Les organisations gouvernementales dépendent de services externes pour améliorer leur efficacité, augmenter leur rentabilité et répondre aux besoins de leurs parties prenantes. Cependant, faire affaire avec des tiers n’est pas sans risque.
Pour cette raison, il devient nécessaire d’avoir des outils et des méthodes pour déterminer, évaluer et gérer les risques entraînés par le recours à des fournisseurs de services tiers, et ainsi s’assurer que les bonnes mesures sont en place pour se protéger et protéger les communautés.
Que sont les risques liés aux tiers?
Un tiers est un fournisseur, un entrepreneur, un affilié ou toute autre partie externe embauché par une organisation pour répondre aux besoins opérationnels et atteindre les résultats souhaités. Les organisations se tournent souvent vers un tiers pour améliorer leur efficacité, augmenter leur productivité et réduire les coûts des services.
Bien qu’une telle stratégie offre de nombreux avantages, elle augmente aussi l’exposition aux risques, notamment :
- les cyberattaques et les fuites de données;
- les interruptions dans l’exploitation;
- les problèmes de conformité et la responsabilité civile;
- les atteintes à la réputation.
Ces risques proviennent d’erreurs, de vulnérabilités ou de mauvaise gestion de la part du tiers. S’ils ne sont pas gérés adéquatement, ils peuvent causer des dommages sur les plans juridique, financier, stratégique ou opérationnel, ou encore une atteinte à la sécurité ou à la réputation.
En quoi les risques liés aux tiers touchent-ils le secteur public?
Bien que toutes les organisations s’exposent à certains risques liés aux tiers, le contexte particulier du secteur public, où les attentes des intervenants sont élevées et la surveillance de parties externes est étroite, crée des conditions dans lesquelles une mauvaise planification de ces risques ouvrirait la porte à des conséquences uniques.
Retard dans les services essentiels
En évitant de traiter les risques liés aux tiers, votre organisation s’expose non seulement à des pertes financières, mais aussi à une potentielle interruption des services nécessaires au bien-être de la communauté, comme les soins de santé, les services alimentaires, l’entretien des infrastructures et plus encore.
Atteinte à la réputation
Un retard dans les services n’est pas la seule conséquence d’un tiers qui ne respecte pas les normes de rendement attendues par les fonctionnaires et les parties prenantes. Il porte aussi atteinte à la confiance que le public a envers le gouvernement et pourrait entraîner des répercussions politiques.
Gestion des risques d’entreprise
Limite des risques liés aux tiers dans le secteur public
Votre organisation doit prendre des mesures pour atténuer les risques liés aux tiers afin de se protéger contre les retards dans les services essentiels et l’atteinte à la réputation. Bien qu’il soit impossible d’éliminer entièrement ces risques, vous pouvez les réduire au minimum en veillant à la mise en place de mesures, d’un niveau de supervision et de contrats adéquats, reflétant ainsi la transparence et le sens des responsabilités exigés du secteur public.
Considérez les pratiques exemplaires suivantes :
Respecter les directives en vigueur
Les administrations municipales et les gouvernements provinciaux et fédéral sont assujettis à des directives qui guident toutes les décisions touchant l’octroi de contrats à des tiers. Celles-ci servent à garantir la responsabilité et la transparence du processus.
Par exemple, la directive sur la gestion de l’approvisionnement régit la façon dont les biens de tiers sont acquis pour assurer la prestation de services aux Canadiens. Elle encadre la gestion des risques et les décisions d’approvisionnement pour obtenir les résultats opérationnels visés.
Votre organisation pourrait également être assujettie à d’autres directives régionales. Par exemple, la politique opérationnelle en matière de paiements de transfert en Ontario s’applique aux services provinciaux et municipaux. Elle établit les exigences opérationnelles et le cadre de responsabilité pour les paiements de transfert aux bénéficiaires externes, y compris les tiers embauchés pour la prestation de services.
Établir des attentes
Il est essentiel d’établir des attentes précises lorsque votre organisation signe un contrat de prestation de services publics avec un tiers. Définissez les indicateurs clés de rendement (ICR) comme les objectifs stratégiques, opérationnels et de rendement, ainsi que les résultats attendus du contrat avant de conclure une entente avec un tiers.
Faire un suivi adéquat
Après avoir déterminé les attentes pour le tiers, votre organisation doit vérifier qu’elle a les bonnes structures en place pour superviser la prestation des services impartis.
Surveillez les résultats et produisez des rapports régulièrement pour assurer le suivi du rendement et veiller à ce que le tiers atteigne ses objectifs. Les capacités de ce dernier à produire les résultats souhaités pourraient vous convaincre par la suite de renouveler ou de mettre à jour le contrat après échéance, ou de simplement mettre fin à la relation.
Avoir une solution de rechange
Pensez à embaucher plusieurs fournisseurs pour offrir le même service. Ces solutions de rechange sont essentielles pour prévenir les retards dans les services et réduire l’atteinte à la réputation dans l’éventualité où un fournisseur ne répondrait pas aux attentes et devrait être dégagé de son contrat.
Suivre le cycle de la gestion des risques liés aux tiers
Gardez en tête le cycle de la gestion des risques liés aux tiers lorsque vous sous-traitez des services. Il peut être adapté pour traiter des risques particuliers auxquels font face les organisations gouvernementales et comprend les étapes suivantes :
- Identification et vérification diligente– Identifier et évaluer le tiers pour déterminer l’importance du risque posé par cette relation potentielle.
- Sous-traitance et intégration– Établir les paramètres nécessaires à la réussite de la relation. Les deux parties doivent s’entendre, entre autres, sur les risques à gérer et leur répartition, les modalités entourant la propriété et le transfert des données, s’il y a lieu, la portée des services à fournir et les méthodes de prestation, les contrats de niveau de service, les pénalités de non-rendement et les règles de sous-traitance.
- Suivi du rendement– Garder l’œil sur le travail des tiers pour assurer le suivi des niveaux de service établis et des ICR pertinents en vue d’offrir une prestation des services qui répond ou dépasse les attentes.
- Évaluation et fin ou renouvellement du contrat– Prenez en considération les coûts, les modifications réglementaires, la qualité des services et la relation globale avec le tiers pour déterminer si le contrat doit être renouvelé ou mis à jour, ou s’il faut mettre fin à la relation.
Lisez l’article Understanding third-party risk management (en anglais seulement) pour obtenir des précisions sur le cycle de la gestion des risques provenant de tiers.
Étapes suivantes
Avec l’évolution constante du paysage postpandémie, les organisations des secteurs privé et public dépendent de plus en plus de tiers. Bien que ceux-ci puissent soutenir les efforts de modernisation et l’implantation de nouveaux systèmes, ils posent également des risques particuliers.
Les leaders du secteur public doivent garder à l’esprit les risques qui découlent du recours aux tiers et les conséquences d’une mauvaise gestion. Un conseiller peut vous épauler dans la mise en place d’un cadre de gestion des risques provenant de tiers afin de protéger votre organisation et de bien contrôler son exposition au risque lié aux tiers.
Communiquez avec l’un de nos conseillers en gestion des risques d’entreprise de MNP pour obtenir des précisions sur la configuration d’un cadre de gestion des risques liés aux tiers. Ils collaboreront avec vous pour déterminer et traiter les menaces dans tous les secteurs de votre organisation.
Contactez nous
Héloïse Bédard MSc, CIA, CRMA, CGAP, PMP
Associée