L'essentiel de la gestion du risque fournisseur

Découvrez comment mettre en place un programme de gestion des risques fournisseurs (SRM) résilient afin d'atténuer les perturbations dues aux vulnérabilités de la chaîne d'approvisionnement mondiale, y compris les meilleures pratiques et les principales catégories de risques.
19 novembre 2024
News logo "supply chain brain

Note de l'éditeur : cet article, rédigé par Brad Hibbert, Chief Operating Officer et Chief Strategy Officer, a été publié à l'origine sur supplychainbrain.com.

Pour améliorer la résilience et la continuité de leurs activités face aux pandémies, aux guerres, aux catastrophes naturelles et aux autres vulnérabilités des chaînes d'approvisionnement mondiales, les entreprises adoptent des initiatives globales de gestion des risques liés aux fournisseurs.

Un programme de gestion des risques stratégiques peut atténuer l'impact d'événements imprévisibles en identifiant les risques potentiels et en appliquant des plans d'urgence ou de remédiation. L'effort commence par la compréhension des nombreuses catégories de risques, notamment la cybersécurité, la conformité, les risques commerciaux, la réputation, les risques financiers, les risques de performance et les risques liés à un événement.

Quel que soit le type de risque considéré comme le plus urgent, certaines bonnes pratiques aideront toute organisation à mettre en place le meilleur programme de gestion des risques stratégiques possible.

Les risques liés aux fournisseurs peuvent être classés en trois grandes catégories : profilés, inhérents et résiduels. Leur compréhension permet à une organisation de hiérarchiser les ressources et de réduire les risques, même si sa chaîne d'approvisionnement est complexe.

Le risque fournisseur profilé est celui qui est basé sur le secteur d'activité du fournisseur, sa situation géographique, son niveau de conformité, sa situation financière et opérationnelle, et tout autre attribut lié à l'activité de l'entreprise. Lorsqu'elles réfléchissent aux risques profilés, les organisations doivent tenir compte des éléments suivants

  • Exigences de conformité. Les fournisseurs présentant une forte probabilité de préoccupations environnementales, sociales et de gouvernance (ESG), par exemple, représentent un risque plus élevé en raison des pénalités qu'ils pourraient encourir en cas de non-conformité.
  • Résultats financiers et opérationnels. Les fournisseurs dont les résultats sont irréguliers dans ce domaine pourraient présenter un risque plus élevé.
  • Situation. L'instabilité géopolitique peut facilement perturber les chaînes d'approvisionnement. Par exemple, si un fabricant se procure la quasi-totalité de ses matières premières auprès d'un seul fournisseur situé dans un pays déchiré par la guerre ou politiquement instable, on peut dire que ce fournisseur présente un risque élevé. Les événements météorologiques et les catastrophes naturelles doivent également être pris en compte.

L'évaluation du profil de risque des fournisseurs potentiels est une étape cruciale dans l'élaboration des programmes de gestion des risques d'entreprise, car elle fournit un contexte important pour interroger les fournisseurs qui font partie de l'écosystème tiers d'une organisation.

Le risque inhérent au fournisseur fait référence au niveau de risque d'un fournisseur avant de prendre en compte les contrôles spécifiques qu'une organisation pourrait exiger. Par exemple, si un hôpital achète un nouveau système d'analyse de données pour aider l'institution à analyser les données des patients, la société d'analyse doit démontrer des contrôles de sécurité des données. Dans le cas contraire, le fournisseur représenterait un risque inhérent inacceptable pour l'hôpital.

Chaque organisation doit évaluer les risques inhérents aux fournisseurs et commencer par prendre en compte les éléments suivants :

  • Criticité pour les performances et les opérations de l'entreprise. Le risque de défaillance d'un fournisseur de niveau 1 critique peut l'élever à un niveau de risque inhérent élevé.
  • Les sites et les considérations juridiques ou réglementaires qui s'y rapportent. Les perturbations, les amendes et les problèmes de réputation causés par la non-conformité peuvent être à l'origine d'un score élevé.
  • Interaction avec des données protégées ou des systèmes en contact avec la clientèle. D'où la nécessité de contrôles de sécurité supplémentaires et d'une surveillance de la conformité.
  • Les fournisseurs de quatrième et de troisième rang dans l'écosystème des fournisseurs. Il s'agit de dépendances critiques qui peuvent avoir un impact sur les décisions inhérentes à l'évaluation des risques.

Le risque résiduel d'un fournisseur est celui qui subsiste même après qu'il a pris des mesures correctives ou mis en œuvre des contrôles compensatoires. Indépendamment du risque profilé du fournisseur, du risque inhérent et des activités de remédiation, il peut toujours subsister un risque résiduel. Un bon programme SRM ramène le risque résiduel à un niveau tolérable dans l'ensemble de la chaîne d'approvisionnement d'une organisation.

Pour atteindre ce niveau acceptable de risque résiduel, les organisations doivent s'assurer que tous les fournisseurs ont satisfait aux exigences "indispensables" pour des chaînes d'approvisionnement sûres et conformes. Ces exigences peuvent être les suivantes

  • de solides programmes de sécurité de l'information,
  • Planification rigoureuse de la reprise après sinistre,
  • Visibilité sur toutes les quatrième et énième parties,
  • les programmes de conformité ESG, et
  • Des informations sur l'approvisionnement en matières premières (telles que les minerais de la guerre).

Le risque résiduel n'est pas statique tout au long du cycle de gestion du risque fournisseur. C'est pourquoi la surveillance des risques doit être un processus continu.

Une fois les différentes catégories de risques comprises, les organisations disposent des connaissances nécessaires pour élaborer un programme de gestion des risques de sécurité adapté à leurs besoins spécifiques. Mais il existe plusieurs étapes qui peuvent aider toute organisation à atteindre cet objectif :

Créer une équipe SRM interdépartementale. Les membres peuvent être des représentants des services d'approvisionnement, de sécurité et d'informatique, de gestion des risques, de droit et de conformité, et de confidentialité des données. Les équipes chargées de la gestion des produits et de la fabrication ont également une grande influence sur les risques potentiels à chaque nœud de la chaîne d'approvisionnement.

Choisir le bon cadre de gestion des risques. C'est le fondement des meilleures pratiques et des orientations appropriées. De nombreuses organisations s'alignent sur les cadres NIST ou ISO, en fonction de plusieurs facteurs.

Tenir compte des risques en procédant à une vérification préalable des contrats. Veiller à ce que tous les processus incluent la collecte d'informations sur les partenaires commerciaux ou les vendeurs potentiels, y compris des sources telles que :

  • Actualités économiques,
  • Couverture médiatique défavorable,
  • Listes de violations de données,
  • Registres financiers,
  • Listes de sanctions,
  • Listes mondiales d'application de la loi et dépôts auprès des tribunaux,
  • les listes d'entreprises publiques, et
  • Listes de personnes politiquement exposées (PEP)

Les réseaux d'intelligence économique et les services de profilage des risques peuvent contribuer à automatiser ce processus plutôt lourd.

Créer une visibilité sur les profils des fournisseurs. La gestion d'une base de données centralisée des fournisseurs est essentielle pour garantir l'efficacité du programme de gestion des risques de l'entreprise. Elle doit inclure des profils complets de fournisseurs et fournir un accès basé sur les rôles aux contacts de l'entreprise, aux données démographiques, aux connexions de quatrième et de troisième partie, et aux informations sur les risques. Cela commence par des données sur les risques profilés et des informations sur les risques externes saisies au cours de la phase d'approvisionnement et de sélection du cycle de vie des fournisseurs.

Classer les fournisseurs en fonction du risque inhérent. Les organisations devraient classer et hiérarchiser les fournisseurs en fonction de leur risque inhérent. Un classement efficace des risques inhérents combine des données provenant de simples questionnaires internes et des données externes sur les risques recueillies au cours de la phase d'approvisionnement.

Effectuer périodiquement des évaluations des risques pour garantir la conformité. Une fois que les fournisseurs ont été profilés, catégorisés et classés, les entreprises peuvent déterminer la fréquence et l'étendue des futures évaluations des risques pour chaque catégorie. Par exemple, les évaluations annuelles des fournisseurs essentiels peuvent être basées sur des normes industrielles, des mandats réglementaires ou des exigences propres à l'organisation. Ces évaluations peuvent demander des informations sur les contrôles de sécurité internes, les plans de continuité des activités, les plans de reprise après sinistre et d'autres types de plans.

Surveiller en permanence les nouveaux risques liés aux fournisseurs. Les risques liés aux fournisseurs sont en constante évolution et émergent en réponse aux changements rapides de l'environnement économique, géopolitique et de la cybersécurité. Il est donc essentiel de surveiller en permanence vos fournisseurs essentiels pour détecter les nouveaux risques commerciaux, opérationnels, financiers, de réputation, de conformité et cyber . Ces informations peuvent être utilisées pour ajuster les scores de risque des fournisseurs et déclencher des activités de réponse, d'atténuation et de remédiation, telles que la recherche de nouveaux fournisseurs, la modification des itinéraires d'expédition ou l'exigence d'évaluations supplémentaires.

Garantir le respect des exigences de performance. De nombreux programmes d'évaluation et de suivi décrits ici peuvent également être personnalisés pour évaluer les performances des fournisseurs par rapport aux accords de niveau de service et à d'autres exigences contractuelles. Ce processus peut commencer par l'établissement d'indicateurs clés de performance du fournisseur et l'attribution de seuils et de "propriétaires" pour chaque ICP en fonction des attributs du contrat.

Tenir compte des risques qui persistent après la fin des contrats avec les fournisseurs. L'intégration des fournisseurs est souvent négligée dans la gestion des risques liés aux fournisseurs, de sorte que les risques sont souvent accrus après la fin d'un contrat. C'est pourquoi il est impératif que les entreprises examinent les profils des fournisseurs résiliés et procèdent à des évaluations d'intégration. Ces évaluations permettent de vérifier que les conditions contractuelles finales ont été respectées, que les livraisons ont été effectuées, que les accès informatiques et physiques ont été révoqués, que les actifs ont été restitués et que les données sensibles ont été détruites.

La gestion des risques stratégiques doit faire partie intégrante du cadre général de gestion des risques de l'organisation. La mise en place d'un programme adéquat comporte plusieurs étapes, notamment la création d'une équipe interministérielle de gestion des risques, le choix d'un cadre de gestion des risques approprié et l'intégration des processus de gestion des risques dans les procédures d'approvisionnement et de conformité existantes.

Les événements inattendus brisent les chaînes d'approvisionnement et changent le cours de la vie quotidienne. Les organisations doivent veiller à ce que ces événements ne modifient pas le cours de leurs activités.