Pression réglementaire, interconnexion des systèmes d’information, interdépendances croisées complexifient les relations de l’organisation avec ses tiers. Dans un monde imbriqué, les risques augmentent. Toute entreprise, collectivité ou administration qui souhaite se protéger doit s’intéresser aux risques tiers. Mais comment mettre en place un programme robuste de gestion des risques tiers ? De quels outils dispose l’organisation pour évaluer, suivre et contrôler les risques tiers ? Comment la solution digitale peut aider à déployer un programme robuste et optimisé ? Décryptage. 

Les outils de la gestion des risques tiers

Les organisations disposent de nombreux outils pour gérer leurs risques tiers. La tendance montre le passage d’une logique déclarative à une logique de vérification. 

1. L’évaluation des tiers existants

L’évaluation des tiers est une obligation de la loi Sapin 2 de lutte contre la corruption. Elle consiste à évaluer le risque de corruption associé à un tiers. Mais, au-delà de cette loi, l’évaluation des tiers est un outil efficace pour prévenir l’ensemble des risques tiers. Elle s’organise en trois étapes : 

• Identification des tiers existants, en lien avec les directions et services opérationnels et la cartographie des risques. 
• Évaluation individuelle des risques associés, en collectant les données relatives à chaque tiers (données juridiques, sociales et financières ; certifications, qualifications et compétences ; programme de conformité et anti-corruption ; valeurs et éthique des dirigeants et actionnaires…)
• Estimation du niveau de risque du tiers, en fonction de la criticité de la menace. 

Ce processus nourrit le programme de gestion des risques tiers. L’évaluation aide à hiérarchiser les risques et à prioriser les actions de prévention, de remédiation et de mitigation. Cinq choix s’offrent à l’organisation : supprimer la menace, l’atténuer, la partager, la transférer ou l’accepter. Par exemple, en cas de risque avec un fournisseur, l’organisation peut rompre le contrat, confirmer la relation contractuelle ou ajouter des conditions à sa poursuite (signature d’une charte, sécurisation du système d’informations, suivi de formations dédiées à la conformité…)

2. Les vérifications préalables de tiers

Les vérifications préalables de tiers, encore appelées due diligence, permettent de contrôler la qualité et la fiabilité d’un tiers avant toute signature de contrat, de marché public ou de partenariat. 

Toutes les facettes du tiers sont analysées au regard des valeurs et contraintes du donneur d’ordres : santé financière, intégrité, engagement environnemental, conformité réglementaire, sécurité des systèmes d’information, pratiques éthiques, réputation…

Pour plus d’efficacité, la vérification préalable des nouveaux tiers est souvent confiée aux directions opérationnelles, sous le contrôle de l’autorité responsable du programme de gestion des risques tiers (direction de la conformité ou compliance, risk manager…) 

La vérification peut prendre la forme d’un questionnaire, accompagné de documents justificatifs (attestation de vigilance, questionnaire RSE, code de conduite anti-corruption, certifications, attestations de capacité professionnelle, liste des dirigeants, charte numérique, charte Achats responsables, conformité RGPD…) 

Le processus de vérification préalable peut être complété par une charte de sourcing ou une charte Relations fournisseurs et Achats Responsables. Ces documents engagent les tiers à respecter les exigences réglementaires et de qualité de leur donneur d’ordre. 

3. Les contrôles et audits réguliers

Dans un univers changeant, assurer une surveillance continue du tiers est indispensable. De plus en plus d’organisations privilégient l’audit comme outil de contrôle. Il est cité par 73 % des entreprises dans la 8^ème étude annuelle sur la gestion des risques tiers publiée en 2024 par le cabinet Deloitte ⁽¹⁾. 

Réalisé par un auditeur interne ou un expert externe, l’audit apporte un regard neutre et une analyse rigoureuse des risques associés au tiers. Il permet de mettre à jour l’évaluation du tiers. Il contrôle son évolution en fonction des exigences du donneur d’ordres en matière de réglementation, de sécurité, de stabilité financière ou encore d’éthique. 

La fréquence et le contenu des audits s’adaptent au profil de risque du tiers. 

Pourquoi utiliser un outil digital de gestion des risques tiers ? 

Le volume de tiers, la multiplicité des risques, le nombre de collaborateurs engagés dans la gestion des risques tiers peuvent vite transformer le programme en usine à gaz inapplicable. Le recours à un outil digital de gestion des risques tiers simplifie, fiabilise et optimise le processus. 

1. Fiabiliser et tracer les données

La fiabilité des données est une préoccupation pour 75 % des entreprises interrogées par le cabinet Deloitte dans leur étude annuelle 2023 ⁽¹⁾. Cette préoccupation augmente face à l’obligation de collecter des données issues de tiers pour établir les indicateurs de performance extra-financière (directive européenne CSRD, critères ESG, règlement RGPD, bilan des émissions de gaz à effet de serre…)

Le recours à un outil informatique ouvert aux tiers facilite la collecte des données. Il garantit leur traçabilité et leur transparence. Il permet d’archiver l’historique des documents justificatifs et de les rendre accessibles à tous les collaborateurs concernés. 

2. Garantir l’efficacité, la coordination et la cohérence de la gestion des risques tiers

La gestion des risques tiers est transversale. Elle concerne toutes les directions stratégiques et opérationnelles de l’organisation. Chaque collaborateur peut être amené à être en relation avec un tiers, quels que soient sa fonction et son niveau hiérarchique. 

Le choix d’un logiciel de gestion des risques ergonomique et accessible à tous accélère le partage et la diffusion d’informations sur les tiers. Il peut aussi être ouvert directement aux tiers pour une remontée d’informations efficace. 

En cassant le fonctionnement en silos, l’outil digital favorise la coopération, garantit la cohérence du programme de gestion des risques tiers et fluidifie sa mise en œuvre. C’est un élément central pour une gestion des risques tiers réellement efficace. 

3. Automatiser le suivi des tiers et des risques associés

Une gestion des risques tiers efficace implique un suivi continu des tiers et des risques associés. Un logiciel embarque l’ensemble des collaborateurs dans la démarche. Il ouvre à tous la possibilité de compléter et modifier les données relatives à leurs tiers pendant toute la durée de leur relation. L’évolutivité de l’outil permet de suivre le rythme des évolutions, qu’elles concernent les tiers, les risques ou les réglementations. 

La plateforme digitale optimise aussi le pilotage et le suivi pour le responsable du programme de gestion des risques tiers. En quelques clics, il accède à la vision globale des risques, ou à une vision plus détaillée par tiers ou par profil de risques. Il peut constater les évolutions, contrôler le respect des mesures de maîtrise des risques et repérer rapidement d’éventuels dysfonctionnements et incidents. 

Certains outils proposent également la datavisualisation pour faciliter le suivi des indicateurs et le reporting. 

4. Gagner en productivité et en temps

La centralisation des données, l’automatisation du suivi et la simplification des processus sont synonymes de gain de temps et de productivité pour tous les collaborateurs concernés par la gestion des risques tiers. Libérés des tâches administratives et de collecte des données, les experts peuvent se recentrer sur les missions à haute valeur ajoutée d’analyse, de suivi et de contrôle. 

L’informatisation de l’évaluation des tiers et des vérifications préalables réduit également les délais de traitement des données, de contrôle et de validation. 

La gestion des risques tiers repose sur un processus rigoureux et continu d’évaluation et de contrôle des tiers et des menaces associées. Il engage tous les collaborateurs de l’organisation, ainsi que les parties prenantes externes. Le recours à un outil digital de gestion des risques tiers mobilise, simplifie, automatise, fiabilise, optimise. La solution Values Associates de gestion des risques propose une plateforme évolutive et personnalisée, 100 % française et accessible à tous. + CTA ? 

(1) https://www2.deloitte.com/fr/fr/pages/risque-compliance-et-controle-interne/articles/etude-sur-la-gestion-des-risques-de-tiers-2023.html