4 bonnes pratiques pour l'analyse comparative et l'audit de votre programme de gestion des risques liés aux tiers

Amanda: Merci beaucoup Amanda. Alistair: Bien sûr. Alistair: Pour commencer, Joe, qui es-tu ? Pourquoi êtes-vous ici ? Et pourquoi nous parlez-vous ? Joe: Merci Alistister. Je suis directeur de programme à Prev. J'ai passé beaucoup de temps à travailler avec des clients pour développer leurs programmes. C'est pourquoi j'espère pouvoir apporter une bonne contribution aujourd'hui en discutant de certains de ces facteurs clés qui contribuent à la maturité d'un programme. Alistair: Très bien. Merci, Joe. Et bonjour à tous. Alistair Pal. Je suis le SVP des produits et des livraisons chez Prevalent. J'ai des dizaines d'années d'expérience dans l'audit des programmes de tiers par rapport aux principaux domaines de risque, aux contrôles de risque, et j'ai eu une bonne dose de supervision des programmes de tiers, en particulier dans le domaine de la gouvernance. Je vais donc essayer d'intégrer ce que je sais et nous allons certainement tirer des informations de Joe et de Scott qui pourraient être prudentes au cours de la session. Scott, c'est à vous.

Scott: Vous n'aurez pas beaucoup d'informations. beaucoup d'informations de mon point de vue aujourd'hui. Malheureusement, Alistair, je ne suis que le responsable marketing de l'appel. Je suis vice-président du marketing produit chez Prevalent. Mon travail consiste à synthétiser les meilleures pratiques que nous apprenons de nos clients et que nous générons à partir de notre propre expertise, et à les appliquer à l'ensemble de nos clients par le biais de la publication de contenu et de conseils réguliers sur les meilleures pratiques. En gros, je vérifie l'orthographe de tout ce qu'Alistair et Joe créent et voilà, c'est ma contribution. Je suis donc ravi d'être ici.

Alistair: Scott est certainement le plus humble des quatre, comme vous pouvez le constater. Alors, de quoi allons-nous parler aujourd'hui ? Un petit aperçu. Notre objectif est de plonger dans certains des éléments de base qui aident à soutenir de bons programmes d'audit en ce qui concerne les risques liés aux tiers. Il y a quelques questions que nous allons aborder dans ce cadre. Il y a un thème central que vous allez voir aujourd'hui, à savoir l'évaluation de la maturité. La raison pour laquelle nous utilisons les évaluations de sécurité comme mécanisme d'audit est qu'elles sont reproductibles, cohérentes et qu'elles fournissent un point de référence approprié. Mais tout au long de notre voyage et de nos conversations d'aujourd'hui, nous allons aborder quelques questions courantes que nous avons tendance à voir. Nous allons comprendre comment valider qu'un programme, un programme de gestion des risques des tiers, fonctionne efficacement et correctement. Nous examinerons les principaux critères de référence associés à un programme de gestion des risques liés aux tiers. Nous comprendrons comment nous pouvons déterminer où se situe un programme individuel dans le modèle de maturité qui est le résultat de l'évaluation de la maturité. Nous examinerons certains des seuils communs pour les points de référence critiques qui constituent cette évaluation de la maturité et nous fournirons des idées communes sur la manière de progresser vers le point de référence suivant. Nous aurons une session de questions-réponses plus tard, comme Amanda l'a très justement couvert. Si vous avez des questions, n'hésitez pas à les poser dans la section Q&R. Nous nous efforcerons de les traiter au fur et à mesure de la session ou de les garder pour la fin. Donc une vue d'ensemble de l'évaluation de la maturité Joe, qu'est-ce qu'une évaluation de la maturité d'un programme de tierce partie ?

Joe: Bien sûr. C'est un bon point de départ. Il s'agit en fait de comprendre où vous en êtes avec votre programme de tiers. Nous voyons beaucoup d'organisations se précipiter dans la création et le développement d'un programme dans l'espoir qu'il soit couronné de succès. Une évaluation de la maturité nous permet de prendre du recul et de comprendre exactement si nous avons pris en compte toutes les composantes fondamentales d'un bon programme. Y a-t-il des éléments que nous n'avons pas pris en compte lorsque nous avons mis en place les couches qui soutiennent un programme ? L'application d'un mécanisme de notation nous permet de comprendre où nous en sommes et où nous pourrions arriver. Alistair: Alors, Joe, pourquoi devrais-je m'en préoccuper ? Joe: Oui, bonne question. Une fois que nous avons établi notre notation pour une évaluation de la maturité, nous comprenons où nous en sommes. Nous pouvons alors commencer à planifier. Si nous obtenons un score de deux, par exemple, sur cette échelle de maturité, nous pouvons alors nous demander pourquoi nous obtenons un score de deux. Vous savez, où étaient nos succès, où étaient nos faiblesses, et ensuite nous pouvons commencer à appliquer une certaine propriété en interne pour, vous savez, nous faire progresser au niveau suivant. Et comment cela pourrait avoir un impact sur notre programme. Lorsque nous examinons un programme global, nous ne devrions pas nous contenter de nous demander comment nous pouvons évaluer davantage de fournisseurs et comment nous pouvons réduire les risques. Il s'agit de rendre ce processus aussi efficace que possible. Euh, et c'est généralement l'un des domaines communs où nous voyons, vous savez, des dérapages lorsque les organisations mettent en place leur programme. Vous savez, construire quelque chose d'évolutif. Vous ne ferez qu'embarquer de plus en plus de vendeurs, espérons-le. Hum, donc en gardant cela à l'esprit, vous savez, nous devons chercher où nous pouvons améliorer l'efficacité le plus tôt possible afin que nous puissions voir les avantages lorsque nous commençons à étendre et euh et à faire croître le programme au fil du temps.

Joe: Et je voudrais également mentionner que nous avons constaté que lorsque nous élaborons ce type de questions et que nous essayons de comprendre la maturité, il y a un thème commun où les organisations cherchent toujours à obtenir le meilleur score possible de ces évaluations alors qu'elles devraient plutôt travailler dans l'autre sens. Vous savez, vous devriez toujours essayer d'être du côté de l'immaturité plutôt que de la maturité lorsque vous cherchez à remplir ces types d'évaluations, de sorte que s'il y a des sortes de zones grises dans lesquelles vous voyez des faiblesses particulières, vous les gardez sur le radar pour les développer et les améliorer au fil du temps. Hum, un autre point à mentionner ici aussi est que si vous allez effectuer un exercice comme celui-ci de manière cohérente, peut-être trimestre après trimestre, espérons-le, ou année après année, au minimum, nous devrions chercher à faire une comparaison d'une pomme à l'autre. Vous savez, qu'en était-il l'année dernière ? Comment avons-nous effectué l'évaluation, avons-nous été honnêtes dans nos réponses ? Avons-nous répondu d'une manière binaire particulière qui rende cette évaluation comparable à quelque chose que nous ferons plus tard ? Voilà donc quelques-uns des facteurs clés que je prendrais en compte lorsque nous commençons à envisager de remplir une évaluation ou que nous nous lançons dans cette aventure de l'évaluation. Alistair: Merci Joe. C'est une information intéressante. L'une des questions que l'on me pose souvent à ce sujet est la suivante : c'est très bien. Il y a donc un modèle d'évaluation entre un et cinq euh basé sur le modèle de maturité des capacités de Carnegie Carnegie.

Alistair: Mais qu'est-ce que vous considérez normalement comme une moyenne ? Vous avez mentionné que les gens devraient travailler dans une perspective d'immaturité dès le départ, en s'attendant à un certain degré d'immaturité dans leur programme et dans les piliers. Alistair: À quoi ressemble un bon programme de première année ? Joe: Oui, je dirais que le score le plus courant que nous voyons pour notre modèle particulier se situe entre deux et trois. Il s'agit donc de l'état d'un programme qui se développe et qui est évolutif. C'est typique parce que je pense que tous les éléments de base d'un programme sont en place, mais qu'il manque juste la vérification de la manière de rendre les choses plus évolutives et plus efficaces, ce qui explique pourquoi ils ne parviennent pas à atteindre cet état d'évolutivité et d'optimisation du programme. En général, nous voyons un score de deux à trois. Je pense qu'avec un an d'étude du programme pour corriger certaines de ces faiblesses, il devrait être possible d'obtenir un score de trois à quatre, ce qui est ennuyeux. Je dirais que c'est typique si vous faites tout ce qu'il faut, si vous effectuez ces tests tous les trimestres et si vous avez la bonne volonté en interne de responsabiliser les gens pour qu'ils progressent dans ces domaines.

Alistair: Très intéressant. Quelle est la meilleure que vous ayez vue, Joe ? Joe: Le meilleur que j'ai vu est un formulaire tardif. Il faut également tenir compte de la portée réelle de l'évaluation lorsque l'on examine ce type de mesures. Les organisations peuvent avoir un très petit nombre de tiers, auquel cas elles peuvent consacrer beaucoup de temps au développement de certains de ces domaines. Au fur et à mesure que le programme se développe, il se peut même que certaines organisations perdent des points parce que l'étendue du programme augmente. Il se peut qu'il y ait une nouvelle législation qu'ils doivent prendre en compte dans leur programme d'évaluation. Donc, bien que nous voyions certaines organisations avec un score assez élevé, je dirais que c'est plutôt le maintien de ces scores qui devient un défi au fur et à mesure que la portée du euh du programme augmente. Alistair: Je comprends. Merci, Joe. C'est très utile. Cela m'amène à poser la question suivante : quels sont les facteurs clés qui contribuent à ces résultats ? Vous savez, les scores élevés, les balles élevées, etc. Comment passer d'un programme relativement immature à un programme plus impliqué ? Quels sont les facteurs qui y contribuent ?

Joe: Oui, nous devrions commencer à disséquer un programme en ses éléments les plus petits afin d'avoir une vue plus granulaire ou d'obtenir un véritable aperçu de la façon dont nous pouvons faire évoluer notre programme. C'est la raison pour laquelle nous avons abordé la création d'une évaluation de la maturité de cette manière, en examinant des piliers particuliers que nous pouvons évaluer et sur lesquels nous reviendrons dans une seconde. Mais lorsque nous commençons à examiner la notation, comme je l'ai mentionné il y a une seconde, nous devrions nous assurer que nous avons des éléments clairs à traiter à l'arrière de ces questions que nous posons. Par exemple, si nous examinons le contenu du questionnaire et notre degré de maturité dans un domaine particulier d'un ensemble de questions, nous devrions examiner cet ensemble de questions et identifier, vous savez, comment nous pouvons nous améliorer lorsque nous commençons à réviser ces questions, vous savez, tous les trimestres. Hum, mais oui, nous avons abordé beaucoup de ces points il y a une seconde. Hum, l'approche binaire pour compléter un ensemble de questions, s'assurer qu'il y a une approche standardisée pour obtenir les scores comme résultat de l'évaluation. Comme je l'ai dit, nous devons comparer des pommes avec des pommes pour obtenir une véritable compréhension des améliorations de la maturité. Hum, et une autre chose vraiment importante ici aussi, c'est que lorsque nous envisageons d'évaluer l'évaluation de la maturité, nous devrions vraiment essayer d'appliquer une certaine priorisation aux résultats. Nous ne nous contentons donc pas de considérer que tout est égal au sein du programme lorsque nous évaluons notre maturité. Il devrait y avoir certaines choses qui sont plus importantes que d'autres ou certaines dépendances que nous devons mettre en place en premier et c'est là que nous devons appliquer un peu plus d'intelligence à, vous savez, notre contenu d'évaluation.

Alistair: Merci, Joe. Vous avez fait référence aux piliers. Les piliers semblent très utiles et certainement très utiles du point de vue de l'analyse comparative. J'aimerais donc en savoir plus, Joe. Quels sont les piliers ? Joe: Oui, bien sûr. Je vous remercie. Lorsque nous commençons à examiner une évaluation ou un programme, nous devons le disséquer dans des domaines particuliers pour commencer à comprendre, vous savez, où sont nos forces et où sont nos faiblesses. La façon la plus logique de disséquer un programme sur la base de nos types d'évaluation est donc de s'appuyer sur les piliers que nous avons sous les yeux. Nous avons donc la couverture, le contenu, les rôles et responsabilités, la remédiation et la gouvernance. Ce sont les cinq piliers qui soutiennent notre programme. Au sein de ces piliers, nous avons un certain nombre de questions et un niveau de maturité. L'avantage d'aller au-delà d'une note globale pour le programme est que nous obtenons vraiment une vue en profondeur de nos forces et de nos faiblesses. Je pense que certaines évaluations qui se contentent de fournir une note globale de maturité perdent beaucoup de cette visibilité et de cette granularité. Et même si vous obtenez un score comme 2,94, il est vraiment difficile d'identifier, vous savez, à quel point c'est bon. Ce n'est que lorsque vous commencez à le décomposer, comme vous pouvez le voir dans ce tableau, que vous pouvez voir les forces et les faiblesses qui composent ce score global. Cela vaut peut-être la peine que je vous explique pourquoi nous avons eu une vue d'ensemble de chacun de ces piliers pendant que nous sommes sur cette diapositive. La couverture est donc la part du patrimoine des tiers que nous évaluons ou que nous couvrons avec le programme, ou la part que nous pensons couvrir, devrais-je dire. Vous savez, est-ce que nous évaluons tous nos tiers ? Avons-nous un processus d'intégration solide pour nous assurer que les nouveaux tiers s'inscrivent au programme et que nous assurons la maintenance de ces tiers ? Nous passons ensuite au contenu, c'est-à-dire au contenu des questionnaires : envoyons-nous suffisamment de contenu d'évaluation ou de types de questionnaires pour obtenir le niveau d'évaluation dont nous avons besoin ? Nous passons ensuite aux rôles et responsabilités. Les rôles clés au sein du programme sont-ils définis et documentés et tout le monde est-il formé ? Ensuite, nous nous penchons sur la remédiation, c'est-à-dire sur les risques et le processus d'examen, et enfin sur la gouvernance, qui se concentre principalement sur l'établissement de rapports et le maintien d'une preuve d'audit attestant que notre programme fonctionne avec succès.

Alistair: Intéressant. Joe, l'une de mes premières questions est d'apprécier ces cinq piliers fondamentaux et leur contribution à la notation globale. Est-ce qu'ils sont tous pondérés de la même manière ? Joe: Oui, c'est une excellente question. Comme je l'ai mentionné il y a une seconde, certains domaines d'un programme dépendent d'autres domaines. Donc, pour reprendre l'analogie de la course avant la marche, les composantes de la marche sont celles qui seront les plus fortement pondérées. Vous savez, les choses que vous devez réussir pour pouvoir passer à l'échelle supérieure. Par exemple, dans le cadre des rôles et des responsabilités, il ne faut pas se contenter d'injecter des ressources sans fin dans un programme pour que les évaluations soient terminées. Nous devrions examiner les flux de travail, la formation qui a lieu pour s'assurer que ces processus se déroulent efficacement et ce sont les domaines du programme que nous attendons généralement avec une plus grande valeur que certains des derniers domaines.

Alistair: Merci Joe. Cela étant dit, il semble prudent que nous nous penchions sur certains de ces piliers individuels. Alistair: Pour commencer, Joe, tu pourrais nous donner un aperçu de la couverture parce que c'est un sujet clé lorsque nous commençons à examiner les inventaires des fournisseurs et les risques liés aux tiers. Joe: Oui, parfait. Je pense que l'objectif principal du pilier de la couverture est de s'assurer que nous évaluons tous nos tiers et que nous ne perdons aucune exposition à des risques potentiels au sein de notre chaîne d'approvisionnement. Le pilier de la couverture s'intéresse donc aux processus qui soutiennent cette démarche. Avons-nous une visibilité de tous nos tiers ? Existe-t-il un inventaire de nos fournisseurs ? Tout le monde sait-il comment l'utiliser ? Lorsqu'il y a une nouvelle demande de service de la part d'un fournisseur, nos employés savent-ils exactement où ils doivent se rendre pour demander l'intégration d'un nouveau fournisseur ? Il s'agit donc d'essayer de combler ces lacunes au sein du programme pour s'assurer qu'il n'y a pas de zones potentielles où le risque pourrait être exposé sans que nous en ayons la visibilité. Une fois que nous savons que nous avons une bonne couverture, nous pouvons commencer à identifier et à profiler ces fournisseurs de la bonne manière. Il y a un graphique pratique sur le côté droit qui donne un aperçu de la logique de tarification que certaines organisations peuvent appliquer. L'objectif est de savoir, lorsque nous examinons les fournisseurs, où nous devons prioriser nos efforts. Ainsi, si nous avons un fournisseur stationnaire par rapport à quelqu'un qui héberge nos données, nous voulons nous assurer que ceux qui hébergent nos données sont évalués de manière plus approfondie et plus contextuelle. L'aspect profilage et hiérarchisation permet de comprendre qui est le fournisseur au moment de l'embarquement. Vous savez, plus nous pouvons obtenir d'informations le plus tôt possible dans le processus, plus nous disposons du contexte nécessaire pour pouvoir les évaluer de la bonne manière. En regardant plus loin dans le pilier de la couverture, nous passons également à d'éventuelles quatrièmes parties. U est le tiers que nous considérons comme un simple intermédiaire pour un autre fournisseur. C'est un domaine où nous ne voyons pas beaucoup de couverture de la part des organisations que nous évaluons avec l'évaluation de la maturité - savons-nous qui soutient certains de ces services de tiers - un autre facteur contributif important - l'un des plus importants de cette liste, je dirais - est l'élément de maintenance des tiers - beaucoup d'organisations évaluent les entités avec une approche de type " une fois et une décharge " - une approche de type " une fois et une décharge " - où elles évaluent un fournisseur et ne reviennent jamais en arrière et répètent le processus de profilage, de hiérarchisation, en s'assurant qu'elles ont les bonnes informations de contact pour s'engager avec elles si elles en ont besoin. Mais cela est essentiel ici aussi pour s'assurer que nous évaluons les fournisseurs de la bonne manière. Vous savez, rien n'empêche un fournisseur de niveau 3 une année de devenir un fournisseur de niveau 1 l'année suivante parce que, vous savez, l'étendue des services peut avoir augmenté. Il sera donc essentiel de s'assurer que nous procédons à ce type de maintenance des parties.

Alistair: Merci, Joe. Donc, il semble certainement que du point de vue des bonnes pratiques, si quelqu'un va construire ses propres mécanismes d'audit, mécanismes de validation, ce sont tous des facteurs contribuant à la couverture que l'on s'attendrait à voir euh au minimum. D'après ce que l'on entend, si les gens souhaitent utiliser l'évaluation de la maturité prévalente, nous la mettons à leur disposition. Il n'y a pas de frais associés. Et nous vous donnerons des détails sur la manière de la compléter plus tard. plus tard dans ce webinaire. Mais il s'agit certainement de points très utiles en tant que mesures que nous pouvons examiner de manière répétée d'année en année. J'aime bien l'expression " une fois et cancre ". Je pense qu'elle s'applique parfaitement à la gestion des risques liés aux tiers, car il s'agit d'un processus itératif permanent. Merci Joe. En gardant cela à l'esprit, quelques observations d'informations intéressantes. Prevenant réalise régulièrement des évaluations, des études et des recherches sur l'espace des tiers et sur la maturité des programmes. Alors que nous passons en revue certains de ces piliers et points de mesure clés aujourd'hui, nous mettrons en évidence certains éléments que nous voyons dans notre analyse et qui contribuent en fait à des échecs et à des conclusions d'audit réguliers dans les programmes de tiers. Il est intéressant de noter que l'un des éléments les plus courants que nous observons en matière de couverture est le nth party. Nous savons qu'il s'agit d'un défi récurrent pour les gens. Le plus souvent, la plupart des organisations ont des difficultés à obtenir un inventaire de fournisseurs suffisamment décent au départ. Mais elles ne sont pas en mesure d'étendre cet inventaire à la nième partie, ce que l'on appelle les quatrièmes parties et les parties en aval auxquelles Joe a fait allusion plus tôt. Ainsi, 79% des organisations qui réalisent nos évaluations de maturité et sur lesquelles nous effectuons des recherches n'ont pas de programmes conçus pour prendre en compte les quatrièmes parties. La tendance est à l'augmentation et à l'amélioration dans le sens où les gens commencent à s'en préoccuper car de plus en plus d'outils sont disponibles pour commencer à découvrir les parties finales, ou ils le font par le biais d'évaluations, mais cela semble être l'un des facteurs les plus courants qui ont un impact sur le pilier de la couverture. Joe, pourriez-vous nous donner un aperçu du contenu ?

Joe: Le contenu. Oui. L'une des principales raisons pour lesquelles les processus deviennent inefficaces et nous créons des zones grises dans l'identification des risques. Pour commencer, nous devrions d'abord comprendre exactement quels sont nos composants d'évaluation lorsque nous commençons à examiner les fournisseurs. S'agit-il d'envoyer une série de questions et de faire en sorte que tous les fournisseurs reçoivent la même chose ou commençons-nous à appliquer une certaine logique à la manière dont nous évaluons les fournisseurs et c'est là qu'un cadre d'évaluation entre en jeu. Et comme je l'ai dit plus tôt, lorsque j'ai mentionné les éléments fondamentaux d'un programme, le cadre d'évaluation est probablement l'une des premières choses qu'il convient d'examiner. Comment savons-nous que nous évaluons les fournisseurs de la bonne manière ? Et y a-t-il une logique que nous pouvons utiliser pour déterminer, vous savez, quels fournisseurs devraient recevoir quel niveau de traitement. Ainsi, le cadre d'évaluation devrait détailler le type de questionnaire qu'ils pourraient recevoir ou s'ils sont remédiés euh vous savez juste par une session à distance ou si une visite sur site pourrait être nécessaire, si tout élément de surveillance ou de gestion des menaces devrait être euh contribuant à l'approche d'évaluation et euh vous savez associé à cette logique de tarification que nous avons vu plus tôt, la logique de profilage et d'étagement. Si nous comprenons le profil complet d'un fournisseur dès le départ, alors nous pouvons nous assurer que cette information est appliquée avec précision à ces fournisseurs et nous nous assurons que nous utilisons nos ressources à bon escient et que nous les investissons dans les bons domaines au sein de notre parc de tiers. C'est donc le premier élément. Ensuite, il s'agit vraiment du contenu que nous intégrons dans notre approche lorsque nous évaluons un fournisseur. Beaucoup de nos évaluations que nous voyons utilisées par nos clients sont des questions binaires du type " oui " ou " non ". Y a-t-il des moyens d'améliorer notre approche de l'évaluation afin d'obtenir toutes les informations dont nous avons besoin et de la rendre aussi conviviale et rationnelle que possible pour nos vendeurs ? Nous avons passé beaucoup de temps en interne à élaborer des séries de questions conviviales et aussi peu abrasives que possible, car cela améliorera nos relations avec les fournisseurs, qui passeront moins de temps à remplir des questionnaires. Et si nous appliquons le bon niveau de considération lorsque nous élaborons nos ensembles de questions, nous pouvons nous assurer que nous obtenons toutes les informations clés dont nous avons besoin pour prendre des décisions sur, vous savez, si un tiers a besoin d'un suivi sans avoir besoin de revenir vers eux et de leur poser, vous savez, une série de questions pour vraiment obtenir la substance de l'information dont nous avons besoin. Il y a donc un énorme avantage à commencer à réfléchir à la manière dont nous investissons du temps dans l'élaboration des séries de questions. Euh, si nous avons inclus des conseils, euh, si nous avons la bonne communication pour soutenir le contenu que nous envoyons. Tout ce que nous pouvons faire pour rendre le processus aussi fluide que possible et obtenir le maximum d'informations de qualité de la part de notre tierce partie avec le moins d'interactions possible est l'objectif à atteindre. Une fois que nous sommes satisfaits du contenu de notre questionnaire et que nous avons appliqué certaines de ces techniques, nous devons nous assurer que la notation est en place et mature. Ainsi, avons-nous aligné nos séries de questions sur notre appétit pour le risque interne. Je pense donc que le fait de s'assurer que nous disposons de cette couche fondamentale de l'appétit pour le risque de l'entreprise nous permettra d'appliquer ce type de logique à nos séries de questions que nous envoyons afin d'obtenir un bon résultat des éléments de risque qui nécessitent réellement un suivi de notre part.

Alistair: Merci. Joe, nous avons reçu quelques commentaires de l'auditoire concernant les évaluations. Nous apprécions le fait qu'il existe des ensembles de questions standardisées, comme le SIG, qui sont excellents, mais certains commentaires concernent le fait que les fournisseurs les renvoient à un dossier central qui n'est pas aligné sur quoi que ce soit en particulier, ou leur fournissent un rapport de type " sock two " ou quelque chose de similaire, et c'est essentiellement ce qu'ils obtiennent. Le point intéressant est donc de savoir s'il est important de pouvoir établir un processus qui convertit ou adapte la documentation que vous obtenez. Il peut s'agir d'une preuve provenant d'un rapport de chaussette 2, d'une déclaration d'applicabilité 27,01, etc. Il s'agit de disposer d'un processus permettant d'adapter ces éléments à la méthodologie normalisée dont parlait Joe. Il s'agit donc d'avoir des mécanismes de notation et des mécanismes de risque qui soient alignés mais cohérents. Il s'agit donc d'être capable d'adapter et de traduire. Ce qui est intéressant, c'est que lorsque nous commençons à examiner les tendances, lorsque nous commençons à examiner ces évaluations dans leur ensemble, il est décevant de constater que 52% n'ont pas de méthode standard pour présenter les données sur les risques et ce que nous voulons dire par là, c'est qu'à travers les différents moyens et médianes d'obtention des informations, comme deux audits, SIG, leurs propres évaluations, données de surveillance, etc. ils n'ont pas de moyen de standardiser cela et de le comparer, ce qui est très lié aux commentaires de Joe plus tôt sur le fait de s'assurer que vous avez un mécanisme cohérent et que vous avez la capacité d'établir des seuils de risque dans toute l'entreprise. C'est extrêmement important lorsque vous commencez à parler de milliers, de dizaines de milliers, de centaines de milliers de tiers, car soyons honnêtes, s'ils ne sont pas des pommes pour des pommes, cela va rendre la vie extrêmement difficile en aval. C'est donc l'un des facteurs qui contribuent le plus aux résultats de faible maturité et aux échecs d'audit lorsqu'il s'agit de contenu, en particulier en ce qui concerne le risque lié aux tiers. Joe, auriez-vous l'amabilité de me donner un aperçu des rôles et des responsabilités ?

Joe: Yeah, perfect. Thanks, Alistister. So, this particular pillar is is really interesting because again, it’s going to really have a huge impact on efficiency, you know, how well we develop this particular area. So, making sure we have the right roles and responsibilities defined for a program is going to be really important. Making sure that we have all of our processes for doing out assessments, on boarding suppliers, um you know, managing that assessment process all the way through to remediation and reporting. Making sure we’ve got our roles aligned to those um specific areas accurately is going to be uh really really important. When it comes to um resource actually performing tasks, we should always try and look at how we can streamline those uh processes because if there’s an efficient an inefficiency for one particular vendor, uh then that problem is only going to get multiplied with every vendor that we on board into the program and have to perform that particular process on. Uh so I recommend we invest heavily in looking at those processes seeing how we can streamline them you know is there any automation that can take place you know could we leverage a platform to send the assessments and you know manage the chasing process for example anything we can gain here is going to be really critical to uh moving from that scoring of a two that we saw earlier where we’re just developing a program up to something that’s more scalable. Um, also to support this, we see a lot of um issues with uh with role alignment. You know, we have um one particular uh resource that’s really experiencing risk remediation that might be chasing up responders for responses on um on on risks they might be discussing, for example. So, again, making sure we’re aligning our right resource to the right jobs and tasks. again is going to be improving um the uh the efficiency of of the program. Um one thing as well that we don’t see many clients performing on a regular basis is resource forecasting and this is actually something um really easy to do. We should be able to understand pretty early on whether the uh resource we have within our team is enough to be able to support you know x number of vendors over the course of a year. We know how long each of our processes take. uh we know we’ve we may have streamlined them as well to make sure they are as efficient as possible. So now we should be able to do some basic calculations to work out you know how much of a um of a scale can our team manage and performing those types of exercises is going to be really helpful in planning and making sure we’re setting oursel up for success rather than failure as we start to build out the program on board new suppliers and um and overall begin to scale. Alistair: Thank you, Joe. It’s certainly second based on the programs I’ve seen, some of the commentary that Joe’s had there. So, when it comes to allocating the right resource for the right job, we have yet to see a overstaffed TPRM program. You might be the odd unicorn that exists out there, but um if you are, you certainly are that unicorn and congrats to you. Uh but typically what we would see is the fact that you have a small team with shared capabilities and even some quick wins such as documenting skills matrix. based on who’s doing what. Not so much a racy roles and responsibilities, but also understanding for the variations that you might have in your process, who can actually take on what role and making sure that you’re allocating responsibilities accordingly is very important. And that contributes to those resource forecasts that you do because the reality is you could be overcommitting over what you’re able to achieve in one year. And that’s a very common issue that we see. People overcommit and essentially misrepresent what they’re able to do in 12 months. And even if you do the a significant amount in year one, you end up still looking like you’ve missed targets, which is totally unfair. That is sadly still too common in this space. But what are the most common observations that we are seeing when it comes to roles and responsibilities? Uh at the very top there, lacking the standardized process. So this is about establishing a process for operations. Uh third party risk management is still a very workflow heavy activity. Tools automate and help make decisions, define thresholds etc. But you nonetheless need a process for identifying the information, reacting to the information, articulating and sharing it across the business. 62% did not have a consistently standardized process. 52% had planning shortfalls. This is where they when we ultimately looked at capacity planning, the reality is that they would never be able to achieve what they’ve committed to to the execs. Uh and that is sadly undermining all the good efforts that they’re doing throughout the year. So, we strongly strongly recommend looking at resource capacity planning and then factor that in based on the limited in information you’re probably going to get from your third parties and be pragmatic and realistic. And 59% actually overspent on TPRM resources. What do we mean by that, Joe? I think you touched on it not too long ago, which is you’ve got say senior risk consultants who are wellversed to dealing with the intricacies of risk management sitting there doing things like chasing responses, asking generic questions, answering generic questions as well across third parties. That’s not a good use of their time. The reality is there’s going to be a large subset of risks that they need to deal with. So aortioning the right duties to the right people is certainly uh valid and worthwhile. Joe, please share more on remediation for me.

Joe: Remediation uh again I keep hammering home this point around efficiency, but um it really is going to be key here as well. Uh a lot and you even touched on it there with one of the the stats you mentioned around um some inconsistent approaches. So, one thing we we’re commonly finding with with remediation is um there’s not a consistent approach leveraged by teams to perform review process pro processes, whether that’s a review of a submission that’s just been returned to us from a a vendor uh or it’s an actual risk that needs to be reviewed internally. There’s always seems to be a lack of um a standardized approach that’s actually documented to support these types of activities. So things like playbooks, uh if we’re looking at a question and they answer X or Y, you know, what should we do? What’s our standard response? You know, actually looking looking at our um request for evidence and where they provide it, you know, providing some guidance internally on what we should look for. to validate that this particular evidence is fit for purpose. The more we can invest in in that type of process and documenting it, the less we would have to rely on some of these more expensive resources performing these types of tasks because we’ve actually documented it. It’s more of a playbook and there’s some some standardized logic to it. So recommend uh and of course we’re we’re um we’re reviewing everything consistently which is going to be beneficial to uh to the program. So I recommend uh you know we we build on that as a dependency or one of our more heavily weighted areas for improving maturity within this particular area. Um making sure we have aligned a good and um maintained uh risk scoring to the the types of uh risks that we’re assessing as well. It’s going to be beneficial. So we have seen a lot of um question sets which have been used within within programs where they just using a binary approach of you know is this in place yes or no. Um without applying that scoring and that waiting to how important that particular question is to the business it becomes very difficult to prioritize these items for review internally. You know we want to be able to tell our suppliers you know these are the key things we need from you right now as must-haves rather than these other 50 that might be nice to haves. So investing time into making sure you scoring is uh is up to date, maintained and um and reflective of our our internal risk appetite uh would be really uh really beneficial for maturity when it comes to risk remediation approach. Uh again a playbook is going to be hugely helpful and uh when I perform these exercises of actually debriefing some clients on their maturity assessments uh I bring this up almost every session and just say if we invest some time into defining what remediation looks like to you and how can we standardize it. Um we’re going to hugely improve the the efficiencies in that particular area. And again, as Alistister said a second ago, you know, why are we using our expensive resource to manage things that we can document and ask maybe our more junior resource or different roles to conduct for us? Any levels of filtering we can apply to those those types of processes will increase our efficiency um and overall our maturity of our program. We discussed on the last piece around uh resource management. Again the same can be applied to remediation. We should be able to grasp what our uh our scale of remediation looks like based on the team we have internally. You know how many risks can we manage a day? Do we have guidelines on um you know when our chases are needed to make sure things are in place by you know those types of uh of attributes can be really beneficial to maturing. the remediation area. And I would say although these these these things seem like uh you know it’s a heavy investment of time I actually think you could accomplish quite a lot of this stuff you know within the scope of a month say of building out what risk mediation looks like and um and standardizing it from that point onwards it’s going to be a process of evolving that playbook over time. This is never going to be uh a oneanddone approach like I mentioned earlier. If we can define our our our logic of if this then that for risks being identified and then just build on that and evolve that over time that playbook’s only going to get more and more advanced. Um and with that we’re relying on less and less expensive resource to conduct those types of activities. So another really good one there for uh for improving efficiency and that also ties into the last point there around standardization and process. We need everyone to be conducting remediation approaches in the same way, you know, having workflows defined, considering things like uh the profile of a vendor and the tier of a vendor, obviously that can impact on, you know, how we’re approaching remediation. So the more we can build on that type of activity, uh the more maturity we’re going to see in these particular areas.

Alistair: Merci, Joe. Une question fréquente que l'on nous pose lorsque l'on parle de remédiation est que l'on a naturellement l'impression que les fournisseurs et les parties ne s'engagent pas et qu'il faut dans certains cas un montant d'investissement disproportionné pour qu'ils adhèrent et s'attaquent au problème du risque. Or, la chose clé que nous aimons normalement articuler quand il s'agit de cela, c'est le pragmatisme. Le plus souvent, lorsque nous commençons à examiner un programme de tiers, les niveaux de tolérance, les seuils de risque sont généralement très permissifs. Ils laissent passer un grand nombre de risques classés comme critiques, élevés ou moyens, ce qui peut être disproportionné. C'est généralement au cours d'une période de réglage et de mise au point que l'on commence à voir la remédiation s'adapter, que l'on commence à voir les volumes diminuer et que l'on commence vraiment à fixer le niveau de son seuil de tolérance en tant qu'organisation, ce qui, bien sûr, entraîne la remédiation. Il ne devrait donc s'agir que d'un minuscule sous-ensemble de vos tiers pour lesquels vous effectuez un travail actif de remédiation par rapport à votre inventaire de fournisseurs beaucoup plus important de ce point de vue. Quelles sont donc les observations les plus courantes que nous avons tendance à voir lorsque nous examinons spécifiquement la remédiation ? Euh, la plus courante, et c'est très élevé, 86%, c'est le manque de directives cohérentes en matière de remédiation. Cela inclut donc les organisations qui utilisent des choses comme SIG, leur propre contenu propriétaire, la surveillance passive dans tous les domaines. Si certains risques dépassent vos seuils de tolérance, il devrait y avoir des directives standardisées. Ainsi, si tous les consultants en risques du monde disparaissaient un jour comme par magie, nous serions tous en mesure de mettre en œuvre les mesures nécessaires. Nous aurions tous la capacité de mettre en œuvre des changements positifs avec les tiers. Il est donc essentiel de documenter cela et, surtout, c'est évolutif car nous commençons à partager ces connaissances avec des tiers, avec les équipes d'audit et avec nos analystes qui effectuent le travail. Ensuite, 59 % des répondants n'avaient pas de modèle cohérent de notation de la probabilité et de l'impact des risques. Ainsi, que vous utilisiez le modèle équitable pour quantifier les risques ou que vous utilisiez les modèles traditionnels de probabilité et d'impact des risques, nous vous recommandons de vous assurer que vous disposez d'un mécanisme cohérent. Quelle que soit la source des données, surveillance passive, utilisation de votre propre méthodologie d'évaluation, qu'il s'agisse de deux rapports, vous devez disposer d'un modèle de risque cohérent qui vous permette de prendre des mesures correctives sur la base de seuils de tolérance. Mais oui, d'après notre expérience, 59% n'ont pas mis cela en place. Joe, je me demande si vous pouvez nous donner un aperçu de la gouvernance, le dernier pilier.

Joe: Yeah, sure. Um, and this starts with a couple of points around reporting, uh, which I’m investing a lot of time into at the moment internally in uh, in developing what’s good and what’s meaningful from a reporting standpoint. Um, but it actually becomes quite challenging to provide this type of reporting without some form of system to support the assessment approach. Uh, we need to know uh, we need an output from our assessment. We need risk registers. We need some scoring mechanisms behind it to be able to collect this data and and present it back to the business in in a meaningful way and something that they can understand and and interpret. Uh which becomes, you know, quite challenging when we’re working with just Excel documents or, you know, standalone assessments on in different files and different areas of our of our desk, let’s say. Um but when we’re using more um uh more automated systems, we can start to pull this information together. and provide something quite uh quite automated, quite quick and of course we can start to collect data together and that’s when this stuff becomes a little bit more powerful. So from an individual reporting standpoint here we’re referencing how mature are you able to report on a particular third party as an output from an assessment. And this shouldn’t just be you know there was this x amount of risk items and and we’re managing them and here’s our target dates. We should also include here any context around who that third party is, what they do for us, uh who would be impacted by this particular third party if we were to terminate services with them and what tier they might be. You know, those types of attributes and immediately that starts to add to the story of the data that sits within this type of reporting. Um so being able to collect that data together and prioritize the output from our our risk review and and the assessment content um would would demonstrate some real maturity from an individual reporting aspect. Additionally, we’d be great to be able to prepare to be able to pair that with some of our monitoring data that you might be using as well if you’re leveraging passive insights around businesses and uh and whether there’s any new emerging threats related to that industry. Again, all of that information paints that better picture for that individual third party and demonstrates a maturity within that area. When it comes to program reporting, it again relies on a method of collecting data together. Uh, ideally we want to be able to see um how one vendor stacks up against another vendor. Um, which could be, you know, hugely helpful if you were leveraging this approach for things like um RFPs and those types of aspects. Um, but also it’s going to be really helpful to see trends. You know, how how does um uh how many risks particular type are we seeing within the program? Are there sudden spikes or commonalities in risk within uh within the program? And probably one of the most valuable metrics to be able to see and demonstrate back to the business to uh to give get some value from all the hard work that the program has been putting in is can we demonstrate risk reduction. Uh and that’s something that yes, organizations can say they’re doing uh I would hope. But being able to say they’re doing accurately becomes more challenging and that’s where we then lean on some of the other areas that we’ve been talking about today. You know, how accurate our remediation approach is. Whether we can uh provide some assurance that the whole program is within scope of our uh sorry, all of our third party estate is within scope of our program. Whether we are happy that we’re maintaining third party information. When it’s it’s only when it’s paired with all that that we can demonstrate some with some accuracy that our program is working and and functioning successfully. Uh using that information, of course, we need to be able to demonstrate to other areas of of the business that uh you know where we’re seeing threats and um anything valuable or meaningful uh to them. As I said a second ago, when we start to aggregate these reporting, we can start to um we can start to add a bit more value to the other areas in business. I think it becomes more and more challenging to give some definitive answers about risk to the rest of the business when we’re just looking at things on a on an individual third party by third party basis. Uh a couple of quick points here just to mention around maturity. So the whole aspect that we’ve talked about today is you know dissecting a program measuring maturity across each area. We need to make sure we’re doing this consistently. Um there’s a chart on the right there giving some indication that we should be doing this at least quarterly which is something I recommend. Uh I think that’s useful for a couple of reasons. Uh one Of course, um we can demonstrate hopefully some improvements in those areas, but also it makes sure that if we are assigning objectives and tasks to improving our program that they are being worked on and we are seeing progress without making sure these checkpoints are in place. You know, other things can take priority uh over uh improving third party program maturity. So, ensuring this is brought up time and time again as part of an agenda uh make sure that we’re accountable and that we are you know adhering to some of our tasks to get program maturity increased.

Alistair: Merci Joe. Et pour ceux d'entre vous qui sont plus intéressés par certains des KPI et KIS que nous attendons d'un bon programme de TPRM, nous avons bien sûr du contenu sur les webinaires précédents associés à ce que nous avons fait avec l'évaluation partagée. N'hésitez donc pas à jeter un coup d'œil sur le site de prévalence et vous trouverez un peu plus d'informations à ce sujet. Lorsque nous commençons à nous intéresser à la gouvernance, comme Joe l'a mentionné à juste titre, les bonnes pratiques dictent la cohérence. Et parmi les problèmes les plus courants que nous constatons, il y a le fait que les gens présentent de manière erronée les rapports en fonction de leur portée. Ils disent, vous savez, 80% de nos fournisseurs ont ce résultat, alors qu'ils n'évaluent que 5% de leur portefeuille, de leur inventaire de fournisseurs. Ces données sont trompeuses et peuvent en fin de compte donner au reste de l'entreprise un sentiment de fausse sécurité. On peut s'attendre à ce que l'équipe d'audit démêle certaines de ces données assez rapidement et qu'elle soit en mesure d'identifier le champ d'application par rapport aux résultats que vous obtenez. Il faut donc garder cela à l'esprit. En ce qui concerne la gouvernance en particulier, nous avons remarqué que 69 % des entreprises n'avaient pas d'opportunités de rapports stratégiques leur permettant d'utiliser les informations du programme TPRM pour obtenir des résultats positifs pour l'entreprise. L'alimentation et le partage avec l'ensemble de l'entreprise, par exemple avec l'équipe de protection de la vie privée chargée des achats pour démontrer la conformité ou la non-conformité d'un fournisseur, pour aider à la négociation d'un renouvellement de contrat, pour partager ces informations avec le service juridique, bien sûr, et avec le service de la conformité pour les obligations réglementaires. Il y a de multiples avantages pour les ensembles de données qui pourraient être utilisés soit a pour obtenir plus de budgets, soit b pour soutenir une autre partie de l'entreprise. Deuxièmement, 59% des entreprises ont du mal à obtenir une vue d'ensemble, pardon, une vision globale des risques liés aux tiers. Et ceci est purement dû à un manque de cohérence entre leurs programmes ou à leur incapacité à articuler l'ensemble des données de manière à ce que les dirigeants, le comité de pilotage, etc. voient en fin de compte les résultats. Nous recommandons donc de s'assurer que vous avez des mécanismes de reporting, des KPI ou des K eyes qui aident à articuler les progrès du programme. Nous vous donnerons un peu plus d'informations sur les évaluations de maturité, sur la façon dont vous pouvez élaborer la vôtre ou tirer parti de l'offre existante et sur la façon dont vous pouvez y avoir accès. Pour rappel, certaines de ces conclusions sont issues du large éventail d'évaluations de maturité que Prevenant a réalisées à l'échelle mondiale dans de multiples organisations de disciplines, de secteurs verticaux et de tailles diverses. Il s'agit donc d'un vaste ensemble de données intéressantes. Très brièvement, quelle est la suite ? Nous avons une compréhension maintenant nous avons quelques idées sur les types d'informations que nous nous attendons à voir ou que l'audit s'attend à voir dans ces piliers communs. La première chose que nous recommandons est donc d'établir un ordre de priorité pour les améliorations. Si vous avez été en mesure de documenter votre liste de base de facteurs contribuant à vos propres piliers ou, bien sûr, d'utiliser le modèle de maturité de la prévalence, l'évaluation de la maturité, nous vous recommandons d'établir et de documenter vos faiblesses, les domaines d'amélioration. Si vous comprenez l'impact de ces éléments sur votre portefeuille et votre organisation dans votre inventaire des fournisseurs, vous pouvez bien sûr commencer à examiner ce qui doit être traité en premier. Le niveau d'effort est un facteur qui y contribue. Dans l'idéal, vous devriez donc comparer le niveau d'effort aux avantages et aux risques qui y sont associés, ce qui vous donnera une liste d'actions à entreprendre en priorité pour le triage. Invariablement, vous obtiendrez des gains rapides, probablement moins en ce qui concerne l'inventaire des fournisseurs que les changements opérationnels et les processus, voire le contenu. Une fois que vous avez fait cela, vous avez la possibilité de commencer à envisager la planification et l'appropriation, en allouant des délais réalistes pour ces actions, en les attribuant aux personnes qui ont l'expertise nécessaire, et en définissant ensuite vos objectifs réels. Nous voulons augmenter de 8 points ce pilier et de 1,2 point ce pilier au cours des 12 prochains mois, et voici les efforts mesurables et réalisables que nous pouvons entreprendre pour y parvenir. Lorsqu'il est divisé en piliers et en phases et que vous lui avez attribué une approche typique basée sur des projets, cela vous facilitera grandement la vie. Démontrez-le à l'audit, année après année, au cours de ces cycles d'audit. Avant de passer la parole à Scott, je voulais juste passer la parole à Amanda pour un dernier petit sondage. Amanda,

Amanda: Bonjour. D'accord, j'ai encore un petit sondage. Merci beaucoup. Je vais le lancer tout de suite. La question est très simple. Est-ce que vous envisagez de mettre en place un programme de gestion des risques pour les tiers dans les mois à venir ? Êtes-vous en train de chercher à faire quelque chose pour 2023 ? Est-ce l'une des raisons de votre présence ici ? Si vous voulez avoir une conversation avec nous, moi-même, les membres de mon équipe, répondez honnêtement. Répondez par l'affirmative. Nous prendrons alors contact avec vous. C'est ce que nous faisons. Je vais donc laisser la question en suspens pendant un petit moment. Plus vite vous répondez, plus vite il disparaît. C'est un petit jeu amusant, vous savez, qui me permet de me débarrasser de ce problème. Continuons à avancer. Sur ce, je laisse la parole à Scott Lang.

Scott: Merci beaucoup, Amanda. Alistister, vous pouvez passer à la diapositive suivante, s'il vous plaît. Tout ce que vous avez entendu de la part d'Alistister et de Joe aujourd'hui concernait l'aide à apporter à votre programme pour passer du point A actuel au point B ou C souhaité pour l'avenir. Et nous constatons que les organisations sont confrontées à de nombreux défis pour y parvenir. Alistar, vous pouvez même passer à la diapositive suivante pour accélérer un peu plus la présentation. Mais les trois choses que nous voyons les organisations vouloir réaliser et qui remontent à la surface sont l'obtention de meilleures données pour prendre de bonnes décisions, la facilitation et l'augmentation de la collaboration entre les différents silos de l'entreprise parce que tout le monde a un rôle à jouer dans la gestion des tiers, et l'évolution et la mise à l'échelle de leurs programmes au fil du temps. Vous savez, ces trois domaines sont précisément ce que fait prévalent euh pour aider à développer et à mûrir un programme de gestion des risques des tiers euh au fil du temps, ce qui est une bonne chose.Ces trois domaines sont précisément ce que fait la prévalence pour aider à développer et à faire mûrir un programme de gestion des risques liés aux tiers au fil du temps. Sur la diapositive suivante, vous pouvez voir notre approche prescriptive du succès : nous ne considérons la gestion des risques liés aux tiers que sous l'angle d'un cycle de vie, car chaque phase distincte du cycle de vie de la relation présente des risques uniques et si vous vous concentrez sur le début ou la fin de ce cycle de vie, vous n'obtiendrez pas une vision holistique de ce que votre organisation peut faire pour améliorer sa position et son degré de maturité. améliorer sa position et sa maturité euh en ce qui concerne ces différents risques je ne vais pas en parler en détail car j'aimerais répondre aux questions mais vous voyez qu'en fin de compte ce que nous essayons de faire c'est de vous donner les outils dont vous avez besoin pour vous aider à simplifier et accélérer l'intégration vous donner un processus programmatique rationaliser le processus d'évaluation des fournisseurs et combler les lacunes en matière de risque et ensuite unifier vos équipes euh au fil du temps prochaine diapositive s'il vous plaît. Alistister euh vous savez notre livraison de solutions euh est une combinaison unique vous savez d'autres acteurs dans l'industrie de euh les gens les données et la plate-forme ou les experts que nous avons dans le personnel pour vous aider à concevoir, construire et mûrir votre programme au fil du temps. Une quantité incroyable de données qui entrent dans le calcul des risques et dans la mesure des progrès réalisés au fil du temps. Toutes ces données sont hébergées, contrôlées et gérées dans une plateforme primée qui nous permet de centraliser vos tâches et votre gestion et d'améliorer vos processus au fil du temps. Diapositive suivante, Alistister, s'il vous plaît. Et nous avons un ensemble de cas d'utilisation que nous abordons euh avec la plateforme, en quelque sorte découpée par euh département ou domaine ici, que vous soyez aligné avec l'approvisionnement ou la sécurité informatique ou la confidentialité des données sur le plan juridique. Et je ne m'attarderai pas sur ce point. Vous l'aurez après la présentation d'aujourd'hui, mais il suffit de dire que nous traitons une importante famille de risques dans tous les domaines. Euh, pas seulement un risque informatique traditionnel de cybersécurité, même si c'est le plus important, euh, mais nous pouvons aussi aider les organisations à faire face à des risques de type non informatique. Diapositive suivante, s'il vous plaît Alistister. Il s'agit de savoir ce que peut faire le prévalent pour aider et comment tirer parti d'une évaluation de maturité très normative pour vous aider à comprendre où vous en êtes aujourd'hui et où vous voulez être à l'avenir. Nous vous recommandons de vous engager directement avec Prevalent euh et dans l'email de suivi de euh ce webinaire lorsque nous vous enverrons l'enregistrement demain matin. Nous inclurons une copie de la présentation, mais aussi un lien qui vous permettra de vous inscrire pour une brève conversation avec nos experts, ce qui vous aidera à déterminer la prochaine étape à franchir pour mener à bien cette évaluation de maturité. Je ne veux pas vous précipiter là-dedans. Il s'agit d'un processus très discipliné et bien pensé, très complet et bien pensé. Il s'agit d'un processus très discipliné et bien pensé, très complet et bien réfléchi. 45 questions environ sur les cinq niveaux et de nombreux domaines différents, qui aboutissent à la production d'un plan d'action pour l'amélioration du programme. Il s'agit généralement d'un exercice guidé dans lequel nous vous accompagnons et vous expliquons le processus tout au long du processus afin que vous puissiez maximiser vos résultats à l'issue de l'exercice. Vous recevrez demain un courriel contenant l'enregistrement de cette présentation. Vous y trouverez le lien pour vous inscrire afin d'obtenir plus d'informations sur l'évaluation de la maturité. Nous assurerons le suivi et vous guiderons tout au long du processus. Je pense que c'est tout ce que j'avais à partager avec vous, Alistister.

Alistair: C'est très bien. Fantastique. Alors, juste pour renforcer ce que dit Scott. Tout à fait. J'espère que vous avez pu tirer des conversations d'aujourd'hui quelques-uns des paramètres et critères clés que nous savons que les auditeurs recherchent et aimeraient voir pris en compte dans un programme commun. Que vous utilisiez ces points de référence pour vous auto-évaluer ou que vous utilisiez l'évaluation de la maturité prévalente comme votre propre point de référence, ce sont certainement de bons points communs. Nous répétons encore une fois qu'il y a ces cinq piliers fondamentaux que nous recommandons certainement aux gens de couvrir. Ainsi, si vous commencez à examiner vos rôles et responsabilités, la remédiation, la gouvernance, le contenu et la couverture, vous serez certainement en mesure de vous assurer que vous avez couvert tous les domaines les plus courants. Nous avons fait de notre mieux aujourd'hui pour intégrer les questions de manière dynamique au fur et à mesure qu'elles nous parviennent par le biais du chat. Mais bien sûr, si vous avez d'autres questions, n'hésitez pas à nous contacter et nous nous ferons un plaisir d'y répondre après la session. Mais à défaut, je tenais à vous remercier pour cette journée et je laisse la parole à Amanda.

Amanda: Oui, je vais dire exactement la même chose. Merci beaucoup à tous d'être venus. Nous sommes à deux minutes de la fin de l'heure, nous allons donc vous rendre la parole. Je sais que vous avez déjà entendu cette blague. Je sais que vous avez déjà entendu cette blague : "Oh, ma vie va changer pendant ces deux minutes. Merci beaucoup." Mais nous allons quand même revenir vers vous. Nous espérons vous voir à la prochaine réunion. Si vous avez d'autres questions, n'hésitez pas à nous contacter. Nous ne manquerons pas de le faire. Hum, et répondez toujours. Vérifiez vos spams car nous avons tendance à y tomber. Donc, si vous attendez quelque chose de notre part, regardez toujours là. Euh, une queue vieille comme le monde. Vous connaissez déjà cet exercice. Je suis d'accord avec vous. Merci beaucoup à tous. Passez une bonne fin de journée. Au revoir.

Intervenant non identifié: Je vous remercie.