Expertise Beyond the Numbers

招标书s: Mitigating Third Party Risk Starts at the Beginning

Lowest Qualified Bidder”, “最佳值报价” and other similar terms are often included in Requests for Proposals (招标书s). 这些声明向投标者发出信号,即建议书必须准确,不得以产品替代或在葡京官网上偷小偷小的目的压低投标价格. 合格的投标人,并考虑质量和成本有助于成功的采购结果. 

作为消费者,我们在评估装修项目的承包商时使用同样的逻辑. 雇佣一家信誉良好、能够提供高质量工作产品的公司是很重要的, 准时, at the price agreed upon. While simple in 概念, most consumers have experienced how rarely commitments on quality, 时间轴, 成本得到满足. 有经验的消费者可以证明,价格最低的承包商并不总是满足质量和/或及时性的期望. 许多人会认为,不可能以比其他承包商更低的成本立即雇佣到一个优秀的承包商, as displayed in the graphic below. 

相同的 概念 适用于 to 招标书s 企业 问题 当 具体的 需要出现. 通常情况下, 招标书s are very thorough. Bidders are asked 提供 细节 experience, references, qualifications, project plans, etc. A huge amount of focus is placed on determining whether a bidder can credibly provide the goods 或葡京官网s, and whether the 提出了 bid price is appropriate given the level of service and quality desired. 

Risk Consideration in Bidder Qualification  

随着越来越多的组织使用招标书过程来评估和管理第三方风险,一个问题开始出现. Many companies provide a template Master Agreement (MA), 概述条款和条件以及一份或多份与投标人资格相关的问卷. These can include disaster recovery, business continuity, information security, and data privacy within the 招标书. 当同样的审查水平适用于投标人的葡京官网质量时,差异就产生了, 或产品, 而建议价格很少适用于投标人遵守MA条款或问卷回答的有效性.

纳入rfp的第三方风险管理实践是否有违直觉地增加了第三方风险? Accepting supplier responses to existence or adherence to disaster recovery, business continuity, information security, 没有进行验证的数据隐私问题可能会奖励供应商美化的回答,并惩罚那些准确、诚实的供应商.   

How Unqualified Bidders Win 投标 

例如, 许多rfp要求投标人“接受客户的MA条款”,并注明不鼓励更改,可能会导致取消资格. 如果MA包含超过投标人当前承保范围的保险要求, 一个诚实的投标人会要求改变招标书的响应,即使他们知道这个请求可能会降低获得工作的可能性. 投标人携带少于要求的保险范围可能不要求更改,并希望买家不验证实际的保险要求. 在其他条件相同的情况下,不诚实的投标人将赢得招标书,使买方面临重大风险. 只有买方在投标过程中积极获取和审查保险证书,才会发现这一差距. 

Once the governance gap is apparent, 人们不禁想知道还有哪些其他要求或问题没有得到证实. 下面 are just a few of many representations bidders make 当 responding to 招标书s.  

  • 供应商或承包商是否在未经客户许可的情况下将工作转包?
  • 供应商或承包商是否定期正式测试其灾难恢复计划?
  • Do they test the plan annually as they claim? 承包商或供应商的雇员是否按要求完成了安全和数据隐私的培训?
  • 供应商是否有不合格的SOC 2报告或ISO270001认证? 

一个确认他们已经实施了最佳做法的投标者很可能会比一个正在升级系统和流程以满足最佳做法并相应地回答问题的供应商得到更高的评级. 但是,如果确认他们已经实施了最佳实践的投标方并没有正式拥有这些实践并可供验证,该怎么办呢? Would they be discovered? 如果不诚实的投标者没有被发现,您的组织可能正在增加第三方风险.  

Monitoring Third Parties is 值得的成本 

积极主动的组织定期核实第三方在整个关系中是否遵守合同条款和条件. Monitoring third parties has a cost, 但其成本远低于一次数据安全漏洞,后者可导致数十亿美元的市值蒸发. Collecting insurance certificates might be a logistical challenge, 但这比向没有投保的供应商索赔要容易得多. 验证供应商是否实施了数据隐私控制也是一项挑战, 但这比在供应商造成的数据隐私侵犯后被监管机构调查要容易得多.   

rfp是必要的,因为它是对投标人所做陈述的批判性评估. 仅代表是不够的,选择最低出价可能会增加风险. Trust but verify is the tone that will lead to a high-quality supplier base. These types of relationships are durable, mutually beneficial, and the most likely to generate value for the organization over the long term. Ultimately, even 企业 are not exempt from the consumer dilemma.   

If you would like to further discuss this topic or have any questions, please feel free to reach out to our Contract 合规 审计 葡京官网 团队 who will be happy to speak with you. You can also check out 我们的页面 for an overview of our services.