La gestion des risques liés aux tiers devient un enjeu prioritaire

Des fournisseurs aux logiciels en passant par les besoins en ressources, les entreprises font de moins en moins cavalier seul. En effet, nous avons observé une hausse des entreprises étendues, c’est-à-dire des entreprises qui s’appuient sur un réseau de tiers fournisseurs pour se doter d’une valeur organisationnelle et d’un avantage concurrentiel.

Au cours des cinq dernières années, le recours à des tiers fournisseurs s’est accru de manière exponentielle. De nombreuses sociétés vont même jusqu’à impartir des fonctions de base pour accroître leur efficacité et réaliser des économies. En procédant ainsi, les organisations s’exposent à des risques plus élevés que jamais. Le principal enjeu auquel devront s’attaquer les organisations sera d’assurer une surveillance adéquate de ces tiers avant qu’il ne soit trop tard.

Quoi de neuf?

Par le passé, les risques liés aux tiers étaient des enjeux d’approvisionnement. Le processus se limitait généralement à ceci : le service de l’approvisionnement déterminait que l’impartition permettrait de faire des économies potentielles, puis le service juridique rédigeait un contrat. Seules quelques entreprises se donnaient la peine de  faire un suivi de la relation. Ce processus ne suffit plus. Les mesures que prennent vos fournisseurs peuvent avoir des conséquences non seulement juridiques, mais aussi sur votre réputation – même si une violation de la sécurité ou un incident relatif au risque survient à l’autre bout du monde.

Nous observons trois tendances émergentes qui accroissent les risques liés aux tiers :

1. Hausse des incidents liés aux fournisseurs : les fournisseurs entraînent davantage de perturbations et les risques ne sont pas gérés, notamment pour la sécurité de l’information, la confidentialité et la gestion antifraude.
   
2. Accent des organismes de réglementation sur les risques liés aux fournisseurs : les organismes de réglementation exercent de plus en plus de pression sur les organisations pour qu’elles gèrent mieux leurs risques liés à la chaîne d’approvisionnement.
3. Pressions découlant de la volatilité économique : la conjoncture économique se traduit par un resserrement des marges pour les fournisseurs et par une hausse du risque de perturbations des fournisseurs.
   

Risques courants

Malgré la constante évolution des menaces et du nombre accru de nouvelles menaces qui surgissent, les risques se répartissent généralement en trois catégories selon leur incidence sur les activités :

• Risque financier ou lié à la réputation : risque qu’un tiers nuise aux revenus ou à la réputation. Par exemple, votre réputation est en jeu lorsqu’un fournisseur vous fournit des pièces défectueuses pour vos produits.
• Risque juridique et réglementaire : risque qu’un tiers nuise au respect de la législation ou de la réglementation. Par exemple, si le fournisseur enfreint les lois sur le travail ou l’environnement, votre entreprise pourrait tout de même être tenue responsable. L’impartition ne signifie pas que vous vous dégagez de vos responsabilités.
• Risque opérationnel : risque qu’un tiers nuise aux activités. Par exemple, votre fournisseur de logiciels est victime d’un piratage et vous vous retrouvez avec un système en panne.

Bien que ces types de risques soient les plus courants, des risques peuvent se chevaucher. Par exemple, une atteinte à la sécurité des données est une menace réglementaire, mais elle peut également être une menace opérationnelle.

La solution de gouvernance

Parmi les 170 cabinets interrogés par Deloitte dans le cadre du Sondage mondial sur la gouvernance et la gestion des risques liés aux tiers de 2016 (en anglais), 87 % des répondants ont connu un incident avec un tiers qui a perturbé leurs activités et 11 % ont rompu totalement leur relation avec leur fournisseur. Ces données montrent de façon évidente qu’il est de plus en plus urgent  de mettre en place des mesures d’atténuation des risques avant qu’il ne soit trop tard.

Comment votre société devrait-elle procéder? En faisant preuve d’une meilleure gouvernance. Une gouvernance solide procure des avantages concrets de réduction des risques, notamment grâce à une transparence accrue, à une meilleure harmonisation avec la stratégie et à une conformité réglementaire constante.

Les sociétés peuvent réduire leur profil général de risques liés aux tiers en intégrant des pratiques de gestion des risques liés aux tiers à tous les niveaux de leur organisation, notamment les suivantes :

• Faire la transition d’une approche de gouvernance non officielle des tiers et de prise de risques pour obtenir des avantages à court terme à une approche fondée sur les risques plus judicieuse et mieux harmonisée avec la stratégie d’entreprise.
  
• Passer d’un personnel peu formé à des professionnels et à des champions de la haute direction formés qui harmonisent la prestation de services avec les objectifs stratégiques.
  
• Élaborer des processus normalisés et prendre des décisions de façon proactive en fonction de données analytiques plutôt que de s’attaquer aux problèmes lorsqu’ils surviennent et d’être constamment en train d’« éteindre des feux ».
• Créer des outils personnalisés à valeur ajoutée qui appuient la prise de décisions.

La gestion des risques liés aux tiers est un processus continu qui repose davantage sur la prévention que sur la réaction. Des avantages considérables sont associés à l’adoption du modèle de l’entreprise étendue, modèle que le milieu des affaires concurrentiel actuel exige d’adopter. Une gouvernance solide va de pair avec l’entreprise étendue de façon à atténuer les risques, bénéficier des avantages qui y sont associés et avoir une incidence favorable sur la réputation et les résultats.