Les 3 "capacités" de la gestion des risques liés aux tiers

Trois ingrédients sont essentiels à un programme TPRM bien conçu. Comment votre programme se positionne-t-il ?
Par :
Brenda Ferraro
,
Vice-président des risques liés aux tiers
27 novembre 2019
Partager :
Blog trois capacités nov 2019

Lors des séances de conseil avec les clients de Prevalent , nous commençons souvent par une évaluation de haut niveau des trois "capacités" qui définissent un programme efficace de gestion des risques de tiers: la répétabilité, la durabilité et l'évolutivité. Chacune de ces capacités représente des attributs uniques que votre équipe doit posséder lorsqu'elle établit les processus et les procédures pour gérer le risque de tiers à des niveaux acceptables. Examinons de plus près chaque capacité :

Répétabilité

La répétabilité consiste à développer un ensemble cohérent de règles - de la classification et de la catégorisation des fournisseurs à l'élaboration de réponses et à la mise en correspondance des risques et des contrôles. Le résultat d'un processus reproductible est que vous pouvez appliquer cet ensemble de règles à l'ensemble de vos fournisseurs au lieu de le faire individuellement. Il en résulte un ensemble prévisible d'actions, d'activités et de résultats. Lorsque vous envisagez la reproductibilité de votre programme de risque de tiers, sachez que :

  • La répétabilité est nécessaire pour la conformité - Plusieurs réglementations et cadres de conformité exigent que vous disposiez de processus pour reconnaître et traiter les risques conformément à des normes documentées.
  • Politiques, procédures et processuss doivent être définies et mesurés régulièrement et de manière cohérente
  • Les mesures sont utilisées pour l'amélioration continue du processus - Les risques changent constamment, vous devez donc avoir une répétabilité pour évaluer constamment ce qui constitue un risque.
  • Larépétabilité réduit lescoûts pour vous et vos tiers.

Durabilité


Les programmes tiers les plus durables reposent sur des données et des pratiques solides, capables de s'adapter à l'évolution des besoins de l'entreprise. Lorsque vous envisagez la durabilité de votre programme TPRM, assurez-vous que :


  • Les résultats sont pertinents - Des rapports clairs et cohérents peuvent révéler les risques immédiats et imminents, tout en suivant l'évolution des risques et des mesures correctives dans le temps.
  • Les informations conduisent à l'action - Vos sources d'information doivent conduire à des décisions fondées sur des données, avec des étapes suivantes claires.
  • Les risques sont gérés et l'activité est suivie - Concentrez-vous sur ce qui compte le plus, afin de pouvoir prendre des mesures si les données d'évaluation des fournisseurs ne sont pas correctement remplies, vérifiées ou validées.

Évolutivité


L'évolutivité consiste à faire plus avec les ressources dont vous disposez. Par exemple, si vous disposez d'un processus prévisible et programmatique pour classer et hiérarchiser les fournisseurs, vous pouvez collecter et analyser plus efficacement le contenu de l'évaluation des fournisseurs. Considérez ce qui suit :


  • Utiliser une solution/plateforme robuste - Elle peut fournir des renseignements fiables et précis sur les contrôles de sécurité internes et externes afin d'obtenir une image complète du risque.
  • Automatiser les processus manuels - Abandonnez les feuilles de calcul Excel et rationalisez les processus de flux de travail et les transferts dans la mesure du possible.
  • Veillez à ce que les rapports soient souples et exploitables - Les rapports doivent vous informer, vous et votre équipe, des principaux indicateurs de performance et de risque afin de déclencher les prochaines étapes appropriées.
  • Recherchez la transparence des risques - Exploitez les cartes thermiques et autres rapports pour évaluer la santé du programme ; assurez-vous de pouvoir identifier les risques commerciaux en fonction de la sélection des fournisseurs ; et évaluez vos pratiques de gouvernance et de gestion des risques d'une manière transparente pour l'entreprise et la direction.

Passez à l'étape suivante


Si vous vous interrogez sur la reproductibilité, la durabilité et l'évolutivité de votre programme TPRM, je vous recommande de vous adresser à l'un de nos spécialistes de la gestion des risques liés aux tiers, qui pourra vous guider dans une évaluation gratuite de la maturité, d'une durée d'une heure. Vous repartirez avec un rapport qui décrit précisément une feuille de route pour combler les lacunes de votre programme de gestion des risques liés aux tiers. Contactez-nous pour planifier cette évaluation dès aujourd'hui !

Tags :
Partager :
Leadership brenda ferraro 2
Brenda Ferraro
Vice-président des risques liés aux tiers

Brenda Ferraro possède plusieurs années d'expérience de première main dans la gestion des risques liés aux fournisseurs, aux services et aux entreprises de traitement des données. Dans sa quête pour réduire les risques liés aux tiers, elle a organisé une myriade de parties prenantes et conçu une approche pour gérer les risques, qui a été reconnue par les régulateurs et une multitude de centres d'analyse et de sécurité de l'information (ISAC). Dans son rôle avec Prevalent, Brenda travaille avec les entreprises pour construire des écosystèmes de solutions uniques qui éliminent les complexités de la gestion des risques des tiers par le biais d'une plate-forme, d'un cadre et d'une méthodologie de gouvernance communs, simples et abordables. Avant de rejoindre Prevalent, Brenda a dirigé des organisations dans le cadre de la normalisation des contrôles, de la réponse aux incidents, de l'amélioration des processus, de l'établissement de rapports basés sur des données et de la gouvernance dans des entreprises telles que Aetna, Coventry, Arrowhead Healthcare Centers, PayPal/eBay, Charles Schwab et Edwards Air Force Base. Elle est titulaire des certifications vBSIMM, CTPRP, ITIL et CPM.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo