Vendor Risk Management : comment maîtriser les risques portés par les prestataires tout au long de la relation ?

4 questions à Jean-Pierre Hottin

Associé Audit interne, PwC France

Pourquoi avoir choisi ce thème lors de votre intervention à la conférence IFACI 2018 ?

Le sujet de la maîtrise des risques liés aux prestataires n'est pas nouveau et est notamment ancré depuis longtemps dans la réglementation bancaire. Ce qui a changé ces dernières années, c'est la convergence entre des réglementations toujours plus contraignantes (devoir de vigilance, GDPR/RGPD, Loi Sapin 2,...) et la tendance massive pour l'ensemble des organisations à externaliser des activités, soit parce qu'elles ne sont pas au cœur de la création de valeur (par exemple des activités back office ou de support), soit pour gagner en agilité et en expertise pour des activités essentielles dans leur chaîne de valeur (par exemple la gestion de la logistique pour les activités e-commerce).

Toutes les fonctions sont concernées, du marketing à la sécurité, en passant par les ressources humaines, le juridique et la finance... Et il n'est pas rare de voir une multiplication des initiatives pour renforcer les critères de sélection des fournisseurs, ajouter des annexes contractuelles aux contrats... bref, il est temps sans doute d'avoir une approche plus globale de la maîtrise des risques liés aux tiers... Les régulateurs et la gouvernance s'en préoccupent de plus en plus et des crises opérationnelles ou de réputation provoquées par des prestataires mal maîtrisés ont pu affecter des entreprises ces dernières années.

Quelle est selon vous la bonne démarche à adopter par les entreprises ?

La démarche que nous avons suggérée dans cet atelier est issue des travaux menés dans notre réseau, en particulier dans le secteur bancaire ou c'est une problématique qui intéresse les régulateurs - en anglais la démarche est appelée TPRM "Third Party Risk Management" ou VRM "Vendor Risk Management". En pratique il s'agit de commencer par comprendre les risques auxquels l'entreprise est exposée et nous proposons dans notre approche, une liste non exhaustive de domaines à considérer, opérationnels, stratégiques mais aussi réglementaires. Il faut également croiser ceci avec une vision des catégories de prestataires - ou tiers - que l'on veut adresser dans la démarche. Il ne s'agit pas que des prestataires de services, l'entreprise peut dépendre, par exemple, pour son activité opérationnelle d'administrations critiques (regardons ce qui se passe aux Etats-Unis suite au shutdown). Il peut également s'agir d'individus, comme des influenceurs ou des ambassadeurs sur les réseaux sociaux qui peuvent générer des risques de réputation.

L'approche doit adresser l’organisation globale de maîtrise des risques, les dispositifs en place autour de chaque relation mais doit également pouvoir descendre au niveau d’un service déterminé fourni par cette relation.

Peut-on parler d'un macro processus et quels en seraient les contours ?

Oui, il est sans doute utile de considérer le processus dans son ensemble, de la gouvernance autour du choix des prestataires jusqu'à la sortie de cette relation, en passant par les due diligences, les discussions contractuelles, la mise en place effective du contrat, et la surveillance permanente de la relation. Ce processus devra s'appuyer sur un inventaire des relations critiques, lui-même basé sur une stratification des risques et des enjeux. Il sera nécessaire de définir des politiques et des procédures concrètes, avec des contrôles internes adaptés et des indicateurs pour piloter le respect des exigences et la maîtrise des risques. Par ailleurs, il faudra également mettre en place les dispositifs de gestion de crise adaptés aux risques et aux enjeux. La question de la qualité des contrôles indépendants réalisés sur le respect des exigences par ces fameux tiers sera également au centre de la démarche : les certifications se multiplient et il est essentiel de bien comprendre leur périmètre et le niveau d'assurance qu'elles apportent. Parmi les certifications, ISAE 3402 et les SOC permettent de donner de l'assurance sur les contrôles et sont de plus en plus utilisées dans les domaines liés à la technologie et aux services proposés dans le Cloud.

Chacune des composantes des 3 lignes de défense aura son rôle dans ce dispositif, avec notamment pour l'audit interne des interventions qui pourront aller de l'audit de tiers dans les entreprises les moins structurées à un véritable audit de la seconde ligne de défense (idéalement la fonction portant ce processus TPRM ou VRM) pour les entreprises les plus structurées.

Quel rôle peut jouer la technologie ?

L'un des enjeux est de pouvoir centraliser l’analyse des tiers et partager l’information sur les tiers agréés efficacement. En pratique la plupart des entreprises sont confrontées à des systèmes d'information très disparates et il sera sans doute nécessaire de considérer la mise en place d'un système spécifique mais partagé par tous les acteurs pour gérer ces informations. Ce type de système est proposé par PwC (« My Third Party ») et l'approche peut également s'intégrer avec un appui très opérationnel sur la réalisation des vérifications des tiers, en faisant le lien avec les outils spécifiques de due diligence tiers que nous utilisons. Nous avons d'ailleurs développé l’outil « Radar* », donnant accès à plus de 1400 sources d’informations permettant la vérification de l'honorabilité des tierces parties. 


* « Radar » permet de vérifier des milliers de bases globales et locales à travers le monde. Il dispose de traducteurs dans une vingtaine de langues et inclut des bases de données sous licence. Cet outil intègre également les médias sociaux, les blogs et les forums de discussion, lesquels sont aujourd'hui essentiels à l'analyse des risques et des menaces pour réaliser des opérations commerciales ou financières. 

Contactez-nous

Jean-Pierre Hottin

Associé, Responsable des activités Gestion des risques, PwC France

Tel : +33 1 56 57 82 63

Suivez-nous !