Mon expérience de la mise en place de programmes de gestion des risques liés aux fournisseurs dans plusieurs entreprises m'a permis de constater qu'il existe cinq catégories d'écueils auxquels les équipes de gestion des risques doivent faire attention. Ces écueils vont de l'absence d'informations simples sur les contacts des fournisseurs au fait de ne pas présenter les bons indicateurs de risque au conseil d'administration. Chacun de ces problèmes peut entraîner des retards dans l'intégration, des risques manqués et des échecs de conformité s'ils ne sont pas traités immédiatement.
Pour vous aider à éviter certains des pièges que j'ai rencontrés, j'ai établi une liste de contrôle des questions à poser et des domaines à étudier.
1. Ne pas connaître l'univers de vos fournisseurs
Si vous ne savez pas qui sont vos vendeurs, comment pouvez-vous les évaluer ?
- La liste de votre univers de fournisseurs est-elle complète ? Connaissez-vous vos vendeurs et le nombre total de vendeurs ?
- Y a-t-il plusieurs départements qui intègrent les fournisseurs? (par exemple, des autorisations de 5 000 $ permettent à n'importe qui d'acheter un service).
- Avez-vous les coordonnées de tous les vendeurs ?
- Qui est le point de contact de l'entreprise ?
- Qui assume le risque dans la relation avec le fournisseur ?
- Comprenez-vous l'engagement avec le vendeur (par exemple, quel service il fournit) ?
- Pouvez-vous "suivre les données" du service jusqu'à la Nième partie ?
- Votre processus actuel donne-t-il l'impression que la gestion des risques liés aux fournisseurs est un obstacle au lieu d'être un catalyseur ?
- Les décisions de sélection, d'intégration et de renouvellement sont-elles prises à partir de données sur le profilage, le risque inhérent et le risque résiduel?
2. Déficiences du programme
Si les contrôles indispensables ne sont pas en place, sur quoi porte l'évaluation?
- Quels sont les critères utilisés pour prendre les décisions d'étagement ? Dépenses, engagement, tolérance au risque ?
- Quels critères sont utilisés pour prendre des décisions de diligence raisonnable ? Par les données que le fournisseur traite (par exemple, données sensibles, confidentielles, exclusives) ou par la catégorie de services fournis ?
- Comment identifiez-vous et révisez-vous les contrôles qui sont importants pour votre entreprise ?
- Avez-vous mis en place un comité de pilotage pour vous aider à prendre des décisions ?
- Qui sont les propriétaires du contrôle ?
- Quel est le niveau de compétence du personnel interne ? Existe-t-il un cahier des charges pour les aider à gérer les processus et les incidents ?
3. Des exigences complexes en matière de diligence raisonnable
Vos évaluations sont-elles difficiles et coûteuses ?
- Quel processus de gestion des entrées et des demandes avez-vous mis en place ? Courriel ? Comment les attributs importants des fournisseurs sont-ils saisis ?
- Dans quelle mesure le processus de demande de fournisseurs est-il transparent ?
- Combien de questionnaires différents sont utilisés pour évaluer les vendeurs ? Existe-t-il des possibilités de consolidation ?
- Comment gérez-vous la surcharge d'informations ? Existe-t-il un processus permettant d'associer une réponse au questionnaire à une validation extérieure (par exemple, des scores ou des alertes de menace) ?
- La diligence raisonnable est-elle utilisée dans le cadre des achats ou du sourcing pour la sélection des fournisseurs ?
4. Notation et disposition des risques peu claires
Comment harmonisez-vous les résultats du questionnaire et les renseignements sur les menaces des fournisseurs?
- L'impact et la probabilité sont-ils pris en compte dans le calcul des scores de risque ?
- Des seuils sont-ils en place pour identifier les risques qui nécessitent une attention particulière ? (L'alternative est que tous les risques sont examinés et nécessitent une réponse du fournisseur, ce qui entraîne des retards et du gaspillage).
- Les recommandations de remédiation des risques et les délais sont-ils clairs pour toutes les parties - évaluateur, vendeurs, etc.
- Comment les risques sont-ils suivis jusqu'à leur clôture ?
- Y a-t-il des propriétaires identifiés pour les risques ?
- Existe-t-il un processus ou un flux de travail d'exception/d'élimination ?
- Existe-t-il un moyen de mesurer l'efficacité de la réduction des risques dans le temps ? (par exemple, existe-t-il des indicateurs de risque ou des jalons ?)
5. Pas de mesures ou de rapports sur les KPI et KRI
Si cela ne doit pas être signalé, comment changer la culture ?
- L'organisation travaille-t-elle en silos ? Si c'est le cas, comment le reporting des risques comble-t-il le fossé ?
- Quels sont les indicateurs clés de performance (ICP) mis en place pour mesurer l'efficacité du programme TPRM ou des vendeurs ?
- Les objectifs de niveau de service sont-ils communiqués, compris et atteints ?
- Des indicateurs clés de risque (ICR) sont-ils en place pour mesurer la réduction des risques en temps réel et les tendances dans le temps ?
- Comment les risques sont-ils suivis et signalés ?
- Le rapport est-il créé manuellement ? Si oui, qu'est-ce qui pourrait manquer ?
- Quelles mesures et quel état des risques sont présentés au conseil d'administration ? Sont-ils utilisés pour soutenir les décisions fondées sur des données ?
Ces problèmes et questions ne sont certainement pas exhaustifs, mais ils représentent les pierres d'achoppement les plus courantes auxquelles de nombreux programmes de gestion des risques liés aux fournisseurs sont confrontés lorsqu'ils font évoluer leurs processus.
Téléchargez notre livre blanc, Navigating the Vendor Risk Lifecycle : Les clés du succès à chaque étape, pour plus de bonnes pratiques - ou demandez une démonstration pour discuter des exigences de votre programme avec nos experts.