Jean-Jacques QUANG
Dans un contexte RSE de plus en plus réglementé, quelle est la place des parties prenantes tierces dans la mesure de l’impact et des risques associés ?
Tout d’abord, il faut préciser les enjeux et obligations que portent ces nouvelles réglementations liées à la RSE : la Corporate Sustainability Reporting Directive (CSRD) avec ses obligations de transparence, d’harmonisation de normes et reporting communes et comparables ; mais aussi la Corporate Sustainability Due Diligence Directive (CSDDD) avec ses obligations d’identification d’atteintes graves aux droits humains et à l'environnement liées à leurs activités, leurs relations d'affaires et de vigilance tout au long de la chaîne de valeur.
Dans ce contexte et au-delà de la démarche vertueuse pour montrer l’impact positif sur son environnement, les organisations vont devoir également identifier, évaluer et surveiller les risques et les potentiels impacts négatifs sur les droits de l'homme et l'environnement, sur l’ensemble de cette chaîne de valeur.
Et ce sont les parties prenantes tierces - clients grands comptes, partenaires, fournisseurs, les sous-traitants... qui composent cette chaîne de valeur pour toute entreprise, qu’il convient d’aborder identifier les risques, les faiblesses pouvant porter préjudice à la démarche RSE dans sa globalité.
Les enjeux de la RSE (Responsabilité Sociale des Entreprises) en 2023 reflètent l'évolution des attentes des parties prenantes et les défis croissants auxquels nos sociétés sont confrontées, et pour lesquelles les entreprises se mobilisent activement et de manière croissante.
Quelles conséquences pour la non-conformité de partenaires, fournisseurs, sous-traitants ?
Tout d’abord, il faut avoir à l’esprit que même si l’entreprise s'inscrit dans une démarche vertueuse, elle n’est pas à l’abri d’un tiers avec qui elle est en relation d’affaires, qui la mettrait en risque ; parce que celui-ci n’aurait pas le même niveau d’exigence et de vigilance sur les impacts d’une activité ne s'inscrivant pas dans une démarche vertueuse RSE.
Les conséquences de la non-prise en compte des aspects RSE, voire de la non-conformité à certaines réglementations existantes (en fonction des juridictions) en la matière peuvent être multiples :
⦁ En premier lieu, c’est l’exposition aux risques d’un incident / un événement adverse ayant un impact sur les aspects RSE ; dont la visibilité serait un préjudice direct sur la réputation de l’entreprise ; même si les incidents / événements adverses se seraient déroulés chez les tiers - partenaires, fournisseurs ou sous-traitants ;
Un exemple concret serait de travailler avec des parties prenantes, peu recommandables ayant des activités occultes (blanchiment d’argent, trafic de produits interdits...); commerçant avec des pays sous sanctions ou sous embargo, etc.
⦁ Ensuite, c’est être stigmatisé, par les consommateurs, les actionnaires institutionnels ou non, les marchés financiers … d’être indifférent aux élans de développement durable ; et de ne pas apporter sa due contribution aux efforts de préservation de l’environnement ;
⦁ Enfin, c’est le risque d’être interpellé, contrôlé, inspecté par les autorités réglementaires sur la non-application des diligences requises et obligatoires pour s’assurer de la probité, régularité des parties prenantes avec lesquelles l’entreprise a des relations d’affaires.
Vous imaginez bien qu’il sera difficilement défendable de se réfugier derrière les arguments : “on ne savait pas” ; “c’est l’affaire de nos tiers, pas la nôtre,...” ; etc.
Mais au-delà du non-respect des lois et réglementations en vigueur, la conséquence la plus lourde se traduira en un impact réputationnel d’ampleur ; difficile à quantifier et à circonscrire précisément ; compte tenu de la propagation rapide de l’information à l’ère économique interconnectée et à l’hyper-réactivité des réseaux sociaux.
Une information peut être relayée à l’envi sur tous les réseaux sociaux occidentaux, asiatiques, etc… et avoir fait “2 fois le tour de la terre” en moins de 24 heures.
Comment, selon vous, gérer au mieux un écosystème de tiers souvent pléthorique ?
Lorsqu’on parle de Tiers ou de parties prenantes en entreprise, on pense souvent immédiatement à “fournisseurs”, qui composent certes le plus gros contingent des parties prenantes.
Mais ce ne sont pas les seuls Tiers avec lesquels l’entreprise est en relation d’affaires ; et de loin.
Vous devez également prendre en compte les partenaires, les clients grands comptes, les sous-traitants, les distributeurs, les agents... sans compter également les Tiers de second rang : les sous-traitants de vos fournisseurs ; voir 3e rang…
Donc oui, c’est un écosystème pléthorique, touchant tous les compartiments de l’entreprise.
Démarche projet
Pour appréhender une entreprise d’une telle ampleur, il est nécessaire de l’aborder sous un “mode projet”, dont le “chef d’orchestre” sera le Compliance Officer.
Il est bien entendu impensable que ce dernier puisse mener cette tâche de front et tout seul ; il lui faudra s’appuyer sur les autres fonctions Métiers / Supports en interne.
Les aspects méthodologiques clés
Ensuite, il lui faudra aussi déterminer une “approche méthodologique et projet” ; qui soit claire, simple à comprendre et à expliquer aux protagonistes internes ; tout en étant efficace - ratio coût/bénéfice -, dans l'exécution sur le volume significatif de tiers à traiter.
Quelques aspects méthodologiques clés sont à prendre en compte lors de l’organisation de ce projet d'envergure :
Une catégorisation et segmentation sur des critères de risque macro
Cette méthodologie doit également prendre en compte des critères multidimensionnels - tels que l’activité, la géopolitique, la nature des engagements... - pour catégoriser “l’Univers des Tiers” en des ensembles homogènes, à évaluer selon les critères qui auront été retenus sur les thèmes éthique, social, environnemental.
Combinaison d’évaluation interne et externe
Le degré de profondeur dans l’évaluation du Risque Tiers sera, par ailleurs, un critère pertinent à appliquer lors des évaluations du Risque porté par les Tiers :
⦁ faudra-t-il procéder à une évaluation “simple” de premier niveau, avec les informations et documents en possession ?
⦁ Ou faudra-t-il compléter l’évaluation du Risque Tiers, par une évaluation de deuxième niveau, complétée par une collecte d’informations et de renseignements externes et ciblés sur l’environnement des Tiers ?
Cet arbitrage et détermination du degré de profondeur - évaluation interne, complétée ou non d’une évaluation externe - seront critiques pour des considérations de ressources et budget alloués.
Délégation et implication des parties prenantes internes et externes
Il faudra non seulement s’appuyer sur des relais en interne dans l’organisation, pour mener à bien le processus de recueil des informations, d’analyse et d’évaluation globale de l’exposition au Risque Tiers ; mais également s’assurer du concours proactif des Tiers eux-mêmes dans cette démarche.
Il faut pouvoir faciliter l’implication des Tiers, dans la contribution des données/questions/documents requis pour réaliser ces évaluations sur des données solides, factuelles et documentées.
Tout d’abord, il faut préciser les enjeux et obligations que portent ces nouvelles réglementations liées à la RSE : la Corporate Sustainability Reporting Directive (CSRD) avec ses obligations de transparence, d’harmonisation de normes et reporting communes et comparables ; mais aussi la Corporate Sustainability Due Diligence Directive (CSDDD) avec ses obligations d’identification d’atteintes graves aux droits humains et à l'environnement liées à leurs activités, leurs relations d'affaires et de vigilance tout au long de la chaîne de valeur.
Dans ce contexte et au-delà de la démarche vertueuse pour montrer l’impact positif sur son environnement, les organisations vont devoir également identifier, évaluer et surveiller les risques et les potentiels impacts négatifs sur les droits de l'homme et l'environnement, sur l’ensemble de cette chaîne de valeur.
Et ce sont les parties prenantes tierces - clients grands comptes, partenaires, fournisseurs, les sous-traitants... qui composent cette chaîne de valeur pour toute entreprise, qu’il convient d’aborder identifier les risques, les faiblesses pouvant porter préjudice à la démarche RSE dans sa globalité.
Les enjeux de la RSE (Responsabilité Sociale des Entreprises) en 2023 reflètent l'évolution des attentes des parties prenantes et les défis croissants auxquels nos sociétés sont confrontées, et pour lesquelles les entreprises se mobilisent activement et de manière croissante.
Quelles conséquences pour la non-conformité de partenaires, fournisseurs, sous-traitants ?
Tout d’abord, il faut avoir à l’esprit que même si l’entreprise s'inscrit dans une démarche vertueuse, elle n’est pas à l’abri d’un tiers avec qui elle est en relation d’affaires, qui la mettrait en risque ; parce que celui-ci n’aurait pas le même niveau d’exigence et de vigilance sur les impacts d’une activité ne s'inscrivant pas dans une démarche vertueuse RSE.
Les conséquences de la non-prise en compte des aspects RSE, voire de la non-conformité à certaines réglementations existantes (en fonction des juridictions) en la matière peuvent être multiples :
⦁ En premier lieu, c’est l’exposition aux risques d’un incident / un événement adverse ayant un impact sur les aspects RSE ; dont la visibilité serait un préjudice direct sur la réputation de l’entreprise ; même si les incidents / événements adverses se seraient déroulés chez les tiers - partenaires, fournisseurs ou sous-traitants ;
Un exemple concret serait de travailler avec des parties prenantes, peu recommandables ayant des activités occultes (blanchiment d’argent, trafic de produits interdits...); commerçant avec des pays sous sanctions ou sous embargo, etc.
⦁ Ensuite, c’est être stigmatisé, par les consommateurs, les actionnaires institutionnels ou non, les marchés financiers … d’être indifférent aux élans de développement durable ; et de ne pas apporter sa due contribution aux efforts de préservation de l’environnement ;
⦁ Enfin, c’est le risque d’être interpellé, contrôlé, inspecté par les autorités réglementaires sur la non-application des diligences requises et obligatoires pour s’assurer de la probité, régularité des parties prenantes avec lesquelles l’entreprise a des relations d’affaires.
Vous imaginez bien qu’il sera difficilement défendable de se réfugier derrière les arguments : “on ne savait pas” ; “c’est l’affaire de nos tiers, pas la nôtre,...” ; etc.
Mais au-delà du non-respect des lois et réglementations en vigueur, la conséquence la plus lourde se traduira en un impact réputationnel d’ampleur ; difficile à quantifier et à circonscrire précisément ; compte tenu de la propagation rapide de l’information à l’ère économique interconnectée et à l’hyper-réactivité des réseaux sociaux.
Une information peut être relayée à l’envi sur tous les réseaux sociaux occidentaux, asiatiques, etc… et avoir fait “2 fois le tour de la terre” en moins de 24 heures.
Comment, selon vous, gérer au mieux un écosystème de tiers souvent pléthorique ?
Lorsqu’on parle de Tiers ou de parties prenantes en entreprise, on pense souvent immédiatement à “fournisseurs”, qui composent certes le plus gros contingent des parties prenantes.
Mais ce ne sont pas les seuls Tiers avec lesquels l’entreprise est en relation d’affaires ; et de loin.
Vous devez également prendre en compte les partenaires, les clients grands comptes, les sous-traitants, les distributeurs, les agents... sans compter également les Tiers de second rang : les sous-traitants de vos fournisseurs ; voir 3e rang…
Donc oui, c’est un écosystème pléthorique, touchant tous les compartiments de l’entreprise.
Démarche projet
Pour appréhender une entreprise d’une telle ampleur, il est nécessaire de l’aborder sous un “mode projet”, dont le “chef d’orchestre” sera le Compliance Officer.
Il est bien entendu impensable que ce dernier puisse mener cette tâche de front et tout seul ; il lui faudra s’appuyer sur les autres fonctions Métiers / Supports en interne.
Les aspects méthodologiques clés
Ensuite, il lui faudra aussi déterminer une “approche méthodologique et projet” ; qui soit claire, simple à comprendre et à expliquer aux protagonistes internes ; tout en étant efficace - ratio coût/bénéfice -, dans l'exécution sur le volume significatif de tiers à traiter.
Quelques aspects méthodologiques clés sont à prendre en compte lors de l’organisation de ce projet d'envergure :
Une catégorisation et segmentation sur des critères de risque macro
Cette méthodologie doit également prendre en compte des critères multidimensionnels - tels que l’activité, la géopolitique, la nature des engagements... - pour catégoriser “l’Univers des Tiers” en des ensembles homogènes, à évaluer selon les critères qui auront été retenus sur les thèmes éthique, social, environnemental.
Combinaison d’évaluation interne et externe
Le degré de profondeur dans l’évaluation du Risque Tiers sera, par ailleurs, un critère pertinent à appliquer lors des évaluations du Risque porté par les Tiers :
⦁ faudra-t-il procéder à une évaluation “simple” de premier niveau, avec les informations et documents en possession ?
⦁ Ou faudra-t-il compléter l’évaluation du Risque Tiers, par une évaluation de deuxième niveau, complétée par une collecte d’informations et de renseignements externes et ciblés sur l’environnement des Tiers ?
Cet arbitrage et détermination du degré de profondeur - évaluation interne, complétée ou non d’une évaluation externe - seront critiques pour des considérations de ressources et budget alloués.
Délégation et implication des parties prenantes internes et externes
Il faudra non seulement s’appuyer sur des relais en interne dans l’organisation, pour mener à bien le processus de recueil des informations, d’analyse et d’évaluation globale de l’exposition au Risque Tiers ; mais également s’assurer du concours proactif des Tiers eux-mêmes dans cette démarche.
Il faut pouvoir faciliter l’implication des Tiers, dans la contribution des données/questions/documents requis pour réaliser ces évaluations sur des données solides, factuelles et documentées.
Avec toutes ces considérations, on entrevoit aisément la complexité dans la mise en œuvre d’un tel projet ; conduire efficacement et rigoureusement des évaluations de Risque Tiers, avec tous ces paramètres à intégrer ; tout en conjuguant l’ensemble de la démarche à un “Univers de Tiers” pléthorique - plusieurs milliers voire dizaine de milliers pour les entreprises.
Une illustration d’une démarche projet structurée
Une illustration d’une démarche projet structurée
Jean-Jacques QUANG
N’accumule-t-on pas, en définitive, trop de complexité pour les entreprises ?
Lorsqu’on aborde des sujets aussi ambitieux que la démarche RSE et son corollaire : l’exposition aux risques impactant négativement cette démarche - risque réputationnel, greenwashing,... - ; la mise en pratique - au vu de ce qui a été exposé précédemment - est forcément complexe ; mais il faut se donner les moyens de ses ambitions.
Sans compter les obligations réglementaires qui ajoutent des exigences et de la complexité.
Pour autant, le fonction Compliance, chargée de la mise en œuvre, n’est pas démunie. Elle peut s’appuyer sur les apports méthodologiques ci-dessus, mais également sur des outils, des applications métiers visant à structurer la démarche, à industrialiser le processus d’évaluation pour l’ensemble des Tiers.
Lorsqu’on aborde des sujets aussi ambitieux que la démarche RSE et son corollaire : l’exposition aux risques impactant négativement cette démarche - risque réputationnel, greenwashing,... - ; la mise en pratique - au vu de ce qui a été exposé précédemment - est forcément complexe ; mais il faut se donner les moyens de ses ambitions.
Sans compter les obligations réglementaires qui ajoutent des exigences et de la complexité.
Pour autant, le fonction Compliance, chargée de la mise en œuvre, n’est pas démunie. Elle peut s’appuyer sur les apports méthodologiques ci-dessus, mais également sur des outils, des applications métiers visant à structurer la démarche, à industrialiser le processus d’évaluation pour l’ensemble des Tiers.
Jean-Jacques QUANG
https://www.linkedin.com/in/jjquang/
Ethicaline est un cabinet de conseil dédié en Compliance & Investigations.
Ethicaline propose des solutions, programmes de conformité ; ainsi que des plateformes applicatives, distribuées dans 40 pays, appliquées à la gestion du Risque Tiers : Ethicaline-TPRM.
https://ethicaline.fr
https://www.linkedin.com/in/jjquang/
Ethicaline est un cabinet de conseil dédié en Compliance & Investigations.
Ethicaline propose des solutions, programmes de conformité ; ainsi que des plateformes applicatives, distribuées dans 40 pays, appliquées à la gestion du Risque Tiers : Ethicaline-TPRM.
https://ethicaline.fr
Contacter la rédaction
