3 clés pour atteindre l'objectif de maturité du risque lié aux tiers

Je suis sûr que vous avez entendu toutes les métaphores utilisées pour décrire la maturation d'un programme de gestion des risques liés aux tiers: "C'est un voyage !" "C'est un marathon, pas un sprint !" "Il faut un village !" Quelle que soit la façon dont vous décrivez votre programme TPRM, le conseil d'administration et la direction de votre organisation doivent savoir que vous pouvez réduire les risques liés aux tiers à des niveaux acceptables. D'après mon expérience, pour y parvenir, il faut réunir les " trois T " : Talent, Outils et Techniques. Merci à l'un de mes directeurs de la sécurité préférés d'avoir partagé ce concept avec moi (vous savez qui vous êtes !).

Pour atteindre la maturité en matière de risques liés aux tiers, il faut un bon mélange de talents, de technologies et de techniques.

Talent

Qu'est-ce qui fait une bonne équipe de gestion des risques de tiers ? Je pense que c'est une équipe qui ...

• comprend l'entreprise étendue, sachant que la surface de risque s'étend au-delà des fournisseurs directs et des tiers, jusqu'aux quatrième et neuvième parties avec lesquelles ils font des affaires ;
• passe de l'évaluation des risques à la gestion des risques, car vos évaluations ne sont que des notes creuses si vous ne parvenez pas à ramener les risques identifiés à des niveaux acceptables ;
• réagit aux incidents et aux tendances sur la base d'un modèle reproductible, durable et évolutif qui s'appuie sur les bons outils (voir ci-dessous) ;
• améliore continuellement ses processus pour rester agile face à l'évolution des risques ; et,
• communique bien avec les fournisseurs tout en négociant efficacement afin de s'assurer que les contrôles clés sont correctement appliqués pour réduire les risques.

Outils

Si le mot " outil " déprécie les solutions, plateformes et technologies conçues pour aider à gérer le risque tiers, il fonctionne avec le thème des " Ts " 😉 . Les bonnes solutions offrent ...

• desrapports de renseignements sur les menaces pour aider les équipes d'assurance à s'orienter vers les menaces les plus importantes et à déterminer rapidement les bonnes mesures à prendre ;
• desévaluations de questionnaires standard et non standard pour offrir une plus grande visibilité organisationnelle des contrôles internes de vos fournisseurs, ainsi que la possibilité de recommander des mesures correctives ;
• unsuivi normalisé des services (ITIL ou autre) afin que votre équipe dispose d'un langage prévisible et programmatique à utiliser avec les fournisseurs,
• gestion des fournisseurs d'approvisionnement pour vous aider à prendre le devant du cycle de vie de l'évaluation.

Techniques

Le dernier "T" signifie Techniques, c'est-à-dire les processus, politiques et procédures qui permettent à votre programme de fonctionner efficacement. Les bonnes techniques comprennent ...

• une politique de gestion des risques liés aux tiers qui complète ce qui peut figurer dans votre contrat de service principal (MSA) ou votre accord d'association commerciale (BAA), en détaillant les attentes internes et externes spécifiques en matière de gestion des risques ;
• descontrôles clés et des recommandations en matière de risques qui alignent les gestionnaires de risques et les fournisseurs sur un seul ensemble de normes et d'attentes (ce qui permet inévitablement de gagner du temps et d'éliminer les maux de tête) ;
• des processus de risques profilés, inhérents et résiduels qui sont clairement conçus et définis ;
• l'habilitation adaptative pour conduire les améliorations des processus internes et externes qui conduisent à un haut niveau de maturité de la sécurité,
• desrapports et une gouvernance des processus qui évaluent en permanence vos principales performances et vos risques, tout en révélant l'intelligence nécessaire pour prendre des décisions fondées sur des données.

Sur quel T devez-vous vous concentrer en premier ?

C'est en quelque sorte une question piège. Si vous disposez d'un programme établi de gestion des risques liés aux tiers, il s'agit alors de déterminer quel domaine nécessite le plus d'aide pour équilibrer les choses. Vous disposez peut-être de quelques outils (peut-être sous-utilisés), mais il vous manque les personnes ou les processus pour les soutenir. Vous avez peut-être des personnes formidables, mais pas d'outils ou de processus bien définis pour les soutenir. Ou encore, vous disposez peut-être d'un excellent processus sans l'équipe ou les outils adéquats pour l'exécuter.

En revanche, si vous en êtes aux premiers stades de votre programme, le mieux est de commencer par les "techniques". Posez les bases du programme avec des processus et des procédures solides, et vous pourrez ensuite constituer une équipe d'experts et les soutenir avec les bons outils.

Les trois T doivent être présents pour atteindre la cible de la maturité du risque tiers. Pour en revenir à mes métaphores du début de ce blog, il s'agit d'un voyage unique à votre organisation. Il vous faudra peut-être quelques années pour y arriver, mais la bonne combinaison de personnes, de processus et de technologies vous permettra d'accélérer le processus.

Si vous êtes curieux de savoir dans quelle mesure vos talents, outils et techniques soutiennent vos efforts en matière de risque de tiers, je vous recommande de vous adresser à l'un de nos spécialistes de la gestion du risque de tiers pour une évaluation complémentaire de la maturité d'une heure. Cette session donnera lieu à un rapport présentant une feuille de route spécifique pour combler les lacunes de votre programme de gestion des risques liés aux tiers.

Contactez-nous pour programmer votre évaluation personnalisée de la maturité TPRM dès aujourd'hui !