提案请求书(RFP)和信息请求书(RFI)对于选择符合需求的优质产品或服务至关重要——同时也是甄选可靠供应商与合作伙伴的关键环节。通过自动化采购流程并融入风险管理最佳实践,您不仅能提升采购效率,更能从第三方合作周期伊始就有效降低风险。
虽然许多人熟悉RFP管理和RFI管理这两个术语,但在采购过程中还存在其他几种请求类型。本博客将使用"RFx管理"来概括各类请求类型,具体内容将在下文阐述。
本文探讨了RFx管理中的关键考量因素,包括:
- RFx管理的定义
- 理解潜在的RFx管理挑战
- 分类招标书、信息请求书及其他类型请求
- 遵循5步RFx流程
- 利用您的RFx流程降低第三方风险
什么是RFx管理?
RFx管理是指对供应商、供货商或其他第三方进行识别、寻源和选定的管理流程。有效的RFx流程应能轻松实现:
- 识别潜在的第三方产品和服务
- 根据统一标准对解决方案进行评分和比较
- 在采购前提供对供应商风险的洞察
- 满足跨部门利益相关者的需求
大多数组织在启动供应商筛选流程时,首先向多家供应商或供货商发出信息征询书(RFI),随后向最终候选供应商发出提案征询书(RFP)。供应商对RFI和RFP的响应能帮助采购方了解市场情况,并比较不同供应商的解决方案能力。此后可能还会发出报价征询书(RFQ)、功能征询书(RFT)及其他信息请求,直至最终决策形成。
RFx管理挑战
许多组织——无论是出于公司政策还是法律要求——都必须对供应商解决方案进行公平客观的评估。然而,大多数采购团队仍受困于基于电子表格的手动RFx方法,从需求追踪、利益相关者沟通,到供应商尽职调查和潜在解决方案评估,所有环节都依赖这种方式。这使得采购与选型流程耗时过长、复杂且缺乏一致性,同时也增加了供应商安全风险与业务风险被忽视的可能性。
选择合适的供应商与选择合适的解决方案同样重要,因此采购团队必须建立高效流程来评估这两方面。同时,选择符合组织风险承受能力的方案也至关重要。问题在于,能让团队高效实现这两个目标的选项寥寥无几。
RF 是什么?理解请求类型
组织可根据所处的采购周期阶段或供应商关系状态采用不同类型的请求。最常见的请求类型包括:
信息请求书(RFI)
信息征询书(RFIs)通常在采购流程初期使用,用于收集潜在供应商、供货商及其他第三方信息,以评估其能否满足组织需求。发布信息征询书的企业旨在了解特定市场情况并确定基本要求。
提案请求书(RFP)
RFP(需求提案书)通常向通过RFI(信息征询书)流程筛选出的供应商发布,若供应商及需求已明确,亦可直接替代RFI使用。RFP包含详细问题、评估标准及技术规范,使采购方能够基于适用性与使用适配性对比方案并作出最终选择。
询价请求(RFQ)
询价单(RFQ)会分发给最终候选供应商,要求其提供所询商品或服务的报价。部分机构会跳过信息征询(RFI)和提案征询(RFP)环节,直接采用询价单处理可重复且简单的采购事务——这类采购通常以价格为主要考量因素。另有机构则完全省略询价流程,转而依赖销售谈判达成交易。
招标邀请函
RFT邀请供应商提交密封投标书。此类请求通常适用于具有法律结构的组织或政府机构。
招标书(RFB)
RFB(服务请求书)邀请潜在供应商对某项服务进行投标,但不构成具有约束力的协议。当采购方与供应商已签订主服务协议(MSA)且无需进行详细供应商评估时,通常采用RFB形式。
尽管大多数采购用例被归类为信息征询(RFI)或建议征询(RFP),但本文中我们统一使用RFx这一术语,其中"x"可代表上述任意术语。
五步RFx流程
为确保供应商评估的一致性和公平性,组织通常遵循标准的五步流程。需注意的是,该流程的每个阶段都存在独特挑战,这些挑战可能延缓采购周期,并带来不必要的成本与风险。
步骤1:确定业务需求
在此阶段,采购团队需识别并确定内部利益相关方的需求,同时持续追踪需求的变化。工作内容包括安排并管理团队会议以制定和审查需求,以及调研市场上的可用选项。
由于多个内部团队的成员参与RFX流程,打破部门壁垒并确保项目按计划推进颇具挑战。采购团队必须在鼓励协作的同时避免流程复杂化——否则采购人员可能会试图完全规避该流程。
步骤2:起草并发布招标文件
在此阶段,采购团队与业务团队协作起草评估问题,依据步骤1中确定的关键标准和预期成果对供应商进行评估。他们还需创建供应商数据收集工具(如电子表格),分发征求意见并获得批准,同时设定评分阈值。最后,采购或业务部门团队需与候选供应商沟通时间安排、解答疑问并明确需求。此步骤可能涉及大量往来邮件沟通。
步骤3:评估响应
此步骤包括收集并整理多家供应商的答复,审查答案以确定匹配度,应用第二步制定的评分模型,填充对比表格,并在必要时与供应商跟进以获取澄清。
企业通常使用电子表格收集供应商信息进行比较和评估,但电子表格管理耗时、协作性差且过于僵化,团队需手动复制评分公式,导致评估结果出现不一致、不准确或不公平的情况。采购团队无法承受业务效率的降低。
步骤4:选择第三方
在此阶段,RFx负责人召集解决方案选定团队,确认中标供应商并制定后续步骤。该步骤还包括通知中标方及传达后续安排。
大多数RFx流程侧重于选择具备正确功能的解决方案,但往往无法清晰揭示供应商可能带来的风险。若未能了解潜在供应商的网络安全漏洞、数据泄露历史、合规隐患、财务问题或声誉危机,企业就可能面临从错误供应商处获取正确解决方案的风险。
步骤5:协商合同
一旦供应商选定,且解决方案被认定既符合目的又适合使用,采购部门便通知法律团队启动供应商合同签订流程。与前期步骤类似,此过程可能涉及缺乏审计追踪记录的手动邮件沟通。
利用RFX流程降低第三方风险
贵组织的RFX流程应强化并完善更广泛的第三方风险管理(TPRM)计划。例如,在供应商的筛选与选择过程中,可依据其服务重要性及其他因素对供应商的风险状况进行分级评估。以下是将RFX与TPRM整合的最佳实践:
要求对特定供应商进行审计与认证
供应商风险调查问卷应适用于贵组织合作的全部供应商。但对于评估可能接触贵方系统和数据的供应商的RFI(信息请求)和RFP(提案请求),建议要求其提供符合行业指南规定的安全控制措施证明,例如NIST800-53、NIST 800-161、NIST网络安全框架或ISO 27001标准。
在可能的情况下验证供应商报告的控制措施
部分供应商在响应招标书(RFP)时,可能对其运营及安全控制措施进行虚假申报。通过将招标流程与第三方风险管理(TPRM)平台集成,企业可依据供应商业务实践、财务状况、声誉、违规记录及网络安全风险等外部可验证证据,对供应商申报的控制措施信息进行核查。建议选择具备供应商情报网络接入权限及持续风险监测功能的TPRM平台,以获取这些关键洞察。
不要单打独斗
PrevalentRFx Essentials是一款 SaaS 解决方案,可集中管理并自动化处理提案请求(RFP)和信息请求(RFI)的分发、比较与管理。 RFx Essentials不仅能帮助采购团队轻松筛选符合企业功能需求与风险要求的解决方案及供应商,更通过内置的供应商风险情报系统,在第三方生命周期管理中实现关键风险管控的第一步。借助Prevalent RFx Essentials,企业可实现:
- 通过自动化和集中管理耗时的内部及供应商沟通,加速采购周期
- 通过统一的集中式平台整合内部团队,实现需求管理、沟通协调与选型决策
- 通过全面的供应商业务、声誉和财务情报,做出更优的基于风险的决策
- 通过自动化手动任务并实现直接比较,减少人为错误和偏见
- 通过外部情报验证供应商在RFP响应中提供的内容
- 在合作关系初期获得更清晰的风险可见性,以便在生命周期后期进行更快速、更精准的风险评估。
- 通过集中化的文件和支持性证据,加速审计与报告流程
- 通过在供应商选定后自动将其纳入合同生命周期及合同前尽职调查流程,简化合同签订流程。
RFx Essentials为第三方生命周期的第一步提供自动化与智能支持,并原生集成于Prevalent第三方风险管理平台。若需了解Prevalent如何提供帮助,请立即申请演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
