Partagez cet article avec votre réseau
Aidez votre réseau à découvrir de nouvelles connaissances
Evaluation des risques: de quelles données avez-vous vraiment besoin pour votre due diligence?
Il était déjà question de la cinquième directive sur le blanchiment d’argent avant même l’entrée en vigueur de la quatrième. Vous devez respecter les directives européennes, les listes de sanctions et bien d’autres règles du jeu. Alors que certaines dispositions s’étoffent, d’autres sont abandonnées ou font leur apparition. Entre le nombre incalculable de réglementations et les circonvolutions du marché, assurer la compliance de son entreprise s’apparente à un champ de mines. Sans parler de la due diligence! Découvrez dans cet article la première étape à respecter pour ne faire courir aucun risque à votre entreprise.
Directives, sanctions et embargos paraissent tous les mois, si ce n’est chaque semaine. Et tandis que les responsables de la compliance essaient de réduire les risques sans freiner la croissance, que se passe-t-il? C’est un véritable tsunami de données qui menace de submerger des processus laborieusement construits. Partenaires commerciaux, fournisseurs, clients et de nombreuses tierces parties peuvent exposer votre entreprise à des risques plus ou moins importants. A titre d’exemple, 90% des cas de corruption relevant du FCPA ces 40 dernières années étaient liés à de tierces parties.
Pourtant, 83% des entreprises n’exécutent aucune due diligence pour l’ensemble de leurs tierces parties. Et c’est alors qu’il faut prendre des mesures d’urgence (et le mot est bien choisi): reprenez les choses en main et faites marche arrière. Au début de chaque situation de crise, la première chose à faire est de dresser un état des lieux. Il est temps de vous atteler à une évaluation des risques.
Jetez un regard en interne et en externe
Il existe suffisamment de données sur vos partenaires commerciaux. Sachez-en gré à votre fournisseur de données! Toute la question est de savoir de quoi vous avez réellement besoin: adresse, hiérarchie, rapports de propriété, ayants droit économiques, données financières et données de paiement, avertissements. Une évaluation des risques peut être utile à ce stade. Cette étape est axée sur l’environnement intérieur et extérieur de l’entreprise et s’appuie sur votre approche basée sur les risques. Selon le niveau auquel vous évaluez le risque pour votre entreprise, vous devrez mener un contrôle plus ou moins poussé.
Gestion des risques interne à l’entreprise
Un premier regard en interne en vaut la peine. Quelques questions sur la situation donnent des indications sur le niveau réel du risque potentiel vu de l’extérieur. Procédez à une classification des risques de votre entreprise. Cela vous permet d’évaluer beaucoup mieux le niveau de risque des tierces parties (à quel point ce «tiers» peut représenter un «danger» pour vous). Par exemple: si vous travaillez dans le secteur des métaux précieux, vous êtes exposé à un risque élevé de blanchiment d’argent, car les métaux précieux représentent un outil de blanchiment simple. Dans le secteur du bâtiment, les retards de paiement représentent un risque extérieur classique.
Voici quelques exemples de questions que vous pouvez vous poser sur votre situation:
- Quel est le secteur d’activité de mon entreprise?
- Quels sont les risques ordinaires dans mon secteur?
- Mes activités sont-elles internationales ou locales?
- Si mes activités sont uniquement locales, à quel risque de réputation pourrais-je être exposé?
Il peut valoir la peine de jeter un œil à l’organisation de votre entreprise. Par exemple, disposez-vous principalement d’une distribution externe qui se déplacement essentiellement chez la clientèle? Dans ce cas, vous êtes exposé à un risque plus élevé de corruption que si vous misiez sur la télévente.
Gestion des risques externe à l’entreprise
L’étape suivante consiste à gérer les tierces parties. Passez au crible l’environnement dans lequel évolue votre entreprise. Identifiez vos fournisseurs, vos prestataires, vos clients, vos agents, vos filiales et autres partenaires.
Identifier les domaines à risque concrets
Vous savez dans quel domaine vous opérez et vous avez aussi identifié votre environnement – excellent! Vous avez le sentiment que vous êtes sur le point d’affronter un tsunami de données? Procédez de façon organisée et basez-vous sur ces champs de risques concrets:
Dispositions légales
Procurez-vous d’abord une vue d’ensemble des règles qui concernent votre entreprise: Suis-je soumis aux réglementations locales ou internationales?
Ensuite, examinez votre tierce partie: des violations de la loi comme du blanchiment d’argent, du financement du terrorisme, de la corruption apparaissent-elles dans son historique?
Dans ce champ de risque, vous avez besoin de données d’identification de votre tierce partie, de données de paiement et de données historiques de votre tierce partie en accédant par exemple à la liste des sanctions.
Risques spécifiques aux pays
Dans quel pays mes activités sont-elles situées? Et celles de ma tierce partie? S’agit-il d’un pays à haut risque?
Des données permettant d’identifier clairement la tierce partie permettent également d’identifier les risques spécifiques aux pays. Une World Heat Map ou des renseignements spécifiques aux pays vous donneront un bref aperçu.
Risques sectoriels
Vous ou votre tierce partie êtes-vous dans un secteur exposé aux retards de paiement, à la corruption ou aux atteintes à la réputation? Quels sont les liens entre le secteur concerné et le monde politique?
Comme vous le constatez, une identification claire revêt là aussi une grande importance. Tenez-vous informé de ce qui concerne votre secteur et le secteur de vos tierces parties les plus importantes: activez des alertes sur les services d’actualités courants afin de vous tenir informé au jour le jour. Vous êtes dans un secteur hautement vulnérable? Utilisez un outil qui vous permet d’identifier clairement votre tierce partie, avec code CIC et objet de l’entreprise.
Risques de réputation
Des atteintes à la réputation causées par un tiers peuvent-elles entraîner la perte de parties prenantes ou de clients (ou de leur confiance)?
Si une réputation entachée représente un risque significatif pour votre entreprise, les articles de journaux négatifs représenteront une bonne source de vérification de vos tierces parties. L’organisation de l’entreprise et les participations ainsi que les ayants droit économiques (également «Ultimate Beneficial Owner» ou «UBO») peuvent constituer des indicateurs importants.
Risques financiers
Quelle est la situation de vos tierces parties en ce qui concerne leurs liquidités? Et leur rentabilité?
Séparez l’ivraie du bon grain et endiguez le risque pour votre entreprise. S’agissant des paiements, des investissements ou des partenariats à long terme, les données de paiement de vos tierces parties revêtent une importance centrale.
Evaluez à présent l’environnement de risque de votre partenaire commercial. Nous vous recommandons d’opérer une distinction entre risque élevé, risque modéré, risque faible et risque très faible.
De l’identification à l’intégrité, adaptez votre travail au risque
Classez vos partenaires commerciaux en fonction des risques de leur environnement. Identifiez le niveau de risques de cet environnement! Ce qui s’apparente à une étape intermédiaire s’avère de facto incontournable pour la due diligence de votre tierce partie. Selon la classification du risque, vous pourrez adapter le temps passé aux vérifications et au monitoring (après tout, le temps c’est de l’argent!).
Risque très faible: Ces prestataires tiers
… livrent des prestations, des produits ou des biens à faible risque;
… affichent un nombre minime de dysfonctionnements ou d’événements négatifs dans l’historique de l’entreprise;
… n’ont pas accès à des données généralement sensibles ou spécifiquement sensibles de mon entreprise;
… et ne sont pas en relation avec les clients finaux.
Risque faible: Ces prestataires tiers
… livrent des prestations, des produits ou des biens présentant un risque modéré;
… affichent un nombre modéré de dysfonctionnements ou d’événements négatifs dans l’historique de l’entreprise;
… ont accès à des données généralement sensibles ou spécifiquement sensibles de mon entreprise;
… et ne sont pas en relation avec les clients finaux.
Risque modéré: Ces prestataires tiers
… livrent des prestations, des produits ou des biens présentant un risque modéré à élevé
… affichent un nombre élevé de dysfonctionnements ou d’événements négatifs dans l’historique de l’entreprise;
… ont accès à des données généralement sensibles ou spécifiquement sensibles de mon entreprise;
… et sont en relation avec les clients finaux.
Risque élevé: Ces prestataires tiers
… livrent des prestations, des produits ou des biens présentant un risque élevé
… affichent un nombre critique de dysfonctionnements ou d’événements négatifs dans l’historique de l’entreprise;
… ont accès à des données généralement très sensibles ou spécifiquement très sensibles de mon entreprise
… et sont en relation avec les clients finaux.
Important: même si vous estimez que de tierces parties représentent un risque faible, surveillez ces entités et documentez vos analyses. Vous économiserez du temps et de l’argent en menant des vérifications approfondies.
Vous y êtes presque – au tour de vos check-lists
Félicitez-vous: vous avez fait le tour des interrogations suscitées par le tsunami de données. Bien joué! A présent, vous pouvez répartir la due diligence vos tierces parties en trois check-lists. Vous réduisez non seulement les risques pour votre entreprise, mais ce faisant, vous contribuez même à un accroissement de sa valeur. La due diligence de vos tierces parties peut se résumer à trois questions élémentaires:
Qui êtes-vous?
Contrôle de l’identité au moyen de vos données de base et des données sur les ayants droit économiques et les rapports de propriété.
Quel est votre degré d’intégrité?
Contrôle de l’intégrité en passant au crible les listes de sanction, de surveillance et les listes noires ainsi que les articles défavorables dans les médias.
Quel est le risque d’une relation avec vous?
Contrôle du risque en fonction de l’approche basée sur les risques que vous avez définie. Evaluez le risque et définissez votre arbre décisionnel.