DNB et Vendor Risk Management : réduire les risques dans un réseau de partenariats

DNB est le plus grand groupe de services financiers de Norvège et l’un des plus importants en Scandinavie en termes de capitalisation boursière. Il propose des prêts, de l’épargne, des services consultatifs, des assurances et des produits liés à la retraite pour les détaillants et les entreprises. DNB figure également parmi les principales banques au monde pour le secteur du transport maritime et occupe une position dominante dans les secteurs de l’énergie, de la pêche et des fruits de mer.

Dans le secteur financier, la réputation est primordiale, et DNB a conscience que ses partenariats avec un vaste réseau de fournisseurs sont un fondement essentiel de cette réputation. Dans le sillage du RGPD, la société a également reconnu que sa gestion des fournisseurs et ses relations avec des tiers n’étaient pas à la hauteur de ses attentes. 

À mesure que le groupe DNB se développait et s’associait à d’autres prestataires pour externaliser certaines opérations, il est devenu de plus en plus difficile d’appliquer des processus rigoureux de gestion des risques. Comme d’autres grands organismes de services financiers, DNB est soumis à une surveillance réglementaire intensive. Ses partenariats avec des tiers, notamment des agents, des distributeurs, des fournisseurs, des partenaires et des consultants, se comptent par milliers. Pour DNB, le défi consistait à contrôler le risque lié aux partenaires sans engendrer de coûts astronomiques. Il fallait un processus rationalisé, articulé autour d’un outil flexible permettant une intégration et une automatisation faciles. 

DNB a opté pour ServiceNow Vendor Risk Management.

Comprendre l’impact potentiel des risques liés aux tiers

Les risques liés aux fournisseurs de l’entreprise sont semblables à ceux de la plupart des grandes entreprises disposant d’un vaste réseau de partenaires. Les tiers, qui fournissent des services essentiels et possèdent une connaissance approfondie de l’activité de leurs clients, stockent ou ont généralement accès à des données d’entreprise confidentielles par le biais d’accords de traitement ou d’hébergement de données. Ils peuvent aussi avoir accès physiquement aux locaux de l’entreprise. Les organisations tierces sont généralement étroitement liées à leurs entreprises partenaires, par contrat et par réputation sur le marché.

DNB savait que, même s’il était facile d’externaliser un service ou une fonction clé, les responsabilités les plus essentielles ne pouvaient pas être déléguées aux clients et il était impossible de compter uniquement sur les régulateurs. Toute erreur ou lacune dans sa chaîne de valeur lui serait imputable. 

Une stratégie complète

Pour DNB, une approche holistique de la gestion des risques tiers était donc beaucoup plus judicieuse que la surveillance de déclencheurs de risques spécifiques. Cette approche holistique devait couvrir notamment les aspects suivants :

• Responsabilité sociale des entreprises : un partenaire tiers à l’éthique laxiste (tolérant, par exemple, le travail des enfants) peut menacer la réputation sur le marché d’une entreprise et la fidélité des clients.

• Intégrité de la chaîne d’approvisionnement : toute violation de la chaîne d’approvisionnement peut avoir des conséquences désastreuses sur la sécurité de l’ensemble du réseau de partenaires.

• Stabilité financière : les entreprises en proie à des difficultés financières peuvent être enclines à prendre des risques et des raccourcis qui ont des conséquences néfastes pour leurs filiales.

• Continuité : de mauvaises routines de sauvegarde et un manque de redondance dans les systèmes clés constituent une menace potentielle pour les opérations d’un partenaire.

• Conformité : le strict respect du droit fiscal, du droit de la concurrence, des normes et réglementations en matière de confidentialité, des sanctions internationales et d’autres mandats juridiques doit être une norme non négociable pour tous les tiers.
  
  

Pour créer un portail d’enregistrement des fournisseurs qui se connecte à ServiceNow Vendor Risk Management et Contract Management, DNB a fait appel à Sopra Steria.

Ce portail permet à DNB d’évaluer la criticité opérationnelle du fournisseur et d’identifier les types de risque spécifiques. Par exemple, dans le cas d’un fournisseur qui produit des chemises arborant le logo DNB, ses processus de sécurité peuvent ne pas être une préoccupation majeure, mais ses mesures de responsabilité sociale et sa politique déclarée en matière de travail des enfants le sont certainement. 

Pour une entreprise informatique, la sécurité est une préoccupation constante. DNB effectue des recherches approfondies sur les catégories de risque pertinentes et réalise une évaluation externe qui peut comprendre des questionnaires adressés au fournisseur ainsi que des recherches dans des bases de données publiques appropriées telles que Dun and Bradstreet. 

La première réglementation mise en œuvre a été le RGPD, dont la mise en service a pris moins d’un trimestre. Depuis, DNB a étendu son implémentation. 

Grâce à ServiceNow, DNB peut gérer l’ensemble du processus à l’aide d’un outil unique qui applique un modèle de risque commun multidisciplinaire couvrant tous les aspects, de la sécurité à la responsabilité sociale des entreprises. Cependant, le but du processus d’intégration des fournisseurs de DNB n’est pas d’écarter les partenaires ayant le niveau de risque le plus élevé, mais de comprendre le risque lié à chacun d’entre eux, afin de pouvoir prendre les bonnes décisions sans surcharger les opérations qui dépendent des fournisseurs. 

Pour commencer, DNB recommande les étapes suivantes :

1. Adopter une approche basée sur le risque

1. Poser des questions de base sur l’analyse des risques : « Où sommes-nous exposés ? Comment les problèmes des tiers peuvent-ils avoir un impact sur notre activité ? »

1. En vous basant sur ce qui précède, déterminez quels sont les tiers les plus critiques que vous devez gérer.

4.  Implémentez l’application ServiceNow® Vendor Risk Management prête à l’emploi et commencez par analyser et gérer les 10 tiers les plus critiques.

In fine, DNB a conscience qu’une action malencontreuse de la part de n’importe quel partenaire n’importe où dans le monde peut accroître l’exposition de l’entreprise. Avec ServiceNow, DNB dispose de la visibilité et du contrôle nécessaires pour minimiser ce risque et continuer à établir les partenariats essentiels à une croissance continue.

Regardez la session ServiceNow Knowledge 2020 « Quand ils échouent, vous échouez » pour en savoir plus sur le programme fournisseur de DNB.

Pour en savoir plus sur Vendor Risk Management, rendez-vous sur www.servicenow.com/fr/vrm 

Les autres noms d’entreprises, appellations de produits ou logos peuvent être des marques commerciales de leurs propriétaires respectifs.

© 2021 ServiceNow, Inc. Tous droits réservés. ServiceNow, le logo ServiceNow, Now et les autres marques ServiceNow sont des marques et/ou des marques déposées de ServiceNow Inc, aux États-Unis et/ou dans d’autres pays. Les autres noms, noms de produit et logos de sociétés peuvent être des marques des sociétés respectives auxquelles ils sont associés.