Arguments en faveur d'une gestion décentralisée des risques par des tiers

La gestion des fournisseurs est apparue comme un ennui répétitif sous la forme de mises à jour périodiques des modèles et de l'acquisition de documents fournis par le fournisseur pour s'assurer que toutes les cases pouvaient être cochées, ou le rester. Hormis la validation des performances du fournisseur, à laquelle est liée la réussite du propriétaire de l'entreprise, une grande partie de l'effort de gestion des fournisseurs se situe en dehors des domaines d'expertise du propriétaire de l'entreprise.

En effet, la gestion des fournisseurs est un exercice collectif. Il s'agit d'un assemblage d'opinions sur un plan horizontal provenant du village d'experts en la matière qui opèrent au sein de la plupart des organisations dans leurs propres fiefs orientés verticalement. Le propriétaire de l'entreprise n'était qu'une opinion parmi d'autres, avec un rôle moins que dominant.

Le nouvel ordre des choses dans la gestion du risque fournisseur

Le problème de la gestion centralisée des fournisseurs a toujours été la dotation en personnel. En consolidant les étapes et les pratiques d'examen requises, une organisation peut contrôler le programme et présenter à tout auditeur ou régulateur la discipline et l'autorité exercées dans la gestion de la documentation des fournisseurs. Mais cela exigeait beaucoup de main-d'œuvre si la gestion était réservée à un petit nombre.

Maintenant que nous sommes au cœur d'un événement de type "cygne noir", la gestion de la documentation est triviale, comparée à l'engagement et à la visibilité des fournisseurs qui permettent à votre entreprise de fonctionner sur une base hebdomadaire, quotidienne et peut-être même horaire. Nous avons maintenant besoin que le plus grand nombre soit engagé et responsabilisé.

Les modèles de risque définissent la première et la deuxième ligne de défense. La gestion des fournisseurs ne peut pas accepter et assumer simultanément les deux rôles de défense. La première ligne de défense par définition, les propriétaires d'entreprise qui connaissent réellement le modèle d'entreprise et en sont responsables, doit être engagée. Il est probablement évident que votre entreprise en dépend.

Une nouvelle orientation

Une nouvelle préoccupation est apparue. Mon fournisseur dispose-t-il d'un personnel suffisant pour fonctionner et fournir des services à notre entreprise ? Comment le changement de résidence du personnel et la connectivité des opérations du fournisseur modifient-ils l'exposition aux risques en matière de sécurité de l'information ? Comment devons-nous redéfinir les services essentiels ? Les contrats doivent-ils être révisés ? Disposons-nous d'accords de niveau de service et d'options de sortie adéquats (tels que définis pour les institutions financières dans l'annexe J du FFIEC Examination Handbook il y a plus de cinq ans) ?

Comment les politiques et les procédures doivent-elles être modifiées avec le fournisseur et au sein de notre organisation pour accepter un changement de tolérance au risque ? Quelqu'un est-il préoccupé par le risque de concentration des fournisseurs maintenant qu'il y a des fermetures de pays et des points chauds viraux ? Comment l'exposition à la cybersécurité et la résilience des fournisseurs sont-elles contrôlées et validées ?

C'est à ces questions qu'il faut répondre, et non pas simplement à celle de savoir si votre fournisseur dispose d'une lettre de transition pour le rapport SOC de l'année dernière. Les chefs d'entreprise ont désormais plus de poids dans la balance. Et les organisations de gestion des fournisseurs doivent concéder et assurer la délégation de la responsabilité de ce processus commercial critique aux propriétaires d'entreprise ; elles ne se définissent plus seulement comme étant centralement positionnées pour satisfaire aux exigences réglementaires. Le risque lié aux tiers est réel - et n'est plus un passe-temps.