La loi allemande sur le devoir de diligence dans la chaîne d'approvisionnement (LkSG) impose aux entreprises opérant en Allemagne et employant au moins 3 000 personnes de mettre en œuvre un devoir de diligence en matière de droits de l'homme dans leur chaîne d'approvisionnement. Cette loi exige des entreprises qu'elles prennent toutes les mesures nécessaires pour prévenir les risques en matière de droits de l'homme, qu'elles rendent compte de leurs efforts, qu'elles remédient aux risques et qu'elles conservent la documentation pendant sept ans. En 2024, la loi s'étendra aux entreprises de plus de 1 000 employés.
La non-conformité peut entraîner des sanctions allant jusqu'à 800 000 euros pour les particuliers et 400 millions d'euros ou 2 % du chiffre d'affaires annuel moyen pour les entreprises. La LkSG s'aligne sur les réglementations ESG mondiales visant à protéger les droits de l'homme, soulignant l'importance d'intégrer ses exigences dans les stratégies de gestion des risques des fournisseurs.
Ce billet examine les exigences de la LkSG, notamment celles qui s'appliquent le plus à la gestion du risque fournisseur, et recommande les meilleures pratiques pour y répondre.
La loi impose aux entreprises les obligations suivantes. Dans ce billet, nous n'examinerons que les obligations en gras.
Remarque : cette section ne passe en revue que les principales caractéristiques de la LkSG. Pour une liste complète des exigences, veuillez consulter la loi complète.
Envisagez de mettre en œuvre les meilleures pratiques suivantes pour répondre aux principales dispositions de la LkSG en matière de gestion des risques liés aux fournisseurs.
La section 4, paragraphe 1, stipule que "les entreprises doivent mettre en place un système de gestion des risques approprié et efficace pour se conformer à l'obligation de diligence raisonnable ...". La gestion des risques doit être intégrée dans tous les processus opérationnels pertinents par le biais de mesures appropriées".
Pour répondre à cette exigence, commencez par développer et affiner les éléments clés de votre programme de gestion des risques fournisseurs, notamment :
Ces critères devraient constituer la base d'un programme de gestion des risques fournisseurs fondé sur les meilleures pratiques, qui inclut une diligence raisonnable pour répondre aux exigences de la LkSG et qui est extensible à d'autres catégories de risques, telles que la cybersécurité.
Gérer les risques ESG dans l'entreprise étendue
Ce rapport d'analyste de GRC 20/20 présente les meilleures pratiques pour inclure l'ESG dans votre programme de gestion des risques de tiers.
L'article 5 stipule que "l'entreprise doit procéder à une analyse de risque appropriée ... afin d'identifier les risques liés aux droits de l'homme et à l'environnement ... chez ses fournisseurs directs ...". [Les risques doivent être pondérés et hiérarchisés de manière appropriée... L'analyse des risques doit être effectuée une fois par an et sur une base ad hoc".
Pour répondre à cette exigence, évaluez les pratiques des fournisseurs à l'aide d'une plateforme centralisée qui permet de calculer automatiquement les risques en fonction des réponses des fournisseurs par rapport à des seuils de risque acceptables, de télécharger des preuves à l'appui, et qui est soutenue par un flux de travail et des recommandations de remédiation intégrées et des rapports - ce qui facilite le respect des exigences et des échéances en matière de rapports.
Un autre avantage d'une plateforme centrale de gestion des risques est qu'elle permet d'évaluer les fournisseurs en fonction de plusieurs types de risques et de corréler les données pour obtenir une image complète du risque fournisseur (au lieu d'une vision cloisonnée).
En outre, si les évaluations annuelles sont essentielles pour obtenir une vision de l'intérieur des pratiques d'un fournisseur en matière de droits de l'homme, il peut se passer beaucoup de choses entre les remises des rapports annuels. C'est pourquoi il est essentiel de valider les résultats des évaluations annuelles de diligence raisonnable par des informations continues sur la réputation, les médias défavorables et les nouvelles négatives, les actions réglementaires et juridiques, les sanctions, etc. Vous pouvez ensuite corréler les informations issues de la surveillance continue avec les résultats des évaluations périodiques afin d'obtenir des rapports plus unifiés sur les risques. La consolidation de l'ensemble des informations dans une "vitre unique" optimisera vos efforts d'analyse des risques.
La section 6, paragraphe 4, stipule que "l'entreprise doit prévoir des mesures préventives appropriées ... [y compris] la prise en compte des attentes lors de la sélection d'un fournisseur direct ... des assurances contractuelles ... et des mesures de contrôle contractuelles".
Pour répondre à ces exigences, les informations récentes sur les activités et la réputation, les documents juridiques, les notes ESG, les sanctions et autres renseignements connexes doivent être examinés dans le cadre de l'évaluation des nouveaux fournisseurs. Au lieu de jongler avec plusieurs sources d'information différentes, il convient de consolider toutes les informations dans un profil de fournisseur unique auquel toutes les équipes de l'organisation peuvent accéder. En outre, la collecte d'informations devrait être alignée sur les processus plus larges de gestion des appels d'offres pour une évaluation plus holistique des fournisseurs.
Lorsque vous passez à la phase contractuelle, intégrez des dispositions dans les contrats avec les fournisseurs et suivez les progrès réalisés par ces derniers en matière de rapports au fil du temps. Au lieu de traiter le processus contractuel séparément, intégrez-le dans votre processus d'évaluation des risques liés aux fournisseurs. Pour ce faire, centralisez tous les processus de distribution, de discussion, de conservation et d'examen des contrats et tirez parti du flux de travail tout au long du cycle de vie des contrats avec les fournisseurs. Les rapports sur les mesures de contrôle contractuel telles que les indicateurs clés de performance (ICP) et les indicateurs clés de risque (ICR) seront ainsi beaucoup plus simples à établir.
L'article 7 stipule que "si l'entreprise découvre qu'une violation d'une obligation liée aux droits de l'homme ou à l'environnement s'est déjà produite ou est imminente [...], elle doit, sans retard injustifié, prendre les mesures correctives qui s'imposent". L'une des mesures correctives prévues par la loi consiste à mettre fin à la relation avec le fournisseur.
Sur la base des résultats de l'évaluation des fournisseurs, comme expliqué à la section 5, faites des recommandations au fournisseur, demandez-lui des éclaircissements sur la politique à suivre et soyez prêts à signaler toute violation aux autorités. Les solutions de gestion des risques fournisseurs comprennent des suggestions de remédiation intégrées pour les fournisseurs. Il est essentiel de mener à bien cette étape, car elle est indispensable à l'établissement des rapports obligatoires.
S'il s'avère nécessaire de mettre fin à une relation avec un fournisseur, automatisez les évaluations finales des contrats et les procédures d'abandon afin de réduire le risque d'exposition post-contractuelle de votre organisation. Les tâches essentielles à accomplir sont les suivantes :
L'article 9, paragraphe 3, stipule : "Si une entreprise dispose d'indications réelles selon lesquelles une violation d'une obligation liée aux droits de l'homme ou à l'environnement chez des fournisseurs indirects est possible ... effectuer une analyse des risques ... définir des mesures préventives appropriées ... mettre en œuvre un concept de prévention".
Pour répondre à cette obligation, il est essentiel d'identifier les relations de sous-traitance de quatrième et de Nième partie dans votre écosystème de fournisseurs. Un excellent moyen d'entamer ce processus est de procéder à une évaluation de vos fournisseurs par le biais d'un questionnaire ou d'analyser passivement l'infrastructure publique du fournisseur. La carte des relations décrit les dépendances étendues qui pourraient exposer votre organisation à des risques. Les fournisseurs découverts grâce à ce processus doivent faire l'objet d'un suivi continu afin d'identifier les risques ESG, les risques commerciaux et les risques de sanctions.
L'article 10, paragraphes 1 et 2, stipule que "les obligations de diligence raisonnable ... doivent faire l'objet d'une documentation continue ... conservée pendant au moins sept ans". En outre, "l'entreprise doit établir un rapport annuel sur l'exécution de ses obligations de diligence raisonnable".
Pour répondre à ces exigences, stockez et distribuez de manière centralisée les documents relatifs à la politique des fournisseurs, les résultats de l'évaluation, les conclusions du contrôle et les mesures correctives à des fins de dialogue et d'attestation lors de l'établissement des rapports. Les solutions de gestion des risques fournisseurs offrent un accès basé sur les rôles, ce qui vous permet d'étendre la visibilité aux auditeurs externes susceptibles d'examiner vos processus de diligence raisonnable et de vous conseiller sur les exigences en matière de rapports annuels.
La création et la tenue d'une base de données centralisée sur les fournisseurs sont essentielles pour garantir l'efficacité du programme de gestion des risques liés aux fournisseurs (SRM) et satisfaire aux exigences de la loi en matière d'établissement de rapports. La base de données doit contenir des profils complets des fournisseurs et fournir un accès basé sur les rôles aux contacts de l'entreprise, à la documentation, aux données démographiques, aux connexions avec les 4e et 3e parties et à l'information sur les risques.
La plateforme de gestion des risques pour les tiersPrevalent vous permet de gérer les risques liés aux droits de l'homme et à l'environnement dans votre chaîne d'approvisionnement en automatisant les évaluations des politiques des fournisseurs en matière de droits de l'homme basées sur des enquêtes et en validant les résultats par un contrôle externe continu de leurs pratiques réelles. Avec Prevalent, vous pouvez :
Pour en savoir plus sur la façon dont la solution de conformité de Prevalent's German Supply Chain Due Diligence peut vous aider à atténuer les risques liés aux droits de l'homme et à l'environnement dans votre chaîne d'approvisionnement, planifiez une démonstration personnalisée dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024