Qualité des données P2P : sécuriser et responsabiliser

Noha Sharmy Comptes à Payer, Procure-to-Pay

La qualité des données est au cœur du process P2P. Avant de lancer un projet P2P, il est nécessaire d’avoir des données « de base » qui soient pertinentes, par exemple pour enrôler un fournisseur.

L’enjeu aujourd’hui est de sécuriser les données, notamment en responsabilisant les acteurs qui les traitent, mais aussi de s’assurer de leur fiabilité, en instaurant des process de vérification et de mise à jour efficients.

Fiabilité et sécurité : les grands enjeux de la sécurité des données fournisseurs

Les grands enjeux autour de la sécurité des données fournisseurs concernent leur qualité et leur fiabilité. Leur exploitation doit permettre au process P2P de se bien dérouler, mais aussi, faciliter les analyses ultérieures et le reporting.

Les décisions prises au sujet de la sécurisation des données ne doivent pas empêcher la fluidité du process P2P, l’enjeu étant toujours le paiement du fournisseur au bon moment.

Un enjeu fort, à l’heure où les entreprises accélèrent leur transformation digitale et doivent « faire plus », avec moins de moyens.

  • Sécuriser des données de paiement

Sécuriser les données de paiement (coordonnées d’un fournisseur, informations bancaires…) permet de lutter contre la recrudescence de la fraude (fraude au RIB, fraude à l’IBAN, fraude au président…).

L’impact de la fraude est en effet conséquent. Le coût de rétablissement (ou du retour à la normale) est parfois trois fois supérieur au coût de la fraude elle-même. Il ne faut évidemment pas négliger l’impact sur l’image de l’entreprise.

Pour obtenir cette fiabilité, le procédé d’exploitation des données doit être bien rôdé, ce qui fait émerger des enjeux de pilotage de ces données.

  • Piloter efficacement tout le processus de la qualité des données

Parmi tous les acteurs du P2P, qui a véritablement la charge du référentiel fournisseur ?

De fait, de nombreux acteurs interviennent dans ce processus. Cette question est centrale car en fonction des métiers, certaines données ont plus ou moins d’importance. Par exemple, la comptabilité s’intéresse principalement au RIB du fournisseur et au fait de pouvoir le contacter. Les acheteurs sont, quant à, eux davantage centrés sur les aspects stratégiques et la relation avec le fournisseur.

Certaines entreprises ont mis en place des équipes de « data gouvernance », en charge de s’assurer que le référentiel est bien géré.

Cependant, la question du « data owner » se pose toujours. Qui est véritablement responsable de la qualité des données ? Avec le « business partnering », chacun peut contribuer à un référentiel fournisseurs à différents niveaux – ce qui peut aussi engendrer des problèmes de doublons.

La question de la mise à jour des données fournisseurs se pose également.            

Ce sujet est abordé différemment selon les entreprises :

  • Certaines délèguent par exemple l’enrôlement et le contact fournisseur à leurs équipes locales (ex : point de vente, agences…) avec une vérification centrale ensuite. Mais attention à l’effet d’engorgement !
  • Autre exemple, en cas de migration des données, certaines entreprises sont obligées de procéder à un double enrôlement en retravaillant tous les contacts existants dans la nouvelle base.

Les enjeux et les freins résident donc principalement autour de la centralisation de la vérification de la donnée.

  • Simplifier des processus parfois trop lourds

Il y a encore beaucoup de vérifications manuelles et de « call back » : c’est une charge additionnelle pour les métiers, répartie sur toutes les ressources existantes. La question d’un seul point d’entrée pour simplifier le process se pose donc.

De plus, les données exigées pour sécuriser le paiement sont souvent trop complexes. Soit elles sont fournies de manière incomplète, soit elles ne sont pas fournies dans les temps, ce qui retarde encore plus les paiements.

  • Avoir un référentiel unique et fiable de fournisseurs

Il devient nécessaire de trancher sur un référentiel unique, fiable et à jour qui permette de faire en plus de l’analyse, du reporting et du contrôle. Les entreprises recherchent des solutions pour pouvoir travailler sur des bases de données à différentes échelles (européenne, ou même mondiale). La mutualisation des données entre les grands groupes est elle aussi un vrai sujet. Les entreprises font part de la difficulté d’interfacer leurs différents systèmes (ex : plusieurs ERP…).

  • Automatiser, être davantage en temps réel

Pour automatiser au maximum il faut de bonnes données. Plusieurs acteurs rencontrent une problématique par rapport à la mise à jour des données dans leur base.

Les bases publiques posent également question : sont-elles fiables, sont-elles correctement mises à jour ?

Les meilleurs pratiques de contrôle des données fournisseurs 

Tout d’abord, il faut définir des processus simples : mieux vaut un processus simple et efficient à respecter, qu’un process trop complexe et qui nécessite des allers-retours chronophages.

Pour autant, simplicité doit rimer avec sécurisation optimale. Certaines entreprises se munissent d’outils de conformité pour prévenir la fraude et sécuriser les paiements comme par exemple : TrustPay, Provigis, verifIBAN…

Mais aussi la plateforme SiS-Id France en partenariat avec Tradeshift « basée sur la blockchain qui authentifie et sécurise les coordonnées des paiements bancaires ».

  • Avoir un Master data !

Dédier une personne, une fonction ou une équipe comme responsable de la gouvernance de la donnée est de plus en plus évoqué. À noter que même avec les meilleurs outils, un manque de gouvernance freine les effets bénéfiques de la digitalisation.

Les entreprises s’accordent pour souligner le besoin d’un Master data « agnostique », responsable de la donnée au sens large, voire, un master data dédié entièrement à toutes les problématiques fournisseurs.

Cela peut prendre la forme d’une cellule centrale se consacrant aux data, avec un rôle de modération, chargée de vérifier que le portail fournisseur est bien mis à jour, d’effectuer des relances, de modérer et d’animer ce portail.

  • Responsabiliser les fournisseurs, mais aussi tous les acteurs de la chaîne

On peut transférer la charge de la mise à jour des données au fournisseur directement : le fournisseur met lui-même ses données à jour, ce qui dégage aussi l’entreprise de cette responsabilité (avec, en parallèle, des clauses prévues à cet effet).

Un contrôle des commandes peut être mis en place, avec l’impossibilité pour les fournisseurs de transmettre une facture tant que les données de facture ne sont pas bonnes, (comme par exemple un numéro de commande). Cela évite que la facture soit acceptée dans un premier temps puis finalement refusée, engendrant perte de temps côté
fournisseurs et clients.

Mais attention, dans certaines entreprises où une solution interne avec un accès pour les fournisseurs directement dans le SI a été développée, on peut s’inquiéter des risques de sécurité potentiels. Ces risques sont alors compensés par une trop forte sécurisation… ce qui bloque du coup le processus.

Responsabiliser tous les acteurs comme les clients internes et les acheteurs, en leur expliquant clairement le processus, pourquoi et comment les données vont être exploitées et valorisées, est important du point de vue de la sécurisation.

  • Bien définir les rôles, les accès et les responsabilités

Attribuer les bons rôles aux bons acteurs dans ce process est une clé d’harmonisation. Les autorisations peuvent être en fonction du statut, mais également des montants engagés. Idéalement : attribuer à chaque interlocuteur un rôle, un pouvoir d’action différent, avec des montants de validation différents, avec un process P2P fonctionnant de pair avec le contrôle interne.

  • par exemple, instaurer le fait que les nouveaux fournisseurs ne soient créés que par les acheteurs, avec dans l’idéal, un seul acheteur par fournisseur. Cela permet de sécuriser et d’avoir une traçabilité entière du process. Le prescripteur qui a un besoin le définit clairement, peut faire part de ses préférences, mais c’est l’acheteur qui passe commande et qui reste en charge de la relation et de la contractualisation avec le fournisseur.
  • De même, limiter le nombre de RIB par fournisseur (idéalement, un seul) est privilégié.

Certaines entreprises ont complètement refondu leur process en séparant distinctement les tâches, en redéfinissant les rôles et les droits d’accès de chacun à tous niveaux. Cela permet de corriger toutes les anomalies des précédents outils et process.

  • Utiliser des process et outils collaboratifs

Mettre en place des outils collaboratifs sera de plus en plus la solution choisie pour fluidifier et sécuriser le process au niveau de la qualité des données.

Par exemple, il existe des portails qui permettent des accès à l’entreprise de l’extérieur, sans nuire à sa sécurité. Attention toutefois au frein, pour un fournisseur, de devoir se connecter à une multiplicité de plateformes, source de contrainte chronophage. L’idéal : une seule plateforme qui centralise tout, permettant à différentes entreprises d’entrer en contact.

C’est la vision de Tradeshift : une plateforme où chaque acteur, qu’il soit fournisseur ou client, entre ses données en tant qu’entreprise. Personne n’est identifié uniquement comme un fournisseur ou comme un client, les entreprises sont identifiées en tant que telles et ce sont les interactions entre elles qui définissent les échanges. Ainsi elles peuvent toutes bénéficier d’une information valide qui est renseignée en toute sécurité une seule fois.