À ce jour, de nombreuses organisations ont commencé à recevoir les rapports d'audit de contrôle couvrant l'année 2017 (SOC1/SSAE18 et SOC2). Un élément à noter est l'apparition d'organismes de sous-services, ou de quatrièmes parties, dans les rapports générés après le 1er mai 2017.

Il est intéressant de voir la révélation des fournisseurs sous-jacents (quatrième partie) dans les formats de rapport mis à jour. Bien que ces nouveaux formats définissent intentionnellement ce qui est réalisé par les tiers sous contrat, la divulgation de l'identité de ceux qui réalisent ces efforts n'est souvent pas aussi révélatrice que nous l'attendions ou l'espérions.

Parfois, un brouillard dissimule l'identité de la quatrième partie; des expressions telles que " tiers reconnu par l'industrie" ou " organisme de sous-services" sont insérées à la place des noms des entreprises auxquelles vos fournisseurs ont confié diverses responsabilités.

Surmonter les obstacles à la visibilité liés aux fournisseurs

Nous avons également assisté à l'émergence d'une nouvelle désignation, celle des contrôles complémentaires des sous-services. Dans ce cas, le rapport doit détailler les contrôles transmis à votre organisation qui sont en fait des contrôles de la quatrième partie.

Il est important de connaître et de comprendre avec qui vous interagissez. Mais certains fournisseurs vous empêchent d'accéder à des informations que vous êtes tenu de connaître en vertu de la réglementation.

Par exemple, quelles sont les quatrièmes parties qui soutiennent vos fournisseurs ? Où le centre de données génériquement identifié dans les rapports comme "fournisseur de sous-services" est-il physiquement situé ou sauvegardé ?

Infographie : Lignes directrices pour une intégration efficace des fournisseurs

Atténuer les risques tout en établissant de solides relations avec les fournisseurs.

Télécharger maintenant

S'agit-il d'un centre de données via la mise à disposition d'un fournisseur virtuel basé sur l'informatique en nuage ? Comment savez-vous où résident ou sont consultées les données sensibles de vos clients et de votre organisation ? Ce stockage ou cet accès peut-il transcender les États-Unis et les lois et règlements américains ? Il semblerait que plus vous en apprendrez, plus vous devrez poser de questions.

La gestion des fournisseurs est-elle devenue encore plus difficile ? Comment gérez-vous les tiers aujourd'hui ? Dressez-vous une carte des emplacements et des types d'emplacements des tiers ? Face à la complexité croissante, il est peut-être temps pour les organisations de rechercher des solutions automatisées pour faciliter l'évaluation de ces rapports d'audit de contrôle actualisés.

Se défendre contre les risques liés aux fournisseurs et à l'entreprise

Découvrez nos solutions VRM/ERM les plus performantes.

Nous contacter