Ces dernières années, l'ESG (Environnemental, Social et Gouvernance) est devenu un domaine de considération de plus en plus central pour les organisations. Presque toutes les grandes entreprises sont censées répondre aux exigences en matière de rapports et d'audits des investisseurs, des conseils d'administration et, de plus en plus, des gouvernements. L'objectif de la gestion des initiatives ESG est de permettre aux entreprises publiques d'assurer leur durabilité à long terme. Par conséquent, les sujets ESG peuvent inclure :
Changement climatique et durabilité (E)
Justice sociale, équité salariale et protection des travailleurs (S)
Bonne gouvernance, lutte contre les pots-de-vin et la corruption, et diversité - tant au niveau du personnel qu'au niveau du conseil d'administration (G)
La gestion de l'ESG va de pair avec le risque et la conformité. Un contrôle adéquat de l'ESG nécessite une expertise en matière de gestion des risques de tiers et de conformité aux réglementations associées. Les responsabilités des entreprises en matière d'ESG et la gestion des risques liés aux tiers se recoupent largement en raison de la complexité des chaînes d'approvisionnement modernes. Ce billet examine la conformité ESG concernant le risque de tiers, couvre les normes de conformité actuelles, ainsi que les principales législations actuellement à l'étude.
La conformité ESG exige des organisations qu'elles adhèrent à des normes environnementales, sociales et de gouvernance (ESG) spécifiques fixées par des réglementations et des législations. Elle implique l'adoption de pratiques durables, éthiques et responsables, y compris la déclaration des activités ESG, la gestion efficace des risques par des tiers et l'alignement des opérations commerciales sur les valeurs ESG. Cela permet aux entreprises de prendre en compte leur impact sur l'environnement, de défendre la justice sociale, de pratiquer la bonne gouvernance et d'assurer leur viabilité à long terme.
Pourquoi la conformité ESG est-elle importante pour la gestion des risques des tiers (TPRM) ? Les exigences de conformité ESG visent à traiter le risque opérationnel qui a un impact sur les tiers et leurs chaînes d'approvisionnement étendues. Les entreprises publiques ont souvent la responsabilité légale de prendre en compte les pratiques ESG de leurs tiers et de leur chaîne d'approvisionnement étendue. Elles ont également besoin d'informations pour évaluer les risques découlant de la non-conformité aux principales réglementations ESG.
La plupart des exigences de conformité ESG imposent des rapports plutôt que des actions directes pour répondre aux préoccupations ESG. Cependant, deux nouvelles réglementations émanant de l'Allemagne et de l'Union européenne (UE) sont en train de remodeler rapidement le paysage (voir ci-dessous pour en savoir plus). En outre, de nombreuses exigences de conformité ESG se concentrent actuellement sur les institutions financières et d'investissement, qui sont souvent les premiers secteurs à être confrontés à de nouvelles catégories de réglementations.
Les exigences de conformité ESG peuvent en grande partie être réparties en quatre catégories :
Obligation pour les organisations de divulguer leurs performances et pratiques ESG
Exigences pour les investisseurs de prendre en compte l'ESG dans le cadre de leur planification d'investissement
Lois spécifiques qui touchent à certaines parties de l'ESG mais qui ne sont pas axées sur l'ESG proprement dit.
Exigences pour les organisations en matière d'audit et de gestion de leurs pratiques commerciales et de leurs chaînes d'approvisionnement
Les régulateurs internationaux, en particulier dans l'UE, se préoccupent de plus en plus de l'ESG. Des lois établies, telles que la loi américaine sur les pratiques de corruption à l'étranger (FCPA) et la loi britannique sur la corruption, traitent de certains éléments de l'ESG, mais les gouvernements légifèrent désormais directement sur des exigences qui englobent de larges pans de l'ESG, depuis la création d'obligations de déclaration jusqu'à la garantie active que les entreprises intègrent l'ESG dans leur processus décisionnel de base.
La loi sur la lutte contre le travail forcé et le travail des enfants dans les chaînes d'approvisionnement, également connue sous le nom de S-211, est une loi qui exige des institutions gouvernementales canadiennes et de certaines entités du secteur privé qu'elles "fassent rapport sur les mesures prises pour prévenir et réduire le risque de recours au travail forcé ou au travail des enfants par elles-mêmes ou dans leurs chaînes d'approvisionnement". La loi prévoit également un régime d'inspection pour faire appliquer ses dispositions. À l'instar de la loi britannique sur l'esclavage moderne, de la loi australienne sur l'esclavage et d'autres lois similaires, la loi vise à contribuer à la lutte mondiale contre le travail forcé, le travail des enfants et d'autres formes d'esclavage moderne.
Le Modern Slavery Act de 2015 est une loi britannique axée sur la prévention de la traite des êtres humains, de l'esclavage moderne et du travail forcé dans les chaînes d'approvisionnement britanniques. Les organisations sont tenues de communiquer chaque année leurs pratiques pour s'assurer que le travail forcé et d'autres formes de servitude involontaire n'ont pas lieu dans leurs entreprises ou leurs chaînes d'approvisionnement. La section "Transparence dans les chaînes d'approvisionnement" de la loi (partie 6, section 54) définit les informations que les organisations sont tenues de divulguer :
la structure de l'organisation, ses activités et ses chaînes d'approvisionnement ;
ses politiques en matière d'esclavage et de traite des êtres humains ;
ses processus de diligence raisonnable en ce qui concerne l'esclavage et la traite des êtres humains dans ses activités et ses chaînes d'approvisionnement ;
les parties de ses activités et de ses chaînes d'approvisionnement où il existe un risque d'esclavage et de traite des êtres humains, et les mesures qu'elle a prises pour évaluer et gérer ce risque ;
son efficacité à garantir que l'esclavage et la traite des êtres humains n'ont pas lieu dans ses activités ou ses chaînes d'approvisionnement, mesurée par rapport aux indicateurs de performance qu'il juge appropriés ;
la formation sur l'esclavage et la traite des êtres humains proposée à son personnel.
La NFRD a été adoptée en 2018 et crée un ensemble d'exigences de déclaration pour les grandes organisations de l'UE. En vertu de la NFRD, les entités sont tenues de fournir des mises à jour régulières concernant leurs pratiques ESG dans plusieurs domaines. Les entreprises sont autorisées à choisir le cadre ou les normes par rapport auxquels elles établissent des rapports en fonction de l'adéquation du secteur. Les grandes organisations ayant des opérations dans l'UE sont tenues de divulguer leurs dossiers sur :
les questions environnementales
questions sociales et traitement des employés
le respect des droits de l'homme
anti-corruption et pots-de-vin
la diversité au sein des conseils d'administration des entreprises (en termes d'âge, de sexe, de formation et de parcours professionnel)
En avril 2021, l'UE a publié un projet de directive intitulé "Corporate Sustainability Reporting Directive" (CSRD). La CSRD représente une modification substantielle de la NFRD et est conçue pour augmenter à la fois la portée et les exigences des grandes entreprises de l'UE. Si elle est adoptée, la CSRD :
étendre le nombre d'organisations à toutes les grandes entreprises de l'UE et à toutes les entreprises cotées sur les marchés de l'UE (à l'exception de certaines micro-entreprises étroitement définies)
Obliger les organisations à produire leurs rapports ESG sur la base de normes spécifiques édictées par l'UE.
Rendre obligatoire un audit des informations communiquées
exiger des entreprises qu'elles produisent les informations dans un format lisible par machine et susceptible d'alimenter le plan d'action de l'Union des marchés de capitaux de l'UE
Risque lié aux tiers et ESG : ce qu'il faut savoir maintenant que c'est en train de se produire
Dans ce webinaire, Bob Wilkinson, PDG de Cyber Marathon Solutions et ancien RSSI de Citigroup, examine en profondeur ce que l'ESG signifie réellement pour les risques des tiers.
La loi californienne sur la transparence des chaînes d'approvisionnement a été l'une des premières lois créées pour permettre aux consommateurs de tenir les entreprises responsables de l'esclavage moderne et de la traite des êtres humains dans leurs chaînes d'approvisionnement. Promulguée le 1er janvier 2012, cette loi exige que les entreprises répondant aux critères suivants publient chaque année des informations sur les mesures qu'elles prennent pour lutter contre le travail forcé dans leurs chaînes d'approvisionnement :
Les entreprises qui s'identifient comme détaillants ou fabricants dans leurs déclarations fiscales ET
Répondre à la définition légale de faire des affaires en Californie ET
Avoir des recettes brutes annuelles mondiales supérieures à 100 000 000 $.
En vertu de cette loi, les entreprises sont tenues de fournir des informations régulières sur leurs efforts pour prévenir l'esclavage moderne dans cinq domaines clés :
1. Vérification : L'organisation s'engage dans la vérification des chaînes d'approvisionnement pour vérifier que la traite des êtres humains et l'esclavage moderne ne sont pas présents.
2. Audits : L'organisation effectue des audits des chaînes d'approvisionnement et des tierces, quatrièmes et nièmes parties afin de garantir la conformité aux normes organisationnelles de transparence et de gouvernance de la chaîne d'approvisionnement.
3. Certification : L'organisation exige des tiers qu'ils certifient que les matériaux et les vendeurs respectent les lois et réglementations de leur pays en matière de travail forcé et d'esclavage moderne.
4. Responsabilité interne : Que l'organisation maintienne et applique des contrôles internes pour s'assurer que les employés et les contractants respectent les normes de l'entreprise pour éviter l'esclavage moderne dans la chaîne d'approvisionnement.
5. Formation : L'organisation fournit au personnel de la chaîne d'approvisionnement et de la gestion une formation sur la manière d'éviter la traite des êtres humains, le travail forcé et l'esclavage moderne dans la chaîne d'approvisionnement de l'organisation.
Le règlement sur la divulgation de la finance durable est entré en vigueur en mars 2021 et vise à créer plus de transparence autour des facteurs ESG pour les organisations financières. Le SFDR s'applique aux entreprises d'assurance, d'investissement, de banque et aux autres entreprises financières opérant au sein de l'UE.
Les entités financières sont tenues de fournir des indications détaillées, présentées dans un format conforme aux normes définies dans le règlement, sur la manière dont elles réduisent les dommages que peuvent causer leurs investissements à l'environnement ou à la société en général. Le SFDR vise à :
Normaliser le reporting ESG dans les institutions financières de l'UE
Améliorer la transparence et la responsabilité des déclarations de durabilité faites par les institutions financières.
Permettre aux investisseurs et aux clients de comparer en connaissance de cause les différentes institutions financières sur la base de comparaisons de durabilité
Le CSRD s'applique aux organismes financiers qui répondent à 2 des 3 critères suivants :
>250 employés
>40 millions d'euros de chiffre d'affaires annuel
>20M€ d'actifs totaux
Ou
Sociétés cotées sur les marchés de l'UE (à l'exception des micro-entreprises comptant moins de 10 employés ou réalisant un chiffre d'affaires inférieur à 20 millions d'euros)
Les organisations peuvent subir un énorme préjudice de réputation, en plus des amendes et de la responsabilité pour le travail forcé découvert dans la chaîne d'approvisionnement. Il est essentiel que les professionnels de la gestion des risques liés aux tiers assurent une visibilité tout au long de la chaîne d'approvisionnement. Les programmes TPRM doivent non seulement prendre en compte les tierces parties, mais également procéder à un examen minutieux des fournisseurs de la quatrième et de la neuvième partie de la chaîne d'approvisionnement étendue.
La loi sur les pratiques de corruption à l'étranger est directement liée à la gouvernance d'entreprise et prévoit des sanctions importantes pour les organisations qui tentent de corrompre des fonctionnaires étrangers. Le FCPA interdit aux organisations de corrompre ou d'influencer indûment de quelque manière que ce soit des fonctionnaires étrangers ou des candidats à des fonctions officielles afin d'obtenir ou de conserver des marchés. Le FCPA s'applique aux sociétés actionnaires, aux bureaux de la société et aux employés et peut s'étendre à des actions presque partout dans le monde.
La violation du FCPA peut entraîner une responsabilité pénale individuelle, avec jusqu'à 5 ans de prison pour les personnes reconnues coupables, et jusqu'à 2 000 000 $ d'amende par violation pour les entreprises.
Les entreprises qui font des affaires au Royaume-Uni doivent s'assurer que leurs politiques, systèmes et programmes de formation et de développement sont conformes à la loi sur la corruption de 2010. La loi sur la corruption s'applique à toutes les entreprises qui font des affaires au Royaume-Uni, quel que soit le pays où l'activité de corruption a lieu.
La loi contient quatre types de délits :
1) Offrir ou donner un pot-de-vin à une autre personne.
2) Être soudoyé par une autre personne.
3) Corruption d'un agent public étranger.
4) Une société qui n'a pas empêché la corruption par des personnes associées.
Les peines encourues en cas de violation de cette loi peuvent être graves. Pour les particuliers, la peine maximale est de 10 ans d'emprisonnement et/ou une amende. Pour les infractions commises par des sociétés, la peine maximale est une amende illimitée. Les infractions commises par les entreprises peuvent également entraîner d'autres conséquences graves, notamment l'exclusion des contrats, la disqualification des directeurs d'entreprise et la confiscation des biens.
L'ABAC ne devrait pas être une nouveauté pour les services de gestion des risques liés aux tiers. Cependant, de nombreuses organisations ne prennent en compte la conformité ABAC que lors de l'intégration de nouveaux fournisseurs, sans surveiller les risques tout au long du cycle de vie du contrat. Envisagez l'utilisation d'une plateforme de gestion des risques tiers qui vous permette de pratiquer une surveillance ABAC continue tout au long du cycle de vie du fournisseur.
Aligner votre programme de TPRM sur les réglementations ESG en cours d'élaboration
Téléchargez ce guide pour passer en revue les normes et la législation ESG actuelles et futures, et apprendre à préparer votre programme de TPRM pour qu'il soit conforme.
La loi Dodd-Frank a été adoptée pour renforcer la surveillance du secteur bancaire après le krach financier de 2008 aux États-Unis. La section 1502 de la loi Dodd-Frank oblige les sociétés cotées en bourse à divulguer leur utilisation de minéraux de conflit, notamment le titane, l'étain, l'or et le tungstène.
En vertu de la loi, si les minerais de conflit sont "nécessaires à la fonctionnalité ou à la production d'un produit", les entreprises doivent être transparentes quant à leur utilisation. Ces éléments sont souvent extraits dans des zones de conflit, et le commerce des minéraux de conflit est lié aux conflits armés au Congo et dans d'autres pays voisins.
Les entreprises qui tirent profit de ces minerais ont la responsabilité d'enquêter sur leurs chaînes d'approvisionnement, d'identifier les risques liés aux minerais de la guerre et de rendre compte de leurs conclusions et de leurs efforts à la SEC (Commission des valeurs mobilières des États-Unis). Il existe deux critères qu'une entreprise doit remplir pour que la loi s'applique à elle : 1) elle dépose des rapports auprès de la SEC en vertu de la loi sur les échanges de titres, et 2) les minéraux sont "nécessaires à la fonctionnalité ou à la production d'un produit", que les produits soient directement fabriqués par l'entreprise ou qu'ils le soient dans le cadre de contrats avec des tiers.
Si une entreprise répond à ces deux critères, elle doit effectuer une enquête raisonnable sur le pays d'origine de ses vendeurs et fournisseurs de minéraux fins, établir un processus de diligence raisonnable, obtenir un audit (plus précisément, un IPSA - audit indépendant du secteur privé) et déposer un rapport auprès de la SEC. Bien que l'évaluation de l'origine des minéraux ne fasse pas partie des activités principales des entreprises, le fait de ne pas le faire entraîne des risques de réputation, opérationnels et financiers.
Devant entrer en vigueur le 1er janvier 2023, la loi allemande sur la diligence raisonnable dans la chaîne d'approvisionnement vise à mieux protéger les droits de l'homme internationaux et l'environnement. Cette loi fait partie des nombreuses autres lois récentes visant à éliminer le travail forcé à l'échelle mondiale et à améliorer les conditions de travail au sein des chaînes d'approvisionnement. Elle se concentre spécifiquement sur la protection contre l'esclavage moderne, le travail forcé et le travail des enfants. Elle vise également à protéger les travailleurs contre les conditions de travail dangereuses, notamment les dommages causés par les polluants, l'exposition aux produits chimiques toxiques et l'élimination non sécurisée des déchets dangereux.
Avec le projet de directive européenne sur la diligence raisonnable des entreprises, la loi allemande sur la diligence raisonnable de la chaîne d'approvisionnement représente un changement significatif dans l'approche des gouvernements pour assurer la conformité ESG. Les exigences en matière de rapports sont rapidement remplacées par des lois qui imposent aux organisations de surveiller et d'éliminer les abus envers les travailleurs et l'environnement dans leurs chaînes d'approvisionnement.
Lagestion des risques ESG est une composante majeure des exigences de la loi sur la chaîne de diligence raisonnable en matière d'approvisionnement. En vertu de cette loi, les entreprises sont tenues de procéder à des évaluations rigoureuses pour garantir une diligence raisonnable en matière de droits de l'homme et de normes environnementales. La première étape de cette loi consiste à analyser et à évaluer les risques au sein des chaînes d'approvisionnement. Cette analyse doit être effectuée au moins une fois par an, ainsi qu'à chaque fois que l'entreprise adopte un nouveau produit ou service. Les domaines de risque spécifiés dans la loi sont les suivants :
Dommages environnementaux
Salaire minimum
Travail des enfants et travail forcé
Saisie illégale de terres et d'eaux
Torture
Discrimination
Liberté d'association
Conditions d'emploi et de travail problématiques
Santé et sécurité au travail
À partir de janvier 2023, les entreprises ayant des activités en Allemagne et comptant plus de 3 000 employés seront touchées par la loi allemande sur le devoir de diligence en matière de chaîne d'approvisionnement. Les entreprises concernées doivent mettre à jour leurs processus de contrôle préalable de la chaîne d'approvisionnement et aligner leurs activités sur les dispositions de la loi. Assurer la conformité est crucial pour la diligence raisonnable ESG.
Le 23 février 2022, l'UE a publié un projet de législation visant à promouvoir la transparence et l'ESG dans les chaînes d'approvisionnement de l'UE. Si elle est adoptée dans sa forme actuelle, la directive européenne sur la diligence raisonnable des entreprises constituera l'une des réglementations les plus radicales et affectera l'ESG tout au long de la chaîne d'approvisionnement. Les organisations seraient tenues de :
Intégrer la diligence raisonnable dans les politiques
Identifier les impacts négatifs réels ou potentiels sur les droits de l'homme et l'environnement.
Prévenir ou atténuer les impacts potentiels
Mettre fin ou minimiser les impacts réels
Établir et maintenir une procédure de plaintes
Contrôler l'efficacité de la politique et des mesures de diligence raisonnable
Communiquer publiquement sur la diligence raisonnable.
Les États membres de l'UE auront pour instruction d'instaurer des sanctions civiles et financières pour les entreprises qui ne se conforment pas aux règles, et les victimes se verront accorder un droit d'action privé contre les organisations pour les manquements qui auraient pu être évités par des mesures de diligence raisonnable appropriées.
En outre, le projet de directive prévoit que les entreprises de plus de 500 employés et dont le chiffre d'affaires dépasse 150 millions d'euros par an "doivent disposer d'un plan visant à garantir que leur stratégie commerciale est compatible avec la limitation du réchauffement climatique à 1,5 °C, conformément à l'accord de Paris."
S'ils sont adoptés tels quels, le projet de directive européenne sur le devoir de diligence des entreprises et les lois allemandes sur le devoir de diligence de la chaîne d'approvisionnement entraîneront des changements radicaux pour les entités opérant au sein de l'UE. Les organisations concernées devront procéder à un examen approfondi de leur chaîne d'approvisionnement actuelle et créer des processus documentés pour éliminer le travail forcé et la dégradation de l'environnement tout au long de la chaîne d'approvisionnement étendue. Nous pensons que la directive européenne sur la diligence raisonnable des entreprises va probablement consolider l'ESG en tant que composante majeure d'un programme de conformité TPRM efficace.
Aujourd'hui, une grande partie de la conformité ESG est une activité volontaire, mais cette " soft law " risque de devenir rapidement une " hard law " à l'avenir, car divers régulateurs gouvernementaux, tant aux États-Unis que dans l'Union européenne, vont de l'avant pour mettre en œuvre de nouvelles réglementations ESG.
Ce qui était au départ une façon de décourager l'investissement dans les entreprises qui n'avaient pas d'orientation ESG a maintenant évolué vers un élan positif et une augmentation des investissements dans les entreprises qui ont des mesures ESG élevées. Ces mesures ont également fait leur entrée dans les briefings des dirigeants lors des événements annuels de reporting des entreprises.
Quelle est la place de l'ESG dans votre programme de TPRM ?
Notre guide de 14 pages présente un cadre de bonnes pratiques pour intégrer l'ESG dans votre programme de gestion des risques des tiers.
Pour les grandes entreprises, il devient indispensable d'adopter une approche ciblée et dédiée à l'ESG. Un bon point de départ est d'examiner les risques ESG à chaque étape de vos relations avec vos fournisseurs, et de prendre en compte les éléments suivants :
Utilisation des critères ESG lors de la prise de décision concernant l'approvisionnement de nouveaux fournisseurs
Identifier les exigences de conformité ESG qui s'appliquent à votre organisation.
L'intégration et la hiérarchisation des fournisseurs en fonction de leurs scores ESG pour aider à dicter une diligence plus poussée.
Établissement d'un profil de fournisseur comprenant les évaluations et les scores ESG actuels, visibles dans toute l'entreprise.
Évaluer et contrôler en permanence les tiers par rapport à des exigences ESG spécifiques telles que la réputation des fournisseurs, les sanctions, les questions géopolitiques, la gouvernance financière et la transparence.
Établir des rapports spécifiques à la réglementation en fonction des normes et des exigences
Les entreprises doivent être proactives pour gérer efficacement le risque ESG. En s'assurant que les programmes de gestion des risques des tiers intègrent la gestion des risques ESG, les entreprises se positionnent bien pour le jour où (et non pas si) les réglementations ESG seront mises en œuvre.
Pour savoir comment Prevalent peut vous aider à atteindre vos objectifs de conformité ESG, demandez une démonstration dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024