La cartographie des risques pour investir utilement en due diligence

Il n’est pas rare de voir une entreprise vouloir passer au peigne fin l’ensemble de ses tiers. Toutefois, cela va vite s’avérer très coûteux, très chronophage… Et surtout, cela ne sert à rien !

Comme le précise l’AFA (Agence Française Anti-corruption) dans sa recommandation N°207 « La nature et la profondeur des évaluations à réaliser et des informations à recueillir sont déterminées en fonction des différents groupes homogènes de tiers présentant des profils de risques comparables ; la cartographie des risques permet de les dresser. Ainsi, les groupes de tiers jugés pas ou peu risqués pourront ne pas faire l’objet d’une évaluation, ou faire l’objet d’une évaluation simplifiée, tandis que les groupes les plus risqués nécessiteront une évaluation approfondie ».

S’obliger concrètement à aller chercher des bénéficiaires effectifs à jour et les passer au criblage est certes nécessaire… Mais uniquement sur les risques les plus élevés. Vous pouvez même ne rien faire sur certains tiers (fournisseurs, clients) si ces derniers ne présentent, selon votre cartographie des risques, aucun risque.  Et sur les tiers à risque faible, une analyse de probité sur les dirigeants et la personne morale peut suffire amplement.

Ce qui signifie en « bonnes pratiques » à suivre :

Identifier les catégories et les volumes de tiers à risque permet de calibrer votre outil d’évaluation d’intégrité des tiers (et donc votre budget), ainsi que la charge de due diligence induite (y compris de formation) de vos opérationnels. N’oubliez d’ailleurs pas que le coût global du dispositif est la somme des deux. En limitant le portefeuille de tiers à intégrer dans votre outil d’évaluation, vous dimensionnez utilement vos charges et faites d’importantes économies.

Certains prestataires de données essaieront de vous vendre sur tous les tiers la même profondeur de données sans vous préciser par ailleurs la date de fraîcheur de leur data. Exigez de l’information à jour sur les risques élevés et ne payez pas de la data que vous n’utiliserez pas ou qui serait susceptible de générer en plus de la charge dans vos équipes. Suivez l’approche conseil par les risques en appliquant votre cartographie des risques sur le dispositif d’évaluation de l’intégrité de vos tiers.

Utilisez le questionnaire sur des risques moyens pour obtenir le bénéficiaire effectif, en impliquant le tiers. Les meilleurs outils lanceront le screening dès la collecte du bénéficiaire effectif et pourront même le confronter au bénéficiaire effectif du Registre Officiel ou d’un bénéficiaire effectif déjà en base. Cela vous permettra dans tous les cas d’obtenir un bénéficiaire effectif à jour et à moindre coût, ou de challenger celui déjà présent.

Votre cartographie des risques est bâtie sur vos processus et souvent s’appuie sur des données internes. Construisez votre propre score de probité en intégrant à la fois dans vos indicateurs de risque des données externes et des données internes (comme le montant dépensé, ou la nature de l’activité) pour bien filtrer vos risques.

Définissez en amont vos workflows en fonction de votre organisation pour canaliser et sécuriser les processus d’évaluation en fonction du niveau des groupes de tiers à risque (GTR) surtout si vous ambitionnez partiellement de déléguer la responsabilité de l’évaluation aux opérationnels.

Démarrez progressivement vos évaluations et le déploiement en interne. Commencez par les segments à risque identifiés par la cartographie des risques afin de familiariser vos utilisateurs à l’outil d’évaluation. Rien ne vous oblige à aller trop vite ; l’accompagnement des utilisateurs est un élément clé. En lissant sur plusieurs années les tiers à évaluer, vous vous donnez plus de chances de réussir ! Nous recommandons de démarrer par certaines sociétés, filiales ou business units, certains groupes de tiers à risque, vous permettant de transformer des utilisateurs en promoteurs internes qui pourront devenir supports ou même formateurs auprès des nouveaux utilisateurs. Comprenez que l’adoption sera progressive et que vous diffusez la Compliance dans votre organisation. C’est un projet de transformation qui nécessite toute l’implication du dirigeant pour donner du sens notamment en rendant concret l’application des valeurs éthiques dans l’entreprise.

Automatisez les tâches de due diligence sur les risques dits verts pour clôturer les évaluations, tout en mettant les tiers sous surveillance avec une date de revue périodique. Ainsi, vous lissez les charges dans le temps tout en gardant le contrôle du risque de probité sur vos tiers.

Chez Ellisphere, nous sommes des spécialistes de l’évaluation des tiers en BtoB ; nous ne proposons pas de cartographie des risques pour rester focus sur notre métier et offrir le meilleur à nos clients. Nous travaillons avec des experts du conseil aux entreprises comme Finegan et Cortona Conseils que nous recommandons auprès de nos clients avec lesquels nous optimisons le passage entre la cartographie des risques et l’outil d’évaluation des tiers.