Conformité à la loi allemande sur le devoir de diligence dans la chaîne d'approvisionnement (LkSG)

Développez et affinez les éléments clés de votre programme de gestion du risque fournisseur (SRM), notamment :

• Politiques, normes, systèmes et processus directeurs
• Rôles et responsabilités clairs (par exemple, RACI)
• Classification des fournisseurs et logique de catégorisation
• Seuils d'évaluation des risques basés sur les niveaux de tolérance au risque de votre organisation
• Cartographie des fournisseurs indirects pour comprendre l'écosystème étendu de votre organisation
• Définir les bonnes évaluations et les bonnes sources de données de contrôle continu (par exemple, sur le plan commercial, de la réputation, financier).
• Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
• Conformité et exigences de rapports contractuels par rapport aux niveaux de service
• Rapports sur les risques et les parties prenantes internes
• Stratégies d'atténuation des risques et de remédiation

Ces critères devraient constituer la base d'un programme de gestion des risques fournisseurs fondé sur les meilleures pratiques, qui comprendrait non seulement la diligence nécessaire pour répondre aux exigences de la LkSG, mais serait également extensible à d'autres catégories de risques, telles que la cybersécurité.

Évaluer les pratiques des fournisseurs à l'aide d'une plateforme centralisée qui permet de calculer automatiquement les risques en fonction des réponses des fournisseurs par rapport à des seuils de risque acceptables, de télécharger des preuves à l'appui et de s'appuyer sur un flux de travail, des recommandations de remédiation intégrées et des rapports - ce qui facilite le respect des exigences et des échéances en matière de rapports.

Validez les résultats de l'évaluation annuelle de la diligence raisonnable grâce à des informations continues sur la réputation, les médias défavorables et les nouvelles négatives, les actions réglementaires et juridiques, les sanctions, etc. Corréler les informations issues de la surveillance continue avec les résultats des évaluations périodiques afin d'obtenir des rapports plus unifiés sur les risques. La consolidation de l'ensemble des informations dans une seule et même fenêtre optimisera vos efforts d'analyse des risques.

Examiner les informations récentes sur les activités et la réputation, les documents juridiques, les notes ESG, les sanctions et autres informations connexes dans le cadre de l'évaluation des nouveaux fournisseurs. Consolider toutes les informations dans un seul profil de fournisseur accessible à toutes les équipes de l'entreprise, au lieu de jongler avec de multiples sources d'information. Aligner la collecte d'informations sur les processus plus larges de gestion des appels d'offres pour une évaluation plus holistique des fournisseurs.

Intégrez des dispositions dans les contrats avec les fournisseurs et suivez les progrès réalisés par ces derniers en matière de rapports au fil du temps. Intégrez les contrats dans votre processus d'évaluation des risques liés aux fournisseurs. Pour ce faire, il convient de centraliser tous les processus de distribution, de discussion, de conservation et d'examen des contrats et d'exploiter le flux de travail tout au long du cycle de vie des contrats avec les fournisseurs. Il sera ainsi beaucoup plus facile de rendre compte des mesures de contrôle contractuel telles que les indicateurs clés de performance (ICP) et les indicateurs clés de risque (ICR).

Sur la base des résultats de l'évaluation des fournisseurs, formulez des recommandations à leur intention, demandez-leur des éclaircissements sur leur politique et soyez prêts à signaler toute violation aux autorités. Les solutions de gestion des risques liés aux fournisseurs comprennent des suggestions intégrées de mesures correctives à l'intention des fournisseurs. Il est important de suivre cette étape, car elle est essentielle pour les rapports obligatoires.

S'il s'avère nécessaire de mettre fin à une relation avec un fournisseur, veillez à automatiser les évaluations finales des contrats et les procédures d'abandon afin de réduire le risque d'exposition post-contractuelle de votre organisation. Les principales tâches à accomplir sont les suivantes

• Rapport sur l'accès au système, la destruction des données, la gestion de l'accès, les paiements finaux, etc.
• Stocker et gérer de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les accords de sous-traitance et les contrats.
• Faire correspondre les résultats de l'évaluation au cadre réglementaire afin de simplifier la rédaction du rapport final

Identifier les relations de sous-traitance de quatrième et de Nième partie dans votre écosystème de fournisseurs. Effectuez une évaluation de vos fournisseurs à l'aide d'un questionnaire ou analysez passivement l'infrastructure publique du fournisseur. La carte des relations qui en résulte décrit les dépendances étendues qui pourraient exposer votre organisation à des risques. Les fournisseurs découverts grâce à ce processus doivent faire l'objet d'un suivi continu afin d'identifier les risques ESG, les risques commerciaux et les risques de sanctions.

Créer et tenir à jour une base de données centralisée des fournisseurs afin de répondre aux exigences de la loi en matière d'établissement de rapports. Cette base de données doit contenir des profils complets des fournisseurs et permettre un accès, en fonction des rôles, aux contacts de l'entreprise, à la documentation, aux données démographiques, aux connexions avec des tiers (4e et 3e) et à l'information sur les risques.