ESG et gestion des risques dans l'entreprise étendue : Un guide rapide

Les pratiques environnementales, sociales et de gouvernance font l'objet d'une surveillance réglementaire croissante. Dans quelle mesure votre programme de gestion des risques liés aux tiers est-il structuré pour évaluer ces risques ?

Personnel de Mitratech
Personnel de Mitratech Avril 26, 2021 6 minutes de lecture

Aujourd'hui, les organisations sont de plus en plus confrontées à la question des pratiques et des rapports environnementaux, sociaux et de gouvernance (ESG). Les parties prenantes, les clients et les régulateurs veulent s'assurer que les entreprises avec lesquelles ils interagissent et dans lesquelles ils investissent partagent les mêmes valeurs et les mêmes engagements qu'eux. Le cœur de l'ESG est l'intégrité de l'organisation. Ce à quoi l'organisation s'engage - les obligations de l'organisation, qu'elles soient volontaires, réglementaires ou contractuelles - est une réalité dans l'ensemble de l'organisation.

Qu'est-ce que l'ESG ?

L'ESG couvre un large éventail de comportements d'une entreprise :

  • E = Environnement : Mesure et rend compte des valeurs et des engagements de l'organisation en matière de gestion du monde naturel et de l'environnement. Cela inclut le rapport et le suivi des initiatives environnementales de l'organisation en matière de changement climatique, de gestion des déchets, de pollution, d'utilisation et d'épuisement des ressources, de gaz à effet de serre, etc.
  • S = Social : Mesure et rend compte des valeurs et des engagements de l'organisation en ce qui concerne la manière dont elle traite les personnes. Cela inclut les relations avec les employés et les clients/partenaires, les droits de l'homme (par exemple, la lutte contre l'esclavage), la diversité et l'intégration, la lutte contre le harcèlement et la discrimination, la protection de la vie privée des individus (employés et autres), les conditions de travail et les normes de travail (par exemple, le travail des enfants, le travail forcé, la santé et la sécurité), et la manière dont l'entreprise participe et rend à la société et aux communautés au sein desquelles elle opère.
  • G = Gouvernance: Mesure et rend compte de la culture et des comportements de l'organisation dans le contexte et l'alignement de ses valeurs et de son engagement. Cela comprend les stratégies financières et fiscales, la dénonciation et le signalement des problèmes, la résilience, la lutte contre la corruption, la sécurité, la diversité et la structure du conseil d'administration et de la direction, ainsi que la transparence et la responsabilité globales.

Le plus grand défi de la GSE dans les organisations est l'entreprise étendue. L'organisation moderne d'aujourd'hui n'est pas constituée de murs et d'employés traditionnels. L'organisation moderne est un réseau étendu de relations avec des tiers, qu'il s'agisse de fournisseurs, d'entrepreneurs, de sous-traitants, de prestataires de services, de travailleurs temporaires, de courtiers, d'agents, de négociants, d'intermédiaires ou de partenaires. En fait, lorsque vous vous promenez dans les couloirs d'une organisation et que vous assistez à des réunions, vous pouvez constater que la moitié des personnes avec lesquelles vous interagissez ne sont pas des employés, mais des tiers. La situation se complique encore lorsque ces relations s'imbriquent elles-mêmes dans des relations de sous-traitance et des chaînes d'approvisionnement imbriquées.

Conformité ESG

Les régulateurs sont particulièrement attentifs à la conformité ESG, et des aspects de l'ESG figurent dans les réglementations depuis un certain temps. Parmi les exemples de lutte contre la corruption, on peut citer la loi américaine sur les pratiques de corruption à l'étranger (FCPA), la loi britannique sur la corruption (UKBA) et la loi française Sapin II. Il existe également des lois et des réglementations relatives aux droits de l'homme, notamment la loi américaine sur la prévention du travail forcé des Ouïghours, la loi britannique sur l'esclavage moderne, la loi américaine sur les minerais de conflit en vertu de la loi Dodd Frank et la loi californienne sur la transparence dans les chaînes d'approvisionnement. Et bien sûr, l'ESG inclut les lois relatives à la protection de la vie privée telles que le règlement général sur la protection des données (RGPD) de l'Union européenne, le règlement californien sur la protection des données des consommateurs (CDPR), et bien d'autres encore. Chacune de ces réglementations touche à des aspects de la GSE et a un impact sur l'entreprise étendue des relations avec les tiers.

Aujourd'hui, nous assistons à l'élaboration de réglementations ESG encore plus larges. L'Union européenne va de l'avant avec la directive sur le devoir de diligence et la responsabilité des entreprises, qui deviendra très probablement la législation finale cet été. Cette directive exige une diligence raisonnable permanente au sein de l'organisation et dans le cadre de ses relations étendues avec des tiers en ce qui concerne les initiatives et les rapports en matière d'environnement et de droits de l'homme. L'Allemagne a déjà progressé dans ce domaine avec la loi allemande sur le devoir de diligence, qui sera également finalisée cet été. La loi allemande est souvent appelée "loi sur les chaînes d'approvisionnement", car elle est principalement axée sur les pratiques ESG dans le cadre des relations d'une organisation avec des tiers.

L'impact de l'ESG sur les relations avec les tiers

L'heure est grave : les organisations doivent commencer à structurer leurs stratégies, processus et rapports ESG. Ceci est particulièrement important dans le contexte de la complexité de l'entreprise étendue. Les éléments clés qui doivent être pris en compte dans la gouvernance et la gestion des risques des tiers sont les suivants :

  • Portée de la GSE. Il n'existe pas de programme ESG unique qui convienne aux organisations de tous les secteurs et de toutes les tailles. Bien qu'il existe des éléments communs, les risques ESG dans les services financiers sont différents de ceux d'une société pétrolière. Chaque organisation devra examiner sa nature et définir son champ d'application et son programme ESG en fonction de son profil de risque et de réglementation.
  • Catégorisation des tiers en fonction du risque ESG. La prise en compte de l'ESG dans l'entreprise étendue nécessite une compréhension claire des types de relations que l'organisation entretient, de l'endroit du monde où ces relations s'exercent et des risques que chaque relation apporte à l'organisation dans le contexte de l'ESG.
  • La diligence initiale. Les organisations devront disposer d'un processus documenté et établi pour intégrer de nouvelles relations. Cela implique de valider la relation par rapport à des vérifications de bases de données ESG externes, telles que les listes de surveillance/sanction, les listes de personnes politiquement exposées, les notations de sécurité, les notations financières et les listes de réputation/marque. Il faudra également procéder à une évaluation approfondie des tiers au moyen d'un questionnaire d'évaluation de l'intégration et, dans certains domaines, à des inspections/audits sur place. Dans le cadre de ce processus, il est nécessaire que le tiers reconnaisse et atteste/accepte les politiques connexes telles qu'un code de conduite de la chaîne d'approvisionnement/fournisseur.
  • Diligence continue. La difficulté réside dans le fait que la diligence raisonnable/l'évaluation n'est pas une activité ponctuelle, mais un processus continu. Cela implique des vérifications régulières et cohérentes des bases de données de tiers ainsi que des évaluations périodiques au moyen de questionnaires et d'inspections. Les vérifications des bases de données des tiers par rapport aux listes peuvent être effectuées sur une base quotidienne continue, tandis que les évaluations périodiques sont généralement effectuées sur une base annuelle. Toutefois, lorsque des indicateurs de risque clés sont déclenchés, comme un problème découvert chez un fournisseur, cela peut déclencher une évaluation en dehors des évaluations périodiques.
  • Rapports ESG. L'ensemble de ce processus revient à disposer d'une capacité de reporting ESG défendable. L'organisation doit être en mesure de fournir une image claire de l'ESG dans le cadre de ses relations étendues avec des tiers et d'intégrer ce rôle dans les processus plus larges de reporting et de divulgation de l'ESG au sein de l'organisation.

La réalité est que l'organisation moderne, avec son réseau de relations avec des tiers, ne peut pas gérer de manière réaliste les processus ESG et fournir des informations opportunes avec des processus manuels qui gèrent cela dans des documents, des feuilles de calcul et des courriels. S'appuyer sur des processus manuels conduira l'organisation à s'enliser dans l'inefficacité, à manquer de visibilité sur les risques et à passer à côté de choses qui se faufilent entre les mailles du filet. Les organisations ont besoin d'une architecture d'information et de technologie robuste pour la gouvernance des tiers, la gestion des risques et la conformité afin d'assurer la diligence raisonnable et le reporting ESG dans l'ensemble de l'entreprise.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.