Risques liés aux tierces parties…

Selon la publication « Pulse of the Internal Audit 2020 »[1], moins de la moitié des personnes interrogées déclarent que leurs fonctions d’audit interne consacrent une partie de leur plan d’audit aux risques liés aux tierces parties. Paradoxalement, l’enquête indique également que les chefs d’audit interne se préoccupent de plus en plus de ce type de risque…

De nos jours, les organisations font de plus en plus affaire avec de multiples tierces parties, ce qui nous amène à nous poser la question : pourquoi est-ce que de tels risques sont absents de nombreux plans d’audit et n’y figurent pas de façon systématique et récurrente ? Est-ce parce que l’audit interne n’a pas de connaissances suffisantes des relations existantes avec les tierces parties ? Se pourrait-il que l’audit interne n’ait pas évalué correctement les risques liés aux tierces parties, qu’un programme d’audit spécifique n’ait pas encore été élaboré ou que le département n’ait pas la capacité d’entreprendre ces audits spécialisés ? Peut-être…

Voici des questions importantes que les fonctions d’audit interne devraient examiner afin de déterminer si le risque lié aux tierces parties représente un risque important pour leur organisation :

  • Un inventaire de toutes les tierces parties utilisées par l’organisation a-t-il été effectué ?
  • Chaque relation avec une tierce partie a-t-elle été évaluée afin d’identifier celles qui sont essentielles pour l’organisation et qui pourraient présenter les risques les plus élevés ?
  • Y a-t-il eu dans le passé un incident provenant d’une relation avec un tiers ?

Il est évident que les tierces parties considérées les plus risquées ou les plus critiques doivent être ajoutées au plan d’audit. Un programme d’audit spécifique doit être élaboré en tenant compte des services fournis par le tiers. Il faut également garder à l’esprit que ces tierces parties peuvent s’engager elles-mêmes avec des tiers, qui sont donc considérés en tant que « quatrièmes parties » pour votre organisation !

Deux personnes qui valident une liste

Les tierces parties sont souvent présentes dans le domaine des services financiers et plus particulièrement dans le secteur de l’assurance. Les grands assureurs délèguent souvent une partie de leurs fonctions essentielles, telles que l’administration des régimes d’assurance et le règlement des réclamations, à des tierces parties administrateurs (TPA) ou à des tierces parties payeurs (TPP).

Dans ce cas, les régimes de la compagnie d’assurance sont vendus et administrés par un tiers, tandis que l’assureur en conserve le risque. En raison du niveau de risque inhérent, ces relations nécessitent donc une surveillance étroite grâce à des audits périodiques afin de garantir que des mesures de mitigation sont en place au niveau des TPA/TPP. Les principaux facteurs de risque sont les suivants :

  • Des plans de couverture incorrectement saisis dans les systèmes du TPA, ce qui entraîne à la fois des encaissements incorrects de primes et/ou des paiements de réclamations erronés ;
  • Stratagèmes de fraude interne ou externe (par exemple : surconsommation de médicaments) ;
  • Erreurs dans le traitement des demandes de remboursement en fonction des conditions du régime ;
  • Mauvaise qualité et/ou sécurité des données, y compris les données hébergées par des « quatrièmes parties » ;
  • Enjeux réputationnels et légaux.

Les relations avec les tierces parties représentent un risque élevé pour la plupart des organisations, ce qui est souvent négligé par les équipes de deuxième ligne de défense ainsi que les fonctions d’audit interne. Il est malheureusement souvent trop tard lorsque des actions sont entreprises. L’ajout de ce thème à l’univers d’audit ainsi qu’au plan d’audit interne apportera très certainement une grande valeur ajoutée à votre organisation sur le long terme et contribuera à l’amélioration de la reconnaissance de l’audit interne comme conseiller de confiance au sein de l’organisation.

 

Comment Richter peut-il vous aider ?

  • Évaluation des risques de vos tierces parties ;
  • Développement de programmes d’audit et de matrices de risques et de contrôles ;
  • Évaluation de l’adéquation des contrôles en place chez vos TPA/TPP et comparaison avec les meilleures pratiques ;
  • Élaboration de plans d’action ;
  • Évaluation de l’adéquation de la tierce partie utilisée et recommandations de fournisseurs potentiellement mieux adaptés aux besoins de votre organisation ;
  • Formations/ateliers de travail avec votre département pour apprendre les techniques d’atténuation des risques liés aux tiers.

[1] Source: https://dl.theiia.org/AECPublic/2020-0118-CAE-2020-Pulse-Report-FNLonline.pdf