Demandez une démo

ESG et gestion des risques dans l'entreprise étendue : Un guide rapide

Les pratiques environnementales, sociales et de gouvernance font l'objet d'une surveillance réglementaire croissante. Dans quelle mesure votre programme de gestion des risques liés aux tiers est-il structuré pour évaluer ces risques ?
Par :
Michael Rasmussen
,
Analyste et expert en GRC, GRC 20/20 Research
26 avril 2021
Partager :
Blog esg gestion des risques 0421

Aujourd'hui, les organisations sont de plus en plus mises au défi d'aborder les pratiques et les rapports environnementaux, sociaux et de gouvernance (ESG). Les parties prenantes, les clients et les régulateurs veulent s'assurer que les entreprises avec lesquelles ils interagissent et dans lesquelles ils investissent partagent les mêmes valeurs et engagements qu'eux. Le cœur de l'ESG concerne l'intégrité de l'organisation. Ce à quoi l'organisation s'engage - les obligations de l'organisation, qu'elles soient volontaires, réglementaires ou contractuelles - est une réalité dans toute l'organisation.

Qu'est-ce que l'ESG ?

L'ESG couvre un large éventail de comportements d'une entreprise :

  • E = Environnemental : Mesure et rend compte des valeurs et des engagements de l'organisation en matière de gestion du monde naturel et de l'environnement. Il s'agit de rendre compte et de surveiller les initiatives environnementales de l'organisation en matière de changement climatique, de gestion des déchets, de pollution, d'utilisation et d'épuisement des ressources, de gaz à effet de serre, etc.
  • S = Social : Mesure et rend compte des valeurs et des engagements de l'organisation concernant la manière dont elle traite les personnes. Cela inclut les relations avec les employés et les clients/partenaires, les droits de l'homme (par exemple, la lutte contre l'esclavage), la diversité et l'inclusion, la lutte contre le harcèlement et la discrimination, la vie privée des individus (employés et autres), les conditions de travail et les normes de travail (par exemple, le travail des enfants, le travail forcé, la santé et la sécurité), et la manière dont l'entreprise participe et redonne à la société et aux communautés dans lesquelles elle opère.
  • G = Gouvernance: Mesure et rend compte de la culture et des comportements de l'organisation dans le contexte et l'alignement sur ses valeurs et son engagement. Cela comprend les stratégies financières et fiscales, la dénonciation et le signalement des problèmes, la résilience, la lutte contre la corruption, la sécurité, la diversité et la structure du conseil d'administration et de la direction, ainsi que la transparence et la responsabilité générales.

Le plus grand défi ESG des organisations est l'entreprise étendue. L'organisation moderne d'aujourd'hui ne se résume pas à des murs de briques et de mortier et à des employés traditionnels. L'entreprise moderne est un réseau étendu de relations avec des tiers : fournisseurs, vendeurs, entrepreneurs, sous-traitants, prestataires de services, travailleurs temporaires, courtiers, agents, négociants, intermédiaires et partenaires. En fait, en vous promenant dans les couloirs d'une organisation et en assistant à des réunions, vous pourriez constater que la moitié des personnes avec lesquelles vous interagissez ne sont pas des employés, mais des tiers. La situation se complique encore lorsque ces relations s'imbriquent dans des relations de sous-traitance et des chaînes d'approvisionnement imbriquées.

Conformité ESG

Les régulateurs sont particulièrement attentifs à la conformité ESG, et des aspects de l'ESG figurent dans les réglementations depuis un certain temps. Parmi les exemples de lutte contre la corruption, on peut citer la loi américaine sur les pratiques de corruption à l'étranger (FCPA), la loi britannique sur la corruption (UKBA) et la loi française Sapin II. Il existe également des lois et des réglementations relatives aux droits de l'homme, notamment la loi américaine sur la prévention du travail forcé des Ouïghours, la loi britannique sur l'esclavage moderne, la loi américaine sur les minerais de conflit en vertu de la loi Dodd Frank et la loi californienne sur la transparence dans les chaînes d'approvisionnement. Et bien sûr, l'ESG inclut les lois relatives à la protection de la vie privée telles que le règlement général sur la protection des données (RGPD) de l'Union européenne, le règlement californien sur la protection des données des consommateurs (CDPR), et bien d'autres encore. Chacune de ces réglementations touche à des aspects de la GSE et a un impact sur l'entreprise étendue des relations avec les tiers.

Aujourd'hui, nous assistons à une réglementation ESG encore plus large. L'Union européenne avance avec la directive sur la diligence raisonnable et la responsabilité des entreprises, qui deviendra très probablement la législation finale cet été. Cette directive exige une diligence raisonnable permanente au sein de l'organisation et dans l'ensemble de ses relations avec des tiers pour les initiatives et les rapports en matière d'environnement et de droits de l'homme. L'Allemagne a déjà fait avancer sa législation en la matière avec la loi allemande sur la diligence raisonnable, qui sera également finalisée cet été. La loi allemande est souvent appelée "loi sur les chaînes d'approvisionnement", car l'accent est mis sur les pratiques ESG dans les relations avec les tiers d'une organisation.

Gérer les risques ESG dans l'entreprise étendue

Ce rapport d'analyste de GRC 20/20 présente les meilleures pratiques pour inclure l'ESG dans votre programme de gestion des risques de tiers.

Lire la suite
Gestion du blog esg 1021

L'impact de l'ESG sur les relations avec les tiers

L'heure est grave : les organisations doivent commencer à structurer leurs stratégies, processus et rapports ESG. Ceci est particulièrement important dans le contexte de la complexité de l'entreprise étendue. Les éléments clés qui doivent être pris en compte dans la gouvernance et la gestion des risques des tiers sont les suivants :

  • Portée de l'ESG. Il n'existe pas de programme ESG unique qui convienne à toutes les organisations, quels que soient leur secteur d'activité et leur taille. Bien qu'il existe des éléments communs, les risques ESG dans les services financiers sont différents de ceux d'une société pétrolière. Chaque organisation doit examiner sa nature et définir son champ d'application et son programme ESG en fonction de son profil de risque et de réglementation.
  • Catégorisation des tiers en fonction du risque ESG. La prise en compte de l'ESG dans l'entreprise étendue nécessite une compréhension claire des types de relations de l'organisation, de l'endroit où ces relations opèrent dans le monde et des risques que chaque relation apporte à l'organisation dans le contexte de l'ESG.
  • Diligence initiale. Les organisations auront besoin d'un processus documenté et établi pour intégrer de nouvelles relations. Il s'agit de valider la relation par rapport aux vérifications des bases de données ESG externes, telles que les listes de surveillance/de sanctions, les listes de personnes politiquement exposées, les notations de sécurité, les notations financières et les listes de réputation/de marque. Il faudra également procéder à une évaluation approfondie des tiers au moyen d'un questionnaire d'évaluation de l'intégration et, dans certains cas, à des inspections/audits sur place. Dans le cadre de ce processus, il est nécessaire que le tiers reconnaisse et atteste/accepte des politiques connexes telles qu'un code de conduite de la chaîne d'approvisionnement/du fournisseur.
  • Diligence raisonnable continue. Le défi est que la diligence raisonnable/l'évaluation n'est pas une activité ponctuelle, mais un processus continu et permanent. Cela implique des vérifications régulières et constantes des bases de données de tiers ainsi que des évaluations périodiques au moyen de questionnaires et d'inspections. Les vérifications des bases de données de tiers par rapport à des listes peuvent être effectuées sur une base quotidienne continue, tandis que les enquêtes d'évaluation périodiques sont généralement effectuées sur une base annuelle. Cependant, lorsque des indicateurs de risque clés sont déclenchés, comme un problème découvert chez un fournisseur, cela peut déclencher une évaluation en dehors des évaluations périodiques.
  • Rapports ESG. L'ensemble de ce processus revient à disposer d'une capacité de reporting ESG défendable. L'organisation doit être en mesure de fournir une image claire de l'ESG à travers ses relations étendues avec des tiers et de faire en sorte que ce rôle soit intégré dans les processus de reporting et de divulgation ESG de l'organisation.

La réalité est que l'organisation moderne, avec son réseau de relations avec des tiers, ne peut pas gérer de manière réaliste les processus ESG et fournir des informations en temps voulu avec des processus manuels qui gèrent cela dans des documents, des feuilles de calcul et des courriels. S'appuyer sur des processus manuels ne fera qu'enliser l'organisation dans l'inefficacité, le manque de compréhension des risques, et les choses qui glissent entre les mailles du filet et passent à côté. Les organisations ont besoin d'une architecture informatique et technologique robuste pour la gouvernance, la gestion des risques et la conformité des tiers, afin d'assurer la diligence raisonnable et le reporting ESG dans toute l'entreprise étendue.

Tags :
Partager :
Michael Rasmussen
Michael Rasmussen
Analyste et expert en GRC, GRC 20/20 Research

Michael Rasmussen est un spécialiste internationalement reconnu de la gouvernance, de la gestion des risques et de la conformité (GRC) - avec une expertise spécifique sur les thèmes de la GRC d'entreprise, de la technologie GRC, de la conformité des entreprises et de la gestion des politiques. Fort de plus de 28 ans d'expérience, Michael aide les organisations à améliorer les processus GRC, à concevoir et à mettre en œuvre une architecture GRC et à sélectionner des technologies efficaces, efficientes et agiles.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo