La transparence de la chaîne d’approvisionnement est source de confiance sur le long terme

Des risques planétaires

Les produits et services couvrent presque toute la planète. L’Internet des objets, la numérisation et l’automatisation des processus interconnectent toujours plus la fabrication et la distribution des produits. C’est devenu le point de mire des fabricants, des sous-traitants et des entreprises commerciales, en interne comme vis-à-vis de la clientèle. C’est pourquoi les chaînes d’approvisionnement sont devenues plus fragiles.

Cette fragilité se manifeste quand la chaîne d’approvisionnement se heurte à des turbulences. On pense aux confinements internationaux induits par la pandémie, au printemps 2020, ou au blocage du canal de Suez par le porte-conteneurs « Ever Given » au printemps 2021. Le 17 mars 2000, la foudre avait perturbé une ligne de production de plaquettes de silicium de Royal Philips Electronics au Nouveau-Mexique, causant un arrêt de la production de puces pour des milliers de smartphones et excluant du marché un leader de l’époque.

De tels événements mettent en lumière les risques liés aux chaînes d’approvisionnement, dont la pertinence était jusqu’à présent jugée négligeable. D’une part, ils allongent les délais de livraison, de l’autre, ils impliquent une phase de reprise de six à douze mois pour calmer le système. Presque du jour au lendemain, les matières premières, les produits semi-finis, les composants et les pièces de rechange viennent à manquer ou il n’existe plus aucune alternative par rapport à une entreprise en situation de monopole. Les difficultés d’approvisionnement sont encore d’actualité et mettront à l’épreuve même les entreprises dotées d’une chaîne d’approvisionnement internationale, du moins au cours des prochains mois.

Autres dangers liés aux cyberattaques

L’essor de la numérisation déclenché par la pandémie a par ailleurs fait entrer en jeu des risques virtuels, comme les cyberattaques, les vols de données essentielles pour l’entreprise quant aux cycles de production, sites, transactions ou données commerciales, et, plus grave encore, le détournement de données clients sensibles. La fabrication d’un produit est de plus en plus fractionnée. Depuis le déclenchement de la pandémie, les acteurs de l’économie ont véritablement pris conscience des risques liés aux chaînes d’approvisionnement, et donc du besoin accru de transparence de la chaîne d’approvisionnement.

La normalisation donne le rythme

L’AICPA a réagi à ces difficultés en publiant un cadre de référence pour les rapports relatifs à la gestion des risques des chaînes d’approvisionnement, le « System and Organization Controls (SOC) for Supply Chain » (contrôles du système et de l’organisation au sein des chaînes d’approvisionnement, en français). Cette norme offre, tant aux fabricants et distributeurs qu’à leurs clients, un outil pratique pour communiquer de manière plus compréhensible et transparente sur les processus et les structures, ainsi que sur les risques et les contrôles connexes liés aux chaînes d’approvisionnement.

Nouveau rapport avec des critères éprouvés

Le rapport SOC pour les chaînes d’approvisionnement fonctionne comme les rapports SOC 1, SOC 2 et SOC 3 déjà existants¹. Ce sont les déclarants qui rendent compte des processus et structures de contrôle de leur chaîne d’approvisionnement. Ils peuvent s’appuyer sur le très complet catalogue de critères DC300. Les entreprises doivent en outre établir l’efficacité des contrôles internes d’après les « Trust Services Criteria » (TSC). Ces critères déterminent de quelle manière les risques pour la sécurité, la disponibilité, l’intégrité, la confidentialité et/ou la protection des données peuvent être réduits. Les critères TSC sont également appliqués par les auditeurs lors d’un examen SOC 2.

Des avantages qui résistent à la pratique

Le rapport SOC pour les chaînes d’approvisionnement est, à bien des égards, un instrument efficace pour les établissements de production, les organisations commerciales, les transporteurs et leurs clients :

• Il établit la mise en œuvre de processus et mécanismes de contrôle internes qui rendent compte, évaluent, atténuent et remédient aux risques inhérents.
• Cette évaluation unique sert à l’établissement de plusieurs rapports. Une entreprise peut donc rapidement répondre à de nombreuses demandes distinctes de clients existants ou futurs, en évitant de multiplier les vérifications, qu’elles soient effectuées par elle ou par un partenaire de chaîne d’approvisionnement.
• Ce rapport donne l’assurance que les produits et informations de la chaîne d’approvisionnement sont sûrs et disponibles. Outil de communication central, il renforce la confiance des partenaires de chaîne d’approvisionnement et des groupes de dialogue – et influe positivement sur la renommée, en inspirant confiance.

Mais il y a un mais...

Aujourd’hui, le rapport SOC pour les chaînes d’approvisionnement est encore rarement demandé donc les missions d’assurance correspondantes sont effectuées. Cette frilosité étonne, puisque aussi bien le marché que les organismes de normalisation soulignent le caractère de plus en plus urgent des risques pour les chaînes d’approvisionnement, que les entreprises ne peuvent plus ignorer, au vu des exemples cités.

¹Le rapport SOC 1 indique les contrôles pertinents mis en place chez le prestataire mandaté eu égard aux contrôles internes en matière d’information financière (ICFR). L’examen de type I est une évaluation ponctuelle. Un examen de type II vérifie en plus l’efficacité des contrôles mis en œuvre sur une période déterminée. Le rapport SOC 2 couvre les contrôles internes de la sécurité, de la disponibilité, de l’intégrité, de la confidentialité et/ou de la protection des données – un rapport de type I et de type II étant également possible à cet égard. Comme le rapport SOC 2, le rapport SOC 3 couvre les contrôles internes de la sécurité, de la disponibilité, de l’intégrité et de la confidentialité et/ou de la protection des données, mais il ne contient aucune information sur les contrôles examinés dans le détail, ni sur les résultats. Ce type de rapport est généralement communiqué à différents destinataires.