La fonction TPRM doit se réinventer pour une efficacité accrue.
Christophe Lairy
Associé, Consulting, Enterprise Risk leader, France
Améliorer l’efficacité et réduire les coûts des processus de gestion des risques liés aux tiers est une nécessité dans l’environnement post-Covid.
La crise de la Covid et ses conséquences, telles que les difficultés d’approvisionnement ou le manque de main d’œuvre qualifiée dans de nombreux secteurs industriels, ont démontré l’importance croissante des tiers dans la chaîne de valeur de l’entreprise, que ce soit pour les matières premières de production, les produits finis importés ou tout simplement au quotidien dans les fonctions support.
Anticiper les risques de façon à renforcer les liens entre les différents acteurs de la gestion des risques est d’autant plus important pour répondre à ces nouveaux défis. Outre les bénéfices en termes d’efficacité opérationnelle et d’efficience, la coordination du processus de TPRM permet d’obtenir une couverture beaucoup plus large des risques liés aux tiers en s’appuyant sur ce qui existe et sur les données pour accélérer la prise de décision sur la base d’indicateurs de risques pertinents.
La multiplication des tiers et donc des risques dans l’écosystème de l’entreprise implique nécessairement de savoir redimensionner son projet de gestion des risques liés aux tiers. Que ce soit autour des sujets de continuité d’activité, de gestion des problématiques ESG, des difficultés à recruter pour de nombreuses industries et donc de partenaires, la fonction TPRM doit se réinventer pour une efficacité accrue.
Une meilleure gestion des risques liés aux tiers est aujourd’hui nécessaire car les conséquences d’une mauvaise anticipation des risques sont devenues critiques, tant en termes financiers qu’en termes règlementaires et réputationnels. Toutefois, la gestion proactive de ces risques constitue également une composante essentielle de la confiance que l’entreprise crée au sein de son écosystème, confiance qui contribuera à sa résilience et à son développement sur le long terme.
Principaux enseignements
Les entreprises recherchent des solutions auto-financées pour gérer de manière plus efficiente l’environnement des risques liés aux tiers.
Contrairement à l’étude de 2020, les entreprises répondantes envisagent une réduction moyenne de 13% de leurs dépenses.
Les inconvénients historiques des modèles de gestion TPRM centralisés laissent place à de nouvelles opportunités d’automatiser les processus et de réduire les coûts en privilégiant une approche par les risques. Ainsi, 60% des entreprises utilisent désormais des programmes TPRM centralisés, contre 50% en 2020.
D’autre part, la tendance à la centralisation des programmes TPRM a révélé un manque de connaissances et de communication auprès des fonctions métiers. 82% des parties prenantes internes s’appuient uniquement sur l’intranet et des procédures existantes, moins de la moitié ont recours à des modules de formation TPRM.
Expansion du périmètre et de la couverture des programmes de gestion de risques tiers
Les entreprises développent leurs catalogues de services et ont recours à de nouveaux partenaires dits non traditionnels, qui viennent s’ajouter à leurs fournisseurs existants :
Les modèles opératoires s’appuient sur le support de prestataires externes
L’étude de cette année montre que les entreprises utilisent davantage de prestataires externes sous de multiples formes, ce qui leur permet de faire davantage avec moins de ressources internes et de dépenses.
Exécution du programme TPRM
| Attributs | Résultats 2021 | Résultats 2020 |
| Gestion co-traitée | 43% | 24% |
| Gestion déléguée à un fournisseur | 43% | 31% |
| Recours à des market utilities/consortiums sectoriels | 59% | 29% |
Le périmètre des programmes TPRM (scoping), la qualification du risques liés à ces tiers (tiering) et une meilleure compréhension de la criticité peuvent permettre de mieux déployer des ressources limitées pour répondre à une expansion de l’univers des risques.
Scoping
Devant l’augmentation des tiers, les entreprises se sont montrées plus exigeantes pour les intégrer aux programmes de gestion des risques. En 2021, les répondants ont indiqué que 25% du total de leurs tiers étaient inclus dans le périmètre de leur programme TPRM, contre 47% en 2020.
En temps de crise, les entreprises ont su faire preuve de résilience en se focalisant sur les tiers les plus importants avec une approche par les risques, réduisant ainsi le volume de contrôles et d’évaluations réalisées. En 2021, les répondants ont indiqué que 8% de leurs tiers ont été évalués, contre 26% en 2020.
Tiering
Les entreprises continuent de réduire le nombre de tiers considérés comme critiques. En effet, les entreprises regroupant plus de 5000 tiers considèrent moins de 5% d’entre eux comme critique, les principaux critères d’évaluation étant la criticité des services fournis, la sensibilité des données traitées, la continuité de l’activité et la résilience.
L’intégration aux programmes TPRM des fonctions internes peut améliorer la qualité des données traitées et faciliter la prise de décision.
Les fonctions gérant les risques liés aux tiers dans l’entreprise sont diverses, bien que les fonctions d’Information, de Sécurité et d’Achats soient prédominantes. De nombreuses fonctions métiers travaillent encore en silos et évaluent les risques de leurs tiers de manière autonome, sans communiquer entre eux et sans contribuer à une vision intégrée et globale des risques tiers.
Bien qu’elle représente une opportunité considérable, l’évolution vers davantage d’intégration fonctionnelle au sein des programmes TPRM se heurte à l’hétérogénéité des outils d’évaluation des risques tiers.
Entre 27% et 34% des répondants ne disposent pas de la technologie nécessaire ou ne sont pas au courant des solutions existantes.
L’intérêt suscité par les nouvelles technologies ne s’accompagne pas encore d’actions concrètes relatives à l’intégration de ces solutions aux programmes TPRM.
Répondants ayant recours aux fournisseurs de données externes
34%Seulement considèrent ces technologies comme très utiles, ce qui indique que les entreprises ont encore des difficultés à maximiser leur utilisation.
Les entreprises continuent d’apprendre à tirer profit des nouvelles technologies et solutions pour maximiser l’efficience et dégager de la valeur.
Les entreprises éprouvent toujours des difficultés à intégrer des solutions à leurs programmes TPRM, telles que les fournisseurs de données externes et l’automatisation par la robotisation des processus (RPA).
-
Cycle d’évaluation
Face à l’impact de la pandémie, les entreprises ont réduit leurs évaluations sur site pour privilégier les évaluations à distance en virtuel. Les visites de site virtuelles offrent une couverture similaire et une assurance identique aux évaluations classiques et peuvent contribuer à réduire la durée du cycle d’évaluation. Cette tendance va probablement se poursuivre dans la mesure où les entreprises découvrent de nouvelles façons innovantes d’atteindre les mêmes objectifs en réduisant les facteurs temps et coûts.
Merci à Nicolas Jeantin, Manager au sein des équipes Enterprise Risk d'EY Consulting, qui a contribué à la réalisation de cet article.
Ce qu'il faut retenir
L’univers des risques liés aux tiers évolue, et les organisations tentent de s’adapter en travaillant de manière plus intelligente et avec plus de souplesse.
Pour trouver cet équilibre, il faut une gouvernance et une exécution de programme intelligentes qui constituent le socle de gestion des tiers, une meilleure formation des employés, ou encore une hiérarchisation optimisée de l'inventaire, établie en fonction de la crucialité et des modèles d'exploitation mis à jour.
