Comment développer votre programme de gestion des risques liés aux tiers en période de difficultés économiques ?

Melissa : Bonjour et bienvenue. Joyeux mercredi. C'est formidable de voir que tout le monde commence à se joindre à nous. Je vais vous laisser une minute, le temps que les gens s'installent et se connectent. Pendant ce temps, je vais lancer notre premier sondage. Si vous avez déjà participé à l'un de nos webinaires, il vous semblera peut-être familier, mais nous sommes toujours curieux de savoir ce qui vous amène à participer au webinaire d'aujourd'hui. S'agit-il d'une question d'éducation ? Vous en êtes aux premières étapes de votre programme TPRM ? Vous êtes peut-être un client actuel ? N'hésitez pas à me le faire savoir. Commençons par nous présenter. Je m'appelle Melissa. Je travaille ici dans le domaine du développement commercial. Et si vous avez assisté à l'un des quatre derniers webinaires, vous m'avez probablement vue ici. Mais aujourd'hui, nous sommes rejoints par notre propre CMO, Mike Yaffy. Bonjour, Mike.

Mike Yaffy : Bonjour.

Melissa : Et enfin, notre PDG et fondateur de Cyber Marathon Solutions, Bob Wilkinson. Bonjour à tous.

Bob Wilkinson : Bonjour à tous.

Melissa : Aujourd'hui, Bob va nous guider à travers le sujet d'aujourd'hui, comment faire évoluer votre programme de gestion du risque de tierce partie dans différentes périodes économiques. Comme vous pouvez le voir, ce webinaire est enregistré. Vous recevrez donc l'enregistrement et le diaporama dans votre boîte de réception plus tard dans la journée ou demain, en fonction de votre fuseau horaire. Enfin, vous êtes tous en sourdine. Donc, si vous devez dire quelque chose de pressant, utilisez le chat, mais s'il s'agit d'une question-réponse, posez-la dans la boîte de questions-réponses pour que nous puissions l'attaquer quand nous en aurons besoin. Et sans plus attendre, je vais laisser Bob s'y mettre. Allez-y.

Bob Wilkinson : Donc, le format que nous allons utiliser aujourd'hui est euh, en fait Mike va m'interviewer et je vais parler de l'impact de euh économique euh des temps difficiles récession euh peut avoir sur un programme de gestion des risques des tiers et comment il est important de se concentrer sur euh certains sujets très spécifiques euh à la lumière de cela. Alors, sans plus attendre,

Mike Yaffy : C'est une bonne photo, Bob. Elle est bien éclairée. Je le taquine déjà à propos de l'éclairage parce que juste avant que nous ayons le téléphone, j'ai dit à tout le monde : "Bob, tu es trop sombre. Tout le monde veut voir ton visage brillant." Il a donc déplacé une lumière juste avant l'appel. Je suis donc très satisfait de l'éclairage. Je pense que nous avons fait du bon travail. Si vous avez des questions, Bob fait ce travail depuis 20 ou 30 ans. Euh, il a, et il est humble, il ne va pas se présenter, mais je vais le faire. Il a mis en place de nombreux programmes de gestion des risques pour les tiers au sein de grandes marques que tout le monde reconnaît : les sociétés de cartes de crédit, les banques. Il fait cela depuis un certain temps. C'est l'un des plus grands experts dans ce domaine, alors quand il parle, la plupart des gens l'écoutent, n'est-ce pas ? Nous avons donc beaucoup de chance de l'avoir. Euh, deux choses. Si vous avez des questions, n'hésitez pas à utiliser la fonction de chat. J'essaierai d'y répondre en temps réel. Si ce n'est pas le cas, nous les reporterons à la fin. Deuxièmement, je vis à Boston. Je sais que j'ai un maillot des Dodgers là-bas. Les gens demandent. J'ai eu l'occasion de côtoyer Kirk Gibson lors de l'un des cinq home runs les plus célèbres. J'espère que vous savez de qui il s'agit. Mais sans plus attendre, entrons dans le vif du sujet, Bob. La première question que nous nous sommes posée est la suivante : que devez-vous faire ? Sur quoi devez-vous vous concentrer ? Vous savez, il y a des licenciements. Amazon vient de licencier 10 000 personnes. Twitter l'a fait. C'est clairement lié à des taux de récession plus élevés, à un rééquilibrage de l'économie, mais c'est la réalité dans laquelle nous vivons aujourd'hui. Donc, je suis sûr que les gens se demandent comment faire ? Comment faire passer un programme de RPT ? Comment l'adapter à l'année prochaine s'il y a des défis à relever ?

Bob Wilkinson : D'accord, Mike, merci. C'est vraiment la question brûlante du moment, en particulier avec le grand nombre de licenciements dans la technologie que nous voyons et les effets d'entraînement que cela a, jusqu'aux effets que cela a sur les startups et comment le financement pour beaucoup de startups se tarit et comment ce n'est plus un modèle d'entreprise acceptable d'avoir une hypercroissance si vous brûlez de l'argent. Il faut en fait faire preuve d'une certaine forme de rentabilité et pour les entreprises qui ont des bilans impeccables, oui, vous pouvez obtenir un financement. Mais le monde a changé. Il y a donc quelques points que j'aimerais aborder en ce qui concerne, vous savez, les choses sur lesquelles il faut se concentrer pendant une récession.

Mike Yaffy : Puis-je vous poser une question ? Vous venez de soulever un très bon point. Lorsque vous avez ces effets de ruissellement, par exemple un licenciement chez Amazon, d'accord, vous savez, Amazon ne va pas faire faillite, mais cela se répercute généralement vers le bas, n'est-ce pas ? Alors, que ce soit du côté de l'offre ou du côté du risque, peu importe ce dont vous voulez parler, cela n'introduit-il pas plus de risque en raison d'un ralentissement de l'économie ? C'est vrai ? Cela peut rendre une entreprise moins stable. Elle pourrait avoir plus de difficultés à remplir ses obligations. Elle pourrait ne plus être le même fournisseur si elle souffre également d'une baisse d'activité, d'une diminution du nombre d'employés, et qu'elle ne peut plus répondre aux besoins de l'entreprise en amont comme elle le faisait auparavant. C'est vrai ?

Bob Wilkinson : C'est exactement l'une des choses essentielles dont nous devons être conscients à mesure que nous avançons dans cet environnement. L'exemple que j'utiliserai est celui d'une société unicorne que je connais et avec laquelle je traite, avec laquelle j'ai discuté récemment, qui m'a dit que certains des plus petits fournisseurs de l'espace dans lequel elle opère l'appellent et lui disent : "Hé, voulez-vous nous acheter ?". Vous savez, le financement est en train de se tarir. Et lorsque vous vous retrouvez dans cette situation, l'une des choses essentielles sur lesquelles vous devez vous concentrer est la situation financière de ces tiers que vous considérez comme essentiels à vos opérations commerciales, car la situation financière peut se dégrader très rapidement dans cet environnement, et vous devez être vraiment sensible à ce fait. Vous devez vous tenir au courant. Vous devez surveiller les tendances financières qui se détériorent.

Mike Yaffy : Donc, à quelle fréquence devriez-vous évaluer le risque, parce qu'il y a le risque opérationnel, mais il y a aussi le risque financier du fournisseur, n'est-ce pas ? Nous aurons des personnes chargées des achats et de l'informatique, mais je me demande à quelle fréquence il faut évaluer la stabilité globale d'un fournisseur de niveau 1.

Bob Wilkinson : Eh bien, vous savez, la réponse courte est tous les jours. Mais, euh, vous savez, d'un point de vue pratique, le défi et et la migration que nous voyons dans la façon dont les choses fonctionnent euh au sein des entreprises. Nous devons nous concentrer sur le risque qui existe dans les entreprises, mais nous devons le faire d'une manière plus holistique. Nous devons nous concentrer non seulement sur les données financières, parce que les données financières sont un aspect de la question, mais nous devons aussi nous concentrer sur la conformité. Et la conformité est quelque chose qui peut changer très rapidement. Et quand je parle de conformité, je ne parle pas seulement de règles et de règlements tels que la lutte contre la corruption ou la lutte contre le blanchiment d'argent. Je me concentre également sur ce qui peut se passer dans une entreprise en termes de nouvelles négatives. Ainsi, les nouvelles négatives concernant l'un de vos fournisseurs ont un effet d'entraînement sur votre marque. Il faut donc s'en préoccuper. Mais dans un environnement où les pressions financières de l'économie pèsent sur les entreprises. Il s'agit également d'un environnement où l'attention des régulateurs est renforcée. Les régulateurs vous demanderont si vous faites les investissements nécessaires pour gérer et atténuer correctement les risques. Car dans ce contexte, les budgets sont réduits, mais pas les réglementations. Nous sommes à l'aube de la publication de nouvelles orientations réglementaires, tant aux États-Unis qu'au Canada et en Europe, et ces réglementations auront un impact financier, comme c'est toujours le cas.

Mike Yaffy : Alors Bob, en quelques mots, qui cela affecte-t-il, tout le monde, tout le monde, les tiers, est-ce que c'est financier, donnez-nous la version de ce qui va arriver.

Bob Wilkinson : D'abord, et cela nous ramène à la finance, parce que c'est le secteur le plus réglementé, et de ce point de vue, la finance va être particulièrement touchée. Mais ce qui se passe dans le secteur financier est vraiment le catalyseur de ce qui va se passer dans l'ensemble de l'industrie et dont il faut être conscient. Ainsi, en particulier dans le secteur financier, vous allez commencer à voir émerger une législation autour de l'ESG. Par exemple, l'un des projets de réglementation du CO porte sur l'impact du climat sur les institutions financières et aborde la question de l'impact sur les institutions qui accordent des prêts aujourd'hui. Prêtez-vous beaucoup d'argent pour des prêts hypothécaires à des endroits qui sont très...

Mike Yaffy : Pas autant qu'avant, n'est-ce pas ?

Bob Wilkinson : Oui. Oui. Mais euh et certainement pas au même rythme que du point de vue financier, mais le fait est que les entreprises euh les portefeuilles vont être impactés par le changement climatique, à la fois à court terme et à long terme. Par exemple, aux États-Unis, certains des impacts à long terme du climat sont les suivants : les banques qui prêtent dans des régions où le climat aura un impact plus important devront expliquer aux régulateurs comment elles traitent l'impact sur les communautés à faible revenu où le changement climatique a un impact plus important. Nous entrons donc dans des discussions sur les prêts équitables et d'autres sujets de ce genre. Les finances sont donc primordiales, mais il faut aussi regarder ce que l'administration Biden a fait avec la Chine et l'exportation de puces, c'est-à-dire la technologie des puces haut de gamme. Euh, en particulier du côté militaire où vous devez avoir une connaissance détaillée de votre chaîne d'approvisionnement et vous devez vous assurer que certaines entités dans certains pays ne sont nulle part dans votre chaîne d'approvisionnement jusqu'au fabricant de la plus petite puce et c'est euh euh le budget national du DoD euh je crois que c'est 997 où il y a des restrictions spécifiques sur ce que les entreprises peuvent faire avec certains fournisseurs.

Mike Yaffy : Je passe donc à la question suivante. Ce que j'entends, c'est qu'il faut réévaluer les risques et s'assurer que l'on vérifie tous les jours, surtout si la conjoncture économique a une incidence sur les fournisseurs ou les vendeurs. Alors, comment faire, quelle est la recommandation pour ceux qui nous écoutent ? Comment y parvenir avec des budgets et des effectifs en baisse, sans quoi vous n'aurez pas l'année prochaine les moyens d'étendre votre programme de fêtes,

Bob Wilkinson : C'est ça ? Donc, n'oubliez pas que vous devez le faire,

Mike Yaffy : Vous devez vous concentrer sur ce qui est le plus important pour vous et vous devez également prendre en considération.

Mike Yaffy : Oui.

Mike Yaffy : Pour ceux qui avancent la diapositive aussi, juste pour les gens.

Bob Wilkinson : Oui, bien sûr.

Mike Yaffy : Nous y voilà.

Bob Wilkinson : Ce qu'il faut faire, c'est s'assurer d'avoir la bonne combinaison de tiers, d'avoir suffisamment de redondance dans la chaîne d'approvisionnement et, lorsque vous surveillez des choses comme les finances, de ne pas attendre que les choses s'effondrent pour commencer à planifier si vous devez envisager une sortie. Si vous constatez une dégradation, vous n'attendez pas que les choses s'effondrent pour commencer à planifier une éventuelle sortie. Il faut y penser à l'avance. D'un point de vue économique, et c'est ce que je préconise depuis le début, chaque fois que votre entreprise vient vous voir pour faire appel à un nouveau fournisseur, la première question que vous devez vous poser est la suivante : avez-vous un fournisseur qui fait déjà cela pour vous ? Si c'est le cas, vous avez déjà fait preuve de diligence raisonnable. Vous avez un contrat en place. Il s'agit simplement d'étendre la relation et de la rendre plus efficace financièrement en utilisant un fournisseur que vous avez déjà et vous diminuez les risques parce que vous partagez moins d'informations, moins d'accès à votre réseau et à votre infrastructure avec des tiers. C'est donc un aspect important. L'autre aspect est la manière dont vous automatisez vos activités de gestion des risques de la chaîne d'approvisionnement. Si vous envoyez encore des questionnaires Excel à vos tiers pour évaluer les risques. Ce bateau a coulé il y a longtemps. Vous devez envisager l'automatisation et ce que la technologie peut faire pour vous et comment vous allez l'exploiter pour être plus efficace dans le fonctionnement de votre programme. Il s'agit donc de considérations importantes.

Mike Yaffy : Tout à fait. Bob, je veux en fait sauter cette question. Nous y reviendrons. Je pense que la prochaine question est en fait liée. En vous basant sur votre dernière expérience, n'est-ce pas ? Nous en avons parlé lors de notre appel préparatoire. Vous savez, je me souviens de l'effondrement du marché et je venais juste de commencer, n'est-ce pas ? Mais en 2001, il y a eu la crise immobilière de 2008. C'est cyclique. Cela se produit tous les sept ans. L'économie rebondit. Mais quelles sont les leçons à en tirer ? Parce que vous avez vu ce genre de choses se produire lorsque vous travailliez pour une tierce partie. Vous savez donc quel est le conseil à donner ? Je veux dire, le mien serait d'abord de rester calme, n'est-ce pas ? C'est comme dans Animal House. Je ne sais pas combien d'entre vous l'ont vu. Restez calmes. Il n'y a rien à voir ici. Restez calme. Il n'y a rien à voir.

Bob Wilkinson : Oui. On se fait écraser par le troupeau.

Mike Yaffy : C'est exact. Tout à fait.

Bob Wilkinson : Exactement. Donc, vous savez, le premier point que je voudrais souligner est que la gestion des risques des tiers peut contribuer de manière significative à la réduction des coûts lorsque la pression est forte. Et je vais vous raconter une histoire dans une vie antérieure, lorsque je faisais partie d'un comité de gestion des fournisseurs d'une grande institution financière et que 2009 est arrivée, la grande récession. Nous avons cherché à travers l'organisation comment nous pourrions économiser de l'argent. Il s'agissait notamment d'examiner tous les tiers qui réutilisaient les contrats, les accords-cadres de services que nous avions mis en place. Dans le cas d'un important fournisseur de technologie, nous avons découvert que nous avions huit contrats-cadres de services avec ce fournisseur.

Mike Yaffy : C'est fou. D'ailleurs.

Bob Wilkinson : Tous les prix sont différents. Vous pouvez donc imaginer que l'appel que nous avons eu avec cette société de technologie était très intéressant. Nous allons avoir un seul accord. Nous allons avoir un seul prix net. En faisant cela, en examinant les relations que nous avons et en comprenant où nous dupliquons des services inutilement, nous avons pu économiser au cours de l'année. Au cours de cette année, nous avons pu économiser 100 millions d'euros sur notre budget pour les tiers. Il s'agit donc d'un facteur important dans la manière dont nous gérons le risque lié aux tiers lorsque nous sommes dans une situation où les finances sont importantes.

Mike Yaffy : Je dirai que Bob, je ne me suis pas présenté, il n'y a pas grand-chose à dire, mais cela fait 22 ans que je travaille dans le marketing de la sécurité de l'information. On apprend donc quelques trucs, n'est-ce pas ? J'en sais assez pour être dangereux. Je ne connais pas, vous savez, une fraction de ce que Bob fait. Mais j'ai l'impression que les équipes de sécurité sont généralement considérées comme un centre de coûts et un moyen d'éviter les risques. J'ai l'impression que trouver cette économie, et corrigez-moi si je me trompe, mais ça n'arrive pas tout le temps, mais c'est éviter en premier lieu d'embarquer un vendeur potentiel qui pourrait potentiellement perturber votre entreprise, n'est-ce pas ? Vous savez, vous ne savez pas qu'une pièce clé d'une voiture est fabriquée en Ukraine et que rien n'entre et ne sort de leur grue. Vous avez une visibilité sur ces choses ou, du côté informatique, ces fournisseurs n'assurent pas une sécurité informatique adéquate et accèdent à vos données, ce qui introduit un risque. Je sais qu'il s'agit de la gestion des risques par des tiers, mais j'ai l'impression que la sécurité et les risques sont toujours un centre de coûts, mais un coût nécessaire pour faire des affaires. Comment voyez-vous les choses ? Suis-je à côté de la plaque ?

Bob Wilkinson : Non. Non. C'est un coût pour faire des affaires et la réglementation qui le sous-tend entraîne certainement la nécessité de s'en occuper, mais c'est aussi l'occasion d'aider l'entreprise à se concentrer de manière proactive sur les relations qu'elle entretient. Vous savez ce que j'ai dit sur le fait qu'avant d'embaucher quelqu'un, il faut voir si quelqu'un ne le fait pas déjà. Il n'est donc pas nécessaire que les tiers soient une source de croissance continue des coûts, car l'autre facteur à prendre en compte est qu'en moyenne, les organisations - et c'est anecdotique et non scientifique - peuvent augmenter de 10% par an le nombre de tiers qu'elles ont, et personne ne finance des augmentations de budget de 10% pour les risques liés aux tiers en se basant sur le fait que le nombre de tiers augmente de 10% par an.

Mike Yaffy : Et je le dis tout le temps. C'est le marketing. C'est tout le reste. C'est Oui, très bien. La prévalence vend une plateforme. Je comprends. Mais il faut pouvoir l'automatiser et la mettre à l'échelle. Il n'est pas nécessaire qu'il y ait beaucoup d'endroits. Vous pouvez avoir un GRC. Ils ont des modules. Nous avons des modules. Il y a beaucoup d'endroits où aller, c'est ce que je dis. Mais vous devez être en mesure de hiérarchiser vos fournisseurs, de les identifier, de déterminer leur niveau de priorité et de savoir ce que vous allez faire pour les valider en tant que bons éléments pour votre entreprise, n'est-ce pas ? En résumé, c'est ce que vous devez faire. Mais n'oubliez pas que la croissance sans entrave du nombre de tiers que vous avez, vous regardez en particulier les grandes organisations, les grandes organisations sont devenues grandes à la fois par la croissance organique et inorganique. Oui, c'est vrai,

Bob Wilkinson : A fait des acquisitions.

Mike Yaffy : Dites-moi combien d'entreprises qui ont fait des acquisitions ont mis en place un processus pour examiner et rationaliser toutes les tierces parties qui ont accompagné l'opération.

Bob Wilkinson : Oui, c'est un après.

Mike Yaffy : Et je peux vous dire que je pourrais compter sur les doigts d'une main le nombre d'entreprises que j'ai vues qui ont même essayé de le faire. Il y a donc beaucoup d'inefficacité inhérente au processus. Alors, comment s'attaquer à ce problème ? Comment s'y prendre ? Et euh, vous savez, entre la croissance, entre les acquisitions, entre tout cela, vous avez beaucoup plus de tierces parties que ce dont vous avez besoin de manière réaliste.

Mike Yaffy : Revenons à la huitième diapositive. Maintenant, ça colle, n'est-ce pas ? Nous sommes désolés de sauter d'un endroit à l'autre, mais c'est ainsi que nous procédons. Vous avez raison. Vous identifiez un fournisseur. Vous vous dites : nous avons besoin d'acheter le widget X ou Y, comment faites-vous, que devriez-vous faire pour l'intégrer ?

Bob Wilkinson : Pour moi, l'intégration commence toujours par une question. Avez-vous quelqu'un qui le fait déjà ? Il faut commencer par cette question parce qu'elle touche au cœur du problème, à savoir la croissance sans entrave. C'est donc la première partie. La deuxième partie consiste à ne pas se précipiter et à faire une évaluation tout de suite. Il faut demander au tiers s'il dispose d'une évaluation indépendante des risques qui a déjà été réalisée au cours des 12 derniers mois, par exemple, et il n'est alors pas nécessaire de procéder à l'évaluation des risques. Vous obtenez ce qui est actuel et disponible et vous pouvez procéder à une évaluation sur cette base. Le plus gros problème que rencontrent les entreprises dans leur processus de gestion des risques liés aux tiers est le temps qu'il faut pour passer à l'étape de l'onboarding. Tout le monde doit attendre que toutes les évaluations soient effectuées. Si vous êtes une grande organisation bancaire, il vous faudra peut-être passer par cinq, dix ou même vingt évaluations avant que quelqu'un puisse prendre la décision d'intégrer une entreprise. À un certain niveau, c'est exagéré. Et c'est la différence entre la gestion du risque et la garantie de la conformité.

Mike Yaffy : Il faut que ça marche aussi pour l'entreprise. Ecoutez, vous savez, j'avais l'habitude, vous savez, il y a 10 ans, les gens parlaient de multi-facteurs, n'est-ce pas ? Quand vous avez votre téléphone et ce code à six chiffres, ils disaient : "Les gens ne vont pas faire ça ou ils ne veulent pas que la sécurité se mette en travers du chemin." Hum, vous ne pouvez pas être le département du non, d'ailleurs, n'est-ce pas ? Ou trouver des raisons de ne pas le faire. Il faut qu'il y ait un cso avec qui j'ai travaillé, j'ai travaillé à, euh, oh, c'était dans le nord-ouest du Pacifique, un truc de soins de santé. Il me disait : " Écoutez, mon travail consiste à dire que nous pouvons soit accepter le risque, soit le nier, soit l'expliquer au conseil d'administration, n'est-ce pas ? Et dire, vous savez, il y a une stratégie d'atténuation, mais elle va coûter plus cher. Si nous le faisons à ce niveau, c'est ceci. Si nous la refusons, d'accord, à cause de X, Y et Z, mais elle doit fonctionner au sein de l'entreprise, n'est-ce pas ? Ce n'est pas possible, tu vois ce que je veux dire, Bob ? Ce n'est pas possible.

Bob Wilkinson : Nous sommes les facilitateurs sûrs de l'opportunité commerciale. Et quiconque dit autre chose passe à côté de l'essentiel. Nous sommes d'accord.

Mike Yaffy : Je ne peux pas vous dire combien de fois je suis entré dans une pièce et je me suis retrouvé face à la police du non. Non, voici les facilitateurs de votre opportunité d'affaires. Et c'est ce que nous sommes là pour faire. C'est ainsi que nous procédons. Et vous parlez des différents risques. Vous pouvez remédier au risque, vous pouvez l'accepter et vous pouvez le transférer. Le cas classique de transfert de risque est la cyber-assurance. Mais lorsque vous acceptez un risque en tant qu'entreprise, vous devez approuver ce risque et définir les contrôles compensatoires que vous allez utiliser en acceptant ce risque. Il arrive que des unités commerciales veuillent assumer des risques qui dépassent le cadre de leurs activités et qui affecteront l'ensemble de l'organisation, et c'est à ce moment-là que les personnes qui travaillent dans le domaine de la sécurité doivent dire non. Il faut donc comprendre le risque et éduquer l'entreprise sur ce risque, puis dire : "Si vous acceptez le risque, quels sont vos contrôles compensatoires ? On ne peut tout simplement pas l'accepter aveuglément.

Mike Yaffy : Je suis d'accord. Et vous savez, c'est drôle. Je parlais à quelqu'un aujourd'hui. Je veux faire un autre sujet l'année prochaine sur, vous savez, qui sont les entreprises et je suppose que c'est probablement différent mais probablement un peu similaire. Qui sont les responsables de l'entreprise à qui vous devez parler et que vous devez comprendre ? Dites : " Hé, écoutez, nous sommes en train d'intégrer des vendeurs. J'aimerais que nous travaillions ensemble, en tant qu'équipe, pour comprendre et convenir d'un ensemble de critères, c'est le bon mot, pour intégrer un fournisseur sans que cela ne soit trop lourd, mais juste et raisonnable pour notre entreprise. Et franchement, s'il s'agit d'un fournisseur de niveau 1 sur lequel vous comptez pour la fonctionnalité de base, je pense qu'un ensemble d'évaluations plus strictes et un contrôle continu sont raisonnables et justifiés. Mais alors, avec qui devez-vous travailler en interne ? Quelles sont les équipes avec lesquelles vous devez toujours parler à X, Y et Z pour les impliquer ?

Bob Wilkinson : Je pense qu'il y a plusieurs choses, Mike, et vous devez réfléchir à la façon dont vous établissez des relations avec les autres parties prenantes du processus. Je me concentrerais d'abord sur votre service des achats parce qu'il est l'entonnoir par lequel les demandes de renseignements et les demandes de propositions sont générées pour être identifiées par des tiers ou lorsqu'une entreprise sait avec qui elle veut travailler, elle doit travailler avec le service des achats pour que toute la logistique soit mise en place. Vous devez prendre en compte la fonction juridique car, en fin de compte, vous avez besoin d'un contrat en place. Il faut donc en tenir compte. L'une des fonctions sur lesquelles je me concentre est d'aider les personnes responsables de la gestion des risques au sein de votre organisation à comprendre comment vous gérez les risques des tiers. J'entends par là la gestion du risque opérationnel et la gestion du risque d'entreprise, car elles peuvent être informées. L'un de vos plus fervents partisans et sponsors dans les moments particulièrement difficiles en expliquant à la fois à la direction générale et au conseil d'administration que l'atténuation des risques est une activité essentielle que nous ne pouvons pas négliger simplement parce que les choses se tendent dans l'économie.

Mike Yaffy : Alors, pourquoi les responsables des achats veulent-ils savoir ce qu'ils gagnent ? Je suis une personne qui s'occupe des risques pour les tiers. Je vais voir les responsables des achats et je leur dis : " Hé, écoutez, je sais que vous l'avez peut-être intégré, mais maintenant je fais un examen de la sécurité informatique euh du fournisseur et je vous demande si c'est une bonne chose que vous vous disiez, écoutez, nous pouvons vraiment valider que c'est un fournisseur de niveau 1 qui est excellent d'un point de vue commercial et technique pour nous soutenir. Est-ce que c'est ça le gain ? pour les personnes chargées de l'approvisionnement que ça leur donne ?

Bob Wilkinson : Les responsables des achats sont soumis à une pression énorme pour conclure des marchés pour l'entreprise. Le temps est un facteur essentiel. Ils reçoivent des informations de la part des entreprises. L'entreprise peut dire : " Eh bien, je vais signer la semaine prochaine un contrat avec le fournisseur de niveau 1 A et vous savez, et ils le font savoir à l'équipe chargée du risque de tierce partie, ou même après coup, comme cela arrive parfois. La capacité d'avoir une bonne ligne de communication avec les achats pour faire avancer les choses rapidement au nom de l'entreprise. En fin de compte, notre raison d'être est de contribuer à la réussite des entreprises et de les débarrasser le plus rapidement possible des contrats qu'elles souhaitent conclure. Ainsi, le principal avantage pour les achats est de les aider à traiter efficacement l'intégration des tiers.

Mike Yaffy : Il s'agit donc de l'accélérer, de l'améliorer et de le sécuriser,

Bob Wilkinson : Plus vite, plus vite.

Mike Yaffy : C'est vrai ? Plus vite,

Bob Wilkinson : Plus rapidement, tout en faisant ce qu'il faut pour se conformer à la législation et à la réglementation européennes.

Mike Yaffy : Et le risque.

Bob Wilkinson : Il s'agit donc de conformité, de rapidité, d'un plus grand niveau de profondeur en termes d'informations sur le fournisseur, surtout lorsqu'il s'agit d'un fournisseur de niveau 1. Ils peuvent donc se sentir plus à l'aise d'obtenir plus d'informations, et oui, je suis en train d'inventer des choses. Plus d'informations de meilleure qualité plus rapidement,

Mike Yaffy : C'est vrai ? Et c'est le mécanisme clé qui permet aux entreprises d'être intégrées dans le processus d'approvisionnement. Et maintenant, il y a ces contrôles et ces équilibres que nous décrivons comme la gestion des risques des tiers. La façon dont cette gestion des risques des tiers collabore avec les achats pour soutenir l'entreprise et l'aider à atteindre ses objectifs le plus rapidement possible. Mais en même temps, il faut faire preuve de bon sens et se demander si l'on peut utiliser quelqu'un que l'on a déjà. Pouvons-nous être plus efficaces ? Et l'autre aspect de la question est de savoir comment automatiser le processus d'intégration et le rationaliser afin d'intégrer plus rapidement les entreprises avec lesquelles nous souhaitons entretenir des relations dans nos processus de contrôle continu.

Mike Yaffy : C'est logique, les gars. Et juste pour vous, si vous avez des questions, si vous voulez poser quelque chose en temps réel, je suis heureux de le faire. Si vous voulez attendre la fin ou continuer à écouter, je comprends. Il n'y a pas de problème. Mais nous essaierons de les obtenir. Nous avons discuté et vérifié la fonction "chat". Jusqu'à présent, personne n'a envoyé quoi que ce soit. On doit les avoir captivés, Bob. Alors, pourquoi ne pas passer à la diapositive 14. Nous en avons beaucoup parlé. Vous ajoutez 10 % de vendeurs supplémentaires. TPRM, on demande aux gens de formaliser un programme et comme, écoutez, si vous faites une feuille de calcul en ce moment, et je suis sûr que les gens rient, vous vous dites, j'aimerais bien avoir une feuille de calcul, n'est-ce pas ? Je suis sûr qu'il y a des gens qui se contentent d'envoyer quelques courriels, peut-être une feuille de calcul. Mais si vous faites cela, vous êtes en retard à ce stade. Mais si vous ajoutez d'autres vendeurs, si votre entreprise fait des choses, euh, oh, hé, euh, Melissa, Sam, l'un de nos gars qui participe au webinaire, vient d'envoyer un texto. Il m'a dit que la fonction de chat était désactivée. Je ne sais pas si c'est le cas ou non, mais merci de me le faire savoir, Sam. C'est du temps réel. C'est le temps réel. Hey, tu dois le faire.

Melissa : Voyons voir si je peux ajuster certains paramètres ici, mais je sais que la fonction Q&R fonctionne, alors n'hésitez pas à l'utiliser.

Mike Yaffy : C'est ce que nous faisons aussi. Mais je ne voulais pas manquer de questions importantes. C'est donc très bien.

Melissa : Merci de m'avoir prévenue. Hum,

Mike Yaffy : C'est là que mon ajout entre en jeu et c'est fantastique parce que je peux faire toutes ces choses. Oh, Shu, je viens de recevoir ton chat. C'est bon. Alors, Bob, les gens ajoutent d'autres vendeurs. Vous faites un tas de choses comme ça. Hum, comment faites-vous, comment gérez-vous ça ? Comment faites-vous pour suivre ? Par exemple, disons que vous ne pouvez pas traiter tous les fournisseurs de la même manière et qu'il est normal de dire qu'avec le personnel technique et le budget dépensé, c'est ce que nous pouvons raisonnablement atteindre - je veux dire que c'est par là que je commencerais, mais pourquoi ne pas passer à la diapositive suivante et ensuite nous pourrons.

Bob Wilkinson : En effet, une partie de la démarche consiste à être proactif et la façon dont vous construisez votre inventaire devient une question importante : comprenez-vous ce que vous avez et comment pouvez-vous le mettre à la disposition des gens pour qu'ils tirent parti de ce qui existe ? D'autre part, il s'agit d'être proactif et de contacter périodiquement vos partenaires commerciaux pour leur dire ce qui se prépare. Envisagez-vous de faire appel à de nouveaux tiers, au moins pour vos activités commerciales essentielles ? Pour cela, vous pouvez rencontrer les entreprises, mais en fin de compte, ce sont les entreprises qui sont responsables de la gestion des relations qu'elles externalisent. Ce n'est pas un sujet dont on parle beaucoup, mais c'est un point essentiel. Les entreprises peuvent externaliser la fonctionnalité, mais elles ne peuvent pas externaliser la responsabilité et l'obligation de rendre compte.

Bob Wilkinson : En fait, la réglementation impose aux entreprises, par exemple dans le secteur bancaire, de procéder à des évaluations trimestrielles des performances documentées de leurs relations avec les tiers. Ainsi, si un régulateur vient faire un examen, il peut vous demander où sont vos rapports de performance documentés pour l'année dernière sur le tiers A, le tiers B et le tiers C. Si vous ne le faites pas, vous n'êtes pas en conformité avec la réglementation. Et si vous ne le faites pas, vous ne vous conformez pas à la réglementation. Il est donc nécessaire de disposer d'une fonction claire de gestion des relations au sein des entreprises, qui soit responsable de la propriété de ces relations. Ainsi, lorsque le risque de tierce partie procède à une évaluation et que nous identifions des problèmes, nous ne devrions pas être les seuls à être responsables de ces problèmes. Nous ne devrions pas nécessairement être ceux qui courent après l'entreprise et le fournisseur pour qu'ils règlent le problème. Cela devrait être fait par quelqu'un dans l'entreprise qui possède la relation avec ce tiers et c'est un différentiateur important. Donc, euh, nous venons d'avoir une très bonne question de la part de Hold, s'il vous plaît. Désolé, je regarde toutes les questions qui arrivent maintenant. Euh, Eugène ne veut pas donner le nom d'Eugène, c'est une excellente question. Il dit qu'il travaille dans les achats depuis 20 ans et qu'ils sont récompensés par des économies et non par des risques atténués. Bob, quel est votre commentaire à ce sujet ?

Bob Wilkinson : Vous savez, c'est vrai, mais en même temps, les risques qui ne sont pas atténués coûtent beaucoup plus cher à une organisation que les économies qu'elle pourrait réaliser.

Mike Yaffy : C'est ce que je ferais là où j'étais aussi, n'est-ce pas ? Si vous engagez un vendeur pourri, franchement, parce que vous ne tenez pas compte des risques, et qu'ensuite il s'éteint.

Bob Wilkinson : Et vous devez vous ressourcer.

Mike Yaffy : J'entends ce que vous dites, mais je pense qu'il faut tenir compte du fait que je dis toujours à la blague à nos commerciaux que les plans d'indemnisation conduisent au comportement et Eugène, je comprends si votre seul objectif est de savoir combien d'argent vous économisez ou combien vous pouvez battre un vendeur potentiel, alors c'est ce que je ferais aussi. Mais il semble qu'il manque tout un côté du Rubik's cube, faute d'une meilleure expression, là où Bob se pose la question du coût d'une brèche ou d'un fournisseur et de la flamme au milieu et ensuite d'avoir votre pièce de voiture qui n'est pas livrée et que vous ne pouvez pas construire de BMW, c'est un peu plus difficile, n'est-ce pas ?

Bob Wilkinson : Vous savez, il y a des relations de commodité qui sont motivées par le prix et par le fait de battre les gens sur le prix. Et puis il y a les relations stratégiques qui doivent être fondées sur la confiance et sur le fait qu'il y a une opportunité de valeur, une part de gain à obtenir par les deux parties dans la relation. Dans le cadre d'un programme de gestion des risques liés aux tiers, l'accent doit être mis sur les contacts avec les tiers, du moins les plus importants, et sur la manière d'établir des relations de confiance avec eux, car lorsque vous établissez des relations de confiance, ils sont plus enclins à partager avec vous et la relation est plus bénéfique pour les deux parties. Si vous vous concentrez sur la réduction des coûts des tiers, si c'est la directive d'une organisation et que vous jouez le rôle d'acheteur, cela vous poussera à agir, mais c'est un comportement à courte vue qui peut finir par coûter plus cher. C'est ce que je dirais à ce sujet. Vous voulez donc être guidé par les coûts. C'est très bien. Vous allez vous faire piquer par la réglementation. Vous finirez par rembourser l'argent et vous n'obtiendrez pas la pleine valeur des relations que vous entretenez avec les entreprises.

Mike Yaffy : Bob, beaucoup de gens Non, je pense que c'est une excellente réponse et je pense qu'elle est juste. C'est vrai. C'est vrai. Et il ne faut pas que le pendule aille trop loin et qu'il y ait 20 choses à faire du côté de l'approvisionnement ou du sourcing, mais il devrait y avoir un juste milieu. Bob, parlez-moi Depuis que j'ai commencé à travailler ici il y a quatre ans, je suis convaincu que la façon dont les achats et la sécurité informatique réussissent est d'inclure des clauses dans les contrats dès le début et de dire que nous avons le droit d'évaluer, le droit de surveiller et le droit de demander ou d'exiger des activités correctives au cas où vous seriez jugés déficients. Où en êtes-vous sur ce point ? Je sais que ce n'est même pas ici, mais je voulais vous le demander.

Bob Wilkinson : Oui. Oui, c'est vrai. Les contrats sont une affaire importante et la façon dont vous les abordez est vraiment importante. Il y a certaines choses qu'il faut y inclure, à la fois pour des raisons de bonnes pratiques commerciales et parce que la réglementation l'exige. Les trois principaux éléments sont donc le droit d'audit, c'est-à-dire que vous acceptez que je procède à une évaluation des risques dans votre entreprise. Vous voulez qu'ils vous informent dès que possible, 24 ou 48 heures plus tard, lorsqu'ils ont connaissance d'une violation. Mais n'oubliez pas qu'il s'écoule en moyenne 270 jours entre la compromission d'un organe ou d'une organisation et la découverte de la violation. Cela signifie que quelqu'un est dans votre réseau depuis longtemps et qu'il est en train de faire des dégâts. Il faut donc notifier les violations. Troisièmement, il faut obliger les tiers à remédier aux problèmes constatés. La gestion des risques des tiers est exactement cela. Il s'agit d'une gestion des risques. Il ne s'agit pas de la conformité des tiers, ou du moins de ce que nous appelons ainsi.

Bob Wilkinson : La gestion des risques signifie que lorsque vous trouvez des problèmes, lorsque vous les évaluez et les identifiez, vous les corrigez et y remédiez. Sinon, franchement, ne vous donnez pas la peine de faire une évaluation des risques. Ne vous donnez pas la peine d'avoir un programme de gestion des risques par une tierce partie, car si vous ne corrigez pas les choses que vous trouvez, vous ne gérez pas les risques. Vous ne gérez pas les risques.

Mike Yaffy : En fin de compte.

Mike Yaffy : Ecoutez, Bob, et je suis venu, c'est quelque chose qui a affecté la sécurité et c'est juste parce que je suis vieux, n'est-ce pas ? Mais c'est, vous savez, je viens d'un milieu de gestion de la vulnérabilité et de tests de pénétration, n'est-ce pas ? La gestion des vulnérabilités consiste à scanner l'extérieur d'un réseau et à rechercher des failles potentielles, à les signaler, puis à voir si l'on peut faire du piratage proactif, se pirater soi-même, n'est-ce pas ? Pour voir s'il y a une vraie vulnérabilité. Vous découvrirez des dizaines de milliers de vulnérabilités. Savez-vous combien de vulnérabilités l'équipe chargée des serveurs peut traiter au cours d'un mois donné ? Deux, trois, mais ils s'en occupent, mais il leur a fallu du temps pour accepter de s'asseoir à la table et d'avoir une conversation. Je pense qu'il faut absolument insister. Bob, si vous voulez bien passer à la diapositive 18. Vous savez, si vous restez assis là et vous savez, je comprends qu'il s'agit en grande partie de conformité, mais si vous le faites de la bonne manière, ce que nous prêchons beaucoup ici, n'est-ce pas ? Pour avoir un impact positif significatif, vous devez être en mesure d'apporter des changements,

Bob Wilkinson : C'est vrai ? L'une des méthodes que j'ai trouvées particulièrement efficace est de faire un rapport sur les problèmes identifiés par entreprise, de partager ce rapport avec l'entreprise, de lui donner la possibilité de les résoudre ou de proposer des plans et des dates pour les résoudre. Ensuite, vous partagez ces informations avec la direction et aucune entreprise ne voudra se présenter à sa direction générale comme celle qui n'a jamais réussi à résoudre les problèmes des tiers. C'est un signal d'alarme. C'est une approche de la carotte et du bâton. Vous partagez le rapport de problème avec les entreprises avant qu'il ne soit publié ou partagé avec quiconque et vous leur demandez ce qu'elles font pour remédier à la situation. Si elles n'y remédient pas, c'est elles qui seront appelées et personne ne veut être à ce niveau appelé devant ses pairs.

Mike Yaffy : C'est un fait.

Mike Yaffy : Il faut faire la lumière et dire qu'il s'agit d'un risque.

Bob Wilkinson : C'est bien cela,

Mike Yaffy : C'est vrai ? J'ai abordé cette question et n'y a-t-il pas un petit élément de CYA ? Mais j'ai abordé la question et voici la solution potentielle. Maintenant, nous pouvons choisir d'aller de l'avant ou non, mais c'est à vous de signaler les risques, mesdames et messieurs.

Bob Wilkinson : C'est vrai ? Et il ne s'agit pas seulement de les interpeller et de suivre le plan parce que ce qui se passe, c'est que les gens proposent un plan d'action corrective qui est invariablement la fin d'un trimestre ou la fin de l'année. Je trouve donc une vulnérabilité, une vulnérabilité critique en ce moment et quelqu'un me dit qu'il va la corriger le 30 juin de l'année prochaine. D'accord, c'est votre plan. Je reviendrai tous les deux mois pour vous demander où vous en êtes, car je sais que si j'attends le 30 juin, cela finira par être une nouvelle cible.

Mike Yaffy : Cela fait partie du jeu. Ou bien on ferme le dossier et on en ouvre un nouveau avec une nouvelle date butoir. Il y a donc tout un tas de façons d'essayer de jouer avec ce système, et je ne pense pas qu'elles soient valables. Il ne s'agit donc pas seulement de faire la lumière, mais aussi de faire la lumière et de vérifier avant la date prévue que des progrès ont été accomplis.

Mike Yaffy : Oui. Je vais lire quelque chose de Kevin. J'ai l'impression qu'il est violemment d'accord, mais je vais le lire. Bob, pourquoi ne pas passer à la diapositive suivante pendant que nous le faisons ? La raison d'être du TPRM est de remplir le paragraphe relatif au droit d'audit avec des justifications et des exemples de la nécessité d'évaluer au cours de l'évaluation initiale et de la réévaluation, puis de dresser la liste des résultats non mitigés avec un accord de niveau de service (SLA) pour une remédiation complète ou pour avoir la possibilité de mettre fin à la relation.

Bob Wilkinson : Je suis d'accord. Si le contrat stipule que le tiers doit remédier aux problèmes identifiés dans un délai acceptable et convenu, il s'agit alors d'une violation des termes du contrat s'il ne le fait pas. Et cela vous donne un moyen de pression si c'est ce qu'ils veulent faire. Je ne peux pas croire que les tiers aiment faire cela, mais il y a toujours des cas où ils disent "tant pis" et vous devez alors décider si vous voulez vraiment faire des affaires avec ces personnes.

Bob Wilkinson : Donc, et les gens qui discutent de ces clauses dès le début de la négociation d'un contrat, on peut se demander ce qu'ils feront lorsque le caoutchouc rencontrera la route et que les choses devront être corrigées.

Mike Yaffy : Oui. Pourquoi ? Je veux dire, cela devrait être comme, vous savez, nous voulons travailler de concert, nous voulons travailler ensemble, n'est-ce pas ? Si vous vous opposez à cela, c'est pour moi un drapeau rouge, mais c'est au moins quelque chose à quoi il faut prêter un peu plus d'attention.

Bob Wilkinson : Exactement. C'est certainement le cas. Dans tout programme de gestion des risques liés aux tiers, il faut trouver un équilibre entre ce qu'il faut faire pour gérer les risques et ce qu'il faut faire à des fins de conformité. Vous savez, lorsque des réglementations sont adoptées, et nous allons voir de nouvelles réglementations sur les risques liés aux tiers apparaître aux États-Unis dans un avenir assez proche, vous savez, comment allons-nous nous assurer que nous sommes en conformité avec ces réglementations ? Mais n'oubliez pas que la conformité n'est pas synonyme de gestion des risques. Il ne suffit pas de cocher une case et de dire "j'ai fait mon évaluation". Et je connais de grandes organisations qui font cela. Eh bien, vous savez, cela s'arrête une fois que j'ai terminé l'évaluation parce que j'ai pu cocher la case. Ce n'est pas le but du programme. Le but du programme est d'atténuer et de gérer efficacement les risques. Arrêt brutal. C'est ce qu'il faut faire.

Mike Yaffy : C'est possible, mais cela demande un peu d'effort. Mais c'est le travail, n'est-ce pas ? Je veux dire, c'est vraiment le travail. A.

Bob Wilkinson : En fin de compte, il ne s'agit pas d'une liste de contrôle de conformité. Ce n'est pas comme si je l'avais fait, mon auditeur l'a certifié.

Bob Wilkinson : C'est pourquoi il faut tirer parti des autres personnes de l'organisation, comme la fonction de risque d'entreprise, et travailler en étroite collaboration avec elles. En effet, si la fonction de risque d'entreprise dit que le travail n'est pas fait et que les mesures correctives ne sont pas prises, elle rend compte à la direction générale et au conseil d'administration, et personne ne veut être la personne qui se présente devant le conseil d'administration pour demander pourquoi nous ne faisons pas le nécessaire. L'autre aspect est que lorsque vous envisagez un accord d'externalisation majeur, si vous travaillez dans les services financiers, vous feriez mieux de vous assurer que le conseil a été informé avant que l'accord ne soit conclu, parce que c'est un autre aspect de la question. Vous ne pouvez donc pas vous contenter de dire : "Je vais externaliser toute cette fonction commerciale à une tierce partie A" sans que le conseil d'administration en soit informé et l'approuve.

Mike Yaffy : Oui. Une petite question. Il faut euh quelqu'un nous a dit : " Il faut deux ans pour changer de fournisseur ou de solution. Comment sortir d'un événement à risque avec un fournisseur ou changer de fournisseur si cela vous prend deux ans ?"

Bob Wilkinson : Bien,

Mike Yaffy : Je pourrais dire que c'est insensé que cela vous prenne.

Bob Wilkinson : Oui. Eh bien, vous savez, c'est le cas.

Mike Yaffy : C'est mon avis Il s'agit tout simplement d'une relation stratégique, ce qui semble être le cas. d'un plan de sortie. Vous pouvez donc externaliser un processus à un tiers, mais vous ne pouvez pas externaliser les connaissances que vous devez conserver pour faire fonctionner ce processus dans une entreprise. Il y a donc une différence. Je peux externaliser le processus, mais je ferais mieux de garder quelqu'un qui sait comment les choses fonctionnent réellement au cas où je devrais le réintégrer, au cas où je devrais me retirer de ce fournisseur. Et pour les relations critiques. Vous auriez dû, au moins avant d'externaliser, réfléchir à une stratégie de sortie et à ce que vous devez faire si cela ne fonctionne pas. C'est ce qu'on appelle la planification.

Mike Yaffy : Oui, je veux dire qu'il suffit d'avoir une sortie. S'il faut être deux, il faut avoir un processus, n'est-ce pas ? C'est ça.

Bob Wilkinson : Et si vous n'avez pas de processus, cela vous prendra deux ans.

Mike Yaffy : Vous ne pouvez peut-être pas le changer, mais vous avez intérêt à pouvoir agir en son sein. Je veux dire, je suppose, n'est-ce pas ? Je le sais,

Mike Yaffy : Hum Bob, nous sommes en train de nous y opposer. Melissa, avons-nous un sondage, une autre question de sondage ? C'est bon ?

Melissa : Oui, nous en avons une que nous gardons habituellement jusqu'à la fin, mais vous savez, avez-vous quelque chose d'autre à faire ? Nous n'avons plus de questions pour l'instant, mais elles continuent d'affluer.

Mike Yaffy : Alors, Bob, pourquoi Melissa ne poserait-elle pas la question ? Nous pourrons nous entendre sur cette question et ensuite..,

Melissa : Et puis nous allons euh garder du temps pour donner à Bob une sorte de conclusion.

Mike Yaffy : Ça me paraît bien. Oui, c'est le deuxième sondage. Je suis sûr que beaucoup d'entre vous l'ont déjà vu. Nous sommes simplement curieux de savoir s'il y a, euh, vous savez, quelque chose que vous voulez augmenter ou établir dans le monde du TPRM. Je sais que les budgets 2023 seront bientôt cimentés, si ce n'est pas déjà le cas. Alors, faites-le nous savoir pour que nous puissions assurer un suivi en conséquence. Et soyez honnêtes, car nous assurons un suivi. Ce n'est pas juste pour le plaisir. Hum,

Mike Yaffy : Vous ne nous ferez pas de peine si vous dites non. Si vous dites oui, il y a de fortes chances que Melissa vous appelle. Donc,

Melissa : Oui, probablement dans la journée. probablement presque immédiatement, mais...

Mike Yaffy : Je vous appelle en ce moment même.

Melissa : Oui, vas-y, Mike.

Mike Yaffy : Euh, non, j'allais juste dire, les gars, si vous avez des feuilles de calcul et que vous envisagez d'automatiser, quelqu'un a posé une question à ce sujet si vous avez besoin d'aide pour comprendre. Ecoutez, Bob, pourquoi ne pas mettre vos coordonnées, aussi, pour que les gens les aient.

Mike Yaffy : Euh, donc si quelqu'un Regarde, Bob est si vous avez besoin de conseils en termes de euh ce qu'il faut faire, comment architecturer comment construire. Je ne vois personne qui soit meilleur et qui l'ait fait plus euh avec beaucoup de grandes entreprises. Donc, vous savez, si vous n'êtes pas, vous savez, si vous êtes un peu spob pourrait probablement vous offrir beaucoup de conseils pertinents et vous aider à vendre les avantages d'un programme. Je vais prendre les 5 secondes sur le prévalent, si vous savez que vous avez besoin d'une plateforme, d'accord, ou de services gérés pour vous aider à le faire. Je pense que ce qui est bien, c'est que nous avons un logiciel qui vous permet de le faire vous-même. Um et nous avons toute une équipe de services gérés. Donc, si vous détestez faire des évaluations comme la plupart des gens, nous pouvons le faire pour vous et vous donner des résultats. Voilà, c'était les 12 secondes ou à peu près. Mais Bob, revenons à vous. Des idées pour conclure ?

Bob Wilkinson : Oui, quand on pense à l'environnement économique et si nous nous dirigeons vers une récession et que nous n'avons pas d'atterrissage en douceur, nous pouvons déjà voir les contraintes financières qui s'exercent sur les entreprises et vous savez, les licenciements, etc. Ainsi, lorsque nous pensons au risque lié aux tiers, nous devons réfléchir aux gains d'efficacité que nous pouvons apporter à la table et il n'est pas efficace d'avoir un flux sans fin de nouveaux tiers qui arrivent. En structurant votre inventaire de manière à comprendre ce que les tiers font pour vous, à la fois du point de vue du produit et du point de vue du risque, à comprendre où il peut y avoir duplication pour aider l'entreprise à tirer parti des relations existantes, vous diminuez le degré d'exposition de votre entreprise, de ses actifs et de ses données et vous permettez en même temps de réaliser des économies financières. Vous diminuez donc le risque, vous réalisez des économies financières et, dans le contexte où les tiers continuent d'augmenter le nombre d'accords d'externalisation que les entreprises concluent, vous pouvez jouer un rôle clé en aidant à gérer la croissance des dépenses résultant de l'ajout incessant de tiers et en vous adressant à vos entreprises. Travaillez avec les services d'approvisionnement pour comprendre quand les choses doivent être faites afin d'être un partenaire efficace et d'aider à intégrer les principaux tiers dont vous avez besoin pour soutenir votre entreprise et ses objectifs.

Mike Yaffy : Très bien. Des conseils très solides pour la dernière heure, les amis. J'espère que tout le monde a apprécié. Bob, merci beaucoup d'avoir fait ça. Et euh, Melissa, je vous laisse la parole pour tout ce qui concerne la clôture de l'émission.

Melissa : Oui, j'ai adoré toutes les questions posées aujourd'hui. C'est ce qui rend ces webinaires vraiment amusants. Et j'espère que vous avez apprécié le format différent que nous avons adopté aujourd'hui. J'aimerais que nous puissions poser encore plus de questions à l'avenir, mais Bob, Mike, vous nous avez donné un excellent aperçu de ce qui nous attend au cours de l'année à venir. Et je veux dire, c'est tout pour moi. J'espère vous voir tous au prochain webinaire.

Mike Yaffy : Merci à tous. A bientôt.

Bob Wilkinson : Merci beaucoup. Prenez soin de vous. Bien à vous.