Ce que chaque cadre de crédit devrait savoir sur la gestion des risques liés aux tiers

Note de l'éditeur : l'entretien suivant avec Brad Hibbert de Prevalent a été publié à l'origine sur www.credittoday.net et est reproduit ici avec l'autorisation de l'auteur.

De plus en plus, les gestionnaires de crédit racontent à Credit Today qu'on leur demande de fournir des évaluations des risques liés aux fournisseurs. Cela n'a rien de surprenant, compte tenu du stress qui affecte les chaînes d'approvisionnement mondiales et locales et de l'avènement de la durabilité comme thème de gestion.

En outre, l'émergence de la gestion des risques d'entreprise (ERM) donne naissance à de nouvelles disciplines et technologies professionnelles. La sécurité des données est une question centrale pour les fournisseurs de TI et de services, mais la chaîne d'approvisionnement d'une entreprise est également au centre des préoccupations, et c'est là que des compétences d'analyste de crédit sont nécessaires pour évaluer les risques financiers et opérationnels des fournisseurs et prestataires de services existants et potentiels.

Pour mieux comprendre la gestion du risque de tiers (TPRM) et le rôle que les responsables du crédit peuvent jouer, nous nous sommes entretenus avec Brad Hibbert, COO/CSO de Prevalent, un fournisseur de solutions logicielles TPRM.

Que doivent savoir les gestionnaires de crédit sur le processus TPRM ?

La gestion des risques liés aux tiers (TPRM) est le processus d'analyse et de réduction des risques associés à l'externalisation vers des vendeurs ou des prestataires de services tiers. Il existe de nombreux types de risques dans la catégorie des risques liés aux tiers. Il peut s'agir de risques liés à la sécurité, aux finances, à l'environnement et à la réputation. Notamment, la stabilité financière et le risque d'insolvabilité constituent un élément important du cycle de vie de la gestion des risques liés aux tiers. Bien que les analyses et les considérations financières de TPRM et de l'analyse de crédit soient comparables, TPRM est davantage axé sur les opérations, car il peut affecter les services générateurs de revenus.

Comment le TPRM est-il géré dans la plupart des entreprises ?

Trois catégories de marché distinctes ont émergé pour traiter les risques liés aux tiers : TPRM, gestion des risques de la chaîne d'approvisionnement (SCRM) et gestion des risques de conformité. Ces processus s'intéressent à différents aspects des risques liés aux tiers, spécifiques aux fonctions - par exemple, la sécurité, l'approvisionnement et l'audit. Historiquement, ces processus étaient réalisés annuellement, mais la tendance actuelle est d'évaluer en permanence les risques liés aux tiers en combinant des évaluations basées sur des questionnaires et une surveillance continue des données publiques.

Quels secteurs de l'organisation sont impliqués dans TPRM ?

Historiquement, les processus impliqués dans l'évaluation de ce risque ont été déconnectés. L'informatique/sécurité se concentre sur les risques liés à la sécurité des fournisseurs informatiques. La gestion des achats et/ou des fournisseurs se concentre sur les risques non liés à l'informatique, notamment les risques financiers, les performances, la livraison, les risques géopolitiques et, désormais, les risques ESG (environnement, social et gouvernance). Les fonctions juridiques et de conformité s'intéressent aux sanctions, aux personnes politiquement exposées (PEP), à la propriété de l'État ; et ces équipes peuvent également se tourner vers les équipes de sécurité/TI pour effectuer une diligence fondée sur les contrôles concernant les contrôles protégeant les données et l'accès aux données et leur relation avec divers mandats réglementaires tels que le règlement général sur la protection des données (RGPD) de l'Union européenne, le règlement 23 NY CRR 500 du département des services financiers de l'État de New York (NYDFS), etc.

Comment les gestionnaires de crédit peuvent-ils aider au mieux l'équipe TPRM et y a-t-il des domaines au-delà du risque organisationnel ou financier dans lesquels les gestionnaires de crédit peuvent être utiles ?

Si les gestionnaires de crédit dérivent les risques et les mesures de risque à l'aide d'une analyse standard ou propriétaire, ces risques et ces informations peuvent être réinjectés dans le programme TPRM. Non seulement ces informations peuvent être prises en compte dans le contexte d'autres risques non financiers, mais elles peuvent également être utilisées pour déclencher et appliquer des flux de travail cohérents en matière de risques dans les départements internes tout au long de la relation avec le fournisseur.

Quels sont les meilleurs moyens pour les gestionnaires de crédit de communiquer les facteurs de risque à l'équipe TPRM ?

Si les gestionnaires de crédit utilisent un processus et un produit distincts de ceux du programme TPRM, les risques et les scores de risque pourraient être intégrés. Cela permettrait de corréler ces informations avec d'autres dimensions du risque, de les utiliser pour déclencher des flux de travail plus standardisés sur le risque entre les équipes et de tirer parti du programme TPRM pour suivre l'atténuation de ces risques par le biais d'une interaction avec l'entreprise et les tiers eux-mêmes, grâce à un processus de flux de travail standardisé.

Veuillez développer un peu plus les sources des données que les équipes TPRM collectent sur les fournisseurs et autres vendeurs.

Beaucoup de choses peuvent se passer entre les évaluations périodiques des risques basées sur des questionnaires. Pour compléter les évaluations ponctuelles, les organisations effectuent également une surveillance afin d'avoir un aperçu continu des risques liés aux tiers. Voici quelques exemples de flux de surveillance continue:

• ESG : notation environnementale, sociale et de gouvernance pour les entreprises publiques, offrant un aperçu de la position et des processus adoptés par l'organisation, avec des examens annuels par les pairs et la base de données des violations écologiques de l'EPA.
• Cyber: Forums criminels ; pages oignons ; forums d'accès spéciaux du dark web ; flux de menaces ; sites de collage d'informations d'identification ayant fait l'objet de fuites - ainsi que les communautés de sécurité, les dépôts de code et les bases de données de vulnérabilités.
• Affaires : Examens des sites Web publics, des blogs d'entreprise, des articles d'actualité, etc. Cela permet d'identifier tout événement d'intérêt potentiel qui fait l'objet de discussions dans la communauté au sens large, comme les déclarations financières, les fusions, les changements opérationnels et les enquêtes.
• Financier : Les flux de travail des agences de crédit et des enquêtes permettent de repérer toute anomalie financière ou toute participation à une coquille qui peut avoir un impact sur la stabilité financière.
• Réputation : Listes de sanctions et d'application localisées dans le monde entier, y compris l'identification des personnes ou des entreprises politiquement exposées avec lesquelles les transactions sont actuellement interdites.
• Piratage et violation de données : Violations de données ou piratages connus au cours des 10 dernières années, y compris les fuites d'informations d'identification sur des sites publics qui doivent être prises en compte.

Pour les gestionnaires de crédit, ce niveau de surveillance n'élimine certainement pas la nécessité d'une analyse financière traditionnelle, mais il fournit des indications précoces sur les activités qui ont un impact important en aval sur la situation financière et la solvabilité d'un tiers. Si une entreprise a des antécédents de violation de données, si elle est victime d'une violation active, si elle subit une panne massive ou si elle est impliquée dans un litige, voudriez-vous en être informé ? Toutes ces informations peuvent être rassemblées, résumées, classées par ordre de priorité et transmises de manière proactive aux gestionnaires de crédit appropriés, ce qui permet de prendre des décisions plus rapides et de prendre des mesures correctives plus opportunes qui peuvent inclure des ajustements des lignes de crédit, des conditions de crédit et/ou de l'assurance-crédit.

Comment Cyber-data et Sentiment Data peuvent-ils aider les gestionnaires de crédit ?

L'harmonisation du programme TPRM permet à une entreprise de développer un profil de risque complet pour les tiers. Les équipes peuvent exploiter ces informations à travers un objectif qui les aide à prendre de meilleures décisions fondées sur le risque dans leur fonction. En plus de la présélection standard et des données financières, TPRM peut fournir des informations supplémentaires.

Du point de vue de cyber , un solide programme TPRM peut fournir des informations sur l'historique des violations de données et l'hygiène de sécurité actuelle associée à un tiers. Il peut également aider à répondre à la question de savoir si le tiers se protège bien. Considérez cela comme un indicateur d'une éventuelle compromission. Combien de divulgations publiques de violations ont eu lieu au cours des 10 à 15 dernières années, quelle quantité de données a été compromise et quel type de données a été compromis ? Un mauvais historique de violation peut avoir un impact sur la capacité d'une organisation à fournir des services, à payer ses factures ou, en fait, à survivre. Une fois intégrée, une solution TPRM peut automatiquement surveiller les violations de données en cours chez vos tiers afin de vous assurer que vous disposez de stratégies proactives de remédiation et d'atténuation des risques. Ces informations peuvent également être exploitées par les souscripteurs d'assurance-crédit pour aller au-delà des paramètres financiers standard.

Du point de vue de la réputation de l'entreprise, la surveillance peut également fournir des informations continues sur les événements commerciaux qui pourraient avoir un impact sur la capacité d'un tiers à fournir ou potentiellement perturber le service, notamment les licenciements, les pannes, les interruptions de travail ou l'impact sur la réputation et la marque, comme les violations de l'EPA, les poursuites judiciaires, etc. Tous ces événements peuvent non seulement avoir un impact sur la capacité d'une organisation à fournir des services, mais aussi sur la façon dont elle paie ses factures. Tous ces événements peuvent non seulement avoir un impact sur la capacité d'une organisation à fournir des services, mais aussi sur la manière dont elle paie ses factures. Cela s'étend à la visibilité des états financiers, aux licenciements de personnes clés et aux fusions/acquisitions, qui peuvent affecter la situation financière future d'un tiers.

L'EPA, l'ESG et d'autres facteurs de risque environnementaux apparaissent-ils comme des domaines d'importance ?

Chaque année, nous réalisons une enquête TPRM et chaque année, les risques non informatiques gagnent en importance. Au sein de cette cohorte, nous continuons à voir l'intérêt pour la visibilité des risques non-IT et la remédiation des risques augmenter, y compris dans les domaines de la réputation de l'entreprise et de l'ESG.

Le thème de l'approvisionnement éthique prend de plus en plus d'importance, à tel point que les fonds axés sur les critères ESG deviennent populaires auprès des investisseurs. Ce phénomène est en partie dû à l'afflux de données partagées par les organisations pour démontrer leur alignement sur les principes directeurs ESG, ce qui permet une analyse dans le processus de sourcing.

Quel type de suivi permanent est nécessaire et la gestion du crédit peut-elle y contribuer ?

À mon avis, les avantages pour la gestion du crédit comprennent une combinaison d'informations proportionnelles sur l'activité commerciale, ainsi qu'une visibilité supplémentaire des dossiers financiers, afin de fournir un instantané de la santé de l'organisation au sens large. La surveillance continue peut également s'étendre aux événements signalés par l'organisation qui, autrement, ne seraient pas pris en compte.

Lorsque le patrimoine de tiers est examiné dans son ensemble, il offre une base de données supplémentaire de tendances et de variables financières qui peuvent contribuer à alimenter les modèles et, à leur tour, soutenir les considérations quotidiennes des gestionnaires de crédit. Le défi est d'avoir accès à cet ensemble de données de surveillance continue et d'en tirer des conclusions significatives. Cela nécessite une collaboration et un partage des connaissances.

Les gestionnaires de crédit peuvent également contribuer et soutenir les centres de décision pour les risques liés aux tiers lorsqu'ils ne sont pas liés. La richesse de l'expérience et de l'exposition aux dossiers financiers peut être mise à profit pour permettre et éduquer ceux qui examinent les rapports des tiers, et fournir des conseils sur les risques et les pièges potentiels.