供应商风险评估简化指南

供应商风险评估(VRA)，也称为供应商风险审查是识别和评价与供应商的操作和产品相关的潜在风险或危害及其对你组织的潜在影响的过程。ob欧宝娱乐app手机下载

当您执行第三方供应商风险评估时，您要确定不确定事件最可能产生的影响，然后识别、度量并确定它们的优先级。潜在风险包括运营信息、客户信息和财务信息的准确性和可靠性;安全漏洞、运营有效性;以及法律和法规遵从性。通过执行供应商尽职调查和监视(特别是那些影响您操作的)，您可以帮助减轻这些风险，并为富有成效的关系提供坚实的基础。ob欧宝娱乐app手机下载

“每家公司都需要对所有供应商进行VRA，以确保业务顺利运营，并评估潜在合作伙伴的可信度、安全性、隐私协议、数据和灾难恢复计划，”他说萨尔玛·苏西·法赫里，《供应商选择标准:预审合格的制造商，供应商和销售商，并改善您的采购实践也是Oceana 144公司FC2Y的所有者和董事，该公司为澳大利亚、中国和中东的客户提供资源、采购、采购和管理供应链活动。她说:“生产、材料供应或ob欧宝娱乐app手机下载流程的变化将影响您的供应链，并造成物料流中断或其他风险。”

公司创始人兼首席执行官巴德尔•贝拉达指出:“在选择适合企业需求的合作伙伴时，供应商风险评估至关重要BBN倍。“大多数公司需要进行风险评估，以实现组织目标，尊重法规，准确跟踪项目，并提高他们的声誉。”

Berrada指出，基于质量问题，你应该警惕对你声誉的负面影响。“随着技术的变化和世界的联系越来越紧密，在价格上竞争的供应商开始使用更便宜的材料。供应链是复杂的，替代材料的使用使得了解供应商、风险和你购买的产品变得至关重要。”ob欧宝娱乐app手机下载

“任何供应商评估的一部分都应该包括预防、响应和从灾难中恢复的能力，”强调说丹Weedin他是一名风险顾问和业务连续性专家，与中小型企业合作。“在一个相互联系的世界里，保持大门开放的能力比以往任何时候都更能影响到许多其他企业和工人。在持续运营计划中建立清晰度是至关重要的。”

要了解更多关于如何评估现有和潜在供应商的信息，请阅读我们的“供应商风险管理策略和技巧的最终指南”。

您可以使用供应商风险评估评审来识别潜在危害的可能性和严重性，以及它们对企业或组织的定性和定量影响。

”概率是一个统计维度，描述了这一事件发生的可能性或可能性。值转换，一个产ob欧宝娱乐app手机下载品开发培训和成本改进组织。“严重性，就像它听起来的那样，是指如果这种潜在事件成为现实，任何特定事件的痛苦程度。”

“一旦事件发生，它就不再被归类为风险。有时这一点会被混淆，”奎格利说。“我经常听到项目团队成员说，‘我们有风险’，但我们(实际上)面临的是迅速增长的失败。风险的影响现在已经排在打击我们的组织或项目的队列中。最坏的情况是什么?这是一个极有可能造成严重影响的事件。”

Quigley确定了供应商风险评估审查的大类，以及如何使用它们来定义概率和严重性维度:

• 风险识别:Quigley解释说:“要找出可能出错的地方，可以利用历史记录、组织流程指标、主题专家和头脑风暴类型的活动。”这种识别活动应该由一个跨职能的团队来执行，以提供多种视角。风险识别过程的结果是一份潜在危险的综合清单。”
• 风险评估:风险的严重程度和对组织目标的影响各不相同。有一句谚语说明了我的观点:‘抓住太多的人会让很多东西掉下来，’”奎格利说。“我用两种风险评估作为过滤器，优先考虑那些可能出错的事情。”
  • 定性风险评估:这是对已识别的风险进行排序，从影响最大到影响最小，通常从1到n进行枚举。等级越低的风险影响越大，发生的概率也越大。
  • 定量风险评估:相比之下，这是一种风险评估，它将对组织正在进行的具体工作的货币和依赖影响联系起来。这种方法使用决策树分析之类的工具来产生预期的货币价值(EVM)，以支持适当的决策。

学会如何控制“项目风险管理:最佳实践、技巧和专家建议”。

要建立一个有效的供应商风险评估团队，从高层开始。高级管理层的支持和执行，以及集成采购、风险评估和供应商管理的报告结构，支持战略总体组织目标。

这是一个灵活的报告、执行和交付模型，任何规模的公司都可以使用它。这种非孤立的模型将采购与风险评估结合起来，以防止整个企业的危害。

您可以根据供应商和遵从性需求的数量和类型来增加风险评估和管理团队的规模和复杂性。例如，与小型服装零售商或特色食品店相比，拥有多种产品和数千家供应商的跨国制药企业需要更详细的风险评估和监督团队来遵守州和联邦法规。ob欧宝娱乐app手机下载

为了维护标准和合同协议，在参与供应商之前，在持续的、计划的基础上，或者在出现危险信号时，执行风险评估。

• 聘用前风险评估:在提案请求(RFP)过程中向供应商介绍风险审查。密切监控，因为供应商在RFP中的表现通常是未来表现的一个强有力的指标。了解更多关于RFP流程的信息，以及它与报价请求(RFQ)流程的不同之处，以及它与RFQ流程的协作方式。充分利用RFQ流程”。
  • RFP过程中风险的危险信号:在最初的审查过程中，要注意在RFP回复中是否有表现不佳的提示，以及以下问题:
    • 没有保护数据的进程:这表明供应商不重视客户的安全问题。
    • 没有内部风险评估:供应商应该有适当的内部风险协议，这样他们就可以在出现问题时及时识别和纠正问题。
    • 没有正式的保安政策:数据和物理安全措施应该是每种类型供应商的标准。
    • 无灾难恢复计划:事故和自然灾害时有发生，应对计划和缓解措施是必要的。
• 持续风险评估:“一旦供应商参与进来，VRA就不会停止。FC2Y的Fakhri警告说:“监控商定的交付成果或流程中的任何变化。”“确保供应商保持质量标准，不会给公司、投资者或客户带来危险。”将你当前的报告与之前的报告进行比较。如果出现任何高风险项目，请提醒业务所有者和关键利益相关者。高层决策者可以决定这种关系是否继续，并确定是否有可能降低风险。
  • 定期进行的审查:根据指定和更新日期对正在进行的供应商评审进行分组和计时:
    • 低风险供应商:一年一两次……
    • 中等风险供应商:一年一两次。
    • 高风险的供应商:一年两次或每季度两次。
    • 即将进行的供应商续约:续订前180天。
• 触发风险评估:对供应商的状态保持警惕。在Google上标记供应商，并根据多种来源(如口口相传、商业期刊和投资分析师报告)及时了解信息。应注意以下问题，这些问题应触发对当前或潜在供应商的风险审查:
  • 坏口碑:负面新闻可以表明内部问题。
  • 财务问题:要当心破产、裁员、BBB或穆迪评级被下调。
  • 过往风险评估的标志:确保旗帜的原因不再是一个问题。
  • 法律问题:检查是否有涉及供应商或组织中关键人物的诉讼。
  • 安全问题:调查越来越多的供应商事件导致物质或人身伤害的报告。
  • 短暂的商业经历:从事商业少于三年。

为了评估潜在的和当前的供应商，并在一般情况下开展业务，您需要与潜在的合作伙伴共享信息。此外，请确保您正在安全地处理数据;电子邮件不是一种可信的数据传输方式。

维护安全的最简单方法是使用数据室(云存储的一种形式)或本地存储单元来共享机密文档。数据室还可以提供共享的团队工作空间。

这里有一些安全的商务级文件共享方法可以考虑:

• 箱:用户决定他们想要如何共享数据。用户可以将文件上传到共享文件夹，然后启用仅查看访问或允许其他人查看和编辑文件。复杂的安全控制、加密密钥管理和信息治理提供了多层安全性。
• Citrix ShareFile:Citrix提供256位高级加密标准、防火墙和防病毒保护。如果网站和你的文件被黑客入侵，这些数据对入侵者来说是无用的。如果一台电脑被前雇员拥有或窃取，你可以远程清除任何登录到你账户的电脑上的受限制文件。
• Resilio:这个专有的点对点(P2P)文件同步工具适用于所有操作系统。Resilio通过互联网或本地网络上的设备之间同步文件。在同一网络中，Resilio具有很高的传输速度，并且许多设备可以同时连接。可以同步的数据量没有限制，但是可以存储的数据量是有限制的
• Tresorit:拥抱我上传的目录是分段加密的。treresort在上传文件之前使用客户端加密对文件进行加密，并在添加或删除数据时自动在云中同步文件。由于端到端加密，用户可以共享受保护的文件，并在保持文件同步和安全的同时共同处理这些文件。

这些共享房间提供免费试用，所以你可以在购买前试用一下。

风险评估过程包括对供应商进行编目，根据您的业务操作了解他们的风险，并创建报告以决定与供应商签约或续约。

在开始风险评估过程之前，为成功做好准备。确保整个组织(包括高层管理人员)对您将使用的供应商风险评估框架进行认可。决定如何监控、进行反馈和审查，以及确定和解决风险。对所有供应商应用相同的风险标准，并在从不同的第三方来源进行外包时根据产品或服务的类型调整措施。ob欧宝娱乐app手机下载

1.目录和排名供应商:当公司在成长过程中不能严格控制采购和与第三方的关系时，这个清单就会变得又长又笨重——而且风险很大。通过精简供应商列表，您可以节省时间、金钱和潜在的麻烦。

• 列出所有当前供应商:注意每个供应商为您的组织做什么，组织内谁拥有这种关系，哪些供应商有权访问关键信息，以及供应商是否管理基本的业务操作。
• 确定你最关键的供应商:看看你的供应商名册。评估每个供应商的意外损失是否会对你的公司造成重大破坏，以及这种损失是否会影响到客户。考虑从损失中恢复可能需要多长时间(例如，几天、几周或几个月)。

2.了解风险类型、容忍度和标准;Weedin建议:“在评估供应商之前，花点时间看看你的业务和风险。“考虑一下你的行业——前景是扩张还是衰退?外部因素，如经济周期和市场状况、技术进步和供应成本。审查你的业务性质、所有权结构、组织治理和整体财务状况。”

各种规模的公司都面临着使用第三方供应商所带来的危害。这些风险可能包括:

• 操作风险:这些是组织在特定领域或行业中每天开展业务时所面临的不确定性和危险。操作风险包括人员、程序、系统和外部事件造成的潜在损失。
• IT中断或失败:通过规范的设计、严格的测试和可靠的备份系统，可以避免一些硬件风险，如物理故障或硬件破坏。软件(以及在其中发现的复杂关系)，以及伴随着新软件实现而来的组织变更，会使风险度量和分析复杂化。
• 数据和隐私风险:针对IT网络的网络攻击可能造成数百万美元的损失。为滋扰价值而设计的恶意软件可以执行不同类型的活动，从运行垃圾邮件活动的程序到加密文件并要求支付解密费用的勒索软件。恶意软件可以削弱公司的运营，无论罪魁祸首是小偷还是国家行为者。
• 欺诈和盗窃风险:对于任何规模的企业来说，欺诈都是一个不幸的现实。供应商欺诈可以采取员工串通的形式，将现金支付给供应商。不同类型的欺诈包括敲诈勒索或贿赂、制造虚假付款的计费方案或篡改支票。
• 交易风险:这是指外汇汇率波动在结算前对已完成的交易可能产生的不利影响。
• 替代风险:这是指合同中一方不遵守合同条款和条件的可能性程度。当这种情况发生时，另一方必须更换交易项目，并可能招致损失。
• 上游风险:上游指生产所需的材料投入。ob欧宝娱乐app手机下载确保有足够的库存，当你的业务突然上升。
• 下游风险:下游是你生产和销售产品的地方。ob欧宝娱乐app手机下载在经济或客户低迷时期，较小的供应商可能无法依赖大量积压的工作或资产负债表。要么提前工作以降低下游风险，要么转向更具偿付能力的供应商。
• 合规风险:这指的是法律处罚，以及当组织未能遵守行业法规或法律、内部政策或规定的最佳实践时所面临的财务和物质损失。
• 地理风险:在容易发生飓风、地震或其他自然灾害的地区，供应商可能会带来风险，需要特殊的保险。

3.确定您的风险承受能力和评级标准:F2CY的Fakhri采用了三步流程:“首先，我确定供应商是上游还是下游;其次，我根据它们对业务的重要性对它们进行分类;第三，制定风险概况。风险评估通常是带有答案的问题，应用于供应商管理风险评估矩阵网格。这些问题的答案会产生一个分值，以帮助识别供应商的风险水平。”你可以找到这类问题的例子下面。

要计算风险并进行评级，请将以下简单公式应用于潜在风险因素:

(风险因素)的可能性×(风险因素)的影响/成本=风险

如果您的发现是不利的，但供应商是有价值的，基于其他因素，看看你是否可以一起工作，以减轻潜在的危险。

风险评估矩阵模板

此风险评估矩阵模板使用3x4非数字刻度来衡量严重性和可能性，并将其分为低、中、高和极端。在为每个标准选择选项之后，使用矩阵值来评估每个风险的严重程度。

下载3x4风险评估矩阵模板- Excel

有关更多信息和风险模板，请参阅“免费下载，可定制的风险矩阵模板”。

4.主要供应商:查看以前客户的反馈、评论和新闻稿，以确定可信度，这一点很重要。评估事件、环境和人力资源安全的有效性，以检查是否符合业务政策和其他相关法规。BBN时报》Berrada。“使用灵活的检查应用程序来简化风险评估过程。应用程序将节省文书工作、风险管理和尽职调查协议的时间。”

您可以使用以下方法正式确定是保留现有供应商还是聘请新合作伙伴:

• 按服务类型分类:根据他们目前或计划提供给你公司的产品或服务，指定当前和潜在的供应商。ob欧宝娱乐app手机下载
• 访问公司资料:利用直接研究、互联网和其他研究工具、商业关系和投资分析师来研究潜在供应商的信息。
• 进行尽职调查:解决您发现的潜在风险，并与供应商进行讨论。
• 进行现场审核:当供应商是首选时，亲自查看他们的运营情况，并与工作人员会面，以帮助你做出最终决定并检查任何其他项目。

5.比较顶级供应商竞争者:根据你的研究，为每个潜在的供应商指定一个风险概况。奎格利强调:“在选择供应商时，企业需要超越单纯的价格模式。”“根据我的经验，当第一个事件发生时，任何价格收益都会蒸发，即使不是创伤性的或风险的事件。为了获得一些洞察力，你可以列出一些你认为值得拥有的特质。”

FC2Y的Fakhri建议根据您当前和预计的需求作为标准创建一个完美供应商的简介，并为未来的rfp做准备。

供应商评估模板

使用此模板(也称为第三方风险评估)来收集评估描述，以确定特定供应商的弱点。通过使用颜色编码的键为每个风险描述分配评级，并添加备注与您的团队共享。使用此Excel模板分析您的整个供应商名册，并根据您的需求定制描述。

下载供应商风险评估模板- Excel

有关更多供应商风险评估模板，请查看“免费供应商风险评估模板”。

供应商风险评估报告参与，排名(或重新排名)，或从您的花名册中删除供应商。供应商管理官或首席采购官应编制和管理最终风险评估。

对于供应商风险评估报告，您可以通过以下四种方式进行、编写和呈现:

• 按风险等级划分:基于风险矩阵(类似于本文前面包含的风险矩阵)，您可以提交一个简短的报告，该报告显示了基于研究的风险级别，以及关于您如何得出结论的支持信息。
• 更广泛的风险评估分析:该报告以排名标准为特色，例如质量、周转时间、客户服务、创新或其他关键任务评估。这可以提供很大的价值，并揭示哪些供应商支持峰值操作。
• 按数据和内部系统风险分类:如果网络安全对你的组织来说是一个优先考虑的问题，那么根据RFP的回应、你的调查问卷、参考资料和访谈对供应商进行排名。您可能面临使用存储或传输的数据泄露客户身份、信用卡和健康状态的风险。数据泄露会带来巨大的麻烦，更不用说经济和法律损失了。
• 混合报告:这是所有三种类型报告的汇编，并提供了一个完整的图片，您可以使用它来判断供应商的适用性。对于需要将暴露风险降到最低的组织(例如，医疗保健、金融或军事)来说，混合报告是最佳方法。

风险存在于任何购买的产品或服务的整个生命周期中，因此报告越详细越好。ob欧宝娱乐app手机下载虽然一致和彻底的报告需要时间和金钱，但在卓越运营和降低风险方面的投资回报是值得的。

通过询问有关关键领域(如治理和安全性)的正确问题，您可以确定供应商的风险级别，并建立框架以做出支持公司目标的决策。

当你准备好雇佣一个新的供应商或第三方供应商时，是时候开始你的尽职调查了。要获得特定于安全的答案，在签订任何合同之前研究潜在的供应商，了解他们在保护自己和合作伙伴方面有多努力。有关如何执行供应商风险评估的详细信息，请使用供应商风险管理权威指南”。

FC2Y的Fakhri将她的风险评估方法基于5 w1h(谁，什么，何时，何地，为什么，如何)问题的方法或吉卜林的方法。5W1H方法提供了个人或团队可以用来识别和定义定性或定量风险的多个参考点。

以下是一些问题，您可以从中提取，以创建定制的供应商问卷或清单，重点关注许多企业最关心的网络安全问题:

参考文献

• 你的推荐人是谁?请提供个人姓名和联系方式。
• 可以提供的财务偿付能力证据是什么，包括最近的财务报表?

性能

• 你们准时交货的百分比是多少?
• 你能满足哪些合同规定，包括条款、续约和通知要求，以及要求的服务水平?
• 你的客户和内部通信协议是什么?
• 将提供哪些项目管理过程文件以供评审?

合规

• 我们什么时候可以检查你的责任险以确保它是最新的?
• 您验证必要的许可和法规遵从性(例如政府安全许可、金融法规遵从性或HIPAA培训)的能力如何?
• 我们什么时候可以获得犯罪和背景调查，包括诉讼记录、对州检察长的投诉或商业改善局的记录，以证明合规历史?

防灾

• 在疾病大范围爆发的情况下，你们的业务连续性准备策略是什么?
• 在人为或自然紧急情况发生后，用于恢复或技术基础设施延续的灾难恢复流程、策略和程序是什么?

安全流程

• 你是否有适当的安全漏洞管理措施?
• 您的组织安全流程是什么?我们可以查看相关文件吗?
• 谁负责，谁接受处理和保护客户信息和程序违规的培训?
• 定义办公室和数据中心安全性的物理安全程序是什么?你如何处理访客，出入场所和监控?
• 数字资产或其他贵重物品的运营、维护、升级和处置的资产管理过程是什么?

网络威胁治理和组织结构

• 谁负责组织内的安全和网络安全?
• 谁是首席信息安全官或首席信息官?
• 你能告诉我们一些关于网络安全问题的定期会议的团队或委员会吗?
• 你们采用了什么网络安全策略?
• 您将IT或IT安全功能外包到哪里?
• 您何时以及多久对员工进行IT安全策略培训?您是否自动化评估?
• 你的高级管理团队中谁参加了网络安全演习?
• 为了保护你的关键资产，你的优先顺序是什么?
• 你们使用什么标准来保护客户信息?
• 你经历过的最严重的网络安全事件是什么?

安全控制和技术

• 谁负责?你们如何使用网络漏洞和网络威胁信息?
• 何时以及如何对授权和未授权的软件和设备进行盘点?
• 您开发了哪些确保硬件和软件配置安全的实践?
• 你用什么来评估你开发和获得的软件的安全性?
• 你用什么程序来监控你的无线网络的安全性?
• 您的数据恢复能力如何?
• 您使用哪些自动化工具来持续监控恶意软件?您使用哪些流程和工具来减少和控制管理权限?
• 您有什么流程来防止敏感数据泄露?
• 你们对网络安全事件有什么计划和准备?
• 您有什么流程来应对事件?你会定期练习这些步骤吗?
• 您何时执行外部和内部测试以识别漏洞和攻击向量?
• 您使用什么来管理对公司网络的远程访问?
• 您的可移动媒体策略和控制是什么?
• 何时以及如何监控未经授权的连接、设备、人员和软件?
• 对于影响我们数据的安全事件，你们采用了什么流程进行沟通?

下载供应商风险评估清单

Excel|词|PDF

如果您是评估流程的新手，那么通过执行尽职调查、选择和持续的供应商监控，您可以降低组织面临业务和安全危害的风险。

我们的专家权衡最佳实践，以帮助您的组织为任何可能发生的情况做好准备:

• 在风险发生前计划风险应对方案:Value Transformation的Quigley建议，一旦组织了解了潜在的风险，就应该有一个响应计划。以下是他建议的风险应对方案:
  • 风险接受:当风险不太可能发生或影响可以忽略不计时，您可以选择不采取行动。
  • 风险规避:当有可能避免风险时，您可以采用不同的策略或策略来消除已识别的风险。这可能会带来其他更容易接受的风险。
  • 风险转移:保险和外包可以减轻或消除风险。即使外包了，供应商也可能仍然不能交付合同规定的工作，由此产生的风险可能会影响组织。风险转移可以提供法律追索权或其他谈判途径。虽然外包并不能消除风险，但当供应商拥有更多的资源或能力时，外包可能会降低风险。欧宝体育app官方888
  • 降低风险:您可以提前采取措施，以降低预期风险或风险发生的严重性。
  • 风险应急基金:万一发生风险，你可以保证资金安全。通过将风险实现的可能性与预期的货币影响相乘来计算应急基金。例如，如果将工作外包给具有500,000美元影响的供应商，失败的概率为30%(例如延迟交付)，则应急预算将为150,000美元。
• 关系:FC2Y的Fakri的首要建议如下:“与供应商建立关系。”商誉是一个成功的因素，它没有有形的衡量标准，但在你的企业生命的关键时刻可能会有所不同。
• 不要做任何假设:Weedin和Fakhri都指出，对任何企业来说，最大的总体风险之一就是在采购过程中完全忽略供应商评估审查。“我的许多客户现在正在努力将供应商风险评估添加到他们的管理标准中，”Weedin沉思道。“在他们看来，这根本不是当务之急。”
  
  许多公司都没有意识到或没有及时采用VRA流程，正如Fakri指出的那样，“公司错误地倾向于重视成本节约、短时间框架和视觉外观，而不是质量。”
• 对流行病的思考:在发生大流行或其他公共卫生危机时，“重要的是要识别与每个流程相关的风险和危害，并确定它们是否仍然符合公司的要求。”BBN倍贝拉达强调说。“组织应该质疑客户的需求是现实的，还是反映了时代潜在的不确定性。持续的供应商审查是必要的，以确保一个安全的组织环境，避免现在或未来任何其他灾难中的供应链问题。”
  
  自2020年初以来，Weedin已经看到了他的客户在方法上的变化。“确保你的库存水平超过你通常需要的水平。我的许多客户在危机来袭后都将交货时间延长了2-4周。有些人想要但无法得到商品或服务。在这一点上，我们都认识到高度透明的沟通计划的价值，它可以让每个人都提前了解运营问题。”

通过设计一个灵活的平台来满足你的团队的需求，并随着需求的变化而适应，从而使你的员工能够超越自己。

Smartsheet平台可以轻松地从任何地方计划、捕获、管理和报告工作，帮助您的团队更有效地完成更多工作。报告关键指标，并通过汇总报告、仪表板和自动工作流实时了解工作情况，以保持团队的联系和信息。

当团队对要完成的工作有了清晰的认识时，就不知道他们在同样的时间内能完成多少工作。今天就免费试用Smartsheet吧。

Smartsheet在网站上提供的任何文章、模板或信息仅供参考。虽然我们努力使信息保持最新和正确，但我们对网站或网站上包含的信息、文章、模板或相关图形的完整性、准确性、可靠性、适用性或可用性不作任何形式的明示或暗示的陈述或保证。因此，您对此类信息的任何依赖均须严格由您自行承担风险。

这些模板仅作为示例提供。这些模板绝不是法律或合规建议。这些模板的用户必须确定哪些信息是必要的，哪些信息是实现其目标所必需的。