什么是供应商风险管理?
供应商风险管理(VRM)是指识别、评估和缓解与第三方供应商或服务商合作过程中产生的风险,这些供应商或服务商为组织提供商品或服务。 作为企业风险管理的重要组成部分,供应商可能引入危及组织运营、声誉或合规状态的风险。供应商风险管理活动应贯穿供应商生命周期的所有阶段,包括:供应商遴选与选择、接纳与入职、固有风险评分、风险评估与整改、持续风险监控、绩效与服务水平协议管理,以及离职与终止合作。
供应商风险管理为何重要?
供应商风险管理之所以重要,原因包括:
对供应商的依赖
许多组织依赖外部供应商提供关键服务、产品或组件。供应商运营中的任何中断或故障都可能直接影响该组织交付自身产品或服务的能力。供应商风险管理有助于识别并缓解与这些依赖关系相关的潜在风险。
数据安全与隐私
供应商通常能够接触到组织的敏感数据或系统。供应商端的安全措施不足或数据泄露可能危及包括客户数据在内的宝贵信息。供应商风险管理有助于评估供应商的安全实践,确保其采取了强有力的措施来保护数据。
遵守法规
组织需遵守各类监管要求,例如数据保护法或行业特定法规。处理受监管数据或流程的供应商同样必须遵循这些要求。有效的供应商风险管理可确保供应商遵守相关法规,从而降低组织因合规失败而面临的风险及相关处罚。
业务连续性和复原力
供应商在维持业务连续性方面发挥着关键作用。若供应商遭遇自然灾害、财务不稳定或运营故障等中断情况,将可能影响组织的正常运作。供应商风险管理有助于识别潜在脆弱性,并制定应急预案以减轻供应商相关中断事件的影响。
声誉与品牌保护
供应商的行为或失误可能对组织的声誉和品牌形象产生重大影响。例如,若供应商涉及不道德行为、环境违规或公众争议,将对与其合作的组织造成负面影响。供应商风险管理有助于评估供应商的声誉,确保其与组织价值观保持一致,从而保护品牌形象。
成本优化与性能
有效的供应商风险管理使企业能够评估供应商的财务稳定性和运营表现。通过评估供应商的能力,企业能够做出明智决策:选择合作对象、争取有利条款,从而规避潜在的财务损失或绩效不达标风险。
总体而言,供应商风险管理使组织能够主动识别并应对供应商关系相关的风险,在保护其运营、声誉、数据及合规性的同时,优化成本并确保业务连续性。
第三方供应商风险有哪些类型?
供应商风险管理计划可帮助贵组织应对各类威胁与风险:
网络风险
网络安全
在供应商评估中至关重要。勒索软件、分布式拒绝服务攻击及其他网络攻击可能导致企业瘫痪,使公司无法履行商业义务。根据IBM最新研究,近25%的数据泄露事件由勒索软件或恶意网络攻击引发,这些攻击使组织系统陷入瘫痪状态。
合规风险
大多数组织在运营过程中需遵守大量不断演变的监管要求,这些要求涉及敏感数据和系统的保护。其中包括《健康保险流通与责任法案》(HIPAA)、《加州消费者隐私法案》(CCPA)、《纽约州消费者隐私保护法案》(SHIELD Act)以及欧洲《通用数据保护条例》(GDPR)在内的诸多法规,均要求组织保护其消费者、客户及员工的隐私信息。另有法规涉及非公开财务信息的保护。违规行为可能导致罚款及声誉受损。
金融风险
采购团队必须掌握第三方供应商的财务稳定性状况,包括供应商的债务及向客户提供的信贷额度。供应商若宣告破产,可能导致业务流失和供应链中断。
ESG风险
投资者对环境、社会和治理(ESG)实践的关注持续升温。例如,在俄罗斯入侵乌克兰后,与俄罗斯政府关联企业开展业务对许多公司而言变得难以接受。企业还需防范供应链涉及侵犯人权、使用童工或造成环境破坏等指控。
声誉风险
供应商遭遇负面媒体报道或不良新闻,可能损害其客户的声誉。这种情况可能发生在供应商涉及不道德的招聘行为、产品品质问题、犯罪活动或环境灾难时。
4. 通过推荐的补救措施和报告功能修复关键问题
现在进入关键阶段:风险整改!此阶段需重点考虑以下事项:
-
贵团队是否具备针对失效控制措施提出补救建议的专业能力?当评估发现特定风险时,自动触发预定义的补救措施是否会有所帮助?
-
在实施补救措施后,您计划如何随时间推移预测未来风险(例如残余风险)?这在董事会层面的报告中至关重要。
-
您将如何证明供应商符合特定监管或行业框架?(提示:寻找能针对多项法规提供“合规百分比”指标的解决方案。)
-
如何应对评估反馈中未显现的潜在威胁?(务必询问您的VRM解决方案是否包含机器学习功能,以分析数据并揭示隐藏趋势。)
5. 采取持续、智能且自动化的供应商风险管理方法
迈向更主动的供应商风险管理(VRM)的最后一步,是长期将持续智能自动化融入您的计划。这包括利用能够主动、持续评估、监控并消除供应商风险的解决方案。但"持续、智能且自动化"究竟是什么样子的?
持续性评估
要实现更持续、更少被动反应的评估模式,一种方法是启用实时网络安全与业务监控智能来指导评估计划。通过建立正确的关联规则,可将供应商在暗网中的漏洞、数据泄露或凭证外泄事件,与评估中暴露的弱密码管理或补丁管理缺陷进行关联分析。 随后可依据这些发现触发评估流程。此类自动化机制真正实现了第三方风险闭环管理,将定点评估转化为持续性的供应商风险监控体系。
来自每个角落的情报
制定明智的、基于风险的决策意味着需要整合并规范来自多个来源的数据。 请参阅我们的最佳实践指南,其中包含一幅示意图,展示了支持基于风险的决策通常所需的输入要素。以下仅列举其中几项:
-
公共与私有数据源、供应商风险情报及技术集成方案,可为评估供应商的网络安全风险、财务问题及其他网络与业务健康指标提供定量与定性分析。
-
供应商社群、完成的评估以及行业合作伙伴关系也发挥着作用。它们提供由成员提供或众包的文档和见解,这些资料能预先揭示供应商在特定行业中可能带来的风险。
-
监管监测能揭示受监管行业中的控制缺陷,并有助于预判为降低供应商残余风险所需采取的补救措施。
自动化操作手册以优化风险响应流程
实现更自动化程序的一种方式是,针对特定实体和风险,利用基于"如果这样,那么那样"(If This, Then That)标准触发风险响应行动的能力。规则应自动化处理广泛的入职、评估和审查任务,包括更新供应商档案和风险属性、发送通知以及/或启动工作流。这些规则还应持续运行,以便在新事件和风险出现时实时更新VRM环境。
6. 在您的VRM计划中考虑地缘政治因素
日益紧张的地缘政治局势也可能对供应商风险管理计划构成重大风险。根据供应商开展业务的地区对其进行评估。 其业务所在地区进行评估。 若供应商业务高度集中于人权及ESG记录不良的国家,其自身及向贵机构提供的服务都可能面临风险。突发性关税或禁运措施可能导致收入骤减,进而引发供应商履约风险甚至业务中断。
同样地,在缺乏明确数据隐私法规的国家开展大量业务或托管数据的组织,可能因被强制要求与东道国政府机构共享数据而使贵组织的数据面临风险。在供应商选择过程中,以下问题值得针对现有供应商及未来潜在供应商提出:
-
供应商是否在缺乏明确法规的国家开展实质性业务运营或托管数据,这些法规涉及政府与私营部门实体之间的数据共享方式?
-
该供应商是否在人权记录不佳、政治自由受限或环境恶化的国家开展业务?若存在此类业务,其运营规模是否足以在该国遭受禁运时引发重大影响?
-
供应商是否在存在领土争议或活跃暴力叛乱活动的国家开展业务?
7. 从零开始构建合规性报告功能
由于第三方风险管理是多数监管制度和行业框架中的关键管控重点,无论外部还是内部的审计人员都必须展现出在满足这些要求方面取得的进展。然而,许多风险管理工具使得合规报告变得过于复杂且耗时。针对标准法规和行业框架的内置报告功能,对于加速和简化合规流程至关重要。
加快合规报告的一种方法是掌握每个供应商的合规水平。首先针对风险类别设定合规"达标"百分比阈值(例如:某框架或指南的合规率需达到X%)。 所有报告都将与该合规百分比评级挂钩,团队可重点关注合规通过率较低的领域。此项工作应在宏观层面覆盖所有供应商,而非仅针对单个供应商。董事会需要宏观层面的报告来评估组织对"当月热门"法规的合规程度。
额外提示:供应商ESG合规性正变得日益重要
从《加州供应链透明度法案》到欧盟指令草案,ESG法规正不断加大企业压力,要求其根除供应链中的不良ESG实践。这一趋势预计将在整个2020年代持续。尽管许多组织认为ESG主要关乎供应商,但IT供应商同样可能带来ESG风险——从工厂劳工待遇不佳到行贿及其他腐败行为。 请仔细审查可能影响贵组织的ESG合规要求,并确保合规报告体系能充分涵盖这些要求。
8. 确保供应商离职流程顺畅、高效且经过验证
当供应商关系终止时,风险可能持续存在。持有敏感数据的供应商必须归还并安全销毁该数据;支持义务可能延续至采购协议终止之后,企业必须确保终止任何第三方对内部系统的访问权限。尽管这点不难理解,但Prevalent研究发现,60%的企业在供应商离职过程中并未主动评估第三方风险。这将持续引发业务、安全及知识产权方面的风险。
以下是关于贵公司当前供应商离职流程的几个关键问题。
-
我们是否具备验证机制,以防止离职供应商访问所有IT基础设施和应用程序?
-
我们是否定期对系统进行审计,以验证供应商是否已成功完成离职流程?
-
我们的供应商离职流程是否包含适用合规要求的必要条款?
-
我们是否要求供应商在离职流程完成后以书面形式确认所有敏感数据已被销毁?
-
我们是否将离职要求写入与供应商签订的合同及服务水平协议中?
下一步:下载《供应商风险管理最佳实践指南》
既然您已了解企业供应商风险管理部署的具体情况,不妨在 最佳实践指南中探索更多细节。
Prevalent提供一套完整的供应商风险管理解决方案,通过单一易用的平台实现统一管理。若您希望深入了解如何构建完整的供应商风险管理策略, 请立即 申请演示。
供应商风险管理挑战
建立有效的供应商风险管理计划可能是一个复杂的过程,需要周密的规划和执行。以下是贵组织在构建供应商风险管理计划时可能面临的九大挑战:
识别第三方供应商
首要挑战之一是识别贵组织合作的第三方供应商,因为这些供应商可能分布在各个部门和职能领域。
供应商风险评估
一旦供应商被确定,对其风险的评估可能既复杂又耗时,尤其当贵组织使用电子表格或其他手动方法来收集和跟踪反馈时。
定义风险承受能力
为做出更明智的风险缓解决策,必须明确组织风险承受能力,并设定第三方风险暴露的阈值。在此过程中,采用结构化的供应商分层与分类方法至关重要。
建立尽职调查程序
确保建立健全的供应商尽职调查程序。这些程序应涵盖多个方面,包括财务稳定性、合规性及网络安全。
确保合同合规
确保供应商遵守合同条款至关重要,尤其是在安全和合规要求方面。
监控供应商绩效
务必持续监控供应商绩效和SLA,以确保服务水平达标,并及时发现可能出现的问题。
及时跟进法规变化
跟上不断变化的监管要求可能颇具挑战,因为供应商风险管理是许多网络安全框架、行业指南、数据隐私法律和ESG法规中的关键因素。
确保高层管理者的支持
建立有效的供应商风险管理计划需要获得管理层的认可和支持,而这有时可能难以实现。
整合内部资源
成功的供应商风险管理计划需要多个不同部门之间的协作,包括信息安全、风险管理、采购、数据隐私、法律和合规部门。
成功实施供应商风险管理计划的8项最佳实践
处于“被动应对模式”既耗费精力又效率低下,更令人压力倍增——当工作量激增时,这种模式尤其危险。供应商风险管理(VRM)亦是如此:若采用被动式VRM方案,仅在供应商风险发生后才作出反应,而非主动管理供应商风险,将使组织面临数据泄露、隐私侵权及违规操作的风险。
正因如此,在供应商关系生命周期中,必须建立清晰的流程来主动管理不可避免出现的第三方 网络风险和业务连续性风险。
在与数千家客户和供应商合作的十五余年间,我们总结出八项最佳实践,用于构建更具前瞻性的供应商风险管理(VRM)体系。
以下是一些实践的预览,它们如何能减轻供应商风险管理的负担:
1. 供应商风险的识别、评估与管理
在启动供应商风险管理计划之前,您需要做出若干决策。专业 咨询服务可协助界定该计划的实施范围。下一步是掌控第三方供应商,完成其入驻流程,并识别其 固有风险。
此步骤的关键决策包括:
- 供应商入驻的正确机制是什么?您将采用人工流程还是电子表格模板?是否需要与采购或供应商管理系统集成?
- 在制定供应商分级决策时,您将考虑哪些因素?例如,哪些属性或关键性考量会影响您对特定供应商的分级方式?
- 您将如何收集信息以评估固有风险?是否采用自动化问卷?计算固有风险时将使用哪些输入数据(例如运营、法律、监管、财务和/或声誉数据)?
在首次接触潜在VRM解决方案供应商时,请确保他们能为供应商、供货商及其他第三方提供多种接入机制。这可能包括代表您的团队执行接入任务。
此外,请确保供应商分级与风险评分方法不仅包含表面问题。例如,您可能希望将其扩展至财务状况与供应链考量。欲了解这些评估维度的完整说明,请参阅我们的 最佳实践指南。
2. 实现VRM流程关键环节的自动化
主动供应商风险管理的下一步,是停止使用电子表格进行供应商风险评估。当然,您仍需依据企业标准和合规要求,建立收集安全控制证据及执行尽职调查的机制。值得庆幸的是,您可将此流程自动化,从而消除那些冗余且令人精疲力竭的评估任务——这些任务往往导致错误和风险。
信息收集与尽职调查审查可采用多种形式。例如,您可以自行管理评估流程,访问已完成的问卷库,或将信息收集工作外包给合作伙伴。事实上,我们看到许多企业通过混合模式成功管理风险——针对不同层级的供应商采用不同的方法。
此步骤的关键决策包括:
- 将采用哪种问卷收集供应商控制措施的相关信息?您会使用行业标准调查还是专有调查?(提示:这取决于两个因素的组合:1)您计划将回答映射到哪些法规或框架;2)您是否计划与网络共享结果。)
- 您将采用何种数据收集方法?是否具备内部管理所需的资源和专业能力?是否会利用已完成供应商响应的网络资源来加速流程?是否考虑将收集工作外包给合作伙伴?(特别适合资源有限或缺乏后备力量的团队)
与步骤1相同,请确保您的VRM解决方案提供商在问卷可用性和收集方式方面具备灵活性。您可能不希望被锁定在单一僵化的问卷中而无法进行定制。同时,您也不希望被迫自行收集尽职调查资料——尤其当您人手不足时。
3. 借助持续供应商风险情报,做出更明智的决策
构建供应商风险管理框架的下一步,是通过 外部网络安全和商业风险情报来验证第三方评估结果。虽然定期评估对于了解供应商在特定时间点如何管理其信息安全和数据隐私计划至关重要,但供应商在两次评估之间可能发生诸多变化!这正是持续监控发挥作用之处。
许多组织在这方面做得不够。太多企业仅从狭隘的定性角度审视供应商风险,却忽视了更具定量价值的信息。当网络安全监控与业务监控相结合并建立关联时,便能为供应商风险提供更全面的视角。这种"由外而内"的视角使您在把握供应商风险潜在影响时占据优势,同时也能增强"由内而外"的评估能力,从而得出更明智、更精准的风险评分。但究竟该关注哪些监控信息呢?
- 网络安全风险情报来源:要了解攻击者可见的弱点,首先需在暗网中发现遭泄露的数据,并系统整理安全漏洞披露信息。随后需持续收集经验证的网络攻击事件、基础设施与IT政策违规行为、系统漏洞及其他风险暴露的相关情报。
- 商业风险情报来源:对运营问题、并购活动、裁员、领导层变动、产品召回、监管/法律调查以及财务和破产通知所引发风险的洞察,均为重要的定性输入,为VRM流程增添了更丰富的背景信息。
阅读 最佳实践指南,深入了解这些情报来源的具体内容。
凭借正确的情报,您可以协助供应商清理其开源足迹,并弥补内部流程中的安全漏洞。这个过程类似于在申请住房贷款前完善个人信用报告。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
