2017 a marqué en France un virage dans l’acception que les entreprises ont de leur dispositif de maîtrise des risques. Au travers des lois Sapin 2 et Devoir de Vigilance notamment, et prochainement avec l’entrée en vigueur du Règlement Général de Protection des Données (RGPD), les entreprises sont invitées à mieux prendre en compte les tiers dans leur dispositif de maîtrise des risques.
En réalité, l’invitation avait été formulée il y a plus de 15 ans par tous les référentiels de place (COSO2, ISO 31000) mais force est de constater que nombre d’entreprises ne l’avaient pas reçue ou du moins n’y avaient pas donné suite.
Désormais, elles font face à l’impérieuse obligation de s’y conformer.
D’un point de vue business, l’injonction peut sembler paradoxale : depuis de nombreuses années les stratégies d’entreprises s’emploient à considérer les fournisseurs comme des partenaires, à être “client centric” ; désormais il faudrait les considérer comme une source de risques à évaluer avec prudence avant de s’engager dans la relation ou de la poursuivre.
Comment demander à un commercial d’accepter d’envisager de renoncer à un deal ou au moins de prendre le temps de vérifier si son prospect ne fait pas l’objet d’un “red flag” dans une liste de sanctions, alors que l’affaire est bien engagée et la marge prometteuse ?
Comment renoncer à contracter avec ce nouveau fournisseur au prétexte de pratiques éthiques peu vérifiables ?
C’est pourtant tout l’enjeu de ces lois. L’entreprise n’est pas seule au monde et doit tenir compte non seulement des qualités techniques et de la solidité financière de ses tiers (ce qu’elle fait depuis longtemps : qui accepterait de vendre à un client qui ne peut pas payer ou encore d’acheter à un fournisseur des biens ou prestations défaillantes ?) mais elle doit également s’assurer des conditions dans lesquelles ils exercent leur activité d’un point de vue éthique et de respect des droits fondamentaux de leurs collaborateurs.
Les récentes sanctions prises à l’égard de deux fournisseurs d’un grand groupe énergétique français matérialisent parfaitement ces enjeux, avec pour l’entreprise la plus importante des deux, une amende de 2,7 millions d’euros annulant intégralement l’avantage obtenu de manière illicite et une réputation plus qu’entachée.
Si cela ne suffisait pas à convaincre les plus rétifs, ces dispositifs réglementaires embarquent en leur sein un cheval de Troie à même de venir à bout des entreprises qui pourraient être tentées par l’autarcie : les lanceurs d’alertes. Ces mesures, que notre culture encore fortement marquée par la période 39-45 a tendance à rejeter spontanément, sont pourtant d’une efficacité redoutable en permettant aux parties prenantes de l’entreprise (salariés, sous-traitants, ...) de leur signaler les manquements des dispositifs de prévention mis en place et surtout d’y remédier.
Las, désormais (con)vaincu, reste à trouver une approche pragmatique et efficace pour mettre en œuvre, souvent sur plusieurs milliers de tiers, des principes présentés de manière (parfois) jusqu’au-boutiste par le régulateur. Tout l’enjeu sera donc de mettre en œuvre une approche suffisamment systématique pour répondre aux obligations légales et suffisamment différenciée et adaptée aux natures de tiers et à leurs spécificités, pour avoir une réelle utilité pour l’entreprise.
C’est toute la problématique pour laquelle nous accompagnons nos clients en ce début d’année 2018 après une première phase de “window dressing” relativement aisée.
Grant Thornton utilise des cookies pour effectuer des mesures d’audience et améliorer votre navigation.
Pour en savoir plus sur l'utilisation des cookies et comment les supprimer, veuillez consulter nos règles de confidentialité.
