Arguments en faveur d'une gestion décentralisée des risques par des tiers

Jay Fitzhugh |

Alors que nous entamons le troisième trimestre de notre mécontentement face à la pandémie mondiale de coronavirus, une chose est très claire : la gestion centralisée des risques liés aux fournisseurs est en train d'imploser.

Cette conclusion est basée sur les révélations de ceux qui s'expriment publiquement sur le sujet, par exemple lors de l'Assemblée générale des Nations unies. Mitratech Interact qui s'est tenue en septembre : Le défi de la pandémie pour la gestion des risques liés aux fournisseurs est de s'assurer de l'engagement des propriétaires d'entreprise à maintenir le pouls de leurs fournisseurs de produits et de services essentiels.

Jusqu'à présent, pour de nombreux chefs d'entreprise, la responsabilité de la gestion des fournisseurs se résumait à une pléthore de formulaires, d'approbations et/ou de dérogations pour obtenir l'autorisation d'acquérir le produit ou le service auprès de la société qu'ils avaient déjà sélectionnée ; après tout, ils sont les experts en la matière. Cela signifiait probablement que quelqu'un ayant un niveau de rémunération plus élevé serait la signature probante du contrat, et qu'une fois que le gant était dans le rétroviseur, il n'y avait plus de problème pour au moins un an.

La gestion des fournisseurs a fait son apparition un ennui répétitif sous la forme de mises à jour périodiques des modèles et de l'acquisition des documents requis fournis par le fournisseur afin de s'assurer que toutes les cases peuvent être cochées ou le rester. Hormis la validation des performances du fournisseur, à laquelle est liée la réussite du propriétaire de l'entreprise, une grande partie de l'effort de gestion du fournisseur se situe en dehors des domaines d'expertise du propriétaire de l'entreprise.

En effet, la gestion des fournisseurs est un exercice collectif. Il s'agit d'un assemblage d'opinions sur un plan horizontal provenant du village d'experts en la matière qui opèrent au sein de la plupart des organisations dans leurs propres fiefs orientés verticalement. Le propriétaire de l'entreprise n'était qu'une opinion parmi d'autres, avec un rôle moins que dominant.

Infographie : Lignes directrices pour une intégration efficace des fournisseurs

Atténuer les risques tout en établissant de solides relations avec les fournisseurs.

Télécharger maintenant

Le nouvel ordre des choses dans la gestion du risque fournisseur

Le problème de la gestion centralisée des fournisseurs a toujours été la dotation en personnel. En consolidant les étapes et les pratiques d'examen requises, une organisation peut contrôler le programme et présenter à tout auditeur ou régulateur la discipline et l'autorité exercées dans la gestion de la documentation des fournisseurs. Mais cela exigeait beaucoup de main-d'œuvre si la gestion était réservée à un petit nombre.

Maintenant que nous sommes au cœur d'un événement de type "cygne noir", la gestion de la documentation est triviale, comparée à l'engagement et à la visibilité des fournisseurs qui permettent à votre entreprise de fonctionner sur une base hebdomadaire, quotidienne et peut-être même horaire. Nous avons maintenant besoin que le plus grand nombre soit engagé et responsabilisé.

Les modèles de risque définissent la première et la deuxième ligne de défense. La gestion des fournisseurs ne peut en aucun cas accepter et prendre en charge à la fois La première ligne de défense, par définition, les propriétaires d'entreprise qui connaissent réellement le modèle d'entreprise et en sont responsables, doit être renforcée. La première ligne de défense définitionnelle, les propriétaires d'entreprise qui connaissent réellement le modèle d'entreprise et en sont responsables, doit être engagée. Il est probablement évident que votre entreprise en dépend.

Une nouvelle orientation

Une nouvelle préoccupation est apparue. Mon fournisseur dispose-t-il d'un personnel suffisant pour fonctionner et fournir des services à notre entreprise ? Comment le changement de résidence du personnel et la connectivité des opérations du fournisseur modifient-ils l'exposition aux risques en matière de sécurité de l'information ? Comment devons-nous redéfinir les services essentiels ? Les contrats doivent-ils être révisés ? Disposons-nous d'accords de niveau de service et d'options de sortie adéquats (tels que définis pour les institutions financières dans l'annexe J du FFIEC Examination Handbook il y a plus de cinq ans) ?

Comment les politiques et les procédures doivent-elles être modifiées avec le fournisseur et au sein de notre organisation pour accepter un changement de tolérance au risque ? Quelqu'un est-il préoccupé par le risque de concentration des fournisseurs maintenant qu'il y a des fermetures de pays et des points chauds viraux ? Comment l'exposition à la cybersécurité et la résilience des fournisseurs sont-elles contrôlées et validées ?

Ce sont les questions qui doivent faire l'objet d'une réponseIl s'agit de savoir si votre fournisseur dispose d'une lettre de transition pour l'audit du rapport SOC de l'année dernière. Les chefs d'entreprise ont désormais une plus grande implication dans le jeu. Les organisations de gestion des vendeurs doivent concéder et garantir la délégation de la responsabilité de ce processus commercial essentiel aux propriétaires des entreprises ; elles ne doivent plus se définir comme étant les seules à occuper une position centrale pour satisfaire aux exigences réglementaires. Le risque lié aux tiers est réel et n'est plus un hobby.

Se défendre contre les risques liés aux fournisseurs et à l'entreprise

Découvrez nos solutions VRM/ERM les plus performantes.

Nous contacter