Perspectives
Gestion des risques – impératifs organisationnels
Partout dans le monde, les sociétés sont à la recherche de nouvelles façons de conserver une longueur d’avance sur la concurrence, au moyen, par exemple, de l’enrichissement de l’expérience client, de l’expansion des parts de marché ou encore d’une croissance durable. Il devient donc de plus en plus évident que les avantages d’une fonction solide de gestion des risques liés aux tiers ne se limitent pas seulement aux secteurs réglementés.
Une entreprise étendue sécurisée et solide aide toutes les organisations à stimuler leurs résultats et à accélérer la croissance. Cela leur permet de collaborer avec des fournisseurs de services dans l’ensemble de leur écosystème afin d’offrir une expérience client fluide et novatrice, de cibler et d’atténuer les risques, et d’accroître le rendement.
Afin de concrétiser ces avantages, il est nécessaire de créer de nouvelles capacités qui favorisent une gestion cohérente des risques liés aux tiers dans l’ensemble de l’organisation. En considérant d’autres éléments que le rendement ou la valeur d’un éventuel fournisseur, et en élaborant un modèle pragmatique de gestion des risques liés aux tiers qui permet d’atteindre un certain équilibre entre les objectifs stratégiques, le rendement et les risques, les organisations peuvent mieux détecter les risques externes et ainsi enrichir les informations sur les fournisseurs pour, finalement, stimuler le rendement.
Dans le rapport intitulé Focusing on the climb ahead: Third-party governance and risk management (en anglais seulement) qui se base sur un sondage mondial sur la gestion du risque de l’entreprise étendue mené par Deloitte en 2018, il est évident que de plus en plus d’organisations commencent à considérer la gestion des risques liés aux tiers dans cette optique. En effet, selon 78 % des participants, la responsabilité de la gestion des risques liés aux tiers est bien établie parmi les hauts dirigeants, que cette responsabilité incombe ultimement au chef de la direction, au chef des finances, au chef de l’approvisionnement, au chef de la restructuration ou à un membre du conseil. La direction donne le ton, ce qui constitue un point de départ important pour tirer davantage parti de la fonction de gestion des risques liés aux tiers.
Cela étant dit, le sondage révèle que des progrès restent à faire pour coordonner les activités en matière de gestion des risques liés aux tiers dans l’ensemble des organisations, tant au Canada qu’ailleurs dans le monde. D’après les participants, seulement 16 % des responsables des risques présentent un niveau élevé d’engagement et de compréhension en ce qui a trait à la gestion des risques liés aux tiers. D’après ces résultats, la vraie valeur commerciale de la gestion des risques liés aux tiers ne peut être réalisée que si les sociétés conjuguent les efforts fournis par toutes les parties prenantes de l’organisation à l’égard de la gestion des risques liés aux tiers et définissent clairement les responsabilités dans l’ensemble de l’entreprise.
Le pouvoir de la synergie
Au sein des secteurs réglementés et non réglementés, la plupart des organisations ont habituellement plusieurs parties prenantes responsables de la gestion des relations avec les tiers, et souvent, leurs responsabilités se recoupent. Par exemple, la fonction de sécurité des données implique souvent la responsabilité de surveiller la sécurité des fournisseurs. Cette responsabilité consiste à comprendre les systèmes de cybersécurité de divers fournisseurs et à déterminer si ces fournisseurs exposent la chaîne d’approvisionnement à de nouvelles formes de risques qui pourraient en fin de compte compromettre l’organisation.
Le problème est que la sécurité des fournisseurs fait souvent partie des fonctions d’approvisionnement et de gouvernance des fournisseurs. En plus de cerner des risques liés à la technologie, ces fonctions déterminent si les fournisseurs tiers présentent certains aspects comme des problèmes de continuité de l’exploitation et des risques géopolitiques. Pour compliquer encore plus les choses, chacune des unités d’affaires joue également un rôle dans la gestion des relations avec les fournisseurs, en mettant en œuvre son propre système et son propre processus.
Ce cadre donne lieu à des inefficiences et à des redondances incalculables, et il complique incroyablement la vie des parties prenantes de haut niveau, auxquelles différents groupes d’intervenants présentent souvent des informations non coordonnées et incohérentes. Il devient alors particulièrement difficile de déchiffrer la maturité et la position globale de l’organisation en matière de gestion des risques liés aux tiers.
Sans les bonnes informations en main, il est impossible de prendre les décisions éclairées qui sont nécessaires pour réaliser les avantages commerciaux de la gestion des risques liés aux tiers. Par conséquent, la première étape pour établir un modèle solide de gestion des risques liés aux tiers consiste à subdiviser et à définir clairement les rôles et responsabilités de chaque service, dans le but de fournir une perspective commune au sujet des fournisseurs à l’ensemble de l’organisation.
Des responsabilités clairement définies
De nombreuses entreprises continuent de subir l’incidence négative du dédoublement des efforts fournis à l’égard de la gestion des risques liés aux tiers et des responsabilités mal définies. Mais des signes montrent un changement des tendances. Au sein des secteurs réglementés, tels que les services financiers, de nouvelles exigences de conformité ont permis aux entreprises de prendre un nouveau départ dans la synchronisation de la gestion des risques liés aux tiers. Aujourd’hui, la plupart des sociétés savent quel risque doit être géré, et elles confient à de hauts dirigeants désignés la responsabilité d’orienter les activités de gestion des risques liés aux tiers, de rassembler les parties prenantes et d’établir des procédures d’exploitation standards. Ces groupes de gestion des risques liés aux tiers créent des cadres communs et des taxonomies visant à regrouper des informations, et à fournir au conseil et à la direction une vision unifiée de la gestion des risques.
Au sein des secteurs non réglementés, la situation commence à changer également, à un rythme toutefois plus lent. Plusieurs sociétés du secteur de l’énergie et des ressources, par exemple, ont désormais une fonction centralisée de gestion de la chaîne d’approvisionnement, laquelle est responsable des relations avec les tiers. Cependant, cette méthode a tendance à mieux fonctionner en théorie qu’en pratique. Dans les cas touchant l’exécution du contrat, comme la prestation d’un service ou la livraison d’un service sur place, le groupe des opérations finit toujours par assumer la responsabilité des relations avec les tiers, principalement en raison du fait que ce groupe est déjà responsable des budgets des fournisseurs.
Pour surmonter ces défis, il est essentiel d’accroître l’engagement parmi les responsables des risques, et un moyen éprouvé d’y parvenir est de créer des comités de gestion des risques. Le comité de gestion des risques est un comité du conseil qui a la responsabilité de demeurer au fait de l’évolution de la gestion des risques. Il surveille les programmes de gestion des risques dans l’ensemble de l’organisation et, au moyen de tableaux de bord, il peut déterminer rapidement quand des risques précis méritent l’attention du conseil. Étant donné que le conseil n’a pas le temps d’ajouter la gestion des risques liés aux tiers à l’ordre du jour de chaque réunion, cette approche lui permet de bien examiner les risques émergents relatifs à la gestion des risques liés aux risques et de les atténuer de manière proactive.
Un potentiel illimité
Dans le monde dynamique des affaires d’aujourd’hui, un programme simplifié et efficace de gestion des risques liés aux tiers peut être un atout remarquable, qui offre aux entreprises une occasion unique de répondre rapidement aux facteurs du marché et d’accélérer des processus, tels que l’intégration des fournisseurs, d’une manière avisée. Pour ce faire, les entreprises réglementées et non réglementées doivent, cependant, être prêtes à révolutionner le risque et à adopter un cadre synergique pour exploiter leurs capacités d’amélioration du rendement.