Quelle méthodologie pour une évaluation des tiers efficace ?
Un an après l'entrée en vigueur de la loi Sapin II, les entreprises ont bien compris leurs nouvelles obligations réglementaires en matière d'évaluation des tiers. Mais entre comprendre ce qu'il faut faire et l'appliquer de façon pratique il y a une marge...
Je m'abonneComment assurer la conformité réglementaire et mener une gestion des risques tiers performante sans que cela ne soit bloquant pour le business? Dans les organisations, les différentes parties concernées par la gestion du risque (finance, achat, juridique...) buttent encore sur la mise en oeuvre terrain de ces dispositifs de contrôles.
Un chantier tentaculaire
Sur des cycles d'achats courts une procédure de vérification inadaptée, trop lourde et trop longue, peut rapidement paralyser un marché. Il est complexe d'évaluer un tiers rapidement. D'après le cabinet Grant Thornton, une due diligence simple prend environ 2h lorsqu'elle est gérée mécaniquement par une personne et 4h lorsqu'il s'agit d'une due diligence approfondie. Alors, multiplier cet exercice par le nombre de fournisseurs tiers ne serait-ce que de rang 1 devient vite ingérable pour les entreprises. On arrive vite à des milliers voire des centaines de milliers de tiers à contrôler. Sans parler de la difficulté pour les sociétés multi sites et multi pays qui utilisent souvent des SI différents de récupérer et centraliser les informations sur leurs tiers. La question de l'organisation pratique du processus de vérification est donc central pour ne pas dire stratégique.
"Le risque tiers est transversal et ne touche pas que l'environnement financier, estime Ghizlane Boutmazourht, senior manager chez Grant Thornton France. De même, le modèle n'est pas standard d'une entreprise à l'autre. Chaque entreprise doit définir ses propres critères d'évaluation du risque par rapport à son activité. Il est donc primordial d'avoir une stratégie afin de définir une méthodologie et de déterminer les critères d'évaluation."
Face à l'ampleur de la tâche, les entreprises s'organisent. "Elles mettent en place des calendriers de déploiement pour tenter de prioriser la mise en oeuvre des dispositifs, elles investissent et font des efforts de structuration en créant une nouvelle fonction voire en montant une équipe dédiée à la compliance, et s'outillent, explique Christophe Amez, directeur EMEA chez Dow Jones Risk & Compliance, base de données anti-corruption. Mais la plupart s'interrogent encore sur le modèle le plus performant, un processus plutôt centralisé ou au contraire décentralisé."
Quid de l'externalisation du dispositif?
Bien que représentant un coût certain (déterminé en fonction du nombre de tiers à évaluer et du niveau de due diligence), l'externalisation, totale, partielle ou ponctuelle, de la gestion du risque des tiers permet d'évaluer son environnement et de s'assurer les compétences techniques et fonctionnelles suffisantes. "Pour se prémunir contre les sanctions des autorités compétentes en anti-corruption tels que l'AFA ou le département de la justice des Etats-Unis, la solidité du dispositif d'évaluation des tiers sera la meilleure arme des entreprises et aussi leur seule défense en cas de mise en cause", plaide Nicolas Guillaume, associé au cabinet Grant Thornton.
Comme d'autres spécialistes de l'audit, le cabinet Grant Thornton propose d'accompagner les entreprises sur cette problématique et a développé une démarche spécifique M3PA, My Third Party Assessment, basée sur une méthodologie en entonnoir. "C'est une démarche progressive qui permet de discriminer les tiers en fonction de leur niveau de risque au regard des indicateurs d'alerte définis avec l'entreprise, pour ne mettre en oeuvre que des procédures adaptées", explique Nicolas Guillaume.
Le schéma est le suivant : phase de priorisation, due diligence simple, due diligence approfondie pouvant aller jusqu'à une investigation terrain. "On ne peut pas évaluer tous les tiers. Il faut donc se baser sur les tiers les plus exposés, identifiés par la cartographie des risques de corruption. De là commence la phase de priorisation qui est automatisable grâce à un algorithme que nous avons développé. L'ensemble des tiers est "scannée" par l'outil qui, sur des critères prioritaires définis par l'entreprise va interroger différentes bases de données spécialisées dont Dow Jones, afin d'établir un scoring automatique", détaille Ghizlane Boutmazourht. Cela permet d'écrémer et de remonter les tiers qui devront faire l'objet d'une plus grande vigilance. "On estime que chaque étape permet de réduire le volume des tiers de 90% environ ce qui permet de limiter le nombre de due diligences simples et approfondies à mener au stricte nécessaire afin de garantir l'agilité et l'efficacité du processus même sur des cycles de contractualisation courts", estime Nicolas Guillaume.
Faire le choix de l'externalisation présente certes l'avantage d'offrir non seulement la technologie mais aussi les expertises en matière de conseil, cependant il faut veiller à la transparence du dispositif. L'entreprise doit s'assurer de la réversibilité du processus par transfert de compétences.
A lire également :
Le big data au service des due-diligences
Loi Sapin II : les recommandations de l'AFA
L'AFA, autorité de contrôle mais aussi organe de conseil pour les acheteurs