随着我们对冠状病毒全球大流行的不满进入第三季度,有一点非常明确:集中式供应商风险管理正在发生内爆。
这一结论是根据公开就这一主题发表演讲的人士透露的信息得出的,例如在 9 月份举行的Mitratech Interact会议上:供应商风险管理面临的严峻挑战是,如何确保企业所有者的参与,以保持对其关键产品和服务供应商的了解。
在此之前,对于许多企业主来说,他们在供应商管理方面的责任就是填写大量的表格、审批和/或弃权书,以便获得授权,从他们已经选定的公司购买产品或服务;毕竟,他们才是主题专家。这可能意味着,某个级别更高的人将成为合同上的证据签字人,而且一旦通过审核,至少在一年内都是一帆风顺的。
供应商管理是一个令人烦恼的重复性问题,需要定期更新模板和获取供应商提供的必要文件,以确保所有方框都被勾选或保持勾选。除了与企业所有者的成功息息相关的供应商业绩验证之外,供应商管理工作的大部分内容都不在企业所有者的专业领域之内。
这是因为供应商管理是一项集体工作。它是横向意见的汇集,这些意见来自于在大多数组织内部各自纵向运作的主题专家村。企业主只是众多意见中的一个,并不占主导地位。
供应商风险管理的新秩序
供应商集中管理的难点一直是人员配备。通过整合所需的审查步骤和做法,组织可以控制程序,并向任何审计员或监管机构展示管理供应商文件的纪律和权力。但是,如果由少数人掌握,则需要大量人力。
现在,我们正处于 "黑天鹅 "事件的风口浪尖上,与每周、每天、甚至每小时都要与那些使您的业务得以运转的供应商进行接触和沟通相比,管理文件就显得微不足道了。我们现在需要许多人的参与和授权。
风险模型中有第一道防线和第二道防线的定义。供应商管理层不可能同时接受和承担这两道防线的角色。定义中的第一道防线,即真正了解并负责业务模式的企业所有者,必须参与进来。现在很明显,您的业务可能取决于此。
新的重点
一个新的焦点出现了。我的供应商是否有足够的人员操作并为我们公司提供服务?人员居住地和供应商运营连接的变化如何改变信息安全风险?我们需要如何重新定义基本服务?合同是否需要修订?我们是否有足够的服务水平协议(SLA)和退出选择(如五年多前 FFIEC 检查手册附录 J 中对金融机构的定义)?
为了接受不断变化的风险容忍度,供应商和我们的组织内部需要如何改变政策和程序?现在出现了全国范围的封锁和病毒热点,是否有人担心供应商集中风险?如何监控和验证网络安全风险和供应商恢复能力?
这些都是需要回答的问题,而不仅仅是供应商是否有去年 SOC 报告的审计过桥函。现在,企业主有了更多的参与权。供应商管理机构需要让步,并确保将这一关键业务流程的责任下放给企业所有者;不再将自己单独定义为满足监管要求的中心位置。第三方风险是真实存在的,而且不再是业余爱好。
抵御供应商和企业风险
了解我们一流的 VRM/ERM 解决方案。
