供应商风险管理权威指南

内容贡献者戴安娜拉莫斯

2017年4月19日(2021年11月17日更新)

几乎所有的组织都需要与供应商或第三方供应商合作。供应商为制造公司提供操作所需的设备和部件;对于餐馆来说,供应商为菜单提供农产品、肉类等。管理第三方供应商带来的风险——不仅是对他们自己的业务,也对你的业务——是经营一个成功的企业或非营利组织的关键方面。

在本文中,我们将讨论识别供应商和第三方可能对您的业务构成的风险的最佳方法,以及如何预防和减轻这些风险。这些包括拥有强大的供应商关系管理实践到位,以及识别和激活供应商风险管理系统。我们还将研究供应商的行为和行为可能给您的公司带来的风险类型,以及如何最好地保护您的组织和声誉。

三位著名的供应商风险管理专家还将分享各种领域的技巧和最佳实践,包括医疗领域,在该领域遵守HIPAA可能是一个巨大的风险。专家们还提供了如何第一次选择供应商以帮助最小化风险的建议,以及可以控制第三方风险的持续流程。

什么是供应商风险管理和供应商关系管理?

在业务项目和目标的上下文中,了解供应商是谁或什么是很重要的。任何组织的供应商和第三方都可以为单个项目提供小规模的一次性需求,也可以是持续的业务合作伙伴。常见的供应商场景包括:

  • 在公司需要的设备的供应链上的卖家。例如,一家生产电源插座并将其卖给汽车制造商的公司。
  • 为一次性或持续的需要向公司提供服务的个人。例如,一个庭院设计师被雇佣为一家公司做一次场地清理,报酬是固定的(这也可能导致持续的供应商关系)。
  • 为组织提供产品或服务的人。这些公司可以是一次性或长期提供供应品、服务、咨询和任何其他商品的公司或个人。

供应商管理是公司对供应商关系的监督,从获取供应商,到交付所需的商品和服务,直到最后的评估。在组织中监督这些关系的人被称为供应商经理,可以驻留在从人力资源到供应链的任何业务部门。欧宝体育app官方888然而,组织中的其他利益相关者或员工可以在日常基础上更直接地管理关系。

供应商风险管理是供应商管理的重要组成部分。供应商和第三方可能带来许多风险,包括财务、声誉、遵从性、法律等。因此,在进入供应商关系之前,在供应商关系中,甚至在供应商关系结束之后,保护自己免受供应商风险总是符合公司的最佳利益。

供应商风险管理计划是一个组织范围的计划,概述了公司和供应商都同意的行为类型、访问等。这份文件应该反映出双方的深思熟虑。此外,计划细节要求测试和保险,以最大化供应商完成其工作的能力,但不以任何方式损害公司。根据供应商和所提供的服务或材料的不同,这些关系可以用核对表一步一步地说明,以确保所有步骤都得到了执行。整个组织必须接受这个过程,并且它应该根据需要为合规、人力资源和法律团队提供可见性。

谁是第三方供应商?评估你的供应商风险状况

要了解更多关于如何评估您的供应商风险情况,请阅读我们的供应商风险评估的全面指南

确保适当的供应商关系:谁监督什么?

在开始建立供应商关系时,请确保您的供应商和第三方关系符合监督特定关系的整体管理机构。不同的垂直行业和公司由不同的供应商指南管理。根据你所在的行业,以下是一些你可能需要合作的管理机构:

  • 美国政府的工作:供应商和管理他们的人应该遵守严格的规则。每个政府机构,包括联邦贸易委员会美国政府出版社,都有自己的流程。联邦收购条例(FAR)也可能是一个有用的指南。
  • 美国。政府工作:通常情况下,一家公司由其总部所在的州管理。州劳工部是一个很好的起点。
  • 国际贸易:如果您或您的供应商位于国际上,您的关系很可能由联合国国际贸易法委员会(依UNCITRAL)。

对于与健康相关的供应商风险管理来说,让供应商签署协议至关重要商业伙伴协议(BAA)

公司可以通过他们的行动和关系来面对供应商风险

公司与供应商或第三方开展业务可能会面临许多风险。特别是在涉及机密、敏感、专有或机密信息时,公司将数据委托给外部实体可能会承担巨大的风险。以下是供应商可能带来的风险类型:

  • 违反法律或合规规定,尤指政府、金融部门和军事承包商。
  • 违反HIPAA(健康保险可携带和责任法案)法规,该法规要求受保护的健康信息(PHI)是安全的。
  • 一般的法律问题,这可能导致诉讼,关系的终止,失去工作,等等。
  • 数据安全,因为公司必须决定哪个供应商获得什么级别的访问,以及如何获得访问。例如,供应商会使用公司提供的嵌入式安全笔记本电脑在有限的时间内访问项目的敏感数据吗?
  • 知识产权的损失,如果供应商可以访问专有信息,并妥协或窃取它,以使用和呈现为自己的。

这些只是供应商和第三方关系带来的风险中的一小部分——所有这些都可能给公司带来严重的损失,包括违反法律时的罚款。

理查德·劳是一位多产的商业相关书籍的作者,包括他的最新作品,网络让你的生意繁荣:如何使用“知道、喜欢和信任”来扩展你的生意.在撰写本文之前,他曾担任两家咨询公司的副总裁,也曾担任Trader Joe’s全国所有门店的计算主管。他有20年与供应商合作和管理相关风险的经验。

Lowe说:“这些年来,我看到的许多风险之一是,供应商与公司有长期的关系,例如长期的IT项目。”“随着供应商在你的公司花更多的时间,慢慢放松限制是很容易的。”例如,他曾听说过这样的情况:一名长期承包商忘记带门卡,而一名员工因为熟悉他,就直接让他进入了受限的门。“但重要的是,在开始一段关系的一年中,你要像第一天那样严格,”洛补充道。否则,供应商可能最终获得了他无权获得的访问权限,而这就是风险开始的地方。

“总是要求供应商携带职业责任保险,并审查他们的犯罪背景调查。显然,一家公司掌握的关于合作第三方的信息越多越好。”- Richard Lowe,校长,写作之王

安全协议在IT和技术领域尤其重要。“供应商应该使用更安全的VPN线路,而不是自动访问公司自己的网络。确保定期修改密码,并为供应商提供足够的访问权限来完成他们的工作,但不要过多,”Lowe说。

让公司的IT人员对接入、正确的设备使用等进行抽查是至关重要的。然而,Lowe建议,对于一家公司来说,遵循自己的所有程序以及要求供应商也这样做同样重要。

“在许多安全漏洞的案例中,有人没有遵循自己的建议,”Lowe解释道。因此,如果公司和管理人员在执行安全协议方面松懈,那么仅仅有一个良好的安全协议列表是不够的。

管理医疗保健中的供应商风险

在医疗保健领域,风险可能是巨大的,迈克尔•赫里克的首席执行官和创始人HIPAA.host该公司专注于医疗保健行业的HIPAA合规性和风险管理。

“关于健康信息和隐私的指导方针清楚地写在卫生与公众服务部网站但这只是一部分,”赫里克解释道。“信用卡号码被盗只是一个小麻烦,消费者保护法会确保你很快就能找回所有的钱。但如果你的医疗记录被泄露,就会影响你的医疗服务,毁掉你的信用,并需要数年时间才能恢复。”

“信用卡号码被盗只是一个小麻烦,消费者保护法会确保你很快就能找回所有的钱。但如果你的医疗记录被泄露,就会影响你的医疗服务,毁掉你的信用,并需要数年时间才能恢复。”- Michael Herrick, HIPAA.host的CEO

Herrick说,任何处理HIPAA所涵盖的医疗保健信息的供应商都可能将医院或医疗中心置于危险之中。“这包括联邦快递的人,在云端管理信息的人——比你想象的要多。”

赫里克知道一个案例,一家碎纸机保安公司为一家医院提供服务。撕碎公司的卡车在装载了机密的、受保护的文件并将其带回设备粉碎后,发生了一场小型车祸,导致数千份载有敏感信息的文件散布在整个乡村。在另一起案件中,一名妇女的健康信息被另一名妇女窃取,该妇女利用第一名妇女的身份和保险获得昂贵的医疗保健。即使在问题得到解决后,第一个妇女也无法获得任何相关信息来解决问题,因为已经确定她不是真正的病人。由于HIPAA的规定,这一点禁止她获得第二位妇女的任何支出信息。

供应商风险管理的好处:任何成功的供应商风险管理框架的基础

德克斯特Siglin公司市场营销和业务发展高级副总裁净(净),在IT界有丰富的评估和管理供应商风险的经验。他表示,在较高的层面上,企业可能会因为没有创建一个管理供应商风险的整体方法或框架而面临风险。

“如果没有一种基于证据的方法来收集和衡量持续的供应商表现,他们(供应商经理)就会失去他们本来可以用有意义和有影响力的方式来改变供应商行为的影响力。”——德克斯特·西格林(Dexter Siglin),公司营销和业务发展高级副总裁净(净)

Siglin解释说:“大多数公司都有一些专业领域的专家,他们会负责监督自己的专业领域,但许多公司缺乏一个全面的战略,不断衡量和评估他们最‘战略性供应商’的风险。”“如果没有一个内部化的实践来管理风险,由于特殊的需求、不一致的度量标准、缺乏成效的员工采用以及没有持续的行动计划来缓解不达标的结果,他们最终会以糟糕的结果混合而告终。最重要的是,如果没有一种基于证据的方法来收集和衡量持续的供应商表现,他们(供应商经理)就会失去他们本来可以用一种有意义和有影响力的方式来改变供应商行为的影响力。”此外,他指出,没有供应商风险管理平台或框架的公司容易成为供应商掠夺性行为的受害者。

他说,每个供应商风险管理框架都应该是公司范围内的,并且应该包括以下因素:

  • 提前计划,这样处理风险需要更少的时间和资源。欧宝体育app官方888
  • 明确公司和供应商的责任。
  • 制定一个计划,这样只要每个人每次都遵守计划,风险就会降低到几乎为零。

创建有效的供应商或第三方风险管理框架

为了创建一个有效的程序来管理由供应商或其他第三方构成的风险,专家建议要彻底,并对所有供应商适用相同的标准——当然,要根据供应商所做的工作类型进行调整。他们建议遵循以下步骤:

  • 认识并阐明所有的挑战。在这个云计算和监管适应的时代,安全和遵从性在不断变化。详细说明成本、监管和合规机构,以及管理关系和潜在风险所需的资源数量。欧宝体育app官方888
  • 确保整个公司都同意这个计划,并得到高层主管的认可。
  • 确保所有第三方联系人都解决了“审计权”和安全需求。
  • 详细说明将如何进行监控,如何进行审查和反馈,以及如何识别和解决风险。

供应商风险管理成熟度模型:如何创建和使用

在创建一个强大的供应商风险管理框架时,有一个工作工具或成熟度模型是很重要的,它可以帮助第三方供应商管理人员评估第三方风险可能存在的位置和方式,以及公司的重点和资源应该优先考虑的位置。欧宝体育app官方888

供应商风险管理成熟度模型有两个重要功能:

  • 作为经理、执行人员或其他第三方供应商经理识别和评估需求和潜在风险的工具。
  • 作为衡量风险管理计划中各组成部分成熟度的相对发展的活动文档,例如确定不同的计划和部门是如何堆叠的,资源应该放在哪里,以及是否进行了改进。欧宝体育app官方888

供应商风险管理成熟度模型中的组件包括一个概述选项卡,在该选项卡中,您可以根据成熟度级别、程序和策略、治理和合同对公司的各个部分进行排名。

创建第三方或供应商风险管理(TRPM)清单

当你准备雇佣一个新的供应商或第三方供应商时,是时候开始你的尽职调查了。这种研究也被称为“供应商评估”,应该在签订合同之前进行。以下是关键步骤:

  • 要求获得第三方信任的知名客户的推荐信清单
  • 确定供应商是否有经济偿还能力(如果需要,请询问最近的财务报表)
  • 核实他们是否有责任保险
  • 验证他们是否具有必要的额外许可和法规遵从性,例如HIPAA培训、政府安全许可或金融法规遵从性
  • 进行背景和犯罪调查,包括来自州总检察长、商业改善局等的任何投诉历史。
  • 评估供应商是否能够交付预期的服务水平——确定供应商是否有适当的安全控制、技术架构和专业知识
  • 检讨合约条款,包括合约条款、续约/通知要求、所需服务水平等。

供应商管理软件系统中需要考虑的主要功能

在购买供应商管理系统或软件时,您的业务可能需要并寻找的主要特性是解决方案能够轻松集成到您现有的工具和系统中。以下是在考虑不同品牌的供应商管理工具时需要考虑的一些具体事项。

在这里下载清单

一定要说清楚你将如何进行持续的检查和衡量努力。双方都应该有问责制和透明度。

供应商风险管理最佳实践

专家表示,要想成功进行供应商风险管理,关键是要遵循以下最佳实践:

  • 一致性:Richard Lowe说,如果管理供应商的公司不遵守协议,制定政策就没有意义了。“供应商的违规行为几乎总是由于某些人未能执行他们已经存在的规则和协议而造成的。”
  • 透明度:第三方需要确切地知道您的期望是什么,以及什么时候,这样他们才能满足或超过协议的条款。任何供应商(或公司经理)都不应该猜测什么操作或访问可能会带来风险。
  • Ethics-compliance:在对治理机构以及公司声明的伦理实践进行了尽职调查之后,应该清楚哪些类型的活动具有零容忍政策等等。
  • 协议流程:尽早决定如何识别、监测和审查风险,以及由谁负责。
  • 正在进行的关系管理:覆盖关系的每一个步骤,从投标过程到项目和关系的终止。
  • 设置时间框架和测量:详细说明所有的签到、时间表、可交付成果,以及如何衡量它们。
  • 特定于行业的细节:特别注意具有特殊要求和遵从性的垂直行业,如政府、军事、金融部门、医疗保健和网络安全。

如何解决供应商违约和纠正问题

供应商将公司置于危险之中的方式有无数种,从盗窃或故意泄露机密信息等主动犯罪行为,到未采取适当安全防范措施等意外问题。进度上的延误,不能完成合同,超出预算,在项目上偷工减料也会导致公司的损失。

如果上面详细描述的供应商风险管理框架在项目开始时就就位了,那么公司需要迅速采取行动,按照已经规划好的协议来处理概述的结果。这可能包括任何事情,从谴责到终止第三方关系,再到法律补救。管理供应商带来的风险的最佳方法是尽早确定可以减轻甚至消除这些风险的协议。

如何为您的公司选择合适的供应商风险管理软件

Net(Net)的Dexter Siglin认为,技术是确保合规和风险管理的关键组成部分。他说,最好定期审计任何软件供应商的服务。

Siglin说:“在许多公司中,前10大技术供应商占IT预算的70%或更多,而在这前10大技术供应商中,大多数都与软件有关。”“这些供应商通常知道哪些客户有适当的风险管理实践,而哪些没有。在这两家公司中,你猜哪一家会受到审计的打击,并在一眨眼的时间内面临高达数百万美元的罚款?当然,是后者,因为供应商知道阻力最小的路径在哪里。

Siglin继续说:“但是如果你有一个风险管理实践,你很可能为审计做好了准备,并且可以很容易地为它辩护。”“更重要的是,(你将)拥有额外的杠杆,在同一供应商的其他领域推动预期的性能。至少,没有正式实践的公司可以也应该考虑使用内置风险管理kpi、服务水平协议和监视清单项目的SaaS工具,这些工具可以应用于最具战略意义的供应商,并立即开始衡量。”

Siglin说,这些软件解决方案“通常都不贵,而且是专门设计的,所以公司不必花数百万美元请顾问来告诉他们,一个内置方法的简单工具现在能为他们做什么。

“我们看到的结果是惊人的,即使是在短短几个月的衡量和观察一个战略供应商的几个kpi的结果。测量将感知转化为现实,将传闻转化为基于事实的结果。只有这样你才能开始考虑你的风险是管理,”Siglin补充道。

供应商风险管理软件应该是:

  • 适应和扩展到您的行业
  • 随着您的行业遵从性和法规的变化,很容易更新
  • 易于在公司内部共享,以实现透明度和买入性
  • 可扫描,便于识别可能存在风险的地方,以便迅速采取行动

在购买有效的供应商风险管理软件时,需要考虑的主要特性包括:

  • 可定制的评估形式
  • 直观的计分方法
  • 可添加诸如健康和安全事件、利益冲突声明或审计表格和结果等类别的选项
  • 可共享的仪表板,供所有涉众查看
  • 执行持续分析的能力
  • 创建和托管文档的能力
  • 行业住宿(为政府、环境法规、医疗保健等量身定制)

供应商风险管理教育机会

有许多实体和资源可供与供应商和第三方做生意的企业和其他人使用。欧宝体育app官方888因为与他人和团队合作本身就有风险,所以尽可能多地接受教育是非常重要的,并鼓励你的供应商接受同样的教育。这里有一些有用的资源:欧宝体育app官方888

使用Smartsheet模板管理供应商风险管理

通过设计一个灵活的平台来满足团队的需求,并根据这些需求的变化进行调整,使你的员工能够超越这些需求。

Smartsheet平台可以方便地在任何地方计划、捕获、管理和报告工作,帮助您的团队更有效地完成更多工作。报告关键指标,并在工作发生时通过滚动报告、仪表板和自动工作流来获得实时可视性,以保持团队的联系和消息灵通。

当团队清楚要完成的工作时,没有人知道在同样的时间内他们能多完成多少。今天就可以免费试用Smartsheet。

Smartsheet在网站上提供的任何文章、模板或信息仅供参考。虽然我们努力保持信息的最新和正确,但我们不就网站或网站上包含的信息、文章、模板或相关图形的完整性、准确性、可靠性、适用性或可用性作出任何形式的明示或暗示的陈述或保证。因此,您对此类信息的任何依赖都将严格由您自己承担风险。

这些模板仅作为示例提供。这些模板绝不是法律或遵从性建议。这些模板的用户必须确定实现其目标所需的信息。

了解为什么超过90%的财富100强公司信任Smartsheet来完成工作。

免费试用Smartsheet 获得一个免费的Smartsheet演示