Note de l'éditeur : l'entretien suivant avec Brad Hibbert, de Prevalent, a été publié à l'origine sur le site www.credittoday.net et est reproduit ici avec son autorisation.
De plus en plus de gestionnaires de crédit racontent à Credit Today qu'on leur demande d'évaluer les risques liés aux fournisseurs. Cela n'a rien de surprenant compte tenu du stress qui affecte les chaînes d'approvisionnement mondiales et locales et de l'avènement du développement durable en tant que thème de gestion.
En outre, l'émergence de la gestion des risques de l'entreprise (ERM) donne naissance à de nouvelles disciplines et technologies professionnelles. La sécurité des données est une question centrale pour les fournisseurs de technologies de l'information et de services, mais la chaîne d'approvisionnement d'une entreprise est également au centre des préoccupations, et c'est là que des compétences d'analyste de crédit sont nécessaires pour évaluer les risques financiers et opérationnels des fournisseurs et prestataires de services existants et potentiels.
Pour mieux comprendre la gestion des risques des tiers (TPRM) et le rôle que peuvent jouer les responsables du crédit, nous nous sommes entretenus avec Brad Hibbert, COO/CSO de Prevalent, un fournisseur de solutions logicielles de TPRM.
Que doivent savoir les gestionnaires de crédit sur le processus de TPRM ?
La gestion des risques liés aux tiers (TPRM) est le processus d'analyse et de minimisation des risques associés à l'externalisation vers des vendeurs ou des prestataires de services tiers. Il existe de nombreux types de risques dans la catégorie des risques liés aux tiers. Il peut s'agir de risques liés à la sécurité, aux finances, à l'environnement ou à la réputation. La stabilité financière et le risque d'insolvabilité constituent notamment un élément important du cycle de vie de la gestion des risques liés aux tiers. Bien que les analyses et les considérations financières soient comparables entre TPRM et l'analyse de crédit, l'objectif de TPRM est de nature plus opérationnelle, car il peut affecter les services générateurs de revenus.
Comment le TPRM est-il géré dans la plupart des entreprises ?
Trois catégories de marché distinctes sont apparues pour la gestion des risques liés aux tiers : la gestion des risques liés aux tiers, la gestion des risques liés à la chaîne d'approvisionnement et la gestion des risques liés à la conformité. Ces processus s'intéressent à différents aspects des risques liés aux tiers, spécifiques à certaines fonctions - par exemple, la sécurité, l'approvisionnement et l'audit - et ces équipes agissent souvent de manière indépendante, en utilisant des solutions et des processus cloisonnés. Ces équipes agissent souvent de manière indépendante en utilisant des solutions et des processus cloisonnés. Historiquement, ces processus étaient réalisés annuellement, mais la tendance actuelle est d'évaluer en permanence les risques liés aux tiers en utilisant une combinaison d'évaluations basées sur des questionnaires et un contrôle continu des données d'origine publique.
Quels sont les secteurs de l'organisation impliqués dans le TPRM ?
Historiquement, les processus impliqués dans l'évaluation de ce risque ont été déconnectés. Les services informatiques et de sécurité se concentrent sur les risques liés à la sécurité des fournisseurs informatiques. La gestion des achats et/ou des fournisseurs se concentre sur les risques non liés à l'informatique, y compris le risque financier, la performance, la livraison, la géopolitique et maintenant l'ESG (environnement, social et gouvernance). Les fonctions juridiques et de conformité s'intéressent aux sanctions, aux personnes politiquement exposées (PEP), à la propriété de l'État ; et ces équipes peuvent également se tourner vers les équipes de sécurité/informatique pour effectuer une diligence basée sur les contrôles concernant les contrôles protégeant les données et l'accès aux données et leur relation avec divers mandats réglementaires tels que le Règlement général sur la protection des données (RGPD) de l'Union européenne, le Département des services financiers de l'État de New York (NYDFS) 23 NY CRR 500, et ainsi de suite.
Comment les gestionnaires de crédit peuvent-ils aider au mieux l'équipe de TPRM et y a-t-il des domaines autres que le risque organisationnel ou financier dans lesquels les gestionnaires de crédit peuvent apporter leur aide ?
Si les gestionnaires de crédit dérivent des risques et des mesures de risque à l'aide d'une analyse standard ou propriétaire, ces risques et ces informations pourraient être réinjectés dans le programme TPRM. Non seulement ces informations peuvent être prises en compte dans le contexte d'autres risques non financiers, mais elles peuvent également être utilisées pour déclencher et appliquer des flux de travail cohérents en matière de risques dans les départements internes tout au long de la relation avec le fournisseur.
Quels sont les meilleurs moyens pour les gestionnaires de crédit de communiquer les facteurs de risque à l'équipe TPRM ?
Si les gestionnaires de crédit utilisent un processus et un produit distincts de ceux du programme TPRM, les risques et les scores de risque pourraient être intégrés. Cela permettrait de corréler ces informations avec d'autres dimensions du risque, de déclencher des flux de travail plus normalisés entre les équipes et de tirer parti du programme TPRM pour suivre l'atténuation de ces risques par le biais d'une interaction avec l'entreprise et les tiers eux-mêmes au moyen d'un processus de flux de travail normalisé.
Veuillez développer un peu plus les sources des données que les équipes du TPRM collectent sur les fournisseurs et autres vendeurs.
Il peut se passer beaucoup de choses entre deux évaluations périodiques des risques basées sur des questionnaires. Pour compléter les évaluations ponctuelles, les organisations effectuent également un suivi afin d'avoir une vision continue des risques liés aux tiers. Voici quelques exemples de flux de surveillance continue:
- ESG : notation environnementale, sociale et de gouvernance pour les entreprises publiques, offrant un aperçu de la position et des processus adoptés par l'organisation, avec des évaluations annuelles par les pairs et la base de données des violations écologiques de l'EPA.
- Cyber : Forums criminels, pages en oignon, forums d'accès spéciaux sur le dark web, flux de menaces, sites de collage d'informations d'identification fuitées, ainsi que communautés de sécurité, dépôts de code et bases de données de vulnérabilité.
- Entreprises : Examens de sites web publics, de blogs d'entreprises, d'articles de presse, etc. Cela permet de repérer les événements potentiellement intéressants qui font l'objet de discussions au sein de la communauté au sens large, tels que les déclarations financières, les fusions, les changements opérationnels et les enquêtes.
- Financier : Agences de crédit et flux d'enquêtes pour repérer toute anomalie financière ou détention de coquilles susceptibles d'avoir un impact sur la stabilité financière.
- Réputation : Listes de sanctions et d'application localisées dans le monde entier, y compris l'identification des personnes ou entreprises politiquement exposées avec lesquelles les transactions sont actuellement interdites.
- Piratage et violation de données : Les violations de données ou les piratages connus au cours des dix dernières années, y compris les fuites d'informations d'identification sur des sites publics, doivent être pris en considération.
Pour les gestionnaires de crédit, ce niveau de surveillance n'élimine certainement pas la nécessité d'une analyse financière traditionnelle, mais il fournit des informations précoces sur les activités qui ont un impact significatif en aval sur la situation financière et la solvabilité d'une tierce partie. Si une entreprise a des antécédents en matière de violation de données, si elle est victime d'une violation active, si elle subit une panne massive ou si elle est impliquée dans un litige, voudriez-vous en être informé ? Toutes ces informations peuvent être rassemblées, résumées, classées par ordre de priorité et transmises de manière proactive aux gestionnaires de crédit concernés, ce qui permet de prendre des décisions plus rapides et de remédier plus rapidement à la situation, notamment en ajustant les lignes de crédit, les conditions de crédit et/ou l'assurance-crédit.
Comment les cyberdonnées et les données de sentiment peuvent-elles aider les gestionnaires de crédit ?
L'harmonisation du programme TPRM permet à une entreprise de développer un profil de risque tiers complet. Les équipes peuvent exploiter ces informations dans une optique qui les aide à prendre de meilleures décisions fondées sur le risque dans le cadre de leurs fonctions. En plus de la présélection standard et des données financières, le TPRM peut fournir des informations supplémentaires.
D'un point de vue cybernétique, un solide programme de gestion des risques technologiques peut fournir des informations sur l'historique des violations de données et l'hygiène de sécurité actuelle associée à un tiers. Il peut également aider à répondre à la question de savoir dans quelle mesure le tiers se protège lui-même. Il s'agit là d'un indicateur de compromission possible. Combien de violations publiques ont-elles été divulguées au cours des 10 à 15 dernières années, quelle quantité de données a été compromise et quel type de données a été compromis ? Un mauvais historique de violations peut avoir un impact sur la capacité d'une organisation à fournir des services, à payer ses factures ou, en fait, à survivre. Une fois intégrée, une solution TPRM peut automatiquement surveiller les violations de données en cours chez vos tiers afin de garantir la mise en place de stratégies proactives de remédiation et d'atténuation des risques. Ces informations pourraient également être exploitées par les souscripteurs d'assurance-crédit pour aller au-delà des mesures financières standard.
Du point de vue de la réputation de l'entreprise, la surveillance peut également fournir des informations continues sur les événements commerciaux qui pourraient avoir un impact sur la capacité d'un tiers à fournir ou potentiellement perturber le service, y compris les licenciements, les pannes, les interruptions de travail ou l'impact sur la réputation et la marque, comme les violations de l'EPA, les poursuites judiciaires, etc. Tous ces événements peuvent non seulement avoir un impact sur la capacité d'une organisation à fournir des services, mais aussi sur la manière dont elle paie ses factures. Tous ces événements peuvent non seulement avoir un impact sur la capacité d'une organisation à fournir des services, mais également sur la manière dont elle paie ses factures.
Les facteurs de risque EPA, ESG et autres facteurs de risque environnementaux deviennent-ils des domaines importants ?
Chaque année, nous réalisons une enquête TPRM et chaque année, les risques non informatiques gagnent en importance. Au sein de cette cohorte, nous continuons à voir l'intérêt pour la visibilité des risques non informatiques et la remédiation des risques augmenter, y compris dans les domaines de la réputation de l'entreprise et de l'ESG.
Le thème de l'approvisionnement éthique prend de plus en plus d'importance, à tel point que les fonds axés sur l'ESG sont de plus en plus populaires auprès des investisseurs. Cette évolution s'explique en partie par l'afflux de données partagées par les organisations pour démontrer leur alignement sur les principes directeurs ESG, ce qui permet d'analyser le processus d'approvisionnement.
Quel est le type de suivi en cours et la gestion du crédit peut-elle y contribuer ou en bénéficier ?
De mon point de vue, les avantages de la gestion du crédit comprennent une combinaison d'informations proportionnées sur l'activité de l'entreprise, ainsi qu'une visibilité supplémentaire des documents financiers, afin de fournir un aperçu de la santé de l'organisation dans son ensemble. La surveillance continue peut également s'étendre aux événements signalés par l'organisation qui, autrement, ne seraient pas pris en compte.
Lorsque le patrimoine des tiers est examiné dans son ensemble, il offre une base de données supplémentaire de tendances et de variables financières qui peuvent aider à informer les modèles et, à leur tour, à soutenir les considérations quotidiennes des gestionnaires de crédit. Le défi consiste à s'exposer à cet ensemble de données de suivi continu et à élaborer des idées significatives. Cela nécessite une collaboration et un partage des connaissances.
Les gestionnaires de crédit peuvent également contribuer et soutenir les centres de décision pour le risque de tiers lorsqu'ils ne sont pas liés. La richesse de l'expérience et de l'exposition aux dossiers financiers peut être mise à profit pour aider et former ceux qui examinent les rapports des tiers, et fournir des conseils sur les risques et les pièges potentiels.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
