Vendor Offboarding : Une liste de contrôle pour réduire les risques et simplifier le processus

Défis liés à l'intégration des fournisseurs

Les équipes chargées des achats, de la gestion des fournisseurs et de la sécurité considèrent souvent la gestion des risques liés aux tiers (TPRM) comme un exercice à réaliser avant d'intégrer un nouveau fournisseur. Il n'est donc pas étonnant que, dans de nombreuses entreprises, l'intégration des fournisseurs ne soit qu'une réflexion après coup. Alors que près de 90 % des entreprises suivent les risques dès les phases d'approvisionnement et de sélection, moins de 80 % d'entre elles suivent les accords de niveau de service (SLA) et les risques liés à l'externalisation à un stade ultérieur du cycle de vie de la relation. Si la diligence raisonnable dans la recherche et la sélection des fournisseurs est une activité importante, la mesure et la gestion des risques s'étendent tout au long de la relation avec un fournisseur. Cela inclut la gestion de la fin d'une relation avec un retrait complet du fournisseur.

Participation limitée des parties prenantes

Comme pour l'intégration des fournisseurs, le cloisonnement des connaissances peut rendre difficile l'identification de toutes les tâches nécessaires à la résiliation d'un contrat avec un fournisseur. L'approvisionnement peut informer un fournisseur qu'un contrat ne sera pas renouvelé, mais le service juridique doit examiner les termes du contrat et fournir des détails sur les étapes nécessaires à une résiliation en bonne et due forme. Dans certains cas, l'ingénierie peut avoir besoin d'identifier la propriété intellectuelle partagée avec le fournisseur. La fabrication et les opérations doivent confirmer les mesures à prendre pour éviter les arrêts de production. Le service financier doit identifier les factures ou les crédits en suspens dus par le fournisseur. La sécurité informatique doit s'assurer que les données sont détruites et que l'accès au système est révoqué. Sans coordination entre ces équipes, l'arrêt des activités est une tâche compliquée.

Laxisme en matière de diligence raisonnable pour l'accueil des nouveaux arrivants

Il est plus facile de se concentrer sur les activités avec les nouveaux fournisseurs que sur ceux qui sont retirés. Pour atténuer les risques mentionnés ci-dessus, il est essentiel de faire preuve de rigueur lors du retrait d'un fournisseur. Pour ce faire, tous les membres de l'équipe qui interagissent avec le fournisseur doivent identifier les risques potentiels, convenir des mesures d'atténuation à prendre et suivre méticuleusement les progrès accomplis. Les méthodes manuelles de diligence raisonnable conduiront inévitablement à des tâches manquées et à des risques non résolus.

Visibilité incomplète de l'atténuation des risques

Le suivi des tâches dans des feuilles de calcul ou des documents partagés peut rendre le processus d'intégration incohérent et sujet à des erreurs. L'exhaustivité et l'exactitude d'une liste de tâches dépendent de l'expertise de chacun dans le processus d'intégration. Par exemple, un employé moins expérimenté peut négliger des tâches essentielles ou marquer à tort un élément comme étant complet sans la documentation complète du fournisseur. Les feuilles de calcul auxquelles plusieurs employés peuvent accéder manquent également de contrôles d'audit.

Meilleures pratiques en matière d'intégration des fournisseurs

Un processus centralisé peut aider les équipes à automatiser l'intégration des fournisseurs, à s'assurer qu'elle est complète et à réduire les risques de manière efficace. Voici sept bonnes pratiques à suivre lors de l'intégration des fournisseurs :

1. Maintenir les lignes de communication ouvertes

Les équipes peuvent limiter les risques en maintenant les lignes de communication ouvertes avec le fournisseur tout au long du processus d'intégration. Il s'agit notamment d'informer les fournisseurs du calendrier d'intégration, de répondre à leurs questions et de leur fournir des instructions claires sur ce qui est attendu d'eux au cours du processus. Une solution qui centralise les interactions avec les fournisseurs, maintient les tâches et les calendriers et exige des flux de travail d'approbation réduira considérablement le travail manuel nécessaire pour traiter ces questions.

2. Procéder à un examen final du contrat

Examinez les clauses de résiliation du contrat pour vous assurer que vous avez le droit de mettre fin à la relation et, le cas échéant, que vous disposez des délais nécessaires pour le faire. Si vous résiliez le contrat en raison d'une violation des conditions contractuelles, assurez-vous que des avis ont été émis et que les droits du vendeur de remédier aux lacunes ont été respectés. Les équipes peuvent avoir modifié les conditions contractuelles au fil du temps. Un examen final avec le service juridique et le service des achats peut permettre d'identifier les modifications de la portée du contrat et de s'assurer que le fournisseur a fourni tous les biens et services prévus dans le contrat.

Enfin, passez en revue les indicateurs de performance clés, les livrables en attente et les paiements. Si le vendeur fournit des pièces, assurez-vous que les accords de garantie et d'assistance qui survivent à la résiliation sont clairs.

3. Régler les factures en suspens

Après avoir examiné en détail les termes du contrat et identifié les obligations restantes pour les deux parties, assurez-vous de recevoir les derniers produits livrables et de planifier les paiements finaux. Veillez à inclure les crédits ou les retours dans le calcul des paiements, car il peut être difficile de les récupérer après avoir mis fin à la relation.

4. Révoquer l'accès à l'infrastructure informatique, aux données et aux bâtiments physiques

Les partenaires et les fournisseurs peuvent avoir besoin d'accéder à vos systèmes, tels que ceux utilisés pour les achats, l'ingénierie, le marketing et les données financières. Lorsque vous vous séparez d'un fournisseur, il est essentiel de mettre fin à son accès à votre propriété intellectuelle et à d'autres données sensibles. Il s'agit notamment de :

• S'assurer que vous disposez d'une liste de tous les comptes fournisseurs et supprimer les identifiants de connexion.
• Fournir au vendeur une liste complète de tous les équipements appartenant à l'entreprise qu'il doit restituer. Lors de la réaffectation du matériel retourné, il convient de tenir compte des exigences en matière de conservation des données.
• Modifier toutes les connexions, y compris les informations d'identification partagées si un fournisseur dispose de privilèges système élevés.
• Désautoriser l'accès à toutes les applications, y compris les VPN et les applications en nuage, pour le partage de fichiers et la messagerie.
• Désautoriser tout accès que le fournisseur aurait pu avoir par l'intermédiaire d'API, car celles-ci pourraient constituer un vecteur d'attaque utile si un pirate informatique compromettait ultérieurement le fournisseur.

Certains employés du fournisseur peuvent avoir eu besoin d'un accès physique à vos bureaux ou à vos salles de serveurs. Désactivez les cartes-clés et les badges et veillez à ce que le fournisseur rende toutes les clés physiques. Il peut parfois s'avérer nécessaire de modifier les codes d'entrée des salles de serveurs. Travaillez avec vos équipes de sécurité physique pour vous assurer qu'un processus clair est en place pour gérer l'accès physique des fournisseurs.

5. Examiner la conformité en matière de confidentialité des données et de sécurité de l'information

Les fournisseurs ont souvent accès à des données sensibles qui peuvent être soumises à des exigences réglementaires telles que CCPALes fournisseurs ont souvent accès à des données sensibles qui peuvent être soumises à des exigences réglementaires telles que le GDPR, le PCI DSS et autres. Lors de l'intégration, alignez les procédures de résiliation de votre fournisseur sur vos obligations légales. Les plateformes tierces de gestion des risques intègrent des rapports qui s'alignent sur ces obligations réglementaires, ce qui simplifie le processus de mise en conformité.

Si le fournisseur possède des copies de vos données sensibles, celles-ci pourraient être exposées lors d'une violation ultérieure. Morgan Stanley n'a pas supervisé correctement le démantèlement des serveurs d'un tiers. Une violation ultérieure du tiers a exposé des informations personnelles et a entraîné une amende de 60 millions de dollars de la part de l'Office of the Comptroller of the Currency (OCC). Veillez à ce que toute la propriété intellectuelle et les données sensibles soient restituées. Une déclaration sous serment du fournisseur est également requise, indiquant que les copies électroniques sur l'infrastructure du fournisseur - y compris sur les appareils des employés - sont supprimées en toute sécurité. Examiner avec le fournisseur les obligations restantes, telles que les accords de confidentialité, de non-divulgation et de non-concurrence.

6. Mettez à jour votre base de données de gestion des fournisseurs

Toutes les résiliations ne sont pas définitives. Vous souhaiterez disposer d'un dossier clair sur l'historique du fournisseur avec votre organisation, y compris les indicateurs clés de performance (ICP) du fournisseur. Pour réduire les risques juridiques, documentez clairement les raisons de la résiliation de la relation et tenez une comptabilité complète des procédures de résiliation. Veillez à conserver des traces de toutes les communications, de tous les contrats et de tous les autres documents échangés entre votre organisation et le fournisseur, afin de pouvoir résoudre rapidement toute question ou tout problème à l'avenir.

7. Surveiller en permanence les fournisseurs pour déceler les risques potentiels futurs

Même si le contrat a été résilié et que toutes les tâches ont été accomplies avec succès, des risques pour vos systèmes et vos données, ainsi que des risques de conformité ou de réputation, peuvent encore apparaître longtemps après la fin de la relation. Une surveillance continue des différents vecteurs de risque permettra à votre équipe de disposer d'une visibilité étendue sur les risques potentiels à venir.

Prochaines étapes pour améliorer votre processus d'intégration des fournisseurs

La gestion manuelle de l'intégration des fournisseurs au sein d'une grande organisation peut épuiser même les équipes de gestion des risques les mieux dotées en personnel. Bien que des mesures telles que la centralisation des données sur les fournisseurs et l'uniformisation des processus d'intégration dans l'ensemble de l'organisation puissent être utiles, la plupart des grandes organisations tirent un grand profit de l'utilisation d'une plateforme tierce de gestion des risques.

Une plateforme TPRM dédiée peut :

• Fournir une source unique de vérité pour les informations sur les fournisseurs, encourager la collaboration entre les parties prenantes internes et les fournisseurs dans le cadre d'une solution centrale.
• Centraliser la gestion du cycle de vie des contrats, en automatisant les tâches pour s'assurer que les dispositions contractuelles sont respectées afin de protéger l'entreprise.
• Automatiser l'évaluation et la surveillance continue des risques liés aux fournisseurs - de l'entrée à la sortie - en centralisant les résultats dans un registre des risques unique qui permet une action coordonnée.
• Offrir des conseils de remédiation pour s'assurer que les fournisseurs retirés du marché répondent aux exigences de conformité et de sécurité de votre entreprise à un niveau de risque acceptable.
• Mettre en place un processus normatif pour traiter les tâches finales et établir des rapports conformément aux exigences de conformité.

Vous souhaitez savoir comment Prevalent peut contribuer à réduire les risques lors de l'externalisation dans le cadre de votre cycle de vie plus large de la gestion des tiers ? Demandez une démonstration dès aujourd'hui.