什么是供应商风险管理?
供应商风险管理(SRM)是指识别、分析并应对与第三方供应商合作过程中可能产生的风险。这些风险包括数据泄露、运营故障及其他业务中断,可能影响企业的供应商,进而限制其向客户交付产品与服务的能力。
供应链的广义定义是指生产某一产品或商品所需的一系列流程。这些流程可能简短简单,例如农民在农贸市场销售农产品;也可能漫长复杂,例如消费品公司负责产品设计与营销,却需依赖数百家第三方、第四方乃至第N方供应商提供原材料、组装、包装及分销服务。
供应链风险管理(SRM)的目标是在可能对业务关系、客户服务和盈利能力造成负面影响的事件发生时,维持供应链的连续性。有效的SRM计划通过供应商评估、持续监控、数据分析和风险映射,优先处理可能导致供应链中断和停工的相互依存风险。精心设计的计划还包含风险缓解与风险转移流程,并具备衡量和分析关键绩效指标(KPI)的能力,以实现计划的持续优化。
对供应商风险的清晰认知,使企业能够更充分地准备并应对产品与服务交付过程中的中断。此外,通过规划实施自动化供应商风险管理解决方案,企业可分担部分管理压力。
为何供应商风险管理在当今至关重要
如今,供应商风险管理对许多组织而言意味着成败之别。新冠疫情、地缘政治动荡、气候变化、自然灾害等事件促使众多企业重新审视其供应商风险管理策略。尽管在稳定时期,即时供应链和全球外包模式曾有效降低成本并提升效率,但近年来这些做法却使供应链暴露于生存威胁之中。
尽管您可能无法预测具体的中断事件,但一套全面有效的供应商风险管理计划将帮助您的组织为意外事件做好准备。该计划同时涵盖董事会层面的议题,例如运营韧性、业务连续性及产品生命周期管理。
供应商风险的类型与实例
网络安全风险
21世纪供应链面临的最大风险之一是数据泄露及其他网络安全事件,这些事件可能危及供应商、其客户乃至客户的客户。 许多情况下,大型企业虽拥有完善的网络安全体系,但这些措施往往未能覆盖第三方机构——这些机构的网络安全知识和能力可能严重不足。例如2013年塔吉特公司遭遇大规模数据泄露事件,导致多达4000万消费者的个人身份信息外泄。攻击者的入侵入口正是曾为多家塔吉特门店提供服务的暖通空调分包商。
SolarWinds安全漏洞事件
另一个显著的例子是2020年SolarWinds攻击事件,该攻击破坏了该公司的Orion平台。这是近代史上影响最广泛、最复杂的网络攻击之一。 尽管全球Orion用户竭力识别并降低风险,SolarWinds供应链漏洞仍对其造成了巨大破坏。事实上,有研究显示受SolarWinds攻击影响的企业平均损失约达1200万美元。
普瑞瓦尔发现,37%的受影响方在应对SolarWinds安全漏洞时缺乏成文的事件管理政策。此次入侵事件令众多组织措手不及,暴露了其在客户报告方面的内部流程缺陷,以及缺乏适当的事件响应规划。
SolarWinds安全事件生动地说明了供应链网络安全风险如何引发连锁反应。即便企业的直接供应商未使用SolarWinds产品,其分包商也可能存在使用情况。 这同时体现了"第四方风险"的特性——未知分包商的网络安全漏洞可能对现有(甚至管理严密的)供应链造成负面影响。这些风险凸显了全面掌握供应链(含分包商)状况、准确评估潜在风险、并预先制定事件响应计划的重要性。
合规风险
近期全球供应链中断事件不仅使董事会层面对供应商风险管理(SRM)的关注度提升,监管机构和立法机构也对此愈发重视。尽管多项法规包含供应商信息技术安全风险管控要求,但多数组织仍以美国国家标准与技术研究院(NIST)或国际标准化组织(ISO)制定的最佳实践为基础构建合规体系。
NIST
处理美国政府信息的机构必须遵循美国国家标准与技术研究院(NIST)的指导方针。由于NIST发布的风险管理资源适用于所有企业,近50%的私营机构也采纳了其规范。多份NIST特别出版物明确了针对供应商信息安全的管控措施,包括SP 800-53、SP 800-161以及《NIST网络安全框架》。
ISO
国际标准化组织(ISO)是由专家组成的机构,致力于制定自愿性、基于共识的标准以应对全球性挑战。ISO信息安全管理体系标准属于ISO 2700系列,其中ISO 27001和ISO 27002最为广为人知。 ISO 27001与ISO 27002的第15节总结了安全处理各类第三方合作方的要求。此外,ISO 270036-2标准专门针对供应商与采购方关系中的信息安全要求作出规定。
信息技术安全之外的法规
在供应商关系中,信息技术安全并非唯一的合规风险类别。例如,多项ESG法规要求对供应商实践进行监督,涵盖气候变化与可持续发展(E)、社会公平、薪酬平等、劳动者保护(S)、公司治理、反贿赂腐败以及多元化(G)等多个维度。
商业与财务风险
企业供应链风险可能呈现多种形态。例如,关键供应商可能宣告破产而无法履行合同。事实上,有研究表明,过去一年中有25%的企业曾因供应商财务困境而受到影响。
并购活动也可能预示着战略调整或市场整合,进而影响服务交付、价格或合同条款。此外,领导层更迭或法律纠纷可能冲击组织文化、战略方向及实现目标的执行能力。
机构因财务披露和道德规范问题面临监管处罚的情况也日益增多。例如,货币监理署(OCC)针对银行与第三方建立合作关系(如云服务提供商、数据聚合商、金融科技公司及分包商)制定了具体指导方针。
在评估潜在供应商时,必须了解该组织的财务状况、现有合同义务以及其他可能影响其有效履行合同的因素。在供应商入驻前尽职调查越不充分,业务中断的风险就越高。
制定正式且有据可查的第三方风险管理策略有助于管控这些风险。供应商应依据预先设定的统一评估指标进行评估,以便轻松比较竞争对手并识别可能难以履行合同义务的潜在供应商。
活动风险
全球化使供应链变得极其复杂。例如,某国发生的飓风、野火、地震或海啸等自然灾害,都可能影响全球供应链。由于气候变化的影响,因自然灾害导致供应链中断的风险预计将进一步加剧。
关键供应商所在国的政治环境或安全局势变化同样可能引发负面供应冲击。典型案例包括战争等冲突事件、税收政策调整、国内稳定问题以及贸易禁运。因此,密切监测供应商所在区域的政治、社会和经济状况,并分析其对供应链的潜在影响至关重要。 对美国外国资产控制办公室(OFAC)违规行为、国有企业及政治敏感人物(PEPs)的可视化监控,是把握地缘政治风险的关键所在。
以下是几个重要的事件风险示例:
新冠肺炎疫情
新冠疫情充分说明了健康危机如何在全球范围内扰乱供应链。 2020年1月至2月,中国成为疫情中心,引发广泛的供应链中断,而特定产品需求的剧烈波动更使情况雪上加霜。例如,N95呼吸口罩和面罩等关键个人防护装备的供应链在需求激增时陷入瘫痪。随着疫情蔓延,中断现象蔓延至消费品供应链,而新变种病毒的出现又引发了新一轮全球封锁。
乌克兰战争
2022年俄罗斯入侵乌克兰迫使多家全球制造商暂停生产
并威胁到全球小麦供应。嘉士伯、可口可乐、亿滋国际、雀巢以及钢铁制造商兼矿商安赛乐米塔尔等企业迄今已暂停运营。 乌克兰还是铜等稀有金属的主要生产国,这些金属是众多制成品和电子产品的重要原料。供应链中断迫使企业向在乌运营的供应商收集信息,并据此调整生产计划和流程。
制裁是另一项需要考虑的因素。以俄罗斯入侵乌克兰为例,多个国家对俄罗斯政府实施了出口禁令和制裁,这影响了俄罗斯企业开展国际业务的能力。专家预测,作为回应,俄罗斯针对西方政府和西方企业的网络攻击将有所增加。
苏伊士运河阻塞事件
另一个近期发生的意外供应链中断事件是:2021年3月,一艘巨型集装箱船在苏伊士运河搁浅长达6天,导致每日约96亿美元的贸易受阻。
虽然无法提前预测大流行病、战争或灾难,但可以减轻风险并降低其对组织的影响。除了制定计划外,企业还可以对供应链进行模拟演练。这些模拟演练有助于识别供应链中最脆弱的环节,并了解自然灾害将如何影响业务运营。
企业社会责任与ESG风险
"优秀企业公民"的概念已存在多年,但随着社会认知的提升,其内涵也在不断演变。 曾经,企业只需通过捐赠时间和金钱回馈社区,就能满足企业社会责任(CSR)的定义。然而如今,企业社会责任日益与环境、社会和治理(ESG)实践紧密关联。这包括企业对环境可持续性的举措、与客户、员工及社区的关系处理,以及高管薪酬、内部控制和股东权益的管理方式。
此外,多个行业中日益突出的问题是使用奴工和童工——例如:
- 维吾尔族少数民族的困境给在中国生产产品的企业带来了压力。2020年的一份报告点名了83个使用中国强迫劳动工厂的全球品牌,包括耐克、盖璞、塔吉特、苹果和H&M。除了消费者抵制这些品牌的压力日益增大外,2021年美国国会还通过了《维吾尔强迫劳动预防法案》,以阻止进口与中国强迫劳动有关的商品。
- 有关电池用钴矿开采中存在童工现象的新闻报道,将苹果、微软、特斯拉、三星等企业的供应链实践推至聚光灯下。除声誉受损外,多家公司因相关行为面临诉讼。
- 2024年3月,田纳西州一家为约翰迪尔、雅马哈等大型企业供货的零部件制造商被勒令上缴150万美元利润,此前美国劳工部发现该公司雇佣儿童从事危险工作。此外,该企业因"使10名儿童遭受压迫性童工劳动"被处以296,951美元罚款。
监管压力也在不断加大。美国证券交易委员会(SEC)近期通过的修订案要求企业"在注册声明和年度报告中披露特定气候相关信息",包括"上下游价值链"。 欧盟议会提出指令,要求欧盟企业"识别并必要时预防、终止或减轻其活动对人权(如童工和劳工剥削)及环境(如污染和生物多样性丧失)的不利影响"。
容量风险
无论受商业事件、经济状况还是自然灾害影响,供应商都可能无法按时交付。因此,持续评估供应商产能至关重要,包括追踪当前订单状态、对比历史订单的履约表现、供应商响应速度及确认情况。对供应商产能的主动把握,能让企业在突发中断时更灵活应对。
绩效风险
与产能风险密切相关的是供应商绩效风险的衡量,即关键绩效指标(KPI),其涵盖质量指标、准时交付表现以及其他影响服务水平达标的风险。管理供应商绩效的关键在于建立清晰的仪表盘以实现企业级可视化管理,并通过可执行的服务水平协议(SLA)条款进行合同约束。
特定行业供应商风险管理问题
每个行业在处理第三方、第四方及N方供应商时都面临独特的挑战。必须充分考虑行业特有的因素,并定期开展详细审查,以确认行业变化是否可能危及供应链安全。
医疗保健供应商关系管理问题
新冠疫情暴露了美国医疗供应链的诸多缺陷。个人防护装备(PPE)及其他关键医疗设备的短缺持续了数月之久。由于健康危机具有不可预测性,加之需求驱动的供应链紧缩具有全球性影响,医疗行业面临着诸多独特的供应链风险。
美国医疗保健机构还需特别关注数据隐私法规及供应链网络安全。根据《健康保险流通与责任法案》(HIPAA)的"业务伙伴"条款等法规要求,第三方供应商通常必须遵守与医疗保健机构相同的网络安全标准。若需了解如何在整个医疗供应链中加强供应商关系管理(SRM),建议查阅美国卫生与公众服务部(HHS)的《HPH网络供应链风险管理》(C-SCRM)幻灯片演示文稿。
制造业与零售业供应商关系管理问题
制造与零售企业必须高度关注社会日益重视的ESG(环境、社会、治理)实践。投资者和政府正不断加强对制造商与零售商原材料采购方式的审查——不仅涉及第三方,更延伸至第四方乃至第N方的供应链体系。
欧洲企业尽职调查指令等ESG合规要求强制企业主动审查供应链中是否存在奴役劳动及其他不道德行为,违规罚款可能相当严厉。 我们建议制造和零售企业主动确保在供应商风险管理全生命周期中纳入ESG考量,此举既关乎合规性,也涉及道德规范与企业声誉。鉴于相关法规必将持续收紧,采取前瞻性ESG策略无疑能有效降低企业未来面临的挑战。
IT服务、软件与供应链网络安全
乍看之下,IT服务和软件企业似乎不像其他行业的公司那样面临同等程度的供应商风险。大多数软件公司无需从政治动荡的国家采购产品和原材料,也无需过度担忧自然灾害对第三方供应商的影响。然而,网络攻击却给它们带来了重大风险。
近年来,恶意行为者越来越多地通过入侵软件和IT公司的第三方供应商来传播恶意软件并损害客户利益。这些攻击事件凸显出,IT企业及其他公司必须严格评估第三方软件供应商等接触敏感IT基础设施的组织的网络安全实践,其重要性不言而喻。
这些问题对服务提供商(MSP)及其他拥有跨行业客户的IT服务供应商而言尤为严峻。例如,2021年Kaseya数据泄露事件就利用了托管服务提供商(MSP)所用解决方案中的漏洞。该漏洞使攻击者得以向使用Kaseya解决方案的MSP客户传播勒索软件。
理解供应链中的风险特征、固有风险与残余风险
供应商风险可大致分为三类:固有风险、特征风险和残余风险。理解这些风险类别将使您能够有效地优先配置资源,并在整个扩展供应链中降低风险。
供应商风险评估
风险分级评估(
)
基于供应商提供的服务、其接触的数据类型与系统类型以及所处行业来评估风险。例如,若某制造企业90%的原材料来自政治动荡国家中的单一供应商,则该供应商将被评定为高风险等级。 反之,若供应商仅提供单一、次要且易于替换的零部件,则其风险评级较低。评估供应商风险评级时需考虑:
- 数据与IT访问权限:第三方供应商的风险评估直接取决于其可访问的数据范围及IT系统类型。对机密信息拥有高访问权限的组织,其风险评估等级更高。若供应商存储、处理或接触贵公司的企业数据,那么其安全计划实质上就是贵公司的安全计划。
- 地点:在政治动荡环境中运营的组织面临的风险远高于其他组织。政治动荡可能迅速破坏供应链、危及敏感数据,并引发其他难以预料的负面后果。
供应商风险管理人员在评估潜在供应商的风险概况时,需综合考量多重因素。切勿跳过风险概况评估环节——该步骤为选择第三方生态系统中各供应商层级的问卷提供了关键依据。若缺乏对风险概况的理解,必将导致提问失准、数据失效,最终形成不准确的固有风险评分。
固有供应商风险
固有风险指供应商在未实施贵机构要求的任何特定控制措施前的风险等级。例如,若某医疗机构正物色数据分析公司协助处理患者数据,若该公司无法提供证明其政策符合《健康保险流通与责任法案》(HIPAA)的文件,则其固有风险将高到不可接受的程度。 该医院可选择要求供应商实施符合HIPAA的政策与流程,或终止合作。分析潜在供应商的固有风险时,需考虑以下因素:
- 如果供应商遭遇重大网络攻击导致无法履行合同,您的供应链是否会遭受重大中断?
- 供应商是否拥有自主的供应商风险管理计划,使其在第四方或N方发生中断时仍能持续交付?
提出这些及其他相关问题,有助于您识别潜在供应商对贵组织及其供应链构成的固有风险。通过获取这些问题的答复,您将能够结合供应商的风险画像与固有风险,为其制定一套详细的供应商要求。
残余供应商风险
残余风险是指供应商成功实施贵组织要求的控制措施后仍存在的风险。无论供应商的风险评估结果、固有风险及整改活动如何,总会残留部分风险。有效的供应商风险管理计划的目标,是将整个扩展供应链中的残余风险降至贵组织可承受的水平。
为实现可接受的残余风险水平,您需要确保所有供应商均满足贵组织的"必备"要求,以保障供应链的安全合规。这些要求可能包括:
- 健全且有据可查的信息安全计划
- 全面的灾难恢复规划
- 对第四方及N方的可视性
- 一项ESG合规计划
- 原材料采购的可视性(例如冲突矿物)
请注意,在供应商风险管理生命周期中,残余风险并非一成不变。必须在合同生命周期内 持续监控第三方 ,以便 及时掌握因组织或环境变化导致的残余风险变化。
供应商风险管理策略纲要
1. 组建跨部门供应商关系管理团队
识别和量化供应商风险乍看之下可能令人望而生畏,因此组建合适的团队来管理和治理供应商风险管理(SRM)计划至关重要。团队成员可包括采购与供应链、风险管理、安全与IT、法律与合规以及数据隐私团队的代表。同时必须与产品管理和制造部门协作,以全面掌握价值链各环节的潜在风险。
2. 选择风险管理框架
基于风险管理框架构建供应商风险管理(SRM)计划,可为您提供最佳实践和指导方针的基础。 多数组织会根据行业特性及其他因素,选择遵循NIST或ISO框架。具体需参考的NIST指南包括:
NIST CSF v2.0、NIST SP 800-53及NIST SP 800-161。若采用ISO标准,建议从ISO 27001和ISO 27036-2开始实施。
3. 在招标流程中通过合同前尽职调查考量风险
在评估新供应商时,请确保招标书(RFP)、信息征询书(RFI)及其他招标流程包含从以下来源收集业务风险、财务风险及声誉风险信息:
- 商业新闻(例如并购活动、监管与法律行动、运营变更及领导层变动)
- 负面媒体报道(例如:ESG违规行为、现代奴隶制、贿赂、腐败)
- 数据泄露清单
- 财务记录
- 制裁名单(例如:美国财政部外国资产控制办公室、欧盟、联合国、英国央行、联邦调查局、美国商务部工业与安全局等)
- 全球执法名单及法院备案文件(例如:美国食品药品监督管理局、美国卫生与公众服务部、英国食品标准局、美国证券交易委员会等)
- 国有企业名录
- 政治敏感人物名单
风险情报网络和风险画像服务可助力实现该流程的自动化。在选择新供应商时,务必建立完善的合同生命周期管理流程,以优化并保障流程的安全性。
4. 集中管理供应商档案可见性
建立并维护集中化的供应商数据库,对确保供应商关系管理(SRM)计划的有效实施至关重要。该数据库应包含全面的供应商档案,并提供基于角色的访问权限,涵盖公司联系人信息、人口统计数据、第四方及第N方关联关系,以及风险情报——其中应包含在供应商遴选阶段所收集的任何风险档案数据和外部风险信息。
5. 根据固有风险对供应商进行分类和分级
为确保供应商风险管理计划的有效性并最大限度利用有限资源,您需要根据供应商固有风险对其进行分类分级。如前所述,固有风险是指在未考虑贵组织要求的任何特定管控措施之前供应商所面临的风险。有效的固有风险评分(见下表)可结合简单内部问卷调查结果以及采购阶段收集的外部风险数据进行综合评估。
一个简单的SRM风险评分表
6. 定期开展风险评估以确保合规
在完成供应商档案建立、分类和分级后,即可轻松确定各类供应商未来风险评估的频率与范围。例如,可依据行业标准、监管要求或企业特定需求,对关键供应商实施年度评估。评估内容可能涵盖内部安全控制措施、业务连续性计划、灾难恢复方案等信息。有关评估类型的更多细节,请参阅我们的博客文章《如何选择供应商风险评估问卷》。
7. 持续监控新供应商风险
供应商风险正随着经济、地缘政治及网络安全环境的快速变化而不断涌现。因此,持续监控关键供应商的新业务风险、财务风险、声誉风险及网络安全风险至关重要。这些情报可用于调整供应商风险评分,并触发响应、缓解及补救措施——例如寻找新供应商、变更运输路线或要求进行进一步评估。
8. 确保遵守服务水平协议(SLA)及性能要求
本文讨论的许多评估和监控机制也可定制化应用,用于依据服务水平协议(SLA)及其他合同要求评估供应商绩效。首先需根据合同属性建立供应商关键绩效指标(KPI),并为每个指标设定阈值及责任人。当KPI未达标或关键风险指标(KRI)超限时,自动化平台可自动触发预警。
9. 供应商合同终止时的风险防范
供应商离职管理常被忽视,导致合同终止后安全风险往往加剧。因此,必须对即将终止合作的供应商进行背景审查并开展离职评估。这些评估可用于验证最终合同条款是否履行、交付是否完成、IT及/或物理访问权限是否撤销、资产是否归还以及敏感数据是否销毁。以下离职管理清单可供参考:
SRM项目实施要点
承认供应商风险不仅限于第三方
组织的风险不仅限于其直接关联方(第三方)和供应商。其合作伙伴(亦称"第四方")以及供应链更深层的环节同样可能引发危害。识别此类组织、评估第三方带来的关联风险,以及制定并实施风险管控措施的能力,已成为当今企业面临的重要挑战。 评估并应对这类风险的复杂性,要求企业建立健全且全面的第三方风险管理计划。
为主要供应商制定事件响应计划
无论您的供应商关系管理(SRM)和采购计划多么完善,问题仍会发生。对于供应链中的关键环节,务必制定应急预案,确保在突发事件发生时能迅速切换方案。这将决定企业是遭遇全面运营中断,还是仅出现轻微运营波折。供应商越重要,就越需要制定具体可行的事件响应方案。
实施供应商关系管理培训计划
对于大型组织而言,确保整个企业范围内供应链的安全与稳健可能极其困难。不同部门可能采用各自独立的供应商筛选与采购系统,因此识别并追踪所有第三方供应商(及其各自的供应链)往往充满挑战。
供应商关系管理(SRM)培训计划有助于统一全组织决策者的认知,并为个人及部门在第三方供应商的接纳、监控、管理和退出流程中提供明确标准。若缺乏统一传达的清晰标准,SRM计划极易脱轨。
下一步工作
不知从何入手?深入了解我们为供应商风险管理提供的解决方案、供应商风险监控服务以及采购尽职调查服务。想了解Prevalent的解决方案和服务是否适合贵组织?立即申请演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
