Les entreprises canadiennes entretiennent depuis longtemps des réseaux d’externalisation et de partenariat afin de stimuler leur croissance, de rentabiliser leur exploitation et d’accroître leur capacité d’action. S’il présente d’indéniables avantages, ce modèle d’expansion a également favorisé l’émergence de nouveaux risques sous-jacents, surtout dans le contexte de la pandémie.
Dans un récent sondage sur les opinions et les stratégies des hauts responsables de la gestion des risques liés aux tiers dans six importants secteurs au Canada, 78 % des répondants ont affirmé que les inefficacités des programmes en place exposaient l’organisation à un risque de réputation, 69 % affirmant avoir subi au moins une perturbation majeure, une perte financière ou une atteinte à la réputation du fait d’un tiers au cours des trois dernières années.
Les cinq éléments clés d’un robuste programme de transformation de la gestion des risques liés aux tiers
En nous appuyant sur les principales conclusions de l’étude et sur notre connaissance de l’écosystème des risques au Canada, nous avons dégagé cinq éléments clés que les organisations canadiennes devraient prioriser pour améliorer leurs programmes de gestion des risques liés aux tiers et renforcer leur résilience à l’interne et à l’échelle du secteur.
Obtenir l’entière adhésion de la haute direction
Il est essentiel que la haute direction « donne le ton » pour permettre à l’organisation de gérer collectivement les risques liés aux tiers. Les dirigeants doivent être informés en permanence de l’évolution du programme afin d’y consacrer l’attention et le budget appropriés.
Bâtir un modèle d’exploitation global
Les organisations doivent établir et tenir à jour un modèle formel de surveillance et de gestion en continu de l’ensemble des risques liés aux tiers et affecter au programme un budget suffisant pour relever les défis en matière de ressources et tirer parti de la technologie.
Assurer une visibilité à 360 degrés
Pour se protéger, il est important que les entreprises connaissent à fond les tiers avec qui elles sont en relation et les risques associés à chacun d’eux. Elles ont ainsi la possibilité de détecter des risques plus grands qui pourraient être indécelables au niveau d’un seul service.
Envisager les scénarios les plus plausibles
Les organisations devraient procéder régulièrement à une planification détaillée des scénarios pour devenir plus résilientes face aux risques, en se posant des questions telles que : « Comment continuer à servir nos clients et à développer l’entreprise si ce scénario se concrétise? » et « Que devons-nous faire sur le marché actuel pour sécuriser nos sources, assurer notre approvisionnement, et préserver et développer l’entreprise?»
Collaborer avec les concurrents
Le modèle de « coopétition » permet à l’ensemble d’un secteur de développer un point de vue unique. Grâce à cette précieuse source d’observation partagée, les entreprises peuvent obtenir de l’information sur un fournisseur donné, ce qui contribue à diminuer le temps d’intégration, à améliorer la surveillance continue et à réduire les besoins en ressources.
Un climat de turbulences
La pandémie mondiale a mis en lumière d’importantes lacunes dans la gestion des risques liés aux tiers, comme en témoigne l’incapacité de nombreuses entreprises à assurer la continuité des services en raison de problèmes avec leurs fournisseurs et partenaires.
Le travail à distance ou hybride a augmenté la dépendance des entreprises envers la technologie et le partage de données avec les fournisseurs et accru de ce fait les risques de cyberattaques et de fuite de données. Sans compter que de nombreuses organisations ont pu, à leur insu, intégrer des produits de contrefaçon – un phénomène aggravé par la pandémie – dans leurs chaînes d’approvisionnement, ce qui a considérablement nui à la qualité de leurs produits et services et, par ricochet, à leur réputation.
Près des trois quarts (74 %) des participants se disent préoccupés par la valeur qu’ils retirent des contrats de tiers, et 59 % pensent avoir été surfacturés par un tiers au moins une fois au cours de l’année écoulée.
Tout en reconnaissant que la gestion des tiers n’est pas seulement un centre de coûts, mais un facteur de croissance stratégique, de nombreuses entreprises canadiennes continuent de négliger cet aspect essentiel que constitue la gestion stratégique de leur réseau.
Votre organisation a-t-elle subi une importante perturbation de la chaîne d’approvisionnement, une perte monétaire ou une atteinte à sa réputation du fait d’un tiers au cours des trois dernières années?
Exposition accrue aux risques
Plus les entreprises s’appuieront sur des tierces – voire des quatrièmes – parties et plus elles seront exposées aux risques. Les organisations canadiennes doivent se donner comme priorité de renforcer l’ensemble de la chaîne de valeur impliquant des tiers en se concentrant sur la stratégie, les modèles d’exploitation, la gouvernance, l’évaluation des risques et l’acquisition de ressources, tant humaines que technologiques.
65 % des hauts responsables de la gestion des risques liés aux tiers au Canada disent que c’est uniquement par chance qu’ils ont évité un incident majeur pendant la pandémie.
Le sondage montre que les leaders sont conscients de ce besoin, près de neuf répondants sur dix (88 %) ayant reconnu qu’il était urgent d’améliorer les méthodes de sélection et d’évaluation des tierces et des quatrièmes parties dans leur chaîne d’approvisionnement et dans l’ensemble de l’écosystème. Le moment est venu de transformer cette prise de conscience en action.
La tendance s’observe aussi ailleurs dans le monde. La comparaison des rapports de 2020 et de 2022 des Perspectives sur la gestion des risques liés aux tiers de KPMG International révèle que les programmes de gestion des risques liés aux tiers ont peu progressé. La moitié des personnes interrogées en 2020 avaient déclaré qu’elles ne disposaient pas de capacités suffisantes en interne pour gérer tous les risques liés aux tiers, contre 52 % cette année. Plus inquiétant encore, 74 % des participants au sondage de 2020 reconnaissaient qu’il était urgent de renforcer la cohérence de la gestion des risques liés aux tiers à l’échelle de l’organisation, pourcentage qui est passé à 77 % cette année.
Les cinq éléments d’un programme robuste de gestion des risques liés aux tiers
Dans une mesure de 84 %, les répondants se sont dits d’accord avec l’affirmation selon laquelle « la crise a clairement montré qu’il est temps pour nous de revoir notre modèle de gestion des risques liés aux tiers ». En vue de soutenir les entreprises canadiennes dans ce parcours de transformation, nous avons défini les cinq éléments à prioriser pour développer, renforcer et optimiser leur programme dans ce domaine.
1. Obtenir l’entière adhésion de la haute direction
Dans de nombreuses entreprises canadiennes, la gestion des risques se limite au respect des exigences de conformité ou à la dimension transactionnelle. Les répondants conviennent à 65 % que la fonction de gestion des risques liés aux tiers est généralement sous-évaluée, bien qu’une grande partie de leurs activités dépende de tiers. Ils sont toutefois nombreux (97 %) à souhaiter que cette fonction joue un rôle plus actif pour assurer la continuité des activités. Alors que seulement 33 % déclarent faire régulièrement rapport à la direction générale sur le sujet, 79 % affirment qu’il reste encore beaucoup à faire pour que la fonction de gestion des risques liés aux tiers soit considérée comme un partenaire stratégique.
La haute direction doit « donner le ton » pour permettre à l’organisation de gérer collectivement les risques liés aux tiers. La pandémie a clairement mis en évidence la nécessité de mieux intégrer la gestion des risques aux processus et activités clés et d’en faire un élément éclairant la prise de décision, d’où l’importance d’obtenir l’adhésion de la direction et du conseil d’administration. Il est en outre essentiel que la direction soit continuellement informée de l’évolution des activités dans ce domaine, notamment des variations dans l’exposition aux risques, avant et après l’attribution de contrats, des concentrations excessives, ainsi que des risques émergents et de leur impact potentiel sur l’organisation.
79 % des répondants affirment qu’il reste encore beaucoup à faire pour que la fonction de gestion des risques liés aux tiers soit considérée comme un partenaire stratégique.
La direction doit porter une attention particulière aux risques environnementaux, sociaux et de gouvernance (ESG) et s’engager à réduire les émissions de CO2, car 80 % de ces émissions proviennent des émissions de type 3, généralement associées aux tiers qui jouent un rôle dans des domaines tels que les transports, la distribution, la production de déchets, l’énergie et les carburants, la location de biens et les voyages. Dans leur évaluation des tiers, les organisations doivent aussi examiner les catégories de dépenses ainsi que la quantité de CO2 émise par les fournisseurs, et réviser (ou rééquilibrer) leur portefeuille pour trouver des leviers et des solutions de rechange pour réduire les émissions.
Risques liés aux tiers ayant connu la croissance la plus rapide au cours des dernières années :
En portant davantage d’attention aux risques et, surtout, au budget affecté à la gestion des risques liés aux tiers, l’implication de la direction permettra à l’organisation de devenir plus:
- Globale: grâce à une meilleure compréhension des risques auxquels les accords conclus avec des tiers l’exposent, individuellement et globalement;
- Rentable: par la réduction du temps de traitement total et l’accélération de l’exécution de toutes les étapes du processus
- Efficace: en favorisant le signalement rapide des risques actuels et émergents
L’entreprise peut ainsi prendre des décisions éclairées qui réduiront son exposition aux risques.
« Il est important que la haute direction exerce un réel leadership en matière de risques liés aux tiers – comme elle le fait depuis des années pour la cybersécurité. En fait, les organisations doivent changer de point de vue et considérer la gestion des risques liés aux tiers comme un outil de lutte contre les cyberrisques. La plupart des incidents dont nous entendons parler sont dus à un manque de surveillance, de visibilité ou de communication qui réduit la capacité de l’organisation à détecter les cyberrisques provenant de tierces et de quatrièmes parties. »
2. Bâtir un modèle d’exploitation global
Bien que 81 % des répondants reconnaissent l’urgence de renforcer la cohérence à l’échelle de l’organisation, nous constatons que les risques liés aux tiers continuent d’être gérés en « îlots » ou en « silos » au sein de chaque fonction.
Moins d’une personne sur trois (30 %) déclare que son programme est bien intégré aux autres partenaires fonctionnels de l’entreprise, tels que l’approvisionnement et les services juridiques, et seulement 37 % ont défini des rôles et des responsabilités clairs pour le programme de gestion des risques liés aux tiers et son cycle de vie.
En moyenne, près de la moitié (49 %) de toutes les tâches liées à la gestion des risques liés aux tiers sont soutenues, dans une certaine mesure, par la technologie ou l’automatisation des processus, proportion qui pourrait grimper à 60 % d’ici trois ans, selon les dirigeants canadiens.
En attendant, les solutions technologiques sont souvent fragmentées ou inexistantes, et 71 % des personnes interrogées déclarent que leur technologie est loin de leur donner la visibilité dont elles ont besoin pour gérer les risques liés aux tiers dans l’ensemble de la chaîne d’approvisionnement.
81 % admettent qu’il est urgent de renforcer la cohérence de la gestion des risques liés aux tiers à l’échelle de l’organisation.
Bien sûr, couvrir un tel éventail de risques nécessite un ensemble de compétences spécifiques ou spécialisées qui sont difficiles à trouver et font souvent défaut dans les organisations. Celles-ci sont nombreuses (65 %) à affirmer qu’elles ne disposent pas de capacités internes suffisantes pour gérer tous les risques liés aux tiers auxquels elles sont confrontées.
Les participants canadiens reconnaissent la nécessité de transformer la gestion des risques liés aux tiers
Tous ces faits devraient convaincre les entreprises de l’importance d’établir et de continuellement mettre à niveau leurs modèles de gestion des risques liés aux tiers. Nous leur recommandons à cette fin de :
- Créer une fonction officielle de gestion des risques liés aux tiers : Une vue centralisée de tous les fournisseurs et partenaires peut aider l’organisation à acquérir une connaissance plus approfondie et transversale de tous les risques sous-jacents présents dans l’entreprise et à détecter des risques globaux ou des risques et des faiblesses non décelables au niveau d’une seule fonction.
- Surveiller les risques de façon globale et continue : Il est temps d’abandonner le vieux modèle consistant à cocher des cases une fois par année et de se concentrer sur les 364 autres jours. Les organisations doivent adopter des méthodes en temps quasi réel et en continu pour réévaluer les risques, et non pas simplement rassembler les données à temps pour les cycles de production de rapports. Et comme elles établissent également des partenariats avec des fournisseurs non traditionnels, l’évaluation des risques doit s’étendre aux risques non financiers et aux « nouveaux » risques visant, entre autres, la continuité des activités, la cybersécurité, la protection des données ou les enjeux ESG.
- S’attaquer au problème des ressources : Pour combler la pénurie croissante de compétences, les organisations doivent augmenter le budget affecté à la gestion des risques liés aux tiers et investir dans des programmes de formation afin d’améliorer les compétences des ressources actuelles.
- Tirer profit de la technologie : Les technologies et applications efficaces – comme les répertoires centralisés des fournisseurs et l’automatisation des flux de travail pour l’évaluation et le signalement des risques, et l’examen de la conformité des contrats – peuvent améliorer considérablement la visibilité et la résilience des entreprises face aux perturbations et aux changements majeurs au sein de leurs chaînes d’approvisionnement nationales, régionales et mondiales.
« La question des risques liés aux tiers concerne l’ensemble de l’entreprise et doit être traitée en conséquence. Il est important que les organisations prennent des mesures pour mieux comprendre et gérer leur réseau de tiers et les risques associés, individuellement et globalement. Cela leur permettra de réduire les risques de défaillance ou de perturbation imputables à des tiers et, par le fait même, de renforcer leur résilience face aux risques. »
3. Assurer une visibilité à 360 degrés
Pour continuer à prospérer, les entreprises ont besoin d’une visibilité à 360 degrés de tous les tiers avec lesquels elles interagissent et des risques qui en découlent. Pour ce faire, elles doivent établir un processus de bout en bout leur permettant d’évaluer l’ensemble des risques liés aux tiers, de la sélection des fournisseurs à l’exécution et à la résiliation des contrats, et mettre en place un mécanisme adéquat pour recueillir et analyser les données, afin d’obtenir les informations nécessaires pour gérer les risques, notamment le risque de concentration.
Selon notre étude, 34 % des personnes interrogées considèrent la mauvaise qualité ou l’incohérence des données comme le principal obstacle à la transformation du processus de gestion des risques liés aux tiers, la fragmentation et le cloisonnement des données disponibles constituant un autre frein au succès du processus.
Identifiez, parmi les processus et pratiques suivants, ceux que vous avez déjà mis en place dans votre organisation?
Une visibilité globale sur les fournisseurs peut aider à détecter des risques à grande échelle qui seraient difficiles à déceler au niveau d’un seul service. Il est important de recueillir de l’information sur les divers emplacements et les itinéraires de livraison, entre autres. En cas d’embouteillage ou de grève, par exemple, l’entreprise a alors la possibilité d’agir en amont, ce qui lui donne un net avantage.
Les organisations peuvent ensuite utiliser cette information pour modéliser différents scénarios susceptibles de se produire à l’interne ou dans leurs interactions avec d’autres organisations, et signaler périodiquement à la direction les risques les plus importants.
4. Envisager les scénarios les plus plausibles
Les résultats du sondage démontrent la nécessité pour les organisations de procéder régulièrement à une planification détaillée des scénarios afin de mieux contrer les risques, un fait d’ailleurs avéré par nos leaders de secteur. En ayant une vue d’ensemble des risques auxquels elles sont exposées, les entreprises canadiennes sont mieux outillées pour anticiper les risques futurs et évaluer la capacité de leur organisation à y répondre.
Voici les questions que les dirigeants doivent se poser :
- Quels scénarios de risque pourraient se produire?
- Comment continuer à servir nos clients et à développer l’entreprise si ces scénarios se matérialisent?
- Quelles sont les mesures à prendre dans le marché actuel pour sécuriser nos sources, assurer notre approvisionnement, et préserver et développer l’entreprise?
Beaucoup d’entreprises n’entretiennent de solides relations qu’avec un ou deux grands fournisseurs ou partenaires, ou un ou deux grands clients ou marchés d’exportation. Pour renforcer leurs chaînes d’approvisionnement, elles auraient avantage à chercher activement des moyens d’élargir leur liste de fournisseurs, de transporteurs, de services de logistique, de clients et de marchés.
La fréquence de planification et d’évaluation des risques (et des tiers) peut varier. Tous les risques majeurs associés aux partenaires commerciaux clés, par exemple, doivent faire l’objet d’un suivi fréquent, en temps quasi réel. Investir dans la planification de scénarios est un excellent moyen pour les organisations d’améliorer la gestion stratégique des risques liés aux tiers.
Votre entreprise continue-t-elle à financer les ressources traditionnelles plutôt que de se concentrer sur les améliorations stratégiques?
5. Collaborer avec les concurrents
Le problème du cloisonnement des efforts de gestion des risques à l’intérieur de l’organisation se pose également à l’échelle du secteur en raison de la réticence des entreprises à communiquer avec leurs pairs.
En matière de planification des risques, l’adoption d’un modèle de « coopétition » qui ouvrirait la voie à un point de vue sectoriel unique et à une source de renseignements partagée permettant aux organisations d’accéder en temps opportun à de l’information sur un fournisseur donné serait extrêmement bénéfique pour la plupart des secteurs au Canada.
Ce type de collaboration a déjà fait ses preuves dans le secteur minier canadien. Se rendant compte qu’elles traitaient souvent avec les mêmes fournisseurs, les sociétés ont commencé à partager et à comparer des informations, notamment des comptes rendus sur des intrusions informatiques, ce qui leur a permis de dégager des tendances et de mieux prévenir les incidents. Elles ont compris que le partage de l’information aidait à limiter et à gérer les risques liés aux tiers, et ce, dans l’intérêt de tous.
Proportion d’organisations canadiennes affirmant que le cloisonnement des données disponibles constitue un obstacle majeur à la transformation de leur programme de gestion des risques liés aux tiers.
Étendre le modèle de partage à d’autres secteurs permettrait d’accélérer l’intégration, d’améliorer la surveillance continue et de réduire les besoins en ressources. C’est pourquoi les organisations doivent conjuguer leurs efforts pour établir des indicateurs clés de performance (ICP) pertinents relatifs aux tiers (y compris sur les quatrièmes et cinquièmes parties) en tirant parti de technologies telles que la chaîne de blocs, et recueillir et partager les données les concernant de manière centralisée.
Conclusion
Dans le contexte de la pandémie, les organisations canadiennes ont compris qu’elles ne devaient pas prendre la gestion des risques à la légère ni compter sur la chance pour protéger leurs activités. Et, bien que la dépendance à l’égard d’intervenants externes continue de croître, force est de constater que les programmes de gestion des risques liés aux tiers sont encore largement cloisonnés et insuffisamment intégrés aux autres processus organisationnels.
Il est temps que les organisations considèrent la gestion des risques, a fortiori ceux liés aux tiers, comme une priorité stratégique et qu’elles y consacrent l’attention, l’expertise et le financement adéquats à tous les niveaux opérationnels – processus, personnel, systèmes, données essentielles, etc. – afin d’acquérir la vision globale qui leur permettra de réduire les risques majeurs.
Afin de maximiser les avantages, le programme de gestion des risques liés aux tiers doit :
- définir clairement les rôles et les responsabilités, jusqu’à la haute direction;
- devenir un programme intégré à l’échelle de l’entreprise;
- reposer sur un processus de bout en bout pour évaluer tous les risques liés aux tiers, de la sélection du fournisseur jusqu’à la résiliation du contrat;
- prévoir des investissements dans la planification de scénarios afin d’anticiper et d’atténuer les risques à venir;
- s’inscrire dans un mouvement de « coopétition » au sein du secteur.
Ce n’est qu’alors que les organisations seront en mesure de dresser un tableau complet des risques liés aux tiers et de bâtir un avenir sûr et prospère.
KPMG peut vous guider dans votre processus de transformation
Les leaders en gestion des risques liés aux tiers savent qu’ils ont besoin d’une approche structurée et progressive pour amener le conseil d’administration et la direction à porter davantage d’attention au problème et à y consacrer le financement nécessaire. Les professionnels de KPMG vous aideront à combler les nombreux besoins et à atteindre les objectifs de votre programme en vous offrant le soutien suivant:
- Évaluation de la maturité: établir un bilan rapide de vos capacités actuelles en gestion des risques liés aux tiers; présenter des observations et des recommandations
- Examen réglementaire: analyser les écarts par rapport aux exigences réglementaires; présenter des observations et des recommandations
- Analyse de rentabilité et feuille de route: établir un ordre de priorité et évaluer le niveau d’effort requis pour déployer le programme
- Audit interne: recourir à la cotraitance en observant trois points de contrôle
- Conception du cadre: établir ou améliorer les composantes du programme et du processus; documenter le programme et établir les modèles de cycle de vie et les exigences opérationnelles en matière de technologie
- Optimisation de la technologie: configurer et mettre en œuvre des applications de gestion des flux de travail, d’intelligence logicielle et de services publics tiers
- Ajustement et optimisation: améliorer les composantes du programme et du processus (paramètres, rapports, analyse de données, appétit pour le risque, etc.)
- Mise à l’essai des scénarios: prendre connaissance des plans de continuité des activités et de la stratégie de sortie des tiers
- Services gérés: Appliquer des processus globaux de filtrage et de surveillance des tiers avant et après l’attribution du marché. Utiliser des technologies et des sources de données de premier ordre inspirées par les meilleures pratiques des professionnels en gestion des risques
- Évaluation des tiers: Évaluer les contrôles et les risques liés au portefeuille avant et après l’attribution du marché
À propos de ce rapport
Pour comprendre comment les organisations abordent la gestion des risques liés aux tiers, nous avons interrogé 1 263 professionnels accomplis du domaine dans 16 pays, dont 100 répondants canadiens répartis dans six secteurs:
Ressources et analyses
Communiquez avec nous
Tenez-vous au courant de sujets qui vous intéressent.
Inscrivez-vous aujourd’hui pour avoir accès à du contenu personnalisé en fonction de vos intérêts.
Communiquez avec nous
- Trouvez des bureaux kpmg.findOfficeLocations
- kpmg.emailUs
- Médias sociaux @ KPMG kpmg.socialMedia