造成供應商風險管理的最大問題,你要如何解決呢?

Time

有效的供應商風險管理對今天各家公司來說是一項具有挑戰性的議題,風險管理人員有時必須面對幾十個、幾百個、甚至上千個供應商,以確保這些和他們簽約的第三方不會發生對公司的財務、名聲、和/或者監理上的損害,近期這類違約情境,已有1​​.1億的客戶凸顯這些問題。

所面臨的挑戰對供應商風險管理人員來說是相當多的,公司外包業務的比率超過以往更多,面對廠商的潛在威脅持續地衍生和擴展,風險管理員工只有這麼多人,不可能有無限的資源可以運作,但是,所有這類問題可能發展到以一個供應商風險管理來說,無所不包的整合性問題:時間,簡單地說,風險管理人員需要更多的時間,但公司卻無法提供給他們。

如果供應商的風險管理人員是無限量的,每一個廠商可以被進行檢驗篩選、判斷、以及空閒時間的有效管理,不過,這個夢想世界是不存在的;相反地,風險人員永遠沒有足夠的時間對他們希望針對所有供應商進行徹底的評估,威脅出現如此之快,時間風險專家需要跟上,來感受到徒勞知道一個新的危險潛伏之前,舊的剛好想通了,而當與供應商有問題發生時,本來可以用簡單較多時間的方法來避免,你卻幫不上,感覺像是所有的鬧鐘都不見了一樣。

時間可能是無法迴避的,但它並不需要成為供應商風險管理的敵人,風險不能被完全消除,只能進行管理,最佳運用你有限的時間儘到最大的努力,這裡有一些方法是風險管理專家可以對抗供應商風險管理產生的最大問題……在關鍵時刻:

  • 確定並篩選您最重要的供應商:對於數百家或數千家供應商進行風險評估,這根本是不可能的事,你可以透過關注在只有那些最基本會對公司的持續成功有重大影響的廠商來節省時間,總數有可能高達數百家,但至少你可以稍微輕鬆一下,有一點必須知道的是,哪些供應商協助公司處理敏感性資訊或您客戶的支付卡資訊,這些將被徹底檢查。
  • 使用自動化的解決方案:使用以Excel電子試算表表格為基礎的問卷來進行供應商風險評估的方法太落伍了,而且對風險管理人員的作業太沒有效率了,它花費太多時間在等待,然後製表產生結果,一個自動化的解決方案,不僅可以大大降低進行評估的時間,同時,還可以讓你有更多的時間來分析數據資料,並進行實際的供應商風險管理。
  • 利用優勢或風險評分:許多自動化解決方案採用風險評分量化測試的結果,而不是花時間去研究每分鐘的結果,你可以看看風險評分,並作出快速的決定,如果第三方是你的供應商配合組成的主要部分,或者如果它可能需要更積極的供應商的風險管理。
  • 利用風險報告的優點:如果你沒有時間去執行審查,但發現你需要一個快速(比方說,例如,如果你的公司正考慮加入一個新的供應商),有些供應商風險管理軟體系統有提供即時需求風險報告,它是基於過去的評估所提供的風險資訊。
  • 積極主動與供應商實現達標:公司及風險管理人員與供應商的關係應該是夥伴關係,而不是對立的,可以透過良好的溝通和積極的風險管理來避免許多潛在的問題,例如,如果你知道一個大的更新計劃是為了關鍵標準的符合性(如2013的ISO 27001版本),與第三方廠商合作提前時間可以預防未來時間耗費的頭疼問題。

什麼事令你與供應商風險管理的最大問題呢?

 

關於 David Chuang

CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員