手機版
在供應商管理過程中,企業要著力識別每個供應商的風險水平并且確定供應商進行現場評估和滲透測試的優先級。
企業想要做好供應商風險識別,可以按一個基本的步驟來進行。
1、識別和分析企業的特定風險偏好
企業有必要從供應商服務的范圍角度來考慮需要如何采購去更有效的風險評估方法。對每一個企業來說,并不是所有的風險都是關鍵。
因此,企業應該根據自己所在的行業,首先識別企業自身特定的潛在風險,然后再進行高、中、低風險分級。
這有助于企業確定處置重要安全風險的優先順序,確保企業基于重要標準來評估供應商。
對此,老師提供了一個好的參考框架。
(1)如果第三方發生泄密時,哪些信息帶來的損失更大?這些信息中包括專利信息、客戶財務信息、員工身份信息、其他第三方數據、財務和戰略相關的信息等方面。
(2)評估這些風險需要考慮與供應商的交互性和依賴性。針對帶來的潛在影響來準行分級。
具體可以按聲譽損害、可能引起訴訟、經濟處罰或損失,以及股東的不滿等信息泄密后產生的影響分析。
這種風險識別和分析提供了一個更全面的評估方法,可以讓企業能更好地評估供應商。
2、針對企業特性將供應商風險進行分級
詳細評估供應商的風險,應該考慮企業和供應商之間關系來定義風險類型。
(1)他們會訪問企業的員工或客戶數據嗎?
(2)他們會和企業的系統進行網絡對接嗎?
(3)他們會和第三方或分包商交換企業的信息嗎?
通過對上面三種情況的分析,企業可以對供應商的風險進行分級,可將風險分為5個級,極高、高、中、低和極低。
在改善和更新供應商風險管理的過程中,結合自定義的風險偏好去了解供應商服務風險是一個重要的步驟,有助于對最關鍵的供應商開展委托評估進行核查,從而確定預算。
3、評估高風險供應商
首先,利用必要的資源選擇評估方法執行評估。要考慮的三個最重要的資源:財務成本、時間投入和員工需要。
現場評估這種高資源投入方法是昂貴的,需要在現場投入多名專業人員,并且需要一段時間才會產生結果。因此企業應該只對高風險供應商采取這些方法。
對于其他供應商,可以委托評估,花費更少的資源,如調查問卷或供應商自我評估。
在完成對供應商和關鍵風險分級之后,開始評估供應商。這樣才能確保企業對最有可能讓我們發生泄密的供應商進行資源的投入。
這種靈活的和可擴展的框架可以應用于所有現前的和即將合作的供應商,優化資源,減輕企業的供應商風險。
