Les 10 erreurs les plus courantes dans les programmes de gestion des risques liés aux tiers

Amy Tweed: Très bien, bienvenue à tous. Je vois que certains commencent à arriver lentement. Pendant que vous vous installez et que vous vous mettez à l'aise, je vais vous poser une petite question car nous sommes très curieux de savoir ce qui vous a amené ici aujourd'hui pour notre euh webinaire, les 10 erreurs les plus courantes en matière de programme de gestion des risques liés aux tiers, ou pardon, de programme de gestion des tiers. Je m'appelle Amy Tweed. Je suis ici en tant que personne pour aider à relayer les questions et à faire en sorte que tout se passe bien. Hum, vous voyez les questions du sondage ici alors que vous vous installez. Nous avons, vous savez, ce qui vous a incité à adhérer ? Est-ce que c'est pour des raisons éducatives ? Vous pourriez apprendre beaucoup de choses aujourd'hui. C'est un sujet vraiment brûlant et je sais que je suis impatient d'apprendre beaucoup de choses. Peut-être avez-vous un projet de gestion des risques liés aux tiers à venir et êtes-vous curieux de savoir ce qu'il faut éviter. C'est un très bon webinaire auquel participer. Peut-être n'avez-vous aucune idée de la raison pour laquelle vous êtes ici. Mais restez. Vous pourriez apprendre quelque chose. Hum, et puis peut-être que vous êtes un client prévalent, ce qui est très bien aussi. Ainsi, vous apprenez à utiliser notre plateforme et nos services. hum à sa pleine mesure. Très bien, alors quelques petites choses pour commencer avant que je ne mette en lumière l'hôte de notre webinaire aujourd'hui. Euh, ce séminaire est enregistré, donc si vous avez besoin de vous déconnecter, il vous sera envoyé dans votre boîte de réception à la première heure demain matin, pour que vous puissiez le consulter à votre rythme. De plus, nous voulons que ce soit très interactif. Nous avons donc la fonction questions-réponses en bas de l'écran. Nous avons également une fonction de chat, donc si vous avez des questions pendant qu'Alastair et Joe travaillent sur ce webinaire, n'hésitez pas à nous les envoyer. Nous voulons vraiment vous aider. Alors, s'il vous plaît, rendez-le interactif. Et sans plus attendre, vous n'êtes pas là pour m'écouter. Je vais donc passer la parole à Alastair Parr et Joe Tolley. Alastair Parr est le premier vice-président de Prevalent chargé des produits et des risques au niveau mondial. Nous sommes également accompagnés aujourd'hui par Joe Tolley, un autre membre de l'équipe Prevalent qui a travaillé avec des centaines de clients de la gestion des risques des tiers pour les aider à mettre en place leurs programmes. Je vous laisse la parole. J'espère que vous vous portez bien aujourd'hui. Je vous remercie de votre attention. Et bonjour. Et bonjour Joe. Vous m'entendez ? Vous m'entendez ?

Joe Tolley: peut en effet. Bonjour à tous.

Alastair Parr: Lovely. So, uh, between myself and Joe today, we’re going to give you a bit of insight into the key challenges and issues that we’ve seen from really assessing and managing hundreds of third party programs over the years and invariably we tend to see the same mistakes and issues and and fundamentally the challenges whenever we start engaging with uh respective customers and clients around the third party program. So, between the pair of us Uh beyond our general experience of having the oversight of third party programs, we’ve also got backgrounds in data loss prevention respectively uh firewall and and incident management uh as well as operations and delivery both for information security programs as well as of course third party risk specifically. That’s enough about us. Without further ado, uh just to set the scene slightly, we’re just going to give you a little bit of insight into really fundamentally what’s involved in a third party program. And as I’m sure many of you already know, but for those who don’t, just to reinforce, and this is really where all of the key issues that we find stem from, uh there’s there’s a series of activities and actions that formulate a third party program. And starting at the top, what we typically see is that people start off with understanding, well, what are we actually trying to achieve? What what’s the maturity of a third party program? Uh based on what we want to achieve, how are we going to track and react to that? So, what are the KPIs, KISS that we react to? Then they define the scope. So, well, we know what we want to do. What do we to do it against and they outline the third parties and then they define what they want to assess them against. So how deep do we go? How broad do we go? Are we using assessments? Are we using monitoring etc. From there they tend to start doing assessments capturing data whatever it needs to be and then standardize and review that data set. Uh they obviously have to involve the business third parties in that process etc before finally actually doing something with the data and then funament ly repeating that process time and time again. Now, we’ll touch on some of the key issues and challenges that we see across the gamut of everything you see in front of you now, but something we’ve learned over time is it’s very very similar to how we deal with datos prevention programs, which is there is a sea of information that you need to troll through and get through and assess. And once you’ve got that data, people get paralyzed with what on earth do I do with it? How can I make it actionable and interactive as a as a human being? And we’ll touch on some of that shortly. So, Firstly, as the primary starting point when we look at a third party program, people start with governance, reporting and business involvement. So they’re understanding from that prior slide, what are we looking at? What’s our definitions of maturity going to be defining our KIS etc. It’s really that initial starting point which is capturing requirements and understanding uh the contributing factors and metrics that drive our program. And when you think about that, the very first challenge that we often see and the top issues is really down to the community. ations and responsibilities process that you see from the outset. So we’ve always and consistently seeing that a third party program as you expect is it’s a team effort. It’s a team not just in the sense of the third party risk team but uh it’s a team effort between legal procurement infosc compliance audit etc. All working together and the business all working together to prop up this this concept of a third party risk program. And too often we’re seeing people working in isolation. Vested teams have established processes the business users disin interested etc. and they’re not working in collaboration. Tied to that is well how do we actually get people to work together? They’re not defining the roles and responsibilities on interactions. People are intrepid about engaging the business in any sort of meaningful way. Uh and they don’t want to disrupt existing patterns and processes that might be in place. That could be in a specific business area that could be related to how the business operates themselves but fundamentally they’re they’re scared of change in that situation. Now hopefully For those of you on the call that have a program, that is you there at the front spearheading this uh this functional and collaborative third party program. But more often than not, we uh we do tend to see people um unfortunately with a slightly less polished approach, should we say, to third party risk management. So what can we actually do to prepare? How do we address these issues? First and foremost, what we normally recommend is start looking at the life cycle of life cycle of third party risk management. So we want to understand what what Where does it start from? Well, we have sourcing, RFP, RFX processes up front that define who a third party is. That goes through various systems through contracts and procurement. Uh, and then goes through an intake process to be on boarded. Uh, that of course then follows through to the third party program eventually who can then prioritize, tier, classify, and then drive risk remediation downstream. And the big issue we tend to see here is that far too often people are focusing on this tail end of this endeavor and they’re working in that isolated pocket. So, we’re always strongly recommending now to address this. Make sure you engage with everybody who’s involved in these upfront processes and make sure they’re capturing the right data from the outset. Next, what else do we recommend and what do we typically see is that well, we recommend you understand the criteria. So, tied to roles and responsibilities, we would really strongly recommend that you know in your program what are the business functions that are supporting it. Uh what visibility you need in order to drive that program. How will we get engaged with audit for improvements and also ownership most importantly at the bottom left there? How do we get ownership from the business and the various vested parties to drive that third party piece and that lends itself to thinking about who are the various participants in this program and I’ve alluded to it already but the fact is there are multiple parties involved procurement legal risk operations and audit and they all play a meaningful part in that process. The best third party programs we’ve seen have got all of those parties involved, interested, and collaborative and communicative in how they want to engage this. As much as they might have their own piece and objective as if they’re able to work together and see the fact that each relevant party has some contributing factor and need uh then it works out best. And we see that function quite well with things like uh operations and governance committees that can meet on a monthly basis, steering committees uh that would drive that third party program with representatives from all of these so that people can support one another. So the information collection mechanisms used can support obviously the risk assessment components help operations with looking at supply chain downstream looking at SLA and performance management and so on. So everybody can get some some value out of the program and should be working together. So moving on to uh specifically roles and responsibilities Joe is there any particular uh challenges or issues or good practice you want to share?

Joe Tolley: Oui. Bien sûr, Alastair. Merci beaucoup. Hum, l'une des choses les plus courantes, que l'on pourrait considérer comme une base pour la construction d'un programme, est l'absence ou la création d'un manuel d'opérations à jour pour soutenir le programme. Il s'agit donc d'un manuel des processus clés, des rôles, des responsabilités et des devoirs essentiels pour faire avancer le programme. En général, nous constatons qu'il n'existe pas de manuel d'exploitation ou qu'il a été conçu dès le premier jour et qu'il n'a pas été mis à jour au fil du temps. Il est donc recommandé de prendre une décision consciente ou d'établir un point de contrôle régulier pour créer un manuel d'exploitation. Il faut s'assurer qu'il y a des propriétaires pour chacun des éléments qui créent ou composent un manuel d'exploitation afin de garantir qu'il est à jour au fil du temps. Il servira non seulement de guide de référence pour les personnes qui développent le programme, mais aussi pour les nouveaux venus dans le programme lui-même, qui pourront s'en servir comme manuel d'instruction ou comme guide de processus pour le développer au fil du temps.

Alastair Parr: Très bien. Merci Jay. Joe Tolley: Pas de problème. Alastair Parr: Donc, euh, juste pour réitérer les points sur ce sujet. Nous cherchons fondamentalement à travailler en collaboration. Nous ne voulons pas que les gens travaillent de manière isolée et ces équipes dévouées et ces efforts de collaboration sont vraiment essentiels pour relever certains de ces défis communs que nous voyons ici. La prochaine étape de notre voyage dans le cycle de vie des tierces parties est le programme KPI et KRIS. Il s'agit donc des indicateurs et des indicateurs de performance que nous nous attendons à voir dans les mesures d'un programme réussi, quel qu'il soit. Et il s'agit d'un programme malheureux. Bien qu'il s'agisse d'un domaine très important, il est en fait souvent négligé lorsqu'il s'agit de programmes de tiers. Les gens sont tellement obnubilés par la question de savoir si l'on peut faire des évaluations, si l'on peut assurer un suivi. Et si l'on considère l'échelle de ce qu'ils examinent, ils ne tiennent pas compte de la profondeur et du contexte des informations qu'ils capturent. Et c'est assez naturel en tant qu'être humain lorsque vous commencez à regarder des chiffres de plusieurs milliers, dizaines de milliers, etc. parce qu'il est très difficile de commencer à traiter ce type de volume de données. Ce que nous constatons, c'est que les gens utilisent des volumes et disent qu'ils ont levé un drapeau en disant : " Oh, j'ai mené 5 000 évaluations cette année. J'ai activé la surveillance de 40 000 fournisseurs, etc." Cela semble brillant pris isolément, mais lorsque vous réalisez que vous avez 150 000 fournisseurs dans votre domaine, ce n'est en fait pas si bien que cela. Ils utilisent donc la valeur de la couverture comme facteur de réussite. Elle joue un rôle, mais il y a beaucoup d'autres facteurs qui y contribuent. Nous voyons beaucoup de gens qui ne parviennent pas à associer les résultats et les objectifs aux ressources disponibles. Il s'agit donc de rendre le programme réalisable. Si le pauvre Joe et moi étions là à conduire un programme de tiers pour 150 000 euros, je n'aurais probablement pas beaucoup de succès et je devrais modérer mes attentes vis-à-vis de mes pairs, de la communauté, de l'entreprise pour refléter cela. Ainsi, bien souvent, les gens ont les yeux plus gros que le ventre. Ensuite, trop de gens ne parviennent pas à planifier leur tolérance au risque dès le départ. Pour gérer une partie de ces risques, ils n'envisagent pas de se demander quelle est la tolérance au risque proportionnelle que nous sommes en mesure d'accepter en fonction de notre capacité à gérer les risques. Je ne peux pas me contenter de dire que chaque problème que je trouve doit être résolu parce que c'est tout simplement intenable. Enfin, et c'est malheureusement très fréquent, beaucoup trop de gens surestiment la volonté de contribution des tiers. Si vous activez la surveillance passive, par exemple, c'est très bien. C'est un indicateur. C'est une bonne information. Mais, euh, pour aller plus loin dans la connaissance du tiers, il faut l'impliquer, mener des évaluations, etc. Et invariablement, eh bien, généralement invariablement, ils ne sont pas particulièrement réceptifs à vous donner des informations une fois qu'ils ont votre argent. En regardant ces objectifs trompeurs et irréalistes, il est donc très simple de regarder ce tableau à première vue et de supposer que les choses sont chaotiques, non coordonnées et non gérées. Mais cela est généralement contrôlé par les limites du programme que vous avez créé. Ainsi, si vous avez une colline à 45 degrés d'inclinaison et que vous faites rouler du fromage et que vous courez vers le bas, vous allez vous attendre à un certain chaos. Si vous avez établi un bon ensemble de paramètres, vous vous en sortirez beaucoup mieux. Quels sont donc les facteurs à prendre en compte pour démontrer que l'on a bien progressé ? Tout d'abord, il y a les évaluations de maturité. Joe, j'espérais que vous pourriez me donner un aperçu de ce que vous attendez d'une bonne évaluation de la maturité.

Joe Tolley: Bien sûr. Nous sommes de fervents partisans des évaluations de maturité. Nous pensons que les organisations ne les réalisent pas assez souvent. Nous recommandons de les réaliser tous les trimestres et elles constituent une occasion formelle de prendre du recul par rapport à votre programme, d'examiner les éléments clés qui le composent et de l'aider à se développer, et d'évaluer le niveau de performance de chacun de ces domaines. L'approche que nous utilisons s'appuie sur le modèle de maturité des capacités et ce que nous faisons, c'est identifier les aspects clés et évaluer chacun de ces composants de manière très granulaire avec les équipes qui gèrent chacun de ces composants. Par exemple, on peut s'attendre à ce que l'on examine la couverture ou l'étendue de votre programme de tierce partie. Combien de tiers sont réellement évalués ? À quoi ressemblent les lacunes ? Ensuite, on peut s'intéresser à des éléments tels que le contenu qui est exploité. S'agit-il d'un contenu basé sur une norme industrielle ? La qualité est-elle suffisante ? Capture-t-il les données dont vous avez besoin ? Ensuite, il faut approfondir l'aspect opérationnel. Il s'agit d'examiner les rôles et les responsabilités, le manuel d'exploitation dont j'ai parlé il y a une seconde, la remédiation et, bien sûr, les mesures qui soutiennent le programme. Donc, si vous prévoyez de faire cet exercice tous les trimestres, cela garantira que vous gardez une trace de ces faiblesses et des choses que vous faites bien. Ensuite, bien sûr, vous associerez une certaine responsabilité au développement de ces domaines clés. Ce qui est vraiment précieux dans ce type d'exercice, c'est que si vous disposez d'une forme de métrique en tant que résultat d'une évaluation de la maturité, comme vous pouvez le voir ici avec l'approche des cinq piliers, cela peut aider à identifier où se situent les faiblesses et où se situent les faiblesses et les faiblesses. Cela peut aider à identifier les points faibles. Vous verrez, bien sûr, où se situent les lacunes les plus importantes que vous avez euh acquises au cours de cet exercice, mais cela peut également démontrer certains des succès que vous obtenez trimestre après trimestre. Si vous mettez en œuvre ou avez un effort conscient et un projet pour améliorer certains domaines, il est souvent bon de pouvoir démontrer à l'entreprise que, vous savez, la ressource que vous avez associée à l'amélioration du contenu, vous savez, a un impact positif sur le programme. Vous pouvez le démontrer en constatant que le score de maturité augmente au fil du temps.

Alastair Parr: Merci, Joe. Nous avons également reçu une question. Je me demande si vous pourriez y répondre, c'est-à-dire, euh, qui serait le mieux placé pour effectuer l'évaluation de la maturité au sein de l'entreprise ? Joe Tolley: Oui, très bonne question. Euh, normalement, ce que nous aimons voir, c'est un chef de programme, donc quelqu'un qui est en fait responsable de la gestion de l'ensemble euh, de la responsabilité du programme. C'est pourquoi il est important d'associer les bons représentants aux bons types d'aspects que vous évaluez dans le cadre de l'évaluation. Ainsi, si quelqu'un est responsable du contenu et qu'il lui incombe d'examiner les séries de questions que vous envoyez tous les trimestres, il est évidemment le mieux placé pour les étudier plus en détail. Donc, même si vous avez quelqu'un qui est globalement euh responsable du programme, nous croyons qu'il y a un comité particulier qui serait responsable de répondre à cette question de la manière la plus précise possible. Alastair Parr: D'accord, Merci Joe et juste pour appuyer ce point, si vous n'avez pas les ressources nécessaires, n'hésitez pas à nous le faire savoir, nous offrons des évaluations de maturité gratuites pour vous, donc au-delà de l'évaluation de maturité, sur la base que vous avez fait cette évaluation de maturité afin de bien comprendre ce que vous essayez réellement d'atteindre à travers ces différents piliers de couverture du contenu, des rôles et des responsabilités, de la remédiation et de la gouvernance, vous pouvez alors faire ce que vous voulez. remédiation et gouvernance vous pouvez alors commencer à regarder les KPIs clés du programme lui-même. Par exemple, les mécanismes communs que nous avons tendance à considérer et qui ne peuvent pas être regardés isolément si nous regardons les workflows d'évaluation, c'est en commençant par la droite, le pourcentage de couverture de la propriété des tiers,Les taux de réponse aux évaluations, donc si je fais des évaluations ou si je permets un suivi, quel type de succès est-ce que j'obtiens réellement, donc x% ont été atteints, j'ai des réponses pour, etc. Il s'agit d'une mesure importante car elle permet de comprendre ce qui fonctionne et ce qui ne fonctionne pas. L'un des problèmes les plus fréquents que nous constatons est que les gens supposent aveuglément que le processus qu'ils ont mis en place le premier jour est efficace, alors qu'en réalité ils doivent ajuster et peaufiner leur méthodologie pour que les entreprises répondent, que les tierces parties répondent et ainsi de suite. Ensuite, nous passons à la gestion des risques. Les objectifs de risque ou de réduction sont donc mensuels. De quoi voulons-nous réduire les valeurs de risque ? Qu'est-ce qui est bon pour nous et qu'est-ce qui a été géré jusqu'à un niveau acceptable ? Je parle donc de tolérance au risque, de seuils de risque. Nous ne voyons pas souvent les gens mettre une ligne définitive dans le sable et dire que nous acceptons un risque inférieur à cette valeur. Pour ceux d'entre vous qui sont des professionnels de la gestion des risques, vous savez que le risque est absolu. Il y aura toujours un risque ou une description de risque et vous ne pouvez pas tout atténuer. En gardant cela à l'esprit, il faudrait que l'entreprise fasse une déclaration définitive pour dire quel est le niveau de risque tolérable et pour pouvoir définir des choses comme les contrôles clés et les choses qui ne sont absolument pas acceptables. Il s'agit donc des éléments sur lesquels vous souhaitez vous concentrer en tant que domaines de risque. Ces mesures doivent bien sûr soutenir vos indicateurs de performance clés de bas niveau. Elles définissent également les attentes de la direction en matière de qualité. Ce sont là de bonnes mesures et de bons points de suivi pour vos programmes.

Alastair Parr: Mais Joe, je me demande si vous pourriez m'éclairer. Comment cela peut-il être intégré dans un processus, un bon processus de tierce partie ? Joe Tolley: Oui, c'est un problème. Nous avons donc ce diagramme du cycle de vie que vous pouvez voir sur le côté droit. Le principal avantage d'une telle présentation de l'information est que nous considérons les programmes de tiers comme quelque chose qui doit être revu régulièrement. Les choses doivent être améliorées et optimisées au fil du temps. Comme je l'ai dit plus tôt, c'est un point sur lequel beaucoup d'organisations tombent. Elles mettent quelque chose en place dès le premier jour. Elles n'organisent pas de séances d'examen ou ne trouvent pas de moyens d'améliorer et d'examiner ce qu'elles font pour soutenir le programme. Il s'agit donc d'examiner ce cycle de vie et de s'assurer que des décisions conscientes sont prises pour améliorer les choses au fil du temps. Comme Alastair l'a dit à propos de la portée, vous savez, si vous évaluez 5 % de votre patrimoine de tierce partie le premier jour, les processus pour soutenir cela peuvent être assez basiques. Vous disposez de suffisamment de ressources pour les gérer. Lorsque vous commencez à élargir votre champ d'action au fil du temps, c'est à ce moment-là que vous devez commencer à envisager de revoir certains de ces processus et de voir comment vous pouvez les améliorer pour vous assurer que vous pouvez répondre à un champ d'action supplémentaire ou à des changements de champ d'action au fil du temps.

Alastair Parr: Merci, Joe. Et pour les plus perspicaces d'entre vous, vous avez peut-être remarqué que Joe est un directeur de programme, et non un directeur de projet, pour la bonne raison qu'il doit s'agir d'un cycle itératif et répétable. Il ne s'agit pas d'un exercice ponctuel au cours duquel vous commencez à examiner un programme de tiers. Vous remarquerez donc que nous parlons systématiquement de programmes de tiers, comme le font généralement les gens dans ce domaine, pour cette même raison. Il s'agit d'un cycle de vie qui doit être élagué, ajusté, modifié au fil du temps pour devenir quelque chose d'amélioré. Nous avons défini nos KPI, KISS, nous avons établi les lignes de base et les mesures du programme et nous allons maintenant nous pencher sur notre patrimoine de tiers, l'évaluer et le classer par ordre de priorité. Lorsque nous commençons à nous pencher sur cette question, c'est un problème d'échelle que nous essayons de résoudre et nous constatons le problème commun de l'échelle, à savoir que trop de personnes ne disposent pas de suffisamment de données significatives. Ce n'est pas nécessairement de leur faute, mais c'est lié à de mauvais processus commerciaux, techniquement mauvais, au fil du temps. Il se peut donc qu'ils n'aient pas les informations nécessaires pour savoir quelles sont les données disponibles. Alors, est-ce que nous avons simplement les dépenses des tierces parties ? Savons-nous ce qu'ils font ? Savons-nous qui est le propriétaire de l'entreprise ? Etc. Et les données sont là pour permettre de prendre des décisions significatives. Il est possible d'essayer d'y remédier rétroactivement, mais il s'agit d'une tâche énorme lorsque l'on commence à s'intéresser à des programmes de tiers à grande échelle, et les gens ont tendance à ne pas prendre en compte le contexte commercial. Ils prennent donc des décisions basées sur des éléments tels que le montant total des dépenses et le service de base qu'ils fournissent. Ils ne se demandent pas vraiment ce qu'ils font réellement pour nous en tant que tierce partie. Quelle ligne d'activité ou quel service soutiennent-ils réellement ? Enfin, trop d'entre eux ont les yeux plus gros que le ventre. Ce que nous voulons dire par là, c'est qu'ils se lancent avec optimisme dans ce processus de hiérarchisation et de profilage et disent Typiquement, disons que nous prenons un modèle de niveau 1 à 3, le niveau 1 étant le plus critique, le niveau 3 étant le moins critique, et ils proportionnent les choses en conséquence. Ils essaieront peut-être d'appliquer la règle des 80/20, le niveau 1 représentant les 20 %. Mais la proportionnalité n'est pas prise en compte. S'il n'y a que Joe et moi pour gérer le programme, ce sera probablement irréaliste pour les volumes. Le fait est que nous devons soit modérer l'ordre des priorités pour refléter les ressources de l'entreprise, soit réclamer à cor et à cri des ressources supplémentaires, quelles qu'elles soient, pour nous permettre d'atteindre les buts et objectifs de l'entreprise. C'est pourquoi nous constatons souvent qu'au départ, les gens passent du temps à calculer les ressources afin de comprendre, sur la base des ressources dont ils disposent, c'est-à-dire les personnes, les technologies et ainsi de suite, ce qu'ils peuvent traiter et réaliser de manière réaliste et que cela alimente leurs méthodologies d'établissement des priorités et de tarification. Ainsi, face à ce problème d'échelle, il faut évidemment se demander comment, en tant qu'être humain, nous pouvons réellement y parvenir. C'est assez problématique. Nous ne sommes pas conçus pour traiter l'échelle. Mais il y a plusieurs façons d'aider et de résoudre ce problème. L'un des premiers points que nous prenons normalement en considération est le suivant : qu'est-ce qui est réellement inclus dans le champ d'application ? Qu'est-ce qu'un tiers ? C'est une question fondamentale que l'on aimerait que les gens se posent dès le départ, mais en réalité, nous voyons souvent les gens partir avec une idée préconçue de ce qu'est un tiers lorsqu'ils entrent dans leur programme. Mais lorsqu'on examine ce qu'est une tierce partie, le terme de tierce partie est plus large que celui de vendeur. C'est un terme plus large que celui de fournisseur, et c'est intentionnel, car un tiers est en fait tout ce qui peut soutenir l'entreprise. Il peut s'agir d'entrepreneurs, de prestataires de services, de systèmes et d'actifs qui l'aident. Il en va de même pour les personnes qui ont accès à votre site et qui peuvent être indirectement liées à un tiers, comme une quatrième partie par exemple. Donc, quand vous comprenez ce que vous avez dans le champ d'application, c'est là qu'il faut se demander comment je peux prioriser cela. Joe, comment voyez-vous les gens prendre en compte ces différents facteurs dans l'établissement des priorités ?

Joe Tolley: Oui, bien sûr. Je pense que la première chose à mettre en place et à améliorer pour la plupart des organisations est le processus d'intégration. Peu d'entreprises disposent en effet des bonnes informations sur le service fourni pour identifier l'impact que ce tiers pourrait avoir sur l'entreprise. Il est donc important d'examiner des éléments tels que le service fourni, afin de pouvoir classer ces informations par catégorie et même d'en rendre compte. Mais il faut aussi évaluer le type d'impact que pourrait avoir une défaillance de ce tiers en termes de performance ou de fourniture du service. Une unité commerciale ne pourrait-elle plus fonctionner ? Les systèmes tomberaient-ils en panne ? En posant ce type de questions sur l'impact réel d'un tiers sur l'entreprise, il sera très utile d'établir un ordre de priorité pour déterminer qui doit être évalué en premier, quel type d'évaluation et quel type de contenu doit être inclus dans l'évaluation. Donc, c'est évidemment brillant de s'assurer que ce processus d'embarquement est amélioré. Il s'agit donc d'une lacune fréquente. Euh, il faut aussi s'assurer que les systèmes que vous avez mis en place et qui collectent déjà des informations sont examinés pour identifier ce que vous pouvez exploiter maintenant pour soutenir le programme. Ainsi, si vous n'avez pas bénéficié de tous les avantages historiques d'un processus d'intégration de l'aptitude à l'emploi, vous pouvez peut-être exploiter les informations existantes pour identifier et établir une forme de priorité pour l'évaluation de vos tierces parties. C'est quelque chose qui n'est généralement pas considéré comme un exercice qui vaut la peine d'être fait parce qu'il y a un volume important à faire dans ce type d'activité. Mais il pourrait y avoir des informations provenant d'équipes telles que le système d'approvisionnement de l'équipe d'approvisionnement. Il peut s'agir d'informations provenant d'engagements GDPR antérieurs ou de tiers connus qui, par exemple, doivent se conformer à la norme PCI. Tous ces éléments peuvent mettre en évidence les informations disponibles pour aider à identifier une méthode de priorisation des fournisseurs ou des tiers au fur et à mesure que vous les intégrez dans le programme.

Alastair Parr: Thank you very much, Joe. Now, we actually had a question come in which uh which ties into uh our next point, which is how should organizations consider beyond tier one of the supply chain for TPRM? Uh and it’s a very good question and quite often we tend to see success being in a as you expect a sort of a pyramid-esque model here. Um what we typically see and what we are recommending people do is that they start um aortioning the right quantity of effort that they can against uh the right third parties. So you can see here is a generic example. We’ve got say 15,000 vendors in our estate. Uh ap sorry 15,000 vendors in our estate that we want to try and manage of which say 4,000 are going to be subject to continuous monitoring because they’re prioritized. 2 and a half thousand would therefore get some form of risk remediation or assessments based on that. Uh 1500 assessments are distributed. 300 contextual assessments are done which is of an in-depth review of the assessment results. results uh 100 of those might be subject to additional validation exercises and then of those 20 might require on-site audits. So when you actually look at that in the entirety of it, you’ve created multiple tiing. So yes, you do have a tier one, tier two, tier three model where you might say assess the tier 3s on a every two three year basis. You might just use continuous monitoring against them etc. But the reality is you really need to start breaking down the tier ones as well to consider the level of effort you want to invest against each of those tier ones. So, some of those might need an on-site or remote audit. Some of them might need some contextual information shared with the business, for example. Uh, and that may extend beyond the tier ones as well. Now, tied to that question. So, if we’re actually looking at the tier 2s and the tier 3es, we appreciate that we might not do very much of them. We may just repeat this process on a slightly less frequent cadence. It’s all going to be tied again to the business resource. If if you’ve only got a small number of people to actually manage your third party estate, you may really never be able to do more or anything than tick a box or or try and do some very lightweight assessments against those third parties or be quite reactive in in how you’re engaging with them. But the best chance you’ve got is enforcing as part of the renewal process capturing information on that third party so you can make an effective decision about which tier they’re in and therefore what amount of effort you’re going to associate to those. So it can be an iterative process to start feeding them into this this broader life cycle and workflow. So onwards to assessment design and distribution. So we’ve tiered, we’ve profiled, we know who we want to engage with etc. And obviously a core foundational component of a third party program is assessments and continuous monitoring associated to that. And when we look at the the the noise that we see associated to a to a third party estate and managing them, we see some very common themes and issues. So firstly, we’re seeing that too many lack regular consistent assessment formats. Now this is simply a case that it may be while not a one-sizefits-all approach for assessments. You at least want to be consistent in the fragmented question sets that you’re asking them. So, you should always be asking about certain key controls. Uh certain domains might be only relevant for certain services, but you want to be consistent in how you structure those domains and capture the information. And those domains are beyond assessments. We’re talking about cyber monitoring, business monitoring, financial monitoring, ESG, etc. Uh too many of them are actually failing to consider the communication mechanisms, which is well, how do we actually engage with these third parties in a way that’s effective and at scale. Quite often they’re relying on an initial interaction and then realizing that 50% of the estate isn’t actually responding back. So they don’t know how to actually talk to the business uh their own business as much as the third parties. And then too many fail to ask contextual questions across a full profile. And what we mean by that is people are sending out say SIGs, HISAC assessments, PCs, their own proprietary assessments, whatever it may be. But what they’re not doing is actually asking the the the questions you’d expect. up front. So, we’d want to understand who are they, what are they doing, what do they need to do that, how are they doing it, etc. The information that helps feed and drive our decision-m process and also too many of them are simply failing to engage the business. Now, this is probably the most prolific issue we see when it comes to the assessment methodology, which is we are driving a third party program because these third parties are providing a service to the business. It’s not just Joe and I who are getting value out of these third parties. We’re not doing it for fun. Uh we’re doing it because the business has a need to do so and they’re essentially functioning as our customers in a third party program. So we need to engage with them, communicate with them and share the information around what a third party is doing and where necessary getting their involvement and buyin. So these are the stakeholders, the project sponsors, these are the uh relationship managers, the third party etc. They should be as part of that assessment process as possible. So we look at that sort of consistency and engagement. There also needs to be some form of structure. It can’t be some lovely freeforall for that sort of third party process or third party party. We need to make sure that we have consistency in that approach. So Joe, I was hoping you can give me a bit of insight into what you’re seeing as good practice and what some of the pitfalls and traps are related to uh way to to the assessment methodology of a third party program.

Joe Tolley: Oui, bien sûr. Au cours des dernières années, nous avons vu de nombreuses façons étranges et merveilleuses d'évaluer les tiers avec différents contenus de questionnaires. Je dirais que l'inconvénient le plus courant est une manière inefficace de capturer les données pour pouvoir identifier le risque et travailler avec le risque de manière efficace. Le fait d'avoir un ensemble de questions qui, par exemple, sont des réponses textuelles libres, signifie simplement qu'il y a plus de temps à consacrer à la collecte des données. Cela signifie simplement que l'on passe plus de temps à interpréter les données qui reviennent. Dès que vous vous laissez la possibilité d'utiliser des questionnaires libres, d'identifier et de rendre difficile l'identification des risques, la notation des risques devient incohérente. Différents représentants examinent les réponses de différentes manières. Il est donc très difficile de produire un registre des risques précis, normalisé et cohérent que l'entreprise puisse utiliser. Et bien sûr, cela rend également les rapports incohérents. Il s'agit donc de mettre de l'ordre dans le contenu des questionnaires pour en faire quelque chose de répétable, quelque chose d'aussi binaire que possible pour pouvoir saisir des champs standardisés par exemple, auxquels vous pouvez ensuite associer des pondérations et des notations de risque. qui, bien sûr, est probablement celui qui est euh le plus courant mais qui apporte la meilleure valeur à l'entreprise. Une fois que vous avez défini ces risques et que vous avez défini vos pondérations de risque, cela devient un exercice standardisé que vous pouvez également poursuivre dans l'entreprise. Vous savez, regarder les risques, regarder les scores et identifier ce qui est acceptable au sein de l'entreprise du point de vue de la remédiation et ce qui se passe ensuite si quelqu'un génère un risque d'un certain niveau. Il faut donc s'assurer que l'approche du contenu est aussi efficace que possible. Il faudra investir du temps au départ pour que ce soit aussi détaillé qu'il le faut et aussi binaire qu'il le faut, mais il est évident que vous ouvrez la voie à un avenir efficace en gérant ce contenu et les réponses que vous obtenez en retour.

Alastair Parr: Merci Joe et je suis tout à fait d'accord sur le fait que le travail en amont, la préparation, l'organisation de la fête font toute la différence dans ce qui se passe par la suite. Pour donner quelques exemples de ce que nous voyons à ce sujet, quel type de contenu nous voulons commencer à être, nous le voyons plus régulièrement maintenant et typiquement un programme de tierce partie comme je l'ai mentionné implique plusieurs parties et nous voyons des considérations autour de la sécurité de l'information, donc bien sûr des contrôles clés, des domaines clés, etc. la continuité des activités, la reprise après sinistre, la résilience, en particulier au cours des 18 derniers mois, ce qui est assez amusant, les obligations réglementaires pour assurer la conformité, l'audit et le service juridique, et comprendre comment commencer à prendre en compte des éléments tels que les réglementations californiennes, le GDPR, nos propres réglementations locales, les réglementations verticales, en ce qui concerne les données de fret. Nous constatons que de plus en plus de personnes prennent en compte des éléments tels que les scans de vulnérabilité passifs, bien sûr, les résultats des pentests et l'exposition aux résumés exécutifs des pentests, ce qui est devenu beaucoup plus important maintenant, plutôt que de simplement se fier à un rapport Sock 2 ou à une déclaration d'applicabilité ISO 27 0001, les gens veulent obtenir une validation par rapport à cela, et ensuite l'adéquation, des composants tels que la stabilité financière ESG, les contrôles éthiques, la qualité et la durabilité, qui semblent devenir de plus en plus dominants dans certains des programmes de tiers que nous observons. Historiquement, l'accent était mis sur l'extrême gauche et ce que nous voyons, c'est qu'au fil du temps, les gens évoluent et commencent à prendre en compte d'autres critères de menace et d'adéquation dans leurs programmes. Heureusement, nous pouvons dire que, bien qu'il s'agisse d'un problème courant, nous constatons que les gens s'y attaquent progressivement, ce qui est rassurant. Une fois que nous avons pris en compte certains des critères que je souhaite examiner, nous devons nous demander à quoi ressemble le profil d'un fournisseur. Si l'on considère par exemple les programmes de tierce partie de niveau 1, 2 et 3, il peut y avoir un sous-ensemble que nous voulons couvrir pour chacun d'entre eux. Encore une fois, l'un des pièges les plus fréquents que nous voyons est que les gens se concentrent sur les seules certifications ou les seules évaluations, ce qui est dangereux.

Alastair Parr: Nous recommandons de prendre en compte l'ensemble de ces éléments et l'un des pièges les plus fréquents est de ne pas prendre en compte des éléments tels que le profil financier en le considérant de manière isolée. Ils ne prennent pas en compte les flux ESG. Ils ne tiennent pas compte des événements proactifs et du contexte commercial qui alimentent l'information. Ainsi, je consomme un service de quelqu'un et je peux voir qu'il va être racheté dans trois mois. Je peux donc m'attendre à des changements dans son fonctionnement et ses opérations. Ce sont toutes de bonnes données contextuelles qui m'aident à comprendre ce que fait ce tiers et qui contribuent à son profil et à la façon dont je vais finalement gérer son risque. En haut à gauche, nous voyons de plus en plus de gens s'en occuper, mais c'est fondamentalement l'un des plus gros problèmes du risque de tiers. est le tiers. Nous n'avons donc pas les ressources nécessaires pour gérer les tiers. Comment allons-nous faire pour gérer les quatrième, cinquième, sixième parties et ainsi de suite ? Et il n'y a pas de solution simple et rapide à ce problème. Nous avons besoin de ressources et nous devons chercher des moyens intelligents de les capturer. C'est pourquoi nous recommandons au moins que les gens posent des questions. Qui sont les parties finales avec lesquelles vous traitez ? Pourquoi les utilisez-vous ? Euh, et juste pour obtenir le contexte, vous pourriez au moins commencer à prendre des décisions si vous ne vous adressez pas vous-mêmes à ces parties finales. Si l'on considère maintenant une partie de cette préparation préalable, nous voudrions voir certains de ces flux de travail. Nous voulons nous assurer que nous avons défini ce à quoi ressemble un bon programme, quelles doivent être les évaluations de risque, quelles doivent être les questions d'évaluation, quel type de contrôle allons-nous activer, et quelles sont les exigences de remédiation pour l'entreprise et les tierces parties. Un bon programme aborde trois des domaines clés au bas de la page. Les points de défaillance uniques restent un problème courant, à moins que vous ne commenciez à documenter vos mesures correctives passées et ce que vous essayez de faire. Vous avez donc quelques auditeurs ou quelques consultants qui sont des experts en la matière et vous comptez sur eux pour tout gérer dans ce domaine de risque. C'est très bien.

Alastair Parr: Mais lorsqu'ils partent un jour et que quelqu'un d'autre prend leur place et a une perspective et une tolérance au risque complètement différentes, cela va se refléter dans les résultats que vous obtenez et votre programme, que vous vous y attendiez ou non, va commencer à dévier et des schémas vont émerger. Nous vous recommandons donc de documenter et d'être cohérent dans la manière dont vous suivez ces risques, ces évaluations et ces exigences. Euh, et ensuite essayer d'atténuer certains de ces points de défaillance. réponses. Nous ne recommandons pas vraiment de répondre par oui ou par non. Nous recommandons que vous ayez des choix, des choix clairs et prescriptifs autour de vos évaluations. Nous avons constaté que cela est plus efficace parce que vous indiquez ce que nous devons voir au lieu de les laisser interpréter directement la série de questions. Il est également possible de réduire considérablement le nombre de questions et de définir les recommandations que j'ai mentionnées plus haut. La communication avec les tiers est un problème majeur que nous constatons dans le domaine des risques liés aux tiers : les gens envoient des évaluations, s'engagent avec l'entreprise, mais ne prennent pas vraiment en compte certains des aspects marketing, à savoir que nous parlons à l'entreprise en interne, nous sommes en contact, nous parlons à l'extérieur avec des vendeurs, des fournisseurs, mais bien souvent le moment, le ton et la source de ces communications ne sont pas vraiment pris en compte dès le départ dans le cadre du programme, donc l'une des solutions les plus rapides que nous voyons pour résoudre le problème des résultats d'évaluation insuffisants, les personnes ne s'engagent pas ou l'entreprise elle-même ne s'engage pas directement, c'est la prise en compte de ces facteurs. Il s'agit donc souvent de l'une des solutions les plus simples à mettre en œuvre dans le cadre d'un programme. Nous devons donc comprendre comment nous engager avec l'entreprise ? Il ne s'agit pas seulement de savoir quand, mais aussi de connaître la cadence. Nous devons comprendre le ton. Comment communiquer de manière à obtenir des résultats de la part de l'entreprise ? Et de qui cette voix doit-elle provenir ? Est-ce le RSSI ? Du DSI ? Le responsable de la sécurité de l'information ? Est-ce que c'est le responsable des relations avec les entreprises ?

Alastair Parr: Vous savez, il y a différents aspects de l'entreprise qui peuvent peser sur la balance et faire en sorte que les gens réagissent. Cela peut même aller jusqu'à impliquer l'approvisionnement et le service juridique dans le cas des tiers. L'un des principaux enseignements de la session est donc qu'il faut réfléchir à la communication avec les tiers. Nous pouvons en fait apprendre beaucoup de certaines équipes de marketing dans nos entreprises respectives pour comprendre ce qui est efficace et ce qui ne l'est pas. À présent, nous disposons d'une multitude de données. Nos résultats sont fantastiques. J'ai une centaine de risques pour chacun de mes 10 000 fournisseurs que j'ai évalués et contrôlés, et maintenant je regarde cet océan sans savoir quoi faire. L'un des grands problèmes que nous voyons lorsqu'il s'agit de remédier aux problèmes et d'en assurer le suivi. L'un des plus gros problèmes est la mauvaise définition des exigences et des moteurs. Trop nombreux sont ceux qui n'informent pas d'emblée les tiers de ce qu'est une bonne chose. Qu'attendons-nous d'eux ? Ils cherchent des conseils sur le minimum d'efforts qu'ils peuvent investir pour vous satisfaire, et nous devons leur donner des lignes directrices et des jalons pour cela. Nous recommandons donc de donner des conseils de remédiation dès le départ afin de rationaliser le processus. Il s'agit même de leur donner du contenu qu'ils peuvent réutiliser et réorienter, à condition qu'ils l'utilisent de manière efficace. De même, trop de gens ne parviennent pas à transmettre le problème en aval aux tierces parties elles-mêmes. Vous prenez la responsabilité de gérer le problème, en agissant comme un auditeur, alors qu'en réalité nous voulons armer les tiers pour qu'ils gèrent eux-mêmes le processus de remédiation des risques. Sinon, nous nous retrouvons avec des centaines ou des millions de risques et de problèmes que nous sommes capables de suivre et nous sommes paralysés par l'impossibilité de faire quoi que ce soit à ce sujet. Ainsi, si vous examinez les problèmes centraux autour de cette question, il s'agit souvent d'un problème d'échelle.

Alastair Parr: Nous avons beaucoup de parties et de participants qui veulent faire le strict minimum parce qu'ils veulent continuer à recevoir les flux de revenus qu'ils obtiennent de vous pour fournir un service et ils ne veulent pas investir d'efforts inutiles pour le faire. Et au-delà de cela, nous devons faire en sorte qu'ils le fassent d'une manière efficace et qu'ils puissent démontrer que nous atteignons nos KPI et nos KIS. Lorsque l'on considère les choses sous cet angle, on se rend compte que l'on ne fait que nuire à de nombreux chats, à la propriété des tiers, ce qui est problématique. Et pour ceux d'entre vous qui ont essayé de faire du mal aux chats, vous vous rendez compte qu'il faut un peu d'habileté et de chance. Mais il y a un certain nombre de choses que nous examinons et que nous prenons en compte lorsque nous commençons à réfléchir à ce que pourrait être ce processus. D'abord et avant tout, cette diapositive est impressionnante, c'est pourquoi je l'ai précédée d'une belle image brillante. La raison pour laquelle elle est écrasante est qu'il s'agit d'un exemple de flux de travail de ce à quoi un bon programme pourrait ressembler. Vous voyez, il y a plusieurs points de contrôle, plusieurs critères impliqués et plusieurs étapes. Mais lorsqu'on le décompose et qu'on le ramène à ses niveaux les plus élémentaires, il s'agit de passer par ces étapes, de comprendre l'ampleur de l'effort à fournir et de s'arrêter dès que l'on a atteint la zone kilométrique appropriée. N'en faisons pas plus que nécessaire. Nous avons reçu les données. Devons-nous nous engager plus avant ? Devons-nous investir davantage de ressources, etc. Ce processus de remédiation, de suivi et de gestion consiste à investir le minimum de ressources possible pour obtenir le résultat le plus efficace. Nous voyons des gens paralysés par le perfectionnisme en essayant de s'assurer qu'ils gèrent tout et chaque fournisseur au millième degré. Dans la grande majorité des cas, ce n'est pas nécessaire. Le fait est qu'il y aura des étapes et des points de contrôle tout au long du processus de remédiation qui vous permettront de vous arrêter et de passer à l'étape suivante. Cela s'applique aussi, bien sûr, au programme des tiers en général, où la perfection ne doit pas être la finalité. En ce qui concerne le processus de remédiation lui-même, Joe, avez-vous des conseils ou des idées sur la manière de mener efficacement la remédiation des risques ?

Joe Tolley: Oui, il y a beaucoup d'idées ici. Euh, principalement autour de la définition de la logique en amont pour soutenir ces types de euh ces types de processus. Comme vous l'avez dit Alastair, il pourrait y avoir des dizaines de milliers de risques à examiner. Il sera donc essentiel d'identifier un moyen de les classer par ordre de priorité. L'un des meilleurs investissements en temps que je puisse imaginer est d'examiner le contenu de l'enquête et d'élaborer ce processus à partir de là. Ainsi, en examinant les questionnaires, les questions que nous posons et les réponses disponibles, nous pourrions en fait prédéterminer ce qui devrait se passer ensuite si un tiers répond d'une certaine manière. Ainsi, si nous demandons à un tiers s'il a une politique en matière d'infosc et qu'il répond par la négative, nous savons déjà quelle sera l'issue. Nous pourrions donc peut-être consacrer un peu de temps à décider en interne de ce que nous devrions faire si quelqu'un répond de cette manière. Il est évident qu'une politique de l'infoset devrait être assez importante. Nous devrions donc établir des lignes directrices de base sur la façon dont notre équipe de remédiation devrait s'engager avec la tierce partie, ce qu'elle devrait dire et ce que l'on attend d'elle. Vous savez, c'est peut-être qu'une politique d'infoset est nécessaire dans les trois mois et que nous voulons qu'elle contienne X, Y et Zed. Ainsi, en utilisant le contenu du questionnaire et certains des contrôles clés qu'il contient, nous pouvons déjà identifier les prochaines étapes et définir un cahier des charges pour l'examen des réponses et la gestion des risques qui en découlent. L'avantage réel de cette démarche est que nous n'avons pas besoin de faire appel à des experts en remédiation des risques si nous avons défini ces informations dès le départ. Ainsi, s'il y a une pénurie de ressources et que nous ne sommes pas en mesure de traiter suffisamment de risques mois après mois. Si nous réalisons ce type d'exercice pour définir notre logique " si ceci, alors cela ", nous pourrons peut-être demander à quelqu'un d'autre de notre équipe d'analystes d'examiner ces risques et d'être la personne de première ligne qui s'engage avec le tiers pour aider à résoudre certains de ces risques. Nous pouvons donc rendre le processus beaucoup plus efficace en investissant du temps dans l'examen des questions, des réponses et de la manière dont nous devrions agir si quelqu'un répond d'une certaine manière. D'accord. En ce qui concerne l'établissement des priorités, ce que nous devons vraiment faire, encore une fois, cela découle du questionnaire, c'est examiner quels sont les véritables contrôles clés que nous devons réaliser dans le cadre de notre processus de remédiation. Vous savez, y a-t-il un ensemble spécifique de risques ou de questions qui doivent être en place s'il s'agit d'un tiers de niveau 1, par exemple, ou d'un fournisseur ? hum et en fait identifier ce à quoi ressemble une bonne chose pour nous, quelle est notre sorte de couche de base pour aller de l'avant avec un fournisseur. Si nous prenons le temps de définir ces paramètres, nous sommes bien sûr beaucoup mieux équipés avec les bons outils pour pouvoir nous engager avec un tiers, avoir une conversation très efficace avec lui, fixer des objectifs clairs sur la date à laquelle les choses doivent être livrées pour, vous savez, progresser avec un fournisseur et aller de l'avant avec lui. Et euh, parce que nous avons aussi l'expérience de l'examen de ces risques et de la définition des attentes. Nous pouvons également gérer le niveau d'effort que nous attendons de la part des tiers pour nous soutenir dans notre progression à travers ces risques.

Alastair Parr: Merci Joe. Je vois que nous avons plusieurs questions. Nous essaierons de répondre à certaines d'entre elles dans la section Q&R, mais j'en mentionnerai une parce qu'elle est particulièrement pertinente : comment fournir des conseils en matière de remédiation tout en évitant d'engager sa responsabilité en cas d'échec ? Parlez-vous de conseils de haut niveau sans entrer dans des plans d'action spécifiques ? C'est une très bonne question, car il existe un équilibre délicat entre le fait de conseiller la mise en œuvre et le fait d'avoir un certain degré de responsabilité associé à cela, mais vous agissez en tant que conseiller. Vous ne supprimez pas l'obligation et l'engagement qu'ils ont de respecter les bonnes pratiques et d'avoir leurs propres mécanismes d'audit interne et de conformité. Ce dont nous parlons, c'est de leur donner un aperçu de ce que sont les bonnes pratiques. Nous recommandons donc de leur dire ce que nous attendons d'eux et qu'ils reviennent ensuite vers vous avec un aperçu de la manière dont ils appliquent ces pratiques dans leur entreprise. Il ne s'agira pas d'un modèle à l'emporte-pièce. Il ne s'agira pas d'une solution unique à cet égard. Il s'agira d'une situation dans laquelle, vous savez, ils devront vous présenter un plan d'attaque et ensuite, malheureusement, en tant que spécialiste du risque et de la conformité, vous devrez prendre une décision éclairée quant à savoir si cela correspond à votre tolérance au risque ou non. Vous devez supposer et souligner d'emblée que vous n'acceptez, bien sûr, aucune responsabilité associée à cela. Bonne question. Avant de passer aux autres questions, revenons au tout début, lorsque nous examinons les flux de travail des tiers en eux-mêmes et le cycle de vie des tiers, ce que nous avons approfondi aujourd'hui. Il y a bien sûr de multiples éléments dans ce parcours au sein du programme des tiers. Comme vous pouvez le constater, une grande partie de ce parcours commence par des exercices préliminaires. Si vous adoptez un programme de tiers ou si vous en héritez, il se peut que certaines mauvaises pratiques soient décrites dès le départ. Ne vous sentez pas obligé et si vous êtes dans votre entreprise. Ne vous sentez pas obligé de les adopter et nous vous recommandons très fortement de prendre le temps de creuser la question, de vous engager avec l'entreprise, de voir si elles sont nécessaires et, si possible, de les adapter et de les ajuster. Très souvent, lorsque nous voyons ces programmes échouer, c'est parce qu'ils sont construits sur les fondations quelque peu bancales de leurs prédécesseurs. Il y a donc beaucoup de planification au départ et il s'agit d'optimiser, d'ajuster et d'élaguer au fil du temps pour que le programme soit efficace. Sur le côté gauche, la normalisation et l'étalonnage des performances lorsque l'on traite des volumes de données. Mais il y a toujours un facteur humain. Il y aura un contexte dans la façon dont nous interagissons avec des tiers. Il y aura un contexte dans nos exigences et nos processus de décision qui détermineront la façon dont nous conduisons ce processus de remédiation et la façon dont nous nous engageons et mesurons le succès. Donc, si nous voulons résumer et distiller les bonnes pratiques en la matière et ce qu'il faut éviter, il ne faut pas travailler sur de mauvaises bases. Faites-en un programme. Faites en sorte qu'il soit reproductible. Assurez-vous que vous avez mis en place les mécanismes nécessaires pour réussir. Veillez donc à ce que vos efforts et vos objectifs soient proportionnels aux ressources dont vous disposez et prenez le temps de planifier en amont afin de pouvoir les répéter, de les rendre cohérents, de saisir le contexte et de vous engager avec l'entreprise. Avant de passer aux questions et réponses, Joe, y a-t-il quelque chose que vous aimeriez ajouter ?

Joe Tolley: Sur ce point, Alastair, je pense que c'est un très bon point de départ si vous pensez à faire progresser et à optimiser un programme, surtout si vous avez hérité de quelque chose. Je recommanderais certainement toute la phase dont nous avons parlé concernant l'évaluation de la maturité, c'est-à-dire l'examen de chacun des éléments qui composent un programme sain afin d'identifier les faiblesses potentielles. Vous savez, cela peut mettre à jour des choses au niveau des fondations qui pourraient être corrigées très facilement et rapidement, mais qui améliorent évidemment l'efficacité du programme dans son ensemble. Um vous savez vous très facilement. Je recommanderais donc certainement d'examiner d'abord ce type d'engagement ou d'exercice, car je pense qu'il devrait permettre d'identifier des éléments clairs qui pourraient être revus et, comme je l'ai dit, des gains rapides.

Alastair Parr: Merci Joe. Je vois que les questions affluent rapidement. Nous allons donc passer à la séance de questions-réponses pour les prochaines minutes. Amy Tweed: D'accord, je reviens ici. Juste avant de passer aux questions, je vais donner une pause à Alastair et Joe pour qu'ils puissent boire une gorgée d'eau et reprendre leur souffle. Mais c'était vraiment une excellente présentation. J'ai particulièrement aimé la photo des chats qui hurlent. C'était génial. De superbes images. Je vous propose un petit sondage au cas où certains d'entre vous devraient partir plus tôt. Comme nous l'avons dit, nous sommes là pour vous aider. Donc si vous cherchez à augmenter ou à établir un programme de risque de tierce partie cette année, peut-être au début de l'année prochaine, vous savez, dites-nous oui, non, je ne suis pas sûr. Nous sommes là pour vous aider. Vous pouvez toujours nous envoyer un courriel à [email protected] si vous cherchez quelqu'un avec qui discuter. Nous allons donc passer aux questions-réponses. Je vois que nous avons quelques questions. Je vais laisser la question du sondage en suspens pendant un moment. Et si vous avez d'autres questions à poser pendant que nous terminons, n'hésitez pas à les poser. C'est une très bonne occasion d'obtenir des réponses à toutes vos questions. Alastair Joe, je vais vous les lire, si vous le voulez bien, et nous partirons de là. Très bien, nous sommes prêts. Nous sommes prêts. L'une des premières questions que je me pose est la suivante : voyez-vous des situations où les résultats de la gestion des risques des tiers sont tels qu'une organisation choisit de mettre en place des activités en interne ?

Alastair Parr: Oui. C'est une question très intéressante, car très souvent, si vous parlez à l'entreprise, elle vous dira : "Non, j'ai besoin de cela. Il n'y a pas d'alternative. Nous devons aller de l'avant et accepter tous les risques et la responsabilité associés à cette tierce partie". C'est donc un défi parce que vous essayez de convaincre l'entreprise qui a manifestement un intérêt direct à intégrer cette tierce partie, euh, qu'il pourrait y avoir des défis associés. Et vraiment, oui, nous voyons des situations. Tout dépend de l'appétit de l'organisation. Beaucoup d'entreprises, bien sûr, préfèrent l'internalisation à l'externalisation. Mais nous voyons des situations où, dans la mesure du possible, il est possible de faire appel à des ressources pour répondre à la même demande. Le défi, bien sûr, et la raison pour laquelle beaucoup de gens optent pour des tiers, c'est qu'ils sont des spécialistes ou devraient être des spécialistes dans leur domaine et vous aimeriez penser qu'ils seront plus efficaces et sans doute meilleurs dans ce qu'ils font parce qu'ils vivent et respirent ce domaine jour après jour. Mais nous avons du mal à trouver une situation où l'on peut dire non à l'entreprise et c'est le principal facteur qui détermine si elle va l'intégrer ou non. Cela dépendra donc beaucoup de votre tolérance commerciale et des relations que vous avez avec votre entreprise au sens large.

Amy Tweed: J'ai compris. Merci pour cette question. Très bien, passons à la suite. Quelle est la différence entre l'évaluation contextuelle et l'évaluation par le biais des domaines du PCF ? Alastair Parr: Ah, c'est une personne très perspicace. L'évaluation contextuelle consiste à examiner le qui, le quoi, le où, le pourquoi et le comment de cette tierce partie. Qui sont-ils ? Que fait-il ? Comment vous soutiennent-ils ? Il ne s'agit pas d'une question basée sur un domaine de risque, ni de questions ou de domaines associés. Il n'y a pas de bonne ou de mauvaise réponse. Il s'agit simplement de nous donner suffisamment d'informations pour nous faire une idée de qui ils sont, de ce qu'ils font et de la façon dont nous devrions les approcher. C'est pourquoi nous nous concentrons sur l'évaluation contextuelle et nous pouvons utiliser ces données pour établir une corrélation avec les différents domaines de risque que nous examinons. Ainsi, le PCF, selon votre interprétation, sera souvent le euh cadre de politique et de contrôle que vous examinez. Il s'agit donc d'examiner les différents contrôles de l'entreprise, les processus, les politiques et ensuite de corréler les deux, dans quel contexte, que font-ils pour nous ? Est-ce que cela signifie que je dois m'inquiéter de quelque chose ? Ainsi, vous savez, s'ils nettoient des aquariums pour vous dans votre réception, mais ne vont jamais à l'intérieur de l'entreprise, vous n'êtes probablement pas très préoccupé par des choses telles que leur posture de sécurité physique dans leurs bureaux. Il s'agit donc d'une question de contexte.

Amy Tweed: Génial. Merci pour cette question. Alors, oui, il nous reste encore quelques minutes. Je sais que nous approchons de la fin de l'heure, il nous reste environ six minutes. Donc, si vous avez des questions, posez-les maintenant. Des experts y répondront, ce qui est très agréable. La prochaine question concerne le niveau de maturité 2 d'une entreprise. Combien de temps faut-il pour atteindre le niveau A4 ? Alastair Parr: C'est une très bonne question. Joe, vous êtes notre expert en matière d'évaluation de la maturité. Joe Tolley: Oui, bien sûr. Il n'y a pas de problème. Oui, c'est une bonne question. C'est difficile à dire. Hum, d'après ces évaluations de maturité, vous savez, à ce jour, hum, il se peut que vous soyez à un niveau deux sain et vous savez, l'effort pour arriver à un niveau quatre est vraiment hum, vous savez, un truc optimal. Il se peut aussi qu'une organisation dispose déjà d'un programme mature, mais qu'il lui manque certains éléments fondamentaux, ce qui explique que le niveau de maturité ait beaucoup baissé. Je dirais qu'il est difficile de fixer un délai, mais je dirais qu'en l'espace de 12 mois, vous devriez être en mesure d'atteindre au moins un niveau de maturité. Mais tout dépend du nombre d'éléments qui contribuent à cette augmentation et, bien entendu, des ressources dont vous disposez pour soutenir ce type d'exercices. L'évaluation de la maturité que nous menons aboutit à une liste binaire d'éléments avec des niveaux d'effort estimés pour chacun d'entre eux. Ce serait donc une bonne idée de s'impliquer dans ce type d'évaluation de la maturité, juste pour que vous puissiez voir le type de choses que nous recherchons et qui contribuent à l'augmentation du niveau de maturité. Et bien sûr, nous pourrions alors vous donner des détails assez précis sur le temps que nous attendons, vous savez, d'une organisation assez mature pour y parvenir.

Amy Tweed: Très bien. Merci, Joe. Très bien, nous avons encore quelques questions. Vous avez ensuite parlé de la communication avec les entreprises. Cette personne est d'accord, mais quel niveau de détail fournissez-vous à vos partenaires commerciaux pour qu'ils puissent prendre une décision en connaissance de cause ?

Alastair Parr: Oui. C'est un point délicat car ils comptent sur vous en tant qu'expert en la matière à certains égards. Très souvent, l'équipe de gestion des risques de la tierce partie fournit des informations et des conseils éclairés au propriétaire de l'entreprise, puis lui demande d'accepter ou de rejeter et lui transmet les propriétaires, ce qui est un peu injuste car il n'est pas l'expert en la matière. L'équipe du programme de la tierce partie devrait donner des conseils plus définitifs au propriétaire de l'entreprise sur la nature du problème associé et sur ce à quoi il doit s'attendre. Nous ne recommandons donc pas normalement de leur donner toutes les nuances, tous les risques, tous les problèmes. Ce que nous leur disons généralement, c'est de les laisser entrer dans la partie tierce jusqu'à un certain point, mais pas jusqu'au bout. Laissez-les voir les résumés généraux, donnez-leur des conseils et des recommandations et accompagnez-les tout au long du processus de prise de décision. Bien sûr, la responsabilité peut leur incomber et ils peuvent prendre la décision finale, mais ils n'ont pas besoin de connaître toutes les nuances de chaque risque et de chaque problème. Amy Tweed: J'ai compris. Merci, Alastair. Très bien, j'aime beaucoup cette dernière question du public. Les participants souhaitent obtenir des précisions sur d'autres indicateurs clés de performance (KPI) de la gestion des risques des tiers que l'on peut utiliser et sur la meilleure façon de les suivre.

Alastair Parr: Si nous examinons le programme, je fais la différence entre un KPI et un KRI. Si l'on considère uniquement la performance du programme, il y a des niveaux d'attente que l'on peut attribuer en fonction des ressources. Euh, ce que nous faisons normalement pour piloter un KPI et ou pardon, nos critères KPI, c'est que nous utilisons le calculateur de ressources dès le départ. Tout d'abord, nous cartographions le flux de travail du service de haut niveau. Nous devons donc comprendre quels sont les points de contrôle et les jalons. En fonction de cela, nous introduisons le volume du patrimoine que nous possédons et, sur cette base, nous pouvons définir ce qu'est un ICP efficace. Nous savons donc que nous avons des niveaux 1, 2 et 3, par exemple, et qu'ils doivent passer par ces points de contrôle et ces étapes. Nous ne savons pas à l'avance jusqu'où chacun d'entre eux va aller, mais ce que nous pouvons comprendre, c'est ce que notre équipe est capable de faire avec les automatismes dont elle dispose et ce qu'elle est capable de faire. Il s'agit donc de bonnes mesures d'amélioration des KPI. Ce que nous voulons voir, c'est comment nous pouvons trouver des moyens d'augmenter les volumes de tiers qui passent les différents points de contrôle, car il est très rare que vous ayez plus de ressources et de capacités que vous n'avez de domaines de tiers. C'est généralement l'inverse qui se produit. Par conséquent, certains des meilleurs indicateurs clés de performance que nous attendons et que nous espérons voir sont les suivants : un nombre X de tiers passent le processus d'évaluation en un nombre de jours donné. Comment pouvons-nous raccourcir ce délai ? Nous constatons un nombre Y de risques. Comment pouvons-nous le réduire en fonction de notre tolérance au risque ? Comment réduire le nombre de risques que nous devons accepter régulièrement ? Et ce n'est pas en supprimant les risques. Il s'agit simplement de changer les règles du jeu en ce qui concerne ce que nous considérons comme acceptable et tolérable. Ainsi, tout bon indicateur de performance clé doit être basé sur les ressources disponibles et les automatismes dont vous disposez pour faire passer aux tiers les étapes et les portes de votre flux de travail à haut niveau de service.

Amy Tweed: Génial. Merci Alastair. Je pense que c'est tout pour les questions du public. Alastair ou Joe, aimeriez-vous ajouter quelque chose avant que nous ne clôturions notre session d'aujourd'hui ? Alastair Parr: Non, mais merci à tous d'avoir écouté. Joe Tolley: Oui, j'en ai assez. Merci. Je vous remercie. Amy Tweed: Oui, nous apprécions vraiment votre expertise et, pour rappel, cet entretien est enregistré, il vous sera donc envoyé dans votre boîte de réception demain matin à la première heure. Encore une fois, si vous avez des questions ou si vous voulez savoir par où commencer ou quoi que ce soit concernant la gestion des risques liés aux tiers, vous pouvez nous envoyer un courriel à info prevalent.net. Suivez-nous sur LinkedIn, suivez-nous sur Twitter. Nous sommes là pour vous aider et nous avons une tonne de webinaires et de blogs à partager avec vous. Merci à tous de vous être joints à nous. J'espère que vous passerez une bonne fin de journée, où que vous soyez. Merci Alastair et merci Joe.

Joe Tolley: Merci à tous. Je vous souhaite une excellente journée.