12 mai 2020
Lecture 3 mn
//= do_shortcode('[addthis tool="addthis_inline_share_toolbox_wznq"]') ?>
Comment auditer les Tiers
Les entreprises délèguent aujourd’hui de plus en plus de missions à des prestataires externes, ce qui ne les exempte pas de leurs responsabilités mais les force au contraire à être encore plus vigilantes dans le contrôle de ces délégataires. Pour Éric Chemama, ancien auditeur interne et fondateur du cabinet EMC*, il est indispensable de prendre en compte tous les risques et d’en dresser une cartographie.
Les « tiers » regroupent un éventail très large de prestataires externes et la notion de sous-traitance est très ancienne. « Elle a été prévue par la loi depuis très longtemps, » confirme Éric Chemama, « mais les “ tiers ” aujourd’hui recouvrent une dénomination très large et bien des formes différentes de sollicitations, en fonction de ce que l’entreprise veut externaliser : des moyens techniques, des moyens humains, des processus... ». Car l’on externalise de plus en plus – sous des appellations différentes (DPO, infogérance, etc...) – pour répondre à des impératifs d’urgence très souvent : pour se développer vite, on fait appel à des compétences extérieures, quitte à les internaliser plus tard. « La question étant de savoir jusqu’où l’on va et si l’on a bien pris en compte tous les risques afférents », poursuit Éric Chemama, « car même lorsque vous déléguez un certain nombre de tâches à des tiers, vous ne devez jamais oublier que les clients sont toujours “ vos ” clients et que votre responsabilité pourrait être engagée face à l’utilisation de vos sous-traitants s’ils ne respectaient pas les aspects réglementaires, fiscaux, commerciaux, les règles environnementales, celles liées à la discrimination ou à la confidentialité des données... »
« L’arrivée du RGPD (Règlement Général de Protection des Données) a agi comme un détonateur pour bon nombre d’entreprises », explique-t-il, « le délégant s’est alors vraiment rendu compte qu’il avait face au délégataire – le tiers – un engagement de responsabilité. Qu’il ne pouvait pas fermer les yeux et avait l’obligation de savoir quels dispositifs étaient mis en place chez ses délégataires, quitte à leur demander des éléments de pilotage et de reporting ». Tous les secteurs d’activité n’ont pas aujourd’hui le même niveau de maturité sur ces questions. Le secteur bancaire, qui peut faire appel à des centaines de prestataires différents, est par exemple depuis longtemps très réglementé. « Le CRBF 97-02, revu par l’arrêté du 3 novembre 2014, imposait déjà des dispositifs de contrôle interne autour des prestations externalisées au niveau des banques, pour lesquelles le risque systémique est partout, » reprend Éric Chemama, « et fin 2019 de nouvelles réglementations européennes très contraignantes sont venues compléter ces dispositifs, avec une façon très précise de construire un inventaire ».
L’avantage est que les banques ont en contrepartie des guides assez précis sur la bonne façon d’auditer leurs tiers. Ce qui est rarement le cas des autres secteurs d’activité. Comment procéder ? « Il faut impérativement s’assurer de la qualité du service auquel on a recours et pas seulement en se rencontrant une fois par an, » explique encore Éric Chemama, « il faut piloter la relation régulièrement, ce qui nécessite un effort du délégant ». La base est avant tout d’avoir une bonne connaissance des nouveaux risques auxquels cette délégation expose l’entreprise. Par exemple si l’on n’a aucune activité sur internet mais que l’on fait appel à un nouveau prestataire qui offre des services en ligne, si l’on échange des fichiers et des données sur une Dropbox avec un autre alors que l’on ne le faisait jamais avant... Même chose sur la santé financière : si un délégataire dépose le bilan, à quel risque est-ce que cette situation m’expose ? « Il y a une foule de risques à observer et à bien qualifier qui dépassent largement le simple cadre de la mission confiée, » affirme Éric Chemama, « ce qui nécessite de dresser une cartographie des risques au même titre qu’en ce qui concerne les risques internes à l’entreprise. Il faut d’ailleurs dans ce cadre, selon moi, relier l’externe à l’interne et bien déterminer quel impact peut avoir un problème à l’extérieur sur l’activité que l’on a conservée ».
* EMC Conseil et formation : Cabinet fondé en 2012 par Éric Chemama, notamment ancien auditeur interne à l’Inspection générale du Crédit du Nord. http://www.emc-conseil-et-formation.com/