We don’t really know what all the fuss is about. After all, the process of assessing your third parties isn’t that difficult, is it? Determine vendors to assess. Design questionnaire to assess vendor. Send questionnaire to vendor. Receive questionnaire back from vendor. Ask vendor for more information. And more information. Wait. Wait some more. Get answers back from vendor. Populate spreadsheet. Upload to SharePoint. Tell vendor where they’re short on controls and need remediations. Perform some validation stuff. Report on said controls. Repeat for the next <insert number here> vendors. Then do it all again next year. For all of them. Easy, peasy, lemon squeezy, right?
Faux. Complètement faux. On ne pourrait pas être plus « faux », en fait.
Ces dernières années ont apporté des changements significatifs à la pratique autrement décourageante de la gestion des risques liés aux tiers. Des normes de plus en plus strictes pour faciliter la déclaration, une automatisation accrue pour réduire la charge liée à l'évaluation de votre écosystème de fournisseurs et un nombre croissant de pratiques de services professionnels laissent entrevoir un soulagement pour les équipes de gestion des risques surchargées.
Compte tenu de l'état actuel de la gestion des risques liés aux tiers, voici un aperçu de l'année à venir selon notre équipe d'experts : Brad Hibbert, directeur de l'exploitation et directeur de la sécurité ; Alastair Parr, vice-président senior des produits et de la livraison mondiaux, et Brenda Ferraro, vice-présidente des risques liés aux tiers.
1. La gestion des risques liés aux tiers obtient enfin le financement dont elle a besoin
Bien qu'il soit évident que la gestion des risques liés aux fournisseurs est une discipline essentielle qui doit être adoptée, les gestionnaires de risques continuent de lutter pour obtenir la visibilité, le soutien et les investissements nécessaires à la mise en œuvre d'un programme stratégique à l'échelle de l'entreprise. En conséquence, un manque reconnu de cohérence et d'urgence persiste dans la manière dont les fournisseurs sont gérés et contrôlés au sein de l'entreprise élargie. Il en résulte que la gestion des risques et l'efficacité du programme sont fortement limitées.
Même dans les cas où le risque fournisseur bénéficie d'une visibilité adéquate, soutenue par un moteur commercial ou de conformité clair, les tâches courantes, qu'il s'agisse d'obtenir une source précise de profils et d'informations de contact des fournisseurs en interne, de solliciter des réponses d'évaluation ou de démontrer la valeur du programme aux dirigeants, continuent de compromettre la réussite du programme. Alors que les organisations continuent de subir les conséquences des défaillances des fournisseurs, nous les voyons réfléchir de manière plus stratégique à leurs programmes de gestion des fournisseurs.
2. Le rôle du gestionnaire des fournisseurs évolue vers celui de responsable de la veille sur les risques liés aux fournisseurs, mais les outils doivent suivre le rythme.
Les informations sur les fournisseurs ont tendance à être dispersées et dissimulées dans les silos des différents outils d'approvisionnement, de gestion des fournisseurs, des contrats, des opérations, des risques et de la sécurité. Alors que les organisations continuent de s'appuyer de plus en plus sur les produits et services fournis par des tiers, nous constatons que le rôle des responsables fournisseurs et des bureaux de gestion des fournisseurs s'étend au-delà des aspects techniques et de conformité traditionnels pour inclure une vision plus globale qui englobe les risques stratégiques, financiers, juridiques, de durabilité et opérationnels. Si les responsables fournisseurs et les responsables des risques ne sont pas chargés de remédier aux risques identifiés, ils sont toutefois responsables de la collecte, de la quantification, de la hiérarchisation et de la communication de ces risques aux parties internes concernées.
Pour soutenir cette vision plus stratégique du risque fournisseur, nous constatons une évolution des produits de gestion du risque fournisseur, qui mûrissent pour prendre en charge des programmes plus larges grâce à des fonctionnalités avancées et à une intégration plus étroite avec les systèmes et services internes. Nous avons déjà constaté une augmentation de la fréquence des demandes des clients pour une intégration dans les solutions ITSM et GRC. Nous prévoyons que ces demandes d'intégration se poursuivront et s'étendront à d'autres systèmes internes de gestion des activités et des risques.
3. La gestion des risques liés aux tiers évolue au-delà de la conformité (dans une certaine mesure)
Nous constatons que les mentalités évoluent, passant d'une exigence de conformité souvent contournée à un programme stratégique et facilitateur qui bénéficie du soutien et de la visibilité des dirigeants et des conseils d'administration. Bien que cette évolution soit passionnante et élargisse la valeur du programme à travers les différents départements qui dépendent et soutiennent la relation avec les fournisseurs (par exemple, les services juridiques, les achats, l'informatique), nous pensons que le principal cas d'utilisation et la justification commerciale en 2020 continueront d'être la gestion proactive des contrôles de conformité, le traitement d'une ou plusieurs conclusions d'audit, ou la réponse à un incident de sécurité ou à une violation de données.
4. Adieu les évaluations ponctuelles. Bonjour les évaluations continues et proactives !
L'une des exigences fondamentales – et parfois intimidantes – d'un programme de gestion des fournisseurs est le processus d'évaluation des fournisseurs à l'aide d'un questionnaire basé sur des contrôles. En général, ce processus d'enquête est lancé lors de l'intégration des fournisseurs, puis mis en place à intervalles prédéfinis en fonction de l'importance et/ou de l'exposition des fournisseurs, la majorité d'entre eux étant programmés sur une base annuelle. Cependant, dans les environnements commerciaux dynamiques et interconnectés d'aujourd'hui, les informations sur les risques datant de 12 mois sont plus qu'obsolètes.
Ces informations restreintes et obsolètes sur les fournisseurs amènent de nombreuses organisations à s'interroger sur la pertinence de l'analyse des risques liés aux fournisseurs et sur sa valeur dans la prise de décision. Par exemple, si un fournisseur a mis en œuvre de nouveaux processus ou technologies pour traiter des domaines de contrôle spécifiques, une organisation ne devrait pas avoir à attendre la prochaine réévaluation annuelle pour obtenir une visibilité sur ces investissements. Les organisations cherchent à s'éloigner des évaluations « ponctuelles » pour s'orienter vers une méthodologie d'évaluation plus continue. Les organisations travaillent dans des environnements dynamiques où la concurrence, la sécurité, la conformité et d'autres facteurs peuvent évoluer rapidement. Pour rester efficaces, les programmes TPRM doivent être capables de s'adapter.
5. L'essor des analyses prédictives avancées pour identifier les valeurs aberrantes
Alors que les organisations cherchent à étendre leurs programmes fournisseurs, à augmenter la fréquence des mises à jour et à élargir la portée de la visibilité des risques dans le but d'améliorer la valeur de leurs programmes, elles ont également du mal à analyser, hiérarchiser et traiter le volume croissant d'informations. Sur quels fournisseurs dois-je me concentrer ? Quels sont les éléments de risque dont je dois me préoccuper ? Quelle mesure corrective aura le plus grand impact global sur l'amélioration de la sécurité et de la conformité ? Pour accroître la capacité et l'efficacité de leurs programmes, les organisations doivent commencer à adopter des analyses avancées afin d'obtenir des informations supplémentaires et d'automatiser des processus tels que l'identification des valeurs aberrantes, la création de conclusions automatisées, la recommandation de mesures correctives et le déclenchement d'automatisations et de workflows.
6. Les notations de sécurité et les outils d'évaluation deviennent monnaie courante
Les services d'évaluation de la sécurité sont un outil important pour mettre en évidence les risques exploitables auxquels une entreprise est exposée, mais les clients ont pris conscience que l'analyse externe ne révèle qu'une partie des risques liés aux tiers. Cette évolution a conduit les fournisseurs d'outils SRS à se livrer à une course à la vitesse et à la quantité (qui propose le meilleur scan du dark web, qui inclut le plus d'informations, etc.), ce qui laisse présager une banalisation du marché SRS actuel. Au cours des 12 prochains mois, l'accent sera moins mis sur les flux de menaces (qui sont tous de très bonne qualité) et davantage sur l'intégration des informations fournies dans un processus de gestion des risques plus large, incluant des capacités supplémentaires en matière de contexte, de quantification, de hiérarchisation et de remédiation.
Que pensez-vous de l'année à venir en matière de risques liés aux tiers ? Nous aimerions connaître votre avis ! Et ne manquez pas la deuxième partie de notre analyse sur l'année à venir en matière de TPRM, la semaine prochaine.
En attendant, contactez-nous dès aujourd'hui pour obtenir plus d'informations sur la manière dont Prevalent peut vous aider à développer et à perfectionner votre programme de gestion des risques liés aux tiers.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
