根据我在多家企业构建供应商风险管理项目的经验,风险管理团队必须警惕五大类潜在陷阱。这些陷阱涵盖从缺乏基础供应商联络信息,到未能向董事会提交正确风险指标等方方面面。若未能及时处理,任何一个都可能导致供应商入驻延迟、风险疏漏及合规失败。
为帮助您避免重蹈我的覆辙,我整理了一份问题清单和需要调查的领域。
1. 不了解你的供应商生态圈
如果你连自己的供应商是谁都不知道,又怎么能评估他们呢?
- 您的供应商清单是否完整?您是否清楚供应商的具体情况及总数?
- 是否有多个部门负责供应商入职?(例如:5,000美元的授权额度允许任何人购买服务。)
- 您是否掌握所有供应商的联络人信息?
- 业务联系人是谁?
- 供应商关系中的风险由谁承担?
- 您是否了解与供应商的合作内容(例如他们提供哪些服务)?
- 你能追踪该服务的数据流向第N方吗?
- 您现有的流程是否导致供应商风险管理被视为阻碍而非助力?
- 是否在做出选拔、入职和续聘决策时,会参考画像分析、固有风险和残余风险数据?
2. 项目缺陷
若未建立必备的控制措施,你依据什么进行评估?
- 分层决策依据哪些标准?是支出、参与度还是风险承受能力?
- 尽职调查决策依据哪些标准?是根据供应商处理的数据类型(例如敏感、机密、专有数据),还是根据所提供服务的类别?
- 您如何识别并审查对业务至关重要的控制措施?
- 你们是否已成立指导委员会来协助决策?
- 控制权归谁所有?
- 内部员工的技术水平如何?是否有现成的操作指南来帮助他们处理流程和突发事件?
3. 尽职调查的复杂要求
您的评估有多困难且昂贵?
- 贵方采用何种需求/请求管理流程?通过邮件吗?重要供应商属性如何记录?
- 供应商申请流程的透明度如何?
- 目前用于评估供应商的问卷有多少种?是否有机会进行整合?
- 您如何应对信息过载?是否建立了将问卷答复与外部验证(如威胁评分或警报)关联的流程?
- 尽职调查是否用于采购或采购环节的供应商选择?
4. 风险评分与处置不明确
您如何协调问卷调查结果与供应商威胁情报?
- 在计算风险评分时是否考虑了影响程度和发生概率?
- 是否已设置阈值来识别需要关注的风险?(否则将导致所有风险均需审查并要求供应商响应,从而造成延误和资源浪费。)
- 风险补救建议及时间表是否已向所有相关方(评估人员、供应商等)明确传达?
- 风险如何追踪至关闭?
- 是否已确定风险对应的业务负责人?
- 是否已建立例外/处置流程或工作流?
- 是否有方法衡量风险降低随时间推移的效果?(例如,是否有风险指标或里程碑可用?)
5. 没有关键绩效指标(KPI)和关键风险指标(KRI)的度量或报告
如果无法上报,如何改变这种文化?
- 该组织是否存在部门壁垒?若存在,风险报告如何弥合这种隔阂?
- 有哪些关键绩效指标(KPI)用于衡量交易方风险管理(TPRM)计划或供应商的有效性?
- 服务水平目标是否已传达、理解并达成?
- 是否已建立关键风险指标(KRIs)来实时衡量风险降低情况并追踪其随时间的变化趋势?
- 风险如何追踪和报告?
- 报告是手动创建的吗?如果是,可能缺少哪些内容?
- 向董事会呈现哪些指标和风险状况?这些信息是否被用于支持数据驱动的决策?
这些注意事项和问题固然并非穷尽所有,但它们代表了许多供应商风险管理计划在完善流程过程中最常遇到的障碍。
下载我们的白皮书《供应商风险生命周期管理:各阶段成功关键》,获取更多最佳实践——或申请演示,与我们的专家探讨您的项目需求。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
