Atelier A6 DECROISSANCE DES FOURNISSEURS, COMMENT SE PREMUNIR, SE PROTEGER DE LEURS DEFAILLANCES 1
2 INTERVENANTS Cédric LENOIRE Manager Business Risk Consulting Frédéric DUROT Directeur Technique Dommages Olivier VELIN Expert en gestion de crise MODÉRATEUR Eric LEGRAND Responsable de la Gestion des Risques
3 THEME DE L ATELIER "DÉCROISSANCE DES FOURNISSEURS, COMMENT SE PRÉMUNIR, SE PROTÉGER DE LEURS DÉFAILLANCES?» «Les entreprises dépendent de leurs clients mais aussi de leurs fournisseurs Comment gérer les risques de ses fournisseurs? Comment les identifier, les hiérarchiser? Pouvons-nous agir? Nous prémunir? Comment le Risk Manager et l Assureur peuvent apporter des solutions en la matière?"
4 SOMMAIRE LES SITUATIONS DE CRISES RÉCENTES FONT-ELLES APPARAITRE DE NOUVEAUX RISQUES OU DES DÉFAILLANCES STRATÉGIQUES DE L ENTREPRISE? CES DERNIERS SONT-ILS AUJOURD HUI SUFFISAMMENT IDENTIFIÉS? UNE PROPOSITION DE CARTOGRAPHIE DES RISQUES FACE À CES RISQUES, QUELLES SONT LES STRATÉGIES À ADOPTER? QUEL RÔLE POUR LES RISK MANAGERS ET LES ASSUREURS? CONCLUSION : VERS UNE GOUVERNANCE D ENTREPRISE DE LA SOUS- TRAITANCE?
5 LES SITUATIONS DE CRISES RÉCENTES FONT-ELLES APPARAITRE DE NOUVEAUX RISQUES OU DES DÉFAILLANCES STRATÉGIQUES POUR L ENTREPRISE? QUELQUES EXEMPLES RECENTS
LES SITUATIONS DE CRISES RÉCENTES FONT-ELLES APPARAITRE DE NOUVEAUX RISQUES OU DES DÉFAILLANCES STRATÉGIQUES POUR L ENTREPRISE? 6 Les inondations en Thaïlande la catastrophe la plus coûteuse de ces dernières années. -40 à 50 milliards de dollars de pertes économiques -80% liées au risque «Fournisseurs»
LES SITUATIONS DE CRISES RÉCENTES FONT-ELLES APPARAITRE DE NOUVEAUX RISQUES OU DES DÉFAILLANCES STRATÉGIQUES POUR L ENTREPRISE? 7 Suite aux inondations, un analyste déclare Seagate profitera de la crise liée aux inondations en Thaïlande en augmentant ses parts de marché aux dépens de Western Digital
8 LES RISQUES LIES A L EXTERNALISATION UNE PROPOSITION DE CARTOGRAPHIE
LES RISQUES FOURNISSEURS 9 UNE DÉPENDANCE RÉCIPROQUE MAIS ASYMÉTRIQUE LES ENJEUX (de court terme, moyen terme, long terme) : DESTABILISATION ECONOMIQUE, MISE EN CAUSE JURIDIQUE ET SURTOUT ATTEINTE EN REPUTATION LA RELATION BILATÉRALE volonté de faire engagements souscrits solidité financière fourniture de ressources / compétences = Zone de risque faible/maitrisé surtout en cas d externalisation de capacité
LES RISQUES FOURNISSEURS 10 UNE DÉPENDANCE RÉCIPROQUE MAIS ASYMÉTRIQUE LA RELATION ASYMÉTRIQUE fournisseur exclusif ou unique (ex : Infogérant, fournisseur d accès, SSII, ), arbitraire de l entreprise (ex : pollution politique, position dominante, ), défaillance dans la chaîne des fournisseurs (ex : 2 ème niveau ou plus), objectifs distincts Risque élevé dans un contexte de sous-traitance de spécialité Autre zone de risques LA RELATION CONTRACTUELLE INSUFFISAMMENT PRÉCISÉE engagements réciproques trop génériques sous évaluation des responsabilités réciproques prises, dans la durée méthode de traitement des anomalies mal détaillée ou inexistante clauses de sortie mal définies ou inexistantes
LES RISQUES FOURNISSEURS 11 DOMAINE STRATÉGIQUE ET DE PILOTAGE PROPOSITIONS POUR UNE CARTOGRAPHIE DES RISQUES RISQUES MOYENS RISQUES FORTS RISQUES EXTREMES Renoncer à être accompagné pour développer la contractualisation (E) Conduite du changement (E) Virage stratégique (E) Déclinaison des priorités (E) Ressources financières insuffisantes (E+F) Mauvaise contractualisation (E) E : Risque ayant pour origine l entreprise ; F : origine le fournisseur Crise (F) Réputation, Image (E+F) Défaillance du fournisseur (F) Dépendance au fournisseur (F) Rapport de force inversé avec le fournisseur (F) Risque Politique Sous investissement en moyens internes de pilotage des processus externalisés (E) Désintérêt pour la relation contractuelle (E)
12 LES RISQUES FOURNISSEURS DOMAINE ORGANISATIONNEL ET TECHNIQUE PROPOSITIONS POUR UNE CARTOGRAPHIE DES RISQUES RISQUES MOYENS RISQUES FORTS RISQUES EXTREMES Information/documentation fournie incomplète (E+F) Accès impossible aux ressources ou aux informations (E) Fragilité technique (F) Livraisons incomplètes ou inadéquates (F) Perte de maitrise du processus (E) Perte de la compétence métier (E) Ressources humaines insuffisamment disponibles (E+F) Dérive des plannings (E+F) Dérive des coûts (F) Validation d étape non fournie/retard sans motif (E) Défaillance de la supplychain (E+F) Défaillance du fournisseur sur un segment critique de la chaine de production (F) E : Risque ayant pour origine l entreprise ; F : origine le fournisseur
13 LES RISQUES FOURNISSEURS PROPOSITIONS POUR UNE CARTOGRAPHIE DES RISQUES DOMAINE INFOGERANCE RISQUES MOYENS RISQUES FORTS RISQUES EXTREMES Passage du «faire» au mode «faire faire» (E) Sous-traitance en cascade (E) Confidentialité des données traitées (E) Perte de compétences informatiques (E) Absence de comparaison et de benchmark sur les acteurs du marché (E) Perte de propriété des données Utilisation détournée des données (E) Absence de Plan de Continuité d Activité du fournisseur (E) Absence de réversibilité de la prestation (E) E : Risque ayant pour origine l entreprise ; F : origine le fournisseur
14 QUELLES SONT LES STRATÉGIES À ADOPTER? QUEL RÔLE POUR LES RISK MANAGERS ET LES ASSUREURS?
QUELLES SONT LES STRATÉGIES À ADOPTER? QUEL RÔLE POUR LES RISK MANAGERS ET LES ASSUREURS? COMMENT FAIRE? REGARDS CROISES DES INTERVENANTS 15 QUELS SONT LES APPRENTISSAGES DE CES CRISES? Les circuits d approvisionnement des assurés sont de plus en plus complexes et, de ce fait, pas toujours bien comprises Le transfert vers l assurance ne peut pas être la seule solution envisagée : - Les expositions financières associées sont difficilement quantifiables - Le manque d informations rend le risque fournisseur cher à assurer Afin de répondre aux attentes de leurs clients, les assureurs doivent développer leur expertise en matière: - D évaluation, d amélioration et de prévention des risques, - De continuité des activités - De gestion du risque fournisseur Un produit d assurance efficace doit couvrir le risque résiduel de l assuré en prenant en compte les solutions d amélioration et de prévention du risque déjà en place
QUELLES SONT LES STRATÉGIES À ADOPTER? QUEL RÔLE POUR LES RISK MANAGERS ET LES ASSUREURS? COMMENT FAIRE? REGARDS CROISES DES INTERVENANTS 16 COMMENT TRAITER LE RISQUE FOURNISSEUR? = ANALYSER! DÉFINIR L APPÉTENCE AU RISQUE Étape essentielle pour la création d un modèle d activité «RESILIENT» Faire partie de la stratégie de l entreprise et de sa culture ANALYSER LA STRATÉGIE FINANCIÈRE DE L ENTREPRISE -PRODUITS GÉNÉRANT LES REVENUS ET LES MARGES LES PLUS IMPORTANTES? -RISQUE DE PART DE MARCHÉ? -SCÉNARIOS DE RISQUES COMPROMETTANT LES OBJECTIFS STRATÉGIQUES DE L ENTREPRISE IDENTIFIER LES FOURNISSEURS CRITIQUES DE L ENTREPRISE -FORTE VALEUR AJOUTÉE APPORTÉE PAR CES DERNIERS? -SOURCE D APPROVISIONNEMENT UNIQUE? -SOLUTIONS DE «MITIGATION» DÉJÀ EN PLACE? ANALYSE DES RISQUES FOURNISSEURS -EXPOSITION À DES RISQUES CRITIQUES? -CATASTROPHES NATURELLES? -INCENDIE?
QUELLES SONT LES STRATÉGIES À ADOPTER? QUEL RÔLE POUR LES RISK MANAGERS ET LES ASSUREURS? COMMENT FAIRE? REGARDS CROISES DES INTERVENANTS 17 Comment traiter le risque Fournisseur? AGIR! MISE EN PLACE DE SOLUTIONS AU SERVICE DE LA REALISATION DES OBJECTIFS STRATEGIQUES DE L ENTREPRISE : 1- AMÉLIORATION DE LA RÉSILIENCE : -Evaluation et sélection des fournisseurs en fonction de leur politique de prévention et d amélioration des risques -Mise en place d une politique de dual-sourcing -Développement d une gestion de la continuité d activité au sein de leur chaine d approvisionnement 2- TRANSFERT DE L IMPACT RESIDUEL DES RISQUES VERS L ASSURANCE -Une utilisation économique et optimisée de l assurance -Seuls les risques ne pouvant pas être traités autrement sont transférés vers l assurance
18 L EXEMPLE D UN MODELE RESILIENT Quels apprentissages en matière de risques fournisseurs? Le cas de deux entreprises suite au tsunami au Japon -Elles sont toutes les deux parmi le Fortune 500, le classement des 500 entreprises américaines au chiffre d affaire le plus important -Elles commercialisent des équipements informatiques -Elles utilisent des réseaux de fournisseurs extrêmement complexes -Elles s approvisionnent en disques durs et autres composants électroniques essentiellement au Japon
L EXEMPLE D UN MODELE RESILIENT Domaines Impacts Causes Baisse de 13% des revenus (2 ème trimestre 2011) Baisse du résultat net de 97 millions de dollars Le transfert sur le site alternatif a pris plus de temps que prévu Le stock de composants électroniques et de disques durs n était pas suffisant Augmentation du CA : + 22% Augmentation du résultat net de 10% : 3,2 milliards de dollars Communiqué de presse : «les incidents au Japon n auront pas d impact sur la production de nos processeurs. Nous ne faisons appel à aucun fournisseur critique pour l ensemble de nos composants critiques» «Nos PCA ont été activés afin de limiter toute interruption de nos activités de production» Cours de l action
20 L EXEMPLE D UN MODELE RESILIENT QUELS ENSEIGNEMENTS? Un modèle d activité «RÉSILIENT» Une gestion des risques au service de la stratégie d entreprise: Identification de l ensemble des composants et matériaux critiques présents au sein de la chaîne d approvisionnement Quantification des impacts financiers en cas de perte de fournisseurs critiques Une bonne utilisation des plans de continuité d activité Un dual-sourcing pour les composants et matériaux critiques Grâce à son anticipation et son modèle d activité «résilient», l entreprise a gagné en agilité, a su faire face à l événement et a renforcé la confiance que les marchés lui accordaient
QUELLES SONT LES STRATÉGIES À ADOPTER? QUEL RÔLE POUR LES RISK MANAGERS ET LES ASSUREURS? COMMENT FAIRE? REGARD CROISE DES INTERVENANTS 21 EN MATIÈRE DE GESTION OPÉRATIONNELLE DES RISQUES DÉTERMINER ET SURVEILLER LES FACTEURS D ÉCHECS connaître et s approprier les objectifs et contraintes réciproques mettre en œuvre un dispositif de veille pour détecter les signaux faibles annonciateurs de crise potentielle privilégier les échanges directs hors langue de bois attaquer le point bloquant à sa racine dans les plus brefs délais établir et mettre en œuvre des plans correctifs EN SITUATION CRITIQUE privilégier l efficacité opérationnelle : rechercher les solutions avant les responsabilités partager autant que possible les responsabilités compléter les clauses contractuelles déficientes privilégier la relation : transiger plutôt qu assigner
QUELLES SONT LES STRATÉGIES À ADOPTER? QUEL RÔLE POUR LES RISK MANAGERS ET LES ASSUREURS? COMMENT FAIRE? REGARD CROISE DES INTERVENANTS FOCUS SUR 4 RISQUES DE «CARENCE / DEFICIENCE» DE FOURNISSEURS ENJEUX ET SOLUTIONS D ASSURANCE 1) CARENCE SUITE A DOMMAGES AUX BIENS D UN FOURNISSEUR : exposition «par risque» 2) DISPARITION D UN FOURNISSEUR : CESSATION D ACTIVITE (absorption, dépôt de bilan,...) 3) CARENCE DE FOURNISSEUR(S) SUITE A UN EVENEMENT REGIONAL MAJEUR : exposition «Par événement» (risque systémique) 4) DEFICIENCE D UN FOURNISSEUR : non respect des critères exprimés ou implicites de QUALITE et / ou de DELAI «Fournisseur» est à prendre au sens large : fournisseur de produits ou de services, soustraitant, façonnier, fournisseur d énergie/informations/fluides, fournisseur d infrastructure.. 22
QUELLES SONT LES STRATÉGIES À ADOPTER? QUEL RÔLE POUR LES RISK MANAGERS ET LES ASSUREURS? COMMENT FAIRE? REGARD CROISE DES INTERVENANTS Cause de la «carence de fournisseur(s).» Enjeux Solutions d assurance Sinistre dommage aux biens chez un fournisseur clé (incendie, explosion, bris de machine, effondrement, ) hors Evénements naturels Dépend du niveau de contrôle du fournisseur, de la gravité des dommages, des solutions de back up, de la mise en place ou non d un PCA, d une organisation de gestion de crise «Carences directes» : PE suite à «Carence de fournisseurs» délivrées par les polices «Risques industriels» : ordre de grandeur de quelques dizaines de Millions d euros Couvertures additionnelles «excess CBI» : essentiellement à Londres et aux Bermudes avec peu d appétit et capacité additionnelles modérées. «Carences indirectes» : Rachat ponctuel de l exclusion; Garantie délivrée dans la police FM Global Couverture «Pertes pécuniaires» (auto-assurance via captive et/ou «PE Supply Chain»)
Filiale à 100% Garantie financière QUELLES SONT LES STRATÉGIES À ADOPTER? QUEL RÔLE POUR LES RISK MANAGERS ET LES ASSUREURS? COMMENT FAIRE? REGARD CROISE DES INTERVENANTS Cause de la «carence de fournisseur(s).» Enjeux Solutions d assurance Contrat «Pertes pécuniaires» : Pertes financières consécutives du fait de la rupture de la chaine d approvisionnement du fournisseur donné Sous forme d auto assurance (captive d assurance ou de réassurance): capacité de quelques centaines de milliers d euros à quelques dizaines de Millions d EUR (selon le niveau de capitalisation de la captive, la prime allouée et l étude actuarielle de risque) Captive de réassurance Disparition d un fournisseur(s) (liquidation judiciaire par exemple) Prime de réassurance Assureur Sinistres Prime d assurance Sinistres Assuré Et/ou «PE Supply Chain» délivrées par certains assureurs : ZURICH (75 MEUR), KILN (45 MEUR), Munich Re
QUELLES SONT LES STRATÉGIES À ADOPTER? QUEL RÔLE POUR LES RISK MANAGERS ET LES ASSUREURS? COMMENT FAIRE? REGARD CROISE DES INTERVENANTS Cause de la «carence de fournisseur(s).» Enjeux Solutions d assurance Fournisseur(s) impactés par un événement régional (événement naturel, violence politique, épidémie/risque sanitaire ) Enjeux lourds du fait du «mode commun» que représente un tel événement susceptible d impacter de nombreux fournisseurs «directs», mais aussi «indirects» => cas du fournisseur de Rang 2, 3 ou 4 commun au fournisseur direct (Rang 1) (exemple WD, fabricant de disques durs impacté par le «Thaï Flood» de fin 2011) Carence «Evénements naturels» : Carence de fournisseurs suite à événements naturels délivrés par les polices «Risques industriels» (< 30 MEUR) capacités supplémentaires en «excess» sur les marchés spécialisés (Londres, Bermudes, ) Carence «Violence politique» : Capacités délivrées par polices «Risques industriels» (< 30 MEUR) pour Mouvements sociaux, et parfois terrorisme ; Capacités sur marché «Violence politique» (Londres) quelques dizaines de Millions d EUR Contrat «pertes pécuniaires» (quelques dizaines de MEUR maxi) Carence «Epidémie, risque sanitaire», et autres causes aléatoires (menace d effondrement, choc psychologique,..) : Contrat «pertes pécuniaires» (Auto assurance et/ou «PE Supply Chain») Extension «Carence» polices «Risques industriels» (< 10 MEUR)
QUELLES SONT LES STRATÉGIES À ADOPTER? QUEL RÔLE POUR LES RISK MANAGERS ET LES ASSUREURS? COMMENT FAIRE? REGARD CROISE DES INTERVENANTS Cause de la «carence de fournisseur(s).» Enjeux Solutions d assurance Pertes financières de l entreprise du fait de retard voir impossibilité pour l entreprise de livrer ses clients en cas d absence de solution de secours Couvertures Carences : voir ci-avant Retard de livraison voire non livraison pour une cause accidentelle ou suite à erreur/faute du fournisseur Pertes financières du client de l entreprise qui se retourne en responsabilité civile contre celle-ci voire pénalités contractuelles Couverture RC Générale «avant livraison» avec extension à négocier des conséquences d un retard de fourniture ou d une non fourniture due à une carence de fournisseur (y c sous-traitants, façonniers, services ) suite à un événement accidentel ou à une erreur/faute du fournisseur (capacité maximale de l ordre de 50 MEUR) Pénalités contractuelles peu ou pas délivrées par le marché
QUELLES SONT LES STRATÉGIES À ADOPTER? QUEL RÔLE POUR LES RISK MANAGERS ET LES ASSUREURS? COMMENT FAIRE? REGARD CROISE DES INTERVENANTS Cause de la «carence de fournisseur(s).» Enjeux Solutions d assurance Réclamation des clients du fait de la vente d un produit fini vicié aux clients de l entreprise. Retrait de produits. Enjeu dépend des mesures préétablies (plan de retrait, gestion de crise ) Livraison d une matière première, ou d un produit vicié Couverture RC produit «après livraison» couvrant les préjudices subis par les clients et tiers Recours contre le fournisseur sous réserve d absence de renonciation à recours
ENJEUX : PRE-EMINENCE DE LA PREVENTION SUR L ASSURANCE Les enjeux des carences peuvent se chiffrer en centaines de millions d Euros, voire plus => les capacités d assurance sont de quelques dizaines de millions d Euros tout au plus avec forte volatilité (prix & disponibilité de la capacité dans l espace et dans le temps) Privilégier la prévention et la réaction La prévention : mesures palliatives pré-établies : extension au(x) «risque(s) fournisseur(s)» des démarches BIA (Bilan d impact sur l Activité) et PCA (Plan de Continuité de l Activité) selon nouvelle norme ISO 22301 sortie en 2012 La réaction pré-établie : gestion de crise..
ENJEUX : PREEMINENCE DE LA PREVENTION SUR L ASSURANCE Les enjeux des carences peuvent se chiffrer en centaines de millions d Euros, voire plus => les capacités d assurance sont de quelques dizaines de millions d Euros tout au plus avec forte volatilité (prix & disponibilité de la capacité dans l espace et dans le temps) Privilégier la prévention et la réaction La prévention : mesures palliatives préétablies : extension au «risque fournisseur(s)» des démarches BIA (Bilan d impact sur l Activité) et PCA (Plan de Continuité de l Activité) selon nouvelle norme ISO 22301 sortie en 2012 La réaction préétablie : gestion de crise.. 29
30 LES POINTS CLES QUEL RÔLE POUR LES RISK MANAGERS ET LES ASSUREURS EN ENTREPRISE? Investir ces domaines, être intégré par le top management aux projets d entreprise Analyser et réviser régulièrement les processus externalisés Adopter des moyens et des méthodes pour faire piloter les risques : normes iso 22301 (système de management de la continuité d activité), normes SAS70 ou ISAE 3402 Faire des missions spécifiques d analyse de risques sur les activités sous-traitées Réaliser des contrôles réguliers Déployer une logique de gestion d assurance ciblée FAIRE PARTIE INTEGRANTE DE LA STRATEGIE DE LA SOUS-TRAITANCE DE L ENTREPRISE
31 CONCLUSION : VERS UNE GOUVERNANCE D ENTREPRISE DE LA SOUS-TRAITANCE?
32 CONCLUSION VERS UNE GOUVERNANCE D ENTREPRISE L exposition aux risques, l importance stratégique des risques conduit à la nécessité pour l entreprise d avoir une démarche active dans le domaine. L externalisation doit rentrer dans le domaine stratégique, les enjeux se doivent d être partagés : Par la direction au sein d instances spécialisées, au comité de direction, au comité d audit L influence du Risk Manager doit être certaine en la matière La réglementation peut aider à développer et à structurer l approche RISQUE dans ce domaine, c est le cas par exemple de la directive «Solvabilité 2» qui oblige à définir une politique obligatoire. Elle doit comporter la définition des moyens de maitrise et de contrôle des activités externalisées. Pour le RSK Manager = c est un tremplin efficace pour promouvoir une démarche structurante pour déployer son métier et ses compétences Pour l entreprise = transversalité, transparence et travail collaboratif avec les équipes sont nécessaires. Le Risk Management n est pas une sanction mais une force de progrès pour les organisations
33 MERCI POUR VOTRE ATTENTION ET POUR VOS QUESTIONS