Les failles dans la gestion des risques liés aux tiers
Note de l'éditeur : Cet article a été initialement publié sur RadicalCompliance.com.
Un autre jour, un autre rapport sur les défis de la gestion des risques liés aux tiers. Cette fois-ci, il s'agit d'un rapport de la société de logiciels Prevalent, qui mérite que l'on s'y attarde pour les perceptions contradictoires du risque lié aux tiers qu'il met en évidence.
Avant tout, le rapport est intéressant parce qu'il définit le risque lié aux tiers comme une question de cybersécurité et de chaîne d'approvisionnement, plutôt que comme une question de lutte contre la corruption et de conformité. Par exemple, 87 % des personnes interrogées (environ 150 personnes au total) ont déclaré qu'elles évaluaient les tiers pour s'assurer que ces derniers "n'introduisent pas de risques dans notre activité qui pourraient avoir un impact négatif sur nous" - ce qui est une façon élégante de dire "risque de cybersécurité remontant notre chaîne d'approvisionnement".
Seuls 60 % d'entre eux ont déclaré qu'ils évaluaient le risque lié aux tiers pour des préoccupations plus axées sur la conformité, telles que les réglementations relatives à la confidentialité des données.
On peut dire qu'il s'agit d'un progrès : les entreprises considèrent désormais la gestion des risques liés aux tiers comme une nécessité, quelque chose qu'elles doivent faire indépendamment des réglementations qui pourraient les contraindre. (En effet, 22 % des personnes interrogées ont déclaré qu'au cours de l'année écoulée, une perturbation de la chaîne d'approvisionnement a affecté leur propre capacité à livrer des biens et des services).
D'un autre côté, ce rapport soulève des questions plus larges : Si la gestion des risques liés aux tiers est une nécessité pour le bon fonctionnement des entreprises, ne devrions-nous pas définir les risques liés aux tiers de manière exhaustive ? Et les entreprises ne devraient-elles pas s'efforcer d'adopter une approche unique et globale de la gestion des risques liés aux tiers, plutôt que d'avoir plusieurs fonctions différentes d'assurance des risques qui se partagent la même pomme ?
C'est ce qui m'a le plus frappé dans le rapport Prevalent : le fait qu'il utilise les mêmes mots que les responsables de l'éthique et de la conformité, pour décrire des choses très différentes. Par exemple, 39 % des personnes interrogées ont déclaré qu'elles ne suivent pas actuellement le risque de corruption chez leurs tiers, alors qu'elles devraient le faire. Mais 88 % d'entre eux suivent le risque de cybersécurité, et 73 % le font. Voir la figure 1, ci-dessous.
Source : Prevalent
Je soupçonne que ces réponses sont le résultat des personnes qui ont répondu à cette enquête ; Prevalent a indiqué que 76 % d'entre elles travaillaient dans le domaine de l'informatique ou de la sécurité informatique. Mais je soupçonne également que si nous retournions dans ces mêmes entreprises et interrogions leurs responsables de l'éthique et de la conformité ou leurs juristes sur la gestion des risques liés aux tiers, nous obtiendrions des réponses très différentes.
Et c'est là ma véritable préoccupation : nous avons différents groupes qui considèrent la même menace pressante mais mal définie - le risque lié aux tiers - de manière radicalement différente.
Différences de risque des tiers à l'échelle
Certains professionnels de l'éthique et de la conformité pourraient rejeter tout cela comme un point académique. "Les RSSI ont leurs maux de tête liés aux risques des tiers, j'ai les miens, et je dois retourner à mes enquêtes de diligence raisonnable."
Je peux comprendre ce sentiment, mais c'est une vision à court terme. Alors que les entreprises sont de plus en plus étroitement liées à leur chaîne d'approvisionnement , que les opérations deviennent de plus en plus précises dans leurs prévisions et leur exécution (merci la révolution logicielle) et que l'environnement commercial mondial devient de plus en plus réglementé, tout cela met l'accent sur une gouvernance efficace de votre chaîne d'approvisionnement.
Sauf que nos supérieurs dans la salle du conseil ne veulent pas d'un flux constant de rapports provenant de multiples fonctions de deuxième ligne de défense, chacune fournissant une assurance sur un aspect différent du risque tiers. Ils veulent savoir que la chaîne d'approvisionnement est sous contrôle afin que l'organisation puisse poursuivre ses objectifs commerciaux.
Lorsque vous envisagez la gestion des risques liés aux tiers de cette manière, cela a de profondes implications pour les programmes de conformité et les rapports d'entreprise. Les multiples fonctions d'assurance des risques - surtout l'éthique et la conformité et la sécurité informatique - doivent consolider leurs efforts dans un programme unifié de gestion des risques liés aux tiers.
Ce serait difficile dans le meilleur des cas. Cela implique une grande collaboration sur l'évaluation de base des risques, afin de comprendre comment les tiers peuvent introduire des risques dans votre entreprise ; et un travail très détaillé sur l'élaboration de questionnaires pour les tiers, ou l'extraction des bonnes sources de données externes, ou le développement du meilleur "score de risque" pour chaque tiers en fonction de tous ces facteurs.
Il y a aussi le fait que les régulateurs et les investisseurs ne cessent d'étendre leurs propres exigences en matière d'assurance des risques. Si vous êtes un entrepreneur de la défense, le Pentagone est sur le point d'imposer de nouvelles exigences en matière d'assurance des risques de cybersécurité avec son exigence de conformité CMMC. Si vous êtes une société cotée en bourse, la SEC (notez mes mots) va faire pression pour une meilleure compréhension des risques liés au changement climatique. Et ainsi de suite.
Quelle est donc votre stratégie technologique pour répondre à ces exigences de conformité ? Comment allez-vous mettre en place un programme de gestion des risques liés aux tiers qui fonctionne aujourd'hui et qui est suffisamment robuste pour répondre aux exigences encore plus importantes en matière d'assurance des risques liés aux tiers demain ?
A vous de me le dire. MKelly@radicalcompliance.com.