We don’t really know what all the fuss is about. After all, the process of assessing your third parties isn’t that difficult, is it? Determine vendors to assess. Design questionnaire to assess vendor. Send questionnaire to vendor. Receive questionnaire back from vendor. Ask vendor for more information. And more information. Wait. Wait some more. Get answers back from vendor. Populate spreadsheet. Upload to SharePoint. Tell vendor where they’re short on controls and need remediations. Perform some validation stuff. Report on said controls. Repeat for the next <insert number here> vendors. Then do it all again next year. For all of them. Easy, peasy, lemon squeezy, right?
Faux. Très, très faux. On ne pourrait pas être plus "faux" en fait.
Ces dernières années ont apporté des changements significatifs à la pratique, par ailleurs épuisante, de la gestion des risques liés aux tiers. Des normes de plus en plus nombreuses pour faciliter la production de rapports, une automatisation accrue pour réduire la charge de l'évaluation de votre écosystème de fournisseurs et un nombre croissant de pratiques de services professionnels sont autant d'éléments qui laissent entrevoir un soulagement pour les équipes de gestion des risques surchargées.
Ainsi, en gardant à l'esprit l'état actuel de la gestion des risques liés aux tiers, voici un aperçu de l'année à venir aux yeux de notre équipe d'experts : Brad Hibbert, COO & CSO ; Alastair Parr, Sr. VP de Global Products & Delivery, et Brenda Ferraro, VP de Third-Party Risk.
Bien qu'il soit clair que le risque fournisseur est une discipline clé qui doit être adoptée, les gestionnaires de risques continuent de lutter pour obtenir la visibilité, le soutien et l'investissement nécessaires pour mettre en œuvre un programme stratégique à l'échelle de l'entreprise. En conséquence, un manque reconnu de cohérence et d'urgence continue d'exister dans la manière dont les fournisseurs sont gérés et surveillés dans l'entreprise étendue. En conséquence, la gestion des risques et l'efficacité du programme sont sévèrement limitées.
Même dans les cas où le risque lié aux fournisseurs a une visibilité appropriée soutenue par un facteur commercial ou de conformité clair, les tâches courantes, de l'obtention d'une source précise de profils de fournisseurs et d'informations de contact en interne, à la sollicitation de réponses d'évaluation, en passant par la démonstration de la valeur du programme aux dirigeants, continuent de mettre en péril la réussite du programme. Alors que les organisations continuent à ressentir les effets des échecs des fournisseurs, nous constatons qu'elles réfléchissent de manière plus stratégique à leurs programmes de gestion des fournisseurs.
Les renseignements sur les fournisseurs ont tendance à être éparpillés et cachés dans les silos de divers outils d'approvisionnement, de fournisseurs, de contrats, d'opérations, de risques et de sécurité. Comme les organisations continuent de dépendre de plus en plus des produits et services fournis par des tiers, nous voyons le rôle des Vendor Managers et des Vendor Management Offices s'étendre au-delà de la lentille traditionnelle technique et de conformité pour inclure un point de vue plus complet qui couvre les risques stratégiques, financiers, juridiques, de durabilité et opérationnels. Bien que les Vendor Managers et les Risk Managers ne soient pas responsables de l'élimination des risques identifiés, ils seront chargés de rassembler, quantifier, hiérarchiser et communiquer ces risques aux parties internes responsables.
Pour soutenir ce point de vue plus stratégique du risque fournisseur, nous voyons une évolution des produits de gestion du risque fournisseur qui mûrissent pour soutenir des programmes plus larges avec des avancées dans les ensembles de fonctionnalités et dans l'intégration plus étroite avec les systèmes et départements internes. Nous avons déjà constaté une augmentation de la fréquence des demandes des clients pour une intégration dans les solutions ITSM et GRC. Nous nous attendons à ce que ces demandes d'intégration se poursuivent et s'étendent à d'autres systèmes internes de gestion des affaires et des risques.
Nous constatons que l'état d'esprit va au-delà de la redoutable exigence de conformité qui est souvent contournée, pour devenir un programme stratégique et habilitant qui bénéficie du soutien et de la visibilité de la direction et du conseil d'administration. Bien que cette évolution soit passionnante et qu'elle étende la valeur du programme à travers les différents départements qui dépendent de la relation avec le fournisseur et la soutiennent (par exemple, le service juridique, les achats, l'informatique), nous pensons que le principal cas d'utilisation et la justification commerciale en 2020 continueront à être de traiter de manière proactive les contrôles de conformité, de répondre à un ou plusieurs résultats d'audit, ou de répondre à un incident de sécurité ou à une violation de données.
L'une des exigences fondamentales - et parfois décourageantes - d'un programme de gestion des fournisseurs est le processus d'évaluation du fournisseur à l'aide d'un questionnaire basé sur les contrôles. En général, ce processus d'enquête est initié au moment de l'intégration des fournisseurs, puis fixé à un intervalle prédéfini en fonction de la criticité et/ou de l'exposition du fournisseur, la majorité étant programmée sur une base annuelle. Cependant, dans les environnements commerciaux dynamiques et interconnectés d'aujourd'hui, les informations sur les risques qui datent de 12 mois sont plus que périmées.
Ces informations restreintes et datées sur les fournisseurs amènent de nombreuses organisations à s'interroger sur la pertinence de l'analyse des risques liés aux fournisseurs et sur sa valeur dans la prise de décision correspondante. Par exemple, si un fournisseur a mis en œuvre de nouveaux processus ou de nouvelles technologies pour traiter des domaines de contrôle spécifiques, une organisation ne devrait pas avoir besoin d'attendre la prochaine réévaluation annuelle pour avoir une visibilité sur ces investissements. Les organisations cherchent à s'éloigner des évaluations "ponctuelles" pour adopter une méthodologie d'évaluation plus continue. Les organisations travaillent dans des environnements dynamiques où les concurrents, la sécurité, la conformité et d'autres facteurs peuvent changer rapidement. Pour rester efficaces, les programmes TPRM doivent être capables de s'adapter.
Alors que les entreprises cherchent à étendre leurs programmes de fournisseurs, à augmenter la fréquence des mises à jour et à étendre la portée de la visibilité des risques, tout cela dans le but d'améliorer la valeur du programme, elles ont également du mal à analyser, hiérarchiser et répondre au volume croissant d'informations. Sur quels fournisseurs dois-je me concentrer ? De quels éléments de risque dois-je me préoccuper ? Quelles mesures correctives auront le plus grand impact global sur l'amélioration de la sécurité et de la conformité ? Pour accroître la capacité et l'efficacité des programmes, les organisations doivent commencer à adopter des analyses avancées afin de fournir des informations supplémentaires et d'automatiser des processus tels que l'identification des valeurs aberrantes, la création de résultats automatisés, la recommandation de mesures correctives et le déclenchement d'automatismes et de flux de travail.
Les services d'évaluation de la sécurité constituent un apport important pour fournir une visibilité sur les risques d'exploitation publique d'une entreprise, mais les clients se sont rendu compte que les analyses externes ne racontent que la moitié de l'histoire des risques liés aux tiers. Le résultat de cette évolution est que les fournisseurs d'outils SRS sont tous obligés de comparer leurs vitesses et leurs flux - qui a la meilleure analyse du dark web, qui inclut le plus de données, etc. - Ce qui nous indique que le marché actuel du SRS va continuer à se banaliser. Ce que vous verrez dans les 12 prochains mois, c'est que l'on se concentrera moins sur les flux de menaces (ils deviennent tous assez bons) et plus sur l'intégration des renseignements fournis dans un processus plus large de gestion des risques qui inclut des capacités supplémentaires de contexte, de quantification, de hiérarchisation et de remédiation.
Que pensez-vous de l'année à venir en matière de risque de tiers ? Nous aimerions avoir votre avis ! Et restez à l'écoute pour la deuxième partie de notre article de la semaine prochaine sur l'année à venir dans le domaine du TPRM.
Dans l'intervalle, contactez-nous dès aujourd'hui pour obtenir de plus amples informations sur la manière dont Prevalent peut vous aider à développer et à faire évoluer votre programme de gestion des risques liés aux tiers.
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024