您能说出最重要的外包供应商的材料供应商吗?
如果您做不到,也许读完这篇文章后,您就可以开始做了。
对分层供应商风险管理的关注一直存在,但第四方的加入往往被忽视,当然也不容易确定。在供应商管理计划中,你看不到的东西会带来最大的风险。
透明度始终是绝对必要的
在过去几年中,供应商透明度一直是监管机构更加正式的目标。 OCC 在 2017 年初将集中风险确定为一项要求,其中包括确定第三方和第四方运营地点。 提高供应商透明度的另一个例子是,2017 年 5 月从 SSAE16 变为 SSAE18 格式,或更常被称为 SOC 1 控制审计。 这在一定程度上是为了扩展这些审计格式,使其包括对重要分包第四方供应商的识别。 至少在理论上是这样。
在 SOC1 报告中,对材料分包商的定义往往是笼统的,而与供应商客户代表就不容易获得的细节进行交涉则需要耗费大量的人力物力。但是,这对于确定谁在为贵组织提供支持以及从哪里提供支持是必不可少的。显然,这是必须作为您与签约供应商主要关系的次要背景来评估的风险。
如果您是一家受监管的金融机构,您有必要了解情况,并有权要求提供详细信息,以便对整体关系所带来的风险进行适当评估。
第四方供应商监督已成为期望
了解第四方关系的存在,并获取、审查和跟踪这些信息,完全是对供应商管理计划的复杂性和承诺的第二次提升。 这已成为行业及其监管机构的期望。为了满足这些期望,我们必须考虑以下几点:
- 确定所有关键/材料供应商的第四方/分包供应商,并能够对其进行分类
- 按全球地点识别和绘制第四方/分包商地图
- 要求并清点供应商的第三方风险管理业务实践
- 要求、接收并审查签约供应商提供的有关第四方的尽职调查报告
- 将这些安排的利用率和复杂性纳入签约供应商关系的总体风险分类中
- 作为持续风险计划的一部分,对第四方进行持续监测
解决方案
为了帮助您建立这些成功合规的基本要素, 企业正在转向最先进的软件解决方案,以经济有效的方式降低这些潜在风险。
供应商风险管理
Mitratech TPRM(Prevalent)等供应商风险管理软件解决方案可帮助贵公司了解供应商网络或供应链中的风险因素,使您能够在问题发生并对运营或企业造成损害之前将其缓解。
企业风险管理
要想真正了解威胁企业的风险,就必须采用下一代企业风险管理解决方案(如EnterpriseInsightTM),以前所未有的便捷性和洞察力汇总整个企业的风险。
