Quelle méthodologie pour une évaluation des tiers efficace ?
Un an après l'entrée en vigueur de la loi Sapin II, les entreprises ont bien compris leurs nouvelles obligations réglementaires en matière d'évaluation des tiers. Mais entre comprendre ce qu'il faut faire et l'appliquer de façon pratique il y a une marge...
Je m'abonneComment assurer la conformité réglementaire et mener une gestion des risques tiers performante sans que cela ne soit bloquant pour le business? Dans les organisations, les différentes parties concernées par la gestion du risque (finance, achat, juridique...) buttent encore sur la mise en oeuvre terrain de ces dispositifs de contrôles.
Un chantier tentaculaire
Sur des cycles d'achats courts une procédure de vérification inadaptée, trop lourde et trop longue, peut rapidement paralyser un marché. Il est complexe d'évaluer un tiers rapidement. D'après le cabinet Grant Thornton, une due diligence simple prend environ 2h lorsqu'elle est gérée mécaniquement par une personne et 4h lorsqu'il s'agit d'une due diligence approfondie. Alors, multiplier cet exercice par le nombre de fournisseurs tiers ne serait-ce que de rang 1 devient vite ingérable pour les entreprises. On arrive vite à des milliers voire des centaines de milliers de tiers à contrôler. Sans parler de la difficulté pour les sociétés multi sites et multi pays qui utilisent souvent des SI différents de récupérer et centraliser les informations sur leurs tiers. La question de l'organisation pratique du processus de vérification est donc central pour ne pas dire stratégique.
"Le risque tiers est transversal et ne touche pas que l'environnement financier, estime Ghizlane Boutmazourht, senior manager chez Grant Thornton France. De même, le modèle n'est pas standard d'une entreprise à l'autre. Chaque entreprise doit définir ses propres critères d'évaluation du risque par rapport à son activité. Il est donc primordial d'avoir une stratégie afin de définir une méthodologie et de déterminer les critères d'évaluation."
Lire aussi : [Naming] e-Attestations devient Aprovall
Face à l'ampleur de la tâche, les entreprises s'organisent. "Elles mettent en place des calendriers de déploiement pour tenter de prioriser la mise en oeuvre des dispositifs, elles investissent et font des efforts de structuration en créant une nouvelle fonction voire en montant une équipe dédiée à la compliance, et s'outillent, explique Christophe Amez, directeur EMEA chez Dow Jones Risk & Compliance, base de données anti-corruption. Mais la plupart s'interrogent encore sur le modèle le plus performant, un processus plutôt centralisé ou au contraire décentralisé."