我总是对那些宣称只需200、250、300(请自行填空)个问题就能评估供应商的人感到困惑。从事这行几十年了,我至今仍未找到能满足风险评估/分析需求的魔术数字。在您开始抨击供应商风险评估变得过于复杂耗时之前,让我们先统一一下认知。
- 我们历史上是否问了太多问题?是的。
- 我们是否未能根据所提供服务的类型来合理设计评估问卷?绝对如此。
- 我们是否总在寻求速效方案,以逃避建立供应商评估要求所需的基础性工作?永远如此。
但我们不应让过去的失败导致钟摆过度摆向另一端,以致无法正确评估供应商风险。尤其在当前外包规模持续扩大、相关风险不断攀升的背景下,更不应如此。
问题如此之多,时间却如此之少
对于"问题实在太多了"的评论,我的标准回应是:根据该供应商提供的服务,哪些风险领域不值得评估?您是否关注:应用程序安全、业务韧性、访问控制,或是其他众多风险控制领域?这些才是需要评估的控制领域,它们决定了哪些问题不可或缺——而非某个随机的数字。
我始终是合理范围评估的坚定支持者。未能合理界定评估范围会给所有人带来不必要的负担。供应商不得不处理与自身服务关联度极低的问卷,这往往延长了答复时间,降低了按时完成的可能性(更不用说对供应商关系造成的负面影响)。
这也会增加评估审查的工作量。每个提问和回答都必须经过审查。假设您的评估包含30个不必要的问题,那么分析师现在就要额外评估30个问题。这听起来可能不多,但乘以每年进行的评估数量后,数字很快就会攀升至数百甚至数千。这实际上降低了每位评估员能够完成的评估数量。
范围恰当的评估事半功倍
因此,请避免陷入数字游戏,花时间根据数据类型、系统访问权限和业务弹性(或其他符合您风险偏好的因素)来合理规划评估范围。您会发现,在管理供应商风险与减轻所有相关方完成评估的负担之间,可以找到良好的平衡点。
Brad Keller 从事风险管理项目的开发和领导工作已超过 25 年。目前,Brad 是 Prevalent 公司第三方战略部的高级总监,主要负责 Prevalent 公司第三方风险管理和评估解决方案的交付。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
