每家公司都有供应商,也都有供货商。在第三方风险管理中,这两个术语常被混用。尽管它们都属于"第三方"范畴,却并非同一概念。供应商与供货商可能给企业带来不同的风险,需要采取不同的策略来准确评估风险。本文将详细阐述供应商与供货商的区别,以及如何管理和缓解它们各自带来的独特风险。
什么是第三方?
第三方是指向贵组织提供商品或服务的任何外部公司、个人或其他实体。贵企业依赖这些外部实体(包括供应商、经销商、承包商、服务提供商及商业伙伴)开展日常运营。
有哪些第三方企业的例子?
第三方供应商的范围涵盖从小型供应商到提供综合解决方案的大型企业。第三方企业的具体类型包括:
- 软件供应商:这类 公司开发并销售软件产品,或为企业提供软件即服务(SaaS)解决方案。例如微软销售其Office套件,Salesforce提供其客户关系管理(CRM)平台。
- 硬件供应商: 提供物理设备或基础设施的制造商 或供应商,例如计算机、服务器、网络设备或其他硬件组件。例如思科(Cisco)提供网络设备,苹果(Apple)提供笔记本电脑和手机。
- 原始设备制造商 (OEM):这类供应商为贵公司销售给客户的最终产品提供半成品或组件,例如汽车零部件或计算机软件。英特尔便是典型代表,其向戴尔、惠普等计算机制造商销售处理器。
- 咨询或服务公司:提供特定领域专业知识和建议的外部机构,涵盖管理、战略、技术、财务、法律或人力资源等领域。
- 物流与运输服务商: 专注于货运、仓储或运输服务的企业 ,确保企业货物与物料的顺畅流通。联邦快递(FedEx)和德国邮政敦豪(DHL)便是其中典范。
- 营销与广告代理公司:协助企业制定营销策略、策划营销活动、提供创意服务、进行媒体采购或开展公共关系工作的外部机构。
- 薪资服务提供商: 负责管理员工薪资并确保所有适用薪资税款准确缴纳的公司 。ADP是该领域最具代表性的企业之一。
- 安全服务: 为企业提供网络安全解决方案、物理安防、风险评估或其他安全相关服务,以保护企业免受威胁的供应商 。
- 清洁与办公服务:受聘从事办公室清洁、数据销毁或提供办公用品的公司,同样被视为第三方。
上述任何供应商或服务商都可能对您的关键系统和数据拥有不同级别的访问权限。他们可能像保洁服务人员那样自由出入您的实体工作空间,或像营销广告公司那样拥有访问企业文件的特殊登录权限。这种访问权限意味着他们同样会给您的业务带来负面影响的风险。 理解如何看待与各类第三方建立的关系,应成为您制定第三方风险管理(TPRM)策略的基石。
在第三方风险管理中,供应商与供货商有何区别?
术语“第三方”、“供应商”和“供货商”常用于界定商业关系中的角色。如前所述,第三方是指任何不受贵组织直接控制、却影响贵组织核心运营和/或最终产品的实体。第三方可提供商品、服务或其他资源以支持主要商业关系,其主体可以是个人、组织或公司。
虽然所有供应商和供货商都可视为第三方,但"供应商"和"供货商"这两个术语进一步揭示了商业关系的本质差异。 "供应商"提供可直接使用的成品或服务,而"供货商"则交付需加工或转售的零部件。供应商为企业提供支持,供货商则为企业提供生产要素。例如:法律供应商向律所提供特定服务(数据存储)以支持其运营,而汽车零部件供货商则为制造汽车或卡车提供组件。
什么是供应商?
供应商是指为贵公司日常业务运营提供所需物品的企业。这些物品可以是成品,也可以是贵公司作为客户所使用的服务。例如:市场团队使用的网页内容管理系统,或财务总监办公室的会计软件。而向贵公司IT团队销售员工工作用笔记本电脑的企业?那便是贵公司的硬件供应商。
供应商可能从零开始创建和构建自己的产品,也可能不这样做。特别是软件供应商,他们通常会使用其他公司的组件或开源代码库来创建应用程序。硬件供应商也可能与其他公司建立OEM合作关系。
或者他们也可能是纯粹的服务供应商,例如营销机构、会计师事务所或托管服务公司。关键在于供应商提供的是成品或服务,客户(即贵公司)可直接利用这些产品或服务开展自身业务。
什么是供应商?
供应商是指向其他组织提供关键专业商品、服务或原材料的第三方。供应商在价值链中扮演着至关重要的角色,其提供的范围涵盖从制造所需的原材料和零部件,到SaaS平台的技术基础设施。他们可能参与买方的供应链体系,并对买方的运营发挥关键作用。例如,一家定期从其他公司采购原材料或零部件的企业,会将该企业视为其供应商。
第三方关系中的供应商风险与供应商风险
在第三方关系中,供应商风险与卖方风险虽有相似之处,但基于其提供的产品或服务的性质以及在企业运营中所扮演的角色,二者存在显著差异。
供应商风险:
供应商风险是指与为企业生产或运营流程提供关键原材料、零部件或服务的公司或个人相关的风险敞口。供应商风险可能包括:
- 网络安全风险:数据泄露及网络安全事件对供应商及其扩展网络造成的风险。
- 合规风险:在供应链中满足监管标准和行业最佳实践(如美国国家标准与技术研究院和国际标准化组织制定的标准)所面临的挑战。
- 商业与财务风险:与供应商财务稳定性相关的风险,例如破产、并购活动及监管处罚。
- 事件风险:源于自然灾害、政治动荡或其他重大事件导致全球供应链中断的风险。
- 企业社会责任与ESG风险: 与环境、社会及治理因素相关的风险,包括劳工实践和监管压力。
- 产能风险:供应商可能因经济稳定性、法规变更等多种因素无法满足交货时间表的风险。
- 绩效风险:与供应商能否满足质量和一致性指标、准时交付及其他服务级别协议相关的风险。
供应商风险:
供应商风险是指与直接向企业提供成品或服务(用于转售或运营使用)的公司或个人相关的风险敞口。供应商风险包括:
- 网络风险:因数据泄露、分布式拒绝服务攻击、勒索软件漏洞、软件供应链攻击及其他恶意活动可能危及企业运营的风险。近期案例包括PJ&A医疗数据泄露事件和MOVEit供应链攻击事件。
- 合规风险:供应商未能遵守各类数据保护法规所引发的风险,以及违规行为可能导致的法律和财务后果。
- 财务风险:因供应商财务状况不稳定而可能影响其交付产品或服务能力的风险。
- ESG风险:投资者日益关注企业道德经营行为,包括人权和环境责任。
虽然存在重叠,但供应商风险通常更侧重于生产和供应链方面,而厂商风险则强调最终产品质量、合规性及服务交付。全面的第三方风险管理需要对多种风险类型进行理解和管控。
第三方风险管理的重要性
与任何第三方开展合作都存在潜在风险,可能对运营、声誉及合规性造成负面影响。有效管理这些风险需要对威胁进行评估、监控和缓解。完善的第三方风险管理(TPRM)计划可降低财务损失、声誉损害及法律后果的风险,确保业务运营保持韧性与安全。
确保有效的第三方风险管理
随着网络攻击日益源自第三方,隐私问题推动新规出台,以及供应链中断影响全球运营,确保您的供应商和合作伙伴已建立完善的管控措施和流程来保护您的组织至关重要。
TPRM计划赋能组织识别、缓解和接受风险,从而避免意外风险的发生。缓解这些风险的关键步骤包括:
1) 开展全面尽职调查
- 对第三方声誉、财务稳定性及过往业绩进行全面评估。
- 评估他们的经验、专业知识以及来自以往客户的推荐。
- 审查第三方对其所提供产品或服务是否符合行业标准及相关认证要求。
2) 明确需求与期望
- 在书面协议、合同或服务级别协议(SLA)中,清晰阐述您的业务需求、目标及绩效预期。
- 明确具体的交付成果、时间节点、质量标准以及衡量绩效的指标。
- 事先讨论并协商任何定制、支持或维护需求。
3) 实施强有力的合同保护措施
- 签订具有法律约束力的合同,明确界定所有当事方的角色、责任和义务。
- 包含涉及数据隐私与安全、知识产权、终止条件及争议解决机制的条款。
- 规定对不遵守、违反或未能满足约定条款的行为所适用的补救措施和处罚。
4) 将定期风险评估与持续监测相结合
5) 建立强有力的信息安全实践
- 确保第三方已实施强有力的数据保护措施,包括加密、访问控制和事件响应协议。
- 制定数据处理和共享协议以保护敏感信息。
- 要求供应商定期提供安全更新、漏洞评估和审计。
6) 维持应急预案
- 制定应急预案以应对供应商相关的中断情况,例如在可能的情况下提供替代采购方案或备用供应商。
- 考虑采用冗余或故障转移机制,以最大限度地减少服务中断的影响。
- 记录事件响应和灾难恢复程序,并定期进行测试。
7) 促进强有力的沟通与协作
- 与供应商或供货商的关键人员保持定期沟通渠道,以便及时解决问题并建立牢固的工作关系。
- 建立争议解决或重大事件的升级处理程序。
- 鼓励开放透明的沟通,促进相互理解并达成共识。
- 通过遵循这些最佳实践,企业能够降低风险,加强对供应商关系的管控,并确保在整个合作过程中其商业利益得到保障。
管理第三方供应商风险的后续步骤
理解第三方供应商与供货商关系的微妙之处,并学会规避风险至关重要。探索如何构建您的第三方风险管理(TPRM)体系,并评估我们的第三方风险管理解决方案是否契合贵组织需求——立即申请演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
