Third-party risk management
Tous les risques ne surviennent pas au sein d’une entreprise. L'externalisation est une forme de transfert de risque, mais la dépendance à l'égard d'un fournisseur tiers crée également une exposition. Le professionnel du risque doit être prudent lorsqu'il aborde le risque qui survient lorsqu'une organisation externalise des fonctions commerciales, des services de support, des services informatiques et la gestion des données.
La relation entre un fournisseur externalisé et l'entreprise est définie par un contrat. Les exigences légales inscrites dans les contrats doivent traiter de la compétence de toute plainte ou désaccord avec le fournisseur, ainsi que des réglementations du pays d'accueil concernant la divulgation aux forces de l'ordre et la transmission et le stockage transfrontaliers de données. Le professionnel du risque doit recommander que les exigences réglementaires et de sécurité soient prises en compte dans tous les accords avec les fournisseurs et prestataires de services.
Lorsque la gestion des données est externalisée, l'entreprise sous-traitante est chargée de s'assurer que les exigences de sécurité et les réglementations pertinentes pour le traitement des informations ont été intégrées dans le contrat d'externalisation. Il est également essentiel que des mécanismes soient en place pour garantir que ces exigences et réglementations soient respectées. Selon les circonstances, l'organisme sous-traitant peut revendiquer le droit à un audit.
Lorsqu'une entreprise est engagée pour fournir ou offrir des services ou des équipements, le risque de non-respect des accords doit être assumé en examinant, en surveillant et en appliquant les termes du contrat. Tout manquement aux termes du contrat doit être identifié et traité dans les plus brefs délais. En règle générale, la propriété des données et des processus métier appartient à l'organisation externalisante, et non au fournisseur de services.
Une atténuation limitée pourrait être obtenue grâce à l'utilisation de clauses d'indemnisation soigneusement rédigées obligeant le fournisseur à rembourser les pertes subies en raison de violations légales et réglementaires de la part du fournisseur de services. Les conditions contractuelles sont généralement appliquées par le biais d'accords de niveau de service (SLA). Un SLA est une garantie formelle que certains objectifs ou normes de performance seront atteints.
Alors que de nombreuses entreprises font appel à des tiers pour exécuter certains aspects de leurs fonctions commerciales, le besoin d’une assurance par un tiers a une connotation différente. Si un tiers doit effectuer un travail pour l'entreprise, les accords de non-divulgation (NDA) constituent la base nécessaire pour protéger la propriété intellectuelle de l'entreprise contre toute divulgation par du personnel non autorisé.
Comment gérez-vous vos risques liés aux tiers ?
La relation entre un fournisseur externalisé et l'entreprise est définie par un contrat. Les exigences légales inscrites dans les contrats doivent traiter de la compétence de toute plainte ou désaccord avec le fournisseur, ainsi que des réglementations du pays d'accueil concernant la divulgation aux forces de l'ordre et la transmission et le stockage transfrontaliers de données. Le professionnel du risque doit recommander que les exigences réglementaires et de sécurité soient prises en compte dans tous les accords avec les fournisseurs et prestataires de services.
Lorsque la gestion des données est externalisée, l'entreprise sous-traitante est chargée de s'assurer que les exigences de sécurité et les réglementations pertinentes pour le traitement des informations ont été intégrées dans le contrat d'externalisation. Il est également essentiel que des mécanismes soient en place pour garantir que ces exigences et réglementations soient respectées. Selon les circonstances, l'organisme sous-traitant peut revendiquer le droit à un audit.
Lorsqu'une entreprise est engagée pour fournir ou offrir des services ou des équipements, le risque de non-respect des accords doit être assumé en examinant, en surveillant et en appliquant les termes du contrat. Tout manquement aux termes du contrat doit être identifié et traité dans les plus brefs délais. En règle générale, la propriété des données et des processus métier appartient à l'organisation externalisante, et non au fournisseur de services.
Une atténuation limitée pourrait être obtenue grâce à l'utilisation de clauses d'indemnisation soigneusement rédigées obligeant le fournisseur à rembourser les pertes subies en raison de violations légales et réglementaires de la part du fournisseur de services. Les conditions contractuelles sont généralement appliquées par le biais d'accords de niveau de service (SLA). Un SLA est une garantie formelle que certains objectifs ou normes de performance seront atteints.
Alors que de nombreuses entreprises font appel à des tiers pour exécuter certains aspects de leurs fonctions commerciales, le besoin d’une assurance par un tiers a une connotation différente. Si un tiers doit effectuer un travail pour l'entreprise, les accords de non-divulgation (NDA) constituent la base nécessaire pour protéger la propriété intellectuelle de l'entreprise contre toute divulgation par du personnel non autorisé.
Comment gérez-vous vos risques liés aux tiers ?
Commentaires
Enregistrer un commentaire