Demandez une démo

La loi allemande sur le devoir de vigilance à l'égard de la chaîne d'approvisionnement et la gestion du risque fournisseur

Suivez ces bonnes pratiques pour évaluer les risques liés aux droits de l'homme et à l'environnement dans votre chaîne d'approvisionnement et y remédier.
Par :
Scott Lang
,
VP, Marketing produit
23 mai 2024
Partager :
Blog loi allemande sur le devoir de diligence dans la chaîne d'approvisionnement 0423

Qu'est-ce que la loi allemande sur le devoir de vigilance à l'égard de la chaîne d'approvisionnement ?

La loi allemande sur le devoir de diligence dans la chaîne d'approvisionnement (LkSG) impose aux entreprises opérant en Allemagne et employant au moins 3 000 personnes de mettre en œuvre un devoir de diligence en matière de droits de l'homme dans leur chaîne d'approvisionnement. Cette loi exige des entreprises qu'elles prennent toutes les mesures nécessaires pour prévenir les risques en matière de droits de l'homme, qu'elles rendent compte de leurs efforts, qu'elles remédient aux risques et qu'elles conservent la documentation pendant sept ans. En 2024, la loi s'étendra aux entreprises de plus de 1 000 employés.

La non-conformité peut entraîner des sanctions allant jusqu'à 800 000 euros pour les particuliers et 400 millions d'euros ou 2 % du chiffre d'affaires annuel moyen pour les entreprises. La LkSG s'aligne sur les réglementations ESG mondiales visant à protéger les droits de l'homme, soulignant l'importance d'intégrer ses exigences dans les stratégies de gestion des risques des fournisseurs.

Ce billet examine les exigences de la LkSG, notamment celles qui s'appliquent le plus à la gestion du risque fournisseur, et recommande les meilleures pratiques pour y répondre.

Exigences de la loi allemande sur le devoir de diligence en matière de chaîne d'approvisionnement

La loi impose aux entreprises les obligations suivantes. Dans ce billet, nous n'examinerons que les obligations en gras.

  • Tenir compte des obligations de diligence raisonnable en matière de droits de l'homme et d'environnement dans la chaîne d'approvisionnement (section 3)
  • Mettre en place un système de gestion des risques (section 4, paragraphe 1)
  • Désigner une personne responsable (section 4, paragraphe 3)
  • Effectuer des analyses de risques régulières (section 5)
  • Publier des déclarations de politique générale (section 6, paragraphe 2)
  • Mettre en œuvre des mesures préventives dans son propre secteur d'activité (article 6, paragraphes 1 et 3) et avec ses fournisseurs directs (article 6, paragraphe 4).
  • Prendre des mesures correctives en cas de violation des droits de l'homme (section 7, paragraphes 1 à 3)
  • Mettre en place une procédure de plainte concernant la notification des violations des droits de l'homme (section 8)
  • Mettre en œuvre des obligations de diligence raisonnable pour les fournisseurs indirects (section 9)
  • Document et rapport (section 10, paragraphes 1-2)

6 bonnes pratiques pour répondre aux exigences de la loi allemande sur le devoir de vigilance à l'égard de la chaîne d'approvisionnement

Remarque : cette section ne passe en revue que les principales caractéristiques de la LkSG. Pour une liste complète des exigences, veuillez consulter la loi complète.

Envisagez de mettre en œuvre les meilleures pratiques suivantes pour répondre aux principales dispositions de la LkSG en matière de gestion des risques liés aux fournisseurs.

1. Mettre en place un système de gestion des risques

La section 4, paragraphe 1, stipule que "les entreprises doivent mettre en place un système de gestion des risques approprié et efficace pour se conformer à l'obligation de diligence raisonnable ...". La gestion des risques doit être intégrée dans tous les processus opérationnels pertinents par le biais de mesures appropriées".

Pour répondre à cette exigence, commencez par développer et affiner les éléments clés de votre programme de gestion des risques fournisseurs, notamment :

  • Politiques, normes, systèmes et processus directeurs
  • Rôles et responsabilités clairs (par exemple, RACI)
  • Classification des fournisseurs et logique de catégorisation
  • Seuils d'évaluation des risques basés sur les niveaux de tolérance au risque de votre organisation
  • Cartographie des fournisseurs indirects pour comprendre l'écosystème étendu de votre organisation
  • Définir les bonnes évaluations et les bonnes sources de données de contrôle continu (par exemple, sur le plan commercial, de la réputation, financier).
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
  • Conformité et exigences de rapports contractuels par rapport aux niveaux de service
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation

Ces critères devraient constituer la base d'un programme de gestion des risques fournisseurs fondé sur les meilleures pratiques, qui inclut une diligence raisonnable pour répondre aux exigences de la LkSG et qui est extensible à d'autres catégories de risques, telles que la cybersécurité.

Gérer les risques ESG dans l'entreprise étendue

Ce rapport d'analyste de GRC 20/20 présente les meilleures pratiques pour inclure l'ESG dans votre programme de gestion des risques de tiers.

Lire la suite
Gestion du blog esg 1021

2. Effectuer des analyses de risques régulières

L'article 5 stipule que "l'entreprise doit procéder à une analyse de risque appropriée ... afin d'identifier les risques liés aux droits de l'homme et à l'environnement ... chez ses fournisseurs directs ...". [Les risques doivent être pondérés et hiérarchisés de manière appropriée... L'analyse des risques doit être effectuée une fois par an et sur une base ad hoc".

Pour répondre à cette exigence, évaluez les pratiques des fournisseurs à l'aide d'une plateforme centralisée qui permet de calculer automatiquement les risques en fonction des réponses des fournisseurs par rapport à des seuils de risque acceptables, de télécharger des preuves à l'appui, et qui est soutenue par un flux de travail et des recommandations de remédiation intégrées et des rapports - ce qui facilite le respect des exigences et des échéances en matière de rapports.

Un autre avantage d'une plateforme centrale de gestion des risques est qu'elle permet d'évaluer les fournisseurs en fonction de plusieurs types de risques et de corréler les données pour obtenir une image complète du risque fournisseur (au lieu d'une vision cloisonnée).

En outre, si les évaluations annuelles sont essentielles pour obtenir une vision de l'intérieur des pratiques d'un fournisseur en matière de droits de l'homme, il peut se passer beaucoup de choses entre les remises des rapports annuels. C'est pourquoi il est essentiel de valider les résultats des évaluations annuelles de diligence raisonnable par des informations continues sur la réputation, les médias défavorables et les nouvelles négatives, les actions réglementaires et juridiques, les sanctions, etc. Vous pouvez ensuite corréler les informations issues de la surveillance continue avec les résultats des évaluations périodiques afin d'obtenir des rapports plus unifiés sur les risques. La consolidation de l'ensemble des informations dans une "vitre unique" optimisera vos efforts d'analyse des risques.

3. Mettre en œuvre des mesures préventives

La section 6, paragraphe 4, stipule que "l'entreprise doit prévoir des mesures préventives appropriées ... [y compris] la prise en compte des attentes lors de la sélection d'un fournisseur direct ... des assurances contractuelles ... et des mesures de contrôle contractuelles".

Pour répondre à ces exigences, les informations récentes sur les activités et la réputation, les documents juridiques, les notes ESG, les sanctions et autres renseignements connexes doivent être examinés dans le cadre de l'évaluation des nouveaux fournisseurs. Au lieu de jongler avec plusieurs sources d'information différentes, il convient de consolider toutes les informations dans un profil de fournisseur unique auquel toutes les équipes de l'organisation peuvent accéder. En outre, la collecte d'informations devrait être alignée sur les processus plus larges de gestion des appels d'offres pour une évaluation plus holistique des fournisseurs.

Lorsque vous passez à la phase contractuelle, intégrez des dispositions dans les contrats avec les fournisseurs et suivez les progrès réalisés par ces derniers en matière de rapports au fil du temps. Au lieu de traiter le processus contractuel séparément, intégrez-le dans votre processus d'évaluation des risques liés aux fournisseurs. Pour ce faire, centralisez tous les processus de distribution, de discussion, de conservation et d'examen des contrats et tirez parti du flux de travail tout au long du cycle de vie des contrats avec les fournisseurs. Les rapports sur les mesures de contrôle contractuel telles que les indicateurs clés de performance (ICP) et les indicateurs clés de risque (ICR) seront ainsi beaucoup plus simples à établir.

4. Prendre des mesures correctives

L'article 7 stipule que "si l'entreprise découvre qu'une violation d'une obligation liée aux droits de l'homme ou à l'environnement s'est déjà produite ou est imminente [...], elle doit, sans retard injustifié, prendre les mesures correctives qui s'imposent". L'une des mesures correctives prévues par la loi consiste à mettre fin à la relation avec le fournisseur.

Sur la base des résultats de l'évaluation des fournisseurs, comme expliqué à la section 5, faites des recommandations au fournisseur, demandez-lui des éclaircissements sur la politique à suivre et soyez prêts à signaler toute violation aux autorités. Les solutions de gestion des risques fournisseurs comprennent des suggestions de remédiation intégrées pour les fournisseurs. Il est essentiel de mener à bien cette étape, car elle est indispensable à l'établissement des rapports obligatoires.

S'il s'avère nécessaire de mettre fin à une relation avec un fournisseur, automatisez les évaluations finales des contrats et les procédures d'abandon afin de réduire le risque d'exposition post-contractuelle de votre organisation. Les tâches essentielles à accomplir sont les suivantes :

  • Rapport sur l'accès au système, la destruction des données, la gestion de l'accès, les paiements finaux, etc.
  • Stocker et gérer de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les contrats de service et les contrats.
  • Faire correspondre les résultats de l'évaluation au cadre réglementaire afin de simplifier la rédaction du rapport final

5. Mettre en œuvre la diligence raisonnable pour les fournisseurs indirects

L'article 9, paragraphe 3, stipule : "Si une entreprise dispose d'indications réelles selon lesquelles une violation d'une obligation liée aux droits de l'homme ou à l'environnement chez des fournisseurs indirects est possible ... effectuer une analyse des risques ... définir des mesures préventives appropriées ... mettre en œuvre un concept de prévention".

Pour répondre à cette obligation, il est essentiel d'identifier les relations de sous-traitance de quatrième et de Nième partie dans votre écosystème de fournisseurs. Un excellent moyen d'entamer ce processus est de procéder à une évaluation de vos fournisseurs par le biais d'un questionnaire ou d'analyser passivement l'infrastructure publique du fournisseur. La carte des relations décrit les dépendances étendues qui pourraient exposer votre organisation à des risques. Les fournisseurs découverts grâce à ce processus doivent faire l'objet d'un suivi continu afin d'identifier les risques ESG, les risques commerciaux et les risques de sanctions.

6. Document et rapport

L'article 10, paragraphes 1 et 2, stipule que "les obligations de diligence raisonnable ... doivent faire l'objet d'une documentation continue ... conservée pendant au moins sept ans". En outre, "l'entreprise doit établir un rapport annuel sur l'exécution de ses obligations de diligence raisonnable".

Pour répondre à ces exigences, stockez et distribuez de manière centralisée les documents relatifs à la politique des fournisseurs, les résultats de l'évaluation, les conclusions du contrôle et les mesures correctives à des fins de dialogue et d'attestation lors de l'établissement des rapports. Les solutions de gestion des risques fournisseurs offrent un accès basé sur les rôles, ce qui vous permet d'étendre la visibilité aux auditeurs externes susceptibles d'examiner vos processus de diligence raisonnable et de vous conseiller sur les exigences en matière de rapports annuels.

La création et la tenue d'une base de données centralisée sur les fournisseurs sont essentielles pour garantir l'efficacité du programme de gestion des risques liés aux fournisseurs (SRM) et satisfaire aux exigences de la loi en matière d'établissement de rapports. La base de données doit contenir des profils complets des fournisseurs et fournir un accès basé sur les rôles aux contacts de l'entreprise, à la documentation, aux données démographiques, aux connexions avec les 4e et 3e parties et à l'information sur les risques.

Prochaines étapes de la procédure de diligence raisonnable en matière de chaîne d'approvisionnement

La plateforme de gestion des risques pour les tiersPrevalent vous permet de gérer les risques liés aux droits de l'homme et à l'environnement dans votre chaîne d'approvisionnement en automatisant les évaluations des politiques des fournisseurs en matière de droits de l'homme basées sur des enquêtes et en validant les résultats par un contrôle externe continu de leurs pratiques réelles. Avec Prevalent, vous pouvez :

  • Intégrer les processus d'appel d'offres, de contractualisation et de diligence raisonnable dans une solution unique pour traiter les risques tout au long du cycle de vie des fournisseurs.
  • Établir un inventaire central des fournisseurs et calculer les risques inhérents que les fournisseurs introduisent dans votre environnement.
  • Évaluer et surveiller en permanence les fournisseurs en ce qui concerne les droits de l'homme, l'environnement et les risques liés à la chaîne d'approvisionnement, le tout dans une seule et même solution.
  • Fournir des recommandations automatisées de remédiation aux fournisseurs afin de réduire l'exposition au risque résiduel.
  • Mesurer les fournisseurs par rapport aux indicateurs de performance clés (KPI) et aux indicateurs de risque clés (KRI) contractuels.
  • Utiliser des modèles pour simplifier l'établissement de rapports d'audit réglementaire à l'intention de multiples parties prenantes internes et externes.

Pour en savoir plus sur la façon dont la solution de conformité de Prevalent's German Supply Chain Due Diligence peut vous aider à atténuer les risques liés aux droits de l'homme et à l'environnement dans votre chaîne d'approvisionnement, planifiez une démonstration personnalisée dès aujourd'hui.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo