Évaluations des risques par des tiers : Quelle est la réactivité de vos fournisseurs ?

Ashley: Je m'appelle Ashley et je travaille au développement commercial chez Prevalent. Nous sommes en compagnie d'un invité très spécial, Brian Littlefair, ancien RSSI du groupe Vodafone. Bonjour Brian.

Brian Littlefair: Comment va tout le monde ?

Ashley: Et notre propre vice-président du marketing produit, Scott Lang. Comment ça se passe, Scott ?

Scott Lang: Hé, Ashley.

Ashley: Aujourd'hui, Brian va nous expliquer comment faire participer vos tiers à vos évaluations des risques liés aux fournisseurs. Brian, je vous laisse la parole.

Brian Littlefair: Très bien. Merci, Ashley. Et bonjour à tous. C'est formidable de pouvoir parler à nouveau aux clients potentiels et actuels de Prevalent et, vous savez, à ceux qui sont simplement ici pour écouter le sujet. Je pense que c'est un sujet très intéressant aujourd'hui. Vous savez, quelle est la réactivité de vos fournisseurs ? Hum, c'est un défi particulier auquel beaucoup d'entre nous sont confrontés, en fonction de l'état d'avancement de nos initiatives individuelles de TPRM et, vous savez, je reconnais qu'il y aura des participants à l'appel qui en sont au tout début de leur parcours et d'autres qui sont très avancés. J'ai donc essayé d'être assez holistique avec les messages individuels. Je m'en excuse. Je souffre d'une infection de la poitrine, mais je suis sûr que nous nous en sortirons. Mais si la voix s'interrompt de temps en temps, c'est pour cette raison. Alors, sans plus attendre, de quoi allons-nous parler aujourd'hui ? Un peu de mise en scène de ma part. Où sommes-nous, de quoi parlons-nous et quel est le contexte de ce que nous essayons de réaliser ? Toutes les organisations, ou du moins toutes celles qui prennent au sérieux la gestion efficace des risques et la protection des données des clients, mettent en place un programme de gestion des risques pour les tiers. Il est évident que l'aspect et le fonctionnement de ce programme varient en fonction du secteur d'activité, de la zone géographique et de la manière dont vous interagissez avec vos clients. Mais quoi qu'il en soit, nous essayons tous de faire ce qu'il faut. Il est évident que le niveau de budget et de ressources dont nous disposons dépend de notre efficacité. Je pense que nous devons examiner la menace et la raison pour laquelle nous nous concentrons tous sur cette initiative. Je pense donc que, où que vous soyez dans le monde, les agences gouvernementales conseillent leurs citoyens et les organisations qui opèrent dans leurs juridictions. Il s'agit de l'une des plus grandes menaces stratégiques auxquelles nous sommes confrontés. Il suffit de penser aux milliers de fournisseurs que les organisations individuelles peuvent avoir, au niveau d'interaction qu'ils peuvent avoir avec nos organisations.

Brian Littlefair: Qu'ils administrent nos centres de données ou qu'ils aient accès à nos réseaux ou à nos applications, il y a un niveau d'interaction et d'intégration dont nous avons besoin avec notre base de fournisseurs, pour que les grandes entreprises mondiales puissent fournir nos produits et services à nos clients. Nous devons donc prendre cette menace au sérieux et être en mesure d'évaluer l'empreinte de nos fournisseurs et de comprendre le risque qu'ils représentent pour nous. Ensuite, nous devons comprendre, vous savez, le parcours de maturité. J'en ai déjà parlé. Alors, où en sommes-nous ? Et je vois, vous savez, de nombreuses organisations différentes. Je dirige moi-même une entreprise de conseil. Je travaille beaucoup avec des fonds d'investissement privés et, vous savez, je travaille avec de nombreux secteurs différents, partout dans le monde. J'ai donc l'occasion de voir toutes sortes de saveurs et d'approches d'organisations lorsqu'elles se penchent sur la gestion des risques liés aux tiers. Et certaines la prennent vraiment très au sérieux. Vous savez, elles reconnaissent le risque, mais aussi l'opportunité et la valeur que cela peut apporter à l'organisation. Certains, on peut le dire, reconnaissent qu'ils doivent le faire pour des raisons de conformité. Ils considèrent que c'est un peu comme un exercice de cochage de case. Euh, vous savez, ils ne vont pas vraiment apporter de la valeur à l'organisation. Mais je pense qu'avec l'évolution de la réglementation et de la conformité, nous commençons à voir disparaître ces cases à cocher. Et, vous savez, les organisations prennent vraiment cela au sérieux et vont de l'avant. Et puis nous avons le défi de savoir où vous en êtes dans votre parcours d'outillage. Et je vais en parler un peu, vous savez, plusieurs fois aujourd'hui. Je dois préciser que je suis un consultant indépendant, mais que lorsque je dirigeais des organisations de sécurité dans le monde entier, j'étais un utilisateur très actif de l'ensemble des outils courants. Je parle donc en connaissance de cause, vous savez, je parle en tant que personne qui a déjà utilisé Excel pour gérer le risque des tiers parce que c'est, vous savez, c'est toujours disponible pour moi à ce moment-là.

Brian Littlefair: Et puis je parle du fait que j'ai, vous savez, adopté, vous savez, des outils spécifiques qui ont été conçus et construits pour faire avancer des programmes de TPRM matures. Nous sommes donc tous d'accord, ou du moins nous l'espérons, pour dire que l'évaluation du risque est essentielle pour faire avancer les choses. Attendez deux secondes. Mon ordinateur est un peu lent pour faire avancer les diapositives, alors j'espère qu'il n'en sautera pas trop. Il s'agit donc de se donner les moyens de réussir. Si vous êtes une grande organisation multinationale, il n'est pas rare que vous ayez trois ou quatre mille fournisseurs. Et même si vous êtes une organisation de taille moyenne, si vous avez 100, 150 ou 200 fournisseurs, c'est toujours beaucoup. Alors, par où commencer ? Et comment se donner les moyens de réussir ? Et comme je l'ai dit, je vois beaucoup d'organisations différentes et beaucoup de niveaux de maturité différents, vous savez, des centres d'intérêt différents, des approches différentes. Il est vraiment important que nous comprenions à quoi ressemble un bon programme et quels sont les éléments qui, ensemble, en font un programme réussi et vous permettent d'obtenir les résultats que vous recherchez en termes d'évaluation et de gestion efficaces des risques. À quoi ressemblent ces éléments ? Le premier élément est toujours le budget. On ne peut pas faire grand-chose sans budget. Vous avez besoin du budget pour faire venir vos ressources. Vous avez besoin d'un budget pour acquérir des outils. Il faut donc souvent s'assurer que l'on évalue le montant du risque que l'on gère dans le cadre de cette fonction. Il en va de même pour les ressources. Malheureusement, dans les organisations que j'ai vues, j'ai vu tout le spectre : deux ou trois personnes chargées de gérer plusieurs milliers de fournisseurs à l'aide d'une feuille de calcul Excel, ce qui n'est pas vraiment viable. Mais j'ai également vu des organisations qui ont optimisé le processus et qui utilisent un outil tel que celui qui prévaut. Et lorsque vous avez un processus global entièrement optimisé, vous n'avez pas besoin de beaucoup plus de personnes pour pouvoir gérer ce processus global parce que vous avez, vous savez, intégré toutes les efficacités.

Brian Littlefair: Mais quoi qu'il en soit, nous avons besoin du bon niveau de budget. Nous avons besoin du bon niveau de ressources et nous avons besoin de la bonne plateforme pour pouvoir efficacement, vous savez, interagir, envoyer des messages et stocker toutes les réponses de nos fournisseurs à l'avenir. C'est donc une évidence. Donc, euh, absolument, ce sont les fondations dont nous avons besoin. Le teing est très important, mais j'ai une diapositive à ce sujet plus tard. Je vais donc sauter ce point, car c'est quelque chose sur lequel nous allons nous concentrer dans une diapositive ultérieure. Ensuite, nous passerons à la communication, n'est-ce pas ? C'est la raison pour laquelle nous sommes tous ici aujourd'hui. Nous devons donc avoir une communication efficace. Vous savez, nous pouvons avoir le meilleur processus. Nous pouvons avoir les meilleures plateformes du monde, mais en fin de compte, si nous ne sommes pas un communicateur efficace et que les gens ne renvoient pas nos communications, nous avons une boucle de rétroaction brisée, euh, alors nous n'allons pas progresser. Nous devons donc nous pencher sur nos priorités. Nous voulons donc évaluer les risques dans l'ensemble de notre chaîne d'approvisionnement. C'est assez clair, c'est notre priorité numéro un, en tout cas pour les personnes qui travaillent dans la fonction de gestion des risques des tiers, ainsi que pour les personnes chargées de la conformité juridique, de la protection des données, de la passation des marchés, etc. Nous partageons tous l'objectif commun de maintenir la continuité des activités. Nous voulons être en mesure d'atténuer les catastrophes. Nous voulons nous assurer que nous respectons nos exigences légales et réglementaires et que nous faisons ce qu'il faut pour nos clients. Il y a des objectifs communs, mais nous devons nous rendre à l'évidence que ce n'est peut-être pas une priorité pour tous nos fournisseurs. Euh, vous savez, nous disons que nous avons absolument besoin que vous remplissiez ces questionnaires. Il se peut qu'ils en reçoivent beaucoup et nous y reviendrons plus tard.

Brian Littlefair: Il se peut que nous ayons ce déséquilibre, vous savez, voici notre priorité, mais les personnes qui la reçoivent ne voient pas de priorité et nous nous retrouvons alors dans cette situation où nous avons envoyé, vous savez, peut-être, 500 000 20 000 questionnaires et nous attendons cette réponse pour pouvoir soit les passer par nos plateformes d'analyse ou si vous n'êtes pas dans une bonne situation, vous devez recevoir beaucoup de fichiers Excel, alors évidemment vous devez passer par, vous savez, les analystes et et trier toutes ces informations qui arrivent. Mais quoi qu'il en soit, nous devons d'une manière ou d'une autre rétablir ce déséquilibre et nous assurer que nous pouvons, vous savez, donner la priorité aux communications qui nous parviennent de nos fournisseurs. Et c'est fondamentalement de cela que nous allons parler aujourd'hui. C'est vrai. Alors, avançons. Comment communiquer avec nos fournisseurs ? Nous devons reconnaître que la communication est une voie à double sens. Donc, euh pour les techniciens au-dessus de vous, vous savez, parmi vous, désolé, nous pourrions être sur UDP, n'est-ce pas ? Donc, nous diffusons, mais il n'y a pas de boucle de rétroaction. Nous ne savons pas si notre communication tombe dans l'oreille d'un sourd ou si elle est réellement reçue, à moins qu'ils ne soient très réactifs et nous disent : " Hé, j'ai pris votre message. " Que ce soit via le portail ou via les plates-formes de messagerie, nous avons ce qu'il faut en main pour vous aider. Honnêtement, c'est une réponse plutôt rare, n'est-ce pas ? Il s'agit donc de comprendre comment nous pouvons mûrir notre approche en utilisant certains des outils dont nous discutons aujourd'hui afin de pouvoir reconnaître quand notre réponse a été prise en compte. Nous pouvons comprendre l'évolution du questionnaire rempli. Nous pouvons donc voir s'il a été récupéré, s'il est rempli à 5, 10, 15 ou 20 %. Et vous ne pouvez pas faire cela avec le courrier électronique et Excel. Mais il est évident que c'est parfaitement possible et que c'est possible avec certaines des plates-formes de TPRM qui existent aujourd'hui. Parlons donc un peu de l'étiquetage et de la manière dont vous allez étiqueter vos fournisseurs et de la raison pour laquelle l'étiquetage est important pour les communications.

Brian Littlefair: Euh, vous savez, j'ai dirigé des entreprises assez importantes et j'ai dirigé des entreprises assez petites dans le domaine des infrastructures nationales essentielles et, quoi qu'il en soit, cela n'a pas d'importance. Vous ne pouvez pas consacrer le même temps à toutes les fournitures que vous avez. Vous devez en quelque sorte établir des priorités et comprendre où vous allez consacrer votre temps personnel, mais aussi le temps de l'équipe du TPRM et le temps de vos fonctions d'approvisionnement. C'est ainsi que nous classons nos fournisseurs en deux catégories, une première catégorie, une deuxième catégorie, une troisième catégorie, et que nous comprenons à l'intérieur de cette première catégorie à quoi nous devons consacrer notre temps et notre attention. Comment faire évoluer cette relation de fournisseur vers un partenariat stratégique ou une relation stratégique, mais nous ne pouvons pas non plus le faire avec tous nos fournisseurs de niveau 1 de la même manière. Si nous avons 100 150 fournisseurs, ce n'est pas réaliste. Chaque organisation va donc avoir un nombre critique de fournisseurs qui, ensemble, construisent, vous savez, la manière dont ils fournissent efficacement des produits et des services à leurs fournisseurs, afin que, pardon, à leurs clients dans le monde entier. Une fois que nous les avons identifiés, nous pouvons comprendre que ce sont les personnes avec lesquelles nous devons passer la majeure partie de notre temps. pour nous assurer que le risque qu'ils présentent, vous savez, s'il devait se matérialiser, n'ait pas d'impact sur le service ou les produits que nous fournissons à notre base de clients. C'est donc en fin de compte ce que nous devons faire du point de vue du matériel. Je vais m'attarder un peu sur la nature de ces relations et sur les tactiques que nous pouvons mettre en œuvre pour les faire progresser. Une stratégie de communication est également très importante. Ce que je ne préconise pas, c'est que si vous avez des fournisseurs de niveau 2 et de niveau 3, ce qui sera le cas, vous aurez plus de fournitures dans le niveau 2 que dans le niveau 1 et, plus que probablement, vous aurez plus de fournitures dans le niveau 3 que dans les autres niveaux combinés. Je ne dis certainement pas qu'il faut ignorer les approvisionnements dans les deux tiers inférieurs.

Brian Littlefair: En fait, ce que je dis, c'est que nous avons mis en place une stratégie de communication efficace qui tient compte de ce à quoi ressemble un échelon et de la manière dont nous devons communiquer avec ces différents fournisseurs. Quels sont les messages clés que nous devons envoyer à un fournisseur essentiel et quels sont les messages que nous devons envoyer à un fournisseur de niveau 3, qui peut être celui qui fournit la cantine, les toilettes ou la papeterie de l'organisation, mais nous ne pouvons absolument pas ignorer le risque de sécurité que présentent les organisations de niveau 2 et 3. J'ai vu de nombreuses violations de la part de fournisseurs de niveau 2 et 3 parce qu'ils peuvent également avoir des systèmes existants dans les cuisines ou des systèmes existants dans les services de papeterie, etc. auxquels ils ont accès pour vérifier les niveaux de stock, etc. Nous ne pouvons donc pas nous reposer sur nos lauriers et nous devons nous assurer que notre stratégie de communication atteint nos objectifs, c'est-à-dire que nous voulons être en mesure de diffuser, de recevoir et de comprendre les messages clés que nous voulons leur transmettre. Permettez-moi donc d'évoquer brièvement certains de ces objectifs. Nous voulons nous assurer qu'ils reçoivent la bonne information au bon moment, mais en fait, cela nous aide à faire avancer nos objectifs stratégiques qui consistent à développer une relation plus forte et plus profonde avec eux, tout en étant capable d'aller de l'avant et d'obtenir nos réponses aussi rapidement que possible, parce qu'en fin de compte, si vous avez une relation efficace avec quelqu'un, c'est comme nous avec nos amitiés dans la vie. Si vous avez une bonne relation avec quelqu'un, vous lui parlez très régulièrement. Si vous n'avez pas une bonne relation avec quelqu'un, vous lui parlez rarement. Et vous savez, c'est la même chose dans le monde des affaires. Si vous avez une bonne relation avec quelqu'un et que vous lui envoyez un questionnaire TPRM, il vous reconnaît comme un fournisseur stratégique. Ils reconnaissent votre importance pour l'entreprise et ils vont rapidement changer la situation pour vous.

Brian Littlefair: S'ils ne savent pas qui vous êtes et ne comprennent pas la valeur que vous représentez pour leur organisation, alors vous savez qu'il ne s'agira pas d'une réponse rapide et qu'il vous faudra peut-être un certain temps pour que l'information vous parvienne. Qu'attendons-nous donc d'une lettre d'information ? C'est ce que j'appelle le qui, le quoi, le pourquoi, le où et le quand. En fait, il s'agit de décomposer, vous savez, qui êtes-vous ? Pourquoi êtes-vous ici ? Pourquoi communiquez-vous avec eux ? Que voulez-vous qu'ils fassent en votre nom ? Il s'agit donc d'un niveau assez élevé, d'une diffusion assez large. Il s'agit en fait de présenter les changements stratégiques clés de votre organisation, tout ce qu'ils ont besoin de savoir. C'est en fait le moyen typique de briser la glace. Il est introduit dans l'organisation, Il est distribué par les responsables des fournisseurs et les responsables des relations, mais il leur fait savoir que vous êtes un client important et que vous allez leur envoyer des réunions TPRM, etc. ou des questionnaires, et il est important qu'ils répondent. Ensuite, au fur et à mesure que vous montez dans les niveaux, j'ai toujours mis en place deux réunions virtuelles : les réunions de prise de pouls, qui sont très courtes et durent généralement 15 à 20 minutes, normalement avec les mêmes parties prenantes des deux côtés. Il s'agit d'un peu de relations interpersonnelles mélangées à des affaires. Il s'agit donc de savoir comment va la famille, comment vont les enfants, de développer cette relation interpersonnelle. Il s'agit également de faire passer des messages de haut niveau sur ce qui fonctionne bien et ce qui ne fonctionne pas bien. Les réunions de pause sont ce qu'elles signifient. Vous prenez une respiration, vous faites une pause, vous évaluez cette relation. Vous vous asseyez, vous passez peut-être en revue les indicateurs clés de performance, vous passez en revue les mesures, vous essayez en fait de comprendre, vous savez, comment cette relation fonctionne-t-elle ?

Brian Littlefair: Euh, vous savez, vous ne voulez jamais vraiment conclure un contrat avec un fournisseur, mais vous pourriez vouloir regarder, vous savez, comment est cette performance, quel est le retour d'information en termes de SLA. En fait, l'une des choses que nous voyons comme une maturité croissante est de mettre en place, dans les engagements initiaux, les attentes pour des choses comme les temps de réponse efficaces aux demandes de données ou d'informations de l'une ou l'autre des parties. En fait, nous voyons ces éléments dans les contrats, mais nous ne voulons pas les mettre en évidence. Nous voulons être en mesure de les gérer efficacement tout au long de la relation. Je trouve donc ces deux réunions vraiment très efficaces. Avec les nouveaux fournisseurs et les fournisseurs de premier rang, on ne peut pas surestimer l'interaction en face-à-face. Nous nous sommes donc habitués à travailler à distance. Je crois fermement qu'il est beaucoup plus facile de maintenir une relation qui a bénéficié d'un certain niveau d'interaction en face-à-face au moment de sa mise en place. Et je pense qu'en tant qu'organisation, si nous mettons en place cette interaction, si nous mettons en place ce service ou ce produit et si nous mettons en place une relation stratégique clé, vous savez qu'il s'agira typiquement de ces interactions en face à face et je pense que c'est une bonne chose.Je reconnais que tout le monde n'est pas en mesure de le faire, mais il n'est pas nécessaire d'organiser une grande foire, une conférence, etc. Il est assez facile de l'organiser virtuellement, mais j'ai vu des organisations très matures organiser des conférences pour les fournisseurs. Il s'agit littéralement de réunir la direction des deux organisations. Vous réunissez les personnes qui sont responsables de la gestion du service et de la relation entre les deux organisations. Et nous parlons de la stratégie.

Brian Littlefair: Nous parlons de la façon dont les choses ont fonctionné, de leur évolution, des changements et des relations clés. Mais cela peut également servir à tous vos fournisseurs, n'est-ce pas ? Cela les met sur la même longueur d'onde que vous. Cela leur permet de comprendre vos attentes. Cela leur permet de comprendre où va l'entreprise, où elle a été, quels sont ses objectifs à court terme et quels sont ses objectifs stratégiques. C'est là que vous pouvez définir vos attentes quant à la manière dont vous souhaitez travailler avec vos fournisseurs. Par exemple, quelles sont vos exigences en matière de sécurité - à un niveau très élevé - mais cela leur permet de comprendre que vous prenez la sécurité au sérieux et qu'il s'agit d'un processus dans lequel ils doivent s'engager pour que vous restiez un client à l'avenir. Je pense donc qu'il est très important que nous nous mettions à la place de nos fournisseurs. Trop souvent, nous regardons tout du point de vue de notre organisation et de ce à quoi cela ressemble. Mais en fait, je pense qu'il est très important que nous nous mettions à leur place et que nous nous demandions comment nous pouvons leur rendre la vie un peu plus facile. Donc, ce que nous avons, c'est qu'il y a évidemment beaucoup de personnes qui participent à cet appel et qui auront un niveau de maturité différent. Certains d'entre vous enverront un questionnaire sur une feuille Excel. D'autres utiliseront des outils comme Prevalent uh et d'autres encore seront au milieu de la courbe de maturité. Quoi qu'il en soit, nous avons tous un certain niveau de fournisseurs et de clients. En fonction de la taille et de l'échelle de nos fournisseurs, certains d'entre eux peuvent recevoir plus d'un millier de questionnaires par jour. Si vous regardez Microsoft, AWS, Salesforce.com, etc. Nous devons donc comprendre comment ils nous perçoivent et quelle importance ils accordent à la réponse à notre questionnaire individuel et ce que nous pouvons faire pour augmenter nos chances d'obtenir les informations dont nous avons besoin, qu'il s'agisse d'utiliser la prévalence pour trouver les informations plus rapidement (j'ai une diapositive à ce sujet plus tard) ou de les influencer et d'améliorer notre processus pour nous assurer que nous obtenons cette réponse.

Brian Littlefair: Nous pouvons donc faire deux choses : nous pouvons devenir plus important pour eux en tant que fournisseur individuel. Et l'un de mes principaux dictons est que la complexité est l'ennemie de la sécurité. Donc, si nous avons une empreinte fournisseur très complexe, si nous regardons à travers, vous savez, les domaines individuels de notre entreprise et si nous regardons à travers le monde, vous savez, si nous avons 20 30 fournisseurs euh qui interagissent avec notre entreprise pour un produit et un service très similaires, est-ce que cela doit toujours être comme ça ? C'est peut-être ce que nous avons choisi pour la continuité des activités et la reprise après sinistre. Nous l'avons peut-être choisi pour l'agilité globale. C'est peut-être la bonne réponse. Mais là où nous pouvons, vous savez, créer des synergies, là où nous pouvons rationaliser, absolument, cela rapporte des dividendes. Et pourquoi ? Parce que nous devenons plus importants pour eux. Nous devenons un plus gros client. Ils seront plus enclins à répondre à nos questionnaires et à nos informations s'ils nous considèrent comme un fournisseur stratégique et que nous les considérons comme tels. Il s'agit alors évidemment de développer cette relation. Il s'agit donc de remonter la chaîne de valeur. En fait, les fournisseurs veulent être des partenaires. Ils veulent travailler de manière stratégique. Ils ne veulent pas répondre à des appels d'offres chaque année. Ils préfèrent évidemment développer cette relation stratégique avec leur clientèle et avoir la garantie que, tant qu'ils fournissent un produit ou un service de qualité, ce contrat sera reconduit d'année en année. Normalement, vous frapperez donc à une porte ouverte pour dire : "Écoutez, nous voulons vraiment approfondir cette relation avec vous. Nous voulons définir nos attentes. Nous voulons comprendre comment vous travaillez. De même, vous savez, du point de vue de la réglementation, vous avez l'obligation de comprendre toute relation avec un tiers, un quatrième ou un neuvième, du point de vue des données. Il faut donc que les fournisseurs de premier rang commencent à s'intéresser à ce flux d'informations. Il s'agit ensuite de réfléchir à ce que vous avez fait pour leur faciliter la vie. Avez-vous rationalisé ce processus autant que possible ?

Brian Littlefair: Si, comme je l'ai dit, vous envoyez toujours des questionnaires Excel, si vous n'avez pas encore mondialisé votre processus de gestion du cycle de vie des produits et si, en tant qu'entreprise, vous envoyez aux mêmes fournisseurs des questionnaires du Royaume-Uni, des États-Unis ou d'Asie, et que même les feuilles de calcul Excel que vous utilisez n'ont pas la même apparence. En tant que fournisseur, ils se demandent donc quel niveau d'information ils souhaitent obtenir. Où devons-nous les envoyer ? Tout est différent. Il y a donc une optimisation que nous pouvons reconnaître et que nous pouvons faire pour rationaliser le processus et aider nos fournisseurs. Votre questionnaire est-il attendu par eux, n'est-ce pas ? C'est là que les bulletins d'information peuvent entrer en jeu. C'est là que la conférence des fournisseurs, les réunions de prise de pouls et de pause permettent de dire, vous savez, voici à quoi va ressembler ce processus. Voici où nous en sommes dans le cycle contractuel avec vous en tant que fournisseur individuel, et voici où en est la relation du point de vue de la santé. Vous savez, en fait, les choses se passent bien. Vous atteignez vos accords de niveau de service ou vos indicateurs de performance clés, ou en fait, vous savez, nous sommes bien en deçà de nos attentes et c'est très bien d'être transparent avec les vendeurs et les fournisseurs, mais nous devons leur indiquer ce qui se passera en aval. Donc, vous savez, en fonction de la fréquence à laquelle vous envoyez une forme d'assurance à votre chaîne d'approvisionnement, mais évidemment, je veux dire, en utilisant des outils comme Prevalent, vous obtenez des choses comme le module de menace, de sorte que vous pouvez garder une vue plus active sur votre chaîne d'approvisionnement. Vous n'attendez pas que le questionnaire individuel vous parvienne. Il s'agit d'approfondir cette relation et de s'assurer que l'interaction est efficace à l'avenir. Et puis, vous savez, êtes-vous réaliste ?

Brian Littlefair: Vous savez, si vous êtes une grande organisation multinationale et que vous envoyez un questionnaire à Amazon Web Services et à Microsoft pour leur demander de venir auditer leurs centres de données ou de procéder à un audit physique de salesforce.com, ce genre de choses n'est pas réaliste. Et nous devons nous assurer que, vous savez, en plus de nous préparer au succès, nous nous sommes préparés à être réalistes et nous devons obtenir notre assurance par d'autres mécanismes comme leur programme d'assurance sock 2 sock 3 ISO euh vous savez d'autres accréditations par lesquelles ils sont passés afin que nous puissions comprendre qu'ils sont aussi sûrs qu'ils peuvent l'être et nous avons cette relation stratégique avec eux mais nous n'allons pas les faire répondre à des questionnaires individuels et nous n'allons certainement pas avoir ce droit à l'audit à l'avenir. Voyons donc comment nous pouvons optimiser ce processus pour obtenir la boucle de communication efficace que nous recherchons. Je pense que vous avez compris que vous avez plus de chances d'obtenir une réponse à vos demandes de TPRM en utilisant une plateforme optimisée qu'en exécutant un processus manuel. Et la raison en est que votre Excel manuel est très, vous savez, unique pour vous. Selon toute vraisemblance, c'est vous qui l'avez créé. Il contient des séries de questions qui sont très pertinentes pour vous en tant qu'organisation, mais elles sont formulées de manière unique. Elles sont structurées de manière unique. C'est donc la première fois qu'ils voient quelque chose dans ce format et ils doivent investir du temps et des efforts pour comprendre ce que vous recherchez. Qu'est-ce qu'ils doivent vous fournir ? Et cela leur prend beaucoup de temps. Évidemment, en utilisant un outil comme Prevalent, il s'agit en grande partie d'un modèle standard et vous pouvez récupérer un grand nombre de ces réponses et, du point de vue du fournisseur, il peut codifier sa réponse automatiquement dans un grand nombre de questions qui lui sont généralement posées à partir des milliers de questionnaires fournisseurs qui lui parviennent. Cela leur simplifie la vie, ce qui est évidemment une bonne chose.

Brian Littlefair: Mais cela signifie également que nous obtenons une réponse plus rapide et j'ai une diapositive à ce sujet. À mon avis, la plupart des fournisseurs veulent pouvoir répondre le plus rapidement possible. Ce n'est pas qu'ils soient maladroits ou différents pour les raisons que je viens d'évoquer. Vous savez, si vous exécutez un processus manuel, ils disposent d'un nombre limité de personnes capables de répondre à ces initiatives. Par conséquent, s'il suffit de quelques clics pour obtenir l'information dont vous avez besoin, les délais seront évidemment beaucoup plus courts. S'il s'agit d'ouvrir un fichier Excel qu'ils n'ont jamais vu auparavant, de lire trois mille quatre cents questions différentes et de taper le texte dans un fichier Excel, le délai d'exécution sera évidemment beaucoup plus long. Nous devons donc nous demander dans quelle mesure nous leur avons facilité la tâche et l'avons également automatisée.

Brian Littlefair: Il y a beaucoup d'organisations avec lesquelles j'interagis qui montent en maturité en automatisant fortement le processus de TPRM, pas seulement en utilisant les plateformes, mais en construisant des flux de travail automatisés, ce qui peut inclure des plateformes GRC ou l'automatisation des rapports de conformité, l'introduction de la robotique dans le flux de travail, mais aussi l'apprentissage automatique et l'IA, mais il s'agit probablement d'un autre webinaire sur ce à quoi cela peut ressembler, mais nous avons parcouru un long chemin. l'apprentissage automatique et l'IA, mais il s'agit probablement d'un tout autre webinaire sur ce à quoi cela pourrait ressembler, mais vous savez que nous avons parcouru un long chemin et nous devons également reconnaître qu'il s'agit d'un processus assez intensif à gérer, qui a beaucoup de valeur à apporter à l'organisation et à l'entreprise, mais vous savez, si nous pouvons automatiser la façon dont cela se produit, alors vous pouvez le faire, et vous pouvez le faire. Si nous pouvons automatiser ce processus pour que les informations soient diffusées aux décideurs le plus rapidement possible, alors nous devons être d'accord avec cela et, comme nous venons de l'évoquer sur la dernière diapositive, gérons-nous un processus global ou recevons-nous plusieurs questionnaires dans le monde entier ? Nous devons donc reconnaître que si vous êtes dans une grande multinationale mondiale, vous savez que la présence euh d'un fournisseur dans un pays n'est peut-être pas stratégique, mais dans un autre, elle peut absolument l'être et nous devons également reconnaître qu'il n'est pas toujours dans l'intérêt d'un fournisseur de s'aligner sur un processus mondial de son point de vue. Parfois, ils peuvent découper une organisation en tranches. Je ne dis pas qu'ils le feraient, mais j'ai déjà vu des cas où les prix étaient différents selon les régions. Les accords de niveau de service sont différents selon les régions. De notre point de vue, il est donc logique que nous comprenions notre interaction avec les fournisseurs individuels, quelle que soit la zone géographique où cela se produit. Ensuite, il est évident que nous utilisons des modèles autant que possible. Utilisons-nous les modèles dont nous avons parlé ? Il est évident qu'il est essentiel de s'éloigner des feuilles de calcul Excel. Mais que faisons-nous si nous n'obtenons pas de réponse, n'est-ce pas ?

Brian Littlefair: Que faisons-nous si nous avons fait tout cela et que nous avons travaillé efficacement avec l'entreprise. Nous avons fait tout ce que nous pouvions. Nous nous sommes en quelque sorte préparés à la réussite. Mais nous ne parvenons pas à intégrer cet engagement dans notre processus de gestion des risques des tiers. Eh bien, vous savez, une fois de plus, il s'agit de savoir si nous sommes ignorés. Considèrent-ils réellement ce processus comme important ? S'ils le considèrent comme important et critique, je ne pense pas qu'ils l'ignoreraient ou le retarderaient. Il se peut donc que nous n'ayons pas mis en place un processus aussi efficace qu'il le faudrait à l'avenir. Il y a quelques incontournables que je mets toujours dans mon processus de TPRM. Il doit être mondial et nous en avons déjà parlé. Il ne peut pas être géré efficacement au niveau local. Euh, si vous le faites localement. Il faut plus de budget. Il faut plus de personnel. C'est très complexe et vous ne pouvez pas avoir une vision globale. Il ne faut donc surtout pas essayer de le faire. Il faut un mandat. Cela ne peut pas être facultatif. Vous savez, j'ai travaillé dans de nombreuses organisations et, comme je l'ai dit, il y a toujours des gens qui veulent contourner ce processus. Il y a toujours des gens qui pensent que leur initiative est vraiment, vraiment critique et qu'elle ne peut pas passer par le processus de TPRM. Il faut absolument exclure cette possibilité. Il doit s'agir d'un processus décisionnel global et obligatoire, dans le cadre duquel la sécurité dispose d'un droit de veto sur l'approbation ou le rejet de l'initiative en fonction des résultats de ce processus. Si ce processus est mis en œuvre de manière efficace et que vous disposez d'une règle selon laquelle aucun transfert d'argent ne peut avoir lieu entre les organisations et aucun service ne peut commencer tant que ce processus n'est pas achevé, vous savez ce que vous allez trouver. Vous constaterez alors que les parties prenantes des deux côtés font pression pour faire avancer les choses le plus rapidement possible afin d'obtenir la réponse et que le service puisse commencer. Les parties prenantes internes veulent absolument faire avancer les choses et savent que c'est la bonne chose à faire pour l'entreprise. Les fournisseurs veulent être en mesure de comptabiliser les recettes et de mettre en place le service. Ils vont donc faire tout ce qu'ils peuvent pour vous communiquer les informations.

Brian Littlefair: Mais la mise en garde est que si vous mettez ce mandat en place, vous savez, si vous avez cette décision et ce veto, etc. votre processus devra être très efficace de bout en bout et j'en parlerai un peu sur cette diapositive. Si vous êtes à gauche de cette diapositive et que vous avez ce veto en place et que vous exécutez ce processus obligatoire, vous ne pouvez pas être dans ce monde parce qu'en fin de compte, vous devenez un goulot d'étranglement massif pour l'organisation. Tout le monde se plaindra de votre processus et essaiera de le contourner à chaque étape ou sous chaque forme. Cette diapositive a donc deux facettes. L'une d'entre elles est de savoir si nous voulons être en mesure d'optimiser et d'aller de l'avant. Que devons-nous rechercher ? D'autre part, il s'agit de savoir ce que l'on peut faire si l'on n'obtient aucune réponse de la part d'un fournisseur ou si l'on veut être en mesure de trouver très rapidement des informations auprès d'un fournisseur. Comme je l'ai dit, j'ai travaillé dans ces deux mondes. J'ai certainement géré des fonctions de sécurité auparavant. Nous avions l'avantage de disposer d'outils tels que Prevalent et nous devions utiliser des feuilles de calcul Excel. Donc, quand vous êtes dans ce monde ou si vous êtes encore dans ce monde maintenant, nous connaissons la situation. Un nouveau client commence à nouer des relations avec l'organisation ou avec un fournisseur. Le premier jour, nous savons très peu de choses sur cette entreprise dans le monde d'Excel. Vous avez quelques informations sur le service, vous envoyez un courriel au contact du fournisseur que l'on vous a donné. Vous savez qu'il doit travailler avec votre feuille de calcul Excel très complexe. Il doit la remplir. Dans ce contexte, il faut compter un délai de 4 à 8 semaines pour obtenir une réponse. Cette réponse revient ensuite à votre équipe. Vous avez une équipe de trois ou quatre analystes qui doivent examiner cette réponse. Et selon que cette feuille de calcul Excel est adressée à l'analyste A, B, C ou D, vous obtiendrez un résultat différent parce qu'ils ont tous des points de vue différents sur la sécurité. Ils abordent tous ces contrats ou ces questionnaires avec, vous le savez, différents préjugés, différentes préférences, etc.

Brian Littlefair: Donc, nous n'allons pas obtenir une uniformité de, vous savez, l'examen de la sécurité dans l'espace de nos analystes, indépendamment de ce que nous aimerions penser. En fin de compte, lorsque vous combinez tout cela, vous pouvez en fait envisager un délai de 10 à 12 semaines pour approuver un nouveau fournisseur qui travaillera avec l'entreprise. Et cela peut être complètement perturbant pour votre organisation. Et vous pouvez comprendre que si vous recevez des plaintes au sujet de votre processus, alors, vous savez, c'est plutôt justifié à cet égard. Il m'est arrivé d'aller dans des organisations où je débutais en tant que nouveau responsable de la sécurité et de voir des processus de ce type en cours d'exécution. Mais ce n'est pas forcément le cas. Euh, et j'ai certainement mûri les capacités pour arriver à, vous savez, un monde comme ce à quoi cela ressemble de travailler avec un jour un outil comme prévalent. Pour ceux qui ne connaissent pas Prevalent, parlons de la situation, de ce à quoi ressemble l'utilisation d'une plateforme comme la leur. La nouvelle relation avec le fournisseur est lancée. Vous obtenez le nom du fournisseur. Le premier jour, vous pouvez aller sur Prevalent. Vous entrez le nom du fournisseur. Vous pouvez voir tous les différents euh clients euh questionnaires auxquels ils ont potentiellement répondu pour d'autres clients. Évidemment, vous ne voyez pas les noms, mais vous pouvez voir toutes les informations qui ont été pré-remplies sur ce fournisseur. Ainsi, dès le premier jour, vous avez accès à toute une série d'informations sur ce fournisseur. En fait, si vous examinez tous les questionnaires envoyés par les clients à leurs fournisseurs, vous constaterez que les questions se recoupent largement. Elles peuvent être rédigées de différentes manières et il est évident que l'on a tenté de les encadrer et de les normaliser. Mais il y a un énorme chevauchement. Il se peut donc que 85 à 90 % des détails que vous recherchez dans votre questionnaire se trouvent déjà dans l'outil. Il se peut donc que vous souhaitiez poser des questions spécifiques à votre organisation, mais vous voudrez en savoir plus sur les correctifs. Vous voudrez connaître leur réponse instantanée. Vous voudrez en savoir plus sur leurs politiques, leur BC, leur DR, leur conformité.

Brian Littlefair: Il s'agira de questions standardisées auxquelles ils ont l'habitude de répondre. Ces informations seront donc déjà ouvertes et transparentes dans l'outil. Vous serez en mesure de voir, vous savez, une partie de l'analyse qui est effectuée sur eux et quelle est leur position de risque d'un point de vue prévalent basé sur, vous savez, tous les clients qui ont utilisé ces informations sur leur plateforme auparavant. Ainsi, vous commencez à obtenir certaines de ces informations sur les risques que vous souhaitez transmettre à votre organisation dès le premier jour. Ainsi, vous pouvez commencer à avoir, vous savez, certaines de ces conversations informées avec votre entreprise, ce qui est ce que vous voulez réaliser à l'avenir. J'espère que vous pouvez voir que c'est le jour et la nuit. Donc, selon l'endroit où vous vous trouvez dans votre parcours de maturité et vous savez que je reconnais que vous savez que toutes les personnes chargées de la sécurité, toutes les personnes chargées de l'approvisionnement, toutes les personnes chargées du droit ou de la confidentialité des données, selon l'endroit où vous vous trouvez, nous voulons optimiser le service que nous fournissons à l'entreprise. Commençons donc tous à avancer sur ce chemin de la maturité. C'est vrai. Je vais donc passer la parole à Scott dans une minute. Je voudrais juste résumer quelques points dont nous avons parlé. Nous voulons une communication efficace. Nous le reconnaissons. Nous devons donc reconnaître que la communication est à double sens. Nous devons donc nous assurer que nous construisons cette relation avec nos fournisseurs et que nous la faisons progresser dans la courbe de vie stratégique. Nous devons nous assurer que nous avons fait tout ce qui est en notre pouvoir pour rendre les choses aussi faciles que possible, et cela passe par l'élimination des inefficacités de notre processus. Les inefficacités sont synonymes de ressources supplémentaires. Cela signifie plus de budget. C'est donc la bonne chose à faire pour notre organisation. Si vous voulez obtenir un délai d'exécution rapide, nous devons entretenir d'excellentes relations. Il faut donc comprendre comment nous pouvons construire et développer cette relation. Cela va de la lettre d'information aux conférences des fournisseurs, en passant par la compréhension de ce que vous pouvez faire au sein de votre propre organisation pour développer cette interaction. Nous voulons rationaliser les outils, ce que nous venons de faire.

Brian Littlefair: Vous savez, il est tout à fait logique d'investir stratégiquement si vous pensez à l'épuisement des ressources dans une organisation pour gérer un processus de 10 à 12 semaines par rapport à quelque chose que vous pouvez essentiellement exécuter à 90 % en une seule journée. Je pense donc que l'analyse de rentabilité se construit d'elle-même pour ce type de projet. Et nous voulons absolument être en mesure de prendre des décisions éclairées sur les risques aussi rapidement que possible, parce que c'est ce que nous faisons tous dans la profession de la sécurité. Alors Scott, à vous de jouer.

Scott Lang: Merci beaucoup, Brian. J'apprécie beaucoup. Hum, vous savez, excusez-moi. Tout comme Brian a dit il y a quelques minutes qu'il souffrait d'une infection de la poitrine, je souffre d'un étrange épisode d'éternuement. Ce doit être l'automne et tout le pollen dans l'air juste avant que je ne sorte du silence et de la caméra. Je parie que j'ai éternué cinq fois en 10 secondes. Quoi qu'il en soit, merci à tous d'avoir participé au webinaire d'aujourd'hui. Je pense que Brian a donné des conseils assez succincts et impressionnants sur la manière d'attirer l'attention de votre fournisseur, de le garder concentré et de rester engagé avec lui tout au long du processus d'évaluation des risques. J'aimerais partager avec vous dans quelques minutes ce que les prévalents peuvent faire pour automatiser et transformer votre programme de gestion des risques des tiers. L'aider à être plus automatisé à chaque étape du cycle de vie, depuis la sélection d'un fournisseur jusqu'à la résiliation de l'accord. Diapositive suivante, s'il vous plaît Brian. Ecoutez, notre objectif est en fait triple pour vous dans votre programme TPR. Tout d'abord, il s'agit de vous aider à obtenir les données dont vous avez besoin pour prendre de meilleures décisions, et cela peut prendre plusieurs formes. Il peut s'agir d'obtenir de bonnes informations continues sur les risques à partir de différentes sources, comme les scores de cybersécurité, l'historique des violations de données, les mises à jour opérationnelles et commerciales des informations financières sur vos fournisseurs, les scores de réputation, les scores ESG, tout ce qui peut vous aider à prendre de bonnes décisions. Parfois, lorsque nous parlons de données pour prendre de bonnes décisions, cela signifie parfois qu'il faut trouver les contacts chez vos fournisseurs qui, selon vous, pourraient être attentifs à répondre à l'évaluation que vous leur avez envoyée. Le deuxième objectif de notre programme TPRM est d'augmenter l'efficacité de votre équipe et d'éliminer les silos. Brian a parlé de la gestion d'une relation avec un fournisseur tout au long du cycle de vie et de l'approvisionnement qui est invariablement celui qui détient la relation à un certain niveau.

Scott Lang: Les finances impliquées L'équipe de sécurité est probablement celle qui exécute les évaluations plus fréquemment que les autres départements. L'audit de conformité doit être impliqué. La gestion des risques doit être impliquée. Dans une entreprise de n'importe quelle taille, vous pouvez avoir une demi-douzaine, vous savez, de départements différents qui sont impliqués dans une décision de risque de tiers ou dans la gestion d'une euh relation avec un fournisseur. Et chacun de ces départements aura ses propres objectifs, ses propres besoins, ses propres exigences en matière de rapports sur les risques, ses propres risques qu'il souhaite gérer. Et ils veulent examiner les fournisseurs de leur propre façon, et c'est juste. Vous pouvez le faire dans six à huit systèmes différents ou dans une feuille de calcul, ou vous pouvez le faire dans un seul système qui aide à répondre aux besoins de tous ces différents constituants et parties prenantes de l'entreprise. C'est ce que nous cherchons à vous aider à faire. Ensuite, troisièmement, faire évoluer votre programme à mesure que le nombre de fournisseurs à évaluer augmente ou diminue, que l'entreprise se contracte ou se développe, que vous démarrez un nouveau projet, que vous faites appel à de nouveaux fournisseurs, que vous acquérez quelqu'un ou que vous vous séparez d'une entreprise, vous devez être en mesure de faire évoluer le programme au fil du temps pour répondre non seulement aux différentes exigences en matière de risque et de suivi, mais aussi aux changements opérationnels de l'entreprise. Nous avons intégré cette capacité dans notre plateforme, non seulement en raison de son élasticité, mais aussi de la façon dont nous l'augmentons avec des services professionnels et gérés pour vous aider à la personnaliser en fonction de vos besoins. Diapositive suivante, s'il vous plaît Brian. Euh, vous savez que j'ai mentionné et vous pouvez le construire un peu plus jusqu'à ce que vous voyez le euh, voilà. Euh, vous savez, nous avons mentionné plus tôt que nous examinons les risques à chaque étape d'une relation avec un fournisseur et ce n'est pas une plaisanterie. Je veux dire que c'est légitime, nous avons des capacités intégrées dans la plateforme. Nous éduquons nos clients sur les processus, les personnes et la technologie à chacune de ces étapes pour qu'ils comprennent qu'il y a des risques et qu'il y a des solutions pour relever ces défis à chaque étape.

Scott Lang: Du point de vue de l'approvisionnement et de la sélection, nous constatons souvent que les clients se heurtent à deux problèmes. La première est de ne pas vraiment savoir qui sont les bons contacts chez ces vendeurs et fournisseurs afin de faire une sorte de diligence raisonnable avant le contrat. Il s'agit de comprendre qui ils sont, quels sont les fondamentaux de leur entreprise, les graphiques, l'historique des violations de données, les finances, etc. Vous savez, nous faisons une grande partie de cela pour vous. Nous automatisons ce processus. Nous consolidons les informations dans un profil de fournisseur qui vous aide à voir très rapidement quel est le score du vendeur ou du fournisseur sur l'une de ces différentes mesures. pour vous aider à donner confiance et à dire, "Ok, ces gens ne sont pas seulement adaptés à euh adaptés à l'objectif pour lequel vous savez que vous allez les utiliser, mais aussi adaptés à votre profil de risque". Deuxièmement, du point de vue de l'accueil et de l'intégration, nous voyons que les entreprises se débattent beaucoup avec différentes équipes, différents processus, différents outils. Ce que nous faisons, c'est automatiser un processus d'intégration avec un flux de travail très discret et très spécifique adapté aux besoins de votre entreprise, quel que soit votre flux de travail, et vous aider à créer une source unique de vérité, non seulement pour les informations sur les risques comme nous le faisons dans cette première étape, mais aussi un ensemble unique de processus pour l'intégration et pour faire passer le fournisseur par une phase d'approbation pour qu'il passe à la phase de BAU. Euh, troisièmement, l'évaluation des risques inhérents euh, vous savez, nous constatons que beaucoup d'entreprises ne le font pas avec le niveau de discipline qu'elles devraient probablement avoir, mais en faisant une évaluation très rapide des risques inhérents euh, huit à dix questions qui peuvent être gérées en interne, vous obtenez un score assez bon qui vous aidera à déterminer comment je dois évaluer ces personnes à l'avenir sur la base de critères tels que l'exposition aux processus en contact avec les clients ou le fait de toucher des données protégées par exemple, cela pourrait influencer la façon dont vous établissez le profil, l'échelon et la catégorie d'un fournisseur. Ensuite, le cœur de la plateforme est la capacité d'évaluation et de remédiation.

Scott Lang: Ce que nous avons fait, c'est que nous avons créé des modèles de questionnaires très spécifiques sur les risques dans la plateforme qui traitent des dizaines de types de risques différents, vous savez, la sécurité, l'ESG, la confidentialité, la solvabilité financière, et plus encore. Ensuite, nous vous donnons la possibilité d'évaluer vos fournisseurs de manière très flexible par rapport à n'importe lequel de ces types d'évaluation avec des conseils de remédiation intégrés. C'est vrai ? Chaque élément de contenu que nous chargeons dans la plateforme, chaque questionnaire a des conseils de remédiation intégrés pour pratiquement chaque question basée sur, vous savez, la réponse de ce vendeur. Ce niveau de prescription vous aide vraiment à automatiser votre processus de gestion des risques, votre processus d'atténuation des risques et, en fin de compte, à atteindre un point où tout le monde est à l'aise pour aller de l'avant avec le fournisseur, tout au long du cycle de vie de sa relation, s'il prend ou recommande des contrôles compensatoires ou s'il suit vos recommandations de remédiation. L'étape suivante est le suivi et la validation. Comme je l'ai déjà mentionné, notre approche consiste à consolider les différents flux de renseignements sur les risques des tiers provenant de différentes sources, puis à les intégrer dans votre registre central des risques et à vous permettre d'établir une corrélation entre ces résultats et ce que le vendeur ou le fournisseur vous a dit dans son évaluation des risques. Ce niveau de validation des contrôles, des processus et autres, grâce à une surveillance continue, permet de combler les lacunes entre les évaluations, tout en vous fournissant un flux continu d'informations pour vous tenir au courant de ce qui se passe dans l'intervalle, comme les décisions de renouvellement de contrat ou d'autres mises à jour commerciales. L'étape suivante consiste à mesurer les accords de niveau de service (SLA) et les performances et, à partir de là, à établir des indicateurs de performance clés (KPI) et à les charger dans le système. Notre plateforme permet également d'utiliser la technologie ML pour extraire les phrases API KRI des contrats et alimenter automatiquement un tableau de bord et la plateforme qui vous permet ensuite d'assigner des propriétaires et de suivre les progrès réalisés par rapport à ces KPI et KISS. D'ailleurs, Brian a animé un excellent webinaire pour nous dans le passé sur la mesure des bons indicateurs, des bons KPI et des KI.

Scott Lang: Si vous avez l'occasion de le faire, jetez-y un coup d'œil. Enfin, pour ce qui est de l 'intégration et de la résiliation, nous constatons que les entreprises ont beaucoup de mal à gérer les étapes finales d'une relation. Et par difficulté, je veux simplement dire que sans une sorte de prescription en place ou de processus défini pour mettre fin à une relation avec un fournisseur, vous ne savez pas vraiment s'il a eu accès aux données, si tous ses accès au système ont été résiliés, s'il a détruit la date si c'était ce qui était prévu dans le contrat ou si tous ces derniers paiements et autres ont été clôturés. Encore une fois, l'objectif est de simplifier et d'accélérer l'intégration, de vous donner un processus unique pour évaluer les fournisseurs dans votre entreprise et de réunir les équipes tout au long du cycle de vie. Diapositive suivante, s'il vous plaît, Ryan. Euh et juste très brièvement euh euh vous pouvez probablement aller une diapositive de plus euh après euh après celle-ci. Nous avons déjà abordé ce sujet. Euh, vous savez, c'est juste une représentation des types de risques que nous gérons ou surveillons dans la plateforme prévalente. Et nous les avons regroupés en six catégories. Hum, et chacune de ces puces représente un questionnaire ou un flux de surveillance continue qui, hum, vous fournit ce niveau d'intelligence du risque pour ce fournisseur que, vous savez, vous obtenez probablement à partir d'une approche d'outil décousu ou peut-être en essayant de gérer dans une feuille de calcul. Diapositive suivante, s'il vous plaît, Brian. Hum, honnêtement, en fin de compte, vous savez, ce que nous espérons réaliser pour vous, c'est trois choses dans votre programme TPR. Premièrement, ils vous aident à prendre des décisions plus intelligentes et mieux informées grâce à des rapports de qualité. Euh, en fournissant une interface de gestion des risques et des performances très complète. Deuxièmement, ils vous permettent de disposer d'une source unique de vérité dans toute votre entreprise pour les évaluations, la surveillance et le cycle de vie. Et troisièmement, d'être très prescriptif dans ce que vous faites des résultats que vous obtenez des évaluations des risques des fournisseurs. Si leur réponse dans un domaine particulier est inférieure à vos attentes, que faites-vous ?

Scott Lang: Vous savez, notre approche est d'aider à automatiser ce processus autant que possible pour vous afin que vous puissiez fermer la boucle de ce risque, soit par un contrôle compensatoire, soit par des conseils de remédiation, euh, à partir de là. En fin de compte, nous disposons d'une excellente plateforme, mais nous offrons également des services gérés pour vous aider à le faire en votre nom si vous le souhaitez. Et cela comprend la recherche de contacts avec les fournisseurs, l'intégration des fournisseurs, l'exécution du processus d'évaluation, d'analyse et de remédiation, puis le suivi de ce contrat et de cette relation avec le fournisseur tout au long du cycle de vie. Nous sommes donc heureux de pouvoir vous aider à partir de l'un ou l'autre de ces points de vue. Je vais m'arrêter là et vous redonner la parole, si vous voulez poser des questions.

Ashley: Merci, Scott. Euh, je vais aller de l'avant et faire un Whoopsies. Je vais lancer notre deuxième sondage pour que nous puissions vous contacter au sujet de vos initiatives ou de vos projets. Euh, nous cherchons à savoir si vous souhaitez augmenter ou établir un programme TPRO TPRM au cours de l'année prochaine. Je vous prie d'être honnête, car nous assurons un suivi. Mais il nous reste environ 10 minutes. Alors, pourquoi ne pas aller de l'avant et répondre à certaines de ces questions. Très bien, Brian. Quelqu'un a demandé : "Comment recommandez-vous aux organisations de motiver les fournisseurs à effectuer des évaluations annuelles après la signature du contrat et le paiement du fournisseur ?"

Brian Littlefair: Oui, c'est une très bonne question et vous savez, nous voyons cela souvent, vous savez, lorsque vous avez un fournisseur très collaboratif et qu'il obtient l'argent et devient alors évidemment moins collaboratif. Vous savez, ils ont obtenu ce qu'ils cherchaient. Je pense qu'il s'agit de savoir comment se préparer au succès, en reconnaissant que cette situation peut se produire. C'est un peu la carotte et le bâton, n'est-ce pas ? Il s 'agit donc de la manière dont vous rédigez vos contrats dès le départ et dont vous définissez les relations et la manière dont les choses vont fonctionner à l'avenir. Dans de nombreuses organisations, nous avons des contrats avec nos fournisseurs, mais nous avons également établi une méthode de travail que nous avons cosignée entre nos différentes organisations et il y a évidemment des pénalités en cas de non-respect de cette méthode. Comme vous le savez, le partage de l'information doit se faire en temps voulu. Ce serait donc un fournisseur assez naïf ou à courte vue qui penserait, vous savez, que je vais juste tirer une année de cette entreprise et passer à autre chose. En règle générale, il s'agit donc de formuler dans le contrat que l'on s'attend à ce que cela se produise, ce qui fait partie de notre processus de gestion des risques. Cela fait partie de notre processus de gestion des risques. Il est donc absolument nécessaire d'interagir. Il faut que ces informations vous parviennent. Et si vous ne le faites pas, vous savez, la pénalité est que vous n'obtiendrez pas le contrat l'année prochaine et que nous passerons à un autre fournisseur qui l'obtiendra, et il faut vraiment être franc, sinon vous allez passer beaucoup de temps à courir après les fournisseurs. Vous avez évidemment la situation où les fournisseurs individuels sont des niches et uniques et ils reconnaissent qu'ils sont essentiels à votre organisation et ils doivent être traités légèrement différemment parce que, évidemment, vous ne pouvez pas sortir le bâton parce que vous avez besoin d'eux. Mais en fin de compte, il s'agit juste de développer cette relation et de travailler sur les choses, mais malheureusement le contrat aide, mais vous savez que cela doit être géré par la relation au départ, n'est-ce pas ?

Ashley: Merci, Brian. Euh, nous avons une autre question qui demandait : "Lorsque des questionnaires sont envoyés aux fournisseurs, quels sont les destinataires chez le fournisseur qui sont les plus réactifs pour remplir et renvoyer ces questionnaires ?"

Brian Littlefair: Oui, je pense que c'est, vous savez, j'espère que c'est une fonction de sécurité euh parce que, vous savez, euh, évidemment, j'ai beaucoup géré ce processus au sein des fonctions de sécurité et je pense que, vous savez, nous arrivons à une position où nous connaissons euh euh 90% de l'information qui doit être renvoyée. Euh, il y a beaucoup euh, évidemment, nous adoptons des outils tels que la prévalence du point de vue du fournisseur parce qu'ils nous permettent de communiquer rapidement. Euh, mais en général, toutes les réponses, même dans un outil prévalent du point de vue du fournisseur, sont téléchargées ou au moins validées par la fonction de sécurité. Évidemment, cela dépend de la nature de votre activité, mais d'après mon expérience, les réponses de la fonction de sécurité sont typiques.

Ashley: Merci, Brian. Encore une question. Quelqu'un a demandé, euh, quelle est la meilleure pratique pour obtenir les états financiers d'un vendeur afin de s'assurer de sa solvabilité au cours du processus de diligence raisonnable et d'approbation pour évaluer les risques financiers ?

Brian Littlefair: C'est une bonne question. C'est vrai. Si vous exécutez un processus manuel, c'est une chose très difficile à faire. Si je reviens en arrière et que vous verrouillez le risque financier, vous savez que les prédominants ont vraiment réfléchi à certains des domaines qu'ils abordent et communiquent dès le premier jour ou à des choses qu'ils suivent d'un point de vue organisationnel. Dans le monde Excel dont nous avons parlé, cela va être très complexe parce que, selon l'endroit où vous vous trouvez, au Royaume-Uni, toute personne au-dessus d'une organisation d'une seule personne doit déposer ses comptes d'entreprise publiquement, mais cela ne vous dit pas si je paie bien mes factures. Cela ne me permet pas de vous dire, vous savez, que je paie généralement mes fournisseurs dans les 120 jours au lieu de 30. Il est donc essentiel de pouvoir obtenir ces informations et de comprendre des choses comme ma cote de crédit dès le premier jour. Et vous savez, vous n'allez pas trouver tous les fournisseurs de votre organisation sur Prevalent, mais plus nous sommes nombreux à l'utiliser et à y renseigner les informations, plus il devient omniprésent et utile pour les autres organisations qui le rejoignent et nous bénéficions évidemment de la rapidité et du rythme en l'utilisant. Quoi qu'il en soit,

Ashley: Merci Brian. Il semble que nous ayons encore une question dans le chat. Frederick a demandé : " Comment s'assurer que les exigences de sécurité sont incluses dans le budget et explicites dans le contrat ? Il voit souvent que la sécurité n'est même pas dans le budget".

Brian Littlefair: Oui. Et vous savez, j'ai vécu dans ce monde aussi, Patrick, où vous savez, euh un nouveau service est signé et vous savez, Peut-être que l'IT et les infrastructures ont pensé à la tarification des serveurs, mais ils n'ont pas calculé les exigences de sécurité qui sont intégrées, et c'est une question d'intégration et de collaboration étroite, et regardez l'un de mes autres webinaires où j'ai parlé de la relation entre la sécurité et l'approvisionnement, parce que je vois que cette relation est absolument essentielle si vous voulez gérer un processus global de TPRM . J'ai fait un webinaire complet sur ce à quoi cela ressemble et je pense que cela répondra à votre question, mais en bref, cette relation doit être efficace, ils doivent comprendre ce que vous essayez d'atteindre afin qu'aucun contrat ne puisse être signé sans que les exigences de sécurité entièrement chiffrées ne soient incluses, sinon nous mettons l'organisation en danger, mais j'entre dans les détails de cet autre webinaire dominant.

Ashley: Excellent, merci beaucoup à Brian Scott et à tous ceux qui ont posé des questions. Elles nous donnent de très bonnes informations à assimiler aujourd'hui. J'espère donc vous voir tous dans vos boîtes de réception ou lors d'un prochain webinaire. À votre santé à tous. Je vous souhaite un bon mercredi.

Scott Lang: Merci à tous.