Évitez ces 5 écueils de la gestion du risque lié aux fournisseurs

Même les programmes de gestion du risque fournisseur les plus matures peuvent être la proie de la complexité et d'une mauvaise planification. Utilisez cette liste de contrôle pour évaluer la situation de vos processus de gestion du risque fournisseur et les points à améliorer.
Par :
Brenda Ferraro
,
Vice-président des risques liés aux tiers
26 août 2020
Partager :
Blog 5 gotchas vrm 0820

Mon expérience de la mise en place de programmes de gestion des risques liés aux fournisseurs dans plusieurs entreprises m'a permis de constater qu'il existe cinq catégories d'écueils auxquels les équipes de gestion des risques doivent faire attention. Ces écueils vont de l'absence d'informations simples sur les contacts des fournisseurs au fait de ne pas présenter les bons indicateurs de risque au conseil d'administration. Chacun de ces problèmes peut entraîner des retards dans l'intégration, des risques manqués et des échecs de conformité s'ils ne sont pas traités immédiatement.

Pour vous aider à éviter certains des pièges que j'ai rencontrés, j'ai établi une liste de contrôle des questions à poser et des domaines à étudier.

1. Ne pas connaître l'univers de vos fournisseurs

Si vous ne savez pas qui sont vos vendeurs, comment pouvez-vous les évaluer ?

  • La liste de votre univers de fournisseurs est-elle complète ? Connaissez-vous vos vendeurs et le nombre total de vendeurs ?
  • Y a-t-il plusieurs départements qui intègrent les fournisseurs? (par exemple, des autorisations de 5 000 $ permettent à n'importe qui d'acheter un service).
  • Avez-vous les coordonnées de tous les vendeurs ?
  • Qui est le point de contact de l'entreprise ?
  • Qui assume le risque dans la relation avec le fournisseur ?
  • Comprenez-vous l'engagement avec le vendeur (par exemple, quel service il fournit) ?
  • Pouvez-vous "suivre les données" du service jusqu'à la Nième partie ?
  • Votre processus actuel donne-t-il l'impression que la gestion des risques liés aux fournisseurs est un obstacle au lieu d'être un catalyseur ?
  • Les décisions de sélection, d'intégration et de renouvellement sont-elles prises à partir de données sur le profilage, le risque inhérent et le risque résiduel?

2. Déficiences du programme

Si les contrôles indispensables ne sont pas en place, sur quoi porte l'évaluation?

  • Quels sont les critères utilisés pour prendre les décisions d'étagement ? Dépenses, engagement, tolérance au risque ?
  • Quels critères sont utilisés pour prendre des décisions de diligence raisonnable ? Par les données que le fournisseur traite (par exemple, données sensibles, confidentielles, exclusives) ou par la catégorie de services fournis ?
  • Comment identifiez-vous et révisez-vous les contrôles qui sont importants pour votre entreprise ?
  • Avez-vous mis en place un comité de pilotage pour vous aider à prendre des décisions ?
  • Qui sont les propriétaires du contrôle ?
  • Quel est le niveau de compétence du personnel interne ? Existe-t-il un cahier des charges pour les aider à gérer les processus et les incidents ?

3. Des exigences complexes en matière de diligence raisonnable

Vos évaluations sont-elles difficiles et coûteuses ?

  • Quel processus de gestion des entrées et des demandes avez-vous mis en place ? Courriel ? Comment les attributs importants des fournisseurs sont-ils saisis ?
  • Dans quelle mesure le processus de demande de fournisseurs est-il transparent ?
  • Combien de questionnaires différents sont utilisés pour évaluer les vendeurs ? Existe-t-il des possibilités de consolidation ?
  • Comment gérez-vous la surcharge d'informations ? Existe-t-il un processus permettant d'associer une réponse au questionnaire à une validation extérieure (par exemple, des scores ou des alertes de menace) ?
  • La diligence raisonnable est-elle utilisée dans le cadre des achats ou du sourcing pour la sélection des fournisseurs ?

4. Notation et disposition des risques peu claires

Comment harmonisez-vous les résultats du questionnaire et les renseignements sur les menaces des fournisseurs?

  • L'impact et la probabilité sont-ils pris en compte dans le calcul des scores de risque ?
  • Des seuils sont-ils en place pour identifier les risques qui nécessitent une attention particulière ? (L'alternative est que tous les risques sont examinés et nécessitent une réponse du fournisseur, ce qui entraîne des retards et du gaspillage).
  • Les recommandations de remédiation des risques et les délais sont-ils clairs pour toutes les parties - évaluateur, vendeurs, etc.
  • Comment les risques sont-ils suivis jusqu'à leur clôture ?
  • Y a-t-il des propriétaires identifiés pour les risques ?
  • Existe-t-il un processus ou un flux de travail d'exception/d'élimination ?
  • Existe-t-il un moyen de mesurer l'efficacité de la réduction des risques dans le temps ? (par exemple, existe-t-il des indicateurs de risque ou des jalons ?)

5. Pas de mesures ou de rapports sur les KPI et KRI

Si cela ne doit pas être signalé, comment changer la culture ?

  • L'organisation travaille-t-elle en silos ? Si c'est le cas, comment le reporting des risques comble-t-il le fossé ?
  • Quels sont les indicateurs clés de performance (ICP) mis en place pour mesurer l'efficacité du programme TPRM ou des vendeurs ?
  • Les objectifs de niveau de service sont-ils communiqués, compris et atteints ?
  • Des indicateurs clés de risque (ICR) sont-ils en place pour mesurer la réduction des risques en temps réel et les tendances dans le temps ?
  • Comment les risques sont-ils suivis et signalés ?
  • Le rapport est-il créé manuellement ? Si oui, qu'est-ce qui pourrait manquer ?
  • Quelles mesures et quel état des risques sont présentés au conseil d'administration ? Sont-ils utilisés pour soutenir les décisions fondées sur des données ?

Ces problèmes et questions ne sont certainement pas exhaustifs, mais ils représentent les pierres d'achoppement les plus courantes auxquelles de nombreux programmes de gestion des risques liés aux fournisseurs sont confrontés lorsqu'ils font évoluer leurs processus.

Téléchargez notre livre blanc, Navigating the Vendor Risk Lifecycle : Les clés du succès à chaque étape, pour plus de bonnes pratiques - ou demandez une démonstration pour discuter des exigences de votre programme avec nos experts.

Tags :
Partager :
Leadership brenda ferraro 2
Brenda Ferraro
Vice-président des risques liés aux tiers

Brenda Ferraro possède plusieurs années d'expérience de première main dans la gestion des risques liés aux fournisseurs, aux services et aux entreprises de traitement des données. Dans sa quête pour réduire les risques liés aux tiers, elle a organisé une myriade de parties prenantes et conçu une approche pour gérer les risques, qui a été reconnue par les régulateurs et une multitude de centres d'analyse et de sécurité de l'information (ISAC). Dans son rôle avec Prevalent, Brenda travaille avec les entreprises pour construire des écosystèmes de solutions uniques qui éliminent les complexités de la gestion des risques des tiers par le biais d'une plate-forme, d'un cadre et d'une méthodologie de gouvernance communs, simples et abordables. Avant de rejoindre Prevalent, Brenda a dirigé des organisations dans le cadre de la normalisation des contrôles, de la réponse aux incidents, de l'amélioration des processus, de l'établissement de rapports basés sur des données et de la gouvernance dans des entreprises telles que Aetna, Coventry, Arrowhead Healthcare Centers, PayPal/eBay, Charles Schwab et Edwards Air Force Base. Elle est titulaire des certifications vBSIMM, CTPRP, ITIL et CPM.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo