管理这些风险需要对业务面临的所有风险有细微而全面的了解,包括:
生产和经营风险
法律,财务和行业合规
人力资源管理与合规
组织治理
有效的企业风险管理策略的一部分包括投资于最优质的工具和产品,以及购买保险以对付自然和人为灾难。但是,风险敞口和管理对全球市场中现代企业的健康和长寿同样重要,甚至更为重要。
通过使用第三方风险管理程序降低风险,您可以直接支持ERM的更大计划以及企业的持续安全性,良好的声誉和生产力。
您无法控制宇宙,但可以控制对风险的预期和响应方式。通过制定全面的供应商风险管理计划,您可以享受更多协作的供应商关系,坚如磐石的合规性,以及在风险严重损害利润,生产或公共声誉之前需要预测和减轻风险所需的透明度和响应能力。
客服毛燕