Perspectives

La gestion des risques liés aux tiers devient un enjeu prioritaire

Réduire le risque de l’entreprise étendue

Des fournisseurs aux logiciels en passant par les besoins en ressources, les entreprises font de moins en moins cavalier seul. En effet, nous avons observé une hausse des entreprises étendues, c’est-à-dire des entreprises qui s’appuient sur un réseau de tiers fournisseurs pour se doter d’une valeur organisationnelle et d’un avantage concurrentiel.

Au cours des cinq dernières années, le recours à des tiers fournisseurs s’est accru de manière exponentielle. De nombreuses sociétés vont même jusqu’à impartir des fonctions de base pour accroître leur efficacité et réaliser des économies. En procédant ainsi, les organisations s’exposent à des risques plus élevés que jamais. Le principal enjeu auquel devront s’attaquer les organisations sera d’assurer une surveillance adéquate de ces tiers avant qu’il ne soit trop tard.

Quoi de neuf?

Par le passé, les risques liés aux tiers étaient des enjeux d’approvisionnement. Le processus se limitait généralement à ceci : le service de l’approvisionnement déterminait que l’impartition permettrait de faire des économies potentielles, puis le service juridique rédigeait un contrat. Seules quelques entreprises se donnaient la peine de faire un suivi de la relation. Ce processus ne suffit plus. Les mesures que prennent vos fournisseurs peuvent avoir des conséquences non seulement juridiques, mais aussi sur votre réputation – même si une violation de la sécurité ou un incident relatif au risque survient à l’autre bout du monde.

Nous observons trois tendances émergentes qui accroissent les risques liés aux tiers :

Hausse des incidents liés aux fournisseurs : les fournisseurs entraînent davantage de perturbations et les risques ne sont pas gérés, notamment pour la sécurité de l’information, la confidentialité et la gestion antifraude.
Accent des organismes de réglementation sur les risques liés aux fournisseurs : les organismes de réglementation exercent de plus en plus de pression sur les organisations pour qu’elles gèrent mieux leurs risques liés à la chaîne d’approvisionnement.
Pressions découlant de la volatilité économique : la conjoncture économique se traduit par un resserrement des marges pour les fournisseurs et par une hausse du risque de perturbations des fournisseurs.

Risques courants

Malgré la constante évolution des menaces et du nombre accru de nouvelles menaces qui surgissent, les risques se répartissent généralement en trois catégories selon leur incidence sur les activités :

Risque financier ou lié à la réputation : risque qu’un tiers nuise aux revenus ou à la réputation. Par exemple, votre réputation est en jeu lorsqu’un fournisseur vous fournit des pièces défectueuses pour vos produits.
Risque juridique et réglementaire : risque qu’un tiers nuise au respect de la législation ou de la réglementation. Par exemple, si le fournisseur enfreint les lois sur le travail ou l’environnement, votre entreprise pourrait tout de même être tenue responsable. L’impartition ne signifie pas que vous vous dégagez de vos responsabilités.
Risque opérationnel : risque qu’un tiers nuise aux activités. Par exemple, votre fournisseur de logiciels est victime d’un piratage et vous vous retrouvez avec un système en panne.

Bien que ces types de risques soient les plus courants, des risques peuvent se chevaucher. Par exemple, une atteinte à la sécurité des données est une menace réglementaire, mais elle peut également être une menace opérationnelle.

La solution de gouvernance

Parmi les 170 cabinets interrogés par Deloitte dans le cadre du Sondage mondial sur la gouvernance et la gestion des risques liés aux tiers de 2016 (en anglais), 87 % des répondants ont connu un incident avec un tiers qui a perturbé leurs activités et 11 % ont rompu totalement leur relation avec leur fournisseur. Ces données montrent de façon évidente qu’il est de plus en plus urgent de mettre en place des mesures d’atténuation des risques avant qu’il ne soit trop tard.

Comment votre société devrait-elle procéder? En faisant preuve d’une meilleure gouvernance. Une gouvernance solide procure des avantages concrets de réduction des risques, notamment grâce à une transparence accrue, à une meilleure harmonisation avec la stratégie et à une conformité réglementaire constante.

Les sociétés peuvent réduire leur profil général de risques liés aux tiers en intégrant des pratiques de gestion des risques liés aux tiers à tous les niveaux de leur organisation, notamment les suivantes :

Faire la transition d’une approche de gouvernance non officielle des tiers et de prise de risques pour obtenir des avantages à court terme à une approche fondée sur les risques plus judicieuse et mieux harmonisée avec la stratégie d’entreprise.
Passer d’un personnel peu formé à des professionnels et à des champions de la haute direction formés qui harmonisent la prestation de services avec les objectifs stratégiques.
Élaborer des processus normalisés et prendre des décisions de façon proactive en fonction de données analytiques plutôt que de s’attaquer aux problèmes lorsqu’ils surviennent et d’être constamment en train d’« éteindre des feux ».
Créer des outils personnalisés à valeur ajoutée qui appuient la prise de décisions.

La gestion des risques liés aux tiers est un processus continu qui repose davantage sur la prévention que sur la réaction. Des avantages considérables sont associés à l’adoption du modèle de l’entreprise étendue, modèle que le milieu des affaires concurrentiel actuel exige d’adopter. Une gouvernance solide va de pair avec l’entreprise étendue de façon à atténuer les risques, bénéficier des avantages qui y sont associés et avoir une incidence favorable sur la réputation et les résultats.

Rencontrez nos leaders

Tim Scott

Leader, Amériques, Gestion des risques de tiers

tiscott@deloitte.ca

416-643-8702

Tim Scott est leader de la pratique en Gestion des risques liés aux tiers de Deloitte Canada et membre de l’équipe mondiale de Gestion des risques liés aux tiers. Depuis plus de 23 ans, il montre aux ... Autres sujets

Nathan Spitse

nspitse@deloitte.ca

416-874-3338

Nathan Spitse est associé au sein des Conseils en gestion des risques de Deloitte. Il dirige le portefeuille des services mondiaux Cyberrisques et risques stratégiques ainsi que le programme mondial G... Autres sujets

Audit et Certification

Consultation

Conseils en gestion des risques

Conseils financiers

Deloitte Sociétés privées

Services d’analytique

Fiscalité et Services juridiques

Collaborations

Services d’exécution

Consommation

Énergie, ressources et produits industriels

Services financiers

Services gouvernementaux et services publics

Technologies, médias et télécommunications

Postuler

Professionnels expérimentés

Étudiants

La vie chez Deloitte

Anciens

Notre promesse à nos gens