Spend Matters欢迎GetCerta.com创始人兼首席执行官捷格•兰巴的这篇客座文章。GetCerta.com是一家提供供应商管理和合同生命周期管理的SaaS平台提供商。
在许多大型企业,可能需要3-6个月的时间才能让一个新的供应商进入公司。这是因为,由于每个新供应商都会增加多层风险(运营、声誉、数据安全和隐私、合规、监管),多个内部职能(如采购、法律、信息安全、合规)需要参与进来,以降低这些风险。最近,一位潜在客户告诉我,在经历了一段特别痛苦的供应商入行经历后,在回顾她的电子邮件时,她意识到她与20个人互动,创建了8个不同的工件,并接触了15个独特的系统,从而进入了一个供应商。显然,情况能够而且必须改善。
在客户中,我发现以下几个方面的入职时间最长:
- 多个连续的审批:多个职能小组(如采购、法律、信息安全、合规)的批准和谈判依次进行。
- 长期合同谈判:某些条款(例如,责任限制,赔偿)通常会产生大量的反复,即使在业务条款已经达成一致之后。
- 多个不同的系统:一些函数(例如Infosec、legal /CLM)有不同的系统,它们实际上并不相互通信。
- 多个数据来源:这是一个“转椅”问题,分析师需要登录多个数据源(如D&B、律商联讯, BitSight,谷歌),并记录结果。
更快地加入供应商并不是以牺牲强大的风险控制为代价的。事实上,唯一能跑得更快的方法是与更好的风险控制。
以下是我列出的12个最佳策略,可以帮助供应商更快上手,同时降低风险。
问题a:多个顺序批准
1.并发审批流
有时候,由于涉及到客户数据,IT安全部门必须批准一项约定,然后隐私部门必须签署该约定。有时,合规必须得到批准,因为存在OFAC、FCPA或AML高风险活动。如果法律拒绝支持供应商的严格赔偿条款呢?
没有什么比跳过所有必要的门槛去获得高回报的用户粘性更令人沮丧的了。如果不同的团队有能力同时审查,那么在审查和签署之间浪费的时间就会更少——如果有人说不,你就能更快地重新调整你的努力。
2.基于风险的尽职调查和微妙的自动审批
我知道这一点很明显。并不是所有的供应商都需要通过同样水平的审查。使用正确的系统,自动批准可以导致几乎即时登机,显著降低您的平均登机时间。
例子:在系统能够支持的情况下,中大型企业的入职流程可以对以下供应商配置文件/规则进行自动审批:
- 消费金额< 25,000美元
- 供应商类别=市场营销,没有个人身份信息共享
- 实体税号经过验证,受限方/OFAC筛选未发现匹配项
- 供应商是SOC 2兼容的
- 根据D&B的财务数据,破产评分较低
如果你认为今天没有软件平台可以做到这一点,我有消息告诉你。
3.组或人员级别的工作流和任务队列
组织工作流程通常是最难的部分。需要做什么首先,由谁?如果这个问题不能在周末前解决,会引起什么轩然大波呢?如果你需要将任务委派给其他人怎么办?
电子邮件可能会丢失,但一个强大的一体化系统可以帮助您的团队跟踪定制提醒、提醒、任务和升级。每个组都应该有自己的任务队列,管理人员可以在队列中为团队成员分配特定的任务。
4.应用程序/上下文协作或消息传递
业务规则只能帮到您这么多。有时您会对合同条款、安全附录或SLA的细节有疑问,这些问题需要在流程继续进行之前解决。
当这种情况发生时,您的系统应该能够允许您注释和标记其他部门或用户。他们可能会收到电子邮件通知他们已经被ping通了——在某些情况下甚至可能会回复电子邮件——但系统会启用并记录整个讨论,给你一个有效的沟通媒介。此外,它还提供了一个简单且易于访问的审计跟踪。
5.为法律、IT安全等职能团队建立sla,并创建和跟踪瓶颈图
想知道为什么要等这么久吗?应该有一份报告!
除了帮助确定独特的潜在业务中的问题外,季度或年度审查还可以帮助您的组织识别结构瓶颈并做出更好的决策。我当其他团队在两周内完成的时候,要花一个月的时间来审查隐私?当突出显示时,低效可以得到纠正,或者至少可以更好地理解。
对于业务请求者来说,查看未完成的供应商并说,“哦,看起来这个供应商仍然与It安全有关。”我会给他们打个电话,看看进展如何。”
问题二:冗长的合同谈判
6.在评估阶段提前发送关键条款
...特别是那些可能引起争议的条款(例如,责任限制、赔偿)。
你的谈判能力通常在评估阶段是最高的,提前列出不可谈判的部分可以帮助你淘汰那些不能满足你标准的供应商。
作为SaaS供应商,我不想告诉您,但在初始阶段,我在谈判中的影响力最小。至少如果我知道你的硬止损点在哪里,我就可以专注于提供最佳风险回报比的机会。
你应该把这些限制在最重要的条款上——你不希望最好的供应商失去兴趣或提高价格来履行义务。但这样做可以节省谈判时间,让你处于更有利的地位。
7.把合同草稿寄到你的纸上
让供应商知道,用你的纸发送合同草案是你的标准做法,如果他们想用自己的纸,这个过程可能需要额外的时间。
作为默认选项,业务请求者可以在流程开始时将您公司的标准模板以及任何其他适用条款发送给供应商。这可以是你的标准登机检查表上的第一项。
因为在一开始就包括你的文件草稿,供应商就会说:“实际上,我们可以用我的吗?”已经提高了。
问题c:多个系统
8.集成TPRM和CLM
入职、风险缓解和订立合同都是同一业务流程的一部分。没有理由在单独的系统中管理这些任务。
至关重要的是,这些系统必须紧密联系在一起,这不仅是为了方便使用和采用,也是为了有效降低风险(例如,法律可以通过合同覆盖其他功能确定的剩余风险)。
9.随着业务的增长,您的系统应该能够扩展以添加其他用例
让你的用户登录到不同的系统是一个巨大的时间杀手。如果您需要筛选反贿赂风险,收集供应商多样性的文件,或测量供应商之间的环境影响,一个系统应该处理所有这些。
你的员工——以及你的供应商——将会感谢你。
10.集中风险管理
即使在您的组织中采购是分散的,风险管理,以及所有的风险领域,都应该在一个地方处理。
您绝对不希望每个区域都有不同的TPRM系统。在这个全球化的世界中,您的TPRM系统必须是多语言的,并了解您的供应商所在的每个地点的税务和银行验证。
此外,系统应该足够聪明,能够集成针对多方面风险的不同风险评分和因素,让您全面了解每个供应商/业务存在哪些风险。
问题d:尽职调查的多个数据源
11.即时的尽职调查
您的尽职调查和受限方筛选(OFAC)解决方案应该完全集成到您的入职系统中。现在是2020年,应该不需要手动复制和粘贴供应商、业务用户和数据源(如D&B)提供的信息到一个单独的系统。
此外,您的软件不仅应该主动从所有可用的和相关的来源获取数据,而且还应该能够在获取的数据上运行您的业务规则,以驱动输出。
例子:根据您的业务规则,能够访问加州客户数据的供应商将被自动发送到中间尽职调查,并针对越来越多的媒体来源、观察名单或限制名单进行筛选,甚至可能针对活跃的诉讼。如果出现“危险信号”,供应商记录将被推荐给分析师,由更资深的业务领导进一步检查和评估。
12.度风险管理
没有必要为每个审计业务重新审查供应商,但您不能完全忽略审查,因为新的审计业务可能需要比原来的审计业务更多的访问权限。
您的系统应该允许您捕获并自动标记任何“升级”,超出供应商已批准的范围。此外,类别管理人员可以选择定期检查升级,无论是业务级别的风险还是全面的风险。
额外收获:终极黑客
最终的破解方法是增加现有供应商的影响力。这不仅会降低你的风险,还会:
- 让你的经理更快地启动项目
- 为你的供应商提供激励,让他们为你更努力地工作,因为他们知道他们可能会与你有更多的生意
我最近和一位朋友聊天,他是一家五大科技公司的总经理,他告诉我,他对自己花10美元吃午餐的地方的了解,比他在一些卖主那里花100万美元还要多。如果你的TPRM解决方案能够让你从你的经理那里获得结构化的(季度/年度)评估和特别的“像yelp一样”的反馈,那不是很棒吗?
如果您的TPRM系统鼓励您的用户搜索现有的供应商,启用日志反馈和性能监视,并拥有行业领先的CLM,难道不是很有用吗?如果这一切都像是白日梦,那就深入挖掘吧。
未来已经来临,只是分布不均匀。
感谢优步(Uber)支付支付业务全球主管马克·阿里戈蒂(Mark Arrigotti);Dun & Bradstreet首席采购官Marc Goldberg;Linda Chuan, Box首席采购官;Jason Anderman, Etsy的助理总法律顾问;以及其他许多人对形成这些想法的富有洞察力的讨论。
讨论: