7 étapes à suivre pour une gestion des risques tiers efficace

Galvanize

Galvanize

Galvanize

Les clés de la réussite d'un programme de gestion des risques tiers (TPRM) dépassent le simple processus d'intégration et de formation même : en effet, pour bien gérer les risques, les organisations doivent être investies dans l'ensemble du cycle de vie de la gestion des risques tiers, du début à la fin.

Beaucoup de temps et d'effort sont en général concentrés pour l'évaluation et l'intégration initiales d'un fournisseur. Mais lorsqu'un tiers est finalement inscrit sur la liste des fournisseurs agréés (AVL), chacun passe au projet suivant et peut ne plus penser à ce fournisseur jusqu'à ce qu'une violation de données ou un défaut de conformité se produise.

Selon une étude d'Opus & Ponemon, les organisations partagent des informations confidentielles et sensibles avec environ 583 tiers en moyenne, ce qui représente un risque supplémentaire considérable. Et seulement 34 % des organisations participant à l'étude ont déclaré tenir un inventaire complet de ces tiers, tandis que 35 % seulement ont estimé que leur programme TPRM était très efficace.

Comment les organisations peuvent-elles créer un programme TPRM très efficace et mieux géré ? Comment pouvez-vous réduire le risque que posent vos fournisseurs ?

La création de processus standardisés et l'utilisation de la technologie à chaque étape du cycle de vie TPRM - de l'intégration à la fin - vous aident à gérer le risque lié aux fournisseurs de manière beaucoup plus efficace. Voici sept domaines dans lesquels des processus améliorés et une technologie dédiée peuvent être utiles.

« Il n'est pas rare de trouver un problème lors de l'intégration des fournisseurs (en fait, si vous ne trouvez jamais un seul problème, c'est en soi un risque !). »

Processus et technologie dans le cycle de vie de TPRM

1. Créez un processus d'intégration standardisé et automatisé.

De la demande initiale de fournisseur et de la présélection à la collecte des documents requis (par exemple, assurance, certifications), le respect d'un processus d'intégration standard garantit que vous ne manquez aucune exigence essentielle et que vous et votre fournisseur êtes prêts à commencer à travailler ensemble. Vous devrez d'abord définir ce processus et utiliser votre logiciel pour standardiser le flux de travail. Pour en savoir plus sur la définition de vos cadres, consultez notre blog, Commencer à gérer les risques liés aux tiers.

Dans le cadre de votre intégration, vous voudrez créer un répertoire central des fournisseurs (idéalement au sein d'une plateforme logicielle) afin de pouvoir voir, à tout moment, où en est un fournisseur dans le processus d'intégration. Enfin, votre processus doit permettre aux unités opérationnelles et/ou aux services d'achat d'ajouter facilement de nouvelles demandes de fournisseurs au moyen d'un simple formulaire en ligne. Idéalement, vous utiliserez un outil qui vous informera automatiquement de l'ajout d'une nouvelle demande de fournisseur et qui lancera un processus d'intégration automatique.

2. Créez un profil pour chaque fournisseur.

La création d'un profil de risque pour chaque fournisseur vous aidera à définir votre relation et à comprendre les produits/services qu'il fournira ainsi qu'à constater à quel point ils sont essentiels pour votre organisation. Il définira également le type d'accès physique, les systèmes et l'accès aux données à accorder au fournisseur.

La catégorisation par le biais du profilage des risques améliore la cohérence du contrôle de vos fournisseurs et permet de mieux comprendre votre population de fournisseurs. Ce profil déterminera également le type et la complexité des questionnaires dont vous aurez besoin pour compléter le profil de risque du fournisseur. Parce que des questions différentes doivent être posées à des fournisseurs différents (par exemple, votre fournisseur Cloud peut avoir accès à des données sensibles alors que cela ne sera pas le cas pour votre société de nettoyage de bureaux).

3. Utilisez les évaluations des risques et des contrôles.

Une fois que vous avez compris le risque que présente un fournisseur, vous devez vérifier que les contrôles appropriés sont en place pour gérer ce risque et qu'ils fonctionnent efficacement. Ces contrôles peuvent s'inscrire dans un cadre plus large.

Il n'est pas nécessaire de réinventer la roue ; vous pouvez vous aligner sur les cadres de contrôle des meilleures pratiques du secteur (par exemple, NIST, ISO, CSA) pour soutenir votre processus d'évaluation.

4. Disposer d'un plan de gestion de la remédiation.

Il n'est pas rare de trouver un problème lors de l'intégration des fournisseurs (en fait, si vous ne trouvez jamais un seul problème, c'est déjà un risque en soi !). Il est donc essentiel d'avoir un plan pour traiter et corriger les problèmes rapidement afin de maintenir le processus d'intégration. Avec ThirdPartyBond, le processus de gestion des mesures de remédiation se déroule en quatre étapes, qu'il s'agisse d'une omission de contrôle ou d'une exception identifiée dans le cadre d'un projet :

  • Enregistrez le problème - ou mieux encore - laissez le logiciel le créer automatiquement pour vous.
  • Enregistrez des éléments d'action pour identifier les mesures de suivi.
  • Envoyez des rappels d'action récurrents aux personnes devant réagir.
  • Remédiez au problème et retestez-le.

Les activités de remédiation ne doivent pas nécessairement être douloureuses ni prendre un temps fou. Vous pouvez même vous faciliter la tâche en utilisant l'automatisation basée sur des règles afin de vous assurer que les problèmes ne sont pas clos avant que toutes les actions aient été réalisées.

5. Passez régulièrement en revue les contrats.

Maintenant que vous avez remédié à vos problèmes, vous devez examiner dans quelle mesure vos fournisseurs respectent leurs contrats. Le TPRM n'est pas un système de type « set-it-and-forget-it » (« configurez-le, puis oubliez-le ») : vous devez revoir régulièrement les contrats pour surveiller les performances des fournisseurs et anticiper les renouvellements ou les expirations. Parce que les contrats mal gérés sont une source à la fois de risques accrus (comme ces violations de données que nous avons mentionnées plus tôt) et de pertes de revenus, tout comme les méthodes de gestion manuelle des contrats.

Si votre programme TPRM est à un niveau de maturité où la gestion des performances est importante, vous voudrez collecter, mesurer et surveiller efficacement les indicateurs clés de performance (KPI). Avec la bonne technologie en place, vous serez en mesure de surveiller et d'évaluer de manière proactive le risque de non-performance. En savoir plus sur l'évaluation du risque fournisseur avec des données en temps réel.

6. Rendez obligatoire la surveillance continue des fournisseurs.

Il n'y a pas que le contrat qui nécessite un contrôle régulier. Ce fournisseur que vous avez contrôlé il y a un an (et que vous n'avez pas revérifié) peut vous mettre en danger de violation de la conformité ou perturber votre chaîne d'approvisionnement aujourd'hui. La surveillance continue peut être effectuée de plusieurs manières, mais certaines méthodes sont plus courantes :

  • Automatiser la programmation des évaluations de suivi en fonction du niveau de risque d'un fournisseur. Un fournisseur à faible risque peut être soumis à une réévaluation tous les trois ans, tandis qu'un fournisseur critique peut nécessiter des examens trimestriels.
  • Utiliser l'automatisation basée sur des règles pour déclencher des évaluations lorsque les seuils sont dépassés ou lorsque des événements connexes sont découverts (par exemple, un incident important identifié avec une quatrième partie liée).
  • L'intégration de flux d'informations de tiers qui fournissent des alertes de surveillance continue en cas de changements importants dans la notation des risques d'un fournisseur (par exemple, notation de crédit, notation des risques de sécurité informatique), nouvelles apparitions dans des médias hostiles ou sur les listes de surveillance du gouvernement ou classement d'enregistrements publics impliquant le fournisseur.

7. Définissez un processus d'exclusion des fournisseurs.

Vous pouvez mettre fin à une relation avec un fournisseur pour un certain nombre de raisons, mais il ne s'agit pas simplement d'arrêter vos commandes. Vous aurez besoin d'une stratégie d'exclusion qui comprendra la finalisation des paiements, la désactivation de l'accès des fournisseurs aux données, etc. Tout comme le processus d'intégration, le processus d'exclusion peut être géré par votre logiciel et être partiellement (voire totalement) automatisé afin de vous assurer que vous n'oubliez rien.

Vos premiers pas dans la gestion des risques tiers

Les exigences réglementaires, les attentes des parties prenantes ainsi que les objectifs et les risques de votre organisation vont évoluer au fil du temps. En suivant le cycle de vie TPRM et en mettant en œuvre une solution logicielle capable de s'adapter rapidement aux changements, vous pouvez rendre l'ensemble du processus TPRM plus facile pour tout le monde.

eBook :

Principes essentiels en matière de gestion des risques tiers

Cet eBook explore les points suivants :

  • les bases de la gestion des risques liés aux tiers
  • la différence entre la TPRM et la gestion des risques liés aux fournisseurs
  • le processus consistant à choisir le cadre de gestion des risques qui convient le mieux à votre organisation.

Télécharger l'eBook

Articles liés

lang="en-US"
X

Galvanize fait désormais partie de Diligent.

Pour rester au courant des dernières recherches, ressources GRC et offres de produit, ou vous connecter à nos produits Galvanize, accédez à www.diligent.com

Accéder à Diligent Se connecter