Webinar a la carta: Caso práctico de Pfizer - Cómo gestionar correctamente los riesgos de terceros

Peter Schumacher: bienvenido y gracias por unirse a nuestro webinar de hoy cómo conseguir la gestión de riesgos de tercerosMi nombre es Peter Schumacher y soy el anfitrión de su seminario web de hoy. Tengo un par de asuntos que tratar antes de que empecemos. En primer lugar, les recuerdo que las viñetas y las líneas de correo electrónico están silenciadas, pero en un esfuerzo por mantener esta sesión interactiva, les invitamos a que envíen sus preguntas a través de la consola de zoom. Si el tiempo lo permite, al final de la hora se celebrará una sesión de preguntas y respuestas en directo.así que en este punto me gustaría pasar la palabra a Keith y Brenda muchas gracias por unirse a nosotros hoy y por favor llévenselo.

Brenda Ferraro: Gracias Peter Keith bienvenido estoy muy emocionada de que todo el mundo sepa todo el gran trabajo que has estado haciendo en el último año en la maduración de su programa de riesgo de terceros estás listo para empezar Keith Walter: Ciertamente lo estoy, así que vamos a tener que cambiar las diapositivas y aquí están los presentadores de hoy sólo para que puedan ver lo que parece que están tratando de obtener una imagen no borrosa de Keith, pero en vano vamos a mantenerlo como está, pero como han oído soy el evangelista jefe de terceros y director senior de redes para Prevelant he sido un prevalente durante dos años, pero mi historia de riesgo de terceros se ha extendido a lo largo de seis años.Tengo más de 20 años de experiencia en TI. ¿Y tú? ¿Cuándo te metiste en el sector de terceros? Pasé 27 años en el sector químico y 15 de ellos trabajando con terceros.

gestión de riesgos y otra gestión de riesgos y desde entonces se han trasladado los últimos tres años a Pfizer, donde he estado más centrado en la gestión de riesgos y la planta de seguridad cibernética por lo que este ha sido un área de pasión para mí por lo menos alrededor de 1718 años y los dos de nosotros hemos trabajado juntos tal vez más de cuatro años con el octavo paquete de hielo es que correcto sí es de tres más sí Brenda Ferraro: deslizándolo en cuatro todos los derechos así que vamos a empezar estoy seguro de que todo el mundo no quiere saber la historia de cómo nos hemos conocido, pero vamos a hablar de por qué estamos aquí hoy en día el tercero -el riesgo de terceros ha evolucionado de una posición de recopilación de contenido a ser conscientes, tal vez utilizando estaciones activas para comprender mejor dónde están sus entidades, terceras partes, vendedores o proveedores, asegurando sus controles y si estos realmente coinciden con los requisitos de sus clientes para el cumplimiento y las necesidades reglamentarias, lo que un prevalente ha hecho es que tenemos la capacidad de evaluar, supervisar y compartir con un enfoque 360, somos capaces de recopilar uno y compartir con muchos, cuando se trata de cuestionarios, somos capaces de compartir con ustedes una mirada externa e interna de sus vendedores y entidades y lo que tienen en su lugar para el riesgo de terceros y las redes que tenemos.riesgo de terceros y las redes que tenemos disponibles dentro de la industria nos está ayudando a decir a las comunidades exactamente cuáles son las vulnerabilidades a medida que avanzamos y entender mejor lo que el panorama de amenazas amenaza está cambiando a lo que vamos a sumergirse en una pregunta de la encuesta al principio de esta sesión para preguntar a todos ustedes cuántas preguntas están en su cuestionario de evaluación primaria, así que Peter, si comienzas la encuesta, observaremos y veremos lo que obtenemos de la audiencia, así que realmente queremos hablar más sobre lo que está en el cuestionario, porque los cuestionarios sólo te dicen lo que tus entidades te informan sobre sus controles.

y esto es lo que nos están diciendo y tenemos que confiar en que lo que nos están diciendo es la verdad, ¿verdad? Keith Walter: Sí, yo soy un gran defensor de la parte de seguimiento, te ayuda a tener una visión completa de si estás recibiendo un cuestionario de calidad, si los indicadores de la parte moderna apoyan las respuestas de los cuestionarios, ya que todo parece estar en sincronía, lo que indica una dirección de buena calidad. Para mí, se complementan muy bien. Parece que tenemos alrededor del 50 o 60% de la gente que ha votado, así que vamos a seguir adelante y terminaremos la encuesta y la compartiremos, Peter. ¿Te gustaría hacer eso? Hay alrededor de un 50% de nosotros en la llamada, de la mayoría que votó. que dijeron que tienen entre cien y quinientas preguntas en su cuestionario de evaluación primaria de acuerdo bien eso es interesante de saber y, a veces en el lado del proveedor de la casa termina siendo una situación en la que hay una gran cantidad de cuestionarios y, a veces no son significativos o relevantes por lo que queremos empezar a centrarse en el contenido significativo relevante y los esfuerzos para identificar el riesgo y mitigar lo que es importante para esos compromisos Keith vamos a hablar sobre el enfoque basado en el riesgo unificado que puso en marcha recientemente Brenda Ferraro: Sí, así que los puntos principales de esta diapositiva que realmente quiero hacer hincapié en casa son realmente lo que la pregunta principal estaba hablando de nuestro cuestionario principal que hemos utilizado el último año y medio o dos años es realmente gira en torno a la reutilización del sector y es que es 228 preguntas, pero lo que hemos aprendido durante ese tiempo realmente mirando recogemos los metadatos correctos por adelantado sobre el proveedor y algunas cosas básicas que si están disponibles como la acción 2 etc somos capaces de realmente centrarse en que hacia abajo en alrededor del 15% de esas preguntas son realmente los que cambian nuestra mente

si entraríamos o no en un contrato o continuaríamos un contrato con una parte existente, así que llamamos a estos los controles clave, llamamos a estos los controles cuando miramos a la evaluación de un riesgo, si estuviéramos construyendo el servicio nosotros mismos, estos son los controles que absolutamente querríamos desarrollar en la lista de requisitos, así que empezamos con esa lista de control y luego volvimos al cuestionario que teníamos y usamos el concepto de decir básicamente qué preguntas de aquí son indicadores principales para mí de que este proveedor está realmente cumpliendo con ese control de manera apropiada.

así que vamos a echar un buen vistazo a que elegir una o dos preguntas que realmente asegurarse de que ese control es probable que esté presente y que nos da una muy buena indicación con una muy capacidad para realmente mirar las cosas rápidamente se centran en los riesgos más altos y realmente conducir la inversión de nuestros asesores de nuestro negocio y etc en los controles más importantes que la falta de la misma les perjudicaría la wou más y eso significa que realmente puede compartir y puedo manejar los riesgos más críticos para Pfizer y así conducirlos a su cierre en lugar de tratar de ser un purista que resuelve todo, puedo resolver los elementos más importantes, así que eso es lo que me llevaría de esta diapositiva. Recuerdo cuando empezamos a trabajar juntos en prevalencia y Pfizer madurando el programa, ¿puedes recordarme si es cierto que estabas usando hojas de cálculo de Excel al principio Keith Walter? Sí, ciertamente el proceso comenzó con hojas de cálculo de Excel que no se presta a un verdadero enfoque basado en el riesgo con flujos de trabajo automatizados y cosas por el estilo es engorroso tratar de hacer cumplir los datos de buena calidad y responder es difícil una hoja de cálculo de Excel y es sólo un montón de pasar de ida y vuelta empate

los retrasos en el envío de un correo electrónico que se pierde un correo electrónico, todas esas cosas realmente no nos permitieron responsabilizar realmente al proveedor por el jarrón de recogida responsabilizar al asesor con un SLA para realizar la evaluación y también en la distribución y el seguimiento del intercambio realmente responsabilizar en función del riesgo a nuestro propietario de negocio de Pfizer y para los riesgos más críticos todavía los responsabilizamos pero también les damos esa supervisión de gobierno para que nuestro Consejo de Administración y nuestro sitio estén tan satisfechos y seguros de que he conducido este riesgo en la dirección que están solicitando Brenda Ferraro: Estoy muy feliz de que usted ha elevado su madurez de una hoja de cálculo en un flujo de trabajo y la capacidad automatizada de modo que ahora puede empezar a tomar decisiones basadas en más Intel a su alcance por lo que es impresionante por lo que su próxima pregunta de sondeo es que han automatizado su programa de evaluación de terceros para recopilar información de riesgo más allá de usar libros de Excel por lo que Peter si no te importa empezar esa pregunta de sondeo vamos a darles la oportunidad de responder Me encantaría llegar más cerca de un cien por ciento de votos por lo que para aquellos de ustedes en casa en el trabajo en los coches no lo hagas en el coche

por favor no te estrelles pero te gusta saber donde estamos con todo el mundo en esto es muy interesante Keith hablo con un montón de empresas de la industria y hay muchas empresas que todavía están utilizando Excel Keith Walter: sí y, ciertamente, si usted es una pequeña entidad que es un que es posiblemente el mejor lugar para mentir si realmente no lo hace, pero tan pronto como usted desea conseguir en el volumen y que realmente quiere conducir una mirada basada en el riesgo y el enfoque

hay capacidades que se convirtieron en importantes para nosotros que usted escuchará a medida que continuamos hablando de que realmente creo que necesita una herramienta para intensificar ese juego y en la belleza de ella es que hemos encontrado una clara eficiencia para aumentar nuestro número de evaluaciones capab por FTE por una cantidad muy considerable y al final eso es un retorno de la inversión y eso es realmente donde hemos usted sabe realmente medimos nosotros mismos contra para asegurarse de que estamos haciendo las inversiones correctas y mirando a los vendedores adecuados por lo que no sólo medir la eficiencia de las herramientas en el personal para volver sobre el volumen o la capacidad, sino que también medir y vamos a hablar un poco acerca de algunas de las bandas y las mediciones que hacemos en lo que significaba ajiz de nuestra flota que hemos medido cuántos son en realidad no tienen problemas - cuántos estamos realmente apareciendo núcleo significativo debe tener controles de fallos de control clave que estamos impulsando el cambio con ese proveedor Brenda Ferraro: Sí, bueno, parece que tenemos el 61% de los votos, así que si queremos terminar eso y compartirlo sería genial y agradable a la vista.

El 45% de los que han votado han dicho que no, que ya no utilizan hojas de cálculo Excel o libros de trabajo. El 27% han dicho que sí, el 18% han dicho que están en el proceso y el 10% han dicho que no es aplicable.El primero es la preparación, el segundo es la recopilación, el tercero es la evaluación y el cuarto es el seguimiento y la remediación. También queríamos darles la posibilidad de tener un flujo de trabajo automatizado flexible, así que ¿les gustaría hablar de lo que la prevalencia hizo con su programa y los esfuerzos para utilizar este enfoque de cuatro pasos en la fase cuatro de la evaluación basada en el riesgo?

Keith Walter: Sí, gracias Brenda esto realmente encaja bien con mi visión interna de cómo veo realmente satisfacer las necesidades del negocio para la habilitación eficiente oportuna de ellos sabiendo el riesgo que están a punto de tomar en entrar en un nuevo contrato o la muñeca actualmente operando con un proveedor existente por lo que en la preparación de la parte que voy a destacar allí es esto es realmente tener los metadatos blanco sobre el compromiso del proveedor cuando se dispara por lo que realmente tener capacidades de campo personalizado donde puedes capturar ese par de campos extra que realmente permiten la automatización y la respuesta en esos casos difíciles esas situaciones extrañas donde tienes algunos de esos metadatos a tu alcance permitiendo que los recursos realmente ejecuten eficientemente la fase de recolección muy importante aquí para realmente tener correos electrónicos automatizados tareas automatizadas para realmente hacer los traspasos de nosotros a prevalente para hacer las actividades de recolección para el proveedor que está siendo conducido y recordado y luego de vuelta a nosotros para que podamos coordinar la devolución del cuestionario validado y hacer que se convierta en una acción de los evaluadores sin tener que estar en la caja, sin mucho trabajo extra. Haré que el cuestionario se publique y genere automáticamente el correo electrónico que tiene las deficiencias clave de control ordenadas en la parte superior listas para que el evaluador las valide en unos pocos segundos. y, a continuación, en función del riesgo, ya sea entregar a la empresa y el negocio pistas de sí mismos o si el riesgo es lo suficientemente alto, obviamente, entonces estamos de supervisión de gobierno de seguimiento que y la conducción para la remediación y la consulta con el negocio a través de esos pasos para tener un flujo de trabajo SLA x 'de principio a fin y la rendición de cuentas claras con la escalada pasado es fundamental para nuestro éxito en conseguir realmente que la eficiencia por FTE que queremos tener Brenda Ferraro: y creo que lo que es genial es el hecho de que um fuimos a través del proceso de definición de los vendedores universo que tenía o el universo de proveedores como usted lo llama y luego tener la capacidad de

de identificar rápidamente el riesgo haciendo preguntas con los cuestionarios e incluso utilizando algunas de sus otras soluciones para integrar la referencia cruzada de si esa información era apropiada o no.de si esa información era apropiada o no, y cuando trabajamos en las pizarras, las llamamos pizarras mágicas, y me encantan los rotuladores y las pizarras, fuimos capaces de identificar el doble de productividad de ETC al pasar de una hoja de cálculo Excel a un programa que ahora tiene la capacidad de darte la información al alcance de la mano con un flujo de trabajo automatizado, los perseguidores están automatizados, etc. ¿Tienes algo que añadir a eso, Keith Walter? No, creo que el flujo de trabajo es sólo la capacidad de crear tareas y la capacidad de limpiar en seco los traspasos en una herramienta común que no está siendo enterrado en los correos electrónicos y todo lo demás y que le da recordatorios por correo electrónico de sus tareas o vencimiento de las cosas y todo es parte de la habilitación de cada uno de los componentes clave de esas personas clave en ser capaz de equilibrar una carga de trabajo muy ocupado porque eso es sólo el mundo en el que todos operamos Brenda Ferraro: Estoy de acuerdo, así que vamos a profundizar en el enfoque de fase, creo que vas a hablar en esta diapositiva sobre todos los componentes de lo que necesitas para prepararte para el éxito Keith Walter: Sí, lo que realmente quiero que la gente haga aquí es pensar realmente en la preparación, es como cualquier otra cosa, cuanto mejor te prepares, más fácil será la solicitud y tu servicio tendrá éxito. En esta diapositiva voy a destacar un par de partes, la primera es el perfil del proveedor, tómate el tiempo necesario para planificar cuál es la información crítica que necesitas para que el resto de los pasos se lleven a cabo con éxito, recogiendo los metadatos sobre el proveedor.

cuya descripción de lo que estamos tratando de hacer con este proveedor y hacer que la empresa escriba eso realmente ayuda a los evaluadores a entender lo que es importante y lo que no lo es realmente conocer ese tipo de cosas las normas de control conocer sus propias normas internas que usted espera que alguien cumpla y luego realmente tomar sus reglas del cuestionario como yo lo llamo es realmente mirar su cuestionario que está utilizando y decir qué preguntas son realmente indicadores de que los controles que espero están presentes ciertamente ayudamos en el perfil del proveedor mediante la recopilación de hechos como la cantidad de datos espía que están expuestos a este proveedor o si este proveedor es operativamente crítico para el flujo de caja y las actividades de Pfizer, etc esas cosas recogidas en el perfil del proveedor nos permiten realmente modelo de clasificación de los datos expuestos y la importancia del proveedor para nosotros nosotros y, lo que es más importante, el estado del flujo de trabajo. Tómese su tiempo para pensar un poco si tiene suficientes estados de estado de flujo de trabajo para saber realmente dónde y quién está retrasando las cosas que se ejecutan a través de su motor y que está intentando satisfacer en cuanto a solicitudes. KPIs para saber dónde están las nuevas mejoras en tu proceso donde realmente te estás quedando corto y entonces también por qué nos estamos quedando cortos allí se puede centrar en y seguir conduciendo a la eficiencia y el cambio que permite a su negocio para cumplir con sus plazos debido a muchos de estos casos de renovación de contratos negociaciones de contratos todos los días es el negocio de perder la capacidad de alcanzar los beneficios que están después de Brenda Ferraro: y me gusta mucho la parte sobre el compromiso de las partes interesadas porque si usted tiene un comité de dirección que está disponible para los elementos de disposición asegurándose de que si usted va a aceptar

tercero o un proveedor para seguir adelante sabiendo que tienen el riesgo de que el compromiso de las partes interesadas y tener un comité directivo es realmente clave Keith Walter: absolutamente Brenda Ferraro: así que vamos a hablar de los perfiles de los proveedores lo que es lo que es una cosa que usted aprendió o tal vez las dos cosas que usted aprendió de ir a través de su programa de rediseño que le ayudó a conocer mejor quiénes eran sus proveedores y qué cosas eran importantes saber acerca de cada uno para la coherencia del flujo de trabajo Keith Walter: Sí, probablemente el reto número uno que he seguido aprendiendo a lo largo de todos estos años es tener contactos precisos y motivados, tanto dentro de tu empresa como propietario del negocio, como con el proveedor... Es probablemente el mayor reto número uno en la calidad de los datos, especialmente si estás lanzando, nos gusta hacer la adaptación de las revisiones de proveedores existentes y nos gusta hacerlas en lo que llamamos olas o paquetes y cuando estás hacer un par de cientos de ellos como un tiro que más o menos tiene que esperar que usted tiene un problema de calidad de datos del diez por ciento en que estamos viendo que usted sabe por lo menos un contacto o entidad o múltiples ya sea contacto interno o externo en realidad va a cambiar por año en su flota por lo que si usted lanza un centenar que significa que tienes diez que van a tropezar y asegurarse de que a partir de la última diapositiva donde hablé de tener un estado de flujo de trabajo es correcto

ser capaz de marcar cuando un correo electrónico rebota no entregable ser capaz de saber cuando algo no llegó a través de la primera esperada SLA punto por el proveedor hizo el registro de proveedores han siquiera respondió sólo si respondieron a 15 preguntas por lo menos sabemos cómo tenemos la persona adecuada que se registró y comenzó a responder a las preguntas tener esa visibilidad es fundamental para saber rápidamente y temprano cuando es probable que tenga un mal contacto por lo que la gestión de contactos viendo para los contactos de ser un error y cómo se manifestará en problemas KPI y etc es fundamental para el éxito y eso es probablemente

Brenda Ferraro: Creo que los campos personalizados que creas te ayudan a entender si hay información de contenido pertinente para la elaboración de informes, como por ejemplo, de qué información se trata, si es onshore, si es offshore, quién es el evaluador, cosas que son muy fáciles de entender y luego puedes hablar un poco sobre por dónde empezaste, tienes tantos terceros y proveedores, ¿cómo supiste por dónde empezar ? Creo que el mayor error es que alguien piensa que tiene que hacer todo el océano en el primer conjunto de formas y empezar a perfeccionar su proceso perfeccionando los datos que necesita para apoyar su proceso. Ciertamente estoy convencido de que en un año hemos sido capaces de hacer mucho más por tener esa actitud que si tratamos de perfeccionarlo porque creo que habríamos llegado a la mayor parte del camino a través del año y habría luchado con el cambio de paso y, probablemente, no tiene mucho hecho en el último trimestre frente a conseguir algunos hechos y sólo la ampliación a medida que avanzamos por lo que hacer cambios concertados paso y la planificación de los que creo que es importante

Ciertamente, la selección de la primera mirada a sus criterios y poner su sombrero de negocios en sentarse con el negocio de entender lo que podría ser algunos de los mejores factores desencadenantes Creo que usted encontrará una gran cantidad de su kurma departamentos que he trabajado si a lo largo de mi carrera que tienen el concepto de socios estratégicos o la lista de proveedores más importante, ya que es sólo fundamental para la empresa que saben que es la búsqueda de esa lista y hablar con ellos acerca de por qué también sentarse con el negocio y hacer la pregunta es ¿cuál es el si usted proporciona múltiples servicios que son los que realmente proporcionan la mayoría de los ingresos y luego hacer la pregunta así que los proveedores son crit

a la producción de esos ingresos y realmente entender que como crítico mirando a sus leyes de cumplimiento y luego otra área que encontramos mucho valor en es que nos fijamos en nuestra lo llamamos básicamente una conexión de socio donde estamos conectando nuestra red con otros socios clave y a través de cortafuegos, obviamente, pero en realidad eso es algo que como parte de los departamentos de servicios digitales de TI que tenemos los datos sobre que por lo que es algo que usted puede extraer y los datos que podemos obtener fácilmente en y realmente encontrar los que estamos exponiendo el mayor riesgo porque estamos abriendo puertos y cosas entre los socios clave

Brenda Ferraro: Otra cosa que creo que no me corrige si me equivoco es que siguió adelante con un enfoque metódico regulador por lo que eligió un cubo o un tramo de su perfil de suministro en particular y comenzó con ellos sobre la base de las necesidades de cumplimiento y regulación correcta Keith Walter: ciertamente con las preguntas claves que queremos tener los controles claves ciertamente privacidad identificamos 26 preguntas claves que realmente son indicadores principales de que esos controles están en un estado responsable y eso realmente nos ayuda a enfocar eso en obviamente cuando vas más allá de esa regulación estricta hay controles operacionales que son críticos para la prestación de servicios y la madurez y disponibilidad de un servicio y ahí es donde claramente añadimos otros 9 a 10 que realmente nos pone en realidad son 35 preguntas indicadoras que impulsan nuestras listas de control de esquema Brenda Ferraro: excelente así que vamos a nuestra siguiente pregunta de sondeo ¿te mantienes a ti mismo y a tus terceros en la misma seguridad?

requisitos estándar controlados Peter ¿quieres que aparezca esta es una especie de favorito para mí, porque yo siempre miro el hecho de que tenemos que asegurarnos de que estamos identificando que nuestros controles que estamos utilizando dentro de nuestro castillo y cuatro paredes en realidad se llevan a cabo cierto y aplicado a las terceras partes cuartas partes quintas partes y las partes finales por lo que este es un crítico que me siento es muy importante ¿qué hay de ti Keith Keith Walter: absolutamente y va en la dirección opuesta, así que no los obligues a un estándar que no estás preparado para cumplir tampoco y he visto algunos programas orientados al cumplimiento donde es como si quisiera pasar en cada una de las preguntas que hago y siendo realistas hay buenas razones de negocio por las que no todo el mundo hace todo de la misma manera y que puede causar algunos no, así que realmente centrarse en los controles clave, los riesgos clave, la comprensión de cuando los otros son, potencialmente, cuando los otros son... Riesgos clave Entender cuando los otros son potencialmente cuando usted está fallando una clave para el mismo bien ¿cuáles son las preguntas relacionadas que quiero entender lo que me puede ayudar a poner una imagen completa en torno a ella que es donde el evaluador obtiene valor de potencialmente algunas preguntas adicionales que se responden y no se basan en el riesgo absolutamente lugares donde usted quiere hacer muchas más preguntas y tener ese conocimiento Brenda Ferraro: Muy bien así que vamos a seguir adelante y terminar la encuesta y parece que tenemos un 69% dicen que sí lo hacen y luego el 18% dicen que no y luego el 14% dicen no estoy seguro parece que esa pregunta tiene un poco de un error tipográfico en ella, pero básicamente se le preguntaba si usted estaba esperando las mismas normas de control de sus terceros como lo hace usted mismo eso fue mi culpa

Peter Schumacher: Está bien Peter, yo también cometo errores, eso nos hace humanos, así que me alegro de que no seas un robot, gracias Brenda Ferraro: Muy bien, así que vamos a dejar de compartir los resultados y vamos a pasar a la siguiente diapositiva y como la siguiente diapositiva la única cosa que quiero llamar la atención de todos ustedes es durante mis conversaciones con las empresas y los intentos están incluidos es que tomamos un enfoque con nuestros proveedores no para darles una palmada porque no tienen el control en su lugar, pero para que sea realmente lo que estamos evolucionando el ecosistema y la comunidad para ayudar a esas otras empresas que pueden no tener el control en su lugar, pero para que sea realmente lo que estamos evolucionando el ecosistema y la comunidad para ayudar a esas otras empresas que pueden no tener el control en su lugar. ecosistema y la comunidad para ayudar a esas otras empresas que pueden no ser grandes son más pequeñas y medianas y necesitan ayuda para ser más maduros con los elementos de seguridad y normas de control así que vamos a hablar de las normas de control y lo que aprendió acerca de lo que sucede cuando se crea controles clave y lo que realmente significa para usted y nunca en los esfuerzos para evolucionar Keith Walter: Claro, así que en primer lugar los controles clave definidos por mí es realmente lo que son los controles que diríamos o absolutamente nos gustan las palabras debe-cuando estamos diseñando si estuviéramos implementando la solución nosotros mismos y luego volvimos al cuestionario y dijimos qué preguntas si se responden correctamente la mayoría de los casos de uso o la experiencia que tenemos es una sala llena de expertos en control tanto de cumplimiento individuos basados en el riesgo individuos profesionales de la seguridad y etc lo que es su experiencia y lo que realmente miramos es que encontramos que el 15 por ciento de las preguntas que teníamos realmente nos dio esa visibilidad y luego realmente hicimos alrededor de un centenar de vendedores donde hicimos tanto una mirada completa a todas las preguntas, así como sólo se centró en los controles básicos y cuando lo hicimos que realmente encontramos que podíamos obtener de los que usted sabe el 15% de las preguntas que podíamos obtener al menos el 80% de la claridad de seguridad que realmente queríamos y que podíamos hacerlo mucho más rápido y realmente centrarse en los mayores riesgos y como una unidad hay un hay un lugar y el tiempo para mirar todo, ciertamente, cuando usted tiene una cosa de cumplimiento y es el más importante absoluto usted sabe proveedor superior de su empresa

para el éxito de su empresa, usted sabe que va a mirar más de las preguntas, pero en muchos de los casos lo que encontramos es que podríamos determinar rápidamente este proveedor, usted sabe que es sólo realmente en buena posición y lo que encontramos es cuando estábamos viendo mucho de eso realmente no tenía un gran problema y no pudimos encontrar nada, incluso cuando nos miramos más a fondo en el resto de las preguntas de cualquier importancia, pero luego, cuando encontramos estos controles clave fallando especialmente cuando tenían un número significativo de ellos fallando realmente era una empresa con un pobre programa de seguridad cibernética y entonces realmente sabíamos que este era un lugar que queremos centrarnos en base al riesgo de esa entidad para nuestro negocio.

para ayudar realmente a la empresa a poner su energía donde obtendría el mayor rendimiento en la reducción de sus riesgos para sus operaciones y sus requisitos de cumplimiento, por lo que seguramente en esta diapositiva estoy realmente haciendo hincapié en los controles clave impulsados por su compromiso, que debe estar recogiendo lo que es el compromiso que estoy haciendo es parte de los metadatos cuando esto cuando se inicia el proveedor y los controles pueden ser diferentes de un compromiso de privacidad donde su intercambio de datos de privacidad es realmente el objetivo frente a algunos de estos proporcionando un servicio más crítico operativo a la empresa que puede tener más controles en la escalera que tiene sentido, pero si nos fijamos en muchos de los controles basados en la privacidad son sólo buenas mejores prácticas puras y realmente empujamos a esos todo el tiempo y como hemos impulsado todo el tiempo. un servicio operativo crítico para el negocio que puede tener más controles en la escalera que tiene sentido, pero si nos fijamos en muchos de los controles basados en la privacidad que son sólo buenas mejores prácticas puras y realmente empujó a los que todo el tiempo y como he dicho que el primer centenar que hicimos realmente nos probamos que usted sabe más del 95% de las veces podríamos mirar mucho más difícil, pero fue realmente en los pocos que ya tenía la indicación de que había un problema grave o no había ningún problema en absoluto por el núcleo sólo mirando el núcleo debe- Brenda Ferraro: Sí, creo que lo que realmente aprecio del liderazgo de pensamiento que usted puso en su programa es que definió los controles clave por compromiso y, a veces el número...

de mitigar los riesgos frente a la misma mitigación de riesgos y priorización de esos riesgos en todos y cada uno de los vendedores o proveedores que tuviera, y la otra cosa que hizo fue crear una biblioteca de riesgos, de modo que si no se cumplía un riesgo, ya tenía programado en la solución lo que se esperaba, de modo que sus asesores pudieran hablar el mismo idioma con el tercero o el proveedor para hacerle saber que ha cumplido con esto, que hay un control compensatorio, que tal vez aceptemos aceptar, pero que éste es el plazo, que esto es lo que buscamos, de modo que realmente está mejorando el ecosistema.o proveedor para hacerles saber que no han cumplido con esto, hay un control compensatorio que tal vez acordemos asumir, sin embargo, este es el plazo, esto es lo que estamos buscando, así que realmente están mejorando el ecosistema al proporcionar esa ayuda basada en la madurez que tienen con sus propios controles.

Keith Walter: Sí, gracias Brenda, esto es sin duda tomar para los que voy a decir preguntas clave de control que estamos marcando y realmente escribir una respuesta repetible y tomarse el tiempo para escribir que en el lenguaje de negocios no sólo estamos encontrando una situación mucho más sensible proveedor, pero lo más importante que realmente hemos sido capaces de escribir de una manera que nuestros propietarios de negocios Pfizer realmente encontrar un valor de una vez que empiezan a entender que pueden entender por qué estamos empujando a continuación, realmente puede ejecutar con el informe que sale del sistema y actuar en consecuencia y en muchos casos estamos encontrando más y más porcentaje-en los que el negocio interno de Pfizer tiene esto, voy a ir al proveedor, no estoy contento con estos problemas, me ocuparé de ellos, y realmente se van y dicen que esto es un poco diferente en un pequeño porcentaje y realmente quieren la ayuda del asesor la primera vez que un determinado propietario de negocio de Pfizer...

todavía quieren algo dey orientación, pero cuanto más podamos auto habilitarlos, más volumen podremos manejar, más podremos estar allí para mirar la siguiente parte de nuestro ecosistema y flota de vendedores para asegurarnos de que estamos mirando a más en lugar de centrar nuestra energía en unos pocos, cuanto más amplia sea la mirada, más seguro me siento de que he equilibrado los riesgos totales de Pfizer, creo. de Pfizer Creo que las reglas honestas y cuestionarios y la evaluación de riesgos este es un tema que parece estar surgiendo en todas las industrias y es algo que tal vez usted puede ayudar a la gente en la llamada aprender acerca de lo que exactamente se encontró cuando se fue a través de la creación de estas normas y la definición de los elementos de los criterios de evaluación de riesgos Brenda Ferraro: Sí, cuando lo defines, creo que ya hemos dicho cómo lo hice, creo que lo que quería destacar en esta diapositiva es que cuando estás presupuestando tu respuesta, al final puedes reducir tus costes basándote en el último comentario que acabo de hacer sobre escribir tus respuestas estándar por adelantado. un tercio de mis proveedores no tenían problemas de control de riesgos clave, así que los dejé pasar y seguí adelante, pero eso significa que hay otro porcentaje mayor en el que tenemos que trabajar, y presupuestar recursos y hacer un plan para redactar esas respuestas enlatadas realmente ayuda a gestionar el tiempo y la energía en el lugar adecuado.

así que el presupuesto para que los recursos de varios otros compañeros que he hablado parece que un tercio de estar en buen estado ninguna acción real necesaria para ser tomada es una especie de tipo de norma que he visto en un par de personas que he hablado con sólo parece ser una especie de estadísticamente donde las cosas están cayendo Brenda Ferraro: lo bueno de la solución es que cada cliente individual tiene la capacidad de colocar en su propia tolerancia al riesgo y las clasificaciones de riesgo por lo que, por ejemplo, con el espacio de la atención de la salud y la red que tendrá un repositorio de cuestionarios completados y el contenido y las pruebas que se ha recogido de la tercera parte o el proveedor y luego, cuando se portó en el

Fiser instancia o vista que ha configurado la solución para ser apropiado para su apetito de tolerancia al riesgo y la actitud de modo que realmente podría determinar lo que esas decisiones basadas en el riesgo son en el caso de que usted tiene a alguien que es tal vez un proveedor de la nube frente a alguien que puede ser alguien que está haciendo la fabricación para usted y eso es lo que tipo de disfrutar viendo evolucionado con su programa con la forma en que usted es capaz de cortar y cortar y el riesgo de rango basado en los niveles de tolerancia Keith Walter: absolutamente modelos de clasificación es una gran cosa con muchas de las empresas una vez que empiezan a mirar a su cartera y se dan cuenta de que tienen decenas a cientos a miles a miles de vendedores y proveedores saber qué tipo de evaluación que es aplicable a cada tipo de clasificación es algo que algunas de las empresas están luchando con la forma en que se define lo que iba a obtener qué tipo de diligencia Brenda Ferraro: Sí, creo que es importante pensar por adelantado en la fase de preparación y eso es realmente lo que quiero destacar con esta diapositiva es en nuestro caso y nuestro sector realmente en la fase de preparación de la comprensión de cada proveedor de compromiso dando un nivel de riesgo de los proveedores, así como potencialmente un nivel de compromiso de riesgo esas cosas pueden ser drásticamente diferentes y el ejemplo Voy a utilizar especialmente los proveedores que prestan muchos servicios diferentes un buen ejemplo es IBM, porque sólo proporcionan todo, desde soluciones de PC a los servicios de consultoría a Watson, etc y son sólo uno de los muchos ejemplos en los que sus servicios son sólo la gama y usted sabe el riesgo puede ser totalmente diferente así que ten cuidado de entender lo que estás haciendo

Intentamos reducir el cuestionario para determinar el nivel de riesgo a unas 15 preguntas del tipo "marque la casilla" para que la empresa pueda identificarlas por bandas, por ejemplo, voy a decir el nivel de exposición de los datos SPI a los que está expuesto o el número de dana compuestos de investigación a los que está expuesto. y si dicen que sí, selecciono la banda, y las bandas son bastante amplias, pero las bandas me dan una comprensión de ese compromiso crítico alto, medio, bajo con el proveedor en el que quiero centrarme, así que creo que hay que mantenerlo simple para el negocio, mantenerlo en su lenguaje, pero mira tu propio modelo de clasificación de la empresa y algunos de estos factores mientras lo diseñas , Brenda Ferraro: Sí, el último punto que tenemos en el proceso de preparación segura es acerca de los contratos y la única cosa que me di cuenta aquí fue una gran cantidad de empresas pasan por el estrés de redlining y, a continuación, en algunos casos, los contratos pueden decir que sólo tienen derecho a auditar una vez al año, pero que se sepa que una auditoría es diferente de una evaluación por lo que sí se puede tener una auditoría una vez al año, pero una evaluación es continua, se basa en si ocurren incidentes o si no se ha puesto remedio a tiempo o si hay un riesgo que necesita ser revisado. Pero, ¿qué cosas ha notado desde la perspectiva de la contratación cuando ha involucrado a su programa ? Sí, es difícil mantener la cantidad de contratos y etc y luego realmente ayudar a influir en su adquisición y su departamento legal para hacer realmente addenda sobre la base de los controles necesarios para que haya una adenda si se trata de un contrato relacionado con la privacidad frente a no addenda para las operaciones de seguridad cibernética, etc y mantenerlos en addenda para que lo que puede hacer es decir vamos a poner las adiciones correctas en el contrato y no tener tiempo legal tanto de nuestro lado su lado redlining documentos que realmente no son aplicables, obviamente, si el servicio va a cambiar usted quiere asegurarse de que usted agrega los que en

y eso es sin duda parte del riesgo que usted necesita para manejar, pero a veces se gasta mucho más dinero tratando de conseguir piezas y partes cuando se pone todo mezclado juntos para mantenerlo simple y directo tratando de conseguir que el trabajo en conjunto y la asociación con las adquisiciones y legal es probablemente fundamental para el éxito de realmente asegurarse de que está evaluando los puntos de equilibrio de seguridad cibernética y Pfizer es, obviamente, los oficiales de privacidad es uno de nuestros socios clave, así Brenda Ferraro: Bueno, ahora se trata de una colección de fase dos, así que nos estamos acercando sólo tenemos unos 15 minutos, así que vamos a tratar de asegurarnos de que golpeamos el próximo par de diapositivas en detalle, pero ¿cuáles son algunas de las lecciones aprendidas que tuvo que planificar para que usted quiere que otros sepan para asegurarse de que planificar con respecto a la colección Keith Walter: Sí, y he hecho esta lista a la derecha y creo que he golpeado a muchos de ellos como hemos estado caminando a través de asegurarse de que usted recoge el proveedor adecuado allí y aplicarlo asegurarse de que está preparado para manejar para los baches en el camino el impacto de fusiones y adquisiciones es uno que siempre nos ha frustrado en que siempre hay esa pregunta de que estábamos encontrando alrededor del 10% de nuestros proveedores a través de un año o, básicamente, podría ser, literalmente, parte de una situación de fusiones y adquisiciones y entonces usted tiene que realmente hacer la pregunta que la empresa con la que estaba trabajando o el que los adquirió es en realidad la conducción del conjunto de control porque eso es lo que realmente desea evaluar así que asegúrese de que entiende de un proceso para que eso es definitivamente una lección que

No subestimes el seguimiento de los hitos correctos. Sigue capturando los datos correctos. Piensa en los datos que necesitas a lo largo del ciclo de vida y recógelos antes de lanzar el cuestionario, porque es el momento en que la empresa se centra en lanzarlo y ponerlo en marcha. Asegúrate de tener una clave primaria para usar los datos más tarde y compartirlos. o como una clave concatenada es crítico porque los nombres de los proveedores cambian y entonces estás cambiando la clave primaria, todo eso se vuelve muy difícil y puede ser confuso enlazar las cosas, especialmente cuando estás tratando de hacer coincidir tus datos con los datos de adquisición o los datos de la oficina de privacidad, donde ni siquiera son conscientes del cambio de nombre del proveedor, pero tú sí, así que desarrollar claves internas, desarrollar una clave primaria interna y conseguir que tus socios clave utilicen la misma clave es otra área en la que definitivamente estamos invirtiendo tiempo para seguir resolviendo en el Tourette , Brenda Ferraro: y me he dado cuenta de que muchas empresas dicen que han solicitado que se completen las evaluaciones y se va a un agujero negro y no sé cuándo voy a tener el contenido de nuevo y por lo que es mi solicitud es muy importante y con la plataforma prevalente hemos estado viendo un aumento y una mejora que se que solía tomar alrededor de 45 días para dar vuelta solicitud y obtener el contenido disponible para la identificación de riesgos y que es nuestro elemento clave que estamos tratando de centrarse en que ahora está volviendo en un promedio de nueve días que es fenomenal y es reutilizable y se puede compartir así que me alegro de que usted está participando en ayudarnos con eso

Oh, aquí está el sistema de bandas, has estado hablando de bandas a lo largo de este webinar, así que vamos a hablar con ellos sobre lo que esto significa exactamente para la evaluación . Keith Walter: Sí, en la fase de evaluación, dado el volumen que hemos hecho y todo lo demás, creo que es realmente interesante que estadísticamente estamos encontrando que si nos fijamos en un enfoque de bandas basado en el riesgo, estamos encontrando alrededor de un tercio de las respuestas que no están fallando en ninguno de nuestros controles clave y realmente hemos tomado la actitud de centrar nuestra energía donde se ve que en la parte inferior todavía tenemos un 25% de los controles clave.

los cien que hemos hecho encontramos que los controles clave con ese proveedor en particular está fallando siete o más de las preguntas de la postura de riesgo la clave debe tener control de calor indicando preguntas que es definitivamente un proveedor con el problema del paquete de control y queremos centrarnos en eso y realmente conducir con el negocio para decir cuando usted tiene un proveedor que ha sido evaluado en un nivel crítico como un proveedor por las preguntas de lo que nos han indicado como los metadatos sobre ese proveedor y también están fallando siete o más preguntas de los controles clave que es un alto riesgo realmente de alto riesgo situación que queremos asegurarnos de que eso es lo que estamos poniendo nuestra energía.situación de alto riesgo que queremos asegurarnos de que eso es lo que estamos poniendo nuestra energía así que de nuevo es un poco renunciar a usted sabe algunos de los bajos sólo vamos a decir a la empresa hey encontré algo nada aquí por favor tenga su discusión con el proveedor de manera adecuada y con el documento en riesgo respuestas que están habilitados para hacer que de manera más eficiente y eficaz, pero esto es definitivamente que el equilibrio es de ellos a la izquierda quiero hacer la perfección en todos y cada uno de estos y sólo voy a conseguir a través de tantos en un año o quiero una buena evaluación y quiero Quiero que la mayoría de los vendedores de mi flota se casen con la segunda parte. ¿Cómo puedo obtener una visión más completa de mi flota? No, lo peor de lo peor es centrarse en reducir el riesgo y luego, en ese punto, podemos cambiar los criterios un poco. y encontrar algo más, pero la respuesta es que sigo pensando que estoy eliminando la mayor parte del riesgo en el nivel de inversión que estoy haciendo y eso es realmente lo que se me pide para impulsar un retorno de esa inversión y nos centramos en reducir el riesgo con el que operamos todos los días Brenda Ferraro: Correcto y con los requisitos reglamentarios que ahora nos obligan a identificar el riesgo hacemos planes de mitigación para los que estamos aceptando y / o tenemos controles compensatorios y luego hacemos un seguimiento de los mismos hasta el cierre con esta posición así que me gusta mucho la forma en que usted pone que juntos

Normalmente utilizamos esta diapositiva en nuestras presentaciones dentro de Prevelant para mostrar el enfoque holístico de todo lo que se requiere dentro del riesgo de terceros para el programa de gobierno de aficionados, así que ¿puedes poner un poco o un par de segundos en cada uno de los cuatro componentes sobre cómo Pfizer ha abordado eso Keith Walter: Claro, mi filosofía sobre algunos de estos se alinea y algunos singularidad a la misma en primer lugar en las puntuaciones Creo que la puntuación es una buena manera de ver las cosas es útil en situaciones logrus pero realmente no trae en esa lista completa mirada así que estoy más apto para centrarse en los controles en lugar de sólo una puntuación pura mirada

Sin embargo, en bajo riesgo es una manera rápida de hacerlo, pero el modelo de puntuación de todo el mundo es diferente y si el proveedor particular que hace la puntuación no ha hecho un buen trabajo de pensar en gran escala, mediana escala y todo lo que realmente puede ser un poco delicado, pero es un buen indicador y debe ser considerado. um redes Creo que es fundamental como lo estamos haciendo aquí hoy aprender de nuestros compañeros aprender de lo que la gente está haciendo a su alrededor participó en eventos como este espero que todo el mundo va a tomar un par de ideas para mirar hacia atrás en su programa de lo que hemos dicho y lo que he compartido y Estoy seguro de que a medida que continúo viajando y hablando con los demás Siempre he dicho que nunca tendría una reunión en la que no me voy incluso reflexionando sobre mí mismo donde podría hacer algo mejor o escuchar un comentario de la persona o empresa con la que estoy hablando y ganar de eso una reflexión de un lugar Yo no pensaba a través de y el último que realmente quería que usted sabe hablar era una especie de los acontecimientos por un segundo hemos tenido un momento aha aquí que realmente he encontrado valor en esto, obviamente, con la notificación breve y la cantidad de proveedores que tenemos los que recibimos periódicamente y tenemos realmente un nombre

nos engañamos a nosotros mismos con estas herramientas y la gestión de riesgos de proveedores para realmente engancharnos cuando nos notifican de una violación y queremos tomar medidas sobre qué hacemos cortamos nuestros lazos que es más o menos procedimientos operativos estándar para cortar ya sabes una conexión de socio hasta que estemos seguros de que es seguro estar operando juntos cuando hacemos ese tipo de cosas realmente utilizando sus herramientas y sus evaluaciones como parte de ese proceso para restablecer el negocio como de costumbre asegurándose de que eso es parte de sus actividades y nos hemos enganchado en allí ahora y estamos viendo un montón de realmente buenos beneficios a la respuesta a incidentes de estar vinculado con un proveedor de terceros caja de herramientas de gestión de riesgos en lo que respecta a un proveedor.caja de herramientas de gestión de riesgos de terceros en cuanto a procedimiento de respuesta estándar incluso tuvimos un caso en el que estábamos más o menos capaz de compartir y predecir cómo creemos que fueron violados y fue increíble lo exacto que éramos y para el Sai así que yo estaba hablando con lo que es una cosa muy buena para tener su tipo de caja de herramientas y mirar en su negocio casos de uso para ello y que no podría pensar directamente son apropiados no sólo la firma de contratos y ser eventos que pueden desencadenar veces que usted debe utilizar esta caja de herramientas y plataformas que se desarrollan para realmente asegurarse de que los proveedores que su negocio está utilizando es seguro y seguro Brenda Ferraro: y creo que con todo lo que está aquí es muy engorroso hay tanto que tiene que ser rastreado y mitigado y revisado y feed ins que participan en nuestro programa de gobierno y luego veo que lo que me gustaría que todo el mundo sea capaz de tomar distancia es ¿puede hablar de lo que los puntos clave que ha experimentado en su viaje que son importantes para decirle a la comunidad Keith Walter: Claro, así que construimos esta diapositiva internamente y en las conversaciones que estas son las cosas que creemos que nos están haciendo tener éxito y que realmente estamos utilizando para conducirnos que hemos aprendido a través del viaje de los años sin duda un programa basado en el riesgo creemos que es la manera de asegurarse de que nuestras inversiones están regresando asegurándose de que estamos utilizando todos los datos que podemos encontrar y utilizar de forma creativa como he dicho el uso de reglas de firewall realmente establecer el nivel de riesgo hacer

En lugar de tratar de decir "voy a revisar todas las preguntas", asegúrate de que las preguntas son indicadores de problemas, y mapea los controles clave esperados, los controles de riesgo y las preguntas clave, y prepárate para los retos y las escaladas. Cuanto más te prepares de antemano, y vuelvo a lo mismo, más puedes pensar en los datos que necesito recopilar de antemano para poder responder y escalar adecuadamente.La automatización del flujo de trabajo ha mejorado realmente nuestra capacidad para evaluar más con los mismos ETC. Estamos duplicando nuestra capacidad por ETC y eso es muy importante para nosotros, para poder escalar a los volúmenes que queremos.

planificar el seguimiento de la disposición, asegurándose de saber realmente qué proveedores críticos desea seguir y gobernar y dónde va a confiar en que la empresa va a tomar la acción correcta, pero asegurándose de que los está educando en una terminología empresarial que puedan actuar con responsabilidad con lo que ha identificado. y luego, obviamente, asegurarse de que los datos a través de su proceso de SaaS y todo lo que realmente conducir a un conjunto de métricas y KPIs que apoyan su escalada de conducción de su madurez averiguar dónde las cosas están colgando en su proceso de saber lo que son y luego actuar en consecuencia para impulsar los de suceder una y otra vez Brenda Ferraro: Te agradezco mucho por toda tu aportación de hoy Keith y luego se la devuelvo a Peter para que podamos escuchar si hay alguna pregunta y él tiene una encuesta final, pero de nuevo muchas gracias claves de antemano Gracias Brenda

Peter Schumacher: Estoy lanzando esta encuesta final así que básicamente le estamos preguntando si le gustaría hacer un seguimiento de prevelant por favor responda con honestidad si le gustaría un programa de seguimiento-Tenemos unas cuantas preguntas en la cola y nos quedan unos cinco minutos para responderlas, así que permítanme ir a la primera: ¿cuáles han sido las métricas de rendimiento clave que pueden extraer de sus herramientas y, en segundo lugar, cuáles han sido las más eficaces a la hora de comunicarlas a las empresas y a otras partes interesadas en los riesgos ? No, creo que voy a hacer un comentario primero y voy a tratar de responderlo, el primer comentario es que creo que cualquiera que piense que tiene sus tableros de control y métricas listas para funcionar y perfectas, nunca he encontrado un gerente de riesgo líder o un suspiro o algo así que se haya sentido realmente confiado en esa afirmación, por lo que es una evolución de aprendizaje. pero sin duda en este momento algunas de las cosas que he encontrado invaluable es ver que estoy en un SLA y ver a esa línea de tiempo y también sobre todo ser capaz de ver la progresión de la colección Personalmente me encanta llamar a un proveedor que dice sí casi hemos terminado con un cuestionario que dije bueno cuando sólo se muestra el 20% de las preguntas que ha contestado

cómo puedes casi haber terminado y no se ha movido en la última semana siendo capaz de realmente llamar al farol cuando realmente necesitas que den un paso adelante y lo conviertan en una prioridad que sólo se puede hacer con KPIs adecuados y métricas visibles para ti y esas son algunas de las cosas de las que estoy viendo mucho más beneficio y estoy centrado en hacer, obviamente, ese concepto de bandas que uso compartido un poco más temprano que es la tercera cosa que voy a destacar - ser capaz de realmente dejar que los líderes de alto nivel sepan que evaluamos tantos Esto es donde encajan en la banda de riesgo por su nivel de riesgo y el número de problemas que encontramos para que realmente vean dónde está lo peor de lo peor y por burbujeo que hasta y mostrándoles esos nombres y diciendo estos son los que quiero ir después y voy a seguir el cierre que realmente les ayuda a entender que estamos enfocados y no ser un purista tratando de resolver el hambre en el mundo, pero realmente el uso de los datos para impulsar sus valiosos recursos en su propia organización, así como la mía para asegurarse de que estamos

el mejor rendimiento de esa valiosa inversión como podamos para reducir el riesgo global Peter Schumacher: muy bien gracias Keith parece que un par de preguntas más y vamos a llegar a ellos, pero creo que nuestro sondeo está llegando muy bien 56% votó Entiendo que si usted se ha unido a través del navegador web que no puede ser capaz de participar en la votación por lo que puede ser la razón de nuestra baja participación sólo como un FYI así que la siguiente pregunta esta parece que puede estar más orientado hacia Brenda así que ¿cuál es la tendencia en la puntuación y la clasificación de riesgo y cómo cisors enfoque ayuda a identificar la postura de tolerancia al riesgo Brenda Ferraro: sí hablamos

Sí, hemos hablado de esto un poco antes, pero la restauración tiene que ser muy particular cuando se mira compromiso por compromiso y en la plataforma prevalente tenemos la capacidad de ayudar a Pfizer a configurar qué tipo de compromiso requiere qué tipo de diligencia debida que luego se asigna a su tolerancia al riesgo en sus controles clave que han seleccionado para esos compromisos y luego somos capaces de ayudarles a determinar a partir de los requisitos reglamentarios y las perspectivas sobre cómo ese mapa está mal o cómo se asigna a la ISO o cómo se asigna a sus controles clave con sólo pulsar un botón de filtro. es realmente emocionante ver cómo han preestablecido y preparado todo su contenido para su configuración apropiada para ver la puntuación y la clasificación y luego evaluar continuamente sobre la base de las puntuaciones de riesgo que son capaces de realizar dentro de la solución de modo que esa es la forma en que la solución prevalente está ayudando a Pfizer hoy Keith Walter: Sí y todo lo que una cosa más que fue uno de nuestros principales requisitos para decir el modelo de puntuación tiene que tener cierta capacidad de configuración a fin de que la solución que seleccionamos y que era porque lo vemos como fundamental para poder asegurarse de que estamos ajustando el sistema para beneficiar realmente a nuestro negocio y nuestras actividades y, ciertamente, la la plataforma que tiene Prevelant me permite ajustar la metodología de puntuación con facilidad NRI y realmente tirar de mi control clave

indicando las preguntas que están por encima de todo lo demás y eso ha sido muy valioso para hacer que los informes que salen del sistema se centren en lo que quiero que se centren para ayudar a mi negocio Peter Schumacher: Muy bien, gracias, creo que tenemos tiempo para una última pregunta. He estado usando mi experiencia en marketing para responder a la mayoría de las preguntas técnicas para ti, Keith, pero he dejado una que dice: ¿tienes recomendaciones sobre cómo manejar Cu EC como se indica en el informe del calcetín? Eres bienvenido a tomar eso fuera de línea también . Keith Walter: Sí, quiero decir que no es para informar .

pero la respuesta que voy a decir es que es un método alternativo de evaluación que en algunos casos puede hacer que sea innecesario hacer un cuestionario completo dependiendo del riesgo. El problema que yo tendría con cualquier parte del cuestionario es tener mucho cuidado de entender los metadatos por adelantado y estar preparado para entender el compromiso. el compromiso y asegurarse de que el alcance de la sierra real - coincide con lo que estaba planeando hacer así que tener eso en cuenta al tomar ese tipo de decisiones que se está pidiendo creo que es absolutamente crítico para el éxito si usted va a utilizar un método alternativo como esas secciones específicas y etc y los servicios finales de la media - Brenda Ferraro: exactamente lo que iba a decir Gracias Keith sí

Peter Schumacher: Muy bien, gracias a todos, gracias por unirse a nosotros hoy Keith, un agradecimiento especial a usted realmente aprecio que usted presente hoy y Brenda Espero que todos tengan un buen resto de su semana y nos vemos en el próximo webinar gracias, gracias.