Comment répondre à un univers de risques infini avec des ressources limitées?

Les entreprises doivent désormais se concentrer sur le pilotage et l’exécution de programmes plus intelligents de Gestion des Risques Tiers (TPRM) ; cette tendance fait suite à l'augmentation exponentielle des risques liés aux tiers.

En résumé :

• La crise sanitaire a entraîné une stabilisation et une réduction des dépenses liées aux programmes TPRM des entreprises, et ce malgré l’augmentation des risques.
• L’intégration de programmes TPRM aux fonctions métiers offre une opportunité d’améliorer la qualité des données et d’accélérer la prise de décision visant à optimiser les coûts directs et indirects.
• Les nouvelles technologies numériques et l’automatisation représentent un véritable levier d’efficience et de pilotage en temps réel des risques liés aux tiers.

Dans un environnement interconnecté, la pandémie de Covid-19 et l’émergence de nouveaux risques ont mis en évidence l’importance du rôle des tiers, dont dépendent les entreprises. Leurs ressources étant limitées, elles doivent devenir de plus en plus efficaces afin de palier l’apparition de nouveaux risques tout en transformant leur modèle opérationnel.

En 2021, EY a réalisé une enquête auprès de 162 entreprises au niveau mondial pour explorer la manière dont elles se protègent contre les risques liés aux tiers. En effet, elles sont aujourd’hui contraintes de multiplier leurs recours aux tiers afin de rester agiles et compétitives, tout en gérant de nouveaux risques qui accompagnent chaque nouvelle relation avec un fournisseur, tels que les risques cyber, de compliance ou d’image.

L’avis d’expert de Christophe Lairy, Associé EY Consulting, Enterprise Risk leader

Améliorer l’efficacité et réduire les coûts des processus de gestion des risques liés aux tiers est une nécessité dans l’environnement post-Covid.

La crise de la Covid et ses conséquences, telles que les difficultés d’approvisionnement ou le manque de main d’œuvre qualifiée dans de nombreux secteurs industriels, ont démontré l’importance croissante des tiers dans la chaîne de valeur de l’entreprise, que ce soit pour les matières premières de production, les produits finis importés ou tout simplement au quotidien dans les fonctions support.

Anticiper les risques de façon à renforcer les liens entre les différents acteurs de la gestion des risques est d’autant plus important pour répondre à ces nouveaux défis. Outre les bénéfices en termes d’efficacité opérationnelle et d’efficience, la coordination du processus de TPRM permet d’obtenir une couverture beaucoup plus large des risques liés aux tiers en s’appuyant sur ce qui existe et sur les données pour accélérer la prise de décision sur la base d’indicateurs de risques pertinents.

La multiplication des tiers et donc des risques dans l’écosystème de l’entreprise implique nécessairement de savoir redimensionner son projet de gestion des risques liés aux tiers. Que ce soit autour des sujets de continuité d’activité, de gestion des problématiques ESG, des difficultés à recruter pour de nombreuses industries et donc de partenaires, la fonction TPRM doit se réinventer pour une efficacité accrue.

Une meilleure gestion des risques liés aux tiers est aujourd’hui nécessaire car les conséquences d’une mauvaise anticipation des risques sont devenues critiques, tant en termes financiers qu’en termes règlementaires et réputationnels. Toutefois, la gestion proactive de ces risques constitue également une composante essentielle de la confiance que l’entreprise crée au sein de son écosystème, confiance qui contribuera à sa résilience et à son développement sur le long terme.

Principaux enseignements

Les entreprises recherchent des solutions auto-financées pour gérer de manière plus efficiente l’environnement des risques liés aux tiers.

Contrairement à l’étude de 2020, les entreprises répondantes envisagent une réduction moyenne de 13% de leurs dépenses.

Les inconvénients historiques des modèles de gestion TPRM centralisés laissent place à de nouvelles opportunités d’automatiser les processus et de réduire les coûts en privilégiant une approche par les risques. Ainsi, 60% des entreprises utilisent désormais des programmes TPRM centralisés, contre 50% en 2020.

D’autre part, la tendance à la centralisation des programmes TPRM a révélé un manque de connaissances et de communication auprès des fonctions métiers. 82% des parties prenantes internes s’appuient uniquement sur l’intranet et des procédures existantes, moins de la moitié ont recours à des modules de formation TPRM.

Expansion du périmètre et de la couverture des programmes de gestion de risques tiers

Les entreprises développent leurs catalogues de services et ont recours à de nouveaux partenaires dits non traditionnels, qui viennent s’ajouter à leurs fournisseurs existants :

Les modèles opératoires s’appuient sur le support de prestataires externes

L’étude de cette année montre que les entreprises utilisent davantage de prestataires externes sous de multiples formes, ce qui leur permet de faire davantage avec moins de ressources internes et de dépenses.

Exécution du programme TPRM

Le périmètre des programmes TPRM (scoping), la qualification du risques liés à ces tiers (tiering) et une meilleure compréhension de la criticité peuvent permettre de mieux déployer des ressources limitées pour répondre à une expansion de l’univers des risques.

Scoping

Devant l’augmentation des tiers, les entreprises se sont montrées plus exigeantes pour les intégrer aux programmes de gestion des risques. En 2021, les répondants ont indiqué que 25% du total de leurs tiers étaient inclus dans le périmètre de leur programme TPRM, contre 47% en 2020.

En temps de crise, les entreprises ont su faire preuve de résilience en se focalisant sur les tiers les plus importants avec une approche par les risques, réduisant ainsi le volume de contrôles et d’évaluations réalisées. En 2021, les répondants ont indiqué que 8% de leurs tiers ont été évalués, contre 26% en 2020.

Tiering

Les entreprises continuent de réduire le nombre de tiers considérés comme critiques. En effet, les entreprises regroupant plus de 5000 tiers considèrent moins de 5% d’entre eux comme critique, les principaux critères d’évaluation étant la criticité des services fournis, la sensibilité des données traitées, la continuité de l’activité et la résilience.

L’intégration aux programmes TPRM des fonctions internes peut améliorer la qualité des données traitées et faciliter la prise de décision.

Les fonctions gérant les risques liés aux tiers dans l’entreprise sont diverses, bien que les fonctions d’Information, de Sécurité et d’Achats soient prédominantes. De nombreuses fonctions métiers travaillent encore en silos et évaluent les risques de leurs tiers de manière autonome, sans communiquer entre eux et sans contribuer à une vision intégrée et globale des risques tiers.

Bien qu’elle représente une opportunité considérable, l’évolution vers davantage d’intégration fonctionnelle au sein des programmes TPRM se heurte à l’hétérogénéité des outils d’évaluation des risques tiers.
Entre 27% et 34% des répondants ne disposent pas de la technologie nécessaire ou ne sont pas au courant des solutions existantes.

L’intérêt suscité par les nouvelles technologies ne s’accompagne pas encore d’actions concrètes relatives à l’intégration de ces solutions aux programmes TPRM.

Les entreprises continuent d’apprendre à tirer profit des nouvelles technologies et solutions pour maximiser l’efficience et dégager de la valeur.

Les entreprises éprouvent toujours des difficultés à intégrer des solutions à leurs programmes TPRM, telles que les fournisseurs de données externes et l’automatisation par la robotisation des processus (RPA).

Fournisseurs de données externes

Bien que 84% des répondants aient recours à des fournisseurs de données externes, seulement 34% considèrent ces technologies comme très utiles, ce qui indique que les entreprises ont encore des difficultés à maximiser leur utilisation.

Repenser la méthodologie d’évaluation des risques en intégrant les fournisseurs de données externes peut être un levier pour réduire les efforts liés aux processus d’évaluation souvent manuels et chronophages. En effet, 35% des répondants continuent de réaliser des contrôles annuels sur leur segment de tiers à faible risque. De plus, 45% des répondants n’ont pas recours à des fournisseurs de données externes pour évaluer la santé financière et la réputation de leurs tiers.

Intelligence

Le recours croissant à l’automatisation et l’activation de technologies contribue à apporter plus de visibilité sur les menaces réelles auxquelles les entreprises sont exposées. 74% des répondants considèrent qu’il est utile de recourir à des outils d’intelligence et d’évaluation de la menace.

Investissement

Seule une entreprise sur cinq sondées utilise des outils avancés d’analyse de données. Ce chiffre baisse lorsqu’il s’agit de l’utilisation de l’intelligence artificielle, de la RPA ou de la blockchain. Malgré ce faible investissement, la majorité des répondants reconnaît le bénéfice lié au recours de ces technologies, et plus d’un tiers d’entre eux envisage d’avoir recours à des outils d’analyse de données avancées au cours des deux ou trois prochaines années.

Cycle d’évaluation

Face à l’impact de la pandémie, les entreprises ont réduit leurs évaluations sur site pour privilégier les évaluations à distance en virtuel. Les visites de site virtuelles offrent une couverture similaire et une assurance identique aux évaluations classiques et peuvent contribuer à réduire la durée du cycle d’évaluation. Cette tendance va probablement se poursuivre dans la mesure où les entreprises découvrent de nouvelles façons innovantes d’atteindre les mêmes objectifs en réduisant les facteurs temps et coûts.

Merci à Nicolas Jeantin, Manager au sein des équipes Enterprise Risk d'EY Consulting, qui a contribué à la réalisation de cet article.