Les 3 principaux moteurs des programmes de gestion des risques liés aux fournisseurs

Les violations de données et de la vie privée étant de plus en plus souvent imputées à des vendeurs, des fournisseurs et d'autres tiers, la plupart des entreprises cherchent à lancer des programmes de gestion des risques liés aux vendeurs (VRM) ou à faire évoluer leurs programmes existants. Au cours des 15 dernières années de collaboration avec des centaines d'organisations, nous avons constaté que les programmes de gestion du risque fournisseur sont généralement motivés par l'un des trois objectifs suivants. Dans ce billet, nous allons décomposer ces objectifs et discuter des motivations de chacun d'entre eux.

1. VRM piloté par l'automatisation

Les programmes VRM centrés sur l'automatisation commencent généralement en réaction à une douleur personnelle, telle qu'une charge de travail trop lourde ou une trop grande complexité.

Ces programmes ont tendance à être défendus par une personne, souvent dans le domaine des achats, qui cherche à accélérer l'intégration des fournisseurs et la diligence raisonnable. L'évaluation des fournisseurs à l'aide de feuilles de calcul est souvent citée comme un problème, avec des échanges de courriels, des problèmes de contrôle de version et des processus incohérents qui créent des maux de tête pour toutes les personnes concernées.

Les initiatives de gestion des risques de vulnérabilité axées sur l'automatisation ont tendance à être davantage un projet qu'un programme. En tant que tel, il leur manque la supervision de programmes plus matures liés aux efforts de gouvernance, de risque et de conformité (GRC).

Les organisations dont les objectifs de GRV sont axés sur l'automatisation se caractérisent généralement par :

• Une approche ascendante, menée par une personne ou une petite équipe.
• Les processus manuels créent des maux de tête
• Le besoin de questionnaires simples et personnalisés
• Un nombre limité de fournisseurs
• Aucune visibilité existante sur les risques liés aux tiers
• Pas de mandat stratégique pour la gestion des risques et de la conformité des tiers.

Il n'y a rien de mal à commencer votre programme de gestion des risques liés aux fournisseurs ici. En fait, de nombreux programmes de gestion des risques liés aux fournisseurs commencent par éliminer les processus manuels qui peuvent laisser passer des failles dans les contrôles de sécurité et augmenter le risque de violation des données.

Les solutionsautomatisées d'évaluation du risque fournisseur peuvent contribuer à rationaliser et à accélérer ces programmes.

2. VRM axé sur la conformité

En remontant l'échelle de maturité, les programmes axés sur la conformité découlent de la nécessité de répondre à une ou plusieurs exigences réglementaires.

Lorsque vous travaillez avec des fournisseurs tiers pour gérer et traiter des données, cela ne signifie pas que votre organisation n'est plus responsable des risques de sécurité pour ces données. C'est pourquoi plusieurs réglementations gouvernementales et cadres industriels imposent des pratiques de gestion des risques liés aux tiers. En voici quelques exemples :

• AICPA SOC 2
• CCPA
• CMMC
• CSA CAIQ
• Directives de l'ABE sur l'externalisation
• FCA FG 16/5
• Manuel d'examen informatique de la FFIEC
• GDPR
• HIPAA
• ISO 27001/27002/27036-2
• NERC CIP
• NIST SP800-53 & CSF
• NY CRR 500
• Loi SHIELD de NY
• PCI DSS

C'est à ce moment-là que les organisations réalisent qu'elles ont besoin d'un programme, et non d'un projet. Seul un programme continu et structuré peut à la fois gérer de manière proactive le risque lié aux tiers et produire la documentation requise pour les audits externes et internes.

Les caractéristiques organisationnelles qui motivent ce type de programme sont les suivantes :

• Une approche intermédiaire, dictée par les exigences du gouvernement et/ou de l'industrie.
• A un mandat de conformité spécifique pour le VRM
• Utilisation actuelle de processus manuels pour évaluer un sous-ensemble de fournisseurs
• Les fournisseurs sont généralement classés en fonction des services critiques ou des dépenses.
• a une visibilité limitée des risques liés à la sécurité des informations de la chaîne d'approvisionnement
• Vous avez peut-être déjà un programme de base qui a besoin d'être mieux défini et structuré.

De nombreux règlements et cadres exigent une surveillance externe et continue des risques, en plus des évaluations périodiques des risques liés aux fournisseurs. Consultez le tableau sur notre page des capacités de conformité pour en savoir plus sur les exigences spécifiques en matière d'évaluations et/ou de surveillance. Pour plus de simplicité, Prevalent propose le questionnaire Prevalent Compliance Framework (PCF) qui vous permet de faire correspondre les réponses à un nombre quelconque de cadres réglementaires ou de contrôle, ce qui simplifie grandement le processus de rapport de conformité.

3. VRM axé sur le risque

Les programmes VRM les plus matures sont pilotés de haut en bas par des programmes de gestion des risques stratégiques, la conformité étant un sous-produit naturel de ces initiatives.

Les organisations qui ont des programmes de GRV axés sur les risques ont tendance à bien comprendre qui fait partie de leur écosystème de fournisseurs et peuvent généralement quantifier leur risque dans une certaine mesure. Elles entrelacent les cadres de gestion des risques liés aux fournisseurs avec des programmes plus larges de GRC/IRM, et elles s'assurent souvent les services de l'un des cinq grands cabinets d'audit pour l'externalisation ou la gestion du programme. Cependant, ces organisations se débattent encore souvent avec des processus manuels, des capacités d'analyse limitées et des silos qui peuvent entraver la prise de décision basée sur le risque.

Les caractéristiques typiques des programmes de GRV axés sur le risque sont les suivantes :

• Une approche descendante, motivée par une initiative commerciale stratégique.
• Un programme à grande échelle contre un projet tactique
• Un parrainage au niveau de la direction qui considère que la GRV fait partie intégrante de la gestion des risques.
• Les gestionnaires de risques maîtrisent le nombre de fournisseurs et sont capables de quantifier le risque.
• s'appuie encore souvent sur des processus manuels pour évaluer un pourcentage de vendeurs

Les programmes de gestion des risques liés aux fournisseurs véritablement axés sur les risques sont rares en dehors des grandes organisations hautement réglementées disposant de ressources, d'une vision et d'une échelle suffisantes. Ces programmes atteignent généralement des niveaux optimaux de maturité VRM grâce à une solution hybride composée d'une plateforme unifiée et automatisée de gestion des risques liés aux tiers, soutenue par des services d'évaluation et des services professionnels.

Les organisations de ce niveau vont souvent au-delà de l'évaluation et de la surveillance de base, en tirant parti de leurs solutions TPRM pour gérer les performances des fournisseurs, relever les défis liés à la confidentialité des données et effectuer des évaluations des risques internes.