Dans un contexte marqué par des pressions réglementaires croissantes, des relations toujours plus complexes avec les partenaires externes et une interconnexion accrue des systèmes d’information, la gestion des risques liés aux tiers est devenue un enjeu crucial pour les entreprises.
En effet, les organisations sont confrontées à des défis majeurs en matière de conformité, de continuité opérationnelle, de protection de l’image de marque et de RSE. Pour faire face à ces enjeux, elles doivent mettre en œuvre une politique rigoureuse de gestion des risques liés aux tiers permettant d’anticiper, d’évaluer et d’atténuer les risques associés aux partenariats externes et ainsi d’assurer leur compétitivité et leur pérennité. Décryptage…
Gestion des risques de tiers : un contexte qui exacerbe l’exposition des entreprisesSelon la 6e enquête annuelle sur la gestion des risques liés aux tiers de Deloitte, 51 % des organisations ont dû faire face à au moins un incident lié à un tiers depuis la crise de la Covid-19, notamment dans trois domaines de risques : la santé et la sécurité (56 %), la cybersécurité (53 %) et la continuité de l’activité et/ou résilience opérationnelle (53 %). Cette exposition aux risques tiers est exacerbée par plusieurs facteurs :
- Des pressions réglementaires croissantes, portée par exemple par le RGPD, l’obligation et le devoir de vigilance, la loi Sapin II, la réglementation sur les délais de paiement des fournisseurs, les sanctions internationales, etc. ;
- La complexification des relations avec les tiers : les entreprises travaillent de plus en plus avec un grand nombre de fournisseurs, partenaires et sous-traitants, ce qui rend la gestion des risques plus difficile. Les relations avec les tiers sont souvent multidimensionnelles, impliquant des niveaux multiples de sous-traitance et des interdépendances croisées qui peuvent engager la responsabilité des donneurs d’ordres ;
- La multiplication des interconnexions entre les systèmes d’information des entreprises et de leurs écosystèmes de tiers : les entreprises s’appuient de plus en plus sur des technologies et services en ligne, et leurs données sont souvent stockées et traitées par des prestataires externes. Cette interconnexion croissante des systèmes d’information augmente la vulnérabilité aux cyberattaques et aux incidents liés aux tiers, notamment les attaques par rebond ;
- L’incertitude du macroenvironnement : les entreprises sont de plus en plus dépendantes de fournisseurs et partenaires situés dans différentes régions du monde, ce qui augmente l’exposition aux risques géopolitiques, environnementaux et économiques. Les pandémies, les conflits armés et les catastrophes naturelles peuvent perturber les chaînes d’approvisionnement et avoir un impact important sur les activités des entreprises.
Les enjeux sont nombreux et touchent à des domaines aussi variés que la conformité réglementaire, la continuité opérationnelle, l’image de marque et la RSE. Synthèse :
- Conformité réglementaire et enjeux financiers : c’est le premier dessein de la gestion des risques liés aux tiers, essentiellement pour éviter les sanctions qui peuvent menacer la compétitivité, voire la pérennité des entreprises. Par exemple, le non-respect du Règlement général sur la protection des données (RGPD) peut entraîner des amendes allant jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé. L’entreprise peut être tenue responsable des actions d’un tiers qui enfreint les lois anti-corruption, ce qui pourrait entraîner des pénalités sévères conformément à la loi Sapin II ;
- Protection de l’image de marque et de la réputation : une gestion efficace des risques liés aux tiers permet de prévenir les incidents qui pourraient nuire à l’image de marque et à la réputation de l’entreprise. Les atteintes à la protection des données, les scandales de corruption, les violations des droits de l’Homme et les incidents environnementaux mettent à mal la confiance des parties prenantes internes et externes ;
- Continuité et résilience opérationnelle : les entreprises sont exposées aux risques opérationnels liés aux tiers, notamment les ruptures de la chaîne d’approvisionnement ou les problèmes de qualité. Une gestion efficace des risques liés aux tiers permet de détecter et de résoudre les problèmes potentiels avant qu’ils n’entraînent des perturbations majeures, renforçant ainsi la résilience de l’entreprise face aux chocs externes ;
- Protection des actifs et de la propriété intellectuelle : les partenaires externes peuvent avoir accès à des informations sensibles comme les secrets commerciaux, les brevets ou les données personnelles. Une gestion rigoureuse des risques de tiers permet de mettre en place des contrats, des procédures de sécurité et des audits pour protéger ces actifs et garantir la confidentialité des informations ;
- Maîtrise des risques financiers : une gestion efficace des risques liés aux tiers permet de limiter les coûts directs et indirects associés aux incidents impliquant des partenaires externes, notamment les pertes financières dues à des litiges, des amendes ou des interruptions d’activité ;
- RSE : les entreprises sont de plus en plus tenues de s’assurer que leurs partenaires externes respectent les normes éthiques, sociales et environnementales. La gestion des risques liés aux tiers permet de s’assurer que les partenaires adhèrent à ces principes et de réduire les risques de controverses liées à des pratiques irresponsables.
La mise en place d’une politique rigoureuse de gestion des risques liés aux tiers est cruciale pour anticiper, évaluer et atténuer les risques associés aux partenariats externes, assurant ainsi la compétitivité, la pérennité et la conformité réglementaire des entreprises. Voici les principales étapes pour élaborer et mettre en œuvre une telle politique :
- Établissement des objectifs et du périmètre : la première étape consiste à définir clairement les objectifs de la politique de gestion des risques de tiers et à identifier les partenaires externes concernés : les fournisseurs, les sous-traitants, les partenaires commerciaux, les clients et toute autre partie prenante impliquée dans la chaîne de valeur de l’entreprise ;
- Identification et évaluation des risques : cette étape implique d’identifier les risques potentiels liés aux tiers, de les évaluer en termes de probabilité et d’impact (ou gravité), et de les classer en fonction de leur importance. Les risques peuvent être de nature financière, opérationnelle, juridique, réglementaire, environnementale ou encore liés à la réputation ;
- Définition des critères de sélection et d’évaluation des tiers : établir des critères de sélection et d’évaluation des partenaires externes pour s’assurer qu’ils respectent les exigences de l’entreprise en termes de qualité, de conformité et de performance. Les critères peuvent inclure la solvabilité financière, la capacité à respecter les délais, l’adhésion aux normes éthiques et environnementales, la compatibilité avec les systèmes d’information de l’entreprise, etc. ;
- Mise en place de procédures de contrôle et de surveillance pour s’assurer que les partenaires externes respectent les exigences de la politique de gestion des risques de tiers de l’entreprise : audits réguliers, mise en place de systèmes de reporting, surveillance des indicateurs de performance clés (KPI), etc. ;
- Gestion des incidents et mise en œuvre de plans d’action correctifs : lorsqu’un incident impliquant un tiers survient, il est essentiel de disposer de processus de gestion des incidents et de plans d’action correctifs pour résoudre rapidement la situation et minimiser les impacts négatifs. Il peut s’agir d’une renégociation des contrats, voire de la résiliation des relations avec les partenaires externes en cas de non-conformité grave ;
- Formation et sensibilisation : les équipes doivent être formées et sensibilisées aux enjeux liés à la gestion des risques de tiers et aux procédures mises en place pour les gérer.
En tant que Tiers de Collecte Probatoire (TCP), Provigis accompagne les entreprises dans la gestion des risques de tiers en simplifiant leur audit. Notre capacité à communiquer avec des centaines de milliers d’entreprises nous permet de mettre en œuvre un processus de suivi du référentiel de tiers rigoureux permettant de collecter les données, de les contrôler et enfin de fournir des pistes d’audit à valeur probantes. Celles-ci, en cas de contrôle, vous permettent de bénéficier de l’intégralité des événements qui ont pu constituer ce traitement.
Voici une liste non-exhaustive de documents mutualisés, collectés et authentifiés répartis par direction métier :
- Les achats : documents légaux, RCP, questionnaire RSE, etc. ;
- Comptabilité : KBIS, URSSAF, RIB/IBAN, attestations fiscales, liasses fiscales, etc.
- QHSE : certification MASE, EN 9100, ISO 19443, ISO 14001, etc. ;
- Direction technique : ISO 15001, CEFRI–E, Qualibat, ICPE, etc. ;
- Conformité : code de conduite anti-corruption, charte Sapin II, liste des principaux dirigeants, déclaration Bénéficiaires effectifs, etc. ;
- RSE : charte Achats Responsables, Labels, certificats RSE, évaluation RSE, charte numérique responsable, ISO 37001, etc. ;
- Transports : attestation de capacité professionnelle, attestation d’assurance marchandises transportées, flotte, etc. ;
- DPO : conformité RGPD.