Alors que l'année 2022, chaotique et imprévisible, touche à sa fin et que la planification de 2023 bat son plein, c'est le moment idéal pour réfléchir à ce que l'année prochaine réserve à la gestion des risques liés aux fournisseurs et aux tiers. En utilisant les leçons que nous avons tirées des violations des droits des tiers de 2022, des perturbations continues des fournisseurs dues à Covid et à la guerre en Ukraine, et des nouvelles réglementations
introduites pour régir les relations avec les tiers, Prevalent a rassemblé quelques prédictions sur ce qui, selon nous, se produira l'année prochaine. Utilisez-les pour guider votre stratégie TPRM 2023.
L'interruption d'un fournisseur tiers ou d'un fournisseur peut être causée par un certain nombre de risques, tant logiques que physiques. Les organisations seraient bien avisées d'élargir la portée de leurs évaluations afin d'intégrer davantage de types de risques dans leur analyse.
PrevalentLe rapport annuel sur la gestion des risques liés aux tiers publié par la Commission européenne montre que seulement 40 % des entreprises tiennent compte à la fois des risques informatiques (p. ex., logiques) et non informatiques (p. ex., physiques) lorsqu'elles évaluent les vendeurs et les fournisseurs. Ce chiffre va augmenter en 2023, car davantage d'équipes s'impliquent dans la gestion des risques liés aux fournisseurs et aux vendeurs tiers, et le nombre de pannes de fournisseurs non liées à l'informatique entraîne des perturbations. Après tout, le risque d'un tiers ne se limite pas à son (manque de) contrôle informatique - les équipes doivent se demander si un fournisseur présente un problème de réputation, s'il peut payer ses factures à temps, si ses valeurs d'entreprise s'alignent et s'il répond aux attentes.
Comme les équipes chargées des achats, de la sécurité informatique et de la conformité ont toutes des besoins différents lorsqu'elles évaluent des tiers nouveaux ou existants, les fournisseurs devront mieux centraliser les sources de données disparates afin de présenter à ces équipes une vue cohérente et complète d'une multitude de risques.
L'étude 2022 sur la gestion des risques liés aux tiers
Mettez-vous sur la voie du succès en matière de gestion des risques de tiers grâce à des données, des analyses et des recommandations perspicaces issues de notre enquête auprès des praticiens de la gestion des risques de tiers dans le monde.
Les menaces évoluent trop rapidement pour que l'on puisse se fier à des évaluations statiques.
Un "échange" de gestion des risques par des tiers est un réseau d'évaluations des risques achevées que les fournisseurs acceptent de partager avec les clients sur demande. Un défi commun auquel sont confrontées les entreprises qui s'abonnent à un réseau de fournisseurs est qu'il faut parfois du temps pour qu'un fournisseur partage son évaluation, ce qui peut ralentir les processus d'évaluation des risques, par exemple au moment de l'intégration et du renouvellement du contrat.
Alors que les réseaux d'échange deviennent une source plus courante de fournisseurs stables et de confiance face aux menaces de perturbation constantes, les organisations voudront un accès immédiat aux renseignements sur les menaces des fournisseurs pour prendre des décisions plus rapides. En 2023, nous verrons les équipes exploiter des données passives continuellement mises à jour, telles que cyber menaces, les risques commerciaux et financiers, les profils démographiques, les brèches récentes, les informations sur la réputation et l'ESG, les écosystèmes des quatrième et neuvième parties et les résultats de conformité, de concert avec les évaluations des risques partagés du fournisseur. Ces données permettront aux équipes de voir immédiatement comment un tiers se situe par rapport à ses pairs dans le réseau, sur un large ensemble de données, sans avoir à obtenir l'approbation du fournisseur.
Cette approche d'analyse comparative accélérera considérablement les évaluations des fournisseurs et leur fournira le contexte dont ils ont tant besoin en ajoutant des données en temps quasi réel au processus. En outre, elle fera nécessairement évoluer les réseaux d'échange vers des réseaux de fournisseurs de confiance.
TPRM aidera à harmoniser les flux de travail et les automatisations pour des rapports SOC2 variés.
Les vendeurs et fournisseurs tiers fournissent de plus en plus souvent des rapports SOC 2 de type 1 et de type 2 en guise de preuves à la place ou à l'appui des évaluations. Ces rapports varient considérablement en termes de portée et de format, fournissant une évaluation relativement incohérente aux professionnels tiers à examiner. Bien que ces rapports d'audit indépendants constituent une étape vers la validation des risques, ils nécessitent une interprétation manuelle qui peut prendre du temps et être sujette à des erreurs.
En 2023, les organisations chercheront à automatiser l'analyse des rapports SOC 2 pour les traduire dans un format standardisé afin qu'ils puissent être traités comme toute autre évaluation des risques.
La boîte à outils TPRM SOC 2
Accédez instantanément à 4 ressources essentielles, dont un livre électronique de référence rapide, deux webinaires à la demande et une liste de contrôle de la conformité SOC 2 !
Un facteur de réussite essentiel pour tout programme TPRM est sa capacité à s'intégrer aux processus d'entreprise et aux technologies adjacentes.
Il faut vraiment un village pour gérer les risques - et les risques liés aux fournisseurs et aux vendeurs tiers ne font pas exception. Cependant, le manque d'intégrations significatives limite la valeur que les solutions TPRM apportent à l'entreprise.
En 2023, les entreprises rechercheront une source unique de vérité pour gérer les risques liés aux fournisseurs et aux vendeurs tiers, avec des intégrations plus complètes comblant les lacunes en injectant des données provenant d'autres systèmes (par exemple, inventaire, GRC, RFx, gestion du cycle de vie des contrats et événements) dans la plateforme TPRM centrale. Même si chaque système adjacent remplit une fonction spécifique dans laquelle la technologie excelle, les plates-formes TPRM deviendront le système d'enregistrement pour la gestion des risques, et l'intégration pour le plaisir de l'intégration deviendra de moins en moins pertinente.
Plusieurs publications sectorielles de premier plan ont sollicité le point de vue de Prevalentsur l'évolution de la gestion des risques liés aux tiers en 2023, notamment :
Ne manquez pas de lire nos commentaires sur l'ESG, l'abandon d'une approche annuelle et manuelle de la gestion des risques technologiques, l'évolution de la gestion des risques technologiques vers une approche basée sur le cycle de vie et les raisons pour lesquelles les informations géopolitiques seront de plus en plus accessibles dans les solutions de gestion des risques technologiques.
L'année à venir s'annonce passionnante pour les professionnels de la gestion des risques liés aux fournisseurs et aux fournisseurs tiers. Tenez compte de ces tendances lorsque vous préparez vos plans pour 2023.
Pour en savoir plus sur la façon dont Prevalent peut aider à automatiser et à ajouter de l'intelligence aux processus de gestion des risques liés aux tiers, contactez-nous ou planifiez une démonstration dès aujourd'hui.
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024