Ausschreibungen (RFPs) und Informationsanfragen (RFIs) sind unerlässlich, um die richtigen Produkte oder Dienstleistungen für Ihre Anforderungen auszuwählen – und um die Anbieter und Lieferanten zu finden, die dahinterstehen. Durch die Automatisierung der Beschaffungsprozesse Ihres Unternehmens und die Einbindung von Best Practices im Risikomanagement können Sie die Effizienz Ihrer Beschaffung steigern und gleichzeitig das Risiko vom ersten Tag des Lebenszyklus eines Drittanbieters an reduzieren.
Während viele Menschen mit den Begriffen RFP-Management und RFI-Management vertraut sind, gibt es noch mehrere andere Arten von Anfragen, die während des Beschaffungsprozesses verwendet werden. In diesem Blog wird der Begriff „RFx-Management“ verwendet, um die verschiedenen Arten von Anfragen zusammenzufassen, auf die wir im Folgenden eingehen werden.
Dieser Beitrag befasst sich mit wichtigen Überlegungen zum RFx-Management, darunter:
- Definition des RFx-Managements
- Mögliche Herausforderungen beim RFx-Management verstehen
- Klassifizierung von Ausschreibungen, Informationsanfragen und anderen Arten von Anfragen
- Nach dem 5-stufigen RFx-Prozess
- Nutzung Ihres RFx-Prozesses zur Reduzierung von Risiken durch Dritte
Was ist RFx-Management?
RFx-Management ist der Prozess der Identifizierung, Beschaffung und Auswahl von Anbietern, Lieferanten oder anderen Dritten. Ein effektiver RFx-Prozess sollte Folgendes erleichtern:
- Identifizieren Sie potenzielle Produkte und Dienstleistungen von Drittanbietern.
- Lösungen anhand einheitlicher Kriterien bewerten und vergleichen
- vor dem Kauf Einblicke in das Risiko von Anbietern/Lieferanten liefern
- die Bedürfnisse der Stakeholder abteilungsübergreifend berücksichtigen
Die meisten Unternehmen beginnen den Beschaffungs- und Auswahlprozess mit der Übermittlung einer Informationsanfrage (RFI) an mehrere Anbieter oder Lieferanten, gefolgt von einer Angebotsanfrage (RFP) an eine Auswahl von Finalisten. Die Antworten auf die RFI und RFP vermitteln den Einkäufern ein Verständnis für den Markt und ermöglichen ihnen einen Vergleich der Lösungsfähigkeiten der verschiedenen Anbieter. Darauf können RFQs, RFTs und andere Informationsanfragen folgen, bis eine endgültige Entscheidung getroffen wird.
Herausforderungen beim RFx-Management
Viele Unternehmen sind aufgrund ihrer Unternehmensrichtlinien oder gesetzlicher Vorschriften dazu verpflichtet, faire und objektive Bewertungen von Anbieterlösungen durchzuführen. Die meisten Beschaffungsteams sind jedoch nach wie vor auf manuelle, auf Tabellenkalkulationen basierende RFx-Ansätze angewiesen, um alle Aufgaben zu bewältigen, von der Nachverfolgung der Anforderungen und der Kommunikation mit den Stakeholdern bis hin zur Durchführung der Due Diligence der Anbieter und der Bewertung potenzieller Lösungen. Dies macht den Beschaffungs- und Auswahlprozess übermäßig zeitaufwändig, komplex und inkonsistent. Außerdem erhöht sich dadurch die Wahrscheinlichkeit, dass Sicherheits- und Geschäftsrisiken der Anbieter übersehen werden.
Die Auswahl des richtigen Anbieters ist genauso wichtig wie die Auswahl der richtigen Lösung. Daher ist es für Beschaffungsteams unerlässlich, über optimierte Prozesse zur Bewertung beider Aspekte zu verfügen. Außerdem ist es entscheidend, Optionen auszuwählen, die der Risikotoleranz des Unternehmens entsprechen. Das Problem ist, dass es nur wenige Optionen gibt, mit denen Teams beide Ziele effizient erreichen können.
RF Was? Arten von Anfragen verstehen
Unternehmen können je nach Phase des Kaufzyklus oder Status der Beziehung zum Anbieter oder Lieferanten verschiedene Anfragetypen verwenden. Die gängigsten Anfragetypen sind:
Informationsanfrage (RFI)
RFIs werden in der Regel zu Beginn des Kaufprozesses verwendet, um Informationen über potenzielle Anbieter, Lieferanten und andere Dritte zu sammeln, die möglicherweise die Anforderungen eines Unternehmens erfüllen können. Unternehmen, die RFIs herausgeben, möchten sich über einen bestimmten Markt informieren und grundlegende Anforderungen festlegen.
Ausschreibung (RFP)
RFPs werden an Anbieter versandt, die im Rahmen des RFI-Prozesses ausgewählt wurden, oder sie können anstelle eines RFI verwendet werden, wenn Anbieter und Anforderungen bereits feststehen. RFPs enthalten detaillierte Fragen, Kriterien und Spezifikationen, sodass Käufer Optionen vergleichen und eine endgültige Auswahl auf der Grundlage der Eignung für den Zweck und die Verwendung treffen können.
Angebotsanfrage (RFQ)
RFQs werden an die Endkandidaten verteilt und dienen dazu, die Preise der Lieferanten für die angeforderten Waren oder Dienstleistungen zu erfragen. Einige Unternehmen umgehen RFIs und RFPs und verwenden RFQs für wiederkehrende, einfachere Einkäufe, bei denen in der Regel der Preis ausschlaggebend ist. Andere Unternehmen verzichten ganz auf den RFQ-Prozess und verlassen sich stattdessen auf Verkaufsverhandlungen.
Ausschreibung (RFT)
RFTs laden Lieferanten dazu ein, ein versiegeltes Angebot einzureichen. Diese Art von Anfragen richtet sich in der Regel an rechtlich strukturierte Organisationen oder Regierungsbehörden.
Ausschreibung (RFB)
RFBs laden potenzielle Lieferanten zur Abgabe eines Angebots für eine Dienstleistung ein, gelten jedoch nicht als verbindliche Vereinbarung. RFBs werden verwendet, wenn zwischen dem Käufer und den Lieferanten bereits Rahmenverträge (MSAs) bestehen und keine detaillierte Lieferantenbewertung erforderlich ist.
Obwohl die meisten Beschaffungsfälle entweder als RFIs oder RFPs betrachtet werden, verwenden wir in diesem Blog den Begriff RFx, wobei das „x“ für jeden der oben genannten Begriffe stehen kann.
Der fünfstufige RFx-Prozess
Um sicherzustellen, dass die Lieferantenbewertungen konsistent und fair sind, folgen Unternehmen in der Regel einem standardisierten fünfstufigen Prozess. Beachten Sie, dass jede Phase des Prozesses mit besonderen Herausforderungen verbunden ist, die den Einkaufszyklus verlangsamen und unnötige Kosten und Risiken verursachen können.
Schritt 1: Geschäftsanforderungen identifizieren
In diesem Schritt identifizieren und ermitteln die Beschaffungsteams die Bedürfnisse der internen Stakeholder und verfolgen die sich weiterentwickelnden Anforderungen. Zu den Aufgaben können neben der Untersuchung der auf dem Markt verfügbaren Optionen auch die Planung und Leitung von Teambesprechungen zur Entwicklung und Überprüfung der Anforderungen gehören.
Da mehrere Personen aus verschiedenen internen Teams an RFX-Prozessen beteiligt sind, kann es schwierig sein, Abteilungsgrenzen zu überwinden und das Projekt auf Kurs zu halten. Beschaffungsteams müssen die Zusammenarbeit fördern und gleichzeitig Komplexität vermeiden – sonst könnten Einkäufer versuchen, den Prozess ganz zu umgehen.
Schritt 2: Entwurf und Veröffentlichung der Ausschreibung
Hier arbeiten die Beschaffungs- und Geschäftsteams zusammen, um Fragen zur Bewertung der Anbieter auf der Grundlage der in Schritt 1 definierten Schlüsselkriterien und Ergebnisse zu formulieren. Außerdem müssen sie ein Instrument zur Erfassung der Anbieterdaten erstellen, z. B. eine Tabelle, diese zur Überprüfung und Genehmigung weiterleiten und Bewertungsschwellenwerte festlegen. Schließlich kommunizieren die Beschaffungs- oder Fachbereichsteams mit den potenziellen Anbietern über Zeitpläne, beantworten ihre Fragen und klären die Anforderungen. Dieser Schritt kann eine Menge E-Mail-Verkehr mit sich bringen.
Schritt 3: Antworten auswerten
Dieser Schritt umfasst das Sammeln und Zusammenstellen der Antworten mehrerer Anbieter, die Überprüfung der Antworten auf ihre Eignung, die Anwendung des in Schritt 2 entwickelten Bewertungsmodells, das Ausfüllen von Vergleichstabellen und gegebenenfalls die Kontaktaufnahme mit den Anbietern zur Klärung offener Fragen.
Unternehmen verwenden in der Regel Tabellenkalkulationen, um Lieferanteninformationen zum Vergleich und zur Bewertung zu sammeln. Die Verwaltung dieser Tabellen kann jedoch zeitaufwändig sein, sie sind zu unflexibel für die Zusammenarbeit und erfordern, dass Teams Bewertungsformeln manuell kopieren, was zu inkonsistenten, ungenauen oder unfairen Bewertungen führen kann. Beschaffungsteams können es sich nicht leisten, das Geschäft zu verlangsamen.
Schritt 4: Drittanbieter auswählen
In diesem Schritt beruft der RFx-Leiter das für die Auswahl der Lösung zuständige Team ein, bestätigt den erfolgreichen Anbieter und legt die nächsten Schritte fest. Zu diesem Schritt gehört auch, den Gewinner zu benachrichtigen und die nächsten Schritte zu kommunizieren.
Die meisten RFx-Prozesse konzentrieren sich auf die Auswahl einer Lösung mit den richtigen Funktionen, bieten jedoch oft wenig bis gar keinen Einblick in die Risiken, die der Anbieter mit sich bringen könnte. Ohne Kenntnis der potenziellen Cybersicherheitsrisiken, der Vorgeschichte von Datenverstößen, regulatorischer Bedenken, finanzieller Probleme oder Reputationsprobleme eines potenziellen Anbieters laufen Unternehmen Gefahr, die richtige Lösung vom falschen Anbieter zu erwerben.
Schritt 5: Vertragsverhandlungen
Sobald ein Anbieter ausgewählt wurde und die Lösung als zweckmäßig und einsatzfähig befunden wurde, benachrichtigt die Beschaffungsabteilung die Rechtsabteilung, damit diese mit dem Vertragsabschluss mit dem Anbieter beginnen kann. Wie bei den vorherigen Schritten kann dies manuelle E-Mail-Kommunikation ohne Prüfpfad beinhalten.
Verwendung Ihres RFX-Prozesses zur Reduzierung von Risiken durch Dritte
Der RFX-Prozess Ihres Unternehmens sollte Ihr umfassendes Programm zum Risikomanagement bei Drittanbietern (TPRM) ergänzen und verbessern. So bietet beispielsweise der Beschaffungs- und Auswahlprozess eine hervorragende Gelegenheit, das Risikoprofil eines Anbieters anhand der Kritikalität seiner Dienstleistungen und anderer Faktoren zu bewerten. Hier sind einige bewährte Verfahren für die Integration von RFx in TPRM:
Audits und Akkreditierungen für bestimmte Anbieter vorschreiben
Fragebögen zum Lieferantenrisiko sollten für alle Lieferanten verwendet werden, mit denen Ihr Unternehmen zusammenarbeitet. Bei RFIs und RFPs zur Bewertung von Lieferanten, die Zugriff auf Ihre Systeme und Daten haben würden, sollten Sie jedoch in Betracht ziehen, Nachweise für Sicherheitskontrollen anzufordern, die in Branchenrichtlinien wie NIST 800-53, NIST 800-161, dem NIST Cybersecurity Framework oder ISO 27001 festgelegt sind.
Von Lieferanten gemeldete Kontrollen nach Möglichkeit validieren
Einige Anbieter geben bei der Beantwortung von Ausschreibungen möglicherweise falsche Angaben zu ihren Betriebsabläufen und Sicherheitskontrollen. Durch die Integration Ihres RFx-Prozesses in eine Plattform für das Risikomanagement von Drittanbietern (TPRM) können Sie die von den Anbietern gemeldeten Kontrollinformationen anhand extern beobachtbarer Nachweise über ihre Geschäftspraktiken, Finanzen, Reputation, Verstöße in der Vergangenheit und Cybersicherheitsrisiken überprüfen. Suchen Sie nach TPRM-Plattformen, die Zugang zu einem Anbieter-Informationsnetzwerk und kontinuierlichen Risikomonitoring-Funktionen bieten, um diese Erkenntnisse zu nutzen.
Keine Alleingänge
Prevalent RFx Essentials ist eine SaaS-Lösung, die die Verteilung, den Vergleich und die Verwaltung von Ausschreibungen (RFPs) und Informationsanfragen (RFIs) zentralisiert und automatisiert. RFx Essentials erleichtert Ihrem Beschaffungsteam nicht nur die Auswahl von Lösungen und Anbietern, die den Funktions- und Risikoanforderungen Ihres Unternehmens entsprechen, sondern ermöglicht Ihnen auch einen wichtigen ersten Schritt beim Risikomanagement während des gesamten Lebenszyklus von Drittanbietern dank integrierter Informationen zu Anbieterrisiken. Mit Prevalent RFx Essentials können Unternehmen:
- Beschleunigen Sie Kaufzyklen durch die Automatisierung und Zentralisierung zeitaufwändiger interner und Lieferantenkommunikation.
- Vereinheitlichen Sie interne Teams mit einer einzigen, zentralisierten Plattform für Anforderungsmanagement, Kommunikation und Auswahl.
- Treffen Sie bessere risikobasierte Entscheidungen mit umfassenden Informationen zu Lieferanten, deren Ruf und Finanzen.
- Reduzieren Sie menschliche Fehler und Voreingenommenheit, indem Sie manuelle Aufgaben automatisieren und direkte Vergleiche ermöglichen.
- Überprüfen Sie die Angaben des Lieferanten in seiner Antwort auf die Ausschreibung anhand externer Informationen.
- Erhalten Sie frühzeitig im Geschäftsverhältnis einen besseren Überblick über Risiken, um später im Lebenszyklus schnellere und gezieltere Risikobewertungen durchführen zu können.
- Beschleunigen Sie Audits und Berichterstattungen durch zentralisierte Dokumentation und unterstützende Nachweise.
- Vereinfachen Sie Vertragsprozesse, indem Sie Lieferanten nach der Auswahl automatisch in den Vertragslebenszyklus und die vorvertragliche Due Diligence einbinden.
RFx Essentials bietet Automatisierung und Intelligenz für den ersten Schritt im Lebenszyklus von Drittanbietern und lässt sich nativ in die Prevalent Third-Party Risk Management Platform integrieren. Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihnen helfen kann, fordern Sie noch heute eine Vorführung an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
