第三方供应商风险管理正处于快速演变阶段。自新冠疫情爆发以来,企业被迫紧急应对第三方风险管理、抵御日益猖獗的勒索软件攻击,并处理持续的供应链中断问题。 通过构建高效的供应商风险管理工作流程,您既能大幅缩短新供应商入驻周期,又能同步降低组织风险。本文将提供可操作的实践建议,指导您的组织如何设计高效的供应商风险管理工作流程,并将其与企业其他关键业务流程无缝集成。
供应商风险管理工作流程为何重要?
近年来第三方风险急剧上升,供应商和供货商的安全隐患因近期健康、环境及地缘政治危机而加剧。因此,在供应商选择过程中纳入风险对比评估,将使您在未来避免诸多麻烦。
建立高效的第三方风险管理工作流程,可使贵组织依据预设风险标准快速评估供应商资质,并采取措施将风险降至可接受水平。无论是在引入新供应商还是评估现有供应商群体时,该工作流程都能让您在供应商生命周期各阶段衡量并降低风险。
常见的供应商风险类型
金融风险
财务状况不稳定的供应商可能严重扰乱您的供应链。请务必通过问卷调查、公开文件及其他渠道评估供应商的财务状况,以确认该公司是否存在破产风险或无法履行合同义务的风险。
信息安全风险
当今企业间共享的数据量已达到前所未有的规模。与此同时,近年来数据隐私与信息安全法规也大幅扩展。信息安全是评估潜在供应商时最重要的考量因素之一。若供应商在网络安全方面记录不良,或无法充分证明其安全管控措施有效,则应考虑另寻其他供应商。
ESG风险
ESG代表环境、社会和治理风险。企业行为正面临来自客户、股东和监管机构日益严格的审查,因此若未能妥善处理环境、多元化、社会公平及人权相关问题,将导致声誉和财务损失。投资者与客户正日益倾向于仅与具备健全ESG政策的组织合作,因为供应链中的任何问题都可能引发严重的下游连锁反应。
合规风险
第三方合规风险涵盖多个领域,包括信息安全、隐私保护及ESG(环境、社会和治理)标准。例如,GDPR(通用数据保护条例)、CCPA(加州消费者隐私法案)和CMMC(网络安全成熟度模型认证)等安全与隐私法规均包含关于第三方数据共享的严格条款。 ESG相关立法包括:2015年英国颁布的《现代奴隶制法案》要求企业对其供应链进行强迫劳动审查;美国《反海外腐败法》、英国《2010年反贿赂法》以及即将出台的欧盟《企业尽职调查法案》。
第三方风险管理工作流程步骤
许多组织忽视了第三方风险管理有助于选择合作供应商这一事实。在签订合同前,应依据统一标准对供应商进行风险评估。在引入新供应商前实施基础风险评估,可帮助筛除那些可能对组织造成财务、运营或信息安全风险的供应商,从而避免投入时间将其纳入合作体系。
供应商风险管理工作流中最关键的环节之一,应是贯穿整个流程的沟通机制。许多流程的崩溃都源于供应商或承包商一方的沟通缺失。企业间保持稳健、坦诚且清晰的对话,不仅能大幅减轻新供应商入职的负担,更能从一开始就建立基于互信的合作关系。
1. 入职培训
任何供应商风险管理工作流的第一部分都包含新供应商的入职流程。入职形式多样,但都包含最终确定合同条款、财务规划及其他关键任务等基础环节。
供应商入职流程的核心目标之一,是将供应商数据集中管理,以便内部相关方能快速高效地获取信息。这一流程始于将新供应商数据导入供应商风险管理解决方案。您应能通过电子表格、API连接或其他集成方式,从现有供应商管理或采购系统导入数据。同时需 确保供应商风险管理解决方案能通过基于角色的访问控制(RBAC),使特定团队或员工能够完善供应商档案。
2. 风险评估问卷
供应商风险评估问卷可帮助您衡量供应商带来的风险——既适用于签约前评估,也适用于签约后的定期审查。供应商风险问卷形式多样,但多数旨在评估供应商的信息安全管控措施、企业稳定性及合规实践。
已知风险是指可通过问卷调查、现有安全控制措施及运行环境识别出的风险。未知风险则涉及难以准确评估的外部因素,例如黑客攻击、地缘政治事件及其他超出传统评估范围的因素。欲深入了解固有风险与残余风险,请参阅我们关于固有风险与残余风险对比的博客文章。
已知风险通常分为三类:
-
风险评估:风险评估与供应商 为贵组织提供的服务相关。第三方薪资公司对贵组织的风险远高于数字广告公司,因为前者接触到的敏感信息量更大。
-
固有风险:固有 风险是指在采取任何补救措施之前,供应商已存在的风险。固有风险的例子包括财务状况不佳、信息安全措施薄弱或运营效率低下。
-
残余风险:残余 风险指供应商采取充分补救措施后仍存在的风险。是否接受残余风险,需由贵方的风险管理团队决定。
在许多情况下,企业会根据供应商的风险评估结果进行分层管理。这使他们能够选择最能反映特定服务提供商风险的供应商风险评估问卷。例如,薪资处理公司需要的问卷就与管理咨询公司不同,且要求更为严格。
在充分了解供应商的形象风险后,下一步便是衡量其固有风险。这通常通过结合详细的供应商风险评估问卷,以及从各类公共和私有渠道收集外部风险情报来实现。
3. 评估审查与风险分析
供应商风险管理流程的下一步是审查问卷调查结果及情报收集成果。自动化第三方风险管理(TPRM)软件能通过标记可疑回答并自动映射合规要求,大幅简化该流程。若当前未使用TPRM软件,则需手动审查问卷结果并参考公开情报(OSINT),以评估供应商对贵组织的风险等级。
4. 持续监测
即使在完成初始入职问卷和信息收集后,您仍需在供应商生命周期内持续进行监控。新的安全漏洞、管理层变动、诉讼案件以及数十种其他因素都可能在供应商生命周期中影响组织的风险状况。因此,最佳实践是定期监控外部供应商情报来源,关注以下方面:
- 网络风险,例如 数据泄露事件、凭证外泄及其他信息安全事件的证据。
- 因领导层变动或并购活动引发的运营风险 。合作伙伴关系及原始设备制造商关系可为价格变动或营销策略调整提供早期预警,而自然灾害或健康危机则可能对运营造成重大影响。
- 品牌风险指供应商因 召回产品、遭遇数据泄露或ESG方面失误而引发负面公关的情况 。此类事件还可能导致财务处罚及补救措施,进而对业务运营及供应商提供产品与服务的能力造成不利影响。
- 来自贸易 协定、国际制裁、集体诉讼以及违反监管标准的合规与法律风险, 可能导致产品与服务交付出现重大延误。
- 破产程序、客户损失、收益缺口以及前述任何领域引发的财务风险, 可能导致特定供应商产品或服务的重组与终止。
5. 修复
在某些情况下,供应商风险评估问卷或监控情报可能揭示某供应商对贵组织构成过高风险。此时,您可选择终止合同或要求供应商在开展工作前进行风险整改。例如,若供应商存在信息安全管理不善的情况,您可要求其在合作前取得第三方网络安全认证(如SOC 2)。此举旨在将风险降至可接受的残余水平。
6. 修复验证
供应商声称已充分解决贵机构所有关切事项远远不够。务必核实其业务流程与信息安全体系中是否已落实实质性改进。许多机构为赢得合同而不惜虚报整改成果,以逃避耗时费力的问题修复工作。在接纳需整改的供应商时,要求其提供变更证明应成为标准操作流程。
7. 离职流程
供应商风险管理生命周期的最后阶段是有效终止供应商合作。 贵组织应制定预先定义的活动清单,确保供应商不再持有敏感数据或访问关键IT系统。服务级别协议需明确说明共享数据的具体内容、数据保存期限以及合同终止后的数据处置方式。内部相关方应仔细审查合作关系,记录经验教训,并确保所有第三方访问权限均已妥善撤销。
在供应商生命周期中全程衡量风险
持续监控的关键在于能够准确衡量承包商在合作关系整个生命周期中带来的风险。每月甚至每周对供应商风险进行量化评估至关重要,这能确保未发生重大变化,从而避免使组织面临重大风险。
立即开始构建高效的供应商风险管理工作流程
供应商风险管理工作流可加速供应商筛选与入职流程,同时降低第三方全生命周期中的风险。Prevalent第三方风险管理平台能显著简化工作流构建与自动化流程,从而识别供应商风险、推动整改措施并优化报告流程。立即申请演示,了解Prevalent如何助力您实现第三方风险管理计划的自动化与加速。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
