Étude 2021 sur la gestion des risques liés aux tiers : Que se cache-t-il sous la surface du risque Cyber ?

Si votre programme de gestion des risques des tiers (TPRM) se concentre uniquement sur la cybersécurité, vous n'avez qu'une vue partielle du risque - ce qui est généralement visible au-dessus de la ligne de flottaison. Mais bien d'autres risques existent sous la surface. Par exemple, savez-vous si vos fournisseurs respectent les accords de niveau de service ? Pouvez-vous évaluer la solidité de leurs politiques en matière d'éthique et de lutte contre la corruption (ABAC) ? Dans quelle mesure les partenaires de votre chaîne de fournisseurs sont-ils conscients de leurs responsabilités sociales et environnementales ?

Prevalent a récemment interrogé des décideurs de haut niveau sur les domaines d'intérêt, les parties prenantes et les défis de leur organisation en matière de gestion des risques de tiers. Notre objectif était de comprendre l'état actuel et réel des programmes de gestion des risques des tiers. Nous avons constaté que de nombreuses entreprises ont du mal à identifier les risques commerciaux susceptibles de nuire à leur réputation qui se cachent sous la surface de la cybersécurité.

Dans l'étude sur la gestion des risques liés aux tiers (Prevalent 2021), nous présentons les résultats complets de l'enquête et établissons des stratégies pour naviguer dans les eaux glacées des risques liés aux fournisseurs et aux vendeurs aujourd'hui. Ce post partage les principales conclusions de l'étude et donne des conseils pour étendre votre visibilité des risques tout au long du cycle de vie des tiers.

Principales conclusions de l'étude sur la gestion des risques liés aux tiers de 2021

Les résultats de l'étude de cette année font ressortir quatre observations principales :

Les organisations négligent des risques importants, à leurs risques et périls.

Deux des plus grands événements de 2020 - la pandémie de COVID-19 et les mouvements de justice sociale et raciale - n'avaient pas grand-chose à voir avec la cybersécurité, mais ont déclenché d'importantes activités liées au risque tiers. En fait, 83 % des personnes interrogées dans le cadre de l'étude ont déclaré que la pandémie avait incité leur organisation à se concentrer davantage sur les risques liés aux tiers. Cependant, alors que la pandémie a entraîné des défis sans précédent pour la gestion des risques de la chaîne d'approvisionnement et la gestion de la performance des fournisseurs, moins de la moitié des personnes interrogées suivaient activement les risques de la chaîne d'approvisionnement et de la performance.

Dans le même temps, les mouvements de justice en cours soulignent l'importance de travailler avec des partenaires qui ont des politiques solides en matière de diversité et d'ESG. Malgré cela, l'étude a révélé que peu d'entreprises suivent activement les risques liés aux normes de travail, à l'environnement et aux droits de l'homme.

Il faut prêter attention à davantage d'étapes du cycle de vie du risque lié aux tiers.

Toute relation d'affaires avec un tiers suit un cycle de vie qui s'articule autour des étapes suivantes : diligence raisonnable précontractuelle, conclusion d'un contrat, intégration, évaluation des risques, gestion des performances et désinsertion. Il est intéressant de noter que le défi numéro un cité par les répondants à l'étude est le manque de diligence raisonnable avant le contrat. Plus surprenant encore, 59 % des entreprises déclarent ne pas évaluer activement les risques liés aux tiers pendant l'externalisation, ce qui peut ouvrir la porte à des expositions de données et à des violations de la conformité. Besoin d'une preuve supplémentaire ? Il suffit de demander à Morgan Stanley.

Les équipes chargées des achats et des affaires se battent pour s'asseoir à la table du TPRM.

Lagestion des risques liés aux tiers a longtemps été le domaine des équipes informatiques et de sécurité. Notre étude le confirme, puisque 50 % des personnes interrogées déclarent que l'informatique et la sécurité s'approprient la TPRM dans leur organisation. Et 55% des organisations ont constaté une augmentation de l'appropriation par la sécurité au cours de l'année écoulée. Le problème, c'est que 22 % seulement ont constaté une augmentation de l'appropriation par les équipes d'achat. Cette tendance est préoccupante, car les risques se situent de plus en plus en dehors du domaine de responsabilité typique de la cybersécurité.

La plupart des organisations ne veulent pas s'attaquer seules au risque lié aux tiers.

70 % des personnes interrogées ont indiqué que l'externalisation est la méthode préférée pour gérer les risques liés aux tiers. Pourquoi ? Parce qu'un nombre choquant de praticiens (42%) utilisent encore des feuilles de calcul comme principal mécanisme d'évaluation des risques liés aux fournisseurs - et 65% ne sont pas satisfaits de cette approche. Les personnes interrogées ont également cité le besoin d'un plus large éventail de sources de renseignements sur les risques liés aux tiers comme étant la clé du succès de la TPRM.

Cliquez sur l'aperçu pour télécharger un PDF de l'infographie complète.

Recommandations pour maintenir votre programme de gestion des risques liés aux tiers à flot

Voici quatre (4) recommandations pour tracer une meilleure voie à travers les risques liés aux tiers :

#1 - Étendre les évaluations au-delà de la cybersécurité

Lagestion du risque fournisseur n'est pas seulement un problème de sécurité et de conformité. De nombreux types de risques peuvent avoir un impact sur la capacité d'une organisation à produire, gérer et distribuer des biens et des services. C'est pourquoi les équipes chargées de la sécurité et des affaires doivent travailler ensemble pour élargir le champ des évaluations des risques liés aux fournisseurs afin d'inclure deux domaines en plus de la cybersécurité :

1. Veille réputationnelle sur les actions en justice et les sanctions, les changements de dirigeants, les personnes politiquement exposées (PPE), les médias défavorables, les entreprises publiques, les violations de l'OFAC et autres indicateurs de problèmes potentiels de cybersécurité ou de conformité.
2. Informations financières comprenant les performances, le chiffre d'affaires, les profits et pertes, les fonds des actionnaires et d'autres indicateurs.

Recherchez des solutions qui normalisent les données de surveillance et les mettent en corrélation avec les résultats de l'évaluation des risques afin de faire remonter les risques potentiels et d'identifier les mesures correctives recommandées. L'intégration d'un large éventail de sources de renseignements sur les risques aidera les équipes chargées de la sécurité et des achats à prendre des décisions plus éclairées.

#2 - Combler le fossé entre les entreprises et les TI

Les approches disparates de l'évaluation des risques liés aux tiers laissent des lacunes - et les lacunes entraînent des risques. Vous pouvez unifier la sécurité informatique et les équipes commerciales avec une solution de plateforme TPRM qui fournit une source centrale pour tout, des profils des fournisseurs et des contrats aux résultats d'évaluation et aux rapports de conformité, en passant par les mesures de performance et les journaux de remédiation. Le fait de disposer d'une solution unique garantit que l'ensemble de l'organisation utilise les mêmes données pour prendre des décisions fondées sur les risques.

#3 - Gérer les risques à chaque étape du cycle de vie des tiers

Les problèmes de sécurité, de conformité et d'exploitation peuvent surgir à tout moment au cours d'une relation avec un vendeur ou un fournisseur. Il est donc important de traiter les risques à chaque étape du cycle de vie du tiers. N'oubliez pas de télécharger le rapport complet pour obtenir des conseils sur ce qu'il faut rechercher à chaque étape du cycle de vie des risques liés aux fournisseurs, notamment :

1. Recherche et sélection
2. Accueil et embarquement
3. Évaluation du risque inhérent
4. Évaluation des risques liés aux fournisseurs
5. Surveillance continue des risques
6. SLA et gestion des performances
7. Démission et résiliation

#4 - Externaliser les tâches difficiles

Les résultats de cette étude montrent que la méthode préférée de TPRM inclut l'externalisation à un certain niveau. Les experts en gestion des risques de tierce partie peuvent gérer le cycle de vie des fournisseurs en votre nom, depuis l'intégration des fournisseurs et la collecte des preuves jusqu'à l'examen des évaluations pour en vérifier l'exhaustivité, l'identification des risques et la fourniture de conseils de remédiation. Ainsi, vous pouvez naviguer en toute sécurité dans des eaux dangereuses en développant efficacement votre programme TPRM, en réduisant les risques liés aux fournisseurs et en simplifiant la conformité sans surcharger votre personnel interne.