Les fans de l'histoire Alice au pays des merveilles se souviendront de la réponse du chat du Cheshire à Alice lorsqu'elle lui a demandé quel chemin prendre. Il lui a répondu : "Si tu ne sais pas où tu vas, n'importe quel chemin t'y mènera". Ce que le chat du Cheshire voulait dire, c'est que si vous n'avez pas d'objectif, vous n'avez pas de destination à l'esprit ; s'il n'y a pas de but, il n'y a pas d'objectif.
Il en va de même pour la gestion des risques liés aux tiers (TPRM). Lorsque vous travaillez avec des fournisseurs, des prestataires et d'autres tiers, il est essentiel de définir et de convenir dès le départ des objectifs de chaque relation et de l'objectif global (c'est-à-dire la « destination »). Le respect des meilleures pratiques en matière de TPRM pendant les phases de diligence raisonnable et d'intégration peut vous aider à déterminer si un nouveau tiers est capable d'atteindre ses objectifs et, espérons-le, à éviter des maux de tête importants par la suite.
Lorsque l'on entame un voyage, il est important de vérifier régulièrement ses repères pour s'assurer que l'on est sur la bonne voie. Malheureusement, de nombreuses relations avec des tiers n'atteignent pas leurs objectifs après la signature du contrat initial. Pour rester sur la bonne voie, il est essentiel de surveiller les performances de chaque fournisseur par rapport aux objectifs et aux accords de niveau de service (SLA) tout au long de la relation.
5 étapes pour gérer en continu les performances et les accords de niveau de service des fournisseurs
Voici quelques mesures pratiques pour gérer les performances des fournisseurs et les accords de niveau de service afin de garantir des relations productives, sûres et durables avec les tiers :
1. Définir les objectifs de haut niveau et la finalité de chaque relation
C'est la base. Chaque relation avec un tiers doit avoir des objectifs et des buts clairement définis et documentés dès le départ.
2. Documenter les niveaux d'objectifs et les accords de niveau de service de la relation
Certaines relations sont plates, avec un objectif simple et unique, tandis que d'autres sont complexes, avec plusieurs niveaux de contrats et d'accords de niveau de service. Par exemple, une entreprise que j'ai conseillée comptait 5 000 fournisseurs répartis sur un total de 20 000 sites, chaque fournisseur ayant entre 1 et 50 sites. Dans ce cas, les performances et les risques étaient mesurés à la fois au niveau du fournisseur et de l'établissement. D'autre part, une banque mondiale avec laquelle j'ai travaillé avait une relation d'externalisation avec un seul fournisseur de services, mais cette relation était associée à plus de 100 contrats et accords de niveau de service différents.
3. Établir des indicateurs clés de performance pour chaque contrat et accord de niveau de service
L'étape suivante consiste à disséquer clairement les contrats et les accords de niveau de service afin d'établir et de définir des indicateurs clés de performance (ICP) permettant de mesurer les résultats positifs et négatifs par rapport aux contrats et aux accords de niveau de service.
4. Établir des indicateurs de risque clés qui permettent de surveiller et de mesurer le risque et l'incertitude.
Le risque, tel qu'il est défini dans la norme ISO 31000, est l'effet de l'incertitude sur les objectifs. Une fois les indicateurs de performance clés mis en place, établissez des indicateurs de risque clés (KRI) pour surveiller les défaillances de contrôle, les événements indésirables et les risques de sécurité susceptibles de perturber la capacité du tiers à atteindre ses objectifs et/ou à respecter les niveaux de service convenus.
5. Rapports et tableaux de bord
Pour être utile, le contrôle des performances des fournisseurs doit produire des informations et des mesures en temps réel. Veillez à ce que vos processus de suivi des performances soient étayés par des rapports et des tableaux de bord qui offrent une visibilité sur les indicateurs clés de performance et les indicateurs clés de risque dans le contexte de contrats spécifiques et d'accords de niveau de service. Cela vous permettra de prendre des décisions plus éclairées et de collaborer avec les fournisseurs afin de procéder aux ajustements nécessaires pour atteindre vos objectifs.
En suivant ces étapes, votre organisation gagnera en souplesse et en résilience. L'agilité vous permet d'évoluer et d'augmenter la valeur des relations performantes, tandis que la résilience vous permet de minimiser les pertes ou les dommages dans une relation peu performante.
Intégrer la performance des fournisseurs dans la gestion des risques liés aux tiers
Je recommande d'intégrer la gestion des performances des fournisseurs et des accords de niveau de service aux évaluations des risques et de la conformité des tiers. Après tout, un fournisseur qui respecte les contrats et les accords de niveau de service peut toujours exposer votre organisation à des violations de données ou enfreindre les politiques relatives à l'ABAC, à l'ESG, à l'esclavage moderne ou à d'autres risques commerciaux.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
