手機版
在供應商管理過程中,企業(yè)要著力識別每個供應商的風險水平并且確定供應商進行現(xiàn)場評估和滲透測試的優(yōu)先級。
企業(yè)想要做好供應商風險識別,可以按一個基本的步驟來進行。
1、識別和分析企業(yè)的特定風險偏好
企業(yè)有必要從供應商服務的范圍角度來考慮需要如何采購去更有效的風險評估方法。對每一個企業(yè)來說,并不是所有的風險都是關(guān)鍵。
因此,企業(yè)應該根據(jù)自己所在的行業(yè),首先識別企業(yè)自身特定的潛在風險,然后再進行高、中、低風險分級。
這有助于企業(yè)確定處置重要安全風險的優(yōu)先順序,確保企業(yè)基于重要標準來評估供應商。
對此,老師提供了一個好的參考框架。
(1)如果第三方發(fā)生泄密時,哪些信息帶來的損失更大?這些信息中包括專利信息、客戶財務信息、員工身份信息、其他第三方數(shù)據(jù)、財務和戰(zhàn)略相關(guān)的信息等方面。
(2)評估這些風險需要考慮與供應商的交互性和依賴性。針對帶來的潛在影響來準行分級。
具體可以按聲譽損害、可能引起訴訟、經(jīng)濟處罰或損失,以及股東的不滿等信息泄密后產(chǎn)生的影響分析。
這種風險識別和分析提供了一個更全面的評估方法,可以讓企業(yè)能更好地評估供應商。
2、針對企業(yè)特性將供應商風險進行分級
詳細評估供應商的風險,應該考慮企業(yè)和供應商之間關(guān)系來定義風險類型。
(1)他們會訪問企業(yè)的員工或客戶數(shù)據(jù)嗎?
(2)他們會和企業(yè)的系統(tǒng)進行網(wǎng)絡對接嗎?
。3)他們會和第三方或分包商交換企業(yè)的信息嗎?
通過對上面三種情況的分析,企業(yè)可以對供應商的風險進行分級,可將風險分為5個級,極高、高、中、低和極低。
在改善和更新供應商風險管理的過程中,結(jié)合自定義的風險偏好去了解供應商服務風險是一個重要的步驟,有助于對最關(guān)鍵的供應商開展委托評估進行核查,從而確定預算。
3、評估高風險供應商
首先,利用必要的資源選擇評估方法執(zhí)行評估。要考慮的三個最重要的資源:財務成本、時間投入和員工需要。
現(xiàn)場評估這種高資源投入方法是昂貴的,需要在現(xiàn)場投入多名專業(yè)人員,并且需要一段時間才會產(chǎn)生結(jié)果。因此企業(yè)應該只對高風險供應商采取這些方法。
對于其他供應商,可以委托評估,花費更少的資源,如調(diào)查問卷或供應商自我評估。
在完成對供應商和關(guān)鍵風險分級之后,開始評估供應商。這樣才能確保企業(yè)對最有可能讓我們發(fā)生泄密的供應商進行資源的投入。
這種靈活的和可擴展的框架可以應用于所有現(xiàn)前的和即將合作的供應商,優(yōu)化資源,減輕企業(yè)的供應商風險。
