Perspectives
Moment propice pour le Canada : comment l’évolution de la gestion des risques liés aux tiers suscite des occasions d’affaires
Comme les sociétés de partout dans le monde s’appuient sur des écosystèmes d’affaires de plus en plus larges et complexes, les avantages d’une robuste fonction de gestion des risques liés aux tiers prennent davantage d’importance. Les grandes organisations reconnaissent maintenant le rôle qu’un programme de gestion avisée des risques liés aux tiers peut jouer dans la stimulation de la croissance, de l’innovation et du rendement de l’entreprise. Ainsi, elles prennent des mesures pour accroître leur maturité dans ce domaine, notamment l’adoption d’une nouvelle approche des investissements dans les technologies.
Selon le rapport Focusing on the climb ahead: Third-party governance and risk management (en anglais seulement), qui est basé sur le sondage mondial sur la gestion du risque de l’entreprise étendue de 2018 de Deloitte, un nombre croissant d’organisations réévaluent leurs cadres de gestion des risques liés aux tiers et abandonnent les processus traditionnels décentralisés de prise de décisions, de même que les solutions complexes sur mesure du passé. Les centres d’excellence et les modèles de services partagés sont de plus en plus répandus, ce qui permet une plus grande centralisation des technologies de gestion des risques liés aux tiers et fait d’une architecture technologique à niveaux la solution à privilégier.
Or, bien que ce changement signale une approche plus stratégique de la gestion des risques liés aux tiers, les progrès se font lentement, en particulier au Canada. L’établissement d’un programme efficient de gestion des risques liés aux tiers est à la fois complexe et onéreux. Sans la nécessité de se conformer à des exigences réglementaires, comme ont à le faire leurs concurrentes mondiales, les sociétés canadiennes non réglementées manquent de maturité dans leur gestion des risques liés aux tiers. Même les organisations réglementées peinent à maintenir le rythme, particulièrement lorsqu’elles voient la gestion des risques liés aux tiers comme un simple exercice de conformité.
Malgré tout, vu les profonds changements qui surviennent dans ce contexte, ce manque d’investissements antérieurs dans l’infrastructure pourrait en réalité devenir un avantage, plaçant les sociétés canadiennes dans une position unique d’adoption accélérée des nouveaux modèles de gestion des risques liés aux tiers. Pour que cette situation se concrétise, toutefois, les entreprises canadiennes doivent élargir leur perspective à l’égard des risques liés aux tiers, explorer de nouvelles technologies et examiner les avantages d’un modèle utilitaire de gestion des risques liés aux tiers.
Élargir les horizons
Bien que les organisations canadiennes comprennent l’importance de la gestion des risques liés aux tiers, bon nombre d’entre elles accusent toujours un retard dans la façon dont elles abordent son aspect technologique. Pour évaluer intégralement les risques liés aux tiers, plusieurs domaines de risque doivent être pris en compte : la cybercriminalité, le risque contractuel, la sécurité physique, la viabilité financière, l’examen des sanctions et les contrôles à l’exportation, les risques liés à la marque et à la réputation, les lois anti-corruption, l’environnement et la durabilité, le risque lié à la sous-traitance, le risque géopolitique, la continuité des affaires, les droits de la personne, et la santé et la sécurité. Une solution technologique robuste doit avoir la souplesse nécessaire pour couvrir tous ces domaines.
Actuellement, la plupart des sociétés canadiennes concentrent leurs efforts technologiques à l’égard de la gestion des risques liés aux tiers sur la sécurité, et elles ne prennent habituellement en compte qu’un ou deux domaines lorsqu’elles conçoivent leurs solutions de gestion des risques liés aux tiers. De la même façon, beaucoup d’organisations canadiennes limitent le point focal de leur gestion des risques liés aux tiers aux risques que présentent les fournisseurs, alors qu’elles devraient adopter une approche plus globale consistant à évaluer les risques dans l’ensemble de leur écosystème de tiers (fournisseurs, sous-traitants, distributeurs, revendeurs, etc.).
En établissant une stratégie technologique à l’égard de la gestion des risques liés aux tiers dont l’étendue est suffisamment large, les organisations peuvent faire davantage que simplement atténuer les risques liés aux tiers. Elles peuvent également hausser l’efficience organisationnelle, réduire les coûts, améliorer leurs marques et prendre des décisions plus avisées en ce qui concerne les investissements dans les technologies.
Une nouvelle façon d’investir dans les technologies
En ce qui a trait aux investissements dans les technologies, notre sondage de 2018 indique que bon nombre d’organisations adoptent une architecture à trois niveaux, lesquels sont généralement les suivants :
- les progiciels de gestion intégrés ou autres applications de base pour l’approvisionnement;
- les logiciels de GRC génériques ou les solutions de gestion des risques axées sur la gestion des risques liés aux tiers et adaptées à l’organisation;
- les autres solutions de ce créneau axées sur des processus ou des risques particuliers de la gestion des risques liés aux tiers, composées d’éléments de domaines de risque spécialisés.
Ce troisième niveau peut représenter un défi pour certaines sociétés canadiennes, car il implique des investissements dans des technologies avancées, comme le traitement du langage naturel et l’apprentissage machine, afin de recueillir et d’analyser des données d’une exactitude et d’une envergure auparavant inconcevables provenant de multiples sources. Toutefois, au fil de l’évolution du marché canadien dans les années à venir, ces technologies seront appelées à devenir plus répandues. Dans l’intervalle, les organisations peuvent commencer à engranger les bénéfices que leur procurent les réductions de coûts et la hausse de l’efficience en explorant le recours à un modèle utilitaire de gestion des risques liés aux tiers.
Un effort concerté
Un modèle utilitaire est une approche collective de la gestion des risques. Plutôt que de laisser chaque organisation effectuer sa propre évaluation des risques pour les mêmes fournisseurs, ce modèle repose sur une fonction utilitaire centralisée favorisant le partage des évaluations des risques au sein d’une communauté d’intérêts.
Prenons l’exemple du secteur canadien des services financiers. Actuellement, la plupart des institutions financières comptent sur les mêmes types de fournisseurs pour leur fournir les mêmes types de services. En réalité, elles ont souvent recours aux mêmes fournisseurs. Toutefois, puisque la gestion des risques est fragmentée, chaque banque doit consacrer des ressources considérables à la réalisation d’évaluations internes des risques pour chacun de ses fournisseurs. Ces évaluations individuelles sont non seulement coûteuses et chronophages, mais elles donnent lieu à un chevauchement injustifié des tâches.
Selon un modèle utilitaire, une fonction utilitaire centrale prend en charge l’évaluation des risques pour l’ensemble des fournisseurs, la validation de l’information fournie et l’établissement des cotes de risque, lesquelles sont communiquées à toutes les banques membres. Les banques peuvent ainsi simplement s’assurer que les risques communiqués respectent leurs seuils de risque, et choisir les fournisseurs en conséquence.
Ce type de modèle ne doit pas être limité aux services financiers. Les entreprises canadiennes de presque tous les secteurs ont donc la possibilité d’éviter les dépenses associées à l’établissement de systèmes internes coûteux, tout en affinant leurs programmes de gestion des risques liés aux tiers.
L’heure est venue
Bien que les entreprises canadiennes accusent actuellement un retard face à leurs concurrentes mondiales en ce qui a trait à la maturité de leur gestion des risques liés aux tiers, cette trajectoire n’est pas forcément éternelle. L’évolution du téléphone en est un bon exemple. En effet, il y a quelques décennies seulement, les pays en voie de développement accusaient un retard considérable sur les pays développés en ce qui a trait aux technologies de communication, ne parvenant pas à établir une vaste infrastructure téléphonique. Néanmoins, grâce aux progrès technologiques, beaucoup de ces pays ont accéléré l’adoption du téléphone cellulaire, et se sont rapidement adaptés à l’air du temps.
Les entreprises canadiennes pourraient vivre la même situation avec la gestion des risques liés aux tiers. Les technologies émergentes et les nouveaux modèles de gestion des risques liés aux tiers qui sont aujourd’hui en vogue offrent une occasion unique de rattraper le temps perdu, et permettent de transformer la gestion des risques liés aux tiers, faisant de cette fonction axée sur la conformité un outil de stimulation du rendement.
Services financiers : de nouvelles règles du jeu pour la gestion des risques liés aux tiers
Ces dernières années, le BSIF a renforcé la mise en application de la ligne directrice B-10, selon laquelle les institutions de services financiers doivent adopter des normes minimales pour les activités, les fonctions et les méthodes d’impartition. Leurs fonctions de gestion des risques liés aux tiers étant sous les projecteurs, les institutions financières subissent des pressions croissantes pour élaborer des cadres de gestion des risques liés aux tiers plus matures et pleinement opérationnels.
Toutefois, afin de tirer tous les bénéfices de ce mandat, les institutions financières devront aborder la gestion des risques liés aux tiers comme étant davantage qu’un simple exercice de conformité. Pour y parvenir, elles peuvent envisager d’avoir recours à un modèle utilitaire, une approche qui permet le partage des ressources en vue d’établir un programme de gestion des risques liés aux tiers plus mature, qui répond aux exigences du BSIF en plus de diminuer les coûts organisationnels et de contribuer à réduire au minimum le risque systémique dans l’ensemble de l’écosystème des banques d’importance systémique intérieure.