Votre empreinte de gestion des tiers explose, et le terme "résilience de l'entreprise" résonne dans les réunions de Zoom ... mais vos processus de diligence raisonnable des fournisseurs sont encore en cours d'élaboration. Rassurez-vous, vous n'êtes pas seul. Dans cet article, nous vous présentons trois approches pour vous mettre sur la bonne voie.
Avant de travailler avec un nouveau vendeur, fournisseur ou autre tierce partie, vous devez procéder à une vérification préalable avant l'intégration. Le processus de diligence raisonnable doit non seulement évaluer la stabilité financière et opérationnelle d'un fournisseur, mais aussi mesurer les risques potentiels qu'il pourrait présenter pour votre organisation.
Les fournisseurs tiers présentent de nombreux risques, notamment en matière de cybersécurité de l'information, de risques opérationnels, de perturbations de la chaîne d'approvisionnement et de problèmes de conformité. La mise en place d'un processus approfondi de vérification préalable des fournisseurs, qui permet de sélectionner les fournisseurs en fonction des risques, peut accélérer considérablement l'intégration des fournisseurs tout en réduisant le risque d'une perturbation majeure ou d'une violation des données.
Le processus de diligence raisonnable implique généralement une combinaison d'examen des contrats, d'évaluations remplies par les fournisseurs et de collecte de renseignements externes sur l'entreprise cible et ses sous-traitants. Tout cela est finalement mis en balance avec le niveau de tolérance au risque de votre organisation.
Récemment, la liste des tâches à accomplir dans le cadre du contrôle préalable des fournisseurs s'est allongée pour les équipes chargées des achats, de la gestion des risques et de la sécurité. Compte tenu de l'impact de COVID-19 sur les opérations de tiers - combiné à d'autres défis sanitaires, environnementaux et géopolitiques - de nombreuses organisations étendent leurs efforts de diligence raisonnable des fournisseurs au-delà des simples évaluations de sécurité informatique. Cela inclut la collecte d'informations relatives à la fabrication, à la continuité des activités, au transport, aux produits non informatiques et à d'autres domaines qui composent les chaînes d'approvisionnement complexes d'aujourd'hui.
Les exigences de conformité en matière de sécurité de l'information et de confidentialité des données poussent également les organisations à effectuer des contrôles préalables supplémentaires sur les fournisseurs potentiels. Des réglementations telles que GDPR, HIPAA et CCPA exigent des organisations qu'elles veillent à ce que les PHI et PII soient correctement protégés et ne soient pas mal utilisés. Une violation de données peut être dévastatrice dans cet environnement, en particulier si des informations financières ou des informations protégées de l'entreprise sont compromises. La mise en place d'un programme efficace de diligence raisonnable des fournisseurs peut contribuer à réduire le risque de votre organisation cyber tout en renforçant vos relations commerciales.
Que vous formalisiez pour la première fois un programme de contrôle préalable des fournisseurs ou que vous deviez faire évoluer votre programme existant, il est important de prendre du recul et de réfléchir à votre stratégie globale. Sur Prevalent, nos clients adoptent généralement une ou plusieurs des approches suivantes en matière de due diligence : interne, partagée ou externalisée.
De nombreuses entreprises cherchent à gérer en interne la collecte et l'analyse des données relatives aux fournisseurs. Cependant, même si votre organisation dispose d'un personnel et de fonds suffisants, la diligence raisonnable peut être un fardeau si vous utilisez des outils manuels et disparates (par exemple, des feuilles de calcul) pour gérer le processus. L'utilisation d'une plateforme de gestion des risques automatisée et tierce peut vous aider. Voici quelques fonctionnalités que vous voudrez rechercher :
L'une des clés du succès d'une approche interne est que vous devez faire en sorte qu'il soit aussi facile et indolore que possible pour les fournisseurs de répondre aux questionnaires d'évaluation. La solution doit également comprendre un portail destiné aux fournisseurs, qui leur permet de consulter l'état d'avancement de l'enquête, les rapports de renseignements sur les menaces et les mesures correctives suggérées. Elle doit également conserver une piste d'audit complète pour la validation des évaluations futures.
Enfin, vous devez vous assurer que la solution est capable de déclencher automatiquement des tâches de flux de travail basées sur les attributs d'évaluation, les scores de risque et les recommandations. Par exemple, les déclencheurs peuvent lancer des activités liées au profilage et à la hiérarchisation des fournisseurs, à la corrélation des risques entre les réponses aux évaluations et à la normalisation des informations d'évaluation et de surveillance. Il vous sera ainsi beaucoup plus facile de vous concentrer sur la gestion des risques et de passer moins de temps à vous soucier de la collecte de contenu.
À mesure que les exigences de diligence raisonnable s'étendent aux fournisseurs de la chaîne d'approvisionnement et aux prestataires de services de gestion de la chaîne d'approvisionnement externalisée, les processus de gestion des fournisseurs peuvent être éprouvants pour les équipes disposant de peu de ressources. D'après mon expérience, un évaluateur peut jongler avec environ 150 à 200 évaluations simultanées avant d'être surchargé. Que se passe-t-il lorsque votre conseil d'administration demande des données sur les risques liés à la chaîne d'approvisionnement pour éclairer ses décisions et que vous avez 15 000 fournisseurs à évaluer ?
La communication avec les fournisseurs et la collecte de données sur les risques représentent généralement la majeure partie du temps consacré au processus de diligence raisonnable. Si vous ne disposez que de feuilles de calcul et de données d'évaluation et de surveillance dissociées pour travailler, vous risquez de vous épuiser ! À ce problème s'ajoute l'évolution du paysage réglementaire, qui nécessite une expertise pour interpréter les obligations en matière de rapports de conformité.
Lesréseaux de renseignements sur les risques des fournisseurs peuvent être utiles lorsque des équipes aux ressources limitées doivent faire évoluer leurs programmes. Dans le cadre de cette approche, les membres du réseau et les fournisseurs mettent en commun leurs ressources et partagent le contenu des risques achevés afin de rationaliser l'analyse et l'atténuation des risques. Ils offrent un accès à la demande à des scores de risque facilement disponibles et à un contenu soutenu par des questionnaires standard du secteur. Ils sont parfaits pour les PME qui ont besoin de données de référence ou pour les grandes organisations qui ont besoin d'un moyen rapide de classer les fournisseurs et d'identifier ceux qui nécessitent des évaluations plus approfondies.
Prevalent offre les réseaux de renseignements sur les risques des fournisseurs suivants :
Nos clients trouvent généralement environ 40 % de leurs fournisseurs dans nos réseaux. Ils font également état d'un gain de temps et d'argent de 44 % en moyenne lorsqu'ils utilisent le réseau de risques des fournisseurs Prevalent plutôt que de procéder à des évaluations par eux-mêmes avec des outils manuels.
Une option populaire consiste à confier la collecte et l'analyse des preuves à des services d'évaluation des risques d'un tiers. Cette approche permet à votre équipe interne de se concentrer sur l'identification des risques et la remédiation, plutôt que sur la recherche des réponses aux évaluations et la vérification de leur exactitude.
Cette approche peut permettre de réduire les risques plus rapidement. C'est également une option solide pour les équipes aux ressources extrêmement limitées - ou celles dont les compétences internes sont restreintes. Voici quelques-unes des façons dont votre programme de gestion des risques peut tirer parti de la diligence raisonnable externalisée :
services manages sont devenus de plus en plus populaires, car la loi Covid-19 a empêché les entreprises d'effectuer une validation des risques sur place. Bien que vous puissiez effectuer une diligence raisonnable virtuelle en utilisant des ressources internes, un fournisseur de services gérés établi peut fournir l'expertise, le processus et les ressources nécessaires pour compléter et étendre votre programme.
De nombreux clients de Prevalent choisissent de tirer parti de deux - ou des trois - approches ci-dessus pour accélérer et automatiser leurs programmes de gestion des risques liés aux tiers. Par exemple, certains clients utilisent nos réseaux pour les vérifications initiales de diligence raisonnable, puis travaillent avec notre équipe de services pour effectuer des évaluations des fournisseurs qui ne font pas encore partie du réseau ou qui nécessitent une analyse plus approfondie.
Tout est géré dans notre logiciel centralisé de gestion des risques liés aux fournisseurs, que les équipes internes peuvent utiliser pour effectuer des évaluations de suivi périodiques - soit par elles-mêmes, soit avec l'aide des services Prevalent - tout en surveillant en permanence les tiers afin de détecter les risques commerciaux et financiers sur cyber.
Procurement Risk Playbook : Comment gagner le jeu des tiers
Comme dans de nombreux sports, la gestion des risques liés aux tiers nécessite un effort d'équipe. Notre document stratégique, "The Procurement Risk Playbook : How to Win the Third-Party Game", présente 5 jeux essentiels pour votre équipe.
Il est essentiel de recueillir des informations commerciales de base pour chaque fournisseur. Ces informations peuvent vous aider à déterminer si l'organisation est en conformité avec les lois et réglementations locales applicables, ainsi qu'à identifier le potentiel de problèmes de performance à l'avenir. Tout fournisseur avec lequel il vaut la peine de travailler sera heureux de vous fournir les informations suivantes :
Certificat ou licence d'entreprise
Informations de base sur le PDG, les autres cadres et les membres du conseil d'administration.
Localisation (confirmation de la sécurité par une visite sur place)
Références de caractère provenant de plusieurs entreprises et sources d'information
Documents de constitution (ou charte d'entreprise similaire)
Un aperçu de la structure de l'entreprise
Les violations de données imputables à des tiers sont de plus en plus fréquentes et comptent parmi les formes les plus coûteuses de cyberattaques. Si la détermination du risque lié aux tiers ( cyber ) est souvent laissée de côté jusqu'à la fin de la passation de marché, il existe des arguments convaincants pour inclure une évaluation du risque lié aux tiers ( cyber ) dans la phase de diligence raisonnable. Voici ce qu'il faut rechercher en matière de risque de cybersécurité pour les tiers :
Historique des violations de données
Résultats des tests de sensibilisation à la sécurité pour les utilisateurs finaux
Schéma du système informatique
Résultats des tests de pénétration
Dans le cadre du processus de diligence raisonnable des tiers, vous devez déterminer si le fournisseur que vous évaluez est vulnérable aux menaces opérationnelles qui pourraient nuire à l'entreprise. Ces menaces comprennent des éléments tels qu'une panne du fournisseur SaaS qui pourrait entraîner des perturbations dans la capacité de votre entreprise à fournir ses produits et services. Voici quelques éléments à rechercher dans une évaluation des risques opérationnels :
Litiges et règlements antérieurs
Marqueurs d'une culture de travail négative, de pratiques de travail injustes, de préjugés et de discrimination.
Code d'éthique des employés
Plan de préparation aux catastrophes
Plan de continuité des activités
Taux de rétention des employés
Déterminer si les fournisseurs tiers potentiels sont financièrement solides et à jour de leurs obligations fiscales est une étape essentielle du processus de diligence raisonnable. Il est inutile de consacrer du temps et des efforts pour établir une relation avec un fournisseur qui sera en faillite dans quelques mois. Voici quelques catégories d'informations financières à prendre en compte dans vos enquêtes de diligence raisonnable :
Structure de la rémunération
Liste des principaux actifs
Prêts et autres obligations
Bilans et bilans comptables
Documents fiscaux importants
Les fournisseurs qui peuvent avoir accès à des informations ou des systèmes sensibles doivent être examinés de près. La corruption ou les vulnérabilités politiques pourraient être dangereuses pour la réputation de votre entreprise. Toute controverse dans laquelle ils sont impliqués pourrait facilement entraîner une mauvaise presse pour votre organisation, surtout dans le climat politique actuel. Veillez à évaluer ces facteurs de réputation pour chaque nouveau fournisseur que vous intégrez :
Vérifiez que le nom de l'entreprise figure sur les principales listes de surveillance, les listes de sanctions mondiales et les listes des autorités de réglementation.
Vérifiez que les employés importants figurent sur les listes de personnes politiquement exposées (PEP) et sur les listes des services de police pour voir s'ils sont politiquement exposés
Processus et pratiques externes en matière de risques
Rapports de services gouvernementaux tels que le Consumer Financial Protection Bureau (Bureau de protection financière des consommateurs)
Historique des litiges de l'entreprise et des employés
Les nouvelles qui sont négatives
Commentaires négatifs et plaintes sur les sites d'évaluation
Pour en savoir plus sur notre approche, consultez notre guide des meilleures pratiques ou demandez une démonstration pour découvrir comment Prevalent peut simplifier vos initiatives de gestion des risques liés aux fournisseurs.
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024