企业有必要从供应商服务的范围角度来考虑需要如何采购去更有效的风险评估方法。对每一个企业来说，并不是所有的风险都是关键。

因此，企业应该根据自己所在的行业，首先识别企业自身特定的潜在风险，然后再进行高、中、低风险分级。

这有助于企业确定处置重要安全风险的优先顺序，确保企业基于重要标准来评估供应商。

对此，老师提供了一个好的参考框架。

（1）如果第三方发生泄密时，哪些信息带来的损失更大？这些信息中包括专利信息、客户财务信息、员工身份信息、其他第三方数据、财务和战略相关的信息等方面。

（2）评估这些风险需要考虑与供应商的交互性和依赖性。针对带来的潜在影响来准行分级。

具体可以按声誉损害、可能引起诉讼、经济处罚或损失，以及股东的不满等信息泄密后产生的影响分析。

这种风险识别和分析提供了一个更全面的评估方法，可以让企业能更好地评估供应商。

详细评估供应商的风险，应该考虑企业和供应商之间关系来定义风险类型。

（1）他们会访问企业的员工或客户数据吗？

（2）他们会和企业的系统进行网络对接吗？

（3）他们会和第三方或分包商交换企业的信息吗？

通过对上面三种情况的分析，企业可以对供应商的风险进行分级，可将风险分为5个级，极高、高、中、低和极低。

在改善和更新供应商风险管理的过程中，结合自定义的风险偏好去了解供应商服务风险是一个重要的步骤，有助于对最关键的供应商开展委托评估进行核查，从而确定预算。

首先，利用必要的资源选择评估方法执行评估。要考虑的三个最重要的资源：财务成本、时间投入和员工需要。

现场评估这种高资源投入方法是昂贵的，需要在现场投入多名专业人员，并且需要一段时间才会产生结果。因此企业应该只对高风险供应商采取这些方法。

对于其他供应商，可以委托评估，花费更少的资源，如调查问卷或供应商自我评估。

在完成对供应商和关键风险分级之后，开始评估供应商。这样才能确保企业对最有可能让我们发生泄密的供应商进行资源的投入。

这种灵活的和可扩展的框架可以应用于所有现前的和即将合作的供应商，优化资源，减轻企业的供应商风险。