L'intégration des fournisseurs consiste à leur retirer l'accès aux systèmes, aux données et à l'infrastructure de l'entreprise, et à s'assurer que les autres actions finales sont exécutées conformément au contrat. L'intégration des fournisseurs vise à assurer une transition en douceur et en toute sécurité, à minimiser les risques et les perturbations des activités de l'entreprise, et à protéger les informations sensibles.
De nombreuses organisations négligent l'importance d'un processus d'abandon sécurisé et programmatique, ce qui les expose à des risques futurs. Dans cet article, nous aborderons les points suivants :
N'oubliez pas de télécharger le Guide complet de diligence raisonnable pour l'intégration des fournisseurs pour obtenir des informations supplémentaires sur ce sujet, y compris un modèle de liste de contrôle en 40 étapes que vous pouvez utiliser pour améliorer votre processus d'intégration à partir d'aujourd'hui.
Il est essentiel d'intégrer correctement les fournisseurs dans la gestion des risques, d'autant plus que les équipes chargées de la sécurité, de l'approvisionnement et de la gestion des fournisseurs cessent de les superviser lorsque la relation prend fin. Un processus d'intégration incomplet ou mené à la hâte peut entraîner des pertes financières, des sanctions réglementaires et une atteinte à la réputation.
Une violation des données conservées par un fournisseur après la résiliation peut entraîner des problèmes de réputation, des frais juridiques et des constatations réglementaires. Il existe plusieurs exemples de la manière dont des processus incomplets de retrait des fournisseurs tiers ou des fournisseurs ont porté préjudice à des organisations.
La fin d'une relation avec un fournisseur peut entraîner des coûts supplémentaires. Par exemple, le fournisseur peut avoir négocié des frais de résiliation anticipée. En outre, votre organisation peut encourir des coûts pour identifier, sélectionner et intégrer un fournisseur de remplacement, tels que des frais de mise en service et de formation. Sans un processus de transition harmonieux, il peut y avoir des retards dans la réception des pièces, des produits et des services des nouveaux fournisseurs - ce qui, à son tour, peut perturber la capacité de votre organisation à fournir ses clients.
Des litiges concernant la propriété intellectuelle ou les paramètres de résiliation peuvent survenir si votre service juridique ne procède pas à un examen approfondi du contrat lors de la négociation et de chaque développement tout au long de la relation. Les frais juridiques peuvent être considérables en cas de litige sur le droit d'une organisation à mettre fin à un accord.
Il est important de maintenir de bonnes relations avec les fournisseurs, même en cas de résiliation d'un accord commercial. D'autres fournisseurs peuvent interpréter une mauvaise communication ou une mauvaise exécution du contrat avec un fournisseur comme la preuve qu'il est difficile de travailler avec votre entreprise. Cela peut également avoir un impact négatif sur vos relations avec d'autres fournisseurs existants ou des partenaires commerciaux potentiels.
Ces exemples montrent que les entreprises doivent évaluer un large éventail de risques commerciaux lorsqu'elles se défont de leurs fournisseurs.
Minimiser les risques après la fin du contrat
Téléchargez le Guide de diligence raisonnable pour l'intégration des fournisseurs afin d'évaluer votre programme par rapport à plus de 40 tâches d'intégration recommandées.
Les équipes chargées des achats, de la gestion des fournisseurs et de la sécurité considèrent souvent la gestion des risques liés aux tiers (TPRM) comme un exercice à réaliser avant d'intégrer un nouveau fournisseur. Il n'est donc pas étonnant que, dans de nombreuses entreprises, l'intégration des fournisseurs ne soit qu'une réflexion après coup. Alors que près de 90 % des entreprises suivent les risques dès les phases d'approvisionnement et de sélection, moins de 80 % d'entre elles suivent les accords de niveau de service (SLA) et les risques liés à l'externalisation à un stade ultérieur du cycle de vie de la relation. Si la diligence raisonnable dans la recherche et la sélection des fournisseurs est une activité importante, la mesure et la gestion des risques s'étendent tout au long de la relation avec un fournisseur. Cela inclut la gestion de la fin d'une relation avec un retrait complet du fournisseur.
Comme pour l'intégration des fournisseurs, le cloisonnement des connaissances peut rendre difficile l'identification de toutes les tâches nécessaires à la résiliation d'un contrat avec un fournisseur. L'approvisionnement peut informer un fournisseur qu'un contrat ne sera pas renouvelé, mais le service juridique doit examiner les termes du contrat et fournir des détails sur les étapes nécessaires à une résiliation en bonne et due forme. Dans certains cas, l'ingénierie peut avoir besoin d'identifier la propriété intellectuelle partagée avec le fournisseur. La fabrication et les opérations doivent confirmer les mesures à prendre pour éviter les arrêts de production. Le service financier doit identifier les factures ou les crédits en suspens dus par le fournisseur. La sécurité informatique doit s'assurer que les données sont détruites et que l'accès au système est révoqué. Sans coordination entre ces équipes, l'arrêt des activités est une tâche compliquée.
Il est plus facile de se concentrer sur les activités avec les nouveaux fournisseurs que sur ceux qui sont retirés. Pour atténuer les risques mentionnés ci-dessus, il est essentiel de faire preuve de rigueur lors du retrait d'un fournisseur. Pour ce faire, tous les membres de l'équipe qui interagissent avec le fournisseur doivent identifier les risques potentiels, convenir des mesures d'atténuation à prendre et suivre méticuleusement les progrès accomplis. Les méthodes manuelles de diligence raisonnable conduiront inévitablement à des tâches manquées et à des risques non résolus.
Le suivi des tâches dans des feuilles de calcul ou des documents partagés peut rendre le processus d'intégration incohérent et sujet à des erreurs. L'exhaustivité et l'exactitude d'une liste de tâches dépendent de l'expertise de chacun dans le processus d'intégration. Par exemple, un employé moins expérimenté peut négliger des tâches essentielles ou marquer à tort un élément comme étant complet sans la documentation complète du fournisseur. Les feuilles de calcul auxquelles plusieurs employés peuvent accéder manquent également de contrôles d'audit.
Un processus centralisé peut aider les équipes à automatiser l'intégration des fournisseurs, à s'assurer qu'elle est complète et à réduire les risques de manière efficace. Voici sept bonnes pratiques à suivre lors de l'intégration des fournisseurs :
Les équipes peuvent limiter les risques en maintenant les lignes de communication ouvertes avec le fournisseur tout au long du processus d'intégration. Il s'agit notamment d'informer les fournisseurs du calendrier d'intégration, de répondre à leurs questions et de leur fournir des instructions claires sur ce qui est attendu d'eux au cours du processus. Une solution qui centralise les interactions avec les fournisseurs, maintient les tâches et les calendriers et exige des flux de travail d'approbation réduira considérablement le travail manuel nécessaire pour traiter ces questions.
Examinez les clauses de résiliation du contrat pour vous assurer que vous avez le droit de mettre fin à la relation et, le cas échéant, que vous disposez des délais nécessaires pour le faire. Si vous résiliez le contrat en raison d'une violation des conditions contractuelles, assurez-vous que des avis ont été émis et que les droits du vendeur de remédier aux lacunes ont été respectés. Les équipes peuvent avoir modifié les conditions contractuelles au fil du temps. Un examen final avec le service juridique et le service des achats peut permettre d'identifier les modifications de la portée du contrat et de s'assurer que le fournisseur a fourni tous les biens et services prévus dans le contrat.
Enfin, passez en revue les indicateurs de performance clés, les livrables en attente et les paiements. Si le vendeur fournit des pièces, assurez-vous que les accords de garantie et d'assistance qui survivent à la résiliation sont clairs.
Après avoir examiné en détail les termes du contrat et identifié les obligations restantes pour les deux parties, assurez-vous de recevoir les derniers produits livrables et de planifier les paiements finaux. Veillez à inclure les crédits ou les retours dans le calcul des paiements, car il peut être difficile de les récupérer après avoir mis fin à la relation.
Les partenaires et les fournisseurs peuvent avoir besoin d'accéder à vos systèmes, tels que ceux utilisés pour les achats, l'ingénierie, le marketing et les données financières. Lorsque vous vous séparez d'un fournisseur, il est essentiel de mettre fin à son accès à votre propriété intellectuelle et à d'autres données sensibles. Il s'agit notamment de :
Certains employés du fournisseur peuvent avoir eu besoin d'un accès physique à vos bureaux ou à vos salles de serveurs. Désactivez les cartes-clés et les badges et veillez à ce que le fournisseur rende toutes les clés physiques. Il peut parfois s'avérer nécessaire de modifier les codes d'entrée des salles de serveurs. Travaillez avec vos équipes de sécurité physique pour vous assurer qu'un processus clair est en place pour gérer l'accès physique des fournisseurs.
Les fournisseurs ont souvent accès à des données sensibles qui peuvent être soumises à des exigences réglementaires telles que CCPALes fournisseurs ont souvent accès à des données sensibles qui peuvent être soumises à des exigences réglementaires telles que le GDPR, le PCI DSS et autres. Lors de l'intégration, alignez les procédures de résiliation de votre fournisseur sur vos obligations légales. Les plateformes tierces de gestion des risques intègrent des rapports qui s'alignent sur ces obligations réglementaires, ce qui simplifie le processus de mise en conformité.
Si le fournisseur possède des copies de vos données sensibles, celles-ci pourraient être exposées lors d'une violation ultérieure. Morgan Stanley n'a pas supervisé correctement le démantèlement des serveurs d'un tiers. Une violation ultérieure du tiers a exposé des informations personnelles et a entraîné une amende de 60 millions de dollars de la part de l'Office of the Comptroller of the Currency (OCC). Veillez à ce que toute la propriété intellectuelle et les données sensibles soient restituées. Une déclaration sous serment du fournisseur est également requise, indiquant que les copies électroniques sur l'infrastructure du fournisseur - y compris sur les appareils des employés - sont supprimées en toute sécurité. Examiner avec le fournisseur les obligations restantes, telles que les accords de confidentialité, de non-divulgation et de non-concurrence.
Toutes les résiliations ne sont pas définitives. Vous souhaiterez disposer d'un dossier clair sur l'historique du fournisseur avec votre organisation, y compris les indicateurs clés de performance (ICP) du fournisseur. Pour réduire les risques juridiques, documentez clairement les raisons de la résiliation de la relation et tenez une comptabilité complète des procédures de résiliation. Veillez à conserver des traces de toutes les communications, de tous les contrats et de tous les autres documents échangés entre votre organisation et le fournisseur, afin de pouvoir résoudre rapidement toute question ou tout problème à l'avenir.
Même si le contrat a été résilié et que toutes les tâches ont été accomplies avec succès, des risques pour vos systèmes et vos données, ainsi que des risques de conformité ou de réputation, peuvent encore apparaître longtemps après la fin de la relation. Une surveillance continue des différents vecteurs de risque permettra à votre équipe de disposer d'une visibilité étendue sur les risques potentiels à venir.
100 tâches essentielles d'intégration et de désintoxication
Téléchargez la liste de contrôle ultime pour l'intégration et l'exclusion des tiers afin de comprendre les éléments essentiels et les tâches requises pour intégrer et exclure les vendeurs et les fournisseurs en toute sécurité.
La gestion manuelle de l'intégration des fournisseurs au sein d'une grande organisation peut épuiser même les équipes de gestion des risques les mieux dotées en personnel. Bien que des mesures telles que la centralisation des données sur les fournisseurs et l'uniformisation des processus d'intégration dans l'ensemble de l'organisation puissent être utiles, la plupart des grandes organisations tirent un grand profit de l'utilisation d'une plateforme tierce de gestion des risques.
Une plateforme TPRM dédiée peut :
Vous souhaitez savoir comment Prevalent peut contribuer à réduire les risques lors de l'externalisation dans le cadre de votre cycle de vie plus large de la gestion des tiers ? Demandez une démonstration dès aujourd'hui.
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024