La seule façon d'éliminer complètement le risque lié aux tiers est de ne pas travailler
avec… eux. Mais, cette option devient impossible. Alors que les entreprises s'efforcent de faire plus avec moins, les fonctions clés (notamment financières et de conformité) sont de plus en plus confiées à des tiers.
Comme ces tiers sont devenus indispensables, il est indispensable de savoir comment identifier, gérer et atténuer les risques. "Nous passons de l'ère de l'identification à celle de la gestion et de l'atténuation", souligne EY dans son rapport « The 2023 EY Global
Third-Party Risk Management Survey ».
La gestion des risques des tiers (TPRM-Third-Party Risk Management) devient une composante essentielle. En collaboration avec Oxford Economics, EY a interrogé plus de 500 institutions pour comprendre comment elles conduisent ces risques dans leur réseau de fournisseurs, les relations commerciales externes et d'autres types d'interactions avec des tiers.
Automatisation pour des infos en temps réel
Premier constat, neuf personnes interrogées sur 10 disent que leur organisation a directement investi dans leur programme de TPRM. Si certaines organisations s’appuient encore sur des questionnaires par email, des tableurs actualisé manuellement, de nombreuses organisations se tournent vers une approche centralisée et axée sur les données pour soutenir leur TPRM.Elles utilisent des capacités supplémentaires, telles que l'automatisation et les rapports externes qui fournissent des informations en temps réel. Grâce à cette approche, elles sont en mesure de tester des milliers de tiers, les classer par domaine de risque en fonction de leurs criticités, puis d'élaborer une réponse ciblée.
Les organisations de services financiers sont plus susceptibles d’utiliser une structure centralisée (62 % contre 46 % pour les services non financiers et 54 % dans l'ensemble). Si la plupart des entreprises n'ont pas élaboré de feuille de route claire, plus d'un quart des organisations de services financiers (27 %) déclarent avoir un plan pluriannuel assorti d'étapes et d'objectifs définis.
Seuls 21 % des organisations de services non financiers ont de tels programmes planifiés. Deux tiers des entreprises de services financiers identifient et surveillent les événements externes en se coordonnant avec un service interne.
Mais, dans l’ensemble, 90 % des organisations s’orientent vers une centralisation des risques. La moitié utilisent déjà une gestion centralisée des risques (en baisse de 6 % par rapport à 2021), un tiers (36 %) utilisent une approche hybride (en hausse de 11 % par rapport à 2021) et 10 % utilisent un programme décentralisé (contre 12 % en 2021).
La cybersécurité, le risque majeur
Les organisations dotées de structures centralisées gèrent presque deux fois plus de tiers efficacement que leurs homologues avec des structures hybrides de TPRM. Elles ont une meilleure compréhension des risques corrélés. Elles effectuent plus rapidement les évaluations de contrôle.64 % des organisations qui disposent de structures de risque centralisées peuvent effectuer des évaluations de contrôle dans un délai de 31 à 60 jours. Seulement 43 % des organisations dotées de structures hybrides peuvent en dire autant : près de la moitié d’entre elles déclarent leurs évaluations dans un délai de 61 à 90 jours.
Les personnes interrogées à l’enquête ont classé la cybersécurité et le risque numérique comme les domaines de risque les plus importants dans leur inventaire, suivi par le risque stratégique et les risques environnementaux, sociaux et de gouvernance (ESG).
D’ailleurs, près d’un tiers (32 %) inclut des clauses exigeant des tiers qu’ils se conforment à leurs propres politiques et réglementations ESG et leurs réglementations.
« Pour mettre en place un programme de TPRM efficace, les organisations devraient envisager d'aligner leurs plans sur un cadre de résilience opérationnelle existant comme le Digital Operational Resilience Act la directive, NIS2 et le cadre de résilience opérationnelle du Royaume-Uni. Ces cadres définissent des critères et des attentes en matière de la cybersécurité, de technologies de l'information, de gestion des dépendances des tiers et de la et la continuité des activités », insiste EY.