爱丽丝漫游奇境记》的书迷们一定还记得,当爱丽丝问柴郡猫该怎么走时,柴郡猫是怎么回答她的。他回答说:"如果你不知道要去哪里,任何一条路都能让你到达那里。"柴郡猫的意思是,如果你没有目标,那么你就没有目的地;如果没有目的,就没有目标。
第三方风险管理(TPRM)亦是如此。在与供应商、供货商及其他第三方合作时,至关重要的是从一开始就明确并达成共识,界定每段合作关系的具体目标与总体目标(即"终点")。 在尽职调查和 入职阶段 遵循TPRM最佳实践,有助于预判新合作方能否达成既定目标——从而有望避免日后出现重大问题。
一旦开始任何旅程,就必须定期检查自己的方位,以确保走在正确的道路上。遗憾的是,许多第三方合作关系在签订初始合同后都未能实现其目标。要保持正确的方向,就必须在整个合作关系中根据目标和服务水平协议(SLA)监控每个供应商的表现。
持续管理供应商绩效和服务水平协议的 5 个步骤
以下是一些管理供应商绩效和服务水平协议的实用步骤,以确保富有成效、安全和持久的第三方关系:
1.确定每种关系的高层次目标和宗旨
这是基础。每种第三方关系从一开始就应该有明确界定并记录在案的目的和目标。
2.记录关系的各层目标和服务水平协议
有些关系是扁平的,目的简单明了,而有些关系则是复杂的,有多层合同和服务水平协议。例如,我曾为一家公司提供咨询服务,该公司拥有 5000 家供应商,共 20,000 家工厂,每家供应商拥有 1-50 家工厂。在这种情况下,绩效和风险都是在供应商和设施两个层面进行衡量的。另一方面,与我合作过的一家全球性银行只与一家服务提供商建立了外包关系,但这一关系却包含 100 多份不同的合同和服务级别协议。
3.为每份合同和服务级别协议制定关键绩效指标
下一步是对合同和服务水平协议进行清晰剖析,建立并定义关键绩效指标(KPI),以衡量合同和服务水平协议的正负交付情况。
4.制定监测和衡量风险和不确定性的关键风险指标
根据 ISO 31000 的定义,风险是不确定性对目标的影响。一旦关键绩效指标到位,就应制定关键风险指标 (KRI),以监控可能会破坏第三方实现其目标和/或遵守约定服务水平的能力的控制失误、不利事件和安全风险。
5.报告和仪表板
为了提供价值,供应商绩效监控需要产生实时的洞察力和衡量标准。确保您的绩效监控流程有报告和仪表板的支持,这些报告和仪表板可根据具体合同和服务水平协议提供关键绩效指标和关键绩效指标的可见性。这将使您能够做出更明智的决策,并与供应商合作进行必要的调整,以实现您的目标。
遵循这些步骤将帮助您的组织变得更加敏捷和灵活。敏捷性使您能够从表现出色的关系中扩大规模并增加价值,而弹性则使您能够在表现不佳的关系中尽量减少损失或损害。
将供应商绩效纳入第三方风险管理
我建议将供应商绩效和 SLA 管理与第三方风险和合规性评估相结合。毕竟,履行合同和服务水平协议的供应商仍有可能使企业面临数据泄露或违反ABAC、ESG、现代奴隶制或其他业务风险相关政策的风险。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
