La pertinence de la gestion des risques liés aux tiers
Une récente enquête de Deloitte sur la gestion étendue des risques en entreprise (EERM) montre que la plupart des entreprises estiment que le coût d'un incident impliquant un tiers a au moins doublé au cours des cinq dernières années, et avec la déclaration de la Covid-19 comme pandémie mondiale, l'étude prévoit un besoin encore accru d'investissement dans la gestion des risques dans les entreprises. L'étude montre que le coût d'un incident lié à un risque de vos tiers, tel qu'une défaillance de la chaîne d'approvisionnement, une violation de la confidentialité des données ou une perturbation de votre système de sécurité ou informatique, coûterait à votre organisation entre 470 et 940 millions d'euros, voire plus. Comme le souligne Kristian Park, responsable mondial de la gestion étendue des risques en entreprise chez Deloitte : « Malgré l'augmentation du nombre d'incidents, les entreprises n'investissent pas encore suffisamment dans la gestion des risques posés par leurs tiers ». Pourquoi la gestion des risques posés par vos tiers est-elle essentielle pour votre organisation et quelle est la meilleure approche ?
Si les entreprises ont une visibilité considérable sur leurs propres pratiques en matière d'éthique, de conformité et de gestion des risques, elles ont souvent peu de visibilité ou de compréhension des risques posés par les entreprises associées. Ces menaces sont renforcées par un environnement réglementaire complexe et strict, dans lequel les gouvernements et les organismes de contrôle du monde entier tiennent de plus en plus les organisations pour responsables des valeurs, de l'éthique et des comportements commerciaux de leurs tiers.
Pourquoi la gestion des risques liés aux tiers est-elle si importante pour les entreprises aujourd'hui ?
Les dommages potentiels causés par les tiers ne se limitent pas à l'action réglementaire. Les atteintes à la réputation que peuvent subir les entreprises pour s'être associées à un tiers peu scrupuleux ou négligent peuvent être bien plus importantes et durables que les amendes réglementaires. Les entreprises peuvent également être tenues responsables des actions passées et des associations antérieures des sociétés qu'elles acquièrent. Dans certains cas, la relation avec la partie fautive peut même ne pas être connue de l'organisation acquéreuse, mais les dommages peuvent avoir une grande portée, être durables et difficiles à surmonter.
Les relations avec les tiers et la dépendance à l'égard de ces derniers pour des exigences commerciales cruciales existent depuis des lustres, mais l'art de gérer votre risque par rapport aux exigences réglementaires et aux meilleures pratiques est une exigence commerciale relativement nouvelle. Pour aligner correctement votre organisation sur les directives des nombreuses agences et lois réglementaires (SAPIN 2, UK Bribery Act, FCPA, BaFin, etc.), vous devez implémenter une stratégie axée sur les risques qui s'adapte au niveau et à la nature du risque que représente chacun de vos tiers.
Les entreprises confient à leurs tiers la protection de leurs joyaux, des données de leurs clients, leurs finances, leur réputation et certaines de leurs opérations clés.
Une violation de votre tiers est une violation de votre entreprise, vous devez donc impérativement savoir :
- Sont-ils dignes de votre confiance ?
- Pourquoi ?
- Pourquoi pas ?
- Que faut-il faire à leur sujet ?
- Quel est le niveau de risque qu'ils représentent ?
- Quel est votre appétit au risque ?
C'est à vous de répondre à ces questions et d'agir en conséquence.
Quels sont les défis pour les entreprises ?
Les organisations sont exposées à des risques commerciaux critiques découlant de la crise COVID-19, des violations des sanctions, de la corruption, des violations de la conformité, de données frauduleuses et des failles de sécurité. Pour combattre ces risques et protéger la réputation de votre organisation, votre programme de conformité doit être suffisamment dynamique, robuste et efficace pour s'adapter à l'évolution rapide des conditions et des menaces.
La gestion des risques liés aux tiers est une opération très difficile. Elle exige une grande transparence, une forte responsabilisation, des systèmes solides et complets et une collaboration efficace. Pour être à la hauteur, les organisations doivent employer des mécanismes efficaces bien conçus pour identifier qui sont vos tiers, bien comprendre comment ils opèrent et déterminer dans quelle mesure ils sont engagés dans des pratiques commerciales et humaines éthiques. Il faudrait connaître et comprendre l’écosystème de vos tiers et le risque que cet écosystème pourrait présenter pour votre entreprise. Cette phase est un processus essentiel dans la gestion des risques posés par vos tiers.
Meilleure pratique : L'approche de la gestion des risques liés aux tiers basée sur le risque
Toutes les organisations doivent adopter une approche fondée sur l’évaluation des risques posés par vos tiers dans l'élaboration et la mise en œuvre de vos programmes de conformité. Une telle approche commence par l'application de critères objectifs à tous les tiers, créant des évaluations logiques des potentiels risques qui peuvent être utilisées pour formuler des stratégies de mitigation des risques adaptées. Les organisations identifiées comme présentant un risque élevé peuvent ensuite être désignées pour une évaluation et un examen plus approfondi, en fonction des signaux d'alarme et des facteurs de risque spécifiques qu'elles présentent. Enfin, une approche de la gestion des risques liés aux tiers basée sur les risques exige une surveillance continue de toutes les parties, avec des évaluations régulièrement mises à jour pour refléter toute "violation apparente ou déficience systémique identifiée" (A Framework for OFAC Compliance Commitments, page 4).
L'adoption d'un programme de gestion des risques liés aux tiers axé sur l’évaluation des risques présente de nombreux avantages pour votre organisation, notamment la prévention des comportements répréhensibles de vos tiers, l'évitement des enquêtes et inspections des agences gouvernementales de contrôle, le renforcement de la culture éthique de votre organisation et l'extension de cette culture éthique aux tiers de votre organisation.
Les premières étapes de votre programme de gestion des risques liés aux tiers
Si votre organisation n'a pas encore formalisé son programme d’évaluation et suivi de vos tiers, il est important de comprendre les meilleures pratiques à adopter. Les solutions uniques ne fonctionnent jamais, car chaque organisation a un profil de risque inhérent différent. Votre programme de conformité doit refléter les risques réels plutôt que des hypothèses. La première étape consiste à réunir toutes les parties impliquées au sein de l'organisation, notamment l'équipe chargée de la conformité, l'équipe juridique, les achats, l'audit et d'autres, afin que chacune puisse comprendre à la fois les objectifs généraux et le profil de risque propre à votre organisation. Ce profil doit orienter tous les autres processus de gestion des risques.
Nous serions très intéressés de savoir comment vous et votre entreprise vous positionnez par rapport à la gestion des risques liés aux tiers ! Nous serions donc heureux que vous preniez quelques instants pour répondre à notre enquête.
Veuillez nous envoyer vos réponses via le formulaire de contact. Merci beaucoup !
1. Comment qualifieriez-vous votre programme d’évaluation et suivi de vos tiers ?
a) Proactif et automatisé
b) Réactif et manuel
2. Dans votre organisation, quel est le plus grand défi auquel l'équipe de conformité est confrontée dans le cadre de votre programme d’évaluation et suivi de vos tiers ?
a) L'automatisation
b) Temps d’étude
c) Défensabilité du programme
d) Exactitude des rapports
e) Documentation