Une gestion efficace des risques liés aux tiers (TPRM) exige non seulement de mesurer les pratiques et les contrôles internes d'un fournisseur, mais aussi de comprendre comment les facteurs externes peuvent avoir un impact sur son profil de risque. L'intégration de l'évaluation interne et externe avec la surveillance externe permet une gestion des risques plus holistique et coordonnée, et ces deux pratiques apparaissent fréquemment comme des exigences réglementaires.
Malheureusement, la plupart des outils de surveillance se concentrent uniquement sur les risques de cybersécurité et ne donnent qu'une partie de l'information. Vous trouverez ci-dessous cinq autres catégories de risques liés aux fournisseurs à surveiller, ainsi que cinq façons d'utiliser ces renseignements supplémentaires pour prendre de meilleures décisions fondées sur les risques.
L'élargissement de la portée de la surveillance "outside-in" commence par la reconnaissance du fait que les renseignements sur les fournisseurs peuvent profiter à des équipes autres que celles chargées de la sécurité informatique. Par exemple, un incendie dans une usine de fabrication, une visite de l'OSHA, de mauvais résultats financiers ou une enquête de la SEC sont des signaux d'alarme qui peuvent influencer les décisions d'achat. d'achat. Ces types de renseignements ne sont généralement pas disponibles dans les outils de surveillance de cyber . Dans ces conditions, voici cinq catégories de risques liés aux fournisseurs à prendre en compte, en plus des risques liés à la cybersécurité :
Les risques opérationnels peuvent découler de changements de direction ou de fusions et acquisitions qui modifient l'orientation stratégique d'une entreprise. Les partenariats et les relations avec les équipementiers peuvent fournir des alertes précoces sur les changements de prix ou sur une modification de la stratégie marketing, et les catastrophes naturelles ou les crises sanitaires peuvent affecter de manière significative les opérations.
Cela se produit lorsqu'un fournisseur doit rappeler des produits, est victime d'une violation de données ou subit un autre incident entraînant des relations publiques négatives ou une couverture médiatique défavorable. Ces événements peuvent également entraîner des pénalités financières et des mesures correctives qui peuvent affecter la capacité du fournisseur à fournir ses produits et services.
Les recours collectifs, les sanctions internationales (par exemple, OFAC, UE, ONU, BOE, FBI, BIS, etc.) et les procédures judiciaires de la FDA, de la FSA, de la SEC et d'autres organismes de réglementation peuvent retarder considérablement la livraison de produits et services de tiers. Ils peuvent également signaler la nécessité de prendre des mesures pour protéger votre entreprise contre la criminalité en col blanc, le blanchiment d'argent et les atteintes à la réputation.
Les événements financiers tels que les procédures de faillite, les pertes de clients, les manques à gagner, et tous les domaines évoqués précédemment peuvent entraîner la restructuration des fournisseurs et des interruptions de service.
Les risques de corruption et de pots-de-vin sont souvent négligés dans les évaluations de tiers. Il peut être préjudiciable pour votre entreprise d'être en relation avec des PPE, leurs familles et leurs associations, il est donc important d'avoir une visibilité sur cette vulnérabilité.
En raison de ces risques, il est essentiel de surveiller les événements commerciaux et financiers qui peuvent avoir un impact sur la chaîne d'approvisionnement. Cependant, il peut être complexe et long d'obtenir des données utiles, surtout lorsque vous vous fiez aux flux RSS, aux rapports de crédit périmés et aux sites Web d'information disparates. Prevalent Le Vendor Threat Monitor (VTM) peut vous aider.
Prevalent VTM suit et analyse en permanence les menaces externes pesant sur vos tiers. La solution ne se contente pas de surveiller l'Internet et le dark web à la recherche des menaces et des vulnérabilités cyber , elle passe également en revue plus de 530 000 sources de renseignements commerciaux et financiers sur vos fournisseurs. Ces informations vous permettent de compléter et de valider les réponses aux évaluations internes pour obtenir une vue à 360 degrés de la sécurité et de la conformité des tiers.
Dossier exécutif : comment obtenir davantage des scores relatifs aux risques des tiers
Découvrez comment élaborer un programme de surveillance des risques liés aux fournisseurs plus complet, plus exploitable et plus rentable.
Voici cinq façons dont les gestionnaires de risques, les praticiens de la sécurité et les spécialistes des achats peuvent tirer profit d'une approche plus complète de la surveillance des risques liés aux fournisseurs.
Un cas d'utilisation courant pour la surveillance des fournisseurs est de valider les résultats des évaluations des contrôles internes avec des informations provenant d'événements observables de l'extérieur. Par exemple, si un fournisseur apparaît sur une liste de surveillance réglementaire, vous pouvez corréler cet événement avec sa réponse à l'évaluation concernant cette réglementation spécifique. Cela vous permet de mieux anticiper les risques et de maintenir une défense plus proactive.
Les organisations de vendeurs ne sont pas statiques. Elles connaissent des changements de personnel et mettent en œuvre de nouvelles politiques et procédures. Une surveillance continue cyber, commerciale et financière peut fournir une visibilité sur les changements de risques importants entre les évaluations internes, qui sont souvent effectuées sur une base annuelle. L'intelligence de surveillance peut également déclencher des évaluations supplémentaires pour traiter les risques immédiats provisoires.
Le suivi fournit des informations sur les violations de données historiques, l'hygiène externe actuelle en matière de cybersécurité, la stabilité de l'entreprise, les notations financières et de crédit, les changements de dirigeants, les acquisitions et les procès importants pour les équipes d'achat qui cherchent à trouver des alternatives à faible risque pour leurs organisations.
Comme pour l'analyse précontractuelle, une surveillance continue peut signaler la santé commerciale d'une cible d'acquisition ou de partenariat. Ces renseignements peuvent inclure des événements et des rapports financiers, des actions réglementaires, des violations de conformité, des brèches, des changements de direction et des événements ayant un impact sur la réputation de la marque.
La surveillance peut être utilisée pour les opérations internes en plus des organisations externes. La surveillance des unités commerciales internes ou d'autres divisions commerciales peut donner lieu à des alertes précoces basées sur le bavardage sur cyber , les PEP ou d'autres risques dans le domaine public.
Lesévaluations des risques des fournisseurs fournissent des informations précieuses sur les contrôles internes de sécurité et de conformité. La surveillance continue réduit davantage le risque en rassemblant des informations provenant de milliers de sources externes et en appliquant l'apprentissage automatique pour révéler les tendances et les anomalies en matière de risque. En unissant les informations de surveillance commerciale et financière de cyber aux résultats des évaluations, vous pouvez gérer de manière proactive votre surface de risque tiers et obtenir "plus qu'un score" de votre solution de gestion du risque fournisseur.
Faisant partie de la plateforme de gestion des risques des tiersPrevalent , Vendor Threat Monitor est intégré à Vendor Risk Assessment. Toutes les données de surveillance et d'évaluation sont centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui vous permet de corréler rapidement les résultats et de rationaliser vos initiatives d'examen, de rapport et de réponse aux risques.
Pour en savoir plus sur la manière de maximiser la valeur de vos informations de surveillance continue, téléchargez la note de synthèse intitulée " How to Get More from Third-Party Risk Scores" ou demandez une démonstration dès aujourd'hui.
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024