La gestion des risques liés aux tiers (GRT) consiste à identifier, évaluer et contrôler les risques liés à l'externalisation auprès de vendeurs, de fournisseurs, d'entrepreneurs ou de partenaires. Ces risques peuvent affecter les performances opérationnelles, la stabilité financière, la conformité réglementaire et la réputation. Des programmes efficaces de gestion des risques liés aux tiers garantissent que les tiers respectent les normes et les exigences de l'organisation, minimisant ainsi les perturbations potentielles et les résultats négatifs. 

L'importance de la gestion de la relation client (TPRM) s'est considérablement accrue ces dernières années, en raison de la complexité et de l'interconnexion croissantes des chaînes d'approvisionnement modernes. Selon l'étude 2022 de KPMG International, qui a interrogé 1 263 professionnels de la gestion des risques technologiques dans six secteurs et 16 pays, territoires et juridictions du monde entier, la gestion des risques technologiques est une priorité stratégique pour 85% des entreprises, contre 77% avant l'éclatement de la pandémie [1]. En outre, lors d'une enquête menée par Gartner en septembre 2022 auprès de 100 membres de comités exécutifs de gestion des risques, 84% des personnes interrogées ont déclaré que les "ratés" en matière de risques de tiers avaient entraîné des interruptions d'activité, ce qui souligne le besoin crucial de cadres solides de gestion des risques de tiers [2]. 

Dans le contexte des critères ESG (environnementaux, sociaux et de gouvernance), la gestion des risques liés aux tiers est tout aussi cruciale. S'assurer que les tiers respectent les normes ESG est essentiel pour maintenir la durabilité et l'intégrité éthique des opérations d'une organisation. Compte tenu de la surveillance réglementaire accrue et de la demande croissante des consommateurs pour des pratiques commerciales responsables, l'intégration de la gestion des risques liés aux tiers dans les initiatives ESG permet aux entreprises de gérer plus efficacement les risques et de promouvoir un impact positif sur l'environnement et la société. Cet alignement permet non seulement de préserver la réputation d'une organisation, mais aussi de contribuer à sa résilience et à sa réussite à long terme. 

Comprendre les risques liés aux tiers dans le cadre de l'ESG  

Commençons par explorer les risques liés aux tiers, c'est-à-dire les menaces et vulnérabilités potentielles qui surviennent lorsqu'une organisation externalise des services ou des fonctions auprès d'entités externes, telles que des vendeurs, des fournisseurs, des sous-traitants ou des partenaires commerciaux. Ces risques peuvent se manifester sous diverses formes, notamment des perturbations opérationnelles, des pertes financières, des responsabilités juridiques, des violations de la réglementation et des atteintes à la réputation. Essentiellement, le risque lié aux tiers découle de la dépendance à l'égard de parties externes dont les actions, les contrôles et les pratiques peuvent ne pas correspondre entièrement aux normes ou aux attentes de l'organisation qui recrute. Comme les entreprises dépendent de plus en plus de chaînes d'approvisionnement mondiales et de réseaux interconnectés, l'importance de systèmes robustes de gestion des risques liés aux tiers devient primordiale. Ces systèmes garantissent la résilience, la conformité et l'intégrité opérationnelle durable, protégeant ainsi l'organisation de la myriade de risques associés aux dépendances des tiers. 

Les facteurs environnementaux, sociaux et de gouvernance (ESG) sont essentiels à l'évaluation et à la gestion des risques liés aux tiers. Avec plus de 70% des entreprises qui s'appuient sur l'externalisation pour rationaliser leurs opérations, les vendeurs et fournisseurs tiers ont un impact significatif sur le profil ESG d'une organisation et sur son reporting. Cependant, de nombreux professionnels du risque de tiers ont du mal à intégrer les données de tiers dans leurs efforts de transparence et de reporting ESG. Cette difficulté est compréhensible, étant donné la rareté des conseils pratiques sur le sujet. Les équipes de gestion des risques des tiers doivent se préparer à l'intégration inévitable des considérations ESG, mais la question demeure : comment y parvenir efficacement ? 

Risques environnementaux 

Les risques environnementaux font référence à l'impact potentiel des activités d'une organisation sur l'environnement naturel. Il peut s'agir de pollution, d'épuisement des ressources, d'émissions de carbone et de problèmes de gestion des déchets. Dans le cadre de la gestion des risques pour les tiers, il est essentiel d'identifier et d'évaluer ces risques, car ils peuvent avoir une incidence sur les objectifs d'une organisation en matière de durabilité de l'environnement. 

• Pollution : Les tiers peuvent contribuer à la pollution de l'environnement par des activités telles que la fabrication, l'élimination des déchets et le transport. Il peut en résulter une contamination de l'air, de l'eau et du sol, qui peut nuire aux écosystèmes et à la santé publique. 
• Émissions de carbone : Les activités des tiers peuvent contribuer de manière significative aux émissions de gaz à effet de serre. Un partenariat avec des entreprises dont l'empreinte carbone est élevée peut saper les efforts d'une organisation pour réduire son impact environnemental global. 
• Questions relatives à la gestion des déchets : Des pratiques inadéquates de gestion des déchets par des tiers peuvent conduire à l'élimination inappropriée de déchets dangereux et non dangereux. Cela peut entraîner des risques pour l'environnement, des problèmes de conformité réglementaire et nuire à la réputation de l'organisation partenaire. 
• Non-respect des réglementations environnementales : Les tiers qui ne respectent pas les réglementations environnementales locales et internationales peuvent exposer une organisation à des responsabilités juridiques, des amendes et des sanctions. Ce non-respect peut également ternir l'image de l'organisation et la confiance des parties prenantes. 
• Risques liés à la chaîne d'approvisionnement : Les tiers de la chaîne d'approvisionnement peuvent introduire des risques environnementaux par le biais de pratiques telles que l'agriculture non durable, l'exploitation forestière illégale et l'exploitation minière. Ces pratiques peuvent avoir des répercussions considérables sur la durabilité de l'environnement au niveau mondial. 
• Atteinte à la réputation : Le fait de s'associer à des tiers dont le bilan environnemental est médiocre peut nuire à la réputation d'une organisation. Les parties prenantes, y compris les clients et les investisseurs, peuvent considérer l'organisation comme complice de pratiques néfastes pour l'environnement. 

La marée noire provoquée par BP dans le golfe du Mexique en 2010 est un exemple notable de pollution due à des actions de tiers. BP a confié ses opérations à des sous-traitants tels que Transocean et Halliburton, dont les défaillances ont contribué à l'une des pires catastrophes environnementales. La marée noire a entraîné une vaste contamination de l'eau, dévasté la vie marine et endommagé durablement les écosystèmes du golfe. Un autre exemple est le scandale des émissions impliquant des fournisseurs tiers de Volkswagen. Volkswagen a utilisé des logiciels de tiers pour tricher lors des tests d'émissions, ce qui a permis à ses véhicules d'émettre des polluants jusqu'à 40 fois supérieurs à la limite autorisée. Ce scandale du "Dieselgate" a causé de graves dommages à l'environnement et a eu d'importantes répercussions juridiques et financières pour Volkswagen. Ces incidents soulignent la nécessité d'une surveillance stricte et de contrôles de conformité des activités de tiers afin de s'assurer qu'elles sont conformes aux objectifs et aux réglementations en matière d'environnement. 

Risques sociaux 

Les risques sociaux, également appelés risques sociétaux ou communautaires, englobent l'impact des actions d'une organisation sur la société et les communautés locales. Il peut s'agir de pratiques de travail, de violations des droits de l'homme et d'impacts sur les groupes marginalisés. Les équipes de gestion des risques des tiers doivent évaluer les risques sociaux afin de protéger leurs organisations contre les perturbations juridiques, opérationnelles et de réputation. 

• Pratiques de travail : Les tiers peuvent avoir recours à des pratiques d'exploitation du travail, telles que le travail forcé ou le travail des enfants, afin de réduire les coûts. Cela peut donner une mauvaise image des normes éthiques de l'organisation partenaire et compromettre ses relations avec les clients et les parties prenantes. 
• Violations des droits de l'homme : Les opérations menées par des tiers peuvent entraîner des violations des droits de l'homme, telles que la discrimination, des conditions de travail dangereuses et le déni des droits des travailleurs, ou y contribuer. Ces violations peuvent avoir des conséquences juridiques et nuire à la réputation de l'organisation. 
• Non-respect de la législation du travail : Le fait de s'associer à des tiers qui ne respectent pas le droit du travail peut exposer les organisations à des responsabilités juridiques et à des pénalités. Cela peut également nuire à la réputation de l'organisation en tant qu'employeur responsable. 
• Risques liés à la chaîne d'approvisionnement : Les fournisseurs tiers peuvent se livrer à des violations des droits de l'homme, par exemple en s'approvisionnant dans des zones de conflit ou en utilisant des conditions de travail abusives. Cela peut entraîner des risques importants pour la réputation de l'organisation partenaire. 
• Atteinte à la réputation : S'aligner sur des tiers qui prennent des risques sociaux peut nuire à la réputation d'une organisation et saper ses efforts en faveur de pratiques responsables. Cela peut entraîner une perte de confiance de la part des parties prenantes, notamment les clients, les investisseurs et les employés. 

Un exemple notable de violation des droits de l'homme impliquant des opérations de tiers est le recours au travail des enfants dans la production de cacao pour les produits Nestlé. En 2015, Nestlé a fait l'objet d'un procès pour avoir prétendument fait travailler des enfants dans sa chaîne d'approvisionnement. Le fait que l'entreprise n'ait pas répondu rapidement à ces allégations a entraîné une atteinte considérable à sa réputation et des conséquences juridiques. Un autre exemple est la tragédie du Rana Plaza, où plus de 1 100 travailleurs ont été tués lors de l'effondrement d'une usine de vêtements au Bangladesh. L'usine produisait des vêtements pour des entreprises telles que Walmart et Primark, ce qui a mis en lumière les pratiques de travail contraires à l'éthique de leurs fournisseurs tiers. Cet incident a mis en lumière l'importance de l'approvisionnement responsable et de la gestion de la chaîne d'approvisionnement pour les organisations. 

Risques liés à la gouvernance 

Les risques de gouvernance, également connus sous le nom de risques de gouvernance d'entreprise, concernent les politiques et procédures internes qu'une organisation suit pour gérer efficacement les relations avec les tiers. Ces risques peuvent résulter de mauvaises pratiques de gestion, d'une surveillance inadéquate et d'un manque de responsabilité, entraînant des pertes financières, des atteintes à la réputation et des sanctions réglementaires. Les équipes de gestion des risques liés aux tiers doivent veiller à ce que les pratiques de gouvernance soient solides afin d'atténuer les risques potentiels et de préserver les intérêts de l'organisation. 

• Manque de diligence : L'absence de diligence raisonnable à l'égard des tiers peut déboucher sur des partenariats avec des entités qui ne répondent pas aux normes de l'organisation ou ne respectent pas la réglementation. Cela peut entraîner des pertes financières et des atteintes à la réputation. 
• Faiblesse de la surveillance et du suivi : Une surveillance insuffisante des activités des tiers peut entraîner le non-respect des conditions contractuelles, des exigences réglementaires et des normes éthiques. Un contrôle continu est essentiel pour garantir l'adhésion des tiers aux politiques de gouvernance de l'organisation. 
• Conflit d'intérêts : Les partenariats avec des tiers peuvent donner lieu à des conflits d'intérêts susceptibles de compromettre les processus décisionnels et d'éroder la confiance des parties prenantes. Des pratiques de gouvernance transparentes sont nécessaires pour identifier et atténuer ces conflits. 
• Préoccupations en matière de cybersécurité et de confidentialité des données : Les relations avec les tiers peuvent présenter des risques liés aux violations de données et aux cyberattaques. La mise en œuvre de mesures strictes de cybersécurité et de protocoles de confidentialité des données est essentielle pour protéger les informations sensibles. 
• Atteinte à la réputation : De mauvaises pratiques de gouvernance dans la gestion des relations avec les tiers peuvent nuire à la réputation, à la crédibilité de l'organisation et à la confiance des parties prenantes. La mise en place de cadres de gouvernance solides est essentielle au maintien d'une réputation positive. 

Un exemple de risques liés à la gouvernance est le scandale de la fraude sur les comptes de Wells Fargo, où des pratiques de gouvernance inadéquates ont permis à des employés de créer des millions de comptes non autorisés afin d'atteindre des objectifs de vente. Ce scandale a entraîné d'importantes pénalités financières, des répercussions juridiques et une atteinte à la réputation de Wells Fargo. Un autre exemple est l'effondrement d'Enron, qui s'est produit en raison d'une mauvaise gouvernance d'entreprise, d'un manque de transparence et de pratiques contraires à l'éthique de la part de ses auditeurs tiers. Cela a conduit à l'une des plus grandes faillites d'entreprise de l'histoire et a mis en évidence l'importance cruciale de structures de gouvernance solides pour prévenir de telles faillites. 

Réflexions finales 

Dans le paysage commercial interconnecté d'aujourd'hui, la gestion des risques liés aux tiers est cruciale pour préserver le statut juridique, la réputation et l'efficacité opérationnelle d'une organisation. Les risques sociaux et de gouvernance sont deux des principales préoccupations auxquelles les équipes de gestion des risques doivent faire face. Qu'il s'agisse de pratiques de travail contraires à l'éthique, de violations des droits de l'homme, de cadres de gouvernance faibles ou d'une surveillance inadéquate, ces risques peuvent avoir des répercussions négatives importantes s'ils ne sont pas correctement gérés.  

Des affaires très médiatisées, telles que le recours au travail des enfants dans la chaîne d'approvisionnement de Nestlé ou les échecs de gouvernance de Wells Fargo et d'Enron, soulignent la nécessité d'une diligence raisonnable, d'un contrôle rigoureux et de pratiques éthiques solides. Les organisations doivent adopter une approche proactive et veiller à ce que leurs relations avec les tiers soient gérées avec la plus grande intégrité et le plus grand respect des règles. 

À l'avenir, la mise en œuvre de critères environnementaux, sociaux et de gouvernance (ESG) dans les programmes de gestion des risques des tiers devient de plus en plus importante. Dans notre prochain blog, nous explorerons les étapes nécessaires pour intégrer efficacement les principes ESG dans la stratégie de gestion des risques de votre organisation. Restez à l'écoute pour découvrir des idées concrètes et des bonnes pratiques qui vous permettront d'améliorer votre cadre de gestion des risques pour les tiers. 

 

Sources : 

[1] https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2022/01/third-party-risk-management-outlook-2022.pdf 

[2] https://www.gartner.com/en/newsroom/press-releases/2023-02-21-gartner-survey-shows-third-party-risk-management-misses-are-hurting-ororganizations