Comment améliorer la maturité du programme de gestion des risques liés aux tiers ?

Types de risques liés aux tiers traités par les programmes de gestion des risques de tiers parvenus à maturité

Un autre défi auquel votre organisation peut être confrontée sur la voie de la maturité du programme de TPRM est la compréhension des risques opérationnels qui surviennent lorsqu'un vendeur ou un fournisseur ne peut pas respecter les accords de niveau de service (SLA) requis. Un programme plus mature vous permettra toutefois de discerner un éventail plus large de menaces et de risques, notamment :

Cyber Risque

La cybersécurité est un élément essentiel de l'évaluation des risques par les tiers. Les ransomwares, les dénis de service distribués (DDoS) et d'autres attaques peuvent paralyser votre organisation et l'empêcher de remplir ses obligations commerciales. Si la violation de SolarWinds en 2020, au cours de laquelle les attaquants ont compromis la base de code Orion de SolarWinds pour installer des portes dérobées, a peut-être été la plus importante violation de cyber de ces dernières années, elle n'a en aucun cas été la seule violation par des tiers.

• Une attaque contre Latitude Financial Services, l'un des principaux fournisseurs australiens de prêts personnels, a révélé des informations personnelles sur plus de 330 000 clients de deux des fournisseurs de services de Latitude. Les données exposées comprenaient des passeports et des numéros de passeport. Les attaquants se sont introduits chez un fournisseur pour obtenir les identifiants de connexion des employés de Latitude.

• Des informations sur les réseaux propriétaires des clients (CPNI) de plus de 9 millions de clients sans fil d'AT&T ont été volées après que des pirates aient pénétré dans les locaux d'un fournisseur de services de marketing d'AT&T.

• Les données personnelles de millions de retraités de l'United Auto Workers ont été dérobées à l'administrateur de prestations NationBenefits - y compris les identifiants des plans de santé, les informations relatives à l'assurance-maladie et les numéros de sécurité sociale. Les attaquants ont exploité une faiblesse de cybersécurité dans le logiciel de transfert de fichiers utilisé par NationBenefits pour y accéder.

Risque de conformité

La plupart des organisations sont soumises à une myriade d'exigences réglementaires en constante évolution concernant la protection des données et des systèmes sensibles. Bon nombre de ces réglementations, notamment l'HIPAA, le California Consumer Privacy Act (CCPA), le Virginia Consumer Data Protection Act et le Règlement général sur la protection des données (RGPD) de l'Europe, exigent des organisations qu'elles protègent les informations privées de leurs consommateurs, de leurs clients et de leurs employés. D'autres réglementations concernent la protection des informations financières non publiques. Les violations peuvent entraîner des amendes et des atteintes à la réputation.

Risque financier

Les équipes chargées des achats doivent avoir une visibilité sur la stabilité financière de leurs vendeurs et fournisseurs tiers, notamment sur les dettes qu'ils ont contractées et sur les crédits qu'ils accordent à leurs clients. Une déclaration de faillite peut entraîner une perte d'activité et des perturbations de la chaîne d'approvisionnement.

Responsabilité sociale des entreprises

Les préoccupations des investisseurs concernant les pratiques environnementales, sociales et de gouvernance(ESG) ne cessent de croître. Par exemple, à la suite de l 'invasion de l'Ukraine par la Russie, il est devenu désagréable pour de nombreuses entreprises de faire des affaires avec des sociétés affiliées au gouvernement russe. Les organisations doivent également se protéger contre les accusations selon lesquelles leur chaîne d'approvisionnement est impliquée dans des violations des droits de l'homme, fait appel au travail des enfants ou cause des dommages à l'environnement.

Risque de réputation

Une couverture médiatique défavorable ou des nouvelles négatives concernant un fournisseur peuvent nuire à la réputation de ses clients. Cela peut se produire lorsque le fournisseur est impliqué dans des pratiques d'embauche contraires à l'éthique, dans des problèmes de qualité de ses produits, dans des activités criminelles ou dans des catastrophes environnementales.

Définir la maturité du TPRM à l'aide du modèle de maturité des capacités

En général, les programmes moins matures se caractérisent par des processus imprévisibles ou mal contrôlés, tandis que les programmes plus matures sont proactifs, prévisibles, mesurés et contrôlés. Un modèle de maturité peut fournir un schéma directeur pour évaluer et faire progresser les pratiques commerciales de votre organisation à un moment donné et aider à définir un chemin vers une plus grande maturité des processus. Dans le présent document, nous nous appuyons sur le modèle de maturité des capacités élaboré par Watts Humphries et d'autres personnes à l'Institut de génie logiciel de l'Université Carnegie Mellon à la fin des années 1980 pour examiner la maturité du programme de TPRM.

Le modèle de maturité des capacités reconnaît que les processus évoluent avec le temps et qu'à mesure que les organisations acquièrent de l'expérience et des connaissances, elles peuvent améliorer leurs processus pour les rendre plus efficients, plus efficaces et plus prévisibles. Le modèle de maturité peut être appliqué à tout type de processus organisationnel, y compris le développement de logiciels, la gestion de projets, l'assurance qualité ou l'assistance à la clientèle.

Les 5 piliers de la maturité du TPRM

Le modèle de maturité des capacités pour la gestion des risques liés aux tiers examine cinq piliers clés nécessaires pour soutenir le succès actuel et continu d'un programme de gestion des risques liés aux tiers. Au sein de chaque pilier, nous examinons les approches les moins matures et les plus matures.

1. Couverture de l'entité

La plupart des organisations commencent leur programme de TPRM par l'évaluation de leurs fournisseurs les plus critiques. Cette approche est logique, mais le risque peut provenir de n'importe quelle entité. Les organisations plus matures disposent d'une méthode cohérente pour classer les fournisseurs en fonction de leur niveau de risque afin de s'assurer que tous sont inclus dans le programme, y compris les fournisseurs de quatrième et de troisième rangs.

2. Contenu

Les questionnaires d'évaluation des risques commencent souvent par des initiatives ad hoc. Des questions sont posées aux fournisseurs et des réponses libres sont reçues et évaluées. Les programmes plus matures examinent régulièrement les questions d'évaluation afin de comprendre ce que la question tente de trouver en termes de risque pour l'organisation et de pondérer les questions de manière appropriée. Les programmes plus matures veillent également à ce que les fournisseurs fournissent les preuves de conformité demandées.

3. Rôles et responsabilités

Les programmes moins matures peuvent suivre des lignes directrices mais ne pas documenter les procédures et ne pas définir clairement les rôles et les responsabilités. Les programmes matures formeront les participants à l'évaluation et publieront et suivront un manuel opérationnel afin de garantir la normalisation des processus. Les programmes plus matures disposent de tableaux RACI documentés qui définissent les personnes responsables, redevables, consultées et informées dans l'ensemble de l'organisation.

4. Remédiation

Les mesures de remédiation sont axées sur l'efficacité, la normalisation et la qualité de l'approche de gestion des risques après l'identification des risques. Les programmes moins matures identifient les risques et demandent aux fournisseurs de prendre des mesures correctives. Les programmes plus matures mettent en œuvre des mécanismes de notation pour pondérer les risques et les mesures correctives et prescrivent aux fournisseurs des lignes directrices normalisées en matière de mesures correctives.

5. La gouvernance

La gouvernance comprend la manière dont le programme est mesuré et dont le succès est prouvé. Les programmes moins matures ne disposent pas de suffisamment de rapports d'évaluation et d'audits de programmes par des tiers. Les programmes plus matures regroupent les données d'évaluation des tiers afin de fournir aux équipes les informations nécessaires pour mesurer les risques et orienter la prise de décision, et évaluent les vendeurs et fournisseurs tiers sur la base d'indicateurs clés de performance (KPI) et d'indicateurs clés de risque (KRI).

Questions clés à poser

Une vue d'ensemble des piliers du programme contribuant à la maturité du TPRM.

Niveaux de maturité de la gestion des risques liés aux tiers

Dans le modèle de maturité des capacités, la maturité du programme dans chacun des cinq piliers est classée en cinq niveaux, d'immature (1) à visionnaire (5). La notation est normalisée afin de garantir que tous les programmes de TPRM sont évalués et notés de manière cohérente. Ainsi, vous pouvez comparer le score de maturité d'un fournisseur à celui de ses homologues d'une échelle, d'une complexité et d'une verticalité similaires.

Le modèle de maturité des capacités du TPRM.

Niveau 1 : Immature

Les organisations qui se situent au premier niveau du modèle de maturité n'accordent pas la priorité à la gestion des risques technologiques. La gestion des risques est cloisonnée. L'activité est ad hoc et réactive, ne se produisant que lorsqu'un problème survient ou lorsque les signaux d'alarme des fournisseurs sont évidents. Les processus n'étant pas documentés et mal définis, il est peu probable qu'une évaluation réussie pour un seul fournisseur puisse être répétée.

Au niveau 1, le TPRM est un processus manuel pour un nombre limité de fournisseurs. Les questionnaires des fournisseurs sont incohérents et distribués sous forme de feuilles de calcul distinctes. Les réponses peuvent être narratives et il est difficile d'évaluer les risques. Il n'existe pas de normes pour les contrôles d'atténuation des risques. Les équipes ne surveillent pas les fournisseurs pour s'assurer qu'ils respectent les règles ou qu'ils présentent de nouveaux risques.

Exigences pour passer au niveau 2 : Au niveau 1, les organisations ne se sont pas engagées à comprendre ou à mesurer les risques liés aux tiers. Les équipes naissantes n'ont pas défini et documenté les processus permettant de les reproduire. Le passage au niveau 2 nécessite une discipline supplémentaire pour définir des politiques et des processus permettant d'assurer la cohérence des évaluations.

Niveau 2 : en développement

Au niveau 2, certaines équipes (mais pas toutes) ont défini et documenté des processus qui permettent d'obtenir des résultats reproductibles. Par exemple, les équipes chargées de la sécurité peuvent avoir des questionnaires normalisés et des exigences en matière de tests de pénétration, ou les équipes chargées des finances peuvent avoir des paramètres normalisés en matière de divulgation financière. D'autres équipes, en revanche, restent ad hoc. Cette approche cloisonnée conduit à des évaluations incohérentes et empêche les programmes de s'étendre.

En l'absence d'une approche normalisée, les fournisseurs ne peuvent pas être classés en fonction de leur niveau de risque. Il en résulte un risque plus élevé si les fournisseurs critiques sont peu évalués et des inefficacités si les fournisseurs à faible risque sont trop contrôlés. Les organisations de niveau 2 continuent d'utiliser des feuilles de calcul et des documents partagés, ce qui rend impossible un TPRM fiable, vérifiable et exhaustif.

Exigences pour passer au niveau 3 : Les organisations de niveau 2 manquent d'informations, de documentation et de cohérence. Elles ont besoin du soutien de la direction pour définir les exigences du TPRM dans toutes les fonctions et d'un moyen de rendre compte des risques et des mesures d'atténuation. L'automatisation est nécessaire à la mise en place d'un programme évolutif.

Niveau 3 : évolutif

Au niveau 3, le TPRM dispose de ressources suffisantes et les processus sont cohérents au sein des différentes fonctions d'une organisation. La plupart des silos ont été démantelés et les équipes ont normalisé, documenté et intégré les activités d'identification et d'évaluation des risques. La surveillance des risques s'est étendue au-delà des risques commerciaux et informatiques pour inclure la gouvernance d'entreprise, la conformité et le risque de réputation. L'échelonnement des risques

est normalisé, et les organisations commencent à mettre en place une gestion du cycle de vie des contrats et des procédures formelles d'abandon.

Les processus du niveau 3 sont semi-automatisés. Par exemple, l'intégration peut s'appuyer sur des questionnaires automatisés, tandis que le suivi des mesures correctives et de la conformité aux exigences reste manuel. Cela permet aux équipes d'augmenter modérément le TPRM, mais peut encore laisser des lacunes dans la visibilité.

Exigences pour passer au niveau 4 : Des processus normalisés, des rapports et l'automatisation sont nécessaires dans tous les départements. Au niveau 3, les rapports sont généralement établis par les différents services. Pour progresser, les organisations doivent s'efforcer d'éliminer les silos et d'instituer un reporting centralisé.

Niveau 4 : Optimisé

Les organisations de niveau 4 considèrent le TPRM comme une exigence stratégique et disposent de politiques et de procédures normalisées dans tous les départements. Les équipes de TPRM procèdent à une évaluation automatisée et normalisée des risques liés aux fournisseurs, ainsi qu'à une surveillance des risques liés aux fournisseurs, à un flux d'évaluation et à une gestion des mesures correctives tout au long du cycle de vie des fournisseurs. Les contrôles d'atténuation des risques sont formalisés et la surveillance des fournisseurs est pleinement mise en œuvre. L'automatisation permet également au programme de faire l'objet d'un audit complet.

Les organisations de niveau 4 peuvent étendre le TPRM à tous les fournisseurs, tout au long de leur cycle de vie. Les rapports sur les indicateurs clés de performance et les indicateurs clés de risque sont automatisés et les initiatives d'amélioration continue sont fondées sur des données. La communication avec les tiers est axée sur les avantages mutuels d'un programme de TPRM.

Exigences pour passer au niveau 5 : Institutionnaliser un programme visant à examiner chaque partie du programme de gestion des risques technologiques afin d'apporter des améliorations progressives au fil du temps. Réexaminer les risques informatiques et non informatiques et les stratégies d'atténuation au moins une fois par an.

Niveau 5 : Visionnaire

Le niveau 5 est un niveau de maturité auquel peu d'organisations peuvent prétendre. Il représente un programme de TPRM entièrement automatisé qui anticipe les risques, attribue des contrôles efficaces et surveille les fournisseurs pour cyber, les risques opérationnels, financiers, environnementaux, de conformité, de réputation, ESG et de performance. Une organisation visionnaire collabore avec les fournisseurs de manière proactive afin d'améliorer leurs activités tout en réduisant les risques.

Au niveau 5, un risque résiduel subsiste, mais il peut être traité rapidement, si nécessaire, au moyen de procédures formelles et testées, puis accepté par l'entreprise.

Critères de maturité du TPRM par pilier et par niveau.

La prochaine étape de votre voyage vers la maturité du programme TPRM : Faites l'évaluation gratuite

Un programme de gestion de la relation client mature peut aider à identifier et à atténuer les risques potentiels associés aux relations avec les tiers, réduisant ainsi la probabilité d'impacts négatifs sur l'organisation. L'anticipation des risques liés aux tiers aide les organisations à éviter des perturbations coûteuses ainsi que des dommages financiers et des atteintes à la réputation. En automatisant l'identification des risques et les contrôles, et en intégrant les besoins de toutes les parties prenantes, un programme de TPRM mature fournit aux organisations des informations plus précises et plus complètes sur les relations avec les tiers, ce qui leur permet de prendre de meilleures décisions.

Calculez la maturité de votre programme de TPRM

Que vous soyez au début de votre programme de gestion des risques des tiers ou que vous travailliez à la maturation d'un programme existant, Prevalent peut vous aider. Prevalent automatise la gestion des risques des tiers en utilisant une plate-forme unique pour collecter des informations sur les risques des tiers, quantifier les risques, recommander des mesures correctives et fournir des modèles de rapport. La plateforme Prevalent comprend une bibliothèque de plus de 750 évaluations standardisées, des capacités de personnalisation, une surveillance continue des risques, un flux de travail intégré et des mesures correctives.

Pour savoir où vous en êtes dans la maturité de votre programme de TPRM en utilisant le continuum du modèle de maturité des capacités, demandez dès aujourd'hui une évaluation gratuite de la maturité de votre programme.