Update : chaînes d’approvisionnement

La transparence de la chaîne d’approvisionnement est source de confiance sur le long terme

Ralf Hofstetter
Directeur, Trust & Transparency Solutions, Centre de compétences pour les certifications, PwC Suisse

La complexité croissante et l’interconnexion numérique augmentent les risques pour les chaînes d’approvisionnement mondiales. Aussi, l’American Institute of Certified Public Accountants (AICPA) a présenté une norme de rapports pour la gestion des risques des chaînes d’approvisionnement. Mais l’industrie manufacturière, le commerce et la clientèle visent une expérience plus sereine. Bientôt, même les entreprises aux structures de production et de distribution internationales devront renforcer la transparence des chaînes d’approvisionnement.

Des risques planétaires

Les produits et services couvrent presque toute la planète. L’Internet des objets, la numérisation et l’automatisation des processus interconnectent toujours plus la fabrication et la distribution des produits. C’est devenu le point de mire des fabricants, des sous-traitants et des entreprises commerciales, en interne comme vis-à-vis de la clientèle. C’est pourquoi les chaînes d’approvisionnement sont devenues plus fragiles.

Cette fragilité se manifeste quand la chaîne d’approvisionnement se heurte à des turbulences. On pense aux confinements internationaux induits par la pandémie, au printemps 2020, ou au blocage du canal de Suez par le porte-conteneurs « Ever Given » au printemps 2021. Le 17 mars 2000, la foudre avait perturbé une ligne de production de plaquettes de silicium de Royal Philips Electronics au Nouveau-Mexique, causant un arrêt de la production de puces pour des milliers de smartphones et excluant du marché un leader de l’époque.

De tels événements mettent en lumière les risques liés aux chaînes d’approvisionnement, dont la pertinence était jusqu’à présent jugée négligeable. D’une part, ils allongent les délais de livraison, de l’autre, ils impliquent une phase de reprise de six à douze mois pour calmer le système. Presque du jour au lendemain, les matières premières, les produits semi-finis, les composants et les pièces de rechange viennent à manquer ou il n’existe plus aucune alternative par rapport à une entreprise en situation de monopole. Les difficultés d’approvisionnement sont encore d’actualité et mettront à l’épreuve même les entreprises dotées d’une chaîne d’approvisionnement internationale, du moins au cours des prochains mois.

Autres dangers liés aux cyberattaques

L’essor de la numérisation déclenché par la pandémie a par ailleurs fait entrer en jeu des risques virtuels, comme les cyberattaques, les vols de données essentielles pour l’entreprise quant aux cycles de production, sites, transactions ou données commerciales, et, plus grave encore, le détournement de données clients sensibles. La fabrication d’un produit est de plus en plus fractionnée. Depuis le déclenchement de la pandémie, les acteurs de l’économie ont véritablement pris conscience des risques liés aux chaînes d’approvisionnement, et donc du besoin accru de transparence de la chaîne d’approvisionnement.

La normalisation donne le rythme

L’AICPA a réagi à ces difficultés en publiant un cadre de référence pour les rapports relatifs à la gestion des risques des chaînes d’approvisionnement, le « System and Organization Controls (SOC) for Supply Chain » (contrôles du système et de l’organisation au sein des chaînes d’approvisionnement, en français). Cette norme offre, tant aux fabricants et distributeurs qu’à leurs clients, un outil pratique pour communiquer de manière plus compréhensible et transparente sur les processus et les structures, ainsi que sur les risques et les contrôles connexes liés aux chaînes d’approvisionnement.

Nouveau rapport avec des critères éprouvés

Le rapport SOC pour les chaînes d’approvisionnement fonctionne comme les rapports SOC 1, SOC 2 et SOC 3 déjà existants1. Ce sont les déclarants qui rendent compte des processus et structures de contrôle de leur chaîne d’approvisionnement. Ils peuvent s’appuyer sur le très complet catalogue de critères DC300. Les entreprises doivent en outre établir l’efficacité des contrôles internes d’après les « Trust Services Criteria » (TSC). Ces critères déterminent de quelle manière les risques pour la sécurité, la disponibilité, l’intégrité, la confidentialité et/ou la protection des données peuvent être réduits. Les critères TSC sont également appliqués par les auditeurs lors d’un examen SOC 2.

Des avantages qui résistent à la pratique

Le rapport SOC pour les chaînes d’approvisionnement est, à bien des égards, un instrument efficace pour les établissements de production, les organisations commerciales, les transporteurs et leurs clients :

  • Il établit la mise en œuvre de processus et mécanismes de contrôle internes qui rendent compte, évaluent, atténuent et remédient aux risques inhérents.
  • Cette évaluation unique sert à l’établissement de plusieurs rapports. Une entreprise peut donc rapidement répondre à de nombreuses demandes distinctes de clients existants ou futurs, en évitant de multiplier les vérifications, qu’elles soient effectuées par elle ou par un partenaire de chaîne d’approvisionnement.
  • Ce rapport donne l’assurance que les produits et informations de la chaîne d’approvisionnement sont sûrs et disponibles. Outil de communication central, il renforce la confiance des partenaires de chaîne d’approvisionnement et des groupes de dialogue – et influe positivement sur la renommée, en inspirant confiance.

Mais il y a un mais...

Aujourd’hui, le rapport SOC pour les chaînes d’approvisionnement est encore rarement demandé donc les missions d’assurance correspondantes sont effectuées. Cette frilosité étonne, puisque aussi bien le marché que les organismes de normalisation soulignent le caractère de plus en plus urgent des risques pour les chaînes d’approvisionnement, que les entreprises ne peuvent plus ignorer, au vu des exemples cités.


1Le rapport SOC 1 indique les contrôles pertinents mis en place chez le prestataire mandaté eu égard aux contrôles internes en matière d’information financière (ICFR). L’examen de type I est une évaluation ponctuelle. Un examen de type II vérifie en plus l’efficacité des contrôles mis en œuvre sur une période déterminée. Le rapport SOC 2 couvre les contrôles internes de la sécurité, de la disponibilité, de l’intégrité, de la confidentialité et/ou de la protection des données – un rapport de type I et de type II étant également possible à cet égard. Comme le rapport SOC 2, le rapport SOC 3 couvre les contrôles internes de la sécurité, de la disponibilité, de l’intégrité et de la confidentialité et/ou de la protection des données, mais il ne contient aucune information sur les contrôles examinés dans le détail, ni sur les résultats. Ce type de rapport est généralement communiqué à différents destinataires.

Conclusion

Plus une chaîne d’approvisionnement est complexe, plus les risques sont importants. Les événements exceptionnels comme la pandémie et les confinements répétés ont accentué la sensibilité aux risques liés aux chaînes d’approvisionnement. L’AICPA en tient compte avec le rapport SOC pour les chaînes d’approvisionnement. Les avantages et connaissances que tous les participants tirent d’un tel rapport ne se reflètent toutefois pas encore dans la pratique. En Suisse, rares sont les clients qui demandent un rapport SOC de ce type à leurs fournisseurs ou un contrôle indépendant de ce rapport à leur auditeur en charge. Toutefois, la nécessité de savoir que les chaînes d’approvisionnement sont durablement protégées grandit. Le nouveau rapport SOC donne l’occasion aux entreprises d’adapter intelligemment leur gestion des risques et de la qualité, d’étayer plus largement la fiabilité de leur création de valeur et de renforcer la confiance par la transparence.

Nous contacter

Ralf Hofstetter

Ralf Hofstetter

Partner, Sustainability Assurance, PwC Switzerland

Tel : +41 58 792 5625