GetCerta.com是一家为供应商管理和合同生命周期管理提供SaaS平台的提供商,其创始人兼首席执行官贾格·兰巴(Jag Lamba)欢迎他的这篇客座文章。
在许多大型企业中,可能需要3-6个月的时间来适应一个新的供应商。这是因为,每一个新的供应商都增加了多层风险(运营、声誉、数据安全和隐私、合规、监管),几个内部职能(例如,采购、法律、信息安全、合规)需要参与进来,以降低这些风险。最近,一位潜在客户告诉我,在经历了一段特别痛苦的供应商入职经历后,在回顾她的电子邮件时,她意识到自己曾与20人互动,创建了8个不同的工件,并接触了15个独特的系统,才让一个供应商入职。显然,情况可以而且必须改善。
在客户中,我发现以下几个方面的入职最耗费时间:
- 多个连续的审批:多个职能小组(例如,采购、法律、信息安全、合规)的批准和谈判依次进行。
- 长期合同谈判:某些条款(如责任限制、赔偿)通常会造成大量的反复,即使在商业条款已经达成一致之后也是如此。
- 多个不同的系统:一些功能(例如,Infosec、legal /CLM)具有不同的系统,它们之间没有真正的通信。
- 多个数据来源:这是一个“转椅”问题,分析师需要登录到多个数据源(例如,D&B,律商联讯, BitSight,谷歌)并记录结果。
更快的供应商培训并不一定要以牺牲强大的风险控制为代价。事实上,加快速度的唯一方法是与更好的风险控制。
以下是我推荐的12种策略,可以帮助你在降低风险的同时更快地融入供应商。
问题a:多个顺序审批
1.并发审批流
有时IT安全部门必须批准一项约定,因为涉及到客户数据,然后隐私部门必须在上面签字。有时,由于存在OFAC、FCPA或AML高风险活动,合规必须得到批准。如果法律拒绝支持供应商的严格赔偿条款呢?
没有什么比为了一个高回报的订婚经历了所有必要的步骤,结果最终被咨询的那组人拒绝了你更令人沮丧的了。如果不同的组能够同时进行审查,那么在审查和签名之间浪费的时间就会更少——如果有人说不,你也可以更早地调整你的工作方向。
2.基于风险的尽职调查和细致入微的自动审批
我知道这一点很明显。并不是所有的供应商都需要经过相同级别的审查。有了正确的系统,自动审批可以让你几乎是即时上岗,显著降低你的平均上岗时间。
例子:在系统能够支持的情况下,大中型企业的入职流程可以自动批准以下供应商简介/规则:
- 消费金额< 25,000美元
- 供应商类别=市场营销,不共享个人身份信息
- 实体税务ID已被验证,受限方/OFAC筛选未发现匹配项
- 该供应商是SOC 2兼容的
- 根据D&B财务数据,破产评分较低
如果你认为现在没有软件平台可以做到这一点,我有消息告诉你。
3.组或人员级别的工作流和任务队列
组织好工作流程通常是最难的一块拼图。需要做什么首先,由谁?如果这个问题到本周末还没有得到解决,什么会引起轩然大波?如果你需要把任务委派给另一个人怎么办?
电子邮件可能会丢失,但一个强大的一体化系统可以通过可定制的提醒、提醒、任务和升级,帮助你的团队保持跟踪。每个小组都应该有自己的任务队列,这样经理就可以将特定的任务分配给他们的团队成员。
4.应用内/上下文内协作或消息传递
业务规则只能让你走这么远。有时,您对合同条款、安全附录或SLA的细节有疑问,需要在流程继续进行之前解决这些问题。
当这种情况发生时,您的系统应该能够允许您评论和标记其他部门或用户。他们可能会收到被定位的电子邮件通知——在某些情况下甚至会通过电子邮件回复——但系统将启用并记录完整的讨论,为你提供一个有效的沟通媒介。此外,它还提供了一个简单而容易访问的审计跟踪。
5.为职能团队(如法务、IT安全等)建立sla,创建并跟踪瓶颈图
想知道是什么让你上岗这么久吗?这应该有个报告!
除了帮助在独特的前瞻性业务中确定问题之外,季度或年度评审可以帮助您的组织确定结构瓶颈并做出更好的决策。我’’其他团队只需两周就能完成审查,而Privacy却要花一个月的时间?当突出显示时,低效率可以得到纠正,或者至少可以更好地理解。
对于业务请求者来说,查看挂起的供应商并说:“哦,看起来那个供应商仍然与It安全性有关。我会给他们打个电话,问问进展如何。”
问题二:冗长的合同谈判
6.在评估阶段提前发送关键术语
...特别是可能引起争议的条款(如责任限制、赔偿)。
在评估阶段,你的谈判能力通常是最高的,提前列出不可谈判的条件可以帮助你淘汰那些不能达到你的标准的供应商。
作为一名SaaS供应商,我不想告诉您,但初始阶段是我在谈判中最没有影响力的阶段。至少,如果我早知道你的硬止损点在哪里,我就可以专注于提供最佳风险回报比的机会。
您应该将这些限制在最重要的条款上——您不希望最好的供应商失去兴趣或提高价格以履行义务。但是这样可以节省谈判的时间,让你处于更有利的位置。
7.请用你的纸张发送合同草案
让供应商知道,用你们的纸张发送合同草案是你们的标准做法,如果他们想使用他们自己的纸张,这个过程可能需要额外的时间。
作为默认选项,业务请求者可以在流程开始时向供应商发送您公司的标准模板以及任何其他适用条款。这可以是你标准入职清单上的第一项。
因为把你的文件草案放在开头,供应商就会说“实际上,我们能用我的吗?”的问题。
问题c:多个系统
8.集成TPRM和CLM
入职、降低风险和签订合同都是同一业务流程的一部分。没有理由在不同的系统中管理这些任务。
至关重要的是,这些系统必须紧密联系在一起,这不仅是为了便于使用和采用,而且也是为了有效地降低风险(例如,法律可以通过合同覆盖其他职能确定的剩余风险)。
9.随着业务的增长,您的系统应该能够扩展以添加其他用例
让你的用户登录到不同的系统是一个巨大的时间杀手。如果你需要筛选反贿赂风险,收集供应商多样性的文件,或衡量供应商之间的环境影响,一个系统应该处理所有这些。
你的员工和供应商都会感谢你的。
10.集中风险管理
即使您组织中的采购是分散的,风险管理和所有风险领域也应该在一个地方处理。
您绝对不希望每个区域有不同的TPRM系统。在这个全球化的世界中,您的TPRM系统必须是多语言的,并且理解您的供应商所在的每个地点的税务和银行验证。
此外,系统应该足够智能,可以集成不同的风险评分和多方面风险的因素,为您提供每个供应商/业务存在的风险的全貌。
问题d:尽职调查的多个数据源
11.即时的尽职调查
你们的尽职调查和受限方筛选(OFAC)解决方案应该完全集成到你们的入职系统中。现在是2020年,应该不需要手动复制和粘贴供应商、业务用户和D&B等数据源提供的信息到一个单独的系统中。
此外,您的软件不仅应该主动地从所有可用的和相关的来源提取数据,而且还应该能够在提取的数据上运行业务规则以驱动输出。
例子:根据你们的业务规则,在加州能够访问客户数据的供应商会自动被送往进行中间尽职调查,并根据越来越多的媒体来源、观察名单或限制名单进行筛选,甚至可能被用于积极的诉讼。如果出现“危险信号”,则将供应商记录推荐给分析师,由更高级的业务领导进行进一步检查和评估。
12.度风险管理
没有必要为每个业务重新审查供应商,但您不能完全忽略审查,因为新的业务可能需要比原来的业务更多的访问权限。
您的系统应该允许您捕获和自动标记任何“升级”,超出供应商已批准的范围。此外,品类经理可以选择定期审查升级,要么是审计级别的风险,要么是全面的。
附赠:终极黑客
最终的方法是增加现有供应商的影响力。这不仅能降低风险,还能:
- 使您的经理能够更快地启动项目
- 为你的供应商提供激励,让他们更努力地为你工作,因为他们知道他们可能会从你那里获得更多的业务
最近,我和一位在五大科技公司担任总经理的朋友聊天,他告诉我,他对只花10美元的午餐店的了解,比那些花100万美元以上的供应商还多。如果您的TPRM解决方案使您能够从经理那里获取结构化的(季度/年度)评审和特别的“类似于yelp”的反馈,那岂不是太棒了?
如果您的TPRM系统鼓励用户搜索现有的供应商,启用日志反馈和性能监视,并拥有业界领先的CLM,这不是很有用吗?如果这一切看起来像是白日梦,请深入挖掘。
未来已经在这里了,只是它的分布不是很均匀。
感谢Uber采购支付全球主管Mark Arrigotti;Dun & Bradstreet首席采购官Marc Goldberg;Box首席采购官Linda Chuan;Etsy助理总法律顾问Jason Anderman;还有很多人,感谢他们深刻的讨论形成了这些想法。
讨论: