Webinaire à la demande : Étude de cas Pfizer - Comment bien gérer les risques liés aux tiers

Peter Schumacher: bienvenue et merci de vous joindre à notre webinaire aujourd'hui intitulé « Comment mettre en place une gestion des risques liés aux tiers ». Nous avons avec nous Keith Walter, conseiller en gouvernance, ainsi que Brenda Ferraro, évangéliste en chef et directrice principale des réseaux chez Prevalence. Je m'appelle Peter Schumacher et je suis votre animateur pour ce webinaire.J'ai juste quelques points administratifs à aborder avant de commencer. Tout d'abord, je vous rappelle que les lignes bullet et e sont coupées, mais afin de rendre cette session interactive, nous vous invitons à soumettre vos questions à l'aide de la console Zoom. Si le temps le permet, à la fin de l'heure, nous organiserons une séance de questions-réponses en direct. Le webinaire d'aujourd'hui est enregistré et vous recevrez un e-mail de suivisuivi par e-mail avec un lien vers cet enregistrement. Je sais que vous n'êtes pas ici pour écouter ma voix, alors je vais maintenant passer la parole à Keith et Brenda. Merci beaucoup de vous joindre à nous aujourd'hui, et je vous laisse la parole.

Brenda Ferraro: Merci Peter Keith, bienvenue. Je suis très heureuse de faire part à tout le monde de l'excellent travail que vous avez accompli au cours de l'année écoulée pour perfectionner votre programme de gestion des risques liés aux tiers. Vous êtes prêt à commencer, Keith Walter? Tout à fait, nous allons donc changer de diapositive. Voici les intervenants d'aujourd'hui, afin que vous puissiez voir à quoi nous ressemblons. Ils ont essayé d'obtenir une photo nette de Keith, mais en vain. Nous allons donc la garder telle quelle. Comme vous l'avez entendu, je suis le responsable de la promotion des tiers et le directeur principal des réseaux chez Prevalent. Je travaille chez Prevalent depuis environ deux ans, mais mon expérience dans le domaine des risques liés aux tierss'étend sur six ans et j'ai plus de 20 ans d'expérience dans le domaine des technologies de l'information. Et vous, comment avez-vous commencé à vous intéresser aux tiers ? J'ai passé 27 ans dans le secteur chimique, dont environ 15 à m'occuper des tiers.

gestion des risques et autres gestion des risques et depuis trois ans, j'ai rejoint Pfizer où je me concentre davantage sur la gestion des risques et la cybersécurité des usines. C'est donc un domaine qui me passionne depuis au moins 17 ou 18 ans maintenant, et nous travaillons ensemble depuis peut-être plus de quatre ans avec le huitième pack de glace, c'est bien ça ? Oui, ça fait plus de trois ans, oui. Brenda Ferraro: glissons-le sur quatre, très bien, commençons. Je suis sûre que tout le monde ne veut pas connaître l'histoire de notre rencontre, mais nous allons parler de la raison pour laquelle nous sommes ici aujourd'hui. Le risque tiersrisque tiers a évolué, passant d'une position de collecte de contenu à une prise de conscience, peut-être en utilisant des stations actives pour mieux comprendre où en sont vos entités, vos fournisseurs ou vos prestataires tiers en matière de sécurisation de leurs contrôles, et si ceux-ci correspondent réellement aux exigences de vos clients en matière de conformité et de réglementation. Ce que nous avons fait, c'est que nous avons la capacité d'évaluer, de surveiller et de partager avec une approche à 360 degrés. Nous sommes en mesure de collecter une information et de la partager avec plusieurs personnes. En ce qui concerne les questionnaires, nous, nous pouvons partager avec vous et à l'extérieur un aperçu interne et externe de vos fournisseurs et entités, ainsi que des mesures qu'ils ont mises en place pour gérer les risques liés aux tiers. Les réseaux dont nous disposons au sein du secteur nous aident à informer les communautés des vulnérabilités existantes à mesure que nous progressons et que nous comprenons mieux l'évolution du paysage des menaces. Nousvont donc vous poser une question au début de cette session pour vous demander combien de questions figurent dans votre questionnaire d'évaluation primaire. Peter, si vous voulez bien lancer ce sondage, nous allons observer et voir ce que nous obtenons du public. Nous voulons vraiment parler davantage du contenu du questionnaire, car les questionnaires ne vous indiquent que ce que vos entités vous communiquent au sujet de leurs contrôles, n'est-ce pas Keith ? Nous examinons donc cela et nous nous disons : « Oh mon Dieu, nous avons tout cela ».

les trolls, et voici ce qu'ils nous disent, et nous devons croire que ce qu'ils nous disent est vrai, n'est-ce pas ? Keith Walter: Oui, je suis un fervent partisan de la surveillance, car elle permet d'avoir une vision complète. Obtenez-vous des réponses de qualité au questionnaire sur les indicateurs de la partie moderne ? Les réponses au questionnaire semblent toutes cohérentes, ce qui indique une bonne qualité. Pour moi, elles se complètent très bien. Très bien, il semble donc que nousavons environ 50, quoi, 60 % des personnes ont voté, donc nous allons terminer ce sondage et le partager. Peter, voulez-vous vous en charger ? Environ 50 % d'entre nous, parmi la majorité qui a voté, ont déclaré avoir entre 100 et 500 questions dans leur questionnaire d'évaluation primaire. Très bien, c'estest intéressant à savoir. Parfois, du côté des fournisseurs, on se retrouve avec beaucoup de questionnaires qui ne sont pas toujours pertinents ou significatifs. Nous voulons donc commencer à nous concentrer sur un contenu pertinent et significatif et sur les efforts visant à identifier les risques et à atténuer ce qui est important pour ces engagements. Keith, parlons de l'approche unifiée basée sur les risques que vous avez mise en place récemment. Brenda Ferraro: Oui, les points principaux de cette diapositive que je tiens vraiment à souligner sont ceux dont parlait la question principale, à savoir notre questionnaire principal que nous utilisons depuis un an et demi ou deux ans. Il est vraiment axé sur la réutilisation dans le secteur et comporte228 questions, mais ce que nous avons appris au cours de cette période en examinant attentivement les métadonnées que nous collectons au préalable sur le fournisseur et certaines informations de base, telles que le stock 2, etc., si elles sont disponibles, c'est que nous pouvons vraiment nous concentrer sur environ 15 % de ces questions qui sont vraiment celles qui nous font changer d'avis.

si nous allons conclure ou non un contrat ou si nous allons poursuivre un contrat avec une partie existante, nous appelons cela les contrôles clés, nous appelons cela les contrôles lorsque nous évaluons un risque si nous développions nous-mêmes le service, ce sont les contrôles que nous voudrions absolument intégrer dans la liste des exigences, nous avons donc commencé par cette liste de contrôles, puis nous sommes revenus au questionnaire que nous avions et avons utilisé le concept consistant essentiellement à dire quelles questions ici sont pour moi des indicateurs avancés que ce fournisseur respecte effectivement ce contrôle de manière appropriée.

Nous allons doncexaminerons attentivement cela, choisirons une ou deux questions qui permettent vraiment de s'assurer que ce contrôle est bien présent, ce qui nous donne une très bonne indication et nous permet d'examiner rapidement les choses, de nous concentrer sur les risques les plus élevés et d'orienter réellement l'investissement de nos évaluateurs, de notre entreprise, etc. vers les contrôles les plus importants dont l'absence leur serait le plus préjudiciable. Cela signifie que je peux vraiment partager, disposer et suivre jusqu'à la clôture, que je peux gérer les risques les plus critiques pour Pfizer et ainsi les mener à bien plutôt que d'essayer d'être un puriste et de tout résoudre. Je peux résoudre les problèmes les plus importants, c'est donc ce que je retiendrais de cette diapositive. Je me souviens quand nous avons commencé à travailler ensemble sur Prevalent et Pfizer pour faire mûrir le programme. Pouvez-vous me rappeler si c'est vrai que vous utilisiez des feuilles de calcul Excel au début ? Keith Walter: Oui, bien sûr, le processus a commencé avec des feuilles de calcul Excel, qui ne se prêtent pas à une véritable approche basée sur les risques avec des flux de travail automatisés et autres. Il est fastidieux d'essayer d'imposer des données de bonne qualité et il est difficile de répondre dans une feuille de calcul Excel, qui nécessite beaucoup d'allers-retours.

les retards, les e-mails perdus, toutes ces choses qui ne nous ont vraiment pas permis de tenir le fournisseur responsable de la collecte, de tenir l'évaluateur responsable avec un SLA pour effectuer l'évaluation, et aussi dans le partage, la distribution et le suivi, vraiment tenir responsable en fonction du risque, soit notre propriétaire d'entreprise Pfizer, soit pour les risques les plus critiques, nous les tenons toujours responsables, mais nousnous avons également mis en place une surveillance de la gouvernance afin que notre conseil d'administration et notre site soient satisfaits et confiants que j'ai géré ce risque dans le sens qu'ils demandent. Brenda Ferraro: Je suis vraiment heureuse que vous ayez fait passer votre maturité d'un tableur à un flux de travail et à une capacité automatisée, de sorte que vous pouvez désormais commencer à prendre des décisions basées sur davantage d'informations à portée de main, c'est génial. La prochaine question du sondage est la suivante : avez-vous automatisé votre programme d'évaluation par des tiers afin de collecter des informations sur les risques au-delà de l'utilisation des classeurs Excel ? Peter, si vous voulez bien commencer le sondage, nous leur donnerons l'occasion de répondre. J'aimerais que nous nous rapprochions des 100 % de votes.programme d'évaluation des tiers pour collecter des informations sur les risques au-delà de l'utilisation de classeurs Excel ? Peter, si cela ne vous dérange pas, lancez cette question du sondage et nous leur donnerons la possibilité de répondre. J'aimerais beaucoup nous rapprocher des 100 % de votes, donc pour ceux d'entre vous qui sont chez eux, au travail ou dans leur voiture, ne le faites pas dans la voiture.

S'il vous plaît, ne plantez pas, mais vous aimez savoir où nous en sommes avec tout le monde, c'est très intéressant, Keith. Je parle à beaucoup d'entreprises du secteur et nombreuses sont celles qui utilisent encore Excel. Keith Walter: Oui, et bien sûr, si vous êtes une petite entité, c'est peut-être la meilleure solution si vous n'en avez vraiment pas besoin, mais dès que vous voulez passer à la vitesse supérieure et que vous voulez vraiment adopter une approche basée sur les risques,

Il y a simplement des capacités qui sont devenues importantes pour nous, dont vous entendrez parler au fur et à mesure de notre conversation, et je pense vraiment qu'il vous faut un outil pour passer à la vitesse supérieure. Ce qui est formidable, c'est que nous avons trouvé un moyen très efficace d'augmenter considérablement notre nombre d'évaluations par ETP, ce qui, au final, représente un retour sur investissement.c'est vraiment là que nous nous sommes évalués pour nous assurer que nous faisons les bons investissements et que nous recherchons les bons fournisseurs. Nous ne mesurons donc pas seulement l'efficacité des outils sur le personnel en termes de retour sur volume ou de capacité, mais nous mesurons également, et nous allons parler un peu des regroupements et des mesures que nous effectuons sur la signification de notre flotte, que nous avons mesurée pour savoir combien d'entre elles ne présentent réellement aucun problème , combien présentent des défaillances importantes au niveau des contrôles clés, ce qui nous pousse à changer de fournisseur. Brenda Ferraro: Oui, il semble que nous ayons obtenu 61 % des votes, donc si nous voulons en finir et partager cela, ce serait formidable et agréable à voir.

45 % des personnes interrogées ont répondu qu'elles n'utilisaient plus les feuilles de calcul ou les classeurs Excel, 27 % ont répondu oui, 18 % ont déclaré être en train de le faire et 10 % ont répondu que cela ne s'appliquait pas à E. Merci pour ces résultats. Commençons donc par parler de la manière dont l'approche basée sur le risque. Nous voulions aider Pfizer à mettre en place un processus en quatre étapes très simples : la première consiste à préparer, la deuxième à collecter, la troisième à évaluer et la quatrième à suivre et à corriger. Nous voulions également vous offrir la possibilité de disposer d'un flux de travail automatisé et flexible. Souhaitez-vous parler de ce que Prevalence a fait avec son programme et de ses efforts pour utiliser cette approche en quatre étapes dans la phase quatre, l'évaluation basée sur les risques ?

Keith Walter: Oui, merci Brenda, cela correspond tout à fait à ma vision interne de la manière dont je conçois la satisfaction des besoins de l'entreprise en matière d'habilitation efficace et rapide, en connaissant les risques qu'elle s'apprête à prendre en concluant un nouveau contrat ou en continuant à travailler avec un fournisseur existant. Donc, dans la partie préparation, jeje soulignerai qu'il est vraiment important de disposer des métadonnées blanches sur l'engagement du fournisseur lorsque vous lancez le processus. Il est donc essentiel de disposer de champs personnalisés où vous pouvez saisir ces quelques champs supplémentaires, car cela permet vraiment l'automatisation et la réponse dans ces cas difficiles, ces situations inhabituelles où vousdisposez de certaines de ces métadonnées à portée de main, ce qui permet aux ressources d'exécuter efficacement la phase de collecte. Il est très important ici de disposer d'e-mails automatisés et de tâches automatisées pour effectuer les transferts de notre part vers le fournisseur, qui est chargé des activités de collecte, puis de nouveau vers nous, afin que nous puissions coordonner le retour du questionnaire validé, le traiter et le transformer en une action de l'évaluateur, sans avoir à faire beaucoup de travail supplémentaire. Je vais publier le questionnaire et générer automatiquement l'e-mail qui contient les principales lacunes en matière de contrôle, classées par ordre d'importance, prêtes à être validées par l'évaluateur en quelques secondes. Il ne semble pas y avoir d'endroit où les évaluateurs vont l'apporter directement à l'entreprise, puis, en fonction du risque, soit le remettre à l'entreprise qui en assure elle-même le suivi, soit, si le risque est suffisamment élevé, nousnous supervisons la gouvernance, nous assurons le suivi et nous encourageons la remédiation et la consultation avec l'entreprise à travers ces étapes. Il est donc essentiel pour notre succès d'avoir un SLA x de workflow du début à la fin et une responsabilité claire avec une escalade passée afin d'obtenir réellement l'efficacité par ETP que nous souhaitons. Brenda Ferraro: Et je pense que ce qui est formidable, c'est le fait que nous avons défini l'univers des fournisseurs dont vous disposiez, ou l'univers des fournisseurs comme vous l'appelez, et que nous avons ensuite eu la possibilité de

pour intensifier les efforts visant à identifier rapidement les risques en posant des questions à l'aide des questionnaires et même en utilisant certaines de vos autres solutions pour intégrer la référence croisée-référence si ces informations étaient appropriées ou non, puis lorsque nous avons travaillé sur les tableaux blancs, que nous appelons « whiteboard magic keep » (la magie du tableau blanc), j'adore les marqueurs et les tableaux blancs, nous avons pu identifier le doublement de la productivité des ETP en passant d'une feuille de calcul Excel à un programme qui a désormais la capacité de vous fournir les informations à portée de main grâce à un flux de travail automatisé, les chasseurs sont automatisés, etc. Avez-vous quelque chose à ajouter à cela, Keith Walter? Non, je pense que le flux de travail consiste simplement à créer des tâches et à pouvoir transférer les tâches dans un outil commun qui ne se noie pas dans les e-mails et tout le reste, et qui vous envoie des rappels par e-mail pour vos tâches ou vos échéances. Tout cela fait partie de la mise en place de ces éléments clés qui permettent à ces personnes clés d'équilibrer une charge de travail très importante, car c'est le monde dans lequel nous évoluons tous. Brenda Ferraro: Je suis d'accord, alors approfondissons l'approche par étapes. Je pense que vous allez parler de cette diapositive qui présente tous les éléments dont vous avez besoin pour vous préparer à réussir. Keith Walter: Oui, ce que je veux vraiment faire comprendre ici, c'est qu'il faut vraiment réfléchir à la préparation, car comme pour tout le reste, mieux vous vous préparez, plus la demande sera facile à traiter et plus votre service sera couronné de succès. Dans cette diapositive,je vais mettre en évidence deux points. Le premier est le profil du fournisseur. Prenez vraiment le temps de planifier les informations essentielles dont vous avez besoin pour que toutes les autres étapes se déroulent avec succès, en collectant les métadonnées sur le fournisseur, et c'est tout simplement

La description de ce que nous essayons de faire avec ce fournisseur et le fait de demander à l'entreprise de le mettre par écrit aident vraiment les évaluateurs à comprendre ce qui est important et ce qui ne l'est pas, sans vraiment connaître ce genre de choses, les normes de contrôle, connaître vos propres normes internes que vous attendez de quelqu'un, puis vraiment prendre vos règles de questionnaire, comme je les appelle, c'est vraiment examiner votre questionnaire que vouset de déterminer quelles questions sont réellement des indicateurs avancés des contrôles que vous attendez. Nous contribuons certainement au profil du fournisseur en recueillant des informations telles que la quantité de données SPI exposées à ce fournisseur ou si ce fournisseur est essentiel au fonctionnement, aux flux de trésorerie et aux activités de Pfizer, etc. Les informations recueillies dans le profil du fournisseur nous permettent de vraiment classer les données exposées et l'importance du fournisseur pour nous. Nous tirons certainement parti des avenants aux contrats et de la normalisation, nousnous en parlerons dans quelques minutes, et surtout, nous prenons vraiment le temps de réfléchir à la question suivante : disposez-vous de suffisamment d'états de statut de workflow pour vraiment savoir où et qui bloque les choses qui passent par votre moteur ici, que vous essayez de satisfaire en termes de demandes, et disposez-vous de suffisamment d'états qui soutiennent vraiment vos mesures et vos indicateurs clés de performance afin de savoir où vous pouvez apporter de nouvelles améliorations à votre processus, où vousnous sommes vraiment en retard, et aussi pourquoi nous sommes en retard, afin de pouvoir nous concentrer et continuer à améliorer l'efficacité et le délai d'exécution qui permettent à votre entreprise de respecter ses délais, car dans beaucoup de ces cas, les renouvellements de contrats, les négociations de contrats quotidiens, l'entreprise perd la capacité d'atteindre les avantages qu'elle recherche. Brenda Ferraro: J'aime beaucoup la partie sur l'engagement des parties prenantes, car si vous disposez d'un comité de pilotage qui se charge des éléments à disposition, vous vous assurez que si vous acceptez

tiers ou un fournisseur pour aller de l'avant en sachant qu'ils courent un risque, l'engagement des parties prenantes et la mise en place d'un comité de pilotage sont vraiment essentiels. Keith Walter: tout à fait. Brenda Ferraro: parlons donc des profils des fournisseurs. Quelle est la chose que vous avez apprise, ou peut-être les deux choses que vous avez apprises en repensant votre programme, qui vous ont aidé à mieux connaître vos fournisseurs et ce qu'il était important de savoir sur chacun d'entre eux pour assurer la cohérence du flux de travail ? Keith Walter: Oui, le principal défi que j'ai continué à relever au fil des ans est probablement d'avoir des contacts précis et motivés à la fois au sein de votre entreprise en tant que chef d'entreprise et auprès du fournisseur. C'est probablement le plus grand défi en matière de qualité des données, surtout si vous lancez une activité. Nous aimons réactualiser les évaluations des fournisseurs existants et nous aimons le faire par vagues ou par lots, et lorsque vousen faites plusieurs centaines d'un coup, vous devez vous attendre à avoir un problème de qualité des données de 10 %, dans la mesure où nous constatons qu'au moins un contact ou une entité, voire plusieurs, qu'il s'agisse d'un contact interne ou externe, changera effectivement chaque année dans votre flotte. Donc, si vous en lancez une centaine, cela signifie que vous en aurez dix qui vont trébucher et vous devez vous assurer, d'après la dernière diapositive où j'ai parlé de l'importance d'avoir un statut de flux de travail correct

être capable de signaler lorsqu'un e-mail est renvoyé comme non livrable être capable de savoir quand quelque chosen'a pas été transmis dans le premier point SLA prévu par le fournisseur le fournisseur s'est-il inscrit ont-ils seulement répondu si ils ont répondu à au moins 15 questions nous savons que nous avons la bonne personne ils se sont inscrits et ont commencé à répondre aux questions avoir cette visibilité est essentiel pour savoir rapidement et tôt quand vous avez probablement un mauvais contact donc gérer les contacts surveiller ces contacts pour détecter les erreurs et comment cela se manifestera dans les problèmes de KPI, etc. est essentiel pour réussir et c'est probablement

Ce que je retiendrais vraiment de cette diapositive Brenda Ferraro: Je pense aux champs personnalisés que vous créez et qui vous aident à déterminer s'il existe des informations pertinentes à connaître à des fins de reporting, telles que la nature des informations, leur provenance (onshore ou offshore), l'identité de l'évaluateur, etc. Ce sont des éléments très faciles à identifier. Pouvez-vous nous en dire un peu plus sur vos débuts ? Vous avez tellement de tiers et de fournisseurs, comment avez-vous su par où commencer ? Keith Walter: Oui, il s'agit de choisir par où commencer. En tant que gestionnaire de risques, mon attitude consiste à choisir un moyen d'identifier les risques les plus importants et à commencer par la première partie de votre programme. Je pense que la plus grande erreur est de croire qu'il faut tout faire d'un seul coup et commencer par perfectionner votre processus et les données dont vous avez besoin pour soutenir votre processus.Je suis convaincu qu'en un an, nous avons pu faire beaucoup plus en adoptant cette attitude qu'en essayant de tout perfectionner, car je pense que nous aurions passé la majeure partie de l'année à nous débattre avec le changement radical et que nous n'aurions probablement pas accompli grand-chose au dernier trimestre, alors qu'en faisant quelques progrès et en les amplifiant au fur et à mesure, nous avons pu réaliser des changements concertés et planifiés, ce qui est important à mes yeux.

Sélectionnez certainement le premier, examinez vos critères et mettez votre casquette d'entrepreneur, asseyez-vous avec l'entreprise, comprenez quels pourraient être les meilleurs déclencheurs. Je pense que voustrouver que beaucoup de vos départements kurma avec lesquels j'ai travaillé tout au long de ma carrière ont le concept de partenaires stratégiques ou la liste des fournisseurs les plus importants, car c'est tout simplement essentiel pour l'entreprise. Ils savent qu'il faut trouver cette liste et leur expliquer pourquoi, mais aussi s'asseoir avec l'entreprise et poser la question suivante : si vous fournissez plusieurs services, lesquels sont ceux qui génèrent vraiment le plus de revenus ? Puis posez la question suivante : quels sont les fournisseurs critiques ?

à la production de ces revenus et à vraiment comprendre que c'est essentiel en examinant vos lois en matière de conformité. Un autre domaine dans lequel nous avons trouvé beaucoup de valeur est ce que nous appelons essentiellement une connexion partenaire, où nous connectons notre réseau à d'autres partenaires clés, bien sûr à travers des pare-feu, mais en réalitéest quelque chose dont nous disposons des données au sein des services informatiques numériques, ce qui vous permet de les exploiter et d'accéder facilement aux données pour identifier les domaines où nous sommes le plus exposés au risque, car nous ouvrons des ports et d'autres éléments entre des partenaires clés.

Il existe certainement différents niveaux à cet égard, et il faut comprendre que l'utilisation des données de votre pare-feu pour vous aider à tirer parti des données que nous avons trouvées extrêmement efficaces pour identifier les meilleurs partenaires selon ces critères pourrait nous aider à concentrer notre temps, notre argent et notre énergie. Brenda Ferraro: Une autre chose, si je ne me trompe pas, c'est que vous avez adopté une approche réglementaire méthodique, c'est-à-dire que vous avez sélectionné un ensemble ou une tranche de votre profil d'approvisionnement particulier et que vous avez commencé par ceux-ci en fonction des besoins de conformité et de réglementation, n'est-ce pas ? Keith Walter: certainement avec les questions clés que nous voulons avoir, les contrôles clés, certainement la confidentialité, nous avons identifié 26 questions clés qui sont vraiment des indicateurs avancés de ces contrôles étant dans un état responsable et cela nous aide vraiment à nous concentrer là-dessus, évidemment, quand vous allez au-delà de cette réglementation stricte, il y a des contrôles opérationnels qui sont essentiels à la fourniture, à la maturité et à la disponibilité d'un service et c'est'est là que nous en avons clairement ajouté 9 ou 10 autres, ce qui nous amène à un total de 35 questions indicatives qui déterminent nos listes de contrôle. Brenda Ferraro: Excellent, passons à notre prochaine question : imposez-vous à vous-même et à vos tiers les mêmes exigences de sécurité ?

Exigences standard contrôlées Peter, voulez-vous aborder ce sujet ? C'est l'un de mes préférés, car je considère toujours que nous devons nous assurer que les contrôles que nous utilisons au sein de notre château et de nos quatre murs sont réellement respectés et appliqués par les tiers, les quatrièmes parties, les cinquièmes parties et les parties finales. C'est donc un point essentiel qui me semble très important. Qu'en pensez-vous, Keith ? Keith Walter: Tout à fait, et cela vaut également dans l'autre sens : ne leur imposez pas une norme que vous n'êtes pas prêt à respecter vous-même. J'ai vu certains programmes axés sur la conformité où l'on veut répondre à toutes les questions posées, mais en réalité, il y a de bonnes raisons commerciales pour lesquelles tout le monde ne fait pas les choses de la même manière, ce qui peut causer certains problèmes. Il ne faut donc pas se concentrer uniquement sur les contrôles clés et les risques clés, mais comprendre quand les autres sont potentiellement en train d'échouern'atteignez pas un objectif clé, quelles sont les questions connexes que je veux comprendre et qui pourraient m'aider à avoir une vue d'ensemble ? C'est là que l'évaluateur tire sa valeur de quelques questions supplémentaires auxquelles on répond et qui sont basées sur le risque. Il y a absolument des domaines où vous voulez poser beaucoup plus de questions et avoir ces connaissances. Brenda Ferraro: Très bien, terminons le sondage. Il semble que 69 % des personnes interrogées répondent oui, 18 % répondent non et 14 % répondent ne sais pas. Il semble y avoir une petite erreur dans la question, mais elle vous demandait essentiellement si vous attendiez de vos tiers les mêmes normes de contrôle que celles que vous appliquez vous-même. C'était ma faute.

Peter Schumacher: Ce n'est pas grave, Peter. Moi aussi, je fais des erreurs. C'est ce qui fait de nous des êtres humains. Je suis donc ravi que vous ne soyez pas un robot. Merci pour cela. Brenda Ferraro: Très bien, nous allons donc arrêter de partager ces résultats et passer à la diapositive suivante. Dans la diapositive suivante, je voudrais attirer votre attention sur un point qui est ressorti de mes discussions avec les entreprises et les essais inclus : nous adoptons une approche avec nos fournisseurs qui consiste non pas à les réprimander parce qu'ils n'ont pas mis en place les contrôles nécessaires, mais à faire en sorte que nous fassions évoluer l'écosystème et la communauté afin d'aider ces autres entreprises qui ne sont peut-être pas très grandes,sont de taille plus petite à moyenne et qui ont besoin d'aide pour gagner en maturité en matière de sécurité et de normes de contrôle. Parlons donc des normes de contrôle et de ce que vous avez appris sur ce qui se passe lorsque vous créez des contrôles clés et ce que cela signifie vraiment pour vous, dans le cadre de vos efforts pour évoluer. Keith Walter: Bien sûr, tout d'abord, les contrôles clés que je définis sont en réalité les contrôles que nous qualifierions de « indispensables » lorsque nousconcevons si nous mettions en œuvre la solution elle-même, puis nous sommes revenus au questionnaire et avons demandé quelles questions, si elles étaient répondues correctement, représentaient la majorité des cas d'utilisation ou de l'expérience que nous avons, dans une salle remplie d'experts en contrôle, à la fois des personnes chargées de la conformité, des personnes chargées des risques, des professionnels de la sécurité, etc. Quelle est son expérience ? Ce que nous avons vraiment examiné, c'est que nous avons constaté que 15 % des questions nous donnaient vraiment cette visibilité, puis nous avons vraiment examiné une centaine de fournisseurs, où nous avons à la fois examiné en détail toutes les questions et nous nous sommes concentrés sur les contrôles essentiels. Nous avons alors constaté que ces 15 % de questions nous permettaient d'obtenir au moins 80 % de la clarté en matière de sécurité que nous recherchions, et ce beaucoup plus rapidement. Nous avons ainsi pu nous concentrer sur les risques les plus importants. En tant qu'unité, c'estun moment et un endroit pour tout examiner, surtout lorsque vous avez une question de conformité et que c'est la chose la plus importante, vous savez, le meilleur fournisseur de votre entreprise.

Pour assurer le succès de votre entreprise, vous savez que vous allez examiner davantage de questions, mais dans la plupart des cas, nous avons constaté que nous pouvions rapidement déterminer si ce fournisseur était vraiment en règle. Nous avons également constaté que lorsque nous voyions beaucoup de cas de ce genre, nous n'avions vraimentn'avions pas de problème majeur et que nous ne trouvions rien, même en examinant de plus près le reste des questions importantes. Mais lorsque nous avons constaté des défaillances dans ces contrôles clés, en particulier lorsqu'elles étaient nombreuses, il s'agissait vraiment d'une entreprise dont le programme de cybersécurité était médiocre et nous avons alors compris que c'était un domaine sur lequel nous devions nous concentrer, compte tenu du risque que cette entité représentait pour notre activité.

pour aider réellement les entreprises à concentrer leurs efforts là où elles obtiendront le meilleur retour sur investissement en matière de réduction des risques liés à leurs activités et à leurs exigences de conformité. C'est pourquoi, dans cette diapositive,insiste vraiment sur l'importance de se concentrer sur les contrôles clés liés à votre engagement, que vous devriez collecter. L'engagement que je prends fait partie des métadonnées lorsque le fournisseur est mis en place et les contrôles peuvent être différents d'un engagement en matière de confidentialité où l'échange de données confidentielles est vraiment l'objectif, par opposition à certains de ces contrôles qui fournissent davantage un service opérationnel essentiel à l'entreprise. Vous pouvez avoir plus de contrôles dans l'échelle, ce qui est logique, mais si vous examinez un grand nombre de contrôles basés sur la confidentialité, ilsne sont que de bonnes pratiques, et nous les avons vraiment mises en avant tout le temps. Comme je l'ai dit, les cent premières que nous avons faites nous ont vraiment prouvé que dans plus de 95 % des cas, nous pouvions examiner les choses de manière beaucoup plus approfondie, mais c'était vraiment sur ces quelques cas que nous avions déjà des indications qu'il y avait un problème grave ou qu'il n'y avait aucun problème en examinant simplement les questions essentielles de contrôle clés indispensables. Brenda Ferraro: Oui, je pense que ce que j'apprécie vraiment dans le leadership éclairé que vous mettez en avant dans votre programme, c'est que vous avez défini les contrôles clés par engagement et parfois par nombre.

Ce n'est pas la même chose. Vous vous assuriez que votre service savait quels éléments devaient faire l'objet d'une atténuation des risques, par opposition à la même atténuation des risques et à la même hiérarchisation de ces risques pour tous vos fournisseurs. Vous avez également créé une bibliothèque des risques afin que, si un risque n'était pas pris en compte, vous disposiez déjà de ce qui était prévu dans la solution, de sorte que vos évaluateurs puissent parler le même langage que le tiersou fournisseur tiers pour leur faire savoir que vous n'avez pas atteint cet objectif, qu'il existe un contrôle compensatoire que nous accepterons peut-être de mettre en place, mais que voici le calendrier et voici ce que nous recherchons. Vous améliorez donc réellement l'écosystème en fournissant cette aide basée sur la maturité de vos propres contrôles.

Keith Walter: Oui, merci Brenda. Cela concerne certainement les questions clés de contrôle que nous soulignons et pour lesquelles nous rédigeons une réponse reproductible, en prenant le temps de la formuler dans un langage commercial. Non seulement nous constatons une situation beaucoup plus réactive de la part des fournisseurs, mais surtout, nousréussi à rédiger ces réponses d'une manière qui permet aux responsables commerciaux de Pfizer d'en percevoir la valeur. Une fois qu'ils ont compris pourquoi nous insistons sur ce point, ils peuvent vraiment exploiter le rapport généré par le système et agir en conséquence. Dans de nombreux cas, nous constatons une augmentation du pourcentage, l'activité interne de Pfizer me dit : « J'ai compris, je vais voir le fournisseur, je ne suis pas satisfait de ces problèmes, je vais m'en occuper », et ils partent vraiment en disant que celui-ci est un peu différent, avec un petit pourcentage, et qu'ils veulent vraiment l'aide de l'évaluateur, euh, la première fois qu'un propriétaire d'entreprise Pfizer donné

Ils ont encore besoin d'être accompagnés et guidés, mais plus nous leur donnons les moyens d'être autonomes, plus nous pouvons traiter de volume, plus nous pouvons nous concentrer sur la prochaine étape de notre écosystème et de notre parc de fournisseurs pour nous assurer que nousnous nous concentrons sur un plus grand nombre plutôt que sur quelques-uns. Plus j'ai une vision large, plus je me sens assuré d'avoir équilibré les risques totaux de Pfizer. Je pense que les règles honnêtes et les questionnaires, ainsi que l'évaluation des risques, sont un sujet qui semble se poser dans tous les secteurs, et c'est quelque chose que vous pouvez peut-être aider les participants à cette conférence téléphonique à comprendre. Qu'avez-vous découvert exactement lorsque vous avez établi ces règles et défini ces critères d'évaluation des risques ? Brenda Ferraro: Oui, lorsque vous le définissez, je pense que nous avons en quelque sorte expliqué comment je l'ai fait. Je pense que l'homme queque je voulais juste faire ressortir dans cette diapositive, c'est que lorsque vous établissez le budget de votre réponse à la fin, vous pouvez vraiment réduire vos coûts en vous basant sur le dernier commentaire que je viens de faire, à savoir rédiger vos réponses standard à l'avance, mais au centre, j'ai constaté qu'environ un tiers de mes fournisseurs n'avaient vraiment aucun problème de contrôle des risques clés, alors j'ai simplement laissé passer ces rôles et je suis passé à autre chose, mais cela signifie qu'il y a un autre pourcentage plus important pour lequeldis vraiment que nous devons travailler et budgétiser les ressources et élaborer un plan pour rédiger ces réponses toutes faites, ce qui aide vraiment à gérer le temps et l'énergie consacrés au bon endroit.

Il faut donc prévoir un budget pour ces ressources. D'après plusieurs autres collègues à qui j'ai parlé, il semble qu'un tiers d'entre eux soient en règle et qu'aucune mesure particulière ne soit nécessaire. C'est en quelque sorte la norme que j'ai constatée chez plusieurs personnes avec lesquelles j'ai discuté. Il semble que ce soit statistiquement là où les choses se situent. Brenda Ferraro: Ce qui est formidable avec cette solution, c'est que chaque client a la possibilité de définir sa propre tolérance au risque et son propre classement des risques. Ainsi, dans le domaine des soins de santé et du réseau, vous disposez d'un référentiel de questionnaires remplis, de contenus et de preuves recueillis auprès de tiers ou de fournisseurs, qui sont ensuite transférés dans le

Fiser instance ou vue, vous avez configuré la solution pour qu'elle soit adaptée à votre appétit pour le risque et à votre attitude, afin de pouvoir vraiment déterminer quelles sont ces décisions basées sur le risque dans le cas où vous avez quelqu'un qui est peut-être un fournisseur de cloud par opposition à quelqu'un qui est peut-être un fabricant pour vous, et c'est ce que j'aime voir évoluer avec votre programme, la façon dont vous êtes capable de découper, d'analyser et de classer les risques en fonction de ces niveaux de tolérance. Keith Walter: Les modèles de classification sont absolument essentiels pour de nombreuses entreprises dès lors qu'elles commencent à examiner leur portefeuille et qu'elles se rendent compte qu'elles ont des dizaines, des centaines, des milliers, voire des milliers de fournisseurs. Savoir quel type d'évaluation s'applique à chaque type de classification est quelque chose qui pose problème à certaines entreprises. Comment avez-vous défini le type de diligence raisonnable à appliquer ? Brenda Ferraro: Oui, je pense qu'il est important de réfléchir à l'avance lors de la phase de préparation, et c'est vraiment ce que je veux souligner avec cette diapositive. Dans notre cas et dans notre secteur, il est vraiment important, lors de la phase de préparation, de comprendre chaque engagement avec un fournisseur, en attribuant un niveau de risque au fournisseur ainsi qu'un niveau de risque potentiel à l'engagement. Ces éléments peuvent être très différents, et l'exemple que j'utiliseutilise notamment les fournisseurs qui offrent de nombreux services différents. IBM en est un bon exemple, car cette entreprise fournit tout, des solutions informatiques aux services de conseil, en passant par Watson, etc. Elle n'est qu'un exemple parmi tant d'autres où les services proposés couvrent toute la gamme et où les risques peuvent être totalement différents. Il faut donc bien comprendre ce que l'on fait.

exploiter les données et je pense que vous voyez à l'écran certaines des informations que nous nous assurons de collecter. Nous essayons de limiter le questionnaire visant à déterminer le niveau de risque à environ 15 questions à cocher, afin que l'entreprise puisse vraiment les regrouper par bande, comme je vais vous indiquer le niveau d'exposition des données SPI que vous exposez ou le nombre de composés de recherche exposés.Je leur demande de dire s'ils exposent l'une ou l'autre de ces bandes et s'ils répondent oui, je sélectionne la bande. Les bandes sont assez larges, mais elles me permettent de comprendre l'engagement critique élevé, moyen ou faible des fournisseurs sur lequel je veux me concentrer. Je pense donc qu'il faut rester simple pour l'entreprise, utiliser son langage, mais examiner le modèle de classification de votre propre entreprise et certains de ces facteurs lorsque vous le concevez. Brenda Ferraro: Oui, le dernier élément que nous avons dans le processus de préparation de la sécurité concerne les contrats, et ce que j'ai remarqué ici, c'est que beaucoup d'entreprises subissent le stress des révisions, et dans certains cas, ces contrats peuvent stipuler qu'elles n'ont le droit de procéder à un audit qu'une fois par an, mais il faut savoir qu'un audit est différent d'une évaluation. Oui, vous pouvez faire appel à quelqu'un pour vous auditer une fois par an, mais une évaluation est continueIl s'agit d'une évaluation continue qui se base sur la survenue d'incidents, sur le fait qu'une correction n'a pas été apportée à temps ou sur l'existence d'un risque qui doit être vérifié. Mais qu'avez-vous remarqué du point de vue des contrats lorsque vous avez participé à votre programme ? Keith Walter: Oui, il est difficile de maintenir le nombre de contrats, etc., puis d'aider réellement à influencer votre service des achats et votre service juridique afin qu'ils rédigent des avenants basés sur les contrôles requis, de sorte qu'il y aitqu'il y ait un avenant s'il s'agit d'un contrat lié à la confidentialité, par opposition à un contrat non lié à la cybersécurité, etc. Il faut les conserver dans un avenant afin de pouvoir dire : « Ajoutons les bons avenants au contrat et évitons à nos services juridiques respectifs de passer du temps à corriger des documents qui ne sont manifestement pas applicables. Si le service va changer, vous voulez vous assurer de les ajouter.

Et cela fait certainement partie des risques que vous devez gérer, mais parfois, vous dépensez beaucoup plus d'argent pour essayer d'obtenir des pièces et des composants lorsque vous mélangez tout. Il est donc probablement essentiel, pour réussir à évaluer correctement les points d'équilibre en matière de cybersécurité, de rester simple et direct, d'essayer de faire fonctionner tout cela ensemble et de s'associer avec les services d'approvisionnement et juridique. Chez Pfizer, les responsables de la confidentialité sont évidemment l'un de nos principaux partenaires. Brenda Ferraro: Eh bien, nous en sommes maintenant à la phase deux de la collecte, nous approchons donc de la fin, il ne nous reste qu'environ 15 minutes, nous allons donc essayer de passer en revue les deux prochaines diapositives en détail, mais quelles sont les leçons que vous avez tirées et que vous souhaitez partager avec les autres afin qu'ils puissent planifier leur collecte ? Keith Walter: Oui, j'ai dressé cette liste à droite et je pense avoir abordé la plupart de ces points au cours de notre présentation. Assurez-vous de collecter les informations auprès du bon fournisseur et de les appliquer. Assurez-vous d'être prêt à faire face aux obstacles. L'impact des fusions-acquisitions est un facteur qui nous a toujours frustrés, carla question se pose toujours de savoir si environ 10 % de nos fournisseurs au cours d'une année pourraient être concernés par une fusion-acquisition. Il faut alors se demander quelle entreprise, celle avec laquelle vous travailliez ou celle qui l'a rachetée, exerce réellement le contrôle, car c'est elle que vous voulez vraiment évaluer. Il est donc important de bien comprendre le processus, c'est une leçon à retenir.

Ne sous-estimez pas l'importance de suivre les bons indicateurs. Continuez à collecter les bonnes données,sous-estimez pas l'importance de suivre les bonnes étapes, continuez à saisir les bonnes données, réfléchissez aux données dont vous avez besoin tout au long de votre cycle de vie et obtenez-les à l'avance, collectez-les avant de lancer votre projet, car c'est vraiment le moment où votre entreprise se concentre sur le lancement et la mise en œuvre du questionnaire. L'autre point important est que vous devez planifier les données dont vous avez besoin, vous assurer que vous disposez d'une clé primaire pour utiliser les données ultérieurement et les partager, et les noms de Bender sont un domaine dangereux votre clé primaire. Il est essentiel de déterminer ce qui fonctionne pour vous en plus de cela ou comme clé concaténée, car les noms Bender changent et vous modifiez alors la clé primaire, ce qui rend les choses très difficiles et peut prêter à confusion pour relier les éléments entre eux, en particulier lorsque vousessayez de faire correspondre vos données avec celles des achats ou du bureau de la confidentialité, qui ne sont même pas au courant du changement de nom du fournisseur, mais vous l'êtes. Donc, développer des clés internes, développer une clé primaire interne et faire en sorte que vos partenaires clés utilisent la même clé est un autre domaine sur lequel nous investissons beaucoup de temps pour continuer à résoudre le problème de Tourette. Brenda Ferraro: J'ai remarqué que de nombreuses entreprises disent avoir demandé des évaluations, mais que celles-ci disparaissent dans un trou noir et qu'elles ne savent pas quand elles recevront les résultats. Il est donc très important de savoir où en est ma demande. Grâce à la plateforme courante, nous avons constaté une amélioration : auparavant, il fallait environ 45 jours pour traiter une demande et obtenir le contenu nécessaire à l'identification des risques.est notre priorité actuelle. Le délai est désormais ramené à neuf jours en moyenne, ce qui est phénoménal. De plus, le contenu est réutilisable et peut être partagé. Je suis donc ravie que vous participiez à cet effort.

Oh, voici le classement dont vous avez parlé tout au long de ce webinaire. Parlons-leur donc de ce que cela signifie exactement pour l'évaluation. Keith Walter: Oui, dans la phase d'évaluation, compte tenu du volume que nous avons traité et de tout le reste, je trouve vraiment intéressant que, statistiquement, nous constations clairement que, si l'on examine une approche de classement par bandes basée sur les risques, environ un tiers des réponses ne présentent aucune défaillance par rapport à nos contrôles clés, et nous avons vraiment adopté l'attitude suivante : concentrons notre énergie là où vous voyez le bas, nous avons encore environ 25 % de

Sur les centaines que nous avons évalués, nous avons constaté que les contrôles clés de ce fournisseur particulier échouaient à sept questions ou plus sur la posture de risque. La clé doit avoir des questions indiquant un contrôle rigoureux, ce qui montre clairement que ce fournisseur a un problème avec son ensemble de contrôles. Nous voulons nous concentrer là-dessus et vraiment pousser l'entreprise à dire que lorsqu'un fournisseura été évalué à un niveau critique en tant que fournisseur par les questions qu'il nous a indiquées comme métadonnées à son sujet et qu'il échoue également à sept questions ou plus sur ces contrôles clés, il s'agit d'une situation à haut risque, vraiment à haut risque, et nous voulons nous assurer que c'est là que nous concentrons notre énergie. Donc, encore une fois, c'est un peu abandonner certains de ceux qui sont faibles, nousnous nous contentons de dire à l'entreprise : « Bon, je n'ai rien trouvé ici, veuillez discuter avec le fournisseur de manière appropriée et, grâce aux réponses aux risques documentaires, ils sont en mesure de le faire de manière plus efficace et efficiente, mais c'est vraiment à eux de trouver le juste équilibre. Est-ce que je veux atteindre la perfection dans chacun de ces domaines et n'en traiter qu'un certain nombre par an, ou est-ce que je veux une bonne évaluation et inclure la plupart des fournisseurs de mon parc ?je penche plutôt vers la deuxième option. Comment puis-je me préparer à avoir une vision plus globale de mon parc ? Non, le pire des pires scénarios est de se concentrer sur la réduction de ce risque, puis, à ce stade, nous pouvons changer d'orientation, modifier légèrement les critères et en trouver d'autres, mais la réponse est que je continue de penser que j'élimine la plus grande partie du risque au niveau de l'investissement que je réalise et quec'est vraiment ce qu'on me demande de faire : générer un retour sur cet investissement et nous nous concentrons sur la réduction du risque avec lequel nous opérons chaque jour Brenda Ferraro: oui, et avec les exigences réglementaires qui nous obligent désormais à identifier les risques, nous élaborons des plans d'atténuation pour ceux que nous acceptons et/ou pour lesquels nous avons des contrôles compensatoires, puis nous les suivons jusqu'à leur clôture avec cette position, donc j'aime beaucoup la façon dont vous avez présenté cela

Nous utilisons généralement cette diapositive lors de nos présentations chez Prevelant pour montrer l'approche holistique de tout ce qui est nécessaire dans le cadre d'un programme de gouvernance des risques tiers pour les amateurs. Pouvez-vous donc consacrer quelques secondes à chacun des quatre éléments pour expliquer comment Pfizer a abordé cette question ? Keith Walter: Bien sûr, ma philosophie sur certains de ces points est similaire, mais elle comporte aussi certaines particularités. Tout d'abord, en ce qui concerne les scores, je pense que c'est un bon moyen d'analyser les choses, cela aide dans les situations logiques, mais cela ne donne pas vraiment une vue d'ensemble, donc je suis plus enclin à me concentrer sur les contrôles plutôt que sur les scores purs et simples.

Cependant, dans le cas d'un risque faible, c'est une méthode rapide, mais le modèle de notation de chacun est différent et si le fournisseur chargé de la notation n'a pas bien réfléchi à l'échelle moyenne et à l'échelle large, cela peut devenir un peu délicat, mais c'est un bon indicateur et il faut en tenir compte. Je pense que c'est essentiel, comme nousle faisons ici aujourd'hui : apprenez de vos pairs, apprenez de ce que font les gens autour de vous, participez à des événements comme celui-ci. J'espère que tout le monde repartira avec quelques idées pour revoir son programme à la lumière de ce que nous avons dit et de ce que j'ai partagé. Je suis sûr qu'en continuant à voyager et à discuter avec d'autres personnes, je n'aurai jamais de réunion où jene repartirais pas sans réfléchir à ce que je pourrais améliorer ou sans écouter les commentaires de la personne ou de l'entreprise avec laquelle je discute, ce qui me permet de réfléchir à des aspects auxquels je n'avais pas pensé. La dernière chose dont je voulais vraiment parler, c'est des événements.avons eu un moment de révélation ici, où j'ai vraiment trouvé de la valeur dans cela, évidemment avec une brève notification et le nombre de fournisseurs que nous avons, nous les obtenons périodiquement et nous avons vraiment un nom

Nous nous sommes trompés avec ces outils et la gestion des risques fournisseurs pour vraiment nous accrocher lorsque nous sommes informés d'une violation et que nous voulons prendre des mesures. Que faisons-nous ? Rompons-nous nos liens, ce qui est pratiquement la procédure opérationnelle standard pour rompre une relation avec un partenaire jusqu'à ce que nous soyons sûrs qu'il est sûr de travailler ensemble ? Lorsque nous faisons ce genre de choses, nous utilisons vraiment vos outils et vos évaluations dans le cadre de ce processus pour rétablir le cours normal des activités, en veillant à ce que celacela fasse partie de vos activités. Nous sommes désormais accrochés à cela et nous constatons de nombreux avantages à lier la réponse aux incidents à une boîte à outils de gestion des risques liés aux fournisseurs tiers en ce qui concerne la procédure de réponse standard. Nous avons même eu un cas où nous avons pu partager et prédire comment, selon nous, ils avaient été piratés, et c'était incroyable de voir à quel point nous étions précis. J'en ai parlé à Sai, doncc'est vraiment une bonne chose d'avoir votre type de boîte à outils et d'examiner les cas d'utilisation dans votre entreprise, même si vous ne pensez pas directement qu'ils soient appropriés, pas seulement la signature de contrats, mais aussi les événements qui peuvent déclencher des moments où vous devriez utiliser cette boîte à outils et les plateformes que vous développez pour vous assurer que les fournisseurs auxquels votre entreprise fait appel sont sûrs et sécurisés. Brenda Ferraro: Je pense qu'avec tout ce qui se trouve ici, c'est très lourd, il y a tellement de choses à suivre, à atténuer, à examiner et à intégrer qui participent à notre programme de gouvernance, et je vois que ce que j'aimerais que tout le monde retienne, c'est : pouvez-vous parler des principaux enseignements que vous avez tirés de votre parcours et qui sont importants à communiquer à la communauté ? Keith Walter: Bien sûr, nous avons créé cette diapositive en interne et, d'après nos discussions, ce sont les éléments qui, selon nous, font notre succès et que nous utilisons vraiment pour nous motiver. Nous avons appris au fil des années qu'un programme basé sur les risques est, selon nous, le moyen de garantir le retour sur investissement, en veillant à utiliser toutes les données que nous pouvons trouver et en les utilisant de manière créative. Comme je l'ai dit, l'utilisation de règles de pare-feu permet vraiment de définir le niveau de risque.

Je vais examiner chaque question en établissant une correspondance entre vos contrôles clés attendus et vos contrôles à risque, d'une part, et les questions clés préparées pour les défis et les escalades, d'autre part. Plus vous vous préparerez à l'avance, mieux ce sera. Je vais revenirje vais examiner chaque question en mettant en correspondance vos contrôles clés attendus et vos contrôles à risque avec les questions clés préparées pour les défis et les escalades. Plus vous pouvez vous préparer à l'avance, et encore une fois, je reviendrai sur ce point, en réfléchissant aux données dont j'ai besoin à l'avance et en les collectant à l'avance afin de pouvoir répondre et escalader de manière appropriée, c'est très important, aussi simple que de savoir quelle unité commerciale est, entre guillemets, le principal consommateur du service de ce fournisseur, cela permet de dire facilement : « D'accord, c'est le vice-présidentvice-président que je dois escalader. L'automatisation des flux de travail a vraiment amélioré notre capacité à évaluer davantage avec les mêmes ETP. Nous envisageons de doubler notre capacité par ETP, ce qui est vraiment important pour nous afin d'atteindre les volumes que nous souhaitons. Je

planifier le suivi de vos dispositions en vous assurant de bien savoir quels fournisseurs critiques vous souhaitez suivre et contrôler, et où vous allez faire confiance à l'entreprise pour prendre les bonnes mesures, mais en vous assurant que vousvous les formez à la terminologie commerciale afin qu'ils puissent agir de manière responsable en fonction de ce que vous avez identifié, puis, bien sûr, en vous assurant que vos données tout au long de votre processus, votre SaaS et tout le reste, conduisent réellement à un ensemble de mesures et d'indicateurs clés de performance qui soutiennent votre progression et favorisent votre maturité. Découvrez où se situent les blocages dans votre processus, identifiez-les, puis agissez en conséquence pour éviter qu'ils ne se reproduisent encore et encore. Brenda Ferraro: Je vous remercie sincèrement pour toutes vos contributions aujourd'hui, Keith, et je redonne la parole à Peter afin que nous puissions entendre s'il y a des questions. Il a un dernier sondage, mais encore une fois, merci beaucoup d'avance. Merci, Brenda.

Peter Schumacher: Je lance ce dernier sondage. Nous vous demandons simplement si vous souhaitez donner suite à Prevelant. Veuillez répondre honnêtement si vous souhaitez planifier un appel de suiviavec l'un de nos représentants commerciaux, veuillez répondre oui. Si la réponse est non, cela me décevrait, alors répondez honnêtement. Nous avons quelques questions en attente et il nous reste environ cinq minutes pour y répondre. Passons donc à la première : quelles sont, selon vous, les mesures de performance clés que vous pouvez tirer de vos outils ? La deuxième partie de cette question est : qu'est-ce qui s'est avéré le plus efficace dans la communication avec les entreprises et les autres parties prenantes en matière de risques ? Keith Walter: Bien sûr, si vous le souhaitez. Non, je pense que je vais d'abord faire un commentaire et essayer d'y répondre. Le premier commentaire est que je pense que tous ceux qui pensent que leurs tableaux de bord et leurs indicateurs sont prêts à l'emploi et parfaits, je n'ai jamais rencontré de responsable des risques de premier plan ou de sigh ou quoi que ce soit de ce genre qui ait jamais vraiment été sûr de lui à ce sujet, c'est donc un apprentissage évolutif, mais à l'heure actuelle, certaines des choses que j'ai trouvées inestimables sont de regarderje suis dans un SLA et de surveiller ce calendrier, et aussi, surtout, de pouvoir voir la progression de la collecte. Personnellement, j'adore interpeller un fournisseur qui dit « oui, nous avons presque terminé le questionnaire ». Je lui réponds « eh bien, quand vous ne montrez que 20 % des questions auxquelles vous avez répondu... ».

Comment pouvez-vous être presque prêt alors que rien n'a bougé depuis une semaine ? Vous devez être capable de démasquer le bluff quand vous avez vraiment besoin qu'ils se mobilisent et en fassent une priorité, ce qui ne peut se faire qu'avec des indicateurs de performance clés (KPI) et des mesures appropriés, visibles pour vous et pour eux. Ce sont là quelques-uns des aspects qui me semblent présenter le plus d'avantages, et je me concentre évidemment sur le concept de classement que j'ai évoqué un peu plus tôt. C'est le troisième point que je vais souligner. : être en mesure de vraiment faire savoir aux cadres supérieurs que nous évaluons tellement de choses, c'est là qu'ils s'inscrivent dans le classement des risques en fonction de leur niveau de risque et du nombre de problèmes que nous avons trouvés, afin qu'ils voient vraiment où se trouve le pire du pire, et en faisant remonter cela à la surface, en leur montrant ces noms et en leur disant que ce sont ceux que je veux poursuivre et que jeje vais suivre la résolution des problèmes, cela les aide à vraiment comprendre que nous sommes concentrés et que nous ne sommes pas des puristes qui essaient de résoudre la faim dans le monde, mais que nous utilisons vraiment les données pour exploiter leurs précieuses ressources dans leur propre organisation ainsi que dans la mienne afin de nous assurer que nous sommes

le meilleur retour sur cet investissement précieux afin de réduire le risque global Peter Schumacher: très bien, merci Keith. Il semble qu'il y ait encore quelques questions, nous y reviendrons, mais je pense que notre sondage se déroule bien. 56 % ont voté. Je comprends que si vous vous êtes connecté via un navigateur web, vous ne pouvez peut-être pas participer au sondage, ce qui explique peut-être notre faible participation, pour votre information. La question suivante semble s'adresser davantage à Brenda. Quelle est la tendance en matière de notation et de classement des risques, et comment l'approche de Cisors aide-t-elle à identifier la tolérance au risque ? Brenda Ferraro: Oui, nous en avons parlé.

Oui, nous en avons déjà parlé un peu plus tôt, mais pour la restauration, vous devez être très précis lorsque vous examinez chaque engagement individuellement. Sur la plateforme courante, nous avons la possibilité d'aider Pfizer à configurer le type d'engagement qui nécessite un certain niveau de diligence raisonnable, qui correspond ensuite à leur tolérance au risque sur les contrôles clés qu'ils ont sélectionnés pour ces engagements. Nous pouvons ensuite les aider à déterminer, à partir des exigences réglementaires et des perspectives, en quoi cela ne correspond pas, comment cela correspond à la norme ISO ou comment cela correspond à leurs contrôles clés en appuyant simplement sur un bouton de filtre. C'est donc très intéressant de voir comment ils ont prédéfini et préparé tout leur contenu pour une configuration appropriée afin d'examiner les scores et les classements, puis d'évaluer en continu sur la base des scores de risque qu'ils peuvent réaliser dans la solution. C'est ainsi que la solution Prévale aide Pfizer aujourd'hui. Keith Walter: Oui, et encore une chose : l'une de nos exigences fondamentales était que le modèle de notation devait être configurable afin de pouvoir choisir la solution qui nous convenait, car nous considérons qu'il est essentiel de pouvoir ajuster le système pour qu'il profite réellement à notre entreprise et à nos activités. La plateforme de Prevalent me permet d'ajuster facilement la méthodologie de notation avec NRI et d'exploiter pleinement mon contrôle clé.

indiquant les questions les plus importantes, ce sont les meilleurs scores avant tout, et cela a été très utile pour vraiment orienter les rapports générés par le système vers les domaines qui m'intéressent afin d'aider mon entreprise. Peter Schumacher: Super, merci. Je pense que nous avons le temps pour une dernière question. J'ai répondu à la plupart des questions techniques pour vous, Keith, en utilisant mon expertise en marketing, mais j'en ai laissé une : avez-vous des recommandations sur la manière de traiter les Cu EC comme indiqué dans le rapport ? Vous pouvez également répondre à cette question hors ligne, Keith. Walter: Oui, je veux dire, ce n'est pas à signaler.

C'est assez détaillé, mais je dirais que le SOCK est une méthode d'évaluation alternative qui, dans certains cas, peut vraiment rendre inutile, en fonction du risque, un questionnaire complet. Le hic, que je verrais dans n'importe quelle partie du SOCK est de veiller à bien comprendre les métadonnées dès le départ, à être prêt à comprendre l'engagement et à s'assurer que la portée de la Sock correspond à ce que vous aviez prévu de faire. Il est donc essentiel de garder cela à l'esprit lorsque vous prenez ce type de décisions. Je pense que c'est absolument essentiel pour réussir si vous comptez utiliser une méthode alternative comme ces sections spécifiques, etc. et les services finaux de la Sock – Brenda Ferraro: C'est exactement ce que j'allais dire. Merci Keith, oui.

Peter Schumacher: très bien, merci à tous, merci d'avoir été avec nous aujourd'hui Keith, un grand merci à toi, j'apprécie vraiment ta présentation d'aujourd'hui, et Brenda, j'espère que tout le monde passera une bonne fin de semaine et on se reverra lors du prochain webinaire, merci, merci.