Directive européenne sur les rapports de durabilité des entreprises (CSRD) : Considérations sur la gestion des risques liés aux tiers
En novembre 2022, le Parlement de l'Union européenne (UE) a adopté la directive sur les rapports de durabilité des entreprises (CSRD), une nouvelle loi qui oblige les entreprises à rendre compte des questions environnementales, sociales et de gouvernance (ESG), y compris celles qui découlent de leurs chaînes d'approvisionnement, dans le cadre des informations qu'elles publient régulièrement. Ces nouveaux rapports ont été élaborés pour répondre aux préoccupations de longue date selon lesquelles les rapports non financiers des entreprises de l'UE étaient incohérents et ne permettaient pas de réaliser des progrès fiables vers les objectifs de développement durable.
Les entreprises tenues de se conformer aux nouvelles normes comprennent les grandes entreprises de l'UE comptant plus de 250 employés et réalisant un chiffre d'affaires de 40 millions d'euros et/ou un actif total de plus de 20 millions d'euros, ainsi que toutes les entreprises cotées en bourse qui doivent se conformer aux exigences de la directive sur les rapports non financiers (NFRD). Les rapports commenceront en janvier 2025 sur la base des données de 2024. Il est donc temps de réfléchir à l'impact de ce mandat sur votre programme de gestion des risques des tiers.
Ce billet examine les nouvelles normes de développement durable du CSRD et fournit des recommandations de bonnes pratiques pour anticiper les inévitables exigences de reporting ESG des vendeurs et fournisseurs tiers.
Normes de rapport du CSRD
Le Groupe consultatif pour l'information financière en Europe (EFRAG), une organisation de soutien au Conseil de l'UE, a été chargé de contribuer à l'élaboration d'exigences qui guideront les obligations en matière de reporting. Ces exigences sont appelées normes européennes de reporting sur le développement durable (ESRS) et s'alignent généralement sur les catégories environnementales, sociales et de gouvernance (ESG) traditionnelles, notamment :
- Environnement : changement climatique, pollution, ressources en eau et ressources marines, biodiversité et écosystèmes, utilisation des ressources et économie circulaire.
- Social : sa propre main-d'œuvre, les travailleurs de la chaîne de valeur, les communautés touchées, les consommateurs et les utilisateurs finaux.
- Gouvernance : gouvernance, gestion des risques et contrôle interne ; et conduite des affaires
En outre, la loi comprend des "normes transversales", notamment la stratégie et le modèle d'entreprise, la gouvernance et l'organisation, les impacts, les risques et les opportunités, les mesures de mise en œuvre couvrant les politiques, les objectifs, les actions et les plans d'action, l'allocation des ressources et l'évaluation des performances.
En général, les exigences en matière de rapports doivent porter sur les risques liés au développement durable qui affectent l'entreprise, ainsi que sur l'impact de l'entreprise sur la société et l'environnement. Les informations communiquées doivent également
- être certifié par un auditeur externe
- S'aligner sur la taxonomie de l'UE
- être présenté sous la forme d'un rapport de gestion unique lisible par une machine
Les entreprises seront tenues de publier des déclarations distinctes sur le développement durable dans le cadre de leurs rapports de gestion réguliers. Par conséquent, pour répondre aux exigences de déclaration par rapport aux objectifs publiés, les organisations devront mener un processus de diligence raisonnable approfondi qui inclura non seulement leurs propres initiatives internes, mais aussi celles de leurs vendeurs, fournisseurs et partenaires tiers.
Se préparer à la conformité CSRD : Meilleures pratiques pour la gestion des risques ESG et des risques liés aux tiers
Pour que votre organisation soit mieux à même de rendre compte de l'impact ESG de vos tiers, tenez compte des quatre meilleures pratiques suivantes :
1. Inclure les exigences ESG dans les contrats avec les fournisseurs afin d'en imposer le respect.
Étant donné que les rapports sur le développement durable seront désormais obligatoires, incluez des dispositions ESG exécutoires dans vos contrats avec les vendeurs et les fournisseurs tiers. La centralisation des dispositions ESG dans une plateforme vous permettra de créer et de suivre automatiquement des indicateurs clés de performance (ICP) par rapport à des seuils ESG acceptables et d'alerter les fournisseurs de manière proactive s'ils ne respectent pas les mesures convenues, réduisant ainsi les éventuelles charges futures liées à l'établissement de rapports.
2. Établir un profil complet des fournisseurs afin de centraliser les principales mesures ESG
La centralisation des mesures clés relatives aux fournisseurs dans une source unique de vérité et leur mise à la disposition de toutes les équipes internes chargées de gérer les relations avec les fournisseurs améliorent la responsabilisation et simplifient l'établissement des rapports. Les données spécifiques à l'ESG à centraliser peuvent inclure :
- Environnement : scores ESG de haut niveau et toute information sur les violations écologiques.
- Social : Déclarations sur l'esclavage moderne et informations sur les entreprises
- Gouvernance : Indice de perception de la corruption (IPC), résultats de la réglementation et sanctions susceptibles d'indiquer une mauvaise gouvernance d'entreprise.
Gérer les risques ESG dans l'entreprise étendue
Ce rapport d'analyste de GRC 20/20 présente les meilleures pratiques pour inclure l'ESG dans votre programme de gestion des risques de tiers.
3. Effectuer des évaluations par rapport aux politiques et pratiques ESG de tiers
Ensuite, il faut aller au-delà des vérifications initiales de la base de données en procédant à des évaluations des risques par des tiers qui s'appuient sur des questionnaires spécifiques à la réglementation et exigent des preuves pour la validation. L'utilisation d'une plateforme automatisée pour évaluer, analyser et noter les fournisseurs en fonction de seuils de risque ESG acceptables permet de gagner du temps et de s'adapter à de multiples régimes de déclaration, tels que les normes de divulgation en matière de développement durable de l'International Sustainability Standards Board (ISSB) ou les nouvelles exigences de divulgation liées au climat proposées par la Securities and Exchange Commission (SEC) des États-Unis.
Les plateformes tierces de gestion des risques vous permettront d'étendre l'accès aux auditeurs externes en fonction des rôles, et comprendront des conseils intégrés de remédiation à recommander aux vendeurs et aux fournisseurs pour qu'ils se conforment aux politiques de votre entreprise.
4. Surveiller en permanence les vendeurs et les fournisseurs pour détecter d'éventuels problèmes liés à l'ESG
Une fois les évaluations terminées, permettre un contrôle continu des fournisseurs dans des domaines ESG spécifiques afin de valider l'efficacité de leurs politiques. Les sources de surveillance couramment utilisées sont les suivantes
- Les listes de sociétés sanctionnées telles que l'Office of Foreign Assets Control (OFAC) des États-Unis, la liste des sanctions du Royaume-Uni, la liste consolidée des sanctions de l'UE.
- Les personnes et les sociétés détenues ou contrôlées par des pays ciblés, ou agissant pour le compte ou au nom de ces pays, tels que publiés dans le document américain intitulé Specially Designated Nationals (SDN) and Blocked Persons (Ressortissants spécialement désignés et personnes bloquées).
- Les rapports financiers tels que les fonds d'actionnaires, la propriété effective, les profits et les pertes, et les engagements envers les fonds de développement durable - tous ces éléments permettent d'améliorer la transparence financière et la responsabilité.
Le contrôle de ces sources individuellement peut être un véritable casse-tête, c'est pourquoi il faut rechercher des solutions de contrôle continu qui centralisent ces données et les mettent automatiquement en corrélation avec les résultats de l'évaluation pour les politiques de gouvernance interne.
Prochaines étapes pour répondre aux exigences de la CSRD en matière de gestion des risques pour les tiers
La plateforme de gestion des risques liés aux tiersPrevalent permet d'évaluer les tiers en fonction d'un certain nombre de thèmes ESG à l'aide de modèles de questionnaires intégrés, et de valider les résultats par un contrôle externe continu des pratiques des fournisseurs. Prevalent vous permet de.. :
- Présélectionner rapidement les fournisseurs en fonction d'importantes mesures ESG à l'aide de profils de risque mis à jour en permanence.
- Centraliser l'intégration, la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs, afin de garantir une application et une évaluation cohérentes des exigences ESG.
- Élaborer des profils de fournisseurs en puisant dans plus de 550 000 sources d'informations sur les fournisseurs, ainsi que dans un flux d'informations sur le statut ESG de 12 000 entreprises.
- Suivre et quantifier les risques inhérents à tous les fournisseurs intégrés.
- Évaluer les fournisseurs en fonction des critères ESG à l'aide de questionnaires standardisés, du cadre de conformité Prevalent (PCF) ou de questionnaires personnalisables.
- Contrôler en permanence les fournisseurs en ce qui concerne la réputation et les sanctions, la gouvernance financière et la transparence, ainsi que les personnes politiquement exposées (PEP), en corrélant les résultats de l'évaluation et les informations issues du contrôle continu.
- Prendre des mesures concrètes pour réduire les risques ESG grâce à des recommandations et des conseils intégrés.
- Stocker et distribuer les documents relatifs à l'énergie, à la pollution, à la diversité, à la comptabilité et aux conflits d'intérêts, etc. à des fins de dialogue et d'attestation.
- Rapport sur les exigences ESG à l'aide de modèles de rapports réglementaires intégrés
Pour en savoir plus sur la façon dont Prevalent peut vous aider à vous préparer à la directive européenne sur les rapports de durabilité des entreprises, demandez une démonstration dès aujourd'hui.
Tout commence ici
Vous êtes prêt à découvrir comment Prevalent peut soulager votre programme TPRM ? Demandez une démonstration gratuite et sans engagement dès aujourd'hui.
Demandez une démo-
Règles de divulgation de la SEC en matière de cybersécurité : 9 questions clés à poser aux tiers
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024
-
NIST CSF 2.0 : Implications pour votre programme de gestion des risques liés aux tiers
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
09/25/2024
-
Cadre NIST de protection de la vie privée pour la gestion des risques liés aux tiers
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024
-
Prêt pour une démonstration ?
- Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
- Demander une démo