Skip to content

Gestion des risques liés aux tierces parties | Deloitte

20 mai 2016

Comment votre organisation peut-elle mieux contrôler les risques liés à ses tiers ? C’est ce que vous apprend ce document de Deloitte dans un numéro du bulletin « À l’ordre du jour du conseil ».

Encore récemment, le risque lié aux fournisseurs se limitait pour ainsi dire à la qualité des produits ou des matières premières fournies ou à la possibilité qu’un fournisseur ne respecte pas ses engagements d’approvisionnement et perturbe ainsi la production. Aujourd’hui, les entreprises sont de plus en plus tenues responsables du comportement de leurs fournisseurs, que ce soit en ce qui a trait aux pratiques en matière de santé, de sécurité et d’environnement, au respect des lois sur le travail et autres règlements, à l’utilisation de la propriété intellectuelle, à l’approvisionnement en matières premières, à la corruption et plus encore. Et comme les clients ne font pas de différence entre une organisation et ses fournisseurs, les actions de tiers peuvent également nuire à la réputation de l’organisation ou à la confiance de ses clients.

Voici un aperçu de ce document, notamment les questions que les administrateurs devraient se poser eu égard aux risques reliés aux entités tierces. On y présente également le point de vue de José Écio Pereira, administrateur de compagnie et associé retraité de Deloitte.

Bonne lecture !

Gestion du risque de l’entreprise étendue

Le risque lié aux entités tierces

L’usine d’un fournisseur s’effondre, faisant des centaines de victimes parmi les travailleurs, dont certains sont des enfants. Des milliers de fichiers contenant des données sur les cartes de crédit de clients et d’autres renseignements financiers confidentiels font l’objet de piratage d’un tiers autorisé à accéder au réseau de l’entreprise. Un fournisseur a utilisé des matériaux contaminés et une vaste campagne de rappel visant certains produits doit être lancée.

Encore récemment, le risque lié aux fournisseurs se limitait pour ainsi dire à la qualité des produits ou des matières premières fournis ou à la possibilité qu’un fournisseur ne respecte pas ses engagements d’approvisionnement et perturbe ainsi la production.

 

Gestion-des-risques

 

De nos jours, des lois comme la Foreign Corrupt Practices Act aux États-Unis, la Bribery Act au Royaume-Uni et d’autres encore font en sorte que les entreprises sont de plus en plus souvent tenues responsables des agissements de leurs fournisseurs. De même, les clients ne distinguent pas toujours une entreprise de ses fournisseurs. Pour eux, l’entreprise est celle qui leur fournit une solution ; s’il survient un problème, c’est elle qu’ils tiennent responsable, et c’est donc sa réputation qui est en péril. C’est pourquoi les entreprises doivent maintenant élargir leur surveillance des risques à l’entreprise étendue1 et observer chez leurs tiers fournisseurs les pratiques de santé, de sécurité et d’environnement, le respect des lois sur le travail et autres règlements, l’utilisation de la propriété intellectuelle, l’approvisionnement en matières premières, la corruption et plus encore.

Questions que les administrateurs devraient poser

(1) Notre entreprise a-t-elle évalué de manière exhaustive son risque lié aux tiers et, si c’est le cas, quelles en sont les composantes les plus déterminantes pour l’entreprise à l’heure actuelle ?

(2) Quels sont les tiers susceptibles d’entraver le plus gravement la capacité de l’entreprise à atteindre ses buts et objectifs stratégiques ?

(3) Que faisons-nous pour gérer et surveiller de manière proactive le risque et son évolution au sein de notre entreprise étendue ? Quels outils de gestion du risque utilisons-nous ?

(4) Qui est responsable de la gestion du risque lié aux tiers dans notre entreprise ?

(5) À quelle fréquence la direction informe-t-elle le conseil d’administration de son évaluation des risques de tiers et du processus mis en place pour atténuer ces risques ? Cette information est-elle suffisamment détaillée et présentée en temps opportun ?

Le point de vue d’un administrateur

José Écio Pereira est membre des conseils d’administration de Votorantim Cimentos, Fibria et Gafisa et a été membre du conseil de BRMalls ; il préside également le comité d’audit de Votorantim Cimentos et de Gafisa. Il est le propriétaire fondateur de JEPereira Consultoria em Gestão de Negócios et a été associé, maintenant à la retraite, de Deloitte Brésil.

Le risque lié aux entités tierces figure-t-il à l’ordre du jour des conseils d’administration ?

Les conseils dont je connais le fonctionnement effectuent une évaluation du risque tous les trois ou quatre mois. Le risque lié aux entités tierces à proprement parler n’est pas un point distinct à l’ordre du jour, mais nous l’abordons dans notre analyse des risques. Ceci dit, il est clair que de nos jours, les conseils accordent plus d’attention au risque lié aux tiers qu’il y a à peine deux ans. Au Brésil, c’est principalement à cause de la loi anticorruption (Clean Company Act) de 2014. En vertu de cette loi, les entreprises peuvent être tenues responsables des activités illégales ou de la conduite contraire à l’éthique de leurs tiers fournisseurs.

Depuis que cette loi est en vigueur, les administrateurs examinent de beaucoup plus près les risques associés aux tiers fournisseurs des entreprises qu’ils supervisent. Ils examinent les pratiques de leurs fournisseurs en matière de conditions de travail, de normes pour les employés, de mesures de santé et de sécurité et d’autres facteurs pour s’assurer que tous respectent les normes de l’entreprise qui a fait appel à eux. La santé financière des fournisseurs est un autre paramètre fort important, surtout au vu de la situation économique actuelle au Brésil. Les entreprises veulent être sûres que leurs fournisseurs paient leurs impôts et respectent leurs obligations juridiques, en particulier dans leurs relations avec leurs employés, et qu’ils seront à même de poursuivre leur exploitation.

Les administrateurs examinent-ils les relations avec des tiers dans le contexte du cyberrisque ?

Je pense que les entreprises dont les systèmes sont connectés avec ceux de tiers fournisseurs à des fins d’approvisionnement ou de logistique sont conscientes de l’existence du cyberrisque et prennent les mesures nécessaires pour s’en prémunir. Mais ces mesures sont généralement liées aux échanges de produits et de services.

Dans une perspective plus vaste, je dirais que la plupart des entreprises ne disposent pas de systèmes d’information appropriés pour gérer leurs relations avec des tiers. Les systèmes de la plupart des entreprises ne sont pas assez sophistiqués pour se connecter aux systèmes des fournisseurs ; les entreprises ont recours à divers outils pour gérer leurs relations avec des tiers et souvent, ces outils ne sont pas très bien intégrés entre eux. Les relations sont par exemple gérées à l’aide de plusieurs systèmes, y compris des chiffriers et des outils manuels qui ne sont pas du tout conçus pour cet usage.

À qui devrait revenir la responsabilité des tiers fournisseurs ?

Le conseil d’administration doit jouer un rôle de supervision et faire en sorte que les cadres supérieurs disposent d’un processus de gestion du risque lié aux tiers.

Au Brésil, c’est souvent le service de l’approvisionnement qui reste responsable des problèmes opérationnels et qui vérifie que les produits et les services sont bien fournis selon les modalités du contrat conclu avec le tiers fournisseur. De plus, nombre d’entreprises mettent aussi sur pied une fonction particulière chargée de la gestion des contrats conclus avec des tiers. La plupart des entreprises brésiliennes entretiennent plusieurs relations avec des tiers : services alimentaires, sécurité, transports, fabrication. Toutes sont essentielles au fonctionnement d’une entreprise au quotidien. Les entreprises sont donc nombreuses à affecter davantage de ressources à la gestion efficace des contrats.

Certaines entreprises surveillent constamment leurs fournisseurs pour s’assurer que les contrats sont observés à la lettre. Bon nombre exigent que leurs fournisseurs autoévaluent leur conformité contractuelle, en plus d’effectuer des audits périodiques et d’autres tests afin de vérifier le respect des contrats. Toutes ces mesures représentent un travail colossal et parfois, il faut y consacrer une fonction administrative particulière.

Je vais vous relater un exemple authentique. L’une des sociétés avec lesquelles je collabore est en train de construire de nouvelles installations de grande envergure. C’est un investissement de près de 2 milliards de dollars américains, et c’est un projet d’environ : 18 mois. À l’heure actuelle, la construction vient juste de commencer. Plusieurs fournisseurs y travaillent, que ce soit pour la sécurité du chantier ou pour l’approvisionnement en matériel ou son installation.

L’entreprise a mis sur pied un comité directeur de projet qui comprend entre autres des membres de l’équipe de direction. Ce comité se réunit au moins une fois tous les : 15 jours, et les relations avec les fournisseurs reviennent justement sans cesse à son ordre du jour. C’est beaucoup plus qu’une question de diligence raisonnable ; le comité procède aussi au suivi constant des tiers fournisseurs.

Le comité directeur présente chaque mois au conseil l’état d’avancement du projet. Le rapport d’avancement consigne tout ce qui a trait aux tiers fournisseurs : le défaut de verser les retenues sur salaires des employés, de payer des impôts fonciers ou des avantages sociaux, la violation des règles de santé et de sécurité sur le chantier, aussi bien que les problèmes opérationnels comme le non-respect des échéances par un fournisseur ou la qualité insuffisante des services qu’il a rendus. Lorsque des problèmes surgissent, le comité de projet les reporte sur la « carte du risque » du projet, et la direction prend les mesures de suivi nécessaires, y compris l’application des pénalités contractuelles, le cas échéant.

Les entreprises devraient-elles aussi définir leurs propres normes déontologiques à l’endroit des tiers fournisseurs ?

Après l’entrée en vigueur de la loi brésilienne anticorruption, la plupart des entreprises ont passé en revue leurs normes déontologiques et leur code de conduite ; l’une des grandes nouveautés, c’est qu’elles y ont ajouté des procédures et des règles qui s’adressent aux tiers fournisseurs.

Par le passé, toutes les activités encadrant les règles de déontologie, comme la formation et les ateliers, étaient entreprises dans une perspective interne. Les normes s’appliquaient au personnel de l’entreprise, mais ne dépassaient pas les limites de celle-ci pour viser également les fournisseurs externes. Maintenant, la portée s’est élargie et les règles régissant les employés, les mesures de santé et de sécurité, les conditions de travail, l’obéissance aux lois, etc., englobent aussi les tiers fournisseurs. Les entreprises ont également étendu leurs programmes de formation et invitent leurs fournisseurs à leurs séminaires et ateliers où seront expliqués les règles et les processus de surveillance.

One Comment

Trackbacks & Pingbacks

  1. Gestion des risques liés aux tierces par...

Qu'en pensez-vous ?

Entrer les renseignements ci-dessous ou cliquer sur une icône pour ouvrir une session :

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l’aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment ce contenu :