Note de l'éditeur : Cet article a été initialement publié sur ContinuityCentral.com.
Un nouveau rapport de Prevalent, "2021 Third Party Risk Management Study : Looking Beneath the Cyber Risk Surface', donne un aperçu des tendances, défis et initiatives actuels qui ont un impact sur les praticiens de la gestion des risques liés aux tiers dans le monde entier. Les résultats montrent clairement que la plupart des entreprises passent à côté de risques clés à plus d'une étape du cycle de vie des risques liés aux fournisseurs, mais que peu d'entre elles développent leurs programmes de gestion des risques liés aux tiers (TPRM) pour faire face à ces risques.
83 % des entreprises déclarent se concentrer davantage sur les risques liés aux tiers en raison de COVID-19, mais seulement 40 % élargissent leurs programmes : COVID-19 a été le plus grand événement de 2020, augmentant l'attention organisationnelle sur la gestion des risques liés aux tiers pour 83 % des entreprises. Pourtant, seuls 40 % des répondants à l'étude déclarent étendre leurs programmes TPRM en conséquence. Plus inquiétant encore, 44 % des entreprises déclarent ne pas suivre activement les risques liés à la chaîne d'approvisionnement, qui ont été le principal impact de la gestion des risques liés aux tiers en cas de pandémie.
Moins de la moitié des entreprises suivent activement les risques de réputation non liés à la sécurité (cyber ) : étant donné que les équipes informatiques et de sécurité sont responsables de la gestion des risques liés aux tiers dans 50 % des entreprises, et probablement en raison du nombre croissant de violations de données dommageables commises par des tiers, l'étude montre que les risques liés à la sécurité ( cyber ) font l'objet de la plus grande attention. Cependant, les personnes interrogées admettent qu'elles devraient suivre les risques tels que les accords de niveau de service et les performances (47 %), les risques géopolitiques (47 %), les normes de travail (45 %), les risques environnementaux (45 %), les risques liés aux droits de l'homme, à la traite des êtres humains et à l'esclavage (40 %), et les risques liés à l'ABAC (39 %). Ne pas suivre ces types de risques peut exposer une organisation à des dommages de réputation.
50 % des entreprises ne disposent pas de la diligence raisonnable précontractuelle nécessaire pour évaluer efficacement les fournisseurs potentiels : plus de 50 % des répondants ont indiqué que le plus grand défi auquel ils sont confrontés en matière de gestion des risques liés aux tiers est de ne pas disposer d'une diligence raisonnable précontractuelle suffisante pour identifier les risques potentiels liés aux fournisseurs. Plus alarmant encore, 59 % indiquent qu'ils n'évaluent pas activement les risques liés aux tiers au cours de la phase d'intégration du cycle de vie des fournisseurs. Les organisations passent à côté de risques critiques à plusieurs étapes du cycle de vie des tiers.
Seulement 22 % des entreprises impliquent les équipes d'approvisionnement dans la gestion des risques liés aux tiers : 55 % des organisations ont constaté une augmentation de l'appropriation de la gestion des risques liés aux tiers par la sécurité au cours de l'année écoulée, mais seulement 22 % des entreprises constatent une augmentation de l'appropriation par les équipes d'approvisionnement, ce qui signifie que les risques importants ESG, ABAC et financiers liés aux fournisseurs dont ces équipes ont généralement besoin pour évaluer correctement les fournisseurs ne reçoivent peut-être pas l'attention nécessaire.
65 % des entreprises ne sont pas satisfaites des feuilles de calcul : 42 % des répondants ont déclaré qu'ils évaluaient leurs tiers à l'aide de questionnaires basés sur des feuilles de calcul et 65 % d'entre eux sont soit insatisfaits, soit neutres par rapport à cette approche.
Les résultats de l'étude démontrent que les équipes de sécurité informatique et les équipes commerciales doivent collaborer plus étroitement pour identifier et atténuer davantage de types de risques à toutes les étapes du cycle de vie des tiers. Le rapport se termine par les recommandations suivantes visant à unifier la sécurité informatique et l'entreprise pour obtenir de meilleurs résultats de l'intégration à l'exclusion :