企业绩效在很大程度上依赖于组织外部关系的强度和效率。如果我们不从战略上监控和管理这些合作伙伴,我们第三方合作伙伴的表现和风险敞口可能会成就或破坏我们自己的盈利能力、声誉和整体成功。
随着供应链的增长,越来越相互依赖,随着外包作为内部人才培养的替代方式的蓬勃发展,我们面临的风险也在增长,而且越来越难以缓解。
未能识别第三方风险的深远影响正在成为董事会层面的问题,采购组织正在发挥主导作用,帮助主动识别、减轻和管理这些风险。但颠覆的确切后果难以衡量和量化,因为目前发生的规模通常比过去大得多,还存在新的风险,如引人注目的企业倒闭威胁、非法第三方行为的问责或惩罚性罚款的监管执法。
第三方风险不仅限于供应商
说到风险,我们通常想到的是供应商风险或供应链风险,但实际上,第三方风险远远不止于此。围绕企业的整个生态系统很容易受到任何失败的危险连锁反应的影响——无论是来自供应商、分销商、支持服务提供商、销售或营销代理,还是任何关联机构、子公司或合资企业。
在今天的工业中,核心采购人员和关注风险的人员在如何感知风险方面存在显著差异,尽管后者往往是采购组织的一部分。基本上,采购人员依赖于软件,对风险有战术性的看法,而风险专业人员往往更有战略眼光。和他们一样,首席营销官也必须从战略角度出发,这意味着在开始采购之前就要考虑风险,但这很难说服别人。
要从战略上考虑风险
从计划到战略采购,一直到供应商选择、供应商选择、尽职调查、合同谈判、监控和终止——这个循环是一个非常具有战略意义的操作。这不是一个事务性的过程,需要时间和精力才能做好。认为所涉及的风险与供应商有关是短视的,因为风险可能来自上游,也可能来自下游。
你的渠道合作伙伴、分销商和代理商都带来了不同的风险,与供应链带来的风险不同,许多公司难以理解这种影响会有多深远。在考虑风险时,有几件重要的事情需要战略性地考虑:
- 数据建模-理解这种风险的深远影响是数据建模的挑战。如何跟踪供应链实体?它们是如何相互关联的?这是企业做出数据驱动决策所必需的。
- 放眼消费之外-大多数公司仍然只将支出视为风险的主要维度之一或风险背后的驱动力,但支出实际上只是凳子的一条腿。你必须考虑所有关系的关键性和战略重要性,可能是上游关系,也可能是下游关系。仅仅考虑供应商或供应商的风险太过局限。
- 合同-在第三方管理的整个周期中,有许多可能的集成点需要识别——从计划到尽职调查和第三方选择,基于工作的性质和您将要合作的第三方的概况。那么你是如何为此制定合同的呢?这需要一种非常战略性的方法来推动特定的合同条款:你需要让你的法务、采购和采购团队知道合同中什么更重要,以及根据风险情况重点关注哪些领域。
整体观
实际上,当今行业组织仍然缺少的是一个整体的解决方案。第三方风险管理(TPRM)的所有方面都需要融入到整个采购合同和P2P用例中。它们一直被视为一个孤立的问题——事实并非如此!
TPRM必须从预采购开始,甚至在您决定创建采购事件之前。即使是了解这一点的专业人士也不一定有正确的解决方案来帮助他们做好这件事,而且是无缝的。你真的需要一个无缝的解决方案,可以整合所有的点。
要获得这一整体图景,您不仅需要工具,还需要结构化和战略性方法的建议和帮助,特别是在对第三方进行评估时——具有讽刺意味的是,这是一个巨大的外包市场!
那么这个完整的方法是什么样的呢?
- 风险-您需要对当前情况有一个准确的描述,根据风险发生的可能性和对业务的潜在影响对风险进行评分和优先级排序。
- 治理-一旦确定了风险并确定了优先级,就需要根据短期、中期和长期风险制定全面的风险缓解计划。必须有合适的人员来实施和管理风险管理计划。
- 缓解-仅仅有一个计划是不够的。必须监测和跟踪风险缓解举措及其进展,以确保它们在真实的风险环境中发挥作用,并采取应急措施。
这是谁的风险?
你不仅要考虑上游的风险,还要考虑下游的风险。对于cpo来说,这意味着要考虑到你和你的客户之间的所有第三方。
你可以把工作外包出去,但你不能把风险外包出去。
你的生态系统中的每一家第三方公司都可能代表你,但当事情出了问题,这仍然是你的问题。所以CPO不应该忘记,风险也可能来自第三方,通常是下游,而不是P2P系统。
减少采购风险的另一个非常困难的领域是服务。例如,外包企业网站管理是一个完整的项目,涉及许多服务,如文案撰写、设计和管理都捆绑在一个机构。从本质上讲,采购很难缓解这一问题,因为与小部件或产品不同,采购没有统一的公式;风险是微妙的,往往是主观的。但是在采购时必须考虑到风险,否则就会变成孤立的实现。
固有风险
在降低风险的过程中,你必须做的一件事是“预采购”。为了实现最佳的缓解,当您的业务部门要求提供产品或服务时,您至少需要建立一个固有风险模型,该模型脱离了您所使用的产品或服务分类,大多数大公司都有这种分类。
固有风险,即第三方所做工作中的自然风险级别,在服务工作中尤其普遍,因此第一步是根据所选第三方的能力和胜任能力(如信息安全、业务连续性、声誉、隐私、监管风险等)建立固有风险概况。从这一点出发,你要进行尽职调查。
在合同谈判之后,你必须能够利用合同中的契约,使你能够在关系的生命周期中监控风险。其中一些合同是长期的,你不会每年都重新审视,但请记住,风险不会在三年合同结束时消失。风险必须持续监测。如果你考虑给他们更多的业务——这可能会改变风险状况,这可能需要采取补救措施。如果这段关系破裂,你还需要一个计划。
优先次序问题
事实上,缺乏CPO意识并不是降低风险的问题,这与公司给予它的优先级有关,而这是由当务之急所驱动的。如果监管势在必行,风险将得到更多关注。风险优先的另一个重要驱动因素是恐惧,尤其是对网络攻击的恐惧。不幸的是,另一个阻碍公司高度重视风险的因素通常是成本——业务成本。
然而,就声誉而言,风险正越来越多地成为企业的首要考虑因素。他们开始意识到,与所有干预措施良好集成的整体第三方管理计划对业务连续性至关重要。然而,这不是一个微不足道的努力和成本。
这是个优先级的问题。供应链风险,尤其是承包商风险,是一个很难解决的问题,在内部解决往往成本很高。单独的工具,无论多么复杂,只能让你走这么远。关键是要从第三方那里获得专家建议,让他们能够在软件之外解决你的问题。经验很重要。你需要专业知识,对风险有全面的看法,并对风险可能造成的损害有深入的了解。优先考虑风险是关键。
现在谁负责公司的风险?
识别和沟通风险的工作是艰巨的。但这一切都流经一个必须管理它的部门——那就是采购。虽然合规性和信息安全等某些方面是CCO的前提,但CPO对所有采购执行战略负有全面责任。采购是防范风险的重要防线。
CPO能做些什么来启动更严肃地对待风险的过程呢?
- 改变心态很难解决,但恐惧是一个很好的激励因素,所以要传达不这样做的后果。
- 将风险描绘成一个战略差异,而不是一个需要解决的问题,会将风险管理提升为优先事项:更好的风险概况将使你成为更好的公司,为客户服务。
- 当前的风险更多的是机会而不是成本——考虑未来的cpo需要能够做到这一点,即使他们陷入日常挑战的流沙之中。
- 证明支出的合理性(这并不容易)。你如何证明一个糟糕的结果没有发生?列举一些由于第三方管理不善而导致的问题,并传达这样的信息:我们希望这样的事情发生在我们身上吗?
最好的结果是将风险与所有采购策略紧密结合起来。许多组织已经有了一个解决方案,但除非进行整合,否则它只能在一个竖井中工作——例如贿赂或欺诈。
一个完整的系统将提供整个风险范围的可见性,并使用嵌入式分析实现实时监控。它将允许您与供应链合作伙伴密切合作,以提高效率,并为您提供快速适应供应链中断的灵活性,并以最小的影响执行新的企业战略。
请记住,真正的供应链弹性不仅来自供应市场情报和强大的诊断工具,还来自您的风险顾问,由世界级的基础设施和丰富的供应链最佳实践方法知识库支持。
讨论: