La gestion des risques liés aux tiers en 2022 : ce à quoi il faut s'attendre et comment y répondre.

5. Une attention accrue à la sélection des fournisseurs et à la diligence précontractuelle.

Les programmes de gestion des risques liés aux tiers continuent de rattraper leur retard sur les contrats existants qui ne comportent pas suffisamment de clauses fondées sur les risques et qui ne font pas l'objet d'une diligence raisonnable quant à leur position de risque avant la signature. Plutôt que de se précipiter de manière réactive pour combler les lacunes, 2022 verra une approche plus pragmatique pour établir le risque posé par un tiers dès le départ, et surtout pour positionner la remédiation et la résolution comme des obligations nécessaires afin d'obtenir un contrat.

Des informations facilement accessibles sur les performances des tiers grâce au balayage passif de cyber , à la corrélation des événements commerciaux, aux événements de violation, aux comparaisons ESG et aux notations financières permettront de dresser un tableau significatif avant même d'envoyer une évaluation du tiers et continueront à justifier les dépenses dans le processus de négociation. Examinez la manière dont vous effectuez la diligence raisonnable précontractuelle, inventoriez vos sources de données et réfléchissez à la manière dont vous allez combler ces lacunes en matière de renseignements.

6. Se concentrer davantage sur les dimensions du risque non liées à la sécurité informatique, notamment l'ESG, la santé et la sécurité, la diversité et l'éthique.

Alors que l'ESG et l'éthique ont souvent été des cases à cocher dans les contrats (en fait, moins de la moitié des entreprises suivent activement ces risques), une meilleure disponibilité des ensembles de données et des rapports permet aux organisations de tenir les tiers davantage responsables dans ces domaines. Alors que le regain d'intérêt des consommateurs et des pairs pousse à l'approvisionnement éthique, les dirigeants s'attendent de plus en plus à un processus plus robuste avec des mesures significatives pour démontrer les progrès.

À l'horizon 2022, l'approvisionnement éthique sera de plus en plus intégré dans le processus d'évaluation et d'examen, au lieu d'être pris pour argent comptant. Les tiers jouent un rôle important dans la démonstration de changements concrets dans l'éthique de l'entreprise, ce qui constituera un outil de plus en plus commercialisable. Pour faire face à cette tendance en 2022, examinez la manière dont vous évaluez vos tiers. La valeur de la marque de votre entreprise peut-elle résister à une atteinte à sa réputation si un fournisseur manque à ses obligations éthiques ?

7. Importance accrue du suivi et de l'application des obligations post-contractuelles (par exemple, KRI et SLA).

En complément de notre prédiction précédente sur l'augmentation de la diligence raisonnable pré-contractuelle, 2022 verra un accent plus important sur la performance post-contractuelle. La gestion des relations avec les fournisseurs tout au long du cycle de vie d'un fournisseur a souvent été associée aux équipes de projet et aux sponsors commerciaux qui sont souvent trop occupés pour consolider les résultats et les préoccupations dans un endroit centralisé. Il en résulte une "connaissance tribale" de la performance des tiers souvent dispersée dans l'entreprise et perdue lorsque les équipes migrent.

En 2022, l'accent sera mis sur la cohérence et la centralisation de la gestion itérative des performances des fournisseurs. Cela sera motivé par les avantages qu'elle procure, tels que des outils et des leviers de négociation efficaces, ainsi que la visibilité des risques de résilience/sécurité associés aux résultats. En général, les organisations devraient adapter leurs programmes de gestion des risques liés aux tiers afin de traiter les risques à chaque étape du cycle de vie du fournisseur, et pas seulement lors de l'intégration ou une fois par an lors du renouvellement.

8. Ouverture accrue à l'utilisation de services gérés pour renforcer les équipes internes et permettre une évolution au-delà des fournisseurs informatiques de premier plan.

À mesure que les attentes des programmes de gestion des risques des tiers évoluent avec la convergence de multiples publics et de critères de risques organisationnels à gérer, l'effort associé augmente et l'expertise en la matière se raréfie. Les nouveaux risques signifient que la sécurité de l'information n'est plus le seul jeu en ville. Cependant, cette expertise n'est pas toujours disponible en interne, pas plus que les mécanismes ou les ressources disponibles pour saisir et documenter les risques de manière adéquate. Par conséquent, de plus en plus d'équipes de gestion des risques de tiers identifient judicieusement leurs lacunes en matière de connaissances et de ressources, et envisageront davantage de services externalisés pour enrichir leurs programmes.

En 2022, procédez à une évaluation des compétences et des ressources internes pour déterminer si l'externalisation d'une partie de votre programme de gestion des risques de tiers permettra à votre équipe d'accélérer ses efforts de réduction des risques. Lesclients de Prevalent , par exemple, déclarent avoir réduit leur travail manuel de 50 %, accéléré leur identification des risques de 44 % et amélioré la productivité de leur équipe d'un facteur de 3 à 4 en tirant parti de services manages.

9. Une analyse plus approfondie sera nécessaire pour répondre aux besoins de l'organisation en matière d'évaluation des risques.

Alors que les fournisseurs continuent de faire face à l'exigence irritante d'articuler la même information de différentes manières, ceux qui ont le luxe de refuser le feront de plus en plus. Au lieu de cela, les tiers proposeront des documents pré-complétés tels que les rapports ISO ou SOC II, ce qui mettra la pression sur les organisations pour qu'elles effectuent une analyse plus approfondie et une mise en correspondance avec leurs besoins internes.

Bien que cela puisse sembler préjudiciable si cela ne s'aligne pas sur votre programme de gestion des risques du tiers, il y a un avantage caché dans le fait que le tiers a probablement investi proportionnellement plus d'efforts dans la création de réponses et d'artefacts de qualité. Le défi en 2022 sera donc de traduire ces matériaux plus robustes dans la structure préférée pour permettre une véritable analyse des contrôles. Recherchez des solutions qui permettent une mise en correspondance automatisée des contrôles des risques pour répondre à des exigences multiples.

10. Certaines organisations étendront leurs programmes TPRM pour inclure les risques de quatrième et de neuvième partie.

Alors que les programmes de gestion des risques liés aux tiers continuent de lutter pour le contrôle de leur patrimoine de tiers, certaines organisations commencent à aller au-delà des tiers en considérant les risques posés par leurs tiers. Cette évolution nécessitera de passer d'une vision axée sur la conformité à une vision davantage axée sur les risques.

En 2022, les améliorations technologiques et une plus grande dépendance et sensibilisation à la chaîne d'approvisionnement au sens large signifient qu'il deviendra normal d'évaluer les 4èmes parties en amont et, au minimum, d'envisager leur impact potentiel en cas de perturbation. Les organisations doivent être prêtes à établir une carte des relations qui montre visuellement les interconnexions et les flux de données dans leurs écosystèmes de fournisseurs.

Préparez votre programme TPRM pour 2022

L'étude de ces 10 principales tendances permettra à votre programme TPRM de disposer d'une base solide pour 2022 et au-delà, et vous permettra de rester agile et prêt pour l'avenir. Pour commencer, inscrivez-vous à une évaluation gratuite de la maturité du programme TPRM. Les résultats de cette évaluation vous indiqueront de manière prescriptive les mesures à prendre pour améliorer votre programme. Ou contactez-nous dès aujourd'hui pour une séance de stratégie.