Amener les parties prenantes internes à se préoccuper de la gestion des risques liés aux tiers

Melissa : Bonjour et bienvenue. Je suis ravie de voir que tout le monde commence à se connecter. Je vais vous laisser une minute pendant que nous attendons que tout le monde s'installe et se connecte. En attendant, je vais lancer notre premier sondage. C'est parti. Il devrait s'afficher sur votre écran. Oh, parfait. J'adore quand ça ne fonctionne pas. C'est ma partie préférée. Très bien, c'est parti. Vous le voyez maintenant. Nous sommes curieux de savoir ce qui vous amène au webinaire d'aujourd'hui. Je suis toujours impatiente de le découvrir. Est-ce pour des raisons éducatives ? En êtes-vous aux prémices de votre programme de gestion des risques liés aux tiers ? Êtes-vous déjà un client régulier ? Faites-le-moi savoir. Commençons par quelques présentations. Je m'appelle Melissa et je travaille ici dans le développement commercial. Aujourd'hui, nous accueillons un invité qui revient, Rodney Campbell, vice-président senior et responsable de la gestion des risques liés aux tiers à la Valley National Bank. Bon retour parmi nous, Rodney.

Rodney Campbell : Merci. Mike Yaffy : Oui. Nous avons également Mike Yaffy, directeur marketing de Prevalent. Bonjour, Mike. Mike Yaffy : Bonjour. Je sais que je parle et que je fais signe. Melissa : Waouh. Incroyable. Et enfin, nous avons Scott Lang, notre vice-président du marketing produit. Bonjour, Scott. Scott Lang : Bonjour, Melissa. Comment vas-tu ? Melissa : Je ne fais pas signe. Je ne vois qu'une seule chose à la fois, n'est-ce pas ? La prochaine fois. Euh, aujourd'hui, nous avons Rodney et il va vous expliquer comment amener vos premières parties prenantes à s'intéresser à la gestion des risques liés aux tiers. Euh, comme vous pouvez le voir, vous savez, pour des raisons d'organisation, ce webinaire est enregistré, vous le recevrez donc avec votre diaporama peu après la fin de la session. Enfin, vous êtes tous en mode silencieux, alors utilisez simplement le chat si vous avez besoin de communiquer quelque chose qui n'est pas une question pour la boîte de questions-réponses. Donc, s'il y a une question urgente, veuillez utiliser cette boîte de questions-réponses. Nous aimerions que les choses soient assez interactives. Sans plus attendre, je vais laisser Rodney et un peu Mike se lancer.

Mike Yaffy : Oui, tout à fait. Passons aux diapositives, les amis. Voici ce que nous allons faire. Rodney a beaucoup d'expérience, contrairement à moi. Nous allons faire une petite interview aujourd'hui, ce qui, je l'espère, rendra la discussion un peu plus amusante et légère. Nous avons remarqué que Rod s'habille beaucoup mieux que moi. Il travaille dans une banque. Nous travaillons dans le secteur des hautes technologies, donc le fait que je sois habillé, que je me sois douché et que je ne porte pas de chapeau, c'est le summum de l'élégance pour moi. Rodney ne porte pas de cravate aujourd'hui, donc il va au travail. Melissa, peux-tu partager les diapositives ? Ce serait formidable. La première question que nous allons aborder et dont nous allons beaucoup parler, c'est comment aligner les gens sur le TPRM. Je pense que l'une des choses que nous constatons et dont nous voulons parler aujourd'hui, Rodney, c'est qu'il y a une sorte de convergence entre la conformité, la sécurité, les risques, les achats, et tout le monde doit en quelque sorte évaluer ses fournisseurs, sa chaîne d'approvisionnement, vous savez, les gens qui leur permettent de rester en activité, comme j'aime à le dire. Donc, euh, première question, c'est facile, n'est-ce pas ? À votre avis, parlons un peu de l'importance d'impliquer activement les parties prenantes internes, d'accord ? Évidemment, si la réponse est non, nous pouvons simplement terminer le webinaire ici. Mais, euh, comment faites-vous ? Pourquoi devez-vous le faire ? Pourquoi est-ce si important ?

Rodney Campbell : Eh bien, je dirais qu'il faut toujours le faire. C'est indispensable. Il faut considérer cela dans une perspective globale. Ce sont des activités interdépendantes. Or, les activités interdépendantes nécessitent une collaboration entre les personnes, les processus et la technologie. Pensez à toutes les fonctions de contrôle des risques que vous pouvez avoir au sein de votre organisation. Vous voulez vous assurer que les fonctions de contrôle communiquent réellement entre elles. Vous voulez vous assurer qu'elles sont conscientes de ce qui se passe au sein de l'organisation ou du risque que représente potentiellement un produit ou un service pour votre organisation. Je peux vous dire que si vous ne faites pas le lien entre vos fonctions de contrôle des risques, la conformité, votre audit interne et votre programme TPR, vous rencontrerez de nombreux problèmes, car nous devons examiner la situation sous deux angles. Il y a le risque externe, n'est-ce pas ? Ainsi, l'engagement de produits et services tiers est le risque externe. Qu'en est-il de l'impact interne que cela peut avoir sur vos opérations commerciales quotidiennes ? Maintenant, si

Mike Yaffy : Rodney, nous avons également constaté cela, et je dirais que l'un des principaux problèmes que nous avons observés chez les personnes qui travaillent dans le domaine de la gestion des risques liés aux fournisseurs (TPRM) et qui sont un peu cloisonnées, c'est qu'elles ne parviennent pas à intégrer les fournisseurs dans le produit, car elles ne savent même pas à qui s'adresser ni par où commencer, car elles n'ont établi aucun lien avec les autres membres de leur organisation. Rodney Campbell : Eh bien, je pense que cela renvoie à votre gouvernance d'entreprise, n'est-ce pas ? Ainsi, chaque fois que vous engagez un nouveau fournisseur ou un tiers pour un produit ou un service, vous devez vous assurer que votre gouvernance est en place. Comment impliquer les parties prenantes ? Qui doit être impliqué ? Vous devez vous assurer que lorsque des décisions sont prises, elles ne le sont pas dans un environnement cloisonné. Vous devez vous assurer que ces décisions sont prises de manière collaborative. Vous devez vous assurer que les fonctions qui sont activement responsables de la réception du produit ou des services, qui assurent la maintenance et le support de ces produits et services, sont activement et équitablement impliquées, afin que votre décision finale soit holistique, mais aussi éclairée.

Mike Yaffy : Parlez-moi donc des inconvénients. L'inconvénient de ne pas établir de liens avec les gens, c'est que vous n'avez aucun soutien pour le programme, n'est-ce pas ? Vous ne pouvez peut-être pas identifier vos fournisseurs... Qu'y a-t-il d'autre ? Cela ne devient-il pas stratégique ? Est-ce que quelqu'un s'en soucie ? Que voyez-vous comme... Rodney Campbell : Le principal inconvénient si vous n'êtes pas disposé à tendre la main et à travailler ensemble ? Que se passe-t-il ? Quels sont les risques négatifs dans ce cas ? Rodney Campbell : Oh mon Dieu, la branche d'olivier. Vous avez besoin de plusieurs branches d'olivier. Je vais vous dire, l'inconvénient, c'est que vous ne pourrez pas identifier les fournisseurs. Vous manquerez l'identification des risques associés aux produits et services, ainsi que l'atténuation des risques associés à vos engagements en matière de produits ou de services. Vous devez vous assurer que vos parties prenantes, non seulement les fonctions commerciales qui soutiennent ou reçoivent les produits ou services, mais aussi les personnes chargées de protéger et de soutenir l'organisation contre les risques, sont responsables de l'atténuation des risques. Si vous ne les impliquez pas, vous ne pourrez pas atténuer les risques dans toute la mesure du possible. Vous identifierez de manière erronée les risques que représentent pour votre organisation les engagements liés aux produits ou services, et il y aura une mauvaise qualification ou quantification globale des risques associés à vos engagements liés aux produits ou services.

Mike Yaffy : Je ne suis pas si intelligent que ça. Alors, quand vous parlez de mauvaise interprétation du risque, de mauvaise quantification, de quoi avez-vous vraiment besoin ? De mots simples , Mike Yaffy : comme, et je dis ça comme ça, écoutez, j'ai fait plein de choses, mais expliquez-le comme si vous l'expliquiez à quelqu'un qui travaille dans le marketing, d'accord ? Mais expliquez-le comme vous l'expliqueriez à votre mère. Alors, qu'est-ce que c'est ? Et je le pense vraiment. Qu'est-ce que cela signifie en termes simples ? Rodney Campbell : Eh bien, si je l'explique comme je l'explique à ma mère, je vais avoir besoin d'une couverture avec manches et d'une tasse de thé.

Mike Yaffy : Oh mon Dieu. Oui. Ma femme a un Snuggie. Il ne faut pas sous-estimer un Snuggie. Rodney Campbell : Oui. Alors, regardons les choses sous cet angle. Vous voulez vous assurer que vous et votre entreprise fonctionnez correctement, car nous allons revenir aux activités interconnectées et vous voulez vous assurer que, afin de protéger et d'atténuer les risques associés à ces activités interconnectées, vous devez vous assurer que la connexion entre vos employés, le processus et les technologies en place est bonne. Les parties prenantes sont donc très importantes, car si vous n'identifiez pas les bonnes personnes, si les bonnes personnes ne sont pas présentes à la table, vous ne pourrez pas prendre de décision globale ou éclairée. Votre décision peut être prise par une seule personne. Elle peut être prise spécifiquement par l'entreprise. Elle peut être prise par une fonction de gestion des risques.

Mike Yaffy : D'accord. Donc, ce que vous dites est juste, je veux juste m'assurer que je comprends bien : si vous n'avez pas le bon groupe, vous ne disposez pas de tous les éléments nécessaires pour prendre une décision en toute connaissance de cause. Rodney Campbell : Absolument. Absolument. Mike Yaffy : Je veux dire, c'est logique, n'est-ce pas ? Et vous laissez de côté quelqu'un qui pourrait faire ou défaire le programme, n'est-ce pas ? Rodney Campbell : Absolument. Et vous devez également considérer les choses sous cet angle. Si vous engagez un tiers particulier pour un produit ou un service, voulez-vous vraiment intégrer un groupe chargé des fonctions ou du contrôle des risques après coup, une fois le contrat conclu ? Vous passerez alors à côté de la réduction des risques qui devrait avoir lieu avant la conclusion du contrat. Vous devez donc vous assurer d'impliquer les parties prenantes dès le début. Assurez-vous que vos décisions sont éclairées et que l'approche est collaborative.

Mike Yaffy : Donc, dans les contrats, vous savez, nous voyons davantage. Je ne pense pas que cela arrive suffisamment, mais les deux choses que vous savez, les gens voient un peu plus dans les contrats, ce sont le droit d'atténuer, le droit de refaire des tests et le besoin de mettre à jour continuellement, et ils doivent fournir cela continuellement, ce n'est pas une, mais c'est aussi normal qu'ils soient tenus d'atténuer ce que vous jugez juste, sinon il y a des conséquences. Est-ce que vous voyez cela ? Est-ce que vous avez cela ? Est-ce que vous voyez cela de plus en plus souvent ? Je pense que dans l'ensemble du secteur, je peux vous dire que cela arrive plus qu'un peu. Je pense que cela revient à la collaboration et à l'implication de vos parties prenantes lorsque vous évaluez intrinsèquement les risques d'un produit ou d'un service particulier, ce qui est très important. Assurez-vous que toutes les vérifications préalables, toutes les questions, les risques que vous identifiez intrinsèquement, vous voulez vous assurer que vous en tenez compte lorsque vous exécutez votre accord contractuel entre vous et un tiers. Je peux vous dire que notre organisation, ici à la Valley National Bank, a adopté une approche collaborative pour engager des tiers pour tous les produits et services. Nous voulons nous assurer que la décision n'est pas prise par une seule fonction commerciale particulière . C'est quelque chose qui

Mike Yaffy : Qui participe à votre collaboration ? Qui fait partie de votre équipe principale ? Par simple curiosité. Rodney Campbell : D'accord. Donc, l'équipe principale numéro un est l'entreprise, car ce sont les entreprises qui sont propriétaires du risque. Elles sont propriétaires de la relation. Vous voulez vous assurer qu'il s'agit d'une deuxième ligne de défense. Qu'il s'agisse de votre sécurité de l'information, de votre cyber-risque, de votre groupe TPRM, de votre groupe de conformité ou de réglementation, ils sont également impliqués. Mais nous voulons nous assurer que nous impliquons les bonnes personnes pour les bonnes raisons. Vous ne voulez pas impliquer, par exemple, une fonction de contrôle de la conformité dans un engagement ou un engagement potentiel ou prospectif avec le produit ou le service lorsque cela n'est pas nécessaire. Vous voulez vous assurer que pour chaque groupe de contrôle, cela correspond également au risque que nous identifions avec un engagement potentiel avec le produit ou le service. Cela variera donc.

Mike Yaffy : D'accord. Donc, pour être clair, tout le monde n'est pas impliqué dans tout. Vous connaissez les groupes, mais vous n'invitez évidemment pas toute l'équipe informatique, vous invitez seulement certaines personnes . Mike Yaffy : pour des raisons particulières, mais vous essayez de les impliquer. Y a-t-il un groupe qui, lorsque vous intégrez des fournisseurs, prend la décision d'intégrer les fournisseurs dans le cadre d'un groupe ? Avez-vous une sorte de comité d'intégration où vous faites passer les fournisseurs ? J'ai déjà vu cela, nous avons parlé à beaucoup de gens et je n'ai pas vu de système centralisé par opposition à un système décentralisé. Avez-vous un groupe chargé des achats, un groupe juridique, un groupe chargé des risques et un groupe chargé de la sécurité, ou est-ce que le service des achats les intègre et ensuite nous nous occupons de la suite ?

Rodney Campbell : Non, il s'agit bien sûr d'une approche collaborative. Nous avons donc une fonction d'approvisionnement et d'achat qui travaille directement avec l'entreprise pour évaluer les tiers potentiels. Encore une fois, l'évaluation est distincte, mais elle fait partie du processus global d'intégration. Vous voulez vous assurer que lorsque nous prenons en considération un tiers respecté, nous effectuons dès le début toutes les vérifications nécessaires ou le niveau de diligence raisonnable adapté à ce produit ou service. Donc oui, il s'agit clairement d'une source d'activité d'approvisionnement et également d'une collaboration avec la fonction de contrôle des risques.

Mike Yaffy : Euh, Melissa, passez à la question trois. Nous avons déjà répondu à celle-ci. Numéro deux, je sais que nous avons déjà répondu à la question trois. Je vais y revenir dans une seconde. Mike Yaffy : Une autre chose intéressante qui ressort, c'est que dans notre activité, nous voyons que les gens font généralement appel à nous pour le volet information, puis à 80-75 % pour le volet approvisionnement. Bien que l'ESG et ce genre de choses ne soient pas nécessairement la fonction principale, nous voyons beaucoup plus de questions se glisser dans les enquêtes, les évaluations et le suivi continu. Par simple curiosité, est-ce que vous exercez une fonction ESG en continu ? Est-ce quelque chose qui vous a conduit à cela ? S'agit-il d'une fonction distincte ou est-ce quelque chose que vous envisagez et que vous allez mettre en place ?

Rodney Campbell : Eh bien, l'approche que nous avons adoptée consiste à nous assurer que nous prenons en considération tous les domaines ou catégories de risques. Je pense que l'ESG est l'un des sujets sur lesquels de nombreuses organisations sont actuellement en train de mûrir. Certaines l'ont peut-être déjà fait. Mike Yaffy : croyez-moi, peu d'entre elles sont comme nous l'avons constaté lors de notre conversation téléphonique avec les analystes de Gartner l'autre jour. Nous discutons avec un groupe de cinq personnes de manière indépendante et Mike Yaffy : nous constatons que beaucoup de gens en parlent, que cela fait beaucoup de bruit, mais que personne ne le fait ou que tout le monde est en train de l'évaluer. Donc,

Rodney Campbell : Vous avez raison. Je vais certainement utiliser les guillemets pour évaluer cela. Je suis tout à fait d'accord avec vous. Je peux vous dire que nous en discutons depuis un certain temps déjà, mais je pense que lorsque nous examinons d'autres catégories de risques que nous ne prenons généralement pas en considération, dont nous ne parlons pas ou que nous n'évaluons pas, nous devons commencer à passer à l'action. Nous pouvons identifier les domaines de risque liés à l'ESG ou les domaines de risque potentiels associés à l'ESG. Même si vous ne disposez pas d'un programme ESG nécessaire, vous devez vous assurer d'identifier les indicateurs ou les domaines de risque potentiels dès le début. Vous avez un produit ou un service. Où votre produit ou service est-il fabriqué ? Qui le fabrique et quels sont les éléments pris en compte pour la livraison de votre produit ou service ? Ce sont des questions simples qui ont des réponses simples, mais vous devez vous assurer que ces réponses simples ne conduisent pas à des indicateurs de risque plus importants pour votre organisation.

Mike Yaffy : Oui. Écoutez, Rodney m'avait demandé pendant notre procès si j'allais prendre la parole. Je lui ai répondu : « Peut-être un peu », puis je me suis lancé. Je n'ai pas pu m'en empêcher, comme vous le savez probablement, Scott, Peter et tous ceux avec qui j'ai travaillé. Mais écoutez, vous en avez parlé, c'est l'un de mes sujets de prédilection chez Infosac.'ai fait du marketing infosac, puis du marketing, mais suffisamment pour être dangereux. Je pense que le défi auquel nous sommes confrontés est le suivant : j'ai vu cela dans les tests de pénétration de vulnérabilité, dans la cryptographie, dans tous ces segments de marché où les gens se laissent distraire par la nouvelle nouveauté, et surtout avec l'arrivée de RSA, ils commencent à dire : « Oh, je veux faire de l'ESG, je veux faire ça. Vous avez besoin d'une base fondamentale, d'un programme qui fonctionne bien, qui intègre tout ce dont Rodney parle et dont il parlera pour le faire correctement avant de passer à l'ESG. Vous évaluez régulièrement vos fournisseurs de premier rang par rapport à quelque chose, n'est-ce pas ? Et avez-vous un plan pour vos fournisseurs de deuxième rang, de troisième rang, puis, vous savez, de quatrième rang ? Très bien. Mais quel est votre programme ? Quel est votre plan, avant de passer à l'ESG ? Vous savez, les gens, eh bien, peut-être que nous ferons... Non, il est normal de dire que nous devons d'abord mettre en place le programme. Rampez, marchez, courez, faites ce que vous voulez, Rod, mais vous devez avoir un plan et un programme en place, sinon vous ne faites que jeter de la boue contre le mur, très franchement.

Rodney Campbell : Non, je suis tout à fait d'accord avec vous. Je pense que nous devons également examiner les compétences des personnes qui évaluent et gèrent ces programmes. C'est une chose d'acheter la technologie la plus récente et la plus performante et de dire : « Hé, hé, voilà ce que nous faisons. Mais si vous ne pouvez pas interpréter ou agréger les données, cette technologie, et l'utiliser d'une manière qui soit bénéfique pour votre organisation, cela devient juste une dépense supplémentaire. Cela devient un élément de plus que vous possédez, et qui est totalement inutile. » Mike Yaffy : Vous savez, la technologie devrait vous aider à évoluer et à aller plus vite. Et si ce n'est pas le cas, vous ne l'achetez pas. Cela vaut également pour les technologies courantes. Ne l'achetez pas. Euh, nous avons une question d'Ed. Et les gars, je sais que je l'ai déjà dit plusieurs fois, je suis un spécialiste du marketing, je pense que je peux marcher et mâcher du chewing-gum en même temps. Donc, euh, si vous voulez poser des questions pendant que nous discutons d'un sujet, je me ferai un plaisir d'y répondre en temps réel. Nous avons donc une question de la part d'Ed. Euh, lorsque nous parlions des groupes tout à l'heure, Rodney, euh, les différents groupes qui sont impliqués, euh, dans le cadre de votre comité, ces groupes ont-ils le pouvoir de rejeter un fournisseur potentiel sur la base de leur diligence raisonnable ? J'imagine donc que chacun des groupes aurait différents types de diligence raisonnable qu'il souhaiterait voir avant d'accepter un fournisseur. Comment fonctionne votre processus dans ce domaine ? Je

Rodney Campbell : Je pense qu'il faut tenir compte du profil de risque de votre produit ou service, en plus de la propension au risque de votre organisation, euh, des fonctions de gestion des risques. Si un tiers, un produit ou un service particulier ou potentiel présente un risque trop important, euh, supérieur à votre propension au risque et supérieur à toute mesure d'atténuation mise en place, alors oui, ce serait le cas. Mais vous devez vous assurer qu'il ne s'agit pas d'un cas isolé, que nous ne sommes pas d'accord, et que les autres groupes de contrôle des risques respectés, en plus de vos comités exécutifs de gestion des risques, sont informés de toute décision et ne donnent pas suite à un engagement en raison d'un risque identifié ou de zones de risque accrues. Vous devez vous assurer que toutes les parties prenantes sont impliquées et qu'elles sont d'accord, de manière égale ou collaborative .

Mike Yaffy : Oui, je suis d'accord. Je pense que tout est question d'attentes, n'est-ce pas ? Par exemple, si nous découvrons des sanctions, s'ils font l'objet d'une enquête de la SEC, si nous découvrons qu'ils ont recours au travail des enfants dans un pays, n'est-ce pas ? Nous sommes tous d'accord à l'avance sur le fait que ce sont des éléments qui nous empêcheraient de travailler avec ce fournisseur, n'est-ce pas ? Je pense qu'il s'agit de s'asseoir autour d'une table. Il s'agit de communication et d'accord, c'est ce que j'entends. Rodney Campbell : Oui . Mike Yaffy : D'accord, passons à la deuxième question. Cela fait 18 minutes. Nous en sommes à la deuxième question rouge. Alors, euh... Oh, attendez. Revenez là où vous en étiez. Euh, là où vous en étiez.

Melissa : Euh non, on l'a déjà fait. Oui. Laisse-le allumé. Oui. Oui. Mike Yaffy : Oui. D'accord. Je parlais à Rodney, Melissa, désolé. Melissa : Oh, je plaisante. Mike Yaffy : Oui, c'est vrai. Oui. Tu m'as fait marcher. Euh, comment... Alors, Reed, comment peux-tu établir la nécessité... Je sais que tu en as parlé et que nous avons parlé des branches d'olivier. Mike Yaffy : Donne des détails aux gens. Mon hypothèse est que beaucoup de gens se retrouvent dans le TPRM ou que c'est leur première expérience dans le TPRM, n'est-ce pas ? Ou ils étaient, tu sais, c'est une chose vraiment importante à faire, mais c'est un segment émergent, n'est-ce pas ? Donc, il n'y a pas beaucoup de gens qui ont 20 ans d'expérience. Je connais cinq d'entre eux qui ont participé à des évaluations partagées, n'est-ce pas ? Mais je dirais que dans ce secteur, il y a beaucoup de débutants. Donc, soyez très clair à nouveau.

Mike Yaffy : sur ce que vous avez fait, comment vous l'avez fait, comment avez-vous réussi à réunir ces groupes autour d'une table ? Je veux dire, est-ce que ce sont des réunions ? Est-ce que ce sont des appels téléphoniques ? Est-ce que ce sont des déjeuners ? Est-ce que ce sont des activités de team building ? Je veux dire, comment avez-vous réussi à surmonter l'inertie de l'entreprise ? Rodney Campbell : de manière positive. Rodney Campbell : Non, c'est bien. Donc, pour en revenir aux branches d'olivier et aux déjeuners gratuits, beaucoup de déjeuners gratuits, malheureusement. Euh, vous voulez vous assurer que votre organisation comprend avant tout ce qu'est la gestion des risques liés aux tiers et ce que cela signifie pour votre organisation, quel est l'impact potentiel. Il est difficile de convaincre les membres de votre organisation ou même les personnes avec lesquelles vous collaborez à l'extérieur d'adhérer à quelque chose qu'ils ne comprennent pas. Cette compréhension est donc primordiale. Vous pouvez établir un cadre. Vous pouvez rédiger une politique, mais vous devez vous assurer que les principes fondamentaux sont en place. Par exemple, la gestion des risques liés aux tiers, comme vous l'avez dit vous-même, Mike, est gérée et administrée dans de nombreuses organisations. Certaines organisations continuent aujourd'hui à gérer et à tenir à jour l'ensemble de leur inventaire à l'aide de feuilles de calcul Excel, mais nous avons également constaté, parallèlement, dans le secteur, que vous fassiez partie d'une entité réglementée ou que vous soyez soumis à certaines restrictions réglementaires.

Mike Yaffy : Tout le monde est d'accord, au fait. Mike Yaffy : Scott, je vais te poser une question. Scott a rédigé ce manuel de conformité. Scott, combien de pages compte-t-il ? Il s'agit d'une législation qui a un impact sur les risques liés aux tiers. Combien de pages compte ton roman, Scott ? Scott Lang : Euh, il fait environ 200 pages, peut-être plus, peut-être moins. Mike Yaffy : Et au fait, il n'y a que trois ou quatre, deux ou trois pages, voire quatre pages par conformité. Scott Lang : Oui, Mike Yaffy : c'est fou. Melissa : Ouah. Mike Yaffy : Combien de lois ou de directives Mike Yaffy : traitent désormais directement des risques liés aux tiers ? Je pense donc que tout le monde est concerné.

Rodney Campbell : C'est vrai. Je suis tout à fait d'accord. Mais je peux vous dire qu'il existe des organisations qui pensent ou ont l'impression qu'elles ne sont pas réglementées par un organisme particulier, qu'il s'agisse de l'OC, de la FRB ou de la FDIC, mais je pense que vos activités sont réglementées et je pense que nous devons être clairs sur la nature de ces activités et sur les risques posés par ces produits et services. Donc, pour revenir à votre argument, vous devez vous assurer que les individus comprennent la nature du risqueposé par l'engagement de produits et services tiers potentiels. Pour ma part, ce que j'ai fait à plusieurs reprises dans le passé, c'est m'assurer que : « Hey, quelle est votre opinion sur la gestion des risques tiers ? Que faisons-nous ? Quel est notre RARI ? Parce que vous voulez vous assurer que votre RORI est important. Votre RARI ne se limite pas à la gestion des fournisseurs, car si votre organisation considère que votre processus n'est qu'une approche administrative de la gestion de nos fournisseurs, vous passerez à côté de quelque chose et vous serez également mal informé sur l'atténuation et la prise de risque.

Mike Yaffy : Oui, Rodney, je vais vous le dire après en avoir discuté. Encore une fois, mon expérience professionnelle est vraiment dans le domaine de la sécurité, mais nous avons passé l'année dernière à discuter avec de nombreux responsables des achats. Et je pense que la seule chose qui est devenue claire, c'est que si vous engagez un fournisseur médiocre Mike Yaffy : et qu'il vous laisse tomber, cela peut équivaloir à avoir un fournisseur unique, comme certains constructeurs automobiles en Ukraine. Vous savez, le risque ne concerne pas seulement la stabilité financière, et peut-être que certains y jettent un œil, mais c'est en quelque sorte une chose continue, surtout si tous les fournisseurs ne sont pas égaux. Mais si vous avez un fournisseur de premier rang qui s'approvisionne, c'est très important pour vous. Vous feriez mieux d'avoir une méthode cohérente et régulière pour vous assurer que vous ne rencontrerez aucun problème.

Rodney Campbell : Tout à fait d'accord. Que se passe-t-il lorsqu'un problème survient ? Cela signifie que les personnes qui n'ont aucune idée de ce qui s'est passé ou de ce qui aurait dû se passer sont chargées de traiter, de résoudre ou de remédier au problème en question. Or, ces personnes n'ont pas été impliquées en première ligne. Elles n'ont aucune compréhension du produit ou du service. Mais elles ont la responsabilité, non seulement fiduciaire, mais aussi organisationnelle, de traiter le risque. Elles essaient donc maintenant de traiter un engagement lié à un produit ou à un service, ou le risque ou un incident résultant de l'engagement d'un produit ou d'un service tiers, sans avoir une compréhension fondamentale du quoi, du comment et du qui.

Mike Yaffy : Cela me rappelle le développement de logiciels, vous savez, on dit toujours que si vous détectez un bug pendant le développement, cela coûte un dollar. Si le bug passe à la compilation, cela coûte cinq dollars. Si le bug passe à la production, cela coûte dix dollars. Donc, si vous comprenez cela dès que vous commencez à travailler avec un fournisseur ou que vous envisagez de le faire, il se peut qu'il y ait quelque chose à faire, contrairement à 18 mois plus tard, lorsque vousêtes lié par un contrat avec lui et que tout à coup, ça tourne mal. Écoutez, je ne dis pas que ça arrive souvent ou tout le temps, mais bon sang, vous connaissez toutes ces entreprises, quand on parle de violations, ce n'est qu'une question de temps, n'est-ce pas ? Je veux dire, c'est un peu comme si vous jouiez avec le feu.

Rodney Campbell : Je suis tout à fait d'accord avec vous. Mais encore une fois, si vous ne collaborez pas et que vous ne vous assurez pas d'identifier les bonnes personnes au sein de votre organisation qui devraient participer à cette conversation, qui devraient être présentes à la table, alors Mike Yaffy : elles vont pointer du doigt si vous ne l'avez pas fait. Si elles n'étaient pas là avant, vous pouvez être sûr qu'elles vont pointer du doigt après coup. Rodney Campbell : Vous voulez éviter les accusations avant les faits, et non après. Mike Yaffy : Exactement. C'est logique. Bonjour, nous avons reçu une question de Teresa. Elle travaille dans une start-up basée sur le cloud. Quelle est la meilleure façon d'obtenir l'adhésion des dirigeants et de leur faire comprendre l'importance de la gestion des risques liés aux fournisseurs (TPRM) ?

Rodney Campbell : D'accord. Donc, Mike Yaffy, on dirait que votre organisation s'en fichait et que vous avez dû le vendre. Oui. Rodney Campbell : Votre équipe exactement. Rodney Campbell : Comment, avant d'essayer de le vendre, à quel point il est important de l'avoir. J'ai également posé la question suivante : à quel point est-il critique et préjudiciable de ne pas en disposer ? Que se passe-t-il lorsque vous n'avez pas de programme TPR ? Mike Yaffy : Les conséquences de l'inaction. Rodney Campbell : Absolument. Je peux vous dire qu'il est plus facile d'aborder la question de cette manière que d'essayer de vendre toutes les choses merveilleuses, car je peux vous dire qu'il y a de nombreux avantages à mettre en place un programme TPR. Nous le savons tous. Nous en parlons tout le temps. Mais je pense que ce dont nous ne parlons pas beaucoup, ce sont les conséquences. Quelles sont les conséquences de ne pas mettre en place un programme TPR ? Quelles sont les conséquences de ne pas s'assurer que vous disposez d'une gouvernance adéquate ? Vous devez vous assurer que vous disposez d'un cadre capable de protéger votre organisation, mais aussi d'un dispositif permettant d'assurer une certaine gouvernance d'entreprise dans toutes ces activités et processus interconnectés.

Mike Yaffy : Vous savez, j'ajouterais également que, d'un côté, je pense que, même si ce n'est peut-être pas la réponse la plus populaire, on ne peut pas toujours faire en sorte que toutes les organisations s'en soucient, n'est-ce pas ? Vous savez, quand je rejoignais des équipes de sécurité, je leur demandais : « Quel type d'entreprise êtes-vous ? Êtes-vous le type d'organisation qui s'en occupe ou est-ce que vous ne voulez pas d'assurance tant que vous n'êtes pas acculé ? Je veux dire, en fin de compte, la sécurité est dans une certaine mesure une assurance, n'est-ce pas ? Vous essayez de prévenir les attaques les plus faciles ou les plus courantes.

Mike Yaffy : Cela dépend donc de votre organisation. Je vais vous dire, Teresa, que la plupart des activités sont généralement motivées par la conformité ou l'audit, n'est-ce pas ? Il s'agit donc de se conformer aux exigences de vos partenaires ou de votre organisation interne. C'est généralement un échec ou une constatation d'audit qui en est la cause. La sécurité s'améliore. C'est facile à dire, mais environ 65 % des violations se produisent aujourd'hui par l'intermédiaire de tiers. Donc, vous savez, votre organisation va soit dire que c'est quelque chose d'important et je pense que nous avons probablement besoin d'un meilleur processus pour évaluer cela, comme vous l'avez mentionné tout à l'heure, Rodney. Acceptent-ils ou refusent-ils ce risque ?

Mike Yaffy : Exactement. Je suis prêt à accepter tout ce que vous venez de dire et je vais tenter ma chance ou non. Je dirais que les amendes, les amendes pour échec à l'audit, motivent généralement les gens, mais écoutez, il y a des gens qui, au bout du compte, ne l'accepteront tout simplement pas. Rodney Campbell : Non, c'est tout à fait vrai. Et je pense que ce que vous devriez toujours faire ou prendre en considération, c'est que si vous avez affaire à un seul intervenant, c'est probablement beaucoup plus facile que d'avoir affaire à cinq, six, sept ou huit. Dans certains cas, vous pouvez avoir affaire à un seul. Et vous ne pouvez pas vendre l'histoire de la valeur à tout le monde. Mais il est important que vous restiez sur la bonne voie et que vous fassiez ce qu'il faut pour protéger votre organisation. Vous êtes donc responsable de la mise en place d'un programme dont les parties prenantes doivent être bien conscientes : ce produit ou ce service soutient-il quelque chose d'important pour vos activités quotidiennes et que se passe-t-il lorsque cela ne fonctionne pas ou en cas de problème ?

Mike Yaffy : êtes-vous prêt à vivre avec ce fournisseur ? Mike Yaffy : en cas de violation Rodney Campbell : absolument Mike Yaffy : et ça me va, d'un point de vue rationnel. Je parle beaucoup de ce genre de choses, mais c'est comme si... Je pense que nous pourrions avoir une violation de la part de ce fournisseur, hypothétiquement, celui qui fournit les condensateurs de flux, vous voyez, pour les Deloreans. Mike Yaffy : Donc, si vous êtes prêt à accepter que nous ne puissions plus obtenir de condensateurs de flux ou qu'ils aient une violation et un impact significatif, alors ça me va. Mais nous devons avoir une politique qui dit que nous acceptons ce risque, c'est là que les gens ont tendance à devenir nerveux quand ils doivent apposer leur nom sur quelque chose et accepter le risque.

Rodney Campbell : Et Mike, n'oublions pas qu'ils comprennent qu'ils sont responsables de la gestion de la relation ? Parce que je peux vous dire qu'en matière d'utilisation, il n'y a aucun moyen qu'ils le fassent Mike Yaffy : complètement différent. Vous devez donc vous assurer qu'ils le comprennent. Mike Yaffy : Écoutez, je ne sais pas comment ça se passe dans votre organisation, mais j'ai constaté que parfois, cela joue en ma défaveur, mais j'ai trouvé que travailler avec le directeur financier ou le service juridique, ça marche, n'est-ce pas ? Parce que le directeur financier comprend, vous savez, le risque et l'impact négatif potentiel, n'est-ce pas, de faire cela, n'est-ce pas ? Si nous avions un événement, ce serait X et Y. Et voici les implications financières. Hum, vous savez, c'est la façon dont vous devez faire en sorte que les gens s'en soucient. C'est vrai. Parfois, et hum, c'est l'arnaque, c'est une conséquence, et certains le savent, et je déteste dire « oh, si vous enfreignez la loi, le coût moyen d'une infraction est d'un million ». D'accord, on a compris.

Mike Yaffy : Franchement, mon meilleur conseil serait de contextualiser cela par rapport à votre organisation. Mike Yaffy : Euh, Melissa, pourquoi ne passerions-nous pas à la question suivante ? Oh, voilà. Très bien. Hum, je pense que c'est bien. Vous en avez parlé. Mais qu'en pensez-vous ? Vous avez parlé de la transparence comme d'une nécessité. Je suis d'accord. Mais comment y parvenir ? Comment faire pour que les gens s'assoient autour d'une table et aient des conversations ouvertes et honnêtes ? Rodney Campbell : Je pense qu'une chose que nous devons faire, en tant qu'organisations ou dans l'ensemble du secteur, c'est que chaque fois que nous évaluons un produit ou un service particulier, nous devons nous assurer que la transparence, les résultats et les conclusions de ces évaluations des risques issues de nos activités de diligence raisonnable sont communiqués à tous. Cela ne sert à rien si les parties prenantes chargées de donner leur accord ou leur refus n'ont aucune idée de ce qui se passe du point de vue de la diligence raisonnable, si elles n'ont aucune idée de ce qui a été identifié de manière inhérente ou résiduelle. Si vous ne faites ces activités que pour cocher une case et dire que vous avez fait ce qu'il fallait, alors cela ne sert à rien et vous adoptez en fait une mauvaise approche. Vous devez donc vous assurer que toutes les personnes impliquées comprennent qu'il s'agit d'un processus transparent mais aussi engageant. Si vous êtes une partie prenante, vous avez une responsabilité et parfois, la meilleure chose à faire est d'agir en fonction des faits et de la vérité. Peu importe à quel point nous aimons ce produit ou ce service en particulier, vous devez être honnête. Je sais qu'il sera difficile de transmettre ce qui peut être perçu comme une mauvaise nouvelle, mais vous devez faire ce que vous avez à faire. C'est ainsi que vous préserverez l'honnêteté de votre programme, tout en continuant à œuvrer pour la protection de votre organisation.

Mike Yaffy : Oui. Je n'ai rien à ajouter. C'est une question d'honnêteté, n'est-ce pas ? Il s'agit simplement de dire : « Voici les points positifs, voici les points négatifs. » Et je pense qu'il faut être impartial et objectif . Mike Yaffy : Mais cela nous ramène à ce que nous avons dit précédemment. Je pense qu'il faut établir des critères et ensuite demander à tout le monde de s'y conformer. Rodney Campbell : Absolument. Je pense que sans gouvernance, vous ne pouvez pas mener à bien ces activités comme il se doit. Vous voulez vous assurer que vous pouvez optimiser et maximiser ce que vous faites en matière d'engagement des parties prenantes. Et encore une fois, vous pouvez être aussi transparent ou croire que vous êtes transparent, mais la transparence signifie fournir des faits concrets. Vous n'avez pas d'intérêt personnel dans cette affaire. Vous êtes TPRM. Vous êtes un professionnel TPR ou vous faites partie de cette approche collaborative visant à identifier, évaluer et atténuer les risques. Mais vous devez vous assurer d'être honnête avec vos parties prenantes. Elles doivent avoir une compréhension totale afin de pouvoir prendre des décisions éclairées.

Mike Yaffy : Oui. Et c'est votre travail. C'est ça, votre travail, n'est-ce pas ? Je veux dire, en fin de compte. Donc, excellente réponse. Excellente réponse, Melissa. Passons à la question suivante, d'accord ? Euh, vous savez, j'ai lu ça et maintenant je le relis. Je me dis que je n'aime pas ça. Mais je vais poser la question d'une autre manière. Tout d'abord, à quel niveau se situe le programme TPRM ou la gestion des fournisseurs dans votre entreprise ? Est-ce que cela remonte jusqu'au conseil d'administration ? Est-ce que le conseil d'administration s'en soucie ? Est-ce que le conseil d'administration s'en soucie dans la mesure où nous ne voulons pas d'une violation de la part d'un fournisseur, comme... vous savez, quel est le niveau de visibilité ? Est-ce que cela est présenté, ne serait-ce que sur une seule diapositive, ou quelque chose comme ça ?

Rodney Campbell : Je peux vous dire que cela remonte jusqu'au conseil d'administration en ce qui concerne notre GPR et notre programme . Mike Yaffy : Quels sont les indicateurs qui intéressent le conseil d'administration ? Comment mesurez-vous le succès avec le conseil d'administration ? Ce serait un aspect intéressant. Finissons d'abord, puis nous y reviendrons. Rodney Campbell : D'accord. Il existe plusieurs approches pour mesurer le succès. Je pense qu'il faut avant tout s'assurer que vous offrez le bon niveau de transparence à votre conseil d'administration. Ni trop faible, ni trop élevé, mais vous devez vous assurer que le conseil d'administration est conscient du profil de risque de votre programme TPR. Il doit comprendre le risque inhérent à vos fournisseurs. Il doit comprendre la viabilité financière et la stabilité de vos tiers. Il doit avoir une compréhension claire et transparente de qui sont vos fournisseurs essentiels et principaux. C'est important. Qui sont les fournisseurs sur lesquels nous comptons pour assurer le bon fonctionnement de nos activités quotidiennes ? C'est très important. Vous devez vous assurer que tous les problèmes, événements à risque, mesures correctives ou risques accrus associés à vos fournisseurs essentiels sont identifiés et communiqués au conseil d'administration. Mais la transmission de ces informations doit être très importante, car, encore une fois, il s'agit du conseil d'administration et je suppose que certaines organisations, en dehors du conseil d'administration ou avant d'arriver au conseil d'administration, peuvent avoir une forme de comité exécutif chargé des risques. Vous devez vous assurer que ce comité chargé des risques ou tout autre comité en dehors de votre conseil d'administration est bien informé de l'ensemble du TPR et de la santé du programme.

Mike Yaffy : Comment répondez-vous à ces deux questions ? Premièrement, comment quantifiez-vous la santé globale de votre programme TPRM ? Est-ce que c'est un nombre x de fournisseurs dans le vert ? Est-ce que tout le monde obtient un huit ? Comment évaluez-vous honnêtement ce programme ? Rodney Campbell : Oui . Mike Yaffy : Où en sommes-nous, ici ou là, ou entre les deux ? Rodney Campbell : J'aimerais pouvoir dire que tous les fournisseurs obtiennent un huit à l'écran. Euh, ce serait l'idéal. Mike Yaffy : Au fait, j'invente tout ça. Ça pourrait être de 1 à 100, et vous pourriez dire : Rodney Campbell : mais je pense que l'analyse comparative est importante. Quels sont vos critères de réussite ? Parce que si vous n'avez pas de critères, rien à comparer, alors la réussite ne serait que très subjective. Ce serait votre opinion, et si vous êtes responsable d'un programme TParn, je suis sûr que votre opinion serait la meilleure. Vous voulez donc vous assurer d'avoir quelque chose pour mesurer la réussite. Quels sont donc vos critères pour qualifier et quantifier ce qui est bon par rapport à ce qui nécessite une certaine attention, ce qui n'est pas si bon. Montrer quelque chose à votre conseil d'administration ou à tout cadre supérieur ou comité ou direction, et je tiens à être clair, vert ou disons simplement que votre idéal de perfection ou de qualité d'un point de vue métrique ne signifie pas que votre TPR et votre programme sont bons. Vous devez également vous assurer que vous pouvez identifier ce qui n'est pas bon, ce qui nécessite une certaine attention de la part du conseil d'administration, de la haute direction ou de la fonction commerciale. Je pense donc qu'il est important de disposer de mesures rigoureuses pour déterminer le nombre total de vos fournisseurs. Voici les évaluations des risques résiduels. Voici la conformité globale de votre inventaire. Comment mesurez-vous le nombre d'évaluations des risques effectuées ? Comment mesurez-vous ce qui est terminé ou à quoi ressemble l'achèvement ? Quel est votre délai d'exécution ou votre diligence raisonnable, par exemple ? Identifiez-vous, collectez-vous et évaluez-vous les bonnes informations pour obtenir un profil de risque précis pour votre inventaire ? Vous devez vous assurer que vous disposez de mesures fidèles à la réalité afin de pouvoir fournir à votre conseil d'administration et à vos cadres supérieurs la valeur totale ou la mesure globale du succès de votre programme.

Mike Yaffy : C'est une très bonne réponse. En quoi le comité exécutif des risques diffère-t-il du conseil d'administration ? Est-ce simplement une question de profondeur ? Rodney Campbell : C'est certainement plus que cela. Nous parlons du comité exécutif des risques, qui peut prendre la forme d'un comité des risques émergents dans votre organisation, dont jeJ'ai fait partie de ce type de comité. Vous devez vous assurer que les comités de gestion des risques sont généralement composés de plusieurs personnes issues de différentes fonctions liées aux risques au sein de votre organisation. C'est l'occasion d'adopter une approche collaborative et d'avoir une compréhension globale des risques que représentent pour votre organisation les produits ou services proposés. Vous devez donc vous assurer que toutes les personnes présentes dans la salle discutent des sujets abordés. Nous avons une véritable transparence, une véritable collaboration et une pleine conscience de ce qu'implique l'engagement en matière de produits et de services, ainsi que de tout risque susceptible d'être identifié tout au long de la durée de cet engagement, dirais-je.

Mike Yaffy : D'accord, très bien. Euh, nous avons une question. Un participant anonyme, mon type préféré. Euh, comment faites-vous pour que de grandes entreprises comme Microsoft et Amazon se réunissent autour d'une table pour réaliser une évaluation des risques ? Euh, par le passé, elles n'ont pas vraiment excellé dans ce domaine. Waouh. Si je pouvais, je poserais probablement la même question. Euh, je pense que pour nous, ce que je dirais et ce que je recommanderais ou suggérerais à d'autres organisations, c'est de revenir à cette collaboration. Je sais que nous avons parlé de ce modèle de collaboration interne, mais parlons maintenant de la collaboration externe. Lorsque vous établissez un nouvel engagement avec un tiers pour un produit ou un service, vous pouvez adopter deux approches. L'une peut être l'approche de la distance. Nous communiquons par e-mail. Nous savons ce dont nous avons besoin. Vous nous le fournissez et c'est terminé. Le contrat est signé. Ou bien vous pouvez vous engager, et je veux dire vous engager activement, auprès d'un prestataire de services. Faites-lui savoir ce qui est important pour vous dans votre organisation. De quoi avez-vous besoin pour mesurer le succès ou au moins comprendre l'environnement de contrôle externe ou sa suffisance ? Vous pouvez le faire dès le début. Demander ces informations ne signifie pas que vous les obtiendrez, car si c'était le cas, je pense que mon équipe et moi-même obtiendrions tout ce que nous voulons et demandons. Mais je pense que c'est un début de collaboration qui garantit votre engagement actif. Vous établissez cette relation dès le départ et vous y travaillez en permanence. De la même manière que vous effectuez une surveillance continue, vous engagez continuellement vos tiers, en particulier s'il s'agit d'un élément important, en supposant que Microsoft soit probablement un élément important ou un fournisseur à haut risque pour votre organisation. Mais je pense que le modèle d'engagement est important. Et encore une fois, je ne veux pas dire qu'engager ou collaborer avec les meilleures intentions vous permettra d'obtenir ce que vous voulez ou ce dont vous avez besoin, mais je pense que c'est un bon début.

Mike Yaffy : D'accord. Euh, Melissa, passez la question suivante, puis passez à la question suivante. Je pense que c'est une bonne question, et peut-être que les indicateurs sont la réponse, nous venons d'en parler. Mais Mike Yaffy : j'aimerais avoir une réponse subjective et objective, si vous en avez. Mais pour moi, même en marketing, nous mesurons tout, n'est-ce pas ? Avons-nous obtenu un prospect ? Avons-nous conclu un accord ? Quelque chose est-il entré dans le pipeline ? Tout n'est pas une affaire, mais combien d'impressions avons-nous obtenues ? N'est-ce pas ? Il doit donc y avoir un moyen d'établir des repères, et je pense que vous savez que j'ai eu un PDG dans le passé qui me posait toujours une question, et c'était une bonne question. Je n'aimais pas particulièrement ce type, mais c'était une bonne question : est-ce un bon chiffre ou un mauvais chiffre ? N'est-ce pas ? Vous pouvez dire : « Oh, nous avons envoyé 5 000 évaluations. D'accord. Combien de fournisseurs avez-vous ? Combien de fournisseurs de premier rang ? Vous pourriez répondre : « Eh bien, nous en avons envoyé 5 000, mais nous avons 10 000 fournisseurs et nous n'avons interrogé que 500 de nos fournisseurs de premier rang. Donc, en réalité, 5 000, c'est un chiffre terrible. » D'accord. Alors, comment faites-vous, et désolé d'être si direct sur ce point. Comment présentez-vous subjectivement et objectivement la valeur et l'efficacité ?

Rodney Campbell : J'aime beaucoup l'approche objective. J'aime aborder les choses comme si les personnes qui les examinent n'avaient que peu ou pas de connaissances du programme ou avaient déjà des difficultés à le comprendre. Mike Yaffy : Vous voulez dire : « Sortez vos Snuggies, sortez vos Snuggies ». Rodney Campbell : Sortez vos Snuggies. Mettez vos Snuggies dans vos cupcakes. Mike Yaffy : Voilà. Nos rassemblements sont parfaits. Je vais vous dire ceci : pour nous, à la Lafer Valley National Bank, notre programme de gestion des risques tiers, nous voulons nous assurer que pour démontrer et mettre en valeur l'efficacité globale de notre programme, nous devons faire plus que simplement vous montrer le nombre d'évaluations des risques que nous avons réalisées. Maintenant, oui, vous allez passer en revue vos niveaux. Vous avez des risques critiques, élevés, modérés, faibles, et vous allez pouvoir démontrer que c'est ce que nous évaluons en termes de risques au cours de ce trimestre. C'est très bien. Tout va bien. Mais que se passe-t-il lorsque vous évaluez les risques et que tout est vert, mais qu'il y a encore des problèmes, qu'il y a des risques qui n'ont pas été identifiés et qui sont signalés ou mal signalés, vous voulez vous assurer que votre programme met en valeur la relation globale. Alors, qu'en est-il de vos renégociations, de vos renouvellements, car votre RORI est plus qu'une simple évaluation des risques. Vous devez comprendre que si vous êtes un professionnel de la TPR, vous effectuez des évaluations des risques et vous le faites également dans le cadre d'une fréquence basée sur les risques de cette relation contractuelle avec le fournisseur. Donc, si vous voulez démontrer la véritable valeur, si vous identifiez les risques, et parlons des risques ou de leur augmentation continue tout au long de la relation. Ne devriez-vous pas utiliser cela pour vos renouvellements de contrats et vos renégociations, peut-être pour le prix ?

Mike Yaffy : Absolument. Et les gens n'en font pas assez, n'est-ce pas ? Pour moi, c'est vraiment dommage. Rodney Campbell : C'est vraiment dommage. Mike Yaffy : C'est extrêmement dommage. Vous disposez de toutes ces données qui vous permettent de savoir s'ils font du bon ou du mauvais travail, et cela devrait être pris en compte dans la renégociation de votre contrat. Devinez quoi ? Votre contrat SEC vous donne au moins un moyen de pression. Cela vous donne plus que cela. Rodney Campbell : Je veux dire que vous devez considérer cela de manière globale. Quel est l'intérêt une fois le contrat conclu et maintenant que vous effectuez vos réévaluations périodiques annuelles, vos activités de surveillance continue. Toutes ces informations, toutes ces données sont collectées tout au long de la durée de cette relation jusqu'au moment où vous décidez ou prenez la décision de renouveler le contrat, et aucune de ces informations n'est utilisée. Aucune de ces informations n'est prise en compte dans le processus de renégociation ou de renouvellement du contrat. Vous effectuez donc toutes les activités requises ou imposées par la réglementation, mais cela ne vous profite pas. En fait, cela vous porte préjudice, car vous n'utilisez aucune de ces informations pour renouveler vos contrats, en particulier pour rechercher d'autres fournisseurs. La valeur globale est donc perdue. Encore une fois, il suffit de sortir les évaluations des risques . Nous pouvons évaluer quelque chose à un moment donné. Nous pouvons effectuer une surveillance continue, mais comment appliquez-vous cela à la relation contractuelle globale entre Puis-je corriger quelque chose que je trouve ? Si je trouve quelque chose chez vous, ai-je le pouvoir de faire respecter

Mike Yaffy : une solution de votre côté, en tant que fournisseur ? Et ensuite, utilisez les informations dont vous disposez lors du renouvellement du contrat. Je pense que ce sont les deux éléments les plus importants du TPRM, si je peux me permettre de donner mon avis, mais si vous pouvez obtenir ces deux éléments, vous aurez un programme vraiment efficace. Rodney Campbell : Absolument. Je ne saurais trop vous le répéter. N'attendez pas après coup, car après coup, vous identifiez des risques que vous auriez dû identifier dès le début afin de pouvoir les gérer et les surveiller de manière appropriée pour voir s'ils s'aggravent ou changent d'une manière qui pourrait nuire à votre organisation. Vous passez à côté de tellement de choses. Votre valeur va donc bien au-delà de l'évaluation des risques.

Mike Yaffy: Right on. All right. So uh we got 1243. What I’m going to do is turn it over to uh Scott Lang. Uh he’s VP at Prevalent. And look, hope you’ve enjoyed the webinar. He’s gonna do like three to five minutes on us and then Rodney and I will stick around. We’ll answer any more questions uh that we get in during that time. So, you get 3 to 5 minutes, fire away. Rodney’s been awesome. So, this has been super helpful and um then we’ll take it from there. Okay. So, Scott, over to you, bud. Scott Lang: Awesome. Thanks, Mike. Um listen, you can advance to the next slide, please. Um look, guys, everything you heard about today is about building a collaborative and agile thirdparty risk management program in your organization, including multiple stakeholders, understanding different perspectives on risk, understanding what the stakeholders want as far as reporting goes, risk mitigation, ultimately remediation, who’s responsible for what invariably throughout that process. When we talk to our customers, they tell us they want to accomplish these three things as it relates to their programs. Number one, help them get the data they need to make better decisions, whether that’s, you know, where risks are coming from, how to calculate a proper, you know, risk exposure, um, scale your risks to, you know, what the appetite is for the business. business and you know get good data to prescribe some remediations, right? Getting good data. Second, increasing team efficiency and breaking down silos. A huge part of what we talked about today. Um and that’s all about um you know getting people together in uh you know a single version of the truth for processes for workflows uh and for data. So we’re all in effect singing from the same himnil. And then third evolving and scaling your program over time. You know these three things are what customers tell us they want most frequently out of their third party risk management program. The ideal end state, if you will, have that program be agile, able to expand and accommodate uh new vendors and suppliers, new third parties that you’re bringing on um and you kind of scale and and support the business about what’s next. Next slide, please. But what we find really gets in the way, and you can build this out one more uh as well, Melissa, this is a builder slide, you know, click and then click again. Um You know what we find is that these challenges that organizations face are somewhat unique to every stage of the life cycle. So you want to accomplish those three things. What gets in the way of you accomplishing those objectives for your TPRM program. Let’s look at it from a from a um you know process perspective. There’s a life cycle of that that relationship. As you’re throwing and selecting vendors, you’re probably dealing with limited risk insights, a lot of silos, manual processes, We’re looking at vendors as you’re performing your intake and your onboarding. You’ve got different teams, different processes and tools in place to make it happen. Manual processes and a lack of insight for calculating inherent risks to determine what that baseline is to allow you to then make good decisions on what type of risk assessment and strategy you want going forward. And then, you know, goodness gracious, the breads and the manual processes involved in the assessment in the remediation phase. You know, we do an industry study every year um to who assess the um state of third party risk management you know in the industry and we ask a very specific question in this study every year and it is you know are you currently using spreadsheets to assess your third parties and I am really disappointed uh to say that that number keeps going up every year two I guess three years ago was 42% last year was 45% this year 48% almost half the people that we serve in the industry are using spreadsheets to perform their assessments uh of their their third parties. Two ways to look at that. Number one, you know, that manual processes isn’t going to help you achieve those three objectives we mentioned earlier. Getting good insights, bringing people together and then scaling. I guess maybe the glass half full way to look at it is, hey, maybe more folks are doing third party risk. Anyway, as you progress through this life cycle relationship, you know, you you then move into the constant monitor ing and validation of controls phase and you you’re looking at disjointed tools and inefficiencies. You’re looking at measuring SLAs’s and performance and you’ve got SLAs’s uh sorry silo uh teams and manual tracking and very limited contract enforcement or no tieback to an overall risk profile and then inevitably as every relationship comes to an end um you’re going to want to offboard and terminate that relationship and you know that invariably is going to mean that you know you’ve got to um you know follow some sort of manual process to make sure that the final items are tied off. Anyway, those are the challenges that we see. Uh Melissa, click one more time. You know, what Prevalent delivers is the ability to do three things here. To simplify and speed up onboarding with a single source of the truth and a process to help you manage that third party relationship from the point you source and select them to the point where you offboard and terminate them. Second, deliver you a very streamlined process that closes gaps in risk coverage for these different teams in these different risk domains that you want to see covered at every one of these phases, be it onboarding, management or offboarding. And that really leads to the third benefit of unifying teams across the life cycle, right? Getting everybody together in a single solution, single set of data and processes uh to ultimately execute on the life cycle of that relationship. Next slide, please Melissa. We deliver it through a combination of um expertise in our people. We help uh do the hard work of thirdparty risk management on your behalf from on reporting, assessing, remediating and managing that vendor if you choose that. Uh we give you the the the most data available in the industry to help you make good decisions. More than half a million um uh profiles of vendor intelligence we have uh you know in our library. Constant inflows of information from the cyber business financial ESG and and reputational risk side. And we don’t just give you the data, we correlate it, we harmonize it, help you make good decisions. And all those decisions are helped to facilitate or facilitated through the platform. The third pillar uh of what we deliver all the workflows, all the automation, all the reporting, you know, are all centralized. So, a combination of the people, the data and the platform is how we help uh to address that problem we we talked about before. Next slide, please, Melissa. Ultimately, there are three things we want for you uh that we deliver in our solution. The first is to give you the comprehensive risk, performance, insights, analytics, and reporting to help your team be smarter in its decisioning processes. Second, to unify assessments, monitoring, and the life cycle to give you a single source of the truth of the enterprise to unify your program and to deliver you a program that is prescriptive and not just has built-in intelligations and automate automated workflows. We’ve got a whole army of experts uh behind that to help support you every step of the way. So, good intelligence, great automations, a prescriptive process. You know, we could help you from the from the point where you want to start building your program to you want to optimize it, you know, through its life cycle. That’s our approach. That’s what we do to help from a third party risk management perspective. I think it ties in perfectly to the theme today on building some organizational alignment, getting people rallied around a single set of processes, truths, and uh and data sets to make good risk based decisions. All right, that’s what I just shared today. I’m going to pitch it back over to uh Melissa. Melissa, I think we’re probably gonna open up for questions for uh for Mike and for Rodney.

Melissa : Oui. Euh, tu lis dans mes pensées. Euh, en attendant, je vais lancer notre deuxième sondage. Donc, tu sais, tout comme le premier, euh, nous voulons voir... Bon, je ne sais pas ce qui s'est passé avec mon sondage aujourd'hui. Euh, voyons voir. J'ai terminé Mike Yaffy : le trac du premier jour, Melissa : vous savez. C'est tout. Ce n'est pas ma première fois non plus, donc je ne sais pas ce qui se passe, mais Mike Yaffy : le trac du premier jour ne peut pas l'emporter, n'est-ce pas ? Ils ont le trac chaque année, Melissa : vous savez, une nouvelle saison, un nouveau départ. Hum, cherchez-vous à améliorer ou à établir quelque chose ? Vous savez, surtout si vous êtes encore dans ces feuilles de calcul, êtes-vous prêts ? À sortir. Hum, faites-le nous savoir. Et soyez honnêtes, s'il vous plaît. Nous ferons un suivi avec vous. Nous ne faisons pas ces sondages juste pour le plaisir. Hum,

Mike Yaffy : En fait, ce sera Melissa. Melissa : Ce ne sera pas moi. Je te promets que ce n'est pas juste un robot quelconque. Mike Yaffy : Et dis non si tu ne veux pas parler à Melissa. Elle ne t'embêtera pas. Si tu veux parler à Melissa, dis oui. Melissa : Arrête aussi de me mettre dans tes dossiers spam. Hum, mais, vous savez, j'ai Rodney. Mike Yaffy : Pointez aussi votre doigt quand vous dites ça. Melissa : Hé, laissez-moi allumer ma caméra pour que vous puissiez vraiment voir mon expression. Mais je sais que nous avons quelques questions en attente. Hum, vous savez, s'il y a quelque chose que vous souhaitez aborder qui ne figure pas dans la présentation, c'est le moment de le faire, et vous savez que c'est anonyme si vous voulez poser une question, n'ayez pas peur, c'est interactif.

Melissa : Euh, nous en avons eu un. C'était plutôt une déclaration de Kevin, vous savez, Rodney, il parlait un peu des partenariats, n'abusez pas de vos partenaires, c'est un excellent conseil, je plaisante, mais il a raison, n'en profitez pas. Alors, vous avez un commentaire à faire à ce sujet ? Rodney Campbell : Oui, je suis tout à fait d'accord. Je pense que lorsque nous parlons de gestion des risques liés aux tiers, nous positionnons souvent les fournisseurs comme une sorte d'alter ego. Ce que je veux dire par là, c'est que ce sont eux qui présentent certains des problèmes, euh, les risques, et que leur engagement ou leur manque d'engagement peut potentiellement créer ou générer davantage de risques pour votre organisation. Mais vous devez considérer cela sous cet angle, en revenant à la collaboration. Vous devez vous assurer que la relation entre votre organisation et ce fournisseur est, je suppose, une relation saine et fructueuse. Donc, au début, collaborez pour vous assurer qu'ils comprennent parfaitement ce dont vous avez besoin, non seulement en termes de produit, mais aussi en termes de soutien à ce produit ou service. Assurez-vous qu'ils sont conscients de ce dont vous avez besoin du point de vue de l'audit et de la diligence raisonnable. Dites-leur tout cela. Donnez-leur toutes ces informations dès le début et laissez le fournisseur tiers ou le vendeur revenir vers vous et répondre à vos besoins ou à vos demandes. Mais vous devez vous assurer que la relation entre votre organisation et la leur est une relation de collaboration, car il ne s'agit pas seulement de vous, pas plus qu'il ne s'agit uniquement d'eux. C'est quelque chose qui doit être établi pour le bien de vos organisations respectives.

Mike Yaffy : Je pense que c'est une excellente question pour conclure. Vous avez très bien résumé la situation, vous avez mis un point final. Bon, nous avons encore une question. Oui, nous pouvons la poser. Quelle approche adoptez-vous pour évaluer les risques au-delà des tiers, c'est-à-dire les risques posés par leurs tiers. Donc les parties finales. Rodney Campbell : D'accord. Voici ce que j'ai suggéré, ou du moins expliqué à beaucoup de gens, en revenant au début, aux étapes précédentes. Il y a deux parties. Il y aura des relations que vous avez déjà établies. Le contrat est signé. Peut-être que les activités de gestion des risques liés aux tiers ou les responsabilités de gestion ne vous incombaient pas. C'était quelqu'un d'autre avant vous. Vous avez donc hérité de ce processus que vous commencez à comprendre. Mais revenons au début. Au début, lorsque vous évaluez les fournisseurs, s'il s'agit d'un fournisseur qui pourrait être un fournisseur essentiel ou important pour votre organisation, ne voudriez-vous pas savoir si vos tiers essentiels ou importants ont eux-mêmes des tiers essentiels ou importants ? De quels fournisseurs ont-ils besoin, sur lesquels s'appuient-ils pour fournir les produits et services à votre organisation ? C'est une question que vous devriez poser dès le début. Maintenant, lorsque vous effectuez votre processus de diligence raisonnable pour les tiers existants, même si vous ne l'avez pas demandé au début, vous devez demander qui sont les sous-traitants. Vous devez vouloir connaître les dépendances, non seulement les dépendances critiques, mais aussi celles sur lesquelles reposent vos relations avec les tiers. Vous devez vous assurer que ces données sont accessibles, car il ne s'agit pas seulement de dépendances. Il s'agit également de comprendre que ces dépendances peuvent potentiellement présenter un risque en termes d'accès à vos données, aux données de votre organisation. Vous devez connaître les contrôles mis en place pour protéger ces données. Nous savons que tout n'est pas parfait, mais vous devez vous assurer d'avoir une certaine visibilité et une bonne compréhension des tiers qui pourraient potentiellement accéder à vos données, en dehors de ceux qui constituent des dépendances critiques pour vos organisations tierces.

Mike Yaffy : Tout à fait. Hum, plus de questions, dernières réflexions. Ryan, Rodney Campbell : Euh, je dirais que je sais que beaucoup, euh, suivent attentivement parce que ce sont des personnes qui sont en train de mettre en place ou de développer leurs programmes, et je sais que votre objectif est de vous assurer que l'importance de votre programme est comprise dans toute votre organisation, ce qui n'est pas facile et peut être plus difficile que je ne peux l'exprimer avec des mots pour l'instant. Mais je peux vous suggérer de maintenir le cap. Continuez à faire ce qui est juste. Assurez-vous, lorsque vous élaborez votre programme, d'impliquer les parties prenantes et de le faire en toute transparence. Faites-le en vous appuyant sur des faits. Pas sur ce que vous voulez que le programme soit, pas sur quelque chose de conceptuel, mais sur des faits, la transparence et la collaboration. Je peux vous dire qu'en procédant ainsi, vous mettrez en place le programme dont votre organisation a besoin. Cela ne se fera pas du jour au lendemain, mais vous finirez par trouver le programme qui vous convient.

Mike Yaffy : Génial. Parfait. Merci beaucoup, mon ami. C'était fantastique. J'adore le rythme. C'était amusant et je pense que nous avons abordé beaucoup de sujets. Merci beaucoup d'avoir participé. Melissa, y a-t-il quelque chose à faire avant de laisser tout le monde partir ? Melissa : Non, tout le monde a un match de baseball à regarder aujourd'hui si vous aimez le jour de l'ouverture. Vous savez, j'ai passé un très bon moment à écouter Rodney, Mike et, bien sûr, Scott, alors je vous retrouve tous très bientôt dans vos boîtes mail. Et... Oui, à bientôt les amis. Prenez soin de vous. Au revoir tout le monde.

Rodney Campbell : Encore merci. Melissa : Prenez soin de vous.