Osiem kroków do efektywnego programu zarządzania dostawcami w Twojej firmie.

W zeszłym roku w grudniu (brzmi jakby to było dawno temu) miałem przyjemność opublikować mój pierwszy post na Medium. Jego celem było podkreślenie znaczenia odpowiedniego zarządzania wyborem dostawców oraz przedstawienie konsekwencji, które mogą wystąpić, gdy bagatelizuje się ryzyko związane z nieprawidłowym podejściem do tego procesu. Zapraszam do zapoznania się z nim tutaj.

Tym razem skupiłem się na bardziej praktycznym podejściu i, kontynuując wątek, chciałbym podzielić się z Wami kilkoma wskazówkami, jak budować efektywne i długoterminowe procesy zarządzania ryzykiem.

Tak, wybór dostawcy to proces. Może być zarządzany, wdrożony krok po kroku i prowadzony tak długo, jak chcesz unikać ryzyka dokonania złego wyboru podwykonawców. Ustanowienie programu zarządzania dostawcami w Twojej firmie wymaga 8 kroków. Miałem okazję przedstawić to podejście w zeszłym roku na konferencji ISACA ( Information Systems Audit and Control Association) zorganizowanej z okazji 50. rocznicy tej organizacji.

Krok 1: Utwórz i skonsoliduj listę dostawców

Tak, to takie proste. Wymień ich wszystkich, utwórz tabelę z ich nazwami, adresami, nazwiskami Twoich kontaktów tam oraz ich e-mailami. Czasami ta aktywność byłaby łatwiejsza do realizacji jako część projektu konsolidacji dostawców. Przydatne jest również ujednolicenie tych informacji.

Krok 2: Utwórz listę usług, które uważasz za istotne dla Twojej organizacji

Jakich usług potrzebuje Twoja organizacja? Pomyśl o wszystkich i utwórz listę. Ta lista powinna zawierać każdą usługę, którą organizacja otrzymuje od stron trzecich. Każdej usłudze należy przypisać ocenę jej istotności, która wskazuje na wagę usługi dla działania przedsiębiorstwa. Zaleca się używanie skończonej skali numerycznej lub zestawu deskryptorów jakości dla tej oceny.

Przykładowa lista usług:

  • Usługi księgowe
  • Usługi prawne
  • Usługi systemów IT
  • Wsparcie zasobów ludzkich
  • Usługi sprzątania biura
  • Usługi hostingu aplikacji
  • Przetwarzanie danych
  • Analiza dużych zbiorów danych
  • Fizyczne zabezpieczenie i kontrola dostępu do budynków

Teraz prawdopodobnie domyślasz się, jaki jest następny krok.

Krok 3: Znajdź relacje między dostawcami a usługami

Tak. Połącz tabele! Po prostu przypisz dostawców z listy dostawców do usług, których potrzebuje Twoja firma i znajdź połączenia. Takie połączenia pozwalają organizacji zidentyfikować dostawców wymagających szczególnej uwagi (np. tych, którzy przetwarzają dane przedsiębiorstwa, w tym dane osobowe, lub hostują systemy IT przedsiębiorstwa).

Dostawca może oferować wiele usług. Czasami proces łączenia ujawnia, że niektórzy dostawcy nie mają przypisanych usług lub niektóre usługi nie mają przypisanych dostawców. Jeśli tak się stanie, organizacja powinna odpowiedzieć na następujące pytania i rozwiązać wszelkie problemy:

Czy lista dostawców jest kompletna? Czy lista usług jest kompletna? Dlaczego przedsiębiorstwo potrzebuje dostawcy, który nie dostarcza wartości (brak przypisanych usług)?

Krok 4: Zweryfikuj potrzebę tworzenia profili ryzyka dostawców

Tworzenie profilu ryzyka dla każdego dostawcy pozwoli Ci zrozumieć, jak istotne są ich usługi i/lub produkty dla Twojej organizacji. Pozwala to również lepiej przyjrzeć się relacjom i zdefiniować, jakiego rodzaju dostępu (fizycznego, IT, danych) udzielić dostawcy.

Kryteria filtrowania używane w profilach powinny być ujednolicone w organizacji. Nie może być od tego wyjątków.

Krok 5: Utwórz Profil Ryzyka Dostawcy

Przedsiębiorstwo ocenia każdą stronę trzecią pod względem dwóch aspektów:

  • Aspekt 1 — Ryzyko związane z dojrzałością organizacyjną strony trzeciej jako wynik prowadzenia jej codziennej działalności biznesowej.
  • Aspekt 2 — Ryzyko związane z usługami świadczonymi dla przedsiębiorstwa przez stronę trzecią.

Zaleca się uwzględnienie poniższych kryteriów ryzyka, aby zbudować profil. Musisz wykorzystać wiedzę dostępną w Twojej organizacji (to konieczność). Możesz wzbogacić dane o dodatkowe źródła informacji (takie jak Dun & Bradstreer Bisnode itp.)

Ryzyka usług:

  • Wymagania zgodności (compliance) i ryzyka regulacyjne związane z usługą
  • Wpływ na klienta i finanse
  • Poziom krytyczności usługi dostarczanej przez dostawcę dla naszej firmy
  • Przetwarzane transakcje finansowe
  • Dostęp do danych osobowych i wrażliwych?
  • Dojrzałość usługi?

Ryzyka podmiotu:

  • Dojrzałość usługi?
  • Lokalizacja dostawcy
  • Znane incydenty bezpieczeństwa
  • Wielkość firmy
  • Stabilność finansowa
  • Historia współpracy

Ważne jest, aby zrozumieć, że utworzony profil ryzyka dla dostawców przedsiębiorstwa może zmieniać się w czasie. To nie jest działanie jednorazowe. To ciągły proces, który powinien być powtarzany co najmniej raz w roku.

Krok 5: Przykłady. Ukończone profile ryzyka dostawców w dwóch wymiarach (ocena ryzyka podmiotu i usługi). Źródło: AdaptiveGRC

Krok 6: Sprawdź zgodność dostawców i oceniaj ryzyko za pomocą samooceny

Możesz wymagać od swoich dostawcy przejścia procesu samooceny, szczególnie gdy zapewnisz im narzędzie do tego. Wszyscy Twoi dostawcy powinni być zobowiązani do wykonania samooceny, a umożliwienie im wypełnienia ankiety na bazie której ocenniene jest ryzyko to świetny pomysł. Te formularze online mogą być przygotowane z wyprzedzeniem, zarówno jako arkusze kalkulacyjne, jak i dedykowany system ankiet online.

Krok 7: Zarządzanie lukami i ustaleniami

Po zebraniu niezbędnych informacji za pomocą samoocen, możesz przeprowadzić proces ewaluacji i określić kolejność działań korygujących, a także ustalić listę działań i przypisać je odpowiedzialnym osobom. Działania korygujące mogą dotyczyć zarówno Twojej organizacji, jak i poszczególnych dostawców.

Krok 8: Łagodzenie ryzyka dla zidentyfikowanych ustaleń (macierz prawdopodobieństwa/ wpływu)

Macierz prawdopodobieństwa i wpływu łączy prawdopodobieństwo wystąpienia ryzyka z oceną jego wpływu i umożliwia priorytetyzację ryzyka. Zbuduj ją, aby określić, które ryzyka należy uwzględnić i na które zareagować odpowiednimi działaniami.

Przykład macierzy prawdopodobieństwa/wpływu. Źródło: Własne materiały

Zarządzanie dostawcami to proces. Zacznij od małego zakresu, wykonaj pierwsze kroki, a następnie rozwijaj proces, aby stał się programem. Nie chodzi o wygranie wyścigu, ale o właściwe w nim uczestnictwo.

Rozwiązania biznesowe

Platforma AdaptiveGRC oferuje szereg modułów ułatwiających zarządzanie działaniami GRC w Twojej firmie.

Pozwól nam dopasować najlepsze rozwiązanie dla Twojej firmy. Wypełnij poniższy formularz.
ZAREZERWUJ KONSUTLACJĘ

Usprawnij swoje działania GRC dzięki AdaptiveGRC
Uzyskuj szybsze wyniki.

  • Wypełnij formularz.
  • Nasz konsultant wspólnie z Tobą określi potrzeby Twojej firmy.
  • Zaplanujemy demonstrację produktu, aby pokazać wymagane funkcje.
  • Pozyskamy Twoją opinię i dostosujemy narzędzie do Twoich potrzeb.
Wypełnij formularz

    Administratorem Twoich danych osobowych jest C&F S.A. z siedzibą w Warszawie. Twoje dane będą przetwarzane zgodnie z Polityką Prywatności C&F S.A.

    NASZE RECENZJE

    Przeczytaj recenzje, aby dowiedzieć się, co użytkownicy myślą o naszych rozwiązaniach.

    Niezwykle efektywne oprogramowanie GRC w atrakcyjnej cenie

    AdaptiveGRC oferuje dużą elastyczność w obsłudze procesów GRC i audytu. Produkt jest stale rozwijany, a klienci regularnie otrzymują dostęp nowe możliwości i funkcjonalności. Co więcej, cena jest bardzo konkurencyjna w porównaniu do innych produktów na rynku. Zespół wsparcia jest elastyczny i odpowiednio reaguje na potrzeby klientów.

    Sebastian B. Dyrektor Generalny | Bezpieczeństwo komputerowe i sieciowe

    Wszechstronna platforma do zarządzania ryzykiem i zgodnością

    Korzystałem z modułów AdaptiveGRC do zarządzania zgodnością i ryzykiem przez ponad rok. Wdrożenie przebiegło płynnie, a zespół wsparcia zawsze służył pomocą. Szczególnie cenię sobie funkcjonalności oferowane przez AdaptiveGRC – wszystkie procesy GRC są zarządzane za pomocą jednego narzędzia, które korzysta z jednej bazy danych. Narzędzie to pomogło mojej organizacji obniżyć koszty operacyjne i lepiej zrozumieć ryzyka.

    Marcin K. Dyrektor ds. bezpieczeństwa informacji | Usługi finansowe

    Doskonałe narzędzie do kontroli zgodności

    Niesamowite jest to, że dzięki AdaptiveGRC zarządzanie indywidualnymi ocenami można skrócić z dni do minut. Narzędzie umożliwia generowanie raportów dla różnych interesariuszy, zawierających wybrane dane z wyników ocen. Bardzo doceniam możliwość tworzenia list specyfikacji zgodności dla kontraktów z dostawcami czy wewnętrznych działów.

    Jasween K. Zgodność w branży farmaceutycznej

    AdaptiveGRC wspiera firmy ubezpieczeniowe w zarządzaniu ryzykiem i zgodnością

    Używałem AdaptiveGRC do wsparcia procesów zarządzania zgodnością w firmach ubezpieczeniowych, które musiały dostosować się do wymagajacych regulacji branżowych. Używałem też AdaptiveGRC do zarządzania i monitorowania procesów zarządzania danymi po wejściu w życie RODO. Doświadczyłem znacznego wzrostu efektywności w obu przypadkach.

    Recenzent zweryfikowany Ubezpieczenia | Samozatrudnienie

    W nazwie AdaptiveGRC zawiera się wszystko

    Jak sugeruje nazwa, AdaptiveGRC to kompleksowe rozwiązanie GRC, które można dostosować do organizacji z różnych branż i różnej wielkości. Zespół AGRC wykonał znakomitą pracę, projektując i tworząc najlepsze w swojej klasie rozwiązanie GRC, które odpowiada na wyzwania dzisiejszego niepewnego i szybko zmieniającego się globalnego klimatu biznesowego. Współpraca z zespołem AGRC była przyjemnością, a wsparcie, które zapewnili, było wyjątkowe.

    D Scott C. Rozwój Biznesu | Biotechnologia

    Instytucje finansowe mogą znacznie skorzystać na AdaptiveGRC

    Cieszę się, że mogę używać AdaptiveGRC w mojej pracy. To dedykowane rozwiązanie jest bardzo pomocne każdemu, kto musi wypełnić kwestionariusz SREP. Dodatkowy czas, który zyskałem, był bezcenny. Design platformy również bardzo mi się podoba. Prostota użytkowania jest dużym plusem. Dzięki możliwości porównywania formularzy z poprzednich lat, mogłem skrócić czas potrzebny na wypełnienie nowego kwestionariusza. Ponadto, mogę monitorować postępy osób zaangażowanych w proces.

    Anna C. Szef Zespołu ds. Przestępstw Finansowych | Bankowość

    Świetne wsparcie dla firmy ubezpieczeniowej

    Moje ogólne doświadczenia są bardzo pozytywne. Czas i kontrola nad procesami, które zyskałem, są nieocenione. Podoba mi się, że platforma jest bardzo łatwa w obsłudze. Zdecydowanie pozwoliło mi to skrócić czas potrzebny na wypełnienie kwestionariusza SREP. Mogę również łatwo kontrolować status pracy moich członków zespołu, sprawdzać ich postępy i monitorować na bieżąco wydarzenia.

    Recenzent zweryfikowany Ubezpieczenia