调查背景:甫瀚咨询与共享评估计划已连续第四年对供应商风险管理开展年度调查,基于共享评估计划开发的供应商风险管理成熟度模型(VRMMM),对企业的供应商风险管理能力进行综合评价。本次调查以在线形式展开,共有539位来自金融、IT、制造、医疗健康等多个行业的企业高管及经理参与了调查。 主要发现 随着风险及监管环境的快速变化,企业的供应商风险管理能力不断面临新的挑战。根据2017年最新的供应商风险管理基准调查结果显示: 所有行业的企业在管理供应商及第三方风险方面均取得显著进展。 董事会对网络安全风险的关注度逐步提升,且其参与度与企业自评的第三方风险管理实践成熟度强相关。 针对高风险供应商,大多数企业计划采取终止或改变与第三方供应商关系的办法以降低风险。 调查结果摘要 本次调查主要从供应商风险管理成熟度、网络安全风险和风险应对能力三个方面对企业的供应商风险管理能力进行全面考察。 供应商风险管理成熟度 根据供应商风险管理成熟度模型(VRMMM),供应商风险管理主要包括八个类别: 1 项目治理 2 政策、标准和程序 3 合同管理 4 供应商风险识别与分析 5 技能和专业知识 6 沟通和信息共享 7 工具、测量和分析 8 监控和审查 本次调查中,各企业在八个类别的供应商风险管理成熟度评估结果如下图: * 供应商风险管理成熟度等级 5 = 持续改进:企业在运营上力求卓越,了解当前行业最佳实践,并定期推行改革以达到最佳水平 4 = 全面实施和执行:供应商风险管理活动全面展开,所有合规措施均已到位 3 = 充分确定和建立:企业已充分确定、批准并建立供应商风险管理活动,但尚未全面开展 2 = 确定实现目标的路线图:管理层已审批通过计划将供应商风险管理职能纳入整体业务流程之中,但相关供应商风险管理活动的开展则是按需临时进行 1 = 初步构想:企业正在考量如何构建最佳供应商风险管理职能,令其成为整体业务流程的一部分。相关供应商风险管理活动的开展则是按需临时进行 0 = 未执行:尚未在企业内执行任何供应商风险管理活动 2017年总体供应商风险管理成熟度呈现适度提高,表明随着外部风险环境的迅速变化,更多企业意识到供应商风险管理的重要性。在VRMMM包含的八个不同的类别中,今年的供应商风险管理成熟度级别较之2016年,保持着稳定或适度增长,八个类别中有五个类别的平均成熟度与去年同期相比有所改善。其中供应商风险识别与分析,以及技能和专业知识这两个类别取得了重大改进;合同管理类别的总体成熟度水平与2016年基本持平,并在本次调查中居于最高成熟度等级,但该类别中的两个单独组成部分(标准的强制性合同术语及条款,明确的组织架构以支持供应商合同起草、谈判及审批)却在成熟度等级上出现了显著下降。 网络安全风险 与2016年同期相比,董事会对于网络安全风险的参与度显著提高。然而,与企业内部网络安全风险的投入程度相比,董事会对供应商网络安全风险的参与度则低很多,依然存在较大“参与度差距”。同时,调查发现,凡是董事会参与度较低的企业,其第三方风险管理实践成熟程度亦明显低于其他企业。 董事会对与业务及内部运作/供应商管理相关的网络安全关注度的调查结果 风险应对能力 针对风险水平较高的供应商,大多数企业都希望终止或改变与相关供应商的合作关系以有效控制风险。由于对第四方风险、成本的担忧,以及缺乏内部专业知识来对供应商风险水平进行评估,以保险公司为代表的多数企业似乎更有可能在来年采取行动,以降低供应商风险。 关于我们的服务 供应商管理 甫瀚咨询在供应商管理方面给予企业的支持,一方面是为了解决企业的具体问题,如为了甄选到合格的供应商而优化准入标准;为缩短执行周期而再造订单流程;为维持供应商库的有效性而完善绩效管理等。另一方面,帮助企业达到成熟度更高的供应商管理要求,以令企业围绕其经营目标和战略,按照供应商的价值及风险确定策略,进行供应商细分,并开展有规划的互动,展开与供应商的协同共赢,实现双方价值的最大化。 供应商风险管理 甫瀚咨询将从适用的和最相关的行业推荐标准中提取全面评估供应商风险管理程序的方法,如BITS共享评估AUP程序、ISO 27001/2、NIST CSF和其他主要实践。与任何安全流程一样,供应商风险管理最好在供应商关系的整个生命周期内执行,而不是一次性事件。 为此,企业的领导者需要关注并评估供应商风险,继而设计并实施实用的解决方案最终赢得可持续收益。甫瀚咨询的专业人员精于协助企业理解当前机遇,并展望未来。倚赖我们针对企业所处行业和业务性质量身打造的团队,甫瀚咨询专注于在合适的时间提供合适的解决方案。甫瀚咨询是对商业基础拥有深刻理解的企业伙伴,凭借丰富的实践知识、经验和专有方法论,能够为客户提供最佳咨询成果,帮助企业有效管理供应商风险,继而推动企业的创新和提升盈利能力。 关于共享评估计划 共享评估计划是值得信赖的第三方风险管理资源。其通过对供应商风险管理生命周期的关键环节进行有效管理,帮助企业提高效率、降低成本;及时了解现行法规、行业标准和准则,以及当前环境所受到的威胁,被全球各行业的服务提供商及其客户广泛采用。通过加入成为共享评估计划会员,并借助共享评估程序工具,如:商定程序(AUP)、标准化信息收集(SIG)调查问卷和供应商风险管理成熟度模型(VRMMM),企业及其服务提供商能够以更为标准化、更高效且成本更低的方法,对网络安全、IT、隐私、数据安全和业务连续性进行严格地评估。共享评估计划由The Santa Fe Group(www.santa-fe-group.com)进行管理。The Santa Fe Group是一家战略咨询公司,主要为金融机构、医疗保健交付方和提供方、律师事务所、教育机构、零售商、公用事业及其他关键基础设施组织提供独到的专业知识。有关共享评估计划的更多信息,请访问 www.sharedassessments.org。 关于甫瀚咨询 甫瀚咨询是一家全球性的咨询机构,为企业带来精深的专业知识、客观的见解、量身定制的方案和无与伦比的合作体验,协助企业领导者们充满信心地面对未来。透过甫瀚咨询网络和遍布全球20多个国家的70多家分支机构,我们及旗下独立拥有的成员公司为客户提供财务、信息技术、运营、数据、分析、治理、风险管理以及内部审计领域的咨询解决方案。 甫瀚咨询为超过60%的财富1000强及35%的全球500强企业提供咨询服务,亦与政府机构和成长型中小企业开展合作,其中包括计划上市的企业。甫瀚咨询是Robert Half International Inc.(纽约证券交易所代码:RHI)的全资子公司。RHI于1948年成立,为标准普尔500指数的成员公司。 |
|