L'évaluation des fournisseurs n'est pas un jeu de chiffres
Je suis toujours fasciné par les personnes qui proclament qu'il suffit de 200, 250, 300 {vous remplissez le blanc} questions pour évaluer un fournisseur. Je fais cela depuis plusieurs décennies maintenant et je n'ai pas encore trouvé le nombre magique qui permet de satisfaire l'évaluation/analyse des risques requise. Avant de vous lancer dans une diatribe sur le fait que l'évaluation des risques liés aux fournisseurs est devenue trop compliquée et trop longue, mettons les choses au point pendant un moment.
- Avons-nous historiquement posé trop de questions ? Oui.
- N'avons-nous pas réussi à adapter les questionnaires d'évaluation au type de service fourni ? Absolument.
- Sommes-nous à la recherche d'une solution rapide pour éviter de faire le travail de base nécessaire pour établir les exigences d'évaluation des fournisseurs ? Toujours.
Mais ne laissons pas les échecs du passé provoquer un mouvement de balancier dans l'autre sens au point de ne pas évaluer correctement les risques liés aux fournisseurs. Et certainement pas à un moment où le nombre d'externalisations continue d'augmenter, tout comme le risque associé à ces externalisations.
Tant de questions, si peu de temps
Ma réponse standard au commentaire "c'est beaucoup, beaucoup trop de questions" est de demander quels domaines de risque ne sont pas essentiels à évaluer sur la base de ce que ce fournisseur fait pour vous ? Vous intéressez-vous à la sécurité des applications, à la résilience de l'entreprise, au contrôle d'accès ou à une myriade d'autres domaines de contrôle des risques ? Ce sont ces domaines de contrôle qu'il faut évaluer pour déterminer quelles questions sont nécessaires, et non un nombre aléatoire.
J'ai toujours été un fervent partisan des évaluations bien ciblées. Si l'on ne parvient pas à délimiter correctement la portée d'une évaluation, on impose une charge inutile à tout le monde. Les fournisseurs doivent répondre à un questionnaire qui n'a que peu de ressemblance avec leurs services, ce qui augmente souvent le temps nécessaire pour fournir une réponse et réduit la probabilité qu'elle soit complétée lorsque vous en avez besoin (sans parler de l'impact sur votre relation avec ce fournisseur).
Cela augmente également la charge de travail pour l'examen des évaluations. Chaque question posée et chaque réponse doit être examinée. Disons que vos évaluations comprennent 30 questions inutiles, eh bien, vos analystes doivent maintenant évaluer 30 questions supplémentaires. Cela peut sembler peu, mais si vous multipliez ce chiffre par le nombre d'évaluations réalisées chaque année, il atteint rapidement des centaines, voire des milliers. Cela réduit effectivement le nombre d'évaluations qu'un évaluateur individuel peut effectuer.
Des évaluations bien ciblées peuvent faire beaucoup de chemin
Par conséquent, évitez le jeu des chiffres et prenez le temps de bien définir la portée des évaluations en fonction du type de données, de l'accès au système et de la résilience de l'entreprise (ou de tout autre élément correspondant à votre goût du risque). Vous constaterez que vous pouvez trouver un bon équilibre entre la gestion des risques liés aux fournisseurs et la charge imposée à toutes les parties concernées par les évaluations.
Brad Keller développe et dirige des programmes de gestion des risques depuis plus de 25 ans. Il est actuellement directeur principal de la stratégie pour les tiers à Prevalent, Inc. où il se concentre sur la fourniture de solutions de gestion et d'évaluation des risques pour les tiers à Prevalent.
Tout commence ici
Vous êtes prêt à découvrir comment Prevalent peut soulager votre programme TPRM ? Demandez une démonstration gratuite et sans engagement dès aujourd'hui.
Demandez une démo-
Prêt pour une démonstration ?
- Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
- Demander une démo