Le contrôle, c'est bien – la transparence, c'est mieux

L’American Institute of Certified Public Accountants (AICPA) a présenté un cadre de référence pour le reporting et la gestion des risques inhérents aux chaînes d’approvisionnement. Les contrôles systémiques et organisationnels des chaînes d’approvisionnement (SOC for Supply Chain) représentent un instrument générateur de confiance pour les entreprises.

Une complexité accrue

La production et la distribution de biens et de services n’ont jamais été aussi complexes et interconnectées, notamment en raison de l’Internet des objets (IdO) et de la digitalisation. Les technologies et formes d’organisation nouvelles relient plus étroitement à leurs partenaires commerciaux et à leurs clients les différentes entreprises qui assurent la production, la livraison et la vente.

La pandémie a montré que la vulnérabilité des chaînes d’approvisionnement interconnectées et mondialisées augmente depuis des années, phénomène passé presque inaperçu auprès du public. Cette tendance s’accroît avec la digitalisation. Parmi les risques-clés, on compte la disponibilité des matières premières, des produits semi-finis et des produits et la dépendance des prestataires détenteurs d’un monopole, mais aussi de plus en plus la violation de la protection des données et les cyberattaques. D’une part, les produits disposant d’une connectivité IdO courent un risque élevé. D’autre part, la pandémie a accéléré la digitalisation et offre aux cybercriminels un nouvel angle d’attaque. Les appels à une plus grande transparence de la chaîne d’approvisionnement se multiplient en conséquence.

Une norme intersectorielle

En réponse à ce besoin, l’AICPA a présenté, en mars 2020, un cadre de référence qui inclut des critères pour le rapport SOC volontaire sur les contrôles systémiques et organisationnels de la chaîne d’approvisionnement. Ces critères s’appliquent indépendamment de la branche et offrent un cadre institutionnalisé vérifiable à la publication en matière de gestion des risques liés à la chaîne d’approvisionnement. Comme pour les autres rapports SOC, les entreprises doivent décrire la chaîne d’approvisionnement, ainsi que ses systèmes et processus d’exploitation. Cette description se base sur un catalogue de critères (DC 300). Ce rapport contient en outre une preuve exhaustive de la mise en place et de l’efficacité des contrôles internes selon les AICPA Trust Services Criteria (TSP), afin de limiter les risques liés à la sécurité, à la disponibilité, à l’intégrité, à la fiabilité et à la protection des données. Les critères TSP correspondent à ceux d’un audit SOC 2.

Avantages

Grâce au rapport SOC sur la chaîne d’approvisionnement, les entreprises, leurs clients et les auditeurs peuvent prouver que des instruments et des contrôles internes sont en place et qu’ils permettent d’identifier, d’évaluer, de traiter et de réduire les risques centraux liés à cette même chaîne. Le modèle de «l’évaluation unique de rapports multiples» permet de réduire le nombre des demandes des clients existants et potentiels, et d’éviter que les utilisateurs effectuent des contrôles multiples du même fournisseur. L’audit d’un rapport SOC sur la chaîne d’approvisionnement compte parmi les plus complexes et les plus fastidieux. Ce rapport constitue néanmoins un outil de communication important pour apporter la certitude que les produits et les informations concernant la chaîne d’approvisionnement sont sûrs et disponibles. Les entreprises créent ainsi un maximum de transparence quant à l’ensemble de leur création de valeur et renforcent la confiance que leurs clients et leurs partenaires commerciaux portent envers elles et leur marque.

Perspectives

Depuis la pandémie, il existe une meilleure prise de conscience des risques que présente la chaîne d’approvisionnement. En Suisse, peu de clients exigent un rapport SOC sur la chaîne d’approvisionnement de la part de leurs fournisseurs, ainsi qu’un contrôle indépendant dudit rapport de la part de leur auditeur. Ce rapport permet aux entreprises d’élaborer une feuille de route basée sur le risque, afin de développer une gestion des risques et de la qualité ainsi que des processus de compliance, et d’aborder les principaux risques liés à la création de valeur de manière plus ciblée.

Première publication dans EXPERT FOCUS 12/21