Les violations de données et de la vie privée étant de plus en plus souvent imputées à des vendeurs, des fournisseurs et d'autres tiers, la plupart des entreprises cherchent à lancer des programmes de gestion des risques liés aux vendeurs (VRM) ou à faire évoluer leurs programmes existants. Au cours des 15 dernières années de collaboration avec des centaines d'organisations, nous avons constaté que les programmes de gestion du risque fournisseur sont généralement motivés par l'un des trois objectifs suivants. Dans ce billet, nous allons décomposer ces objectifs et discuter des motivations de chacun d'entre eux.
Les programmes VRM centrés sur l'automatisation commencent généralement en réaction à une douleur personnelle, telle qu'une charge de travail trop lourde ou une trop grande complexité.
Ces programmes ont tendance à être défendus par une personne, souvent dans le domaine des achats, qui cherche à accélérer l'intégration des fournisseurs et la diligence raisonnable. L'évaluation des fournisseurs à l'aide de feuilles de calcul est souvent citée comme un problème, avec des échanges de courriels, des problèmes de contrôle de version et des processus incohérents qui créent des maux de tête pour toutes les personnes concernées.
Les initiatives de gestion des risques de vulnérabilité axées sur l'automatisation ont tendance à être davantage un projet qu'un programme. En tant que tel, il leur manque la supervision de programmes plus matures liés aux efforts de gouvernance, de risque et de conformité (GRC).
Les organisations dont les objectifs de GRV sont axés sur l'automatisation se caractérisent généralement par :
Il n'y a rien de mal à commencer votre programme de gestion des risques liés aux fournisseurs ici. En fait, de nombreux programmes de gestion des risques liés aux fournisseurs commencent par éliminer les processus manuels qui peuvent laisser passer des failles dans les contrôles de sécurité et augmenter le risque de violation des données.
Les solutionsautomatisées d'évaluation du risque fournisseur peuvent contribuer à rationaliser et à accélérer ces programmes.
En remontant l'échelle de maturité, les programmes axés sur la conformité découlent de la nécessité de répondre à une ou plusieurs exigences réglementaires.
Lorsque vous travaillez avec des fournisseurs tiers pour gérer et traiter des données, cela ne signifie pas que votre organisation n'est plus responsable des risques de sécurité pour ces données. C'est pourquoi plusieurs réglementations gouvernementales et cadres industriels imposent des pratiques de gestion des risques liés aux tiers. En voici quelques exemples :
C'est à ce moment-là que les organisations réalisent qu'elles ont besoin d'un programme, et non d'un projet. Seul un programme continu et structuré peut à la fois gérer de manière proactive le risque lié aux tiers et produire la documentation requise pour les audits externes et internes.
Les caractéristiques organisationnelles qui motivent ce type de programme sont les suivantes :
De nombreux règlements et cadres exigent une surveillance externe et continue des risques, en plus des évaluations périodiques des risques liés aux fournisseurs. Consultez le tableau sur notre page des capacités de conformité pour en savoir plus sur les exigences spécifiques en matière d'évaluations et/ou de surveillance. Pour plus de simplicité, Prevalent propose le questionnaire Prevalent Compliance Framework (PCF) qui vous permet de faire correspondre les réponses à un nombre quelconque de cadres réglementaires ou de contrôle, ce qui simplifie grandement le processus de rapport de conformité.
Les programmes VRM les plus matures sont pilotés de haut en bas par des programmes de gestion des risques stratégiques, la conformité étant un sous-produit naturel de ces initiatives.
Les organisations qui ont des programmes de GRV axés sur les risques ont tendance à bien comprendre qui fait partie de leur écosystème de fournisseurs et peuvent généralement quantifier leur risque dans une certaine mesure. Elles entrelacent les cadres de gestion des risques liés aux fournisseurs avec des programmes plus larges de GRC/IRM, et elles s'assurent souvent les services de l'un des cinq grands cabinets d'audit pour l'externalisation ou la gestion du programme. Cependant, ces organisations se débattent encore souvent avec des processus manuels, des capacités d'analyse limitées et des silos qui peuvent entraver la prise de décision basée sur le risque.
Les caractéristiques typiques des programmes de GRV axés sur le risque sont les suivantes :
Les programmes de gestion des risques liés aux fournisseurs véritablement axés sur les risques sont rares en dehors des grandes organisations hautement réglementées disposant de ressources, d'une vision et d'une échelle suffisantes. Ces programmes atteignent généralement des niveaux optimaux de maturité VRM grâce à une solution hybride composée d'une plateforme unifiée et automatisée de gestion des risques liés aux tiers, soutenue par des services d'évaluation et des services professionnels.
Les organisations de ce niveau vont souvent au-delà de l'évaluation et de la surveillance de base, en tirant parti de leurs solutions TPRM pour gérer les performances des fournisseurs, relever les défis liés à la confidentialité des données et effectuer des évaluations des risques internes.
Le chemin vers la maturité du programme VRM n'est pas facile. Cependant, en investissant dans les bonnes personnes, les bons processus et la bonne technologie, vous pouvez augmenter la productivité, renforcer les relations avec les fournisseurs et assurer la continuité des activités de votre organisation.
Découvrez notre approche éprouvée en 5 étapes de la gestion du risque fournisseur dans notre guide des meilleures pratiques, ou demandez une démonstration dès aujourd'hui.
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024