Dans le cadre du livre blanc “Gestion des risques liés aux tiers : le guide pratique”, Trustpair donne la parole à Christophe Deletie, Directeur associé, Conseil en SI Achats & Capital Fournisseurs chez Altaris. Dans cet article, Christophe Deletie partage son expertise et nous éclaire sur la dimension des risques liés au tiers, du point de vue de la fonction Achat.
A propos de Christophe Deletie
Christophe Deletie est, depuis 2005, directeur associé chez Altaris, cabinet de conseil spécialisé sur la fonction achat. Fondé par un ancien directeur achat en 1999, le cabinet développe son expertise de conseil en achat et AMOA SI achat.
Avant de s’investir dans le monde des achats, Christophe Deletie travaillait auparavant dans le domaine du conseil en système d’information.
Que représentent les fournisseurs pour une entreprise ?
“Par fournisseur, on parle aujourd’hui de ressources externes, qui constituent entre 50% et 70% du chiffre d’affaires d’une entreprise en termes de coût et de performance.”
Les ressources externes sont clés pour une entreprise, puisqu’on externalise de plus en plus de choses. Si la dimension économique – c’est-à-dire le rapport qualité/prix – doit être prise en compte, la notion de risque est indissociable. Il faut savoir les évaluer.
Quand on s’intéresse à la place du fournisseur pour les Achats, on observe qu’il est au cœur de tous les processus et des données. Bien que les Achats soient propriétaires du référentiel fournisseurs, les données sont partagées avec d’autres services : Compliance, RSE, Qualité, et Finance.
“Les fournisseurs deviennent un vrai capital immatériel. Les choix d’aujourd’hui auront un impact demain.”
La notion de capital immatériel est notamment encadrée par la loi PACT. Généralement, le scoring des entreprises intègre la notion de qualité des ressources internes, mais aussi la qualité du capital immatériel.
Pour en apprendre plus sur la conformité en matière de gestion et de contrôle des tiers, consultez cet article.
Qu’entend-on par la notion : gestion des risques liés tiers ?
Lorsqu’on parle de risques liés au tiers, il faut faire la distinction entre :
- les risques métiers (chaîne d’approvisionnement)
- les risques économiques (rapport qualité/prix)
- les risque financiers (solvabilité)
- les risques réglementaires (conformité)
D’autres niveaux sont aussi à prendre en compte, tels que la performance ou l’innovation.
“On est dans des risques métiers et de co-développement. L’innovation vient de plus en plus des fournisseurs. Assurer une gestion subtile des ressources externes n’est pas simple.”
Comment assurer une bonne gestion des données fournisseurs ?
“Depuis quelques années, le concept a évolué sur les systèmes d’information achat et de gestion de la relation fournisseur. Le système doit porter l’information d’un outil à l’autre (du SRM, ERP au TMS).”
L’objectif est de travailler en écosystème, sur la durée et à travers des relations partenariales. Il y a donc des notions de propriété intellectuelle, et des risques qui deviennent un peu plus complexes.
On observe d’ailleurs un vrai changement dans les processus :
- Avant, les fournisseurs étaient traités dans les ERP, puis consolidés dans un système global;
- Aujourd’hui, on passe en sens inverse : le système SRM achat va porter le référentiel avec des alimentations plus ou moins automatiques (manuelles pour les ERP), et doit porter une vision 360° des données de l’entreprise.
Mais attention, un SRM (Supplier relationship management) n’est pas une solution de Master Data Management.
Il faut être très prudent sur le niveau d’automatisation. Il faut d’abord bien créer sa base tiers et cartographier l’ensemble des risques sur sa base tiers, et pas seulement sur la fonction Achat. Il faut avoir une vision 360°.
Si l’on veut qu’un outil SaaS soit utilisé au maximum de ses capacités, il faut qu’il ait un maximum de données. Ces données sont récupérées dans les ERP et autres référentiels fournisseurs. Les solutions SaaS et API sont une bonne réponse pour gérer le projet.
“L’intégration des solutions innovantes aux outils métiers est une nécessité, et en plus ce n’est pas compliqué.”
Qui est chargé de la gestion des risques tiers ?
“Aujourd’hui, l’ensemble des pôles sont concernés par la gestion des risques : Achat, Compliance, Qualité, Audit interne, RSE, IT, ou encore Finance.”
Pour pouvoir gérer les risques sous toutes ses dimensions, il faut un référentiel. Et le propriétaire de ce référentiel sont les Achats. A contrario, évaluer les risques est propre à chaque département. Par exemple, le contrôle des IBAN est à la charge de la Direction financière.
“L’information est vivante, donc s’il y a un risque, tout le monde doit en être conscient.”
Il faut être capable de fournir les données nécessaires pour que tout le monde puisse travailler correctement. Le niveau de risque doit être maîtrisé à chaque niveau de la chaîne, de l’entrée dans le SRM au paiement en fin de chaîne.
“Même si, historiquement, ce sont les Achats qui sont propriétaires du sujet de la gestion des risques, chaque pôle doit pouvoir évaluer, via les informations qui leur sont données, le niveau de risque pour fiabiliser les informations dans le temps.”
Quelles lois encadrent la gestion des risques liés au tiers ?
“Depuis la loi Sapin II, on observe un vrai tournant en France avec l’obligation de vigilance.”
Si plusieurs lois régissent la gestion des tiers – devoir de vigilance, DPEF – la loi Sapin II revêt une place de choix. Elle concerne les entreprises de +500 salariés et +100M€ de chiffre d’affaires, et a pour objectif la prévention et la détection des faits de corruption et de trafic d’influence.
Ne pas respecter la loi peut entraîner :
- une amende à hauteur de 200 K€ pour une personnes physique, et 1M€ pour une personne morale
- la publication officielle de la décision de justice
- un contrôle de l’AFA – Agence Française Anticorruption
Comment être conforme à la loi Sapin II ?
Pour être conforme à cette réglementation, l’AFA recommande de disposer d’un système de gestion des tiers, de connaître ses tiers, ainsi que de mettre en place une cartographie des risques propre à l’entreprise.
“L’idée est de se prémunir d’un risque, et de pouvoir répondre à la question : ai-je mis en œuvre les moyens nécessaires à cette prévention ?”
Pour aller plus loin, l’OBSAR (Observatoire des achats responsables) propose un référentiel de 14 indicateurs, dont 8 qui concernent directement les fournisseurs.
- Délai moyen de paiement fournisseurs
- Pourcentage ou dossiers achats intégrant des spécifications et/ou des critères de sélection RSE
- Montant des achats réalisés après des PME
- Montant des achats au secteur adapté et protégé et/ou insertion
- Pourcentage ou nombre d’acheteurs objectivés sur les démarches Achats Responsables ou RSE
- Pourcentage de fournisseur ayant fait l’objet d’un audit RSE
- Pourcentage des acheteurs formés ou sensibilisés aux Achats responsables
- Pourcentage des achats pour lesquels un critère environnementale, social et/ou sociétal est exigé
- Pourcentage des achats réalisés avec des fournisseurs installés sur un territoire particulier
- Pourcentage de fournisseurs avec lesquels des plans d’actions RSE ont été mis en place
- Pourcentage de consultations intégrant un critère de coût global
- Pourcentage de fournisseurs dépendants économiquement faisant l’objet d’un plan d’accompagnement
- Nombre de litiges avec des fournisseurs
- Pourcentage des achats réalisés hors processus achats
Pourquoi assurer l’intégrité des données de la base fournisseurs ?
Quand on parle de la base fournisseurs, il y a une notion d’enjeu au sens du chiffre d’affaires réalisé avec le fournisseur.
La base fournisseurs représente généralement 30% à 40% de fournisseurs utilisés une fois. Le risque n’est donc pas très important. Par contre, il y a un enjeu pour les achats de classe C : de nombreuses transactions sur de nombreux fournisseurs ponctuels.
Traiter un fournisseur a un coût, le processus devient donc plus cher. La question est : comment optimiser le traitement des achats classe C ?
Comment définir une cartographie des risques ?
Chaque entreprise définit elle-même sa propre cartographie. Plusieurs notions doivent être prises en compte, et le croisement de tous ces items dépendent de la société et de ses moyens :
- Importance du chiffre d’affaires pour le métier
- Typologie des fournisseurs (transitaire, transports – plus sensible à la corruption que d’autres)
- Pays des fournisseurs (niveau de risques associés à la zone géographique, selon transparency international)
- Classification des achats, liée à une nature d’achat (exemple : obligation de vigilance = prestation)
- Compliance : trie des tiers actifs/inactifs, développement durable, scoring RSE et financier, documentation à jour (ex : ISO 9001)
Les risques de (cyber)fraude doivent-ils faire l’objet d’une analyse spécifique ?
“Plus l’entreprise travaille avec des ressources externes, plus les risques s’intensifient.”
Par exemple, les critères liés au moyens de paiements (fraude au moyen de paiement) ne rentrent pas dans la cartographie des risques ou dans le scoring. Cela n’empêche pas qu’ils doivent être pris en compte.
La loi Sapin II intègre d’ailleurs cette prise en compte des risques tiers, via l’identification des tiers à risques, l’audit spécifique, ou l’élaboration d’une liste noire interne.
Concernant la cybersécurité, si les solutions récentes sont équipées contre ces menaces et ont des hébergements sécurisés, les intrusions viennent souvent de l’interne. Il faut donc savoir rester vigilant quant à l’accès et l’utilisation des bases de données, surtout lorsqu’il s’agit d’ERP non connectés.
Aujourd’hui, comment les entreprises sélectionnent leurs fournisseurs ?
On observe une évolution des grilles de sélection des tiers :
- Avant : importance du rapport qualité/prix, ou TCO (total cost of ownership – coût total de possession)
- Maintenant : d’autres critères comme la compliance font partie de la notation de l’entreprise et des fournisseurs
La gestion des risques est un sujet émergent. Historiquement, on gérait d’abord la qualité, puis la relation avec les tiers. Maintenant, on a une approche plus complète et systématique avec les critères compliance, ESG et RSE. On tend vers des pratiques d’achat responsable.
“Il y a un vrai renforcement de la responsabilité des donneurs d’ordre vis-à-vis de leur supply chaîne, qui représente à elle seule près de 70% de l’empreinte carbone.”
Pour l’instant, la notion de politique achat est faible, mais plusieurs fournisseurs prennent des initiatives pour limiter leur impact.
Pour conclure : quels conseils donneriez-vous à une Direction Achat qui souhaite maîtriser ses risques liés au tiers ?
1 – Connaître ses tiers, le BA.ba
Centraliser l’information permet de fiabiliser le référentiel fournisseur, et de correctement communiquer avec l’ERP.
“La gestion des risques revient à avoir un système d’information tiers centrale. C’est le point d’entrée d’une entreprise, un portail fournisseur qui assure de bons workflows de validation.”
2 – Collecter les données nécessaires
La compliance commence dès l’appel d’offre : on ne consulte pas un fournisseur qui n’est pas conforme.
3 – Plu-value de solution SaaS
Il y a tout un marché de solutions qui apporte de la valeur et des informations sur les fournisseurs.
“Les solutions SaaS doivent avoir une place centrale dans la base fournisseur.”