Demandez une démo

Élargir le champ d'application de la gestion des risques liés aux fournisseurs dans le domaine de l'approvisionnement

La redoutable violation de données a amené les organisations à donner la priorité à la gestion des risques liés aux tiers dans le flux de travail de l'approvisionnement au paiement.
02 juin 2021
Nouvelles pymnts logo vert

Note de l'éditeur : Cet article a été initialement publié sur PYMNTS.com.

La redoutable violation de données a amené les organisations à donner la priorité à la gestion des risques liés aux tiers dans le flux de travail de l'approvisionnement au paiement. Mais lorsqu'il s'agit de gérer les fournisseurs - et les menaces potentielles qu'ils peuvent présenter pour l'entreprise - les risques vont bien au-delà des problèmes informatiques.

L'importance de la diversification des efforts de gestion des risques liés aux tiers est devenue douloureusement évidente au cours de plus d'une année d'agitation de la chaîne d'approvisionnement. Entre l'évolution des modèles d'entreprise et les efforts pour diversifier ces chaînes d'approvisionnement, les organisations ont fait appel à de nouveaux partenaires tiers et ont reconnu que les fuites de données n'étaient pas le seul casse-tête potentiel.

Comme Brad Hibbert, directeur de l'exploitation et directeur de la stratégie chez Prevalent, l'a récemment expliqué à PYMNTS, les entreprises commencent à comprendre que leurs stratégies de gestion des risques liés aux tiers doivent adopter une vision plus large de leurs écosystèmes de partenaires. Il s'agit non seulement d'examiner des facteurs allant au-delà du risque de violation des données, mais aussi d'adopter une attitude plus continue et proactive pour faire face aux diverses menaces avant qu'elles ne se produisent.

Lorsque tout, des protocoles de sécurité aux retards de paiement interentreprises, peut mettre en lumière le risque qu'un fournisseur représente pour une entreprise, il est vital pour les professionnels d'avoir accès à des données à la demande avant même la signature d'un contrat, a-t-il ajouté.

Au-delà de l'informatique

L'une des premières erreurs qu'une entreprise peut commettre dans sa stratégie de gestion des risques liés à l'approvisionnement et au paiement est de trop se concentrer sur l'informatique.

"Traditionnellement, de nombreuses organisations se sont concentrées sur les fournisseurs informatiques, et lorsqu'elles pensent à fournir un accès ou à externaliser le traitement autour des données, elles ont eu tendance à se concentrer sur les contrôles de sécurité informatique", a déclaré Hibbert. "COVID a vraiment amené les organisations à prendre du recul et à essayer d'adopter une approche plus holistique."

Si la sécurité des données et la protection de la vie privée sont des éléments clés d'un programme complet de gestion des risques, il existe de nombreux autres facteurs qui façonnent un profil de risque, d'autant plus que les organisations adoptent une approche plus diligente de l'approvisionnement stratégique. Une entreprise a peut-être mis en place des objectifs clés en matière de politique de gouvernance environnementale et sociale, ou de résilience de la chaîne d'approvisionnement. Le choix des fournisseurs est un processus qui doit inclure l'analyse de la question de savoir si un fournisseur soutiendra ces initiatives ou présentera une menace pour elles.

Ce qui peut rendre une approche globale de la gestion des risques plus difficile, cependant, c'est que les entreprises comprennent également qu'elles doivent étendre leurs stratégies au-delà des départements internes.

"Il y a beaucoup d'équipes individuelles qui interagissent avec un tiers tout au long de la relation", a noté Hibbert. "Il y a le sourcing et les achats, la gestion des contrats, le juridique, la conformité et la sécurité. Toutes ces personnes touchent le fournisseur de différentes manières, mais elles ne considèrent le risque que sous leur propre dimension, très ciblée."

Selon lui, une approche plus globale implique une collaboration entre les départements, afin que l'entreprise puisse adopter une approche unifiée des évaluations des risques et des efforts d'atténuation.

Pas un "one and do

La nécessité pour les entreprises d'ajuster le calendrier des évaluations des risques des tiers représente également une rupture importante par rapport aux flux de travail traditionnels de gestion des risques liés aux fournisseurs.

Historiquement, une entreprise peut avoir signé un contrat avec un fournisseur, envoyé un questionnaire et évalué son profil de risque dès le début de la relation - pour ne plus jamais le réévaluer. Aujourd'hui, il est vital pour les entreprises d'adopter une attitude plus proactive en matière de risque et d'évaluer un fournisseur avant la signature de tout contrat.

De plus, a noté M. Hibbert, les organisations sont maintenant chargées de surveiller continuellement ces risques. Cela implique un contact permanent avec un fournisseur, ainsi que la capacité de suivre ce qui se passe sur le marché par le biais de reportages et d'autres sources. Malheureusement, c'est souvent là que de nombreuses entreprises ont des difficultés.

"Ils ne font pas la diligence pré-contractuelle, ou ils ne font pas de diligence post-contractuelle - donc ils font tout en amont, mais une fois les contrats signés, ils ne surveillent pas ce fournisseur pour les risques en cours", a-t-il expliqué. "C'est le domaine qui fait défaut à de nombreuses organisations aujourd'hui".

Élargir le champ des données analysées - et augmenter la fréquence de cette évaluation - est certainement un défi lorsque les entreprises ont l'habitude de gérer les données relatives aux risques sur des feuilles de calcul pour des centaines, voire des milliers de partenaires et fournisseurs tiers. Mais si l'un de ces fournisseurs dépose le bilan, effectue des paiements B2B tardifs à ses propres fournisseurs ou dispose d'un type de technologie qui vient d'être révélé comme présentant une vulnérabilité en matière de sécurité, les entreprises doivent avoir un aperçu de ces événements qui modifient leur profil de risque.

Les anciennes stratégies de gestion des risques de l'approvisionnement au paiement ne suffisent plus, et un effort ponctuel de collecte de données est loin d'être suffisant. Les entreprises ont besoin d'accéder aux données à la demande, et le plus rapidement possible pour une approche plus robuste.

"Nous constatons que les organisations s'efforcent d'adopter une approche plus holistique, de bout en bout, de l'ensemble du cycle de vie des tiers", a déclaré M. Hibbert.