[Tribune] La Gestion du Risque Tiers : Enjeux, Démarche et Méthodologie

Les enjeux et une multiplicité de l'environnement réglementaire

La gestion du risque tiers est devenue un élément central de la gouvernance d'entreprise et de la continuité des opérations à l'ère de la mondialisation des affaires. Dans un monde de plus en plus interconnecté et complexe, les entreprises sont confrontées à une diversité de risques qui peuvent compromettre leur viabilité et leur réputation.

Que ce soit en matière de conformité réglementaire, de sécurité informatique, d'intégrité éthique ou de préservation de la réputation, les relations avec des tiers tels que les fournisseurs, les partenaires et les sous-traitants sont devenus des éléments centraux dans la gestion des risques des entreprises.

Ces enjeux en matière de gestion du Risque Tiers sont amplifiés ces dernières années, par une accélération et une convergence de nouvelles réglementations renforçant les obligations des entreprises vis-à-vis de leurs tiers :

1. Le RGPD (Règlement Général sur la Protection des Données) avec l'assurance du respect des données personnelles par les sous-traitants ;
2. le Corporate Sustainability Due Diligence Directive et les diligences RSE (Responsabilité sociétale des entreprises) / ESG (Environmental, social, and governance) conduisant à évaluer l'empreinte environnementale et les pratiques éthiques des partenaires / fournisseurs ;
3. le devoir de vigilance ou l'équivalent anglais "UK Slavery Act" sur les atteintes graves aux droits humains et aux libertés fondamentales et lutter contre toutes les formes d'esclavage moderne, y compris chez les fournisseurs ;
4. Le German Supply Chain Due Diligence Act imposera d'identifier et prévenir les risques RSE et climat dans les chaînes d'approvisionnement.

Des difficultés communes aux organisations

Bien que de plus en plus conscientes des risques induits par leurs fournisseurs, sous-traitants et partenaires externes, les entreprises peinent à traduire cet enjeu en dispositif opérationnel. Plusieurs écueils se dressent sur la route d'une mise en oeuvre d'un tel projet d'envergure au sein des organisations. Tout d'abord, la difficulté à cartographier l'ensemble d'un écosystème de tiers souvent pléthorique. Le volume considérable de fournisseurs à appréhender complexifie l'extraction des relations les plus à risque. Ensuite, le challenge d'une méthodologie d'analyse adaptée aux différents types de risques à appréhender (sécurité, conformité, réputation, RSE/ESG...). Et le pilotage transverse de la démarche se heurte souvent aux silos organisationnels et aux difficultés à susciter l'intérêt et l'adhésion des collaborateurs dans tous les départements concernés. Par ailleurs, comment collecter efficacement les informations nécessaires auprès de tiers pas toujours transparents ? Enfin, le suivi dynamique des évaluations des tiers, des plans d'actions et des indicateurs clés pour le monitoring reste un défi entier dans la mise en pratique.

Nécessité d'une approche structurée et des outils adéquats

Pour mettre en oeuvre ce type d'initiative et relever les challenges identifiés précédemment, les organisations doivent s'appuyer sur une véritable démarche projet, structurée autour :
- d'une vision claire et partagée sur les étapes clés de l'évaluation des risques tiers : la cartographie des tiers, l'analyse des risques, le référentiel de contrôles, la collecte d'informations, le suivi des plans d'action... ;
- de l'implication des parties prenantes internes, mais également externes - la contribution même des tiers concernés ;
- de la nécessité d'outils et de suivi de projet pour centraliser toutes les étapes de mise en oeuvre et d'industrialiser la démarche auprès d'une population de tiers, forcément d'ampleur, à l'échelle d'un groupe international.

Les caractéristiques clés de l'évaluation des risques appliquée aux tiers

La démarche d'évaluation des risques est abordée depuis longtemps en entreprise - dans d'autres domaines de risques - dont les principales étapes apparaissent naturelles et intuitives : identifier, classifier, évaluer et suivre les actions de remédiation.

Appliquée à l'évaluation des tiers, celle-ci doit appréhender quelques spécificités et caractéristiques incontournables, pour être efficace et efficiente d'un point de vue ressources / budget déployés versus volume de tiers à évaluer :

En premier lieu, les critères d'évaluation doivent prendre en considération les données existantes et récoltées en interne, telles que l'historique d'affaires, les contrats et documents de référence, qualité de produits / services prestés, incidents passés,... ; mais également des données à collecter en externe, telles que la solidité financière, les incidents réputationnels (corruption, fraude, pratiques non-éthiques,...), les manquements à des réglementations internationales (sanctions, embargo,...).

En second lieu, la phase de triage et la progressivité dans l'évaluation sont également déterminantes ; à savoir les informations qui peuvent être collectées en interne et externe, à travers des questionnaires de collecte et d'autoévaluation - dont la qualité des sujets abordés est tout aussi cruciale -. Ces informations transmises en interne et aux tiers permettent d'identifier les risques selon différentes catégories : sécurité, conformité réglementaire, résilience opérationnelle, cybersécurité, probité, environnementale... .
Ce triage pour appliquer le niveau adéquat d'évaluation s'avère être un levier critique pour des considérations de contraintes budgétaires.

Cette phase de triage se déroule avant la commande d'études / analyses externes auprès d'acteurs dédiés dans la collecte "d'intelligences économiques" : dans les situations où des signaux d'alerte ont été identifiés via les questionnaires. Ensuite, il est primordial de s'assurer le concours des tiers concernés par l'évaluation, notamment dans la collecte d'informations et les questionnaires qui leur seront soumis ; par une communication idoine sur l'intérêt de la démarche, les enjeux, mais également par des moyens pour susciter l'adhésion et la participation active et qui leur faciliteront cette phase de contribution : réponses aux questionnaires, fournitures de documents/justificatifs...

En dernier lieu, au-delà d'une démarche projet, un dispositif / un outil / une plateforme simple et collaboratif est nécessaire afin de fédérer toutes les parties prenantes et pour centraliser toutes les ressources liées au projet et aux évaluations des tiers : à savoir les critères de triage, d'évaluation, les autoévaluations, la centralisation des documents et des supports (soit collectés soit commandés auprès des organismes externes d'intelligence économique).

Une illustration d'une démarche projet structurée

En définitive, il n'existe pas de solution unique et universelle pour aborder un tel sujet complexe, multidimensionnel et d'envergure que représente la gestion du risque tiers. Toutefois, la combinaison d'approches méthodologiques rigoureuses ; de moyens pour "embarquer" et susciter l'adhésion des parties prenantes - au premier chef les tiers eux-mêmes - et les collaborateurs internes ; et de solutions techniques / applicatives, s'avère être un chemin critique pragmatique, aisé à mettre en oeuvre, pour mener à bien un programme d'évaluation des risques tiers. Cette combinaison permet aux entreprises de non seulement identifier et évaluer efficacement les risques associés à leurs tiers, mais aussi de gérer et suivre ce type de programme dans le temps. En s'appuyant sur des solutions techniques fédératrices et collaboratives, épousant la démarche projet, les organisations peuvent améliorer leur réactivité, agilité, suivi en temps réel - voire surveillance continue avec des alertes en cas de risques émergents ou événements adverses -, tout en maintenant l'intérêt et les relations avec toutes les parties prenantes internes / externes.