Par où commencer ? Telle est la question que se posent nombre d’entreprises, de collectivités et d’administrations avant d’aborder la gestion des risques tiers. Face à la volumétrie des données, le risque est de construire une usine à gaz inexploitable. Le défi : mettre en place une gouvernance et des processus rigoureux, mais réalistes et adaptés à l’organisation. Voici les 5 étapes pour mettre en œuvre un programme de gestion des risques tiers robuste, efficace et pragmatique.
1ère étape : définir une gouvernance claire
La gestion des risques tiers – ou third-party risk management (TPRM) – exige l’engagement de nombreuses parties prenantes, internes et externes. Son efficacité et sa cohérence dépendent de la qualité de l’orchestration.
- Engager et communiquer
La mobilisation de tous les acteurs de l’entreprise ou de la collectivité est la clé de la réussite d’un projet transversal. Quel que soit son niveau hiérarchique, chaque collaborateur en relation avec un tiers doit penser « gestion des risques ». Formés aux outils d’évaluation, tous doivent acquérir des réflexes : mettre à jour la liste des tiers, évaluer les tiers, mettre à jour la cartographie des risques et appliquer les mesures de prévention, de remédiation et de mitigation.
Cet engagement collectif n’est possible qu’avec l’impulsion de la direction et du management. Un engagement de la direction, une communication transparente et des formations ciblées aident à imposer la gestion des risques tiers et les valeurs éthiques dans la culture d’entreprise.
- Clarifier les responsabilités
La gestion des risques tiers est un processus collaboratif. Elle concerne de nombreuses directions de l’entreprise ou de la collectivité (conformité, juridique, audit interne, systèmes d’information, sécurité, achats, finances, DPO, RSE, logistique…) Chaque collaborateur doit connaître précisément son rôle et ses responsabilités.
Si les opérationnels peuvent être en charge des évaluations de tiers, des vérifications préalables et des contrôles, ils ne peuvent agir seuls. Pour garantir la cohérence du programme, l’organisation doit désigner clairement le chef d’orchestre de la gestion des risques tiers. Selon sa taille et sa structure, le pilotage du projet peut être confié à la direction conformité/ compliance, à un expert dédié (risk manager) ou à tout autre collaborateur disposant de l’expertise et du niveau hiérarchique pertinents.
- Impliquer les tiers
La gestion des risques tiers nécessite la collecte de données relatives aux tiers. Intégrer les parties prenantes externes dès la construction du programme d’évaluation des risques facilite leur engagement et la remontée d’informations.
L’organisation est encouragée à adopter une approche réaliste et pragmatique, en identifiant avec les tiers des indicateurs de mesure pertinents et tenant compte de leur environnement local.
2ème étape : identifier les tiers existants
Après la mise en place d’une gouvernance claire, structurée et adaptée vient le temps de l’analyse. La première étape cible les tiers existants. Les processus et indicateurs définis seront ensuite appliqués au fur et à mesure lors de l’intégration de nouveaux tiers.
- Recenser les tiers de rang 1
Identifier les tiers de rang 1 en lien direct avec l’entreprise ou la collectivité semble l’étape la plus facile. Ces tiers sont en effet connus par l’organisation. Mais cette étape est chronophage et fastidieuse. La tendance à l’externalisation multiplie les tiers, en amont et en aval de l’entreprise ou de la collectivité.
Les tiers de rang 1 regroupent de nombreuses catégories : les fournisseurs, les sous-traitants, les délégataires de service public, les maîtres d’œuvre, les consultants, les prestataires de service, les bureaux d’études, les partenaires commerciaux, les co-entreprises, les gros clients, les investisseurs, les intérimaires, les bénéficiaires de subventions ou de mécénat et, plus largement, toutes les parties prenantes de la chaîne de valeur. Le défi est de réussir un recensement exhaustif, en mobilisant toutes les directions.
- Quid des tiers de rang 2 et plus ?
Les risques ne se limitent pas aux tiers de rang 1. Ils concernent aussi les tiers des tiers, encore appelés tiers de rang 2, et ainsi de suite (tiers de rang 3, de rang 4, etc.)
Leur recensement est complexe mais pas impossible. Il nécessite l’engagement des tiers de rang 1. L’organisation peut aussi s’appuyer sur des bases de données publiques pour compléter les informations. L’exhaustivité n’est cependant pas envisageable. Il est recommandé de se concentrer sur les tiers et les risques jugés les plus critiques.
3ème étape : cartographier et prioriser les risques tiers
Une fois les tiers identifiés, il s’agit de recenser et d’évaluer les risques associés. L’entreprise ou la collectivité peut s’appuyer sur les outils de l’évaluation des tiers et de la cartographie des risques.
- Recenser les risques associés à chaque tiers
L’identification des risques associés aux tiers exige de la rigueur. Elle mobilise l’ensemble des parties prenantes internes et externes pour collecter les données et documents justificatifs (données juridiques ; données sociales ; données financières ; certifications, qualifications et compétences ; programme de conformité et anti-corruption ; valeurs et éthique des dirigeants et actionnaires…)
Les risques potentiels sont multiples. Ils sont juridiques, financiers, réglementaires, sociaux, environnementaux, de sécurité ou encore de réputation. L’enquête annuelle sur la gestion des risques tiers réalisée en 2023 par le cabinet Deloitte(1) relève trois principales préoccupations chez les entreprises : le risque cyber, le risque corruption et le risque de non-conformité réglementaire.
- Évaluer la criticité des risques tiers
L’analyse de chaque menace permet d’évaluer le niveau de risque que représente chaque tiers pour l’entreprise ou la collectivité. Deux données sont croisées pour estimer la criticité de la menace : la probabilité de survenance (ou fréquence d’occurrence) et l’impact sur l’organisation (ou gravité).
Grâce à la méthode de scoring, les risques tiers sont notés sur une échelle graduée pouvant aller de 1 à 5. La note 1 signifie que le risque est considéré comme très faible. La note 5 désigne au contraire un risque très critique.
- Hiérarchiser et prioriser les risques tiers en fonction de l’organisation
Le volume des risques tiers ne permet pas à l’organisation d’agir sur toutes les menaces. L’approche pragmatique consiste à cibler les actions sur les tiers et les risques les plus critiques.
La criticité des risques est subjective, en fonction de la capacité de résilience de l’organisation.
Pour simplifier l’approche, 58 % des entreprises établissent à ce stage un regroupement et une segmentation des tiers en fonction du niveau de risque (1).
4ème étape : gérer les risques tiers
Le programme de gestion des risques tiers inclut deux volets principaux : la gestion des risques tiers existants et la prévention des futurs risques tiers.
- Maîtriser les risques tiers existants
Le programme de gestion des risques tiers liste toutes les actions à mettre en place en fonction de la menace.
Face à un risque tiers, l’organisation a le choix entre cinq stratégies. Elle peut supprimer la menace, la réduire, la partager, la transférer ou l’accepter. En cas de manquement d’un fournisseur, l’entreprise peut par exemple décider de renégocier le contrat en intégrant de nouvelles exigences. Elle peut aussi résilier le contrat ou le poursuivre sans modification.
Pour choisir la meilleure solution, l’organisation doit comparer les pertes potentielles liées au risque tiers et les opportunités et bénéfices qu’offre la relation. Par exemple, le remplacement d’un fournisseur peut engendrer des pertes financières et de productivité temporaires, supérieures à celles causées par la survenance du risque.
- Prévenir et anticiper les futurs risques
Le principal outil pour prévenir les risques des nouveaux tiers est la vérification préalable de tiers ou due diligence. Réalisée généralement par la direction en relation avec le tiers, elle consiste à contrôler en amont la fiabilité du tiers et les risques associés. L’analyse s’appuie sur les données et documents collectés attestant des capacités réglementaires, financières et professionnelles du tiers, et, le cas échéant, de ses engagements durables et sociaux (attestation de vigilance, questionnaire RSE, code de conduite anti-corruption, certifications, attestations de capacité professionnelle, liste des dirigeants, conformité RGPD, normes de sécurité des systèmes d’information…)
En complément, les entreprises, collectivités et administrations peuvent exiger la signature de chartes, comme la charte de sourcing, la charte Relations fournisseurs et Achats responsables ou encore la charte numérique.
- Définir des indicateurs et des processus clairs et partagés
Les évaluations de tiers existants et les vérifications préalables sont réalisées par les directions opérationnelles, sous le contrôle du responsable du programme de gestion des risques tiers.
Pour garantir la cohérence et la pertinence de cette démarche transversale, chacun doit appliquer les mêmes critères de notation et suivre les mêmes processus. La gestion des risques tiers exige donc de :
- Définir et partager des indicateurs-clés en fonction des exigences et besoins de l’organisation en termes de qualité, de conformité, de RSE et de performance.
- Définir des processus partagés : le recours à un logiciel dédié à la gestion des risques tiers facilite la mise en place d’un processus unique, simplifié et accessible à tous de collecte des données, d’analyse et de validation.
5ème étape : suivre et contrôler en continu les risques tiers
La gestion des risques tiers est une démarche d’amélioration continue. Le programme doit s’adapter en permanence à l’évolution de l’organisation, de ses tiers et des risques associés.
- Surveiller et optimiser le programme de gestion des risques tiers
Le responsable du programme de gestion des risques tiers est le garant de sa bonne application. En continu, il doit :
- S’assurer de la réalisation systématique des vérifications préalables de tiers.
- Vérifier la mise en place et l’efficacité des actions de prévention, de remédiation et de mitigation.
- Surveiller l’évolution des indicateurs et effectuer des reportings réguliers.
- Repérer les dysfonctionnements pour optimiser les processus et les indicateurs.
- Réévaluer périodiquement les risques tiers
La liste des tiers en relation avec l’organisation et la cartographie des risques associés ne cessent d’évoluer.
Les vérifications préalables permettent de les mettre à jour en intégrant les nouveaux tiers. Mais l’organisation doit aussi réévaluer périodiquement les risques liés aux tiers existants. Cela peut prendre la forme d’une nouvelle évaluation des tiers, d’un contrôle plus poussé, voire d’un audit. Cet outil est aujourd’hui privilégié par 73 % des entreprises interrogées dans l’enquête annuelle 2023 du cabinet Deloitte sur la gestion des risques tiers (1).
La périodicité du suivi et le nombre de contrôles sont adaptés en fonction du profil de risque de l’organisation et de celui des tiers.
Une gestion efficace des risques tiers exige la définition de processus transversaux structurés, cohérents et partagés. En adoptant une approche proactive, pragmatique et collaborative, les organisations peuvent mieux anticiper les menaces, optimiser la gestion de leurs relations avec les tiers et renforcer leur résilience face aux risques. Le recours à un logiciel de gestion des risques facilite la mise en place de processus partagés et automatisés. Utiliser une plateforme digitale favorise la coordination des équipes et renforce l’efficacité et la réactivité face aux risques tiers. (1)