Demandez une démo

Guide et liste de contrôle de la stratégie de diligence raisonnable des fournisseurs

Votre processus de diligence raisonnable des fournisseurs suit-il le rythme de l'évolution rapide des risques ? Voici trois approches pour évaluer la résilience des fournisseurs dans l'environnement commercial changeant d'aujourd'hui, ainsi qu'une liste de contrôle à utiliser dans vos enquêtes de diligence raisonnable.
Par :
Brenda Ferraro
,
Vice-président des risques liés aux tiers
23 octobre 2020
Partager :
Blog vendor due diligence 0521

Votre empreinte de gestion des tiers explose, et le terme "résilience de l'entreprise" résonne dans les réunions de Zoom ... mais vos processus de diligence raisonnable des fournisseurs sont encore en cours d'élaboration. Rassurez-vous, vous n'êtes pas seul. Dans cet article, nous vous présentons trois approches pour vous mettre sur la bonne voie.

Qu'est-ce que la diligence raisonnable des vendeurs ?

Avant de travailler avec un nouveau vendeur, fournisseur ou autre tierce partie, vous devez procéder à une vérification préalable avant l'intégration. Le processus de diligence raisonnable doit non seulement évaluer la stabilité financière et opérationnelle d'un fournisseur, mais aussi mesurer les risques potentiels qu'il pourrait présenter pour votre organisation.

Les fournisseurs tiers présentent de nombreux risques, notamment en matière de cybersécurité de l'information, de risques opérationnels, de perturbations de la chaîne d'approvisionnement et de problèmes de conformité. La mise en place d'un processus approfondi de vérification préalable des fournisseurs, qui permet de sélectionner les fournisseurs en fonction des risques, peut accélérer considérablement l'intégration des fournisseurs tout en réduisant le risque d'une perturbation majeure ou d'une violation des données.

Le processus de diligence raisonnable implique généralement une combinaison d'examen des contrats, d'évaluations remplies par les fournisseurs et de collecte de renseignements externes sur l'entreprise cible et ses sous-traitants. Tout cela est finalement mis en balance avec le niveau de tolérance au risque de votre organisation.

Pourquoi les exigences en matière de vigilance à l'égard des fournisseurs se multiplient-elles ?

Récemment, la liste des tâches à accomplir dans le cadre du contrôle préalable des fournisseurs s'est allongée pour les équipes chargées des achats, de la gestion des risques et de la sécurité. Compte tenu de l'impact de COVID-19 sur les opérations de tiers - combiné à d'autres défis sanitaires, environnementaux et géopolitiques - de nombreuses organisations étendent leurs efforts de diligence raisonnable des fournisseurs au-delà des simples évaluations de sécurité informatique. Cela inclut la collecte d'informations relatives à la fabrication, à la continuité des activités, au transport, aux produits non informatiques et à d'autres domaines qui composent les chaînes d'approvisionnement complexes d'aujourd'hui.

Les exigences de conformité en matière de sécurité de l'information et de confidentialité des données poussent également les organisations à effectuer des contrôles préalables supplémentaires sur les fournisseurs potentiels. Des réglementations telles que GDPR, HIPAA et CCPA exigent des organisations qu'elles veillent à ce que les PHI et PII soient correctement protégés et ne soient pas mal utilisés. Une violation de données peut être dévastatrice dans cet environnement, en particulier si des informations financières ou des informations protégées de l'entreprise sont compromises. La mise en place d'un programme efficace de diligence raisonnable des fournisseurs peut contribuer à réduire le risque de votre organisation cyber tout en renforçant vos relations commerciales.

Trois approches de la diligence raisonnable à l'égard des fournisseurs

Que vous formalisiez pour la première fois un programme de contrôle préalable des fournisseurs ou que vous deviez faire évoluer votre programme existant, il est important de prendre du recul et de réfléchir à votre stratégie globale. Sur Prevalent, nos clients adoptent généralement une ou plusieurs des approches suivantes en matière de due diligence : interne, partagée ou externalisée.

1. Diligence raisonnable des fournisseurs en interne : L'approche DIY

De nombreuses entreprises cherchent à gérer en interne la collecte et l'analyse des données relatives aux fournisseurs. Cependant, même si votre organisation dispose d'un personnel et de fonds suffisants, la diligence raisonnable peut être un fardeau si vous utilisez des outils manuels et disparates (par exemple, des feuilles de calcul) pour gérer le processus. L'utilisation d'une plateforme de gestion des risques automatisée et tierce peut vous aider. Voici quelques fonctionnalités que vous voudrez rechercher :

  • Renseignements sur les risques normalisés provenant d'évaluations internes et de la surveillance externe des risques.
  • Evaluation configurable de l'impact et de la probabilité des risques.
  • Gestion automatisée des flux de travail et des tâches
  • Gestion centralisée des documents et des preuves
  • Communications personnalisables avec les fournisseurs
  • Conseils configurables pour les vendeurs en matière de remédiation aux risques
  • Suivi et rapports sur la gestion de la remédiation des risques

L'une des clés du succès d'une approche interne est que vous devez faire en sorte qu'il soit aussi facile et indolore que possible pour les fournisseurs de répondre aux questionnaires d'évaluation. La solution doit également comprendre un portail destiné aux fournisseurs, qui leur permet de consulter l'état d'avancement de l'enquête, les rapports de renseignements sur les menaces et les mesures correctives suggérées. Elle doit également conserver une piste d'audit complète pour la validation des évaluations futures.

Enfin, vous devez vous assurer que la solution est capable de déclencher automatiquement des tâches de flux de travail basées sur les attributs d'évaluation, les scores de risque et les recommandations. Par exemple, les déclencheurs peuvent lancer des activités liées au profilage et à la hiérarchisation des fournisseurs, à la corrélation des risques entre les réponses aux évaluations et à la normalisation des informations d'évaluation et de surveillance. Il vous sera ainsi beaucoup plus facile de vous concentrer sur la gestion des risques et de passer moins de temps à vous soucier de la collecte de contenu.

2. Diligence raisonnable partagée : L'approche par réseau

À mesure que les exigences de diligence raisonnable s'étendent aux fournisseurs de la chaîne d'approvisionnement et aux prestataires de services de gestion de la chaîne d'approvisionnement externalisée, les processus de gestion des fournisseurs peuvent être éprouvants pour les équipes disposant de peu de ressources. D'après mon expérience, un évaluateur peut jongler avec environ 150 à 200 évaluations simultanées avant d'être surchargé. Que se passe-t-il lorsque votre conseil d'administration demande des données sur les risques liés à la chaîne d'approvisionnement pour éclairer ses décisions et que vous avez 15 000 fournisseurs à évaluer ?

La communication avec les fournisseurs et la collecte de données sur les risques représentent généralement la majeure partie du temps consacré au processus de diligence raisonnable. Si vous ne disposez que de feuilles de calcul et de données d'évaluation et de surveillance dissociées pour travailler, vous risquez de vous épuiser ! À ce problème s'ajoute l'évolution du paysage réglementaire, qui nécessite une expertise pour interpréter les obligations en matière de rapports de conformité.

Lesréseaux de renseignements sur les risques des fournisseurs peuvent être utiles lorsque des équipes aux ressources limitées doivent faire évoluer leurs programmes. Dans le cadre de cette approche, les membres du réseau et les fournisseurs mettent en commun leurs ressources et partagent le contenu des risques achevés afin de rationaliser l'analyse et l'atténuation des risques. Ils offrent un accès à la demande à des scores de risque facilement disponibles et à un contenu soutenu par des questionnaires standard du secteur. Ils sont parfaits pour les PME qui ont besoin de données de référence ou pour les grandes organisations qui ont besoin d'un moyen rapide de classer les fournisseurs et d'identifier ceux qui nécessitent des évaluations plus approfondies.

Prevalent offre les réseaux de renseignements sur les risques des fournisseurs suivants :

Nos clients trouvent généralement environ 40 % de leurs fournisseurs dans nos réseaux. Ils font également état d'un gain de temps et d'argent de 44 % en moyenne lorsqu'ils utilisent le réseau de risques des fournisseurs Prevalent plutôt que de procéder à des évaluations par eux-mêmes avec des outils manuels.

3. Diligence raisonnable externalisée : L'approche services manages

Une option populaire consiste à confier la collecte et l'analyse des preuves à des services d'évaluation des risques d'un tiers. Cette approche permet à votre équipe interne de se concentrer sur l'identification des risques et la remédiation, plutôt que sur la recherche des réponses aux évaluations et la vérification de leur exactitude.

Cette approche peut permettre de réduire les risques plus rapidement. C'est également une option solide pour les équipes aux ressources extrêmement limitées - ou celles dont les compétences internes sont restreintes. Voici quelques-unes des façons dont votre programme de gestion des risques peut tirer parti de la diligence raisonnable externalisée :

  • Distribution des questionnaires et collecte des réponses
  • Documentation et collecte de preuves
  • Vérification du renseignement sur les menaces
  • Gestion de l'atténuation des risques
  • Tests et rapports de validation virtuelle

services manages sont devenus de plus en plus populaires, car la loi Covid-19 a empêché les entreprises d'effectuer une validation des risques sur place. Bien que vous puissiez effectuer une diligence raisonnable virtuelle en utilisant des ressources internes, un fournisseur de services gérés établi peut fournir l'expertise, le processus et les ressources nécessaires pour compléter et étendre votre programme.

Bonus : L'approche hybride de la diligence raisonnable des fournisseurs

De nombreux clients de Prevalent choisissent de tirer parti de deux - ou des trois - approches ci-dessus pour accélérer et automatiser leurs programmes de gestion des risques liés aux tiers. Par exemple, certains clients utilisent nos réseaux pour les vérifications initiales de diligence raisonnable, puis travaillent avec notre équipe de services pour effectuer des évaluations des fournisseurs qui ne font pas encore partie du réseau ou qui nécessitent une analyse plus approfondie.

Tout est géré dans notre logiciel centralisé de gestion des risques liés aux fournisseurs, que les équipes internes peuvent utiliser pour effectuer des évaluations de suivi périodiques - soit par elles-mêmes, soit avec l'aide des services Prevalent - tout en surveillant en permanence les tiers afin de détecter les risques commerciaux et financiers sur cyber.

Procurement Risk Playbook : Comment gagner le jeu des tiers

Comme dans de nombreux sports, la gestion des risques liés aux tiers nécessite un effort d'équipe. Notre document stratégique, "The Procurement Risk Playbook : How to Win the Third-Party Game", présente 5 jeux essentiels pour votre équipe.

Lire la suite
Feature procurement risk playbook 0221

Liste de contrôle de la diligence raisonnable des fournisseurs

Informations de base sur la société

Il est essentiel de recueillir des informations commerciales de base pour chaque fournisseur. Ces informations peuvent vous aider à déterminer si l'organisation est en conformité avec les lois et réglementations locales applicables, ainsi qu'à identifier le potentiel de problèmes de performance à l'avenir. Tout fournisseur avec lequel il vaut la peine de travailler sera heureux de vous fournir les informations suivantes :

  • Certificat ou licence d'entreprise

  • Informations de base sur le PDG, les autres cadres et les membres du conseil d'administration.

  • Localisation (confirmation de la sécurité par une visite sur place)

  • Références de caractère provenant de plusieurs entreprises et sources d'information

  • Documents de constitution (ou charte d'entreprise similaire)

  • Un aperçu de la structure de l'entreprise

Risques de cybersécurité chez les tiers

Les violations de données imputables à des tiers sont de plus en plus fréquentes et comptent parmi les formes les plus coûteuses de cyberattaques. Si la détermination du risque lié aux tiers ( cyber ) est souvent laissée de côté jusqu'à la fin de la passation de marché, il existe des arguments convaincants pour inclure une évaluation du risque lié aux tiers ( cyber ) dans la phase de diligence raisonnable. Voici ce qu'il faut rechercher en matière de risque de cybersécurité pour les tiers :

  • Historique des violations de données

  • Rapports de conformité (tels que SOC 2 et ISO)

  • Résultats des tests de sensibilisation à la sécurité pour les utilisateurs finaux

  • Schéma du système informatique

  • Résultats des tests de pénétration

Risque opérationnel

Dans le cadre du processus de diligence raisonnable des tiers, vous devez déterminer si le fournisseur que vous évaluez est vulnérable aux menaces opérationnelles qui pourraient nuire à l'entreprise. Ces menaces comprennent des éléments tels qu'une panne du fournisseur SaaS qui pourrait entraîner des perturbations dans la capacité de votre entreprise à fournir ses produits et services. Voici quelques éléments à rechercher dans une évaluation des risques opérationnels :

  • Litiges et règlements antérieurs

  • Marqueurs d'une culture de travail négative, de pratiques de travail injustes, de préjugés et de discrimination.

  • Code d'éthique des employés

  • Plan de préparation aux catastrophes

  • Plan de continuité des activités

  • Taux de rétention des employés

Informations financières

Déterminer si les fournisseurs tiers potentiels sont financièrement solides et à jour de leurs obligations fiscales est une étape essentielle du processus de diligence raisonnable. Il est inutile de consacrer du temps et des efforts pour établir une relation avec un fournisseur qui sera en faillite dans quelques mois. Voici quelques catégories d'informations financières à prendre en compte dans vos enquêtes de diligence raisonnable :

  • Structure de la rémunération

  • Liste des principaux actifs

  • Prêts et autres obligations

  • Bilans et bilans comptables

  • Documents fiscaux importants

Risque politique et de réputation

Les fournisseurs qui peuvent avoir accès à des informations ou des systèmes sensibles doivent être examinés de près. La corruption ou les vulnérabilités politiques pourraient être dangereuses pour la réputation de votre entreprise. Toute controverse dans laquelle ils sont impliqués pourrait facilement entraîner une mauvaise presse pour votre organisation, surtout dans le climat politique actuel. Veillez à évaluer ces facteurs de réputation pour chaque nouveau fournisseur que vous intégrez :

  • Vérifiez que le nom de l'entreprise figure sur les principales listes de surveillance, les listes de sanctions mondiales et les listes des autorités de réglementation.

  • Vérifiez que les employés importants figurent sur les listes de personnes politiquement exposées (PEP) et sur les listes des services de police pour voir s'ils sont politiquement exposés

  • Processus et pratiques externes en matière de risques

  • Rapports de services gouvernementaux tels que le Consumer Financial Protection Bureau (Bureau de protection financière des consommateurs)

  • Historique des litiges de l'entreprise et des employés

  • Les nouvelles qui sont négatives

  • Commentaires négatifs et plaintes sur les sites d'évaluation

Prochaines étapes

Pour en savoir plus sur notre approche, consultez notre guide des meilleures pratiques ou demandez une démonstration pour découvrir comment Prevalent peut simplifier vos initiatives de gestion des risques liés aux fournisseurs.

Tags :
Partager :
Leadership brenda ferraro 2
Brenda Ferraro
Vice-président des risques liés aux tiers

Brenda Ferraro possède plusieurs années d'expérience de première main dans la gestion des risques liés aux fournisseurs, aux services et aux entreprises de traitement des données. Dans sa quête pour réduire les risques liés aux tiers, elle a organisé une myriade de parties prenantes et conçu une approche pour gérer les risques, qui a été reconnue par les régulateurs et une multitude de centres d'analyse et de sécurité de l'information (ISAC). Dans son rôle avec Prevalent, Brenda travaille avec les entreprises pour construire des écosystèmes de solutions uniques qui éliminent les complexités de la gestion des risques des tiers par le biais d'une plate-forme, d'un cadre et d'une méthodologie de gouvernance communs, simples et abordables. Avant de rejoindre Prevalent, Brenda a dirigé des organisations dans le cadre de la normalisation des contrôles, de la réponse aux incidents, de l'amélioration des processus, de l'établissement de rapports basés sur des données et de la gouvernance dans des entreprises telles que Aetna, Coventry, Arrowhead Healthcare Centers, PayPal/eBay, Charles Schwab et Edwards Air Force Base. Elle est titulaire des certifications vBSIMM, CTPRP, ITIL et CPM.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo