Meilleures pratiques en matière de gestion du risque fournisseur : 7 étapes essentielles à la création d'un programme SRM proactif

La plupart des responsables des achats et des fournisseurs se heurtent à des processus manuels et à des outils incohérents pour atténuer les risques liés aux fournisseurs. Utilisez ces meilleures pratiques pour surmonter vos difficultés en matière de SRM.
Par :
Scott Lang
,
VP, Marketing produit
11 novembre 2022
Partager :
Livre blanc sept étapes srm 1022

Considérez les scénarios suivants : Une attaque sur cyber met hors ligne un fournisseur clé, ce qui empêche votre entreprise de produire des biens. Des licenciements chez un fournisseur informatique entraînent une diminution de la surveillance des contrôles de sécurité et de la protection des données. Une catastrophe naturelle ou un événement géopolitique perturbe votre chaîne d'approvisionnement, retardant la sortie d'un nouveau produit. Un tiers essentiel est cité et condamné à une amende pour un manquement à l'éthique, ce qui entraîne des problèmes de réputation "par association" pour votre entreprise.

Chacun des risques liés aux fournisseurs mentionnés ci-dessus peut entraîner des dépassements de coûts, compromettre les revenus et nuire à la confiance des clients. Si ces risques font l'objet d'un suivi, c'est en vase clos, ce qui oblige les entreprises à réagir en cas de perturbation. Comment vos équipes de gestion des achats et des fournisseurs peuvent-elles anticiper les risques liés aux fournisseurs avant qu'ils n'affectent votre organisation ? Voici sept façons d'obtenir une visibilité et un contrôle proactifs des risques à chaque étape de la relation avec le fournisseur.

1. Intégrer l'évaluation des risques dans la recherche et la sélection des fournisseurs

Compte tenu de la complexité de l'environnement commercial actuel, il est risqué de baser la recherche et la sélection desfournisseurs uniquement sur l'adéquation technique. uniquement sur l'adéquation technique est une proposition risquée. Il est désormais essentiel pour les équipes d'approvisionnement et de sourcing de confirmer également si le profil de risque d'un fournisseur potentiel est acceptable. Cela signifie qu'il faut évaluer plusieurs dimensions du risque, notamment

  • Données démographiques : Le fournisseur se trouve-t-il dans une région sujette aux catastrophes naturelles ou à l'instabilité géopolitique ?
  • L'écosystème des quatrièmes parties : Quelles quatrième et Nième parties le fournisseur s'appuie-t-il sur ?
  • Cybersécurité : le fournisseur a-t-il été victime d'une violation et, si oui, quel type de données a été touché ? Quelle a été sa réponse ?
  • Affaires et finances : Le fournisseur a-t-il fait récemment l'objet d'une fusion ou d'une acquisition ? Leurs antécédents financiers ou de crédit suscitent-ils des inquiétudes ?
  • Conformité : Le fournisseur a-t-il été signalé pour des violations de la confidentialité des données, de l'environnement, du social et de la gouvernance, de la corruption ou de l'OFAC ? A-t-il fait l'objet de sanctions ?
  • Réputation : le fournisseur a-t-il été critiqué par les médias ou d'autres moyens de communication publique ?

En recherchant des informations sur les risques dès le début, vous pouvez comparer les fournisseurs potentiels au-delà de l'adéquation technique et établir un niveau de risque de base pour chaque fournisseur que vous sélectionnez.

2. Inclure des dispositions fondées sur le risque dans les contrats des fournisseurs

Assurez-vous de reporter les résultats de la diligence raisonnable de la phase de recherche et de sélection dans le cycle de vie du contrat. Incluez des dispositions relatives aux principaux risques dans vos contrats avec les fournisseurs et tirez parti d'une solution automatisée de gestion du cycle de vie des contrats:

  • Rationalisez chaque étape du cycle de vie des contrats grâce à des capacités d'automatisation des flux de travail.
  • Gardez une trace des attributs clés tels que les dates, les valeurs, les rappels et les statuts.
  • Rationalisez les approbations grâce à des rappels, des avis de retard et d'autres fonctions de gestion des tâches.
  • Assurer la visibilité grâce au suivi des discussions, à la gestion des documents et au contrôle des versions.

Les dispositions contractuelles doivent prévoir le moment de la notification des incidents et exiger un avertissement préalable des événements susceptibles d'avoir un impact sur les relations avec les fournisseurs, afin que vous puissiez préparer des plans d'urgence suffisants.

3. Restez au courant des indicateurs clés de performance (KPI) et des indicateurs clés de rendement (KRI).

Communiquer efficacement sur le risque fournisseur et son impact commercial potentiel peut s'avérer difficile. La mesure et le suivi des indicateurs clés de performance (KPI) et des indicateurs clés de risque (KRI) sont essentiels au processus SRM, mais les feuilles de calcul lourdes et les tableaux de bord trop détaillés peuvent empêcher les décideurs de "voir la forêt pour les arbres".

Pour apporter un peu de clarté sur les KPI et les KRI, Prevalent a créé un eBook et une carte de score qui :

  • Clarifie la différence entre KPIs et KRIs
  • Identifie quatre catégories de paramètres fournisseurs à mesurer
  • Priorise 25 indicateurs clés de performance (KPI) et indicateurs clés de performance (KRI) recommandés pour les fournisseurs, à présenter au conseil d'administration et à la direction.

eBook : 25 KPI et KRI pour la gestion des risques liés aux tiers

Les 25 KPI et KRI les plus importants pour la gestion des risques liés aux tiers vous mettront sur la voie d'une communication plus efficace concernant votre programme TPRM.

Télécharger maintenant
Les 25 principaux KP Is et KR Is pour la gestion des risques liés aux tiers (GRC) En bref

4. Adopter une approche cohérente de la hiérarchisation et de la catégorisation des fournisseurs

Tous les fournisseurs ne requièrent pas le même niveau d'examen, aussi la hiérarchisation et la catégorisation des fournisseurs en fonction du risque vous aideront à hiérarchiser et à étendre vos initiatives d'évaluation et de surveillance des risques.

Pour une approche plus structurée, envisagez de regrouper vos fournisseurs en fonction de trois catégories de risques:

  • Risque profilé : Pour commencer, regroupez vos fournisseurs en fonction du risque profilé, qui est le risque associé au secteur d'activité de chaque groupe, à sa criticité pour les performances de l'entreprise, à sa localisation et à d'autres facteurs de haut niveau. Cela peut être réalisé en menant une enquête rapide auprès des responsables des fournisseurs internes.
  • Risque inhérent : il s'agit du niveau de risque spécifique de chaque fournisseur avant de prendre en compte les contrôles requis par votre organisation. Utilisez les questionnaires des fournisseurs pour recueillir des informations sur leur niveau d'accès à vos opérations et à vos données, leurs processus de sécurité interne, leur dépendance à l'égard des quatrième et neuvième parties, leurs obligations légales et réglementaires et d'autres facteurs propres à l'entreprise. Les risques qui en résultent doivent être évalués en fonction de leur probabilité et de leur impact sur l'entreprise.
  • Risque résiduel : En disposant d'un score de risque inhérent de base, vous pouvez ensuite calculer le risque résiduel, c'est-à-dire le niveau de risque restant après l'application des contrôles. Vous serez en mesure de déterminer le risque résiduel après avoir travaillé en étroite collaboration avec chaque fournisseur pour remédier ou atténuer les problèmes identifiés au cours du processus d'évaluation.

La hiérarchisation et la catégorisation doivent être effectuées de manière cohérente afin d'obtenir une image précise de votre exposition aux risques liés aux tiers, d'éclairer les contrôles préalables ultérieurs et de garantir que les fournisseurs sont évalués en fonction des risques et des normes les plus importants pour votre entreprise.

5. Consacrer les bonnes ressources à l'évaluation des risques liés aux fournisseurs

L'évaluation précise et complète du risque lié à vos fournisseurs nécessitera probablement la participation d'experts de plusieurs disciplines au sein de votre entreprise, notamment la gestion des fournisseurs, les achats, la sécurité informatique, la conformité et la confidentialité, sans oublier vos contacts avec les fournisseurs. Une plateforme SRM centralisée peut vous aider en fournissant des évaluations du risque fournisseur automatisées et pertinentes qui réduisent considérablement le travail manuel tout en ralliant les parties prenantes internes et externes autour d'un processus unique et cohérent.

Lorsqu'il s'agit de choisir des questionnaires d'évaluation des risques, vous devez tenir compte de deux facteurs principaux :

Quel que soit le contenu ou la méthode de collecte que vous utilisez, assurez-vous d'avoir une stratégie de remédiation pour agir sur les résultats de l'évaluation. Il ne sert à rien de procéder à des évaluations des risques si vous n'avez pas la volonté (ou la capacité) d'aller jusqu'au bout.

6. Surveiller en permanence les risques liés aux fournisseurs

À tout moment, des entreprises peuvent faire faillite, de nouveaux produits peuvent être lancés, ou des fusions et acquisitions peuvent avoir lieu. Les évaluations par questionnaire sont essentielles pour recueillir des données auprès des fournisseurs à des moments précis, mais de nouveaux risques feront inévitablement surface entre les évaluations périodiques.

Vous pouvez combler les écarts entre les évaluations, maintenir les scores de risque à jour et précis, et savoir quand une enquête plus approfondie est nécessaire en tirant parti d'une solution de surveillance continue des risques pour analyser les sources publiques et privées de renseignements sur les fournisseurs :

  • Cyber les risques, tels que les violations de données, la fuite d'informations d'identification et la présence de données d'entreprise sur le Dark Web.
  • Actualités commerciales, telles que les activités de fusion et d'acquisition et les mises à jour opérationnelles.
  • Mises à jour financières, telles que les déclarations publiques, les rapports annuels et les comptes de pertes et profits.
  • Questions de réputation, telles que les médias défavorables et les cadres figurant sur les listes de personnes politiquement exposées (PPE).
  • Violations de conformité, sanctions, entreprises d'État et autres conflits d'intérêts

S'il y a une meilleure pratique dans ce post qui aidera les équipes d'achats et de fournisseurs à devenir plus proactives, c'est bien celle-là. Vous devez non seulement exploiter les données de surveillance continue pour valider et mettre à jour les conclusions de l'évaluation, mais aussi rechercher une solution SRM qui intègre les capacités de surveillance et d'évaluation pour une efficacité et une visibilité maximales.

7. N'oubliez pas le risque d'exclusion

Le risque que représente un fournisseur pour votre entreprise ne s'évapore pas simplement lorsque le contrat prend fin ou est résilié. Un fournisseur qui détient des données sensibles doit les restituer et/ou les détruire de manière sécurisée ; les obligations de support peuvent durer plus longtemps que le contrat d'achat ; et les organisations doivent s'assurer que tout accès du fournisseur aux systèmes internes est supprimé.

Les principaux éléments à prendre en compte dans votre stratégie d'intégration des fournisseurs sont les suivants :

  • Évaluation centralisée des contrats afin de s'assurer que les engagements finaux sont respectés.
  • Flux de travail pour l'intégration afin d'obtenir l'approbation de toutes les parties prenantes internes avant la signature finale.
  • Rapports pour valider la conformité

Bien que cela puisse sembler évident, l'étude Prevalent a révélé que 43 % des entreprises n'évaluent pas activement les risques liés aux fournisseurs lors de l'externalisation.

Construire un programme de gestion du risque fournisseur plus proactif

Notre guide des meilleures pratiques fournit un aperçu normatif pour maîtriser le risque lié aux fournisseurs, de l'intégration à l'exclusion.

Lire la suite
Fonctionnalité 7 étapes srm proactive

Télécharger le guide des meilleures pratiques

Pour mesurer votre processus actuel de gestion du risque fournisseur par rapport aux meilleures pratiques, téléchargez Sept étapes vers un programme plus proactif de gestion du risque fournisseur. Le guide examine :

  • Les caractéristiques d'un programme mature et proactif de gestion des risques fournisseurs (SRM)
  • Comment les différents risques doivent être gérés à chaque étape de la relation avec le fournisseur.
  • Principales fonctionnalités à rechercher dans une solution qui prend en compte plusieurs types de risques liés aux fournisseurs
  • Des cas d'utilisation réels pour des entreprises qui ont relevé avec succès leurs défis en matière de SRM.
  • Conseils et astuces pour obtenir l'adhésion de l'ensemble de l'entreprise

Contactez-nous dès aujourd'hui pour programmer une démo où nous vous montrerons comment faire passer votre programme SRM de réactif à proactif.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo