Quel est l'impact de l'éthique, de la conformité et de la diversité sur les risques liés aux tiers ?

Amanda: Bonjour à tous. Je vais attendre quelques instants pour vous laisser arriver. Bienvenue, bienvenue, bienvenue à tous à notre deuxième webinaire ici chez Prevalent of the Year. Nous avons un programme très intéressant aujourd'hui avec un panel incroyable et nous allons nous concentrer sur l'éthique, la conformité et la diversité. Il n'y aura pas de présentation. Ce sera uniquement une discussion vidéo avec le panel, et nous allons tous discuter, bien sûr, d'éthique, de conformité et de diversité. J'aimerais juste passer en revue quelques points d'ordre général pour tout le monde. Nous mettons tout le monde en mode silencieux. Nous ne pouvons pas vous voir non plus, mais nous enregistrons également la session. Je vous invite également à poser vos questions dans la partie inférieure. Nous voulons que ce soit interactif. Posez autant de questions que vous le souhaitez au panel. En ce qui concerne l'enregistrement, vous le recevrez demain dans votre boîte mail. C'est tout pour moi. Je vais vous présenter la liste des participants au panel et vous expliquer qui va se joindre à nous. Au fait, je m'appelle Amanda, je travaille pour Prevalent. Je suis l'animatrice. J'ai oublié de le mentionner. Nous avons donc Alba Imodar. Elle est responsable du groupe consultatif sur la gouvernance des tiers chez BNY Melon. Alba est chargée de la planification stratégique, de la restructuration organisationnelle, de la gestion des relations avec la clientèle, de la conformité et des risques. Elle supervise la stratégie et l'exécution des plans de transition interfonctionnels pour les nouvelles opportunités commerciales et les initiatives complexes de grande envergure pour les clients existants. Au cours de sa carrière, elle a obtenu d'excellents résultats en tant que responsable de la gestion des relations complexes avec la clientèle, de la gestion des risques et de la transformation. Bienvenue, Alpa. Merci de vous joindre à nous.

Alba: Tellement Amanda.

Amanda: Bien sûr. Nous avons également Tracy Davis. Elle est associée au sein du bureau new-yorkais de Syarch, dans le département contentieux commercial et l'équipe mondiale chargée de la confidentialité et de la cybersécurité. Avocate plaidante très expérimentée, elle représente des entreprises dans des affaires de manquement aux obligations administratives, de pratiques commerciales trompeuses et de litiges contractuels complexes, tant devant les tribunaux que dans le cadre d'arbitrages et de médiations. C'est tout un programme. Elle est également certifiée en tant que professionnelle de la confidentialité des informations. Elle possède une grande expérience dans la création de cadres juridiques et le conseil aux acteurs des marchés émergents, aux membres de conseils d'administration et aux cadres supérieurs en matière de conformité réglementaire et d'atténuation des risques liés aux litiges, ainsi que dans la navigation dans le paysage en constante évolution de la fintech, de l'IA et de l'ESG. Bienvenue à Tracy Davis. Merci beaucoup de vous joindre à nous.

Tracy: Merci de m'avoir invitée.

Amanda: Bien sûr. Désolée si j'ai massacré certains mots, mais on sait.

Tracy: Pas de souci.

Amanda: Et enfin, bien sûr, la seule et unique Brenda Ferraro, notre vice-présidente chargée des risques tiers chez Prevalent. Elle sera notre modératrice et posera à ces femmes exceptionnelles des questions importantes auxquelles vous pourrez prêter attention. Sur ce, Brenda, c'est à vous.

Brenda: Merci beaucoup, Amanda. C'était génial. Tu as fait du bon travail.

Amanda: Merci.

Brenda: Tracy et Ala, je suis très heureuse de vous accueillir aujourd'hui. Nous allons aborder un sujet très important et brûlant qui semble envahir les boîtes mail de tout le monde et dont l'avenir semble tout tracé : l'ESG, c'est-à-dire l'environnement, le social et la gouvernance, ainsi que l'éthique, la diversité et la conformité. Et quel est le rapport avec les tiers ? Vous savez, nous avons travaillé très dur pour nous assurer que nous recueillons des informations sur nos tiers, voire sur les parties n-ièmes, en matière de cybersécurité, d'activité ou de finances. Mais aujourd'hui, le champ d'application s'est considérablement élargi. Nous examinons désormais beaucoup plus de choses. J'ai donc quelques questions à vous poser à tous les deux et nous parlerons de stratégies et de toutes les informations disponibles. Mais avant cela, j'ai une clause de non-responsabilité à lire, car nous avons un conseiller juridique en ligne. Je vais donc la lire rapidement avant de commencer, pour une autre question d'ordre administratif. Ensuite, nous reviendrons aux questions. Donc, en ce qui concerne notre discussion d'aujourd'hui, nous affirmons que les participants s'expriment à titre personnel uniquement, et non au nom de leur employeur ou de leurs clients. Le contenu de cette présentation est destiné à des fins d'information générale uniquement et ne doit pas être interprété comme un conseil juridique ou un avis juridique sur des faits ou des circonstances spécifiques. Maintenant que nous avons fait cette mise au point, j'ai l'impression que j'aurais dû le dire beaucoup plus rapidement. Vous savez comment sont les émissions de radio. Très bien, la première question que je vais poser s'adresse à Tracy. Compte tenu de l'attention accrue portée à la diversité et à l'inclusion, motivée par l'intérêt des marchés pour les facteurs ESG, quelle est la situation juridique actuelle à laquelle sont confrontées les entreprises publiques et privées et leurs conseils d'administration en matière d'ESG en général, et plus particulièrement en matière de diversité et d'inclusion ?

Tracy: C'est une bonne question pour lancer la conversation, car l'ESG, qui signifie « environnemental, social et gouvernance », est un domaine très vaste. Il englobe toute une série de facteurs qui visent les parties prenantes au sein d'une entité ainsi que sur le marché. Et si il est si important aujourd'hui de comprendre à quoi ressemble le paysage, c'est parce que ce paysage est très récent et qu'il n'existe pas beaucoup de réglementations et de règles, en particulier ici aux États-Unis. Tout comme aux débuts du cyberespace, actuellement, en matière de confidentialité , les États-Unis ont choisi d'adopter une approche ad hoc, qui consiste à ne pas intervenir en ce qui concerne les réglementations spécifiques qui régissent l'ESNG. Eh bien, ce qui motive l'ES SN ESG, ce sont les données. Ce qui le motive, ce sont les mesures. Ce qui le motive, ce sont les objectifs et les cibles. Et à l'heure actuelle, il n'existe pas de cibles uniformes. Il n'y a pas d'objectifs uniformes. Nous sommes donc en quelque sorte en train de rattraper notre retard, alors que récemment, l'UE, qui dispose depuis longtemps d'un cadre solide pour mesurer et utiliser les données en matière d'environnement, a été, comme vous le savez, à l'avant-garde de l'adoption des normes de durabilité des Nations unies, tandis que les États-Unis ont adopté une approche quelque peu passive, mais ils ne peuvent plus se permettre d'être passifset nous le constatons à travers les réglementations de la SEC, par exemple , qui a récemment fait des propositions sur le capital humain et ce qui doit être divulgué en matière de ressources humaines des sociétés cotées en bourse. Cela peut sembler insignifiant, car il s'agit en réalité d'une approche moins normative qui consiste simplement à dire que tout ce qui est important pour le fonctionnement d'une entreprise constitue la référence. Hum, c'est un grand pas en avant par rapport à la situation dans laquelle nous nous trouvions à un moment donné. En ce qui concerne plus particulièrement la diversité dans ce domaine, le NASDAQ a récemment proposé une règle stipulant que toute entreprise cotée sur sa bourse doit avoir un conseil d'administration diversifié. Hum, vous savez que cette règle sera probablement mise en œuvre, car plusieurs États américains ont adopté des critères comparables. Elle stipule que dès la première année suivant sa mise en œuvre, au moins une femme doit siéger au conseil d'administration. Et dès la deuxième année, au moins deux personnes issues de la diversité doivent siéger au conseil d'administration, une femme et une personne issue de la diversité. En fonction de la taille de l'entreprise, la présence d'une seule femme peut suffire pour atteindre ce seuil. Mais encore une fois, c'est grâce à ce type de normes que nous cherchons à atteindre au moins certains objectifs uniformément établis dans ce domaine. Euh, avant de nous lancer, nous avons parlé de Black Rockck et Larry Frink qui ont récemment rendu obligatoire pour toutes les entreprises avec lesquelles Black Rockck fait affaire de respecter les critères de durabilité qui ont été volontairement diffusés. Euh, et nous parlerons un peu plus tard de ce que signifie la diffusion d'une norme volontaire dans un contexte juridique. Mais pour l'instant, il suffit de dire que nous parlons d'un environnement qui évolue lentement. Hum, et nous parlerons également des risques, car lorsqu'il n'y a pas nécessairement hum un ensemble spécifique de réglementations ou de lois, cela augmente les possibilités d'exposition et les risques. Hum, nous, hum, dans le domaine de la conformité, nous aimons les lois établies. Nous aimons les réglementations. En tant qu'avocat plaidant, je peux vous dire que la loi sait certainement comment compenser les domaines où il n'existe pas de normes prescriptives. Mais j'espère que cela répond à votre question, Brenda.

Brenda: Tout à fait. Tout à fait. Merci beaucoup. Très bien dit. J'aime beaucoup votre façon de présenter les choses : c'est un phénomène récent et, comme il pourrait s'agir d'un événement Ian alpa, que faites-vous chez BNY Melon ou, selon votre avis d'expert, que faudrait-il examiner pour faire face à la situation à laquelle nous sommes confrontés ?

Alba: Oui. Je suis d'accord avec ce que Tracy vient de dire. Nous n'avons pas de réglementations ni de lois spécifiques, nous sommes encore en pleine évolution, certains secteurs plus que d'autres, mais je peux parler du secteur financier. Je pense que le conseil d'administration rend désormais l'organisation responsable d'un point de vue stratégique. Nous examinons donc la culture d'entreprise et nous nous demandons, lorsque nous faisons appel à ces fournisseurs ou prestataires, si nous nous assurons que les prestataires et la chaîne de gestion sont diversifiés, qu'ilssoit des petites entreprises, soit des personnes d'origines ethniques différentes, soit en examinant la loi sur l'esclavage moderne. Je pense donc que nous avons désormais des indicateurs spécifiques pour chaque secteur. Nous n'avons pas encore de norme, comme l'a mentionné Tracy, mais dans le secteur financier, je pense que nous évoluons de plus en plus vers une évaluation basée sur certains de ces critères, qu'il s'agisse de l'environnement, du climat, ou les émissions de CO2. Nous évoluons actuellement sur tous ces critères et nous voulons mener nos activités en nous basant sur ces ensembles de données, en affirmant que nous n'opérerons qu'avec des fournisseurs qui respectent nos critères à 360 degrés, n'est-ce pas ? Il n'est pas acceptable d'entretenir une relation avec Xender depuis 50 ans sans vraiment faire preuve de diligence raisonnable et sans s'assurer que cette entreprise respecte les critères ESG, de conformité éthique et de diversité. Très bien dit. Je pense donc que je vais passer à autre chose. Cela peut sembler un peu décalé par rapport à ce dont nous venons de parler, mais pour moi, cela reste lié. Ala, je vais donc vous poser cette question en premier. Quelle est la place du contrôle continu dans l'éthique, la conformité, la diversité et l'ESG, tout ce dont nous venons de parler ?

Alba: Bien sûr. Bon, je vais prendre quelques instants pour parler d'abord de la surveillance continue, puis nous pourrons approfondir la question de l'éthique et de la diversité en matière de conformité. Hum, précieux, si vous pensez à la façon dont la gouvernance tierce était gérée ou au risque lorsque nous accueillions un client, nous faisions notre diligence raisonnable en fonction des évaluations des risques, donc s'ils étaient élevés, modérés ou faibles en fonction de cette criticité, nous faisions une évaluation, vous savez, nous faisons une évaluation soit chaque année, soit tous les deux ans, soit tous les trois ans, mais actuellement, avec la COVID, tout s'est accéléré, donc ce que vous saviez il y a un an ou deux ans n'estsuffisait plus pour faire des affaires, en raison de la concentration de l'entreprise, de son emplacement, de sa viabilité financière et de son risque opérationnel. La surveillance continue a donc joué un rôle essentiel dans la compréhension des risques, ce qui signifie que nous voulions voir des alertes en temps réel. Nous devions surveiller ces fournisseurs non pas périodiquement, non pas lors de leur intégration, mais de manière continue. Nous prenons maintenant le sous-ensemble et la question que vous avez posée, Brenda, est de savoir comment nous effectuons une surveillance continue en matière de conformité éthique et de diversité. Nous avons donc commencé à vraiment auditer et examiner tout l'inventaire de nos fournisseurs, à vraiment examiner les comportements criminels, à réfléchir aux transactions que nous effectuées et si nous les examinons et si elles répondent aux critères de conformité éthique et de diversité. Je pense donc que nous commençons maintenant à mettre en place des indicateurs spécifiques pour mesurer ces indicateurs, puis à être cohérents, car je pense que c'est l'un des plus grands défis, en particulier dans le secteur financier, et là, vous savez, avec une infrastructure de systèmes hérités vieille de 233 ans à New York Melon, comment pouvons-nous nous assurer d'être cohérents ? Je pense donc que ce sont là certaines des choses que nousexaminons à nouveau dans le cadre d'une surveillance continue. Idéalement, si je devais envisager l'avenir, je dirais qu'il faudrait disposer de réglementations, de lois et de mesures appropriées, mais pour l'instant, je pense que chaque entreprise essaie en quelque sorte d'évoluer et de réfléchir à son appétit pour le risque, puis d'élaborer des mesures adaptées à son secteur. Tracy, je ne sais pas, êtes-vous d'accord avec cela ou

Tracy: Je suis tout à fait d'accord avec toi, Alpa. Euh, c'est le suivi qui permet de se protéger contre les risques de responsabilité lorsque les problèmes surviennent beaucoup plus tard. Euh, tu constateras qu'il y a actuellement au moins huit procès en cours contre des entreprises pour leur manque d'action en matière de diversité et d'inclusion. Euh, inaction. D'accord. Et bien qu'elles aient des normes, des pratiques, des politiques et des programmes qui vont de l'équité salariale à la lutte contre la discrimination, en passant par la manière dont elles contrôlent les fournisseurs tiers, ces politiques ne servent pas à grand-chose si elles ne sont pas réellement mises en œuvre et appliquées. C'est la surveillance et les données qu'elle fournit qui constituent la barrière de protection contre l'exposition à la responsabilité en cas de plainte similaire, et nousNous parlerons des niveaux de responsabilité qui existent en arrière-plan, mais vous avez tout à fait raison, Alpa, c'est grâce à cette surveillance et aux attentes du marché que celui-ci a désormais la capacité d'effectuer des analyses de données en temps réel, et il le fait par l'intermédiaire des agences de notation et de classement. Vous savez, il existe des profils d'entreprise qui sont utilisés non seulement pour évaluer la valeur pour les actionnaires, mais aussi pour évaluer les risques. Donc, lorsque vous examinez les types de fournisseurs tiers avec lesquels vous souhaitez vous engager, il est utile de faire ce genre de diligence raisonnable qui impliquerait des analyses.

Brenda: En parlant de litiges, la question suivante porte justement sur ce sujet. Je ne sais pas comment vous m'avez préparée, mais c'était génial. Hum, avec si peu de directives réglementaires et juridiques spécifiquement adaptées aux divulgations ESG, quel type de stratégies d'atténuation des risques et de tactiques d'évitement des litiges peuvent être utilisées par les entreprises présentes dans l'auditoire qui souhaitent rester compétitives dans le domaine ESG ?

Tracy: Cela commence donc par une évaluation globale. Il faut examiner la situation dans son ensemble, à 360 degrés. Il faut examiner la structure globale de l'entreprise elle-même, depuis le conseil d'administration jusqu'aux cadres supérieurs, en passant par les employés et les fournisseurs tiers, afin de déterminer exactement où vous en êtes actuellement en matière de diversité. Quels types de personnes occupent actuellement ces postes de direction ? Pour l'instant, l'accent est mis uniquement sur les conseils d'administration, mais je peux vous dire que j'ai assisté au Forum économique mondial l'année dernière et que Jamie Diamond, même si je n'aime pas mentionner un concurrent à ce stade, a clairement indiqué que son intention était d'examiner non seulement la structure hiérarchique, mais aussi la structure verticale, afin de voir qui, dans la chaîne d'approvisionnement, respectait les normes et les engagements, ce qui est extrêmement important. Il est important que vous sachiez que vous faites cela à 360 degrés afin de connaître votre organisation, de savoir où elle se situe non seulement par rapport à ses fournisseurs, mais aussi par rapport à ses concurrents. Il n'y a pas de solution unique. Il faut donc procéder à une analyse approfondie et globale pour voir où vous vous situez par rapport à votre secteur d'activité, à vos concurrents, à votre taille. Évidemment, cela entrera en ligne de compte dans toute analyse des efforts entrepris en matière de diversité et d'inclusion. Vos pratiques en matière d'emploi, la manière dont vous traitez les plaintes pour discrimination. Cette analyse à 360 degrés est la première étape. La deuxième étape consiste à examiner vos politiques et vos pratiques. Doivent-elles être modifiées ? Comment sont-elles mises en œuvre ? Qui est responsable de leur mise en œuvre ? Vous constaterez qu'il y a de plus en plus de responsables du développement durable. Pourquoi ? Parce que cela signifie que la responsabilité de rendre des comptes incombe à une seule personne. Ces facteurs sont essentiels pour vous assurer que vous protégez votre institution contre ces plaintes. La surveillance dont nous avons déjà parlé, c'est-à-dire se renseigner et connaître les normes de l'industrie, devient encore plus cruciale lorsqu'il n'y a pas de loi. Ce ne sont là que quelques-uns des facteurs et mécanismes qui peuvent être utilisés pour protéger les documents. Les données sont vos alliées, à condition que vous gardiez un œil vigilant sur elles et qu'il n'y ait aucune incohérence entre ce que vous dites faire et ce que les chiffres prouvent que vous faites réellement. Ce ne sont là que quelques domaines, mais il existe toute une panoplie de techniques qui peuvent être utilisées et qui doivent l'être, car je ne pense pas qu'il existe aujourd'hui une entreprise ou un secteur qui ne soit pas vulnérable, compte tenu de la prévalence et de Black Rock.

Brenda: J'aime bien la façon dont tu as mis le un, le deux et le trois ensemble. Alpa, as-tu quelque chose à ajouter ou... Hum...

Alba: Oui, non, je veux dire, juste une chose. Je pense que les données ESG pour 2018 s'élevaient à 30 000 milliards, et cela va générer des revenus qui nous permettront de croître.va atteindre 50 000 milliards au cours des 20 prochaines années, donc comme Tracy l'a dit, cela va être crucial pour n'importe quel secteur. L'ESG va déterminer la façon dont nous surveillons, analysons et participons. L'autre chose que j'ai remarquée dans ce que Tracy disait, c'est que nos investisseurs, nos clients et même mes employés se demandent comment notre organisation s'inscrit dans l'ESG.il ne suffit pas d'être capable de donner volontairement ou de donner raison, il s'agit d'investir correctement, donc investissons-nous dans des ETF axés sur l'ESG, et c'est, c'est là que je pense que les mentalités évoluent dans le bon sens, car lorsque les entreprises recrutent des employés, elles leur demandent comment ils s'investissent dans le domaine ESG, ce qui est très différent d'il y a dix ans. Je pense donc qu'il ne s'agit pas seulement de le faire pour vos employés, mais aussi pour assurer la pérennité de notre société. Nous devons commencer à nous concentrer sur l'ESG et sur la manière dont nous gérons ce processus.

Brenda: super

Tracy: Je voudrais juste ajouter une chose, car je pense qu'il existe un cadre mental que vous pouvez utiliser pour réfléchir à ce sujet, et il est important de comprendre que les entreprises sont considérées par la loi comme des personnes physiques, comme des individus. Vous savez ce qui se passe actuellement avec l'ESG ? Elles sont simplement élevées au rang de membres responsables de la société. Il est donc très important de s'appuyer sur ce principe lorsque l'on examine certains de ces facteurs.

Brenda: Très bonne remarque, Tracy. Je suis tout à fait d'accord avec toi. J'adore ce que tu viens de dire. C'est génial.

Brenda: C'est vrai. Très bien. Nous allons donc parler de votre champ d'action plus large. Vous avez évoqué l'individu et la responsabilité. Eh bien, nous avons cette chaîne d'approvisionnement qui ne cesse de s'étendre. Auparavant, nous devions simplement nous intéresser aux fournisseurs qui proposaient des services de cybersécurité et d'hébergement, mais aujourd'hui, certaines de nos organisations et certains de nos secteurs d'activité se diversifient. Ainsi, cette chaîne d'approvisionnement s'étend désormais au-delà de la cybersécurité pour inclure des évaluations par des tiers, où je travaille avec un fournisseur, qui travaille avec un autre fournisseur sur le même projet, qui travaille à son tour avec un autre fournisseur. C'est comme un effet domino. Depuis, c'est devenu un sujet brûlant et nous nous intéressons vraiment aux facteurs de résilience et de stabilisation, ainsi qu'aux éléments de risque qui nous permettront d'avoir une vision claire de ces partenariats, de cette longue chaîne de soutien ou de ce paysage. Comment gérez-vous l'augmentation ou la nature contractuelle de ces deux éléments lorsqu'il s'agit de quelque chose d'aussi rigoureusement évalué, ou même de découvrir ce que nous avons fait dans le passé par rapport à ce que nous devons faire maintenant ?

Alba: Oui. Écoutez, je pense que, comme vous l'avez dit, le paysage dans son ensemble a changé, et je dirais que cette évolution s'est en grande partie accélérée à cause du droit de co-propriété. Nous avons été touchés, que ce soit par quelque chose d'aussi basique que le papier toilette, vous savez, la chaîne d'approvisionnement et son impact sur tout le monde. Je pense donc qu'en tant qu'organisation, il ne suffit plus aujourd'hui de connaître ses tiers, mais, comme vous l'avez dit, les parties finales, carun impact significatif, car comme vous l'avez dit, c'est un effet domino, un effet d'entraînement. L'une des choses que nous avons commencé à examiner, c'est simplement de changer nos politiques, nos contrats, n'est-ce pas ? Alors qu'auparavant, nous ne demandions jamais qui étaient vos quatrièmes ou cinquièmes parties, nous allons désormais plus loin en demandant où se trouvent ces quatrièmes et cinquièmes parties, car leur emplacement fait une différence. Nous allons encore plus loin au sein de ces parties en nous interrogeant sur la diversité, car nous sommes désormais responsables. Je dirais qu'AMIA, comme vous le savez, en raison des réglementations,nous demandent désormais de leur indiquer qui est votre partie finale, combien d'entre elles sont basées dans le cloud, etc. Je dirais donc que l'AMIA est un peu en avance sur nous, mais en tant qu'organisation mondiale, je pense que plutôt que d'attendre les régulateurs, nous modifions ce processus à l'échelle mondiale. Je pense donc que nous faisons preuve d'une diligence raisonnable supplémentaire, euh, nousmodifions notre processus contractuel et la manière dont nous effectuons nos vérifications préalables en général. Il ne suffit donc pas de dire : « Je connais mon fournisseur et tant qu'il peut fournir un excellent service, c'est suffisant. » Les fournisseurs respectent-ils le code de conduite que vous avez accepté ? Et ce code est-il ensuite transmis à leurs quatrième, cinquième et sixième parties, qui font-elles preuve de la même diligence raisonnable ? Parce que dans le passé, je peux honnêtement dire : « Écoutez, je ne connais que mes tiers. Je ne sais pas ce qu'ils font avec les quatrièmes, donc je ne suis pas concerné et je ne suis pas responsable. » Aujourd'hui, la responsabilité incombe à ces n-ième parties. Je pense donc que nous sommes très stricts. Nous faisons à nouveau preuve d'une diligence raisonnable supplémentaire. Nous comprenons le risque que cela peut représenter en fonction de l'endroit où nous fournissons ce service, puis nous le comprenons, car je vais vous dire que lorsque la Covid a frappé et que nous avons dû envoyer des enquêtes, nous n'avions aucune idée de l'endroit où se trouvait le risque de concentration, car c'était la première fois que cela touchait tous les pays et toutes les régions.centrée sur New York comme le 11 septembre, ni sur un ouragan qui a frappé les Philippines, les États-Unis ou un autre endroit. Elle nous a tous touchés, et je pense que cela a accéléré le processus. Nous sommes désormais de plus en plus responsables vis-à-vis des parties qui nous fournissent des services.

Brenda: C'est très bien dit, et Tracy, la seule chose qui me vient à l'esprit et qui pourrait s'appliquer un peu d'un point de vue juridique, c'est ce que j'entendais quand je faisais des évaluations à l'époque : ils disaient « nous ne sommes pas responsables des fournisseurs qui font leurs propres évaluations », alors comment aborder cette question ?

Tracy: C'est une très bonne question, Brenda, car, vous savez, Alpa se concentre sur les contrats, qui constituent vraiment le moyen de protection. Si vous ne disposez pas d'une gestion des contrats vraiment solide et que vous examinez ces dispositions standard que vous avez souvent tendance à négliger. C'est là que vous trouverez soit une protection, soit une exposition à la responsabilité. Alors, que faire ? Non seulement vous examinez les clauses d'indemnisation, mais vous examinez également la solidité de vos fournisseurs tiers, vos fournisseurs INT, car vous savez que lorsqu'il s'agit d'un procès, ils recherchent simplement celui qui a les poches les plus profondes. Vous serez donc emporté. Hum, les clauses d'indemnisation, euh, sachant que vous faites preuve de diligence raisonnable. Hum, je sais qu'à l'heure actuelle, l'ESG n'a pas fait surface, mais je peux vous dire que la FTC a cherché à tenir un acheteur d'un fournisseur tiers responsable de son non-respect des déclarations de confidentialité que cet acheteur avait adoptées. Et, euh, vous savez, ces fournisseurs tiers s'appuient sur l'intelligence artificielle, qui comporte toute une série d'autres risques inhérents. Ils ne vont pas se tourner vers le fournisseur de l'acheteur pour déterminer si celui-ci a fait preuve de la diligence requise, s'il a surveillé et évalué en permanence cet outil pour voir s'il porte atteinte ou non aux droits et aux privilèges des utilisateurs finaux. Cela signifie donc, comme l'a dit Alpa, que la diligence raisonnable est d'une importance cruciale pour savoir qui ils sont, ce qu'ils font et s'ils respectent ou non votre propre code d'éthique. Tous ces éléments sont d'une importance cruciale dans ce type d'environnement. D'autres lois vont voir le jour, croyez-moi. Mais d'ici là, il y a toujours une exposition. Il y a toujours un risque de responsabilité. Et ce qu'il faut faire, c'est revenir à l'essentiel.

Brenda: L'une de nos phrases marketing préférées est « revenir à l'essentiel ».

Tracy: Oui. C'est la vérité.

Brenda: Donc, en parlant de l'augmentation du nombre de fournisseurs au niveau n. Euh, et avec cette augmentation, on assiste à une augmentation de l'IA dans le domaine des ressources humaines. Donc, en plus de la multitude d'autres domaines dont vous parliez, quelle est la situation actuelle de la législation aux États-Unis et quels sont les risques juridiques et les stratégies d'atténuation des risques que les entreprises concernées pourraient imposer ou commencer à utiliser ?

Tracy: Bon, voilà pour ça. Commençons par le contexte. Contrairement à l'ESG aux États-Unis, il n'y a pas vraiment de garde-fous. Je veux dire, vous vous référez aux politiques et dispositions en matière de confidentialité des données, que ce soit au niveau de l'État ou au niveau d'un secteur spécifique. Vous examinez les réglementations cybernétiques que de nombreux États ont désormais adoptées, ainsi que celles adoptées par les agences réglementaires fédérales et étatiques. Vous vérifiez si ces réglementations sont respectées. Comment les données sont-elles stockées ? Comment sont-elles utilisées ? Mais vous savez, même là, avec la façon dont ces données sont utilisées, il y a un risque énorme d'exposition, simplement en raison de l'efficacité du logiciel d'IA utilisé. Donc, par exemple, étude après étude, il est largement reconnu qu'il existe un risque élevé de résultats biaisés et d'intelligence artificielle, en particulier lorsque vous effectuez des évaluations de risques ou que vous utilisez des analyses prédictives et prenez des décisions automatisées dans ce domaine. C'est presque comme un trio gagnant pour un bon recours collectif, car s'il peut être établi que le logiciel présente effectivement des biais et des résultats biaisés, et que vous savez qu'il prend des décisions critiques concernant l'octroi de prêts à l'utilisateur final, un consommateur, c'est là que réside le risque, et ce consommateur se voit refuser ou privé d'un avantage économique ou d'une opportunité. C'est le recours collectif classique pour pratiques trompeuses. Et peu importe que vous sachiez que l'acheteur de ce logiciel, l'utilisateur de l'IA, ne soit pas familier avec l'application ou son fonctionnement ou la manière dont les données ont été saisies. Ils seront tenus responsables de l'utilisation de ce service. Alors, que peut-on faire ? Il existe aujourd'hui toutes sortes de technologies qui permettent de tester cet algorithme. Il existe toute une série de normes qui exigent la transparence sur le fonctionnement de ce système. Les tests sont d'une importance cruciale dans ce domaine. Est-il testé régulièrement pour détecter d'éventuelles disparités dans les résultats ? Est-il surveillé pour vérifier le type de données qui le composent ? Vous savez, le principe « garbage in, garbage out » (si vous entrez des données erronées, vous obtiendrez des résultats erronés). Et si vous ne prenez pas de mesures de précaution pour bien voir comment ces données sont alimentées ? Qui les alimente ? Comment sont-elles testées ? Tout cela revient à la diligence raisonnable. Et donc, si vous ne prenez pas ces mesures proactives et que vous utilisez aveuglément l'IA , vous êtes en danger. Vous êtes exposé.

Brenda: Oui, je suis d'accord. Qu'en penses-tu, Alpa ?

Alba: Non, je veux dire, écoutez, je suis d'accord avec Tracy. Écoutez, l'IA fait des progrès significatifs, n'est-ce pas ? Et surtout dans de nombreux domaines différents, que ce soit dans les ressources humaines ou dans la gestion de la chaîne d'approvisionnement. Mais comme vous l'avez dit, l'essentiel est vraiment de comprendre les données et les algorithmes, n'est-ce pas ? Parce que si vous ne le faites pas correctement, cela aura un impact significatif d'un point de vue juridique, en termes de réputation, et ensuite sur le fonctionnement. L'une des choses pour lesquelles nous utilisons l'IA, comme la plupart des entreprises, c'est pour traiter un volume important de données, mais nous continuons à faire appel à l'intervention humaine pour les examiner et les analyser correctement, afin d'avoir un deuxième regard qui comprenne vraiment ce que nous avons programmé et s'assure que les algorithmes et les règles mis en place fonctionnent efficacement. Je pense également que nous les utilisons beaucoup dans le domaine des ressources humaines, où, par le passé, nous avons oublié d'informer les candidats d'un problème important d'un point de vue juridique, Tracy, et que toutes ces personnes venaient nous dire qu'elles n'avaientpas été informé de l'utilisation de l'IA et j'ai été sélectionné une fois que l'IA a été utilisée à partir de la vidéo de l'entretien, avez-vous obtenu le consentement du candidat et, plus important encore, même après que le candidat ait été sélectionné, avez-vous détruit ces données une fois le processus terminé ? Souvent, dans ce secteur, on se dit : « Bon, on a les données, on ne les a pas détruites ou onpas de preuve de la destruction, hum, et combien de jours cela représente-t-il, 30 jours, 60 jours ? Je pense donc que vous savez, écoutez, c'est un domaine formidable, hum, je pense, comme je l'ai dit, queva transformer la technologie, mais nous devons être extrêmement prudents, comme le dit Tracy, car si nous n'utilisons pas ces informations avec précision, cela pourrait avoir un impact significatif sur l'organisation et le secteur. Donc, même si ces technologies sont formidables, soyons très attentifs à la manière dont nous les utilisons, assurons-nous de bien comprendre les données, les algorithmes et le processus. Et cela ne peut pas être entièrement automatisé, n'est-ce pas ? Il faut toujours que des personnes analysent ces informations et fournissent aux gens suffisamment, comme je l'ai dit, d'informations et de notifications pour qu'ils sachent quel type de données ils utilisent.

Brenda: Oui. Si l'on revient aux principes fondamentaux en matière de risques liés aux tiers, il existe parfois des plateformes qui permettent de configurer, d'ajouter des balises, d'effectuer des ajustements et d'envoyer des évaluations de pertinence, mais il faut tout de même faire appel à une personne pour s'assurer que l'on applique les bonnes règles éthiques et que l'on ne prend pas de décisions uniquement sur la base des réponses reçues ou d'une analyse continue des menaces qui indique : « Oh, ce fournisseur particulier va présenter un risque, car il est confronté à toutes ces situations dans la réalité. » D'un point de vue éthique, vous devez pratiquement dire : « Nous sommes là pour vous aider à sécuriser votre espace de sécurité. Nous savons que ce problème existe. Comment pouvons-nous le résoudre avec vous ? »

Alba: Vous avez dit qu'il s'agissait également de relier les points, n'est-ce pas ? Car pris isolément, cet événement pourrait déclencher quelque chose, mais si vous considérez globalement la relation de l'entreprise avec ce rendu, cela pourrait ne pas être juste, donc je pense quec'est aussi comme vous l'avez dit : comment analysez-vous ces informations ? Vous prenez un instantané et vous pensez que c'est un énorme problème, ou bien ce pourrait être l'inverse, ce n'est peut-être pas le cas, et vous devez intervenir avec un regard humain en disant que c'est notre gagne-pain, notre activité principale, et que cela pourrait nous mettre en danger de manière significative. Je pense donc qu'il faut être capable d'avoir cela, donc je suis d'accord avec vous, Brenda.

Tracy: Je voudrais juste ajouter une autre chose qui est extrêmement importante. Cela rejoint ce qu'Alpa a dit, à savoir qu'il est essentiel de fournir des notifications. Ces notifications doivent être rédigées dans un anglais simple. D'accord ? Si elles sont incompréhensibles, elles ne vous offriront pas la protection que vous recherchez. Nous avons déjà abordé ce sujet auparavant dans le cadre du crédit à la consommation et des obligations d'information qui s'y rapportent. Nous avons déjà examiné des lois en vigueur depuis un certain temps qui stipulent que ces notifications destinées aux consommateurs doivent généralement être rédigées dans un anglais simple.

Brenda: Je suis d'accord. Cela dit, nous avons dû faire face à certaines situations, notamment celle du télétravail. Comment l'éthique, la diversité et la conformité ou l'ESG, ou encore quelles techniques avons-nous dû prendre en compte en fonction de ce changement dans le vecteur de risque ? Hum, donc pour le télétravail, qu'est-ce qu'Alba aurait à dire sur ce que nous pourrions améliorer ou même faire pour la première fois ?

Alba: En ce qui concerne cela, je veux dire que nous avons tous dû nous adapter très rapidement en raison du confinement, tout le monde devait travailler à domicile, peu importe que vous soyez trader ou analyste, donc je pense que l'une des choses importantes est de savoir s'adapter rapidement et de disposer de l'infrastructure adéquate pour y parvenir. Je pense que le deuxième élément était simplement une question d'offre et de demande. Je vais vous donner quelques exemples : au début du confinement, nous n'avions tout simplement pas assez d'ordinateurs portables, et nous avons littéralement expédié des ordinateurs de bureau à différents endroits pour que les gens puissent travailler à domicile. Mais une fois que nous avons eu le matériel, je pense qu'il s'agit de pouvoir surveiller les logiciels et les personnes qui les utilisent, et vous savez, c'estest très difficile. L'une des choses que j'ai remarquées, c'est que nous avons désormais beaucoup plus investi dans certains de ces fournisseurs qui surveillent notre adresse IP, car ils surveillent en fait votre accès quotidien. Hum, touchez-vous à des données sensibles et avons-nous les bons protocoles ou des mesures de sécurité supplémentaires, pas seulement le jeton RCSA, mais l'APA devrait-elle vraiment examiner les données de tous les règlements commerciaux qui ont lieu aujourd'hui, étant donné qu'elle est en fait dans la gouvernance d'une tierce partie, n'est-ce pas ? Eh bien, comme Ala travaillait dans ce secteur, elle avait cet accès, mais maintenant, elle est sous la gouvernance d'un tiers. Je pense donc qu'il faut vraiment réévaluer la situation à partir de zéro en examinant chacun de vos employés individuellement, en examinant leurs accès et ce qu'ils utilisent réellement. Je pense donc que cela revient à revenir à l'essentiel, comme nous en avons parlé. La deuxième chose que nous avons apprise, c'est que beaucoup de gens utilisent leur ordinateur portable personnel. Ont-ils mis à jour leurs logiciels antivirus ? Les organisations s'exposent désormais à davantage de risques lorsque leurs employés utilisent leur ordinateur portable personnel et n'ont pas acheté de logiciel antivirus ou anti-malware. Je pense donc que nous devons être très prudents dans notre façon de fonctionner. Je pense donc que l'une des mesures que nous prenons est d'interdire l'utilisation des ordinateurs portables personnels. Tout le monde doit utiliser un appareil de l'entreprise. Je pense que la surveillance supplémentaire est désormais en place, n'est-ce pas ? Nous ne surveillons donc plus seulement votre accès VPN, mais tous les logiciels. Avant, lorsque vous étiez au bureau, il était très difficile pour les gens de prendre des données et de les partager. Maintenant que vous êtes chez vous, les gens sont un peu réticents. Il est très facile pour quelqu'un de prendre ces informations par téléphone et d'en parler à d'autres. Ils peuvent prendre une photo avec leur iPhone et la partager. Comment pouvons-nous donc nous assurer que les données que nous présentons sont protégées par des filtres supplémentaires afin que, lorsque vous essayez de prendre des photos, vous ne puissiez pas récupérer ces informations ? En tant qu'organisation, nous avons dû nous adapter très rapidement afin de protéger les données dont nous disposons et de limiter les risques qui y sont associés. En sommes-nous là à 100 % ? Non, nous n'y sommes pas encore. Mais le fait est que nous apprenons tous très vite. Comme je le dis souvent, c'est comme boire à un tuyau d'incendie. Mais nous essayons d'utiliser au maximum les moyens à notre disposition. Quelles sont les technologies que nous pouvons utiliser pour prévenir les risques qui pourraient avoir un impact sur notre organisation ?

Brenda: Et toi, Tracy, d'un point de vue juridique ?

Tracy: Bon, je vais revenir à l'essentiel.

Brenda: Oui,

Tracy: revenons à l'essentiel. Euh, vous savez, envoyez des rappels sur ce que sont les bonnes pratiques en matière de protocole et de gouvernance de l'information. Euh, organisez également des formations descendantes. Je sais que dans mon organisation, nous avons tous une formation obligatoire qui doit être suivie avant une date déterminée, en reconnaissant qu'il existe des tiers qui ont des protocoles sur l'échange d'informations via des appareils personnels. Il faut savoir ce que ces protocoles impliquent. Lorsque nous travaillons avec des institutions financières, elles ne veulent même pas que nous leur envoyions des données à partir de nos appareils personnels. En tant qu'avocats, nous traitons évidemment des informations confidentielles. Il faut donc être attentif aux personnes présentes lorsque vous utilisez et accédez à ces informations. Assurez-vous que les données qui sont imprimées sont conservées de manière sécurisée et détruites lorsqu'elles ne sont plus nécessaires. Nous recommandons donc de revenir aux principes de base, mais il est encourageant d'apprendre que des évaluations sont en cours. Vous savez, nous sommes dans un environnement différent. Il faut donc faire un nouveau tour d'horizon pour voir exactement où en sont les choses sur le plan organisationnel.

Alba: Et comme vous l'avez dit, la formation est essentielle, n'est-ce pas ? Parce qu'aujourd'hui, les pirates informatiques ont davantage d'opportunités, n'est-ce pas ? Même les e-mails de phishing, n'est-ce pas ? Vous avez une commande de colis, vous ouvrez l'e-mail et ils obtiennent votre adresse IP. Il est donc important de pouvoir former les employés différemment en fonction de l'environnement actuel, car tout le monde travaille à domicile. Comment s'assurer qu'ils sont en sécurité et comment les former ? Je pense donc que, comme vous l'avez dit Tracy, la formation est essentielle et qu'il faut la modifier, n'est-ce pas ? On ne peut pas simplement réinstaurer celle qui existait il y a quelques années. Il faut modifier ces processus en expliquant aux gens les différentes façons dont ils peuvent attaquer vos systèmes centraux ou même, comme vous l'avez dit, les logiciels.

Tracy: Et permettez-moi de dire que nous sommes actuellement dans une situation extraordinaire, et cela sera pris en compte, mais si, par exemple, votre problème est porté à l'attention d'une organisation et qu'il reste sans réponse pendant une longue période, c'est à ce moment-là que la responsabilité et l'exposition sont évaluées, car c'est à travers la connaissance et l'action que la culpabilité et la responsabilité sont souvent évaluées.

Brenda: Nous avons probablement le temps pour une dernière question, mais j'en ai deux. Je vais donc les regrouper, car je souhaite donner au panel l'occasion de répondre aux questions du public. Je vais d'abord m'adresser à Tracy. Quel rôle spécifique les conseils d'administration jouent-ils dans les stratégies d'atténuation des risques et quelles réclamations peuvent être formulées à l'encontre de ces conseils d'administration ?

Tracy: Donc, euh... Le conseil d'administration et sa structure sont essentiels à toute notre conversation, car c'est là que se trouve le pouvoir décisionnaire. Euh... Ils sont l'instance ultime qui est tenue responsable des actes d'une société. J'ai dit qu'une société est en réalité une personne fictive. Alors, qui est responsable de cette fiction ? C'est le conseil d'administration. Tout repose sur eux. Il leur incombe d'avoir les connaissances, l'expertise, la loyauté sans faille qui font partie intégrante de leurs obligations fiduciaires envers l'entité elle-même ainsi qu'envers les actionnaires. L'exercice de ces obligations va dicter exactement quelle approche et quelle mission l'entreprise va adopter. Je veux dire, il y avous savez, avec l'ESG et ce qu'on appelle les facteurs non économiques, il y a tout un débat en cours pour savoir si le fait d'être axé sur le profit est compatible avec la mission de l'entreprise, voire d'adopter certains de ces facteurs. Eh bien, vous savez, avec une société cotée en bourse, vous êtes presque obligé de faire une analyse pour voir exactement comment le résultat net est influencé par la diversité et l'inclusion, par exemple. Alors, vous savez, pourquoi est-ce essentiel ? Parce que c'est le conseil d'administration qui doit s'assurer que la direction a conçu et développé une stratégie globale et que, lorsque cette stratégie a été adoptée, il existe des politiques et des procédures pour la mettre en œuvre afin de veiller à ce que les responsables, c'est-à-dire les membres de la direction, soient tenus de rendre des comptes. Quelle est donc la motivation, car si les membres du conseil d'administration ne remplissent pas individuellement ces devoirs, ces obligations fiduciaires d'être bien informés, d'être loyaux, de superviser ce que fait la direction. S'ils manquent à leurs obligations de quelque manière que ce soit, ils peuvent être poursuivis pour manquement à leurs obligations fiduciaires. Cela semble effrayant, car c'est effrayant. Quand je dis qu'ils peuvent être poursuivis, je veux dire qu'ils sont personnellement responsables, que leurs biens personnels sont en jeu. Il existe toutefois des facteurs atténuants. Vous savez, on parle de la règle du jugement commercial, qui dit que si vous faites preuve d'une diligence raisonnable pour remplir ces obligations fiduciaires, alors même si vous commettez une erreur et que la décision s'avère mauvaise, le tribunal ne vous tiendra pas pour responsable, car vous avez agi dans le meilleur intérêt de la société. Cependant, euh, vous savez, c'est toujours une zone grise, vous savez, avez-vous agi avec, vous savez, une loyauté sans faille envers la société ? Avez-vous posé les bonnes questions ? Avez-vous fait preuve d'une diligence raisonnable suffisante ? Vous êtes-vous assuré d'embaucher et de conserver le bon directeur ? Le conseil d'administration disposait-il de l'expertise nécessaire pour prendre des décisions éclairées ? Il est donc essentiel que le conseil d'administration évalue non seulement l'organisation, mais aussi lui-même, afin de s'assurer qu'il dispose des moyens nécessaires pour remplir ces obligations fiduciaires. La couverture DNO existe, bien sûr, elle offre une certaine protection, mais elle comporte également des exclusions. C'est pourquoi je dis qu'il est important que le conseil d'administration s'implique, car c'est lui qui sera finalement tenu responsable. Il y a certaines décisions quotidiennes dans lesquelles le conseil d'administration n'a pas besoin de s'impliquer, car il n'est pas responsable des activités quotidiennes. Mais je peux vous dire qu'en matière d'ESG, de cybersécurité et de confidentialité des données, ces questions sont tellement importantes qu'ils envisagent désormais de nommer des directeurs du développement durable et de s'assurer qu'ils reçoivent des rapports périodiques sur ces facteurs et sur la position de l'entreprise par rapport à ces critères.

Brenda: Je te rends la pareille.

Alba: Oui. Non, écoutez, je suis tout à fait d'accord avec Tracy, n'est-ce pas ? Je pense que l'une des choses que je constate, c'est qu'il y a désormais beaucoup plus de postes au sein des comités d'éthique, n'est-ce pas ? Euh, qui étaient déjà là. Je pense que cela attire davantage de RSSI, car comme vous l'avez dit, le conseil d'administration est désormais responsable et doit s'assurer qu'il dispose des talents adéquats ou des personnes capables d'évaluer certains risques liés à la cybersécurité, à l'exploitation ou à la conformité. Je pense donc que la composition du conseil d'administration est en train de changer, car comme vous l'avez dit, ils sont responsables et ils disent : « Attendez une minute, j'ai besoin de quelqu'un qui comprenne vraiment, euh, vous savez, l'éthique, l'aspect cybernétique, le risque environnemental, et qui puisse nous guider pour s'assurer que l'entreprise suit ces processus. » Je pense donc que, comme vous l'avez dit, vous verrez de plus en plus d'opportunités au sein des conseils d'administration pour tous les risques et les tiers, et en particulier pour l'éthique et la diversité, car ils vont être tenus responsables.

Brenda: Super. Je vois qu'Amanda s'est connectée, car c'est l'heure des questions-réponses, mais avant qu'elle ne commence, je voudrais profiter de l'occasion pour vous remercier toutes les deux pour vos précieuses connaissances. Ce fut un plaisir et un honneur, et j'ai hâte de découvrir les questions qui nous ont été posées. À toi, Amanda.

Amanda: Merci. Merci beaucoup à vous deux. C'était incroyable. Nous avons une question à vous poser avant de passer aux questions-réponses. Je vais la poser à tout le monde afin que vous puissiez y répondre si possible. Elle est la suivante : envisagez-vous d'augmenter ou de mettre en place un programme de gestion des risques tiers en 2021 ? Vous avez entendu ici même l'importance cruciale d'une surveillance continue de vos fournisseurs. Nous y pensons donc également lorsque nous posons ce genre de question. Je vais donc laisser le sondage en ligne pendant un petit moment. La première question que j'ai reçue date du début de la session. Cela peut donc donner l'impression qu'elle s'adresse à vous depuis le début, mais elle a été posée par Dorothy Rodriguez. Dorothy, si vous écoutez et que vous souhaitez que je pose la question différemment, n'hésitez pas à intervenir. Elle a dit : « Il y a dix ans, je travaillais dans la gestion des risques tiers pour une entreprise manufacturière où ces questions étaient notre principale préoccupation. Cependant, toute la fabrication était réalisée à l'étranger. S'agit-il de discuter de ce qui est exigé des fournisseurs aux États-Unis actuellement ou s'agit-il également de s'étendre aux nouvelles industries de services ? Je ne sais pas si quelqu'un peut comprendre ce qu'elle demande, mais je suppose que le secteur manufacturier a peut-être une longueur d'avance, car si l'on considère chaque secteur, par exemple le secteur de la santé par rapport au secteur financier ou au secteur automobile, nous avons tous des trajectoires et des impacts très différents. Le secteur manufacturier pourrait donc avoir... Je veux dire, encore une fois, je n'ai pas la réponse à la question, mais, mais regardez, cela change le parcours et nous le voyons plus que jamais. Donc, je pense que cela dépend du secteur, mais en fin de compte, nous sommes tous responsables, car peu importe le secteur, vous devez comprendre quelle activité vous exercez, où vous vous trouvez et si vous vous sentez à l'aise avec l'éthique, la conformité et la diversité de la façon dont ils gèrent cette activité. C'est ainsi que je répondrais à la question qui a été posée.

Amanda: Eh bien, j'espère que cela a aidé Dorothy.

Tracy: Allez-y, j'aimerais juste ajouter à ce qu'a dit Alpa que vous devriez vous tourner vers votre secteur d'activité. C'est ça qui sert de guide. Je n'ai peut-être pas pu le mentionner pendant notre conversation, mais ces normes sectorielles seront intégrées au procès. Ne pensez donc pas que c'est juste volontaire. C'est une parenthèse. Je peux le faire si je le souhaite. Vous savez, lorsqu'il n'y a pas de loi et que le tribunal cherche à déterminer si vous avez, d'une manière ou d'une autre, créé une situation risquée pour le défendeur, de telle sorte que cela lui a causé un préjudice, il va se référer aux normes de l'industrie. Donc, vous savez, même si nous ne pouvons pas dire ici et maintenant avec certitude si les fabricants sont touchés par, vous savez, l'ESG et la diversité, regardez vos concurrents, regardez les normes de l'industrie, allez voir vos associations professionnelles et elles auront toutes une position à ce sujet, vous savez, sous une forme ou une autre. Et si cela ne relève pas de l'ESG, recherchez la discrimination, recherchez la diversité. Ces mots clés sont essentiels dans le cadre de l'ESG lorsque nous abordons ce sujet.

Alba: Comme l'a dit Tracy, même les régulateurs, n'est-ce pas ? Parce que, comme vous l'avez dit, les régulateurs vont également dire à vos pairs du secteur qu'ils font X, êtes-vous aligné ou vous conformez-vous à quelque chose de similaire, donc ce n'est pas comme si...

Alba: Je pense que cela va plus loin que ce qu'a dit Tracy. Il s'agit en fait d'observer vos pairs dans votre secteur, d'examiner ce que font certains consortiums, mais les régulateurs vont également venir vers vous en observant les meilleures pratiques au sein de ce secteur, puis en s'assurant que vous vous associez ou que vous vous alignez sur ces meilleures pratiques globales.

Tracy: permettez-moi d'ajouter une chose, et je ne veux pas prendre le temps d'autres questions, mais...

Tracy: si vous êtes réglementé par la FTC. Si vous êtes réglementé par une agence locale, inscrivez-vous à leur liste de diffusion. Ils publient des informations tous les jours, d'accord ? Sur les directives, leurs réflexions, les remarques issues de différentes présentations. Inscrivez-vous à la liste de diffusion.

Amanda: C'est une bonne idée. Je suis d'accord. La question suivante est : comment identifier ou être informé des changements environnementaux concernant les fournisseurs tiers afin de permettre une surveillance continue ?

Alba: Écoutez, il existe de nombreux services. Il y a les fiches d'évaluation de la sécurité, les informations sur l'approvisionnement, etc. Il y en a beaucoup, et je pense que le choix dépend de vos risques et de vos critères. En tant qu'organisation, vous devez également surveiller ces informations, dont beaucoup sont disponibles sur les réseaux sociaux et Google, mais vous devez être très prudent, car certaines de ces informations peuvent ne pas être exactes, vous pouvez trouver des valeurs aberrantes ou des informations falsifiées, et vous ne voulez pas prendre de décision sans avoir fait preuve de la diligence requise et sans avoir bien compris la situation. Je recommande donc vivement, en particulier s'il s'agit de fournisseurs essentiels, de rester en contact avec eux tous les mois, toutes les deux semaines, ou à la fréquence que vous souhaitez, car les personnes qui connaissent leur activité sont celles qui la pratiquent au quotidien. Si vous adoptez une approche proactive en restant constamment en contact avec ces fournisseurs et en comprenant leur portefeuille, leur appétit pour le risque et ce qu'ils font dans ce domaine, je pense que c'est une façon de les surveiller en continu, car vous vous sentez assez à l'aise avec ces fournisseurs et leur mode de fonctionnement. Je pense que c'est une façon d'assurer une surveillance continue, car vous vous sentez assez à l'aise avec ces fournisseurs et leur mode de fonctionnement. C'est donc un exemple que je donnerais, mais comme je l'ai dit, il existe de nombreux fournisseurs auxquels vous pouvez faire appel et qui vous facturent des services de surveillance continue.

Amanda: La prévalence, l'une d'entre elles.

Alba: Oui.

Amanda: La prévalence, pour commencer. Voilà.

Brenda: Publicité éhontée. Sans vergogne.

Alba: pluginial creditwise examinez la question.

Brenda: Bien mérité.

Tracy: mérité. Tracy, avez-vous quelque chose à ajouter à cette question ? Euh, non. Je rejoins ce qu'Alpa a dit à ce sujet. Il s'agit vraiment d'établir des relations de confiance. Je veux dire, vous entendrez ce mot beaucoup plus souvent qu'auparavant. Et cela s'explique en partie par le fait que nous essayons tous, je suppose, de tirer parti des avantages et d'utiliser les ressources que la technologie a à offrir. Et pour monétiser la pléthore de données disponibles, vous devez simplement établir une relation de confiance avec les parties avec lesquelles vous faites affaire.

Brenda: Oui, je suis d'accord.

Amanda: J'ai une autre question qui, je pense, est suffisamment vaste pour occuper le reste de notre temps ici, mais je voudrais vous demander à tous les deux de regarder dans votre boule de cristal pendant un instant et de nous dire comment vous voyez évoluer le rôle de l'éthique, de la conformité et de la diversité dans les risques liés aux tiers d'ici la fin de l'année ou au-delà.

Alba: J'ai dit Tracy, tu veux y aller en premier ou

Tracy: Oui, je vais commencer. Je pense que nous allons assister à une convergence autour des normes, des objectifs et des indicateurs. Je ne pense pas que ce soit une analyse compliquée. Je pense que c'est juste nouveau. Et c'est une perspective différente à travers laquelle nous allons tous être amenés à faire des affaires, et le marché traverse, euh, vous savez, des difficultés de croissance. Je pense donc que nous allons assister à une convergence des normes. Je pense que nous allons assister à un renforcement de la réglementation, en particulier dans le domaine climatique. J'espère que nous verrons davantage de diversité dans ce domaine. Je pense que cela ne peut qu'arriver, car le business case est désormais largement accepté, à savoir que la diversité accrue entraîne une rentabilité accrue. Je pense donc que nous allons simplement assister à une approche plus standardisée dans ce domaine.

Alba: Et je pense que, comme vous l'avez dit, les réglementations vont devenir plus strictes, mais je pense que les organisations vont être très sélectives dans le choix de leurs partenaires commerciaux, et si vous ne répondez pas à ces critères en matière d'éthique, de diversité et de conformité, je pense que vous savez que vous ne resterez pas longtemps dans la course, n'est-ce pas ? Vous savez que vousvous allez être dépassé ou devenir un dinosaure, c'est un fait, donc je pense que la plupart des organisations devront intégrer cela , c'est la bonne chose à faire pour notre société, et surtout, comme vous l'avez dit, vous savez que cela va beaucoup concerner le climat et l'environnement, mais je pense que cela va être encore plus axé sur la pauvreté et les droits de l'homme, à cause des lois du travail et de l'impact de la traite des êtres humains, vous verrez beaucoup de cet impact et, comme vous l'avez dit, les tremblements de terre, les vagues de chaleur, l'eau, qui, nous le savons, va devenir une denrée précieuse. Vous verrez donc beaucoup plus de choses arriver et je pense que les gens vont être beaucoup plus responsables, mais ils ne pourront pas blâmer les organisations ou se cacher derrière, vous savez, leur gestion de la chaîne d'approvisionnement ou d'autres processus, n'est-ce pas ? Il ne s'agira pas seulement du résultat net, mais aussi de la manière dont vous contribuez à la société dans son ensemble.

Tracy: Et j'aimerais juste ajouter qu'avec les données disponibles, la responsabilité est tellement à portée de main qu'il n'y a pas d'échappatoire possible. Vous ne pouvez pas simplement verdir ou blanchir une situation. Vous devez joindre le geste à la parole.

Amanda: Oui. Les temps changent, c'est certain, et vous devrez vous y adapter. Je suis d'accord. Eh bien, merci beaucoup à tous. C'est tout le temps dont nous disposons pour aujourd'hui. Nous sommes pile à l'heure. Je me trompe à chaque fois. Euh, mais Tracy,

Brenda: merci Brenda. Merci à ceux qui m'ont donné l'occasion de participer à cette formidable table ronde. Tracy, c'était fabuleux. Merci beaucoup et je vous souhaite à tous de rester en bonne santé.

Amanda: Oui, nous avons déjà reçu des commentaires élogieux et les gens demandent l'enregistrement. Je vous rappelle donc à tous qu'il a été enregistré. Vous le recevrez demain dans votre boîte mail. Merci encore à tous d'avoir participé et à la prochaine fois.

Brenda: Au revoir.

Tracy: Au revoir.

Amanda: Au revoir.