Dans le cadre du livre blanc “Gestion des risques liés aux tiers : le guide pratique”, Trustpair donne la parole à Iris Rousselière, Head of Treasury transformation et Jeromine Adler, Associate Debt & Treasury Advisory chez RedBridge.
Dans cet article, Iris Rousselière et Jeromine Adler nous partagent leur expertise et nous éclairent sur la gestion des risques liés au tiers et la place de la technologie pour les maîtriser.
A propos d’Iris Rousselière :
Iris est depuis un an le Global manager de la practice trésorerie transformation chez Redbridge dont une équipe est en Europe et une équipe est aux Etats-Unis (basée à Houston). Suite à de précédentes expériences en tant que trésorière d’entreprise (banque, institution européenne, corpo), Iris Rousselière a rejoint le monde du conseil il y a trois ans et demi en créant la practice trésorerie de EY Luxembourg.
A propos de Jeromine Adler :
Associate Director dans le practice trésorerie transformation chez Redbridge depuis un an et demi, elle a un passé de trésorerie opérationnelle qu’elle a fait pendant 4 ans, dans le secteur de l’énergie.
Qu’entend-on par la notion “gestion des risques tiers” ?
“Il est important de définir la notion de “tiers” étant donné que la gestion des risques est extrêmement large.” – Jeromine Adler
Un tiers est une entité, un individu, ou encore une personne morale extérieure à l’entreprise, et qui a des interactions avec elle. C’est tout ce qui circule autour de l’entreprise. La notion de risque interne est donc mise de côté, car un collaborateur n’est pas un tiers pour l’entreprise.
La gestion des risques tiers est très vaste et passe par 3 étapes :
- Conscientiser les risques. Pour gérer les risques, il faut en être conscient. Il y a pas mal de risques qui sont inhérents à l’activité.
- Monitorer, suivre les risques de façon régulière. Si on laisse un an entre l’état d’un risque et puis son état 12 mois plus tard, il y a de forte chance qu’on ait plus la même approche.
- Atténuer les risques, les mettre à un format acceptable.
“Le risque zero n’existe pas donc monitorer le non dépassement des risques au-dessus d’un certain seuil est plus que prioritaire pour une entreprise. Un risque tiers qui se réalise peut impacter financièrement la société, mais également sa réputation, sa notation de crédit, etc.” – Jeromine Adler
Face à la recrudescence des menaces externe de nouvelle forme d’audit ont vu le jour.
« L’audit IT est de plus en plus associé a des missions d’audit classique et intéresse les Directeurs financiers, qui s’y connaissent moins et se sente parfois démunie face à la cyber fraude. » – Iris Rousselière
Quelles sont les personnes en charge du sujet ?
Il n’y a pas nécessairement de nouveaux corps de métiers qui apparaissent, mais des sous-départements qui vont être chargés spécifiquement de répertorier et monitorer ces risques à l’intérieur des départements classiques.
“Il n’y a pas vraiment d’entité qui lead la gestion des risques tiers. Il n’y a pas non plus de cellule ou un département qui a vu le jour, et s’appellerait gestion des risques tiers.” – Jeromine Adler
De manière générale, on parle de processus qui vont mettre le doigt sur certains risques et qui vont faire en sorte qu’ils soient traités (contre appel, double check coordonnée bancaire, monitoring des connections systèmes…).
La gestion des risques concerne l’ensemble des départements, et particulièrement ceux qui sont amenés à manipuler les données :
- Le service Comptabilité / Achat sont les plus concernés de prime abord, car ils sont les points d’entrée en relation avec les tiers.
- La Trésorerie est en lien direct avec la banque, et manipule les fameux fichiers contenant des informations de paiement : elle est tout aussi responsable que la comptabilité, mais d’un autre point de vue.
- Le Contrôle interne vérifie l’application des processus et peut détecter les anomalies a posteriori : est-ce qu’on a bien suivi les processus ? Est-ce que tout est bien raccord avec la procédure ? Il est le gardien des processus.
- L’équipe IT met des garde-fous pour sécuriser les processus. Les entreprises utilisent plusieurs outils (portail achat, ERP, TMS), il faut savoir mettre des verrous autour de ces outils, et même des mails. Ils sont chargés de faire de la sensibilisation et montrer les bons réflexes.
“Il n’y a pas un département mais DES départements qui doivent mettre en place une sensibilisation générale.” – Jeromine Adler
Autre que la gestion des risques tiers, y a-t-il d’autres risques à maîtriser ?
La gestion des risques internes est essentielle. La fraude externe peut également se réaliser car une personne en interne a aidé et eu accès aux données.
“La fraude interne est minimisée : c’est tabou, mais bien une réalité. Un champ doit etre dédié à la fraude interne dans la cartographie des risques.” – Jeromine Adler
Comment évaluer correctement l’exposition aux risques d’une direction financière et son entreprise ?
“Il n’y a pas de grand intérêt à faire un focus uniquement sur des risques tiers, c’est-à-dire des risques externes : cela doit faire partie d’une cartographie plus large car ce ne sont pas les seuls risques qui doivent être suivis.” – Jeromine Adler
Nous recommanderions donc aux directions financières, de réaliser une cartographie globale des risques par processus. Ensuite, de comparer la vision papier ou théorique de ces processus avec leur application pratique.
“La façon la plus directe d’en prendre conscience est de faire parler les opérationnels sur la manière dont ils mettent en œuvre leurs responsabilités et effectuent leurs taches, notamment dans les systèmes.” – Iris Rousselière
“La gestion des risques tiers fait partie d’une matrice générale qui peut être réalisée par département ou par processus dans lequel on va venir flaguer les risques.” – Jeromine Adler
Le plus dur est de prendre du recul sur ces processus et de lister ces risques possibles, ainsi que leur gravité et potentiel de réalisation. Il faut être dans l’observation pour bien identifier les risques.
“Trop de risques ne veut pas dire que vous êtes nul. La cartographie des risques n’est pas là pour pointer une inefficience, mais bien pour sensibiliser.” – Jeromine Adler
Pour avoir conscience du risque auquel les entreprises sont confrontées, et quelle est leur capacité à réagir, il y a deux aspects à suivre :
- A quel point le risque est critique : quelle est sa dangerosité, quels sont ses impacts ?
- A quel point il peut se réaliser : est-ce qu’il a 90% de chance de se réaliser au cours d’une journée ou au contraire y a-t-il peu de chance qu’il se réalise ?
Enfin, l’important est de maintenir ce suivi dans le temps.
Comment bien définir une cartographie de gestion des risques ?
“Le succès d’une cartographie c’est surtout sa mise à jour et le contrôle de l’écart entre le processus théorique et le processus réel.” – Iris Rousselière
Il est rare que tous les risques soient identifiés du premier coup, ou que tous les processus soient appliqués comme posés « sur le papier ». Il faut donc régulièrement revoir et mettre à jour le contenu, et organiser un schéma de remontée de l’information vers le contrôle interne. Cela peut se faire via du process mining quand un outil de Business Process Modeling a été mis en place.
Dans les grands groupes et entreprises établies, il y a déjà des outils qui vont venir mapper les processus, créer des référentiels de processus, et vont permettre de contrôler les écarts entre le processus théorique défini et la réalité terrain de l’utilisation d’un système par exemple.
Le processus étant créé pour mitiger les risques, puis mis en place dans les systèmes pour les vérouiller. Il ne devrait pas y avoir de différences. Cependant cet écart constitue la majorité des risques identifiés lors de nos projet.
Les risques de cyberfraude doivent-ils faire l’objet d’une analyse spécifique ?
“C’est difficile aujourd’hui de parler de gestion des risques sans parler d’IT, de système ou de cybersécurité. Notamment dans la fonction finance.” – Jeromine Adler
Les cyberfraudes sont devenus très présentes, d’autant plus avec la généralisation du télétravail, et elles peuvent prendre de très nombreuses formes. La cyberfraude est devenu récemment un élément majeur.
Le sujet est assez bien pris en main par les entreprises, car c’est le plus visible et le plus médiatisé que la fraude au virement par exemple.
“C’est la visibilité des risques qui fait que les entreprises se lancent dans la cybersécurité. Aujourd’hui, on voit mal comment une entreprise ne peut pas être au point sur ce sujet.” – Iris Rousselière
“Les Big 4 ont développé les audit IT pour étudier le risque de cyberfraude d’un point de vue système et nous pensons en effet que c’est très important pour les entreprises.” – Jeromine Adler
Outre la cyberfraude, de nombreuses formes de fraude sont constatées chez nos clients et il faut sensibiliser les collaborateurs aux différentes formes de celle-ci. Le jour où une tentative a lieu, ce sont les opérationnels qui seront les plus à même de la déjouer, ou au contraire par méconnaissance, ne pas la notifier. Cela peut arriver à n’importe quelle entreprise. Toute entreprise doit être en capacité de relever la tentative de fraude et les départements IT peuvent soutenir la sensibilisation : l’adresse mail ou domaine du site sont-ils les bons ?, par exemple.
La cybersécurité : un enjeu majeur pour les entreprises ?
L’environnement applicatif des entreprises est très dense. Ce qui est important, avant même de faire un audit IT, est de simplifier cet environnement : plus il est complexe, plus c’est facile de se faire frauder.
“Le diable est dans les détails : plus c’est complexe, plus il y a des risques, plus vous allez avoir du mal à les combattre et à mettre en place une stratégie efficace.” – Iris Rousselière
Faire un audit ne doit pas simplement montrer l’engagement de l’entreprise, il faut mener des actions concrètes. Investir dans des systèmes applicatifs peut paraître compliqué pour différentes raisons, cela reste tout aussi important qu’un audit. Multiplier les systèmes et autres bases de données signifie augmenter son exposition aux risques d’erreurs et de fraude.
“Il faut des processus simples et bien pensés dans un environnement simple, cela permettra d’allier contrôle, réactivité et enfin efficacités opérationnelles et financières à la fois pour la maintenance et le run.” – Iris Rousselière
L’Intelligence Artificielle pour lutter contre la fraude ?
“La valeur ajoutée de l’Intelligence Artificielle du machine learning est souvent abordée pour la prévision de trésorerie ou de chiffre d’affaires. Pourtant, sa valeur ajoutée semble bien plus importante dans le cadre de la prévention antifraude.” – Iris Rousselière
Quand on a l’information rapidement, on a la capacité de réagir et de prévenir. En cas d’erreur de paiement par exemple, on va pouvoir l’arrêter en cours de route. L’IA ou le machine learning est un outil utile dans ce cas.
Par exemple, un service IT peut se rendre compte d’une activité anormale dans les systèmes, ou le module d’un Treasury management system que la gestion des paiements ne correspond pas au schéma habituel (fournisseur payer le 30 au lieu du 15). Ce qui permet d’alerter rapidement et de limiter ou bloquer la fraude.
Cette capacité à monitorer toute activité anormale, si elle est mise en place correctement, peut-être une aide précieuse à la fois sur les paiements et sur les cyberfraudes.
Pour conclure : que devrait faire une direction financière qui souhaite maîtriser ses risques liés au tiers ?
Sensibiliser ses collaborateurs aux différents risques de fraudes et réalisé une cartographie des risques par processus si ce n’a pas été fait. Dans le cas d’une société de taille critique, investir dans un outil de Business Process Modeling et mettre en place des contrôles régulier via process mining. Idéalement, il faudrait une environnement applicatif simple interfacé monitoré globalement par l’equipe IT et être au contrôle de sa donnée : avoir une source de données unique, des réconciliations systématiques entre système etc
“L’utilisation rapide de données fiables est le gros défi des entreprises, tant pour le reporting que pour la fraude.” – Jeromine Adler
Il faut être clair avec ce que font les opérationnels. En effet, plus il y a d’allers- retours entre les équipes, plus il y a un risque d’informations corrompues et de fraude
“La simplification est la clé de la clarté. La gestion des risques tiers passe par une maîtrise des données.” – Jeromine Adler
En tant que Consultant en trésorerie, Redbridge voit beaucoup de direction financière investir sans compter dans les systèmes de comptable et bloquer les budgets pour les systèmes de trésorerie.
« Il est important de rappeler que le reporting comptable est une obligation légale bien sûr mais que le reporting et la gestion efficace de la trésorerie est une nécessité managériale et une question de survie pour l’entreprise. Faire des économies d’investissement système sur la trésorerie est dangereux et le rapport cout/bénéfice doit être étudier de façon approfondie » – Iris Rousseliere