SH

Soloharness

概念 · 辨析 · Agent

← 返回概念辨析

Concept Contrast Fable

供应商尽职调查和第三方风险管理

供应商尽职调查是进门安检——签合同之前验一次对方的资质、证书和安全承诺。第三方风险管理是常驻巡逻——签了合同以后每天盯着供应商在变什么、证书快不快过期、子供应商有没有换人。把进门安检当成全部的安全策略,等于验了入场证就再也不查岗,供应商搬家了你都不知道。

寓言

进门安检和常驻巡逻

方姐的铺子专接大企业的数据处理订单。每一笔新合作她都要做一套进门安检:查对方的资质证书、数据保护承诺、服务器所在地、有没有安全事件记录。安检通过了,合同就签,供应商拿到入场证,双方开始干活。档案柜里塞满了签过的安检报告。

这项工作她做了三年,直到有一回一家常年供应商的数据中心换了托管方,新托管方把服务器迁到了另一个司法管辖区。方姐的铺子按合同规定,这个供应商的数据需要留在境内。问题是没人知道服务器搬了——因为安检只在签合同的当天做了一次,此后再没人复查。

客户的法务发来一份违规通知,方姐才发现自己手里的安检报告已是十八个月前的了。供应商没恶意,但安检不能保一辈子。她把这件事记在笔记本上:进门安检验的是那一刻供应商长什么样,但供应商会变,法规会变,机房会迁,证书会过期。验过不代表一直合格。

方姐招了一个风险管理员小林。小林的活和安检完全不同——他不负责签合同,他负责每天盯着所有合作中的供应商:谁的安全证书快过期了、谁的服务条款改了新版本、谁的子供应商换了人、监管机构有没有发新通令。小林的工作叫第三方风险管理,他的屏幕上有三十多个供应商的实时状态面板。

铺子里有人觉得小林多余:我们每个供应商进来时都验过了,花这个钱干什么。方姐把那张十八个月前签的安检报告拍在桌上,问了一个问题:这张纸值不值一个供应商在你睡着的时候搬出境外?没人再说话了。从那以后铺子预算里专门划了一条「持续监控费」,和「签约审计费」分开列。

小林来了一年后,铺子经历了一次重大供应商断供事件——那家供应商被收购了,新东家的政策不允许与某些行业合作。小林在收购消息出来当天就标记了这条风险,方姐提前一个月启动了替补供应商。客户甚至不知道发生了什么,他们只知道服务没断。那次替补的全部成本加起来是两万块,而如果断供三天赔偿金是三十万。

现在方姐接新客户时采购流程分成两段:第一阶段是进门安检,确认供应商能不能进门;第二阶段当场就转交给小林,确认进门后每天怎么盯。客户签合同前方姐会说清楚:我们在门口验一次,进门后每天跟——验一次保的是签约那一刻的干净,每天跟保的是合作期每一天的平安。

铺子门口换了新牌子,左边写「进门安检」,右边写「常驻巡逻」。方姐对新入职的人说:安检是拍一张照片存档,巡逻是装了一个持续亮着的探头。你自己想想,一座铺子的安全策略如果只有照片没有探头,出了事你会先骂谁。

供应商尽职调查

在签约前对供应商进行的单次评估,涵盖资质审查、安全认证、合规承诺和财务稳定性,目的是判断该供应商能否准入。

第三方风险管理

贯穿整个合作周期的持续性监控和风险治理流程,跟踪供应商的安全态势变化、合规状态更新和子供应链变动,确保签约后风险不失控。

故事对应

  • 进门安检(供应商尽职调查):签合同前验一次,确认能不能进门
  • 常驻巡逻(第三方风险管理):签合同后每天盯,确认门里的事没变味
  • 服务器迁到境外:安检只验了签约那一刻,持续监控缺位导致合规事故
  • 小林在收购当天标记风险:TPRM 的实时监控价值
  • 分段采购流程:安检交给签约团队,巡逻交给风险管理岗,流程不合并

落到 Soloharness 项目里

大客户做安全问卷时一定会问你们的第三方风险管理流程。如果你的回答只有「我们对每个供应商都做过尽职调查」,对方的安全团队会追一个问题:调查之后呢?你的答案里要有两个时间维度——签约前做了哪些检查,签约后多少天巡检一次、巡检哪些指标。两个维度都不空白,这份安全问卷才算及格。