Comment votre organisation peut-elle mieux contrôler les risques liés à ses tiers ? C’est ce que vous apprend ce document de Deloitte dans un numéro du bulletin « À l’ordre du jour du conseil ».

Encore récemment, le risque lié aux fournisseurs se limitait pour ainsi dire à la qualité des produits ou des matières premières fournies ou à la possibilité qu’un fournisseur ne respecte pas ses engagements d’approvisionnement et perturbe ainsi la production. Aujourd’hui, les entreprises sont de plus en plus tenues responsables du comportement de leurs fournisseurs, que ce soit en ce qui a trait aux pratiques en matière de santé, de sécurité et d’environnement, au respect des lois sur le travail et autres règlements, à l’utilisation de la propriété intellectuelle, à l’approvisionnement en matières premières, à la corruption et plus encore. Et comme les clients ne font pas de différence entre une organisation et ses fournisseurs, les actions de tiers peuvent également nuire à la réputation de l’organisation ou à la confiance de ses clients.

Voici un aperçu de ce document, notamment les questions que les administrateurs devraient se poser eu égard aux risques reliés aux entités tierces. On y présente également le point de vue de José Écio Pereira, administrateur de compagnie et associé retraité de Deloitte.

Bonne lecture !

Gestion du risque de l’entreprise étendue

Le risque lié aux entités tierces

L’usine d’un fournisseur s’effondre, faisant des centaines de victimes parmi les travailleurs, dont certains sont des enfants. Des milliers de fichiers contenant des données sur les cartes de crédit de clients et d’autres renseignements financiers confidentiels font l’objet de piratage d’un tiers autorisé à accéder au réseau de l’entreprise. Un fournisseur a utilisé des matériaux contaminés et une vaste campagne de rappel visant certains produits doit être lancée.

Encore récemment, le risque lié aux fournisseurs se limitait pour ainsi dire à la qualité des produits ou des matières premières fournis ou à la possibilité qu’un fournisseur ne respecte pas ses engagements d’approvisionnement et perturbe ainsi la production.

 

 

De nos jours, des lois comme la Foreign Corrupt Practices Act aux États-Unis, la Bribery Act au Royaume-Uni et d’autres encore font en sorte que les entreprises sont de plus en plus souvent tenues responsables des agissements de leurs fournisseurs. De même, les clients ne distinguent pas toujours une entreprise de ses fournisseurs. Pour eux, l’entreprise est celle qui leur fournit une solution ; s’il survient un problème, c’est elle qu’ils tiennent responsable, et c’est donc sa réputation qui est en péril. C’est pourquoi les entreprises doivent maintenant élargir leur surveillance des risques à l’entreprise étendue1 et observer chez leurs tiers fournisseurs les pratiques de santé, de sécurité et d’environnement, le respect des lois sur le travail et autres règlements, l’utilisation de la propriété intellectuelle, l’approvisionnement en matières premières, la corruption et plus encore.

Questions que les administrateurs devraient poser

(1) Notre entreprise a-t-elle évalué de manière exhaustive son risque lié aux tiers et, si c’est le cas, quelles en sont les composantes les plus déterminantes pour l’entreprise à l’heure actuelle ?

(2) Quels sont les tiers susceptibles d’entraver le plus gravement la capacité de l’entreprise à atteindre ses buts et objectifs stratégiques ?

(3) Que faisons-nous pour gérer et surveiller de manière proactive le risque et son évolution au sein de notre entreprise étendue ? Quels outils de gestion du risque utilisons-nous ?

(4) Qui est responsable de la gestion du risque lié aux tiers dans notre entreprise ?

(5) À quelle fréquence la direction informe-t-elle le conseil d’administration de son évaluation des risques de tiers et du processus mis en place pour atténuer ces risques ? Cette information est-elle suffisamment détaillée et présentée en temps opportun ?

Le point de vue d’un administrateur

José Écio Pereira est membre des conseils d’administration de Votorantim Cimentos, Fibria et Gafisa et a été membre du conseil de BRMalls ; il préside également le comité d’audit de Votorantim Cimentos et de Gafisa. Il est le propriétaire fondateur de JEPereira Consultoria em Gestão de Negócios et a été associé, maintenant à la retraite, de Deloitte Brésil.

Le risque lié aux entités tierces figure-t-il à l’ordre du jour des conseils d’administration ?

Les conseils dont je connais le fonctionnement effectuent une évaluation du risque tous les trois ou quatre mois. Le risque lié aux entités tierces à proprement parler n’est pas un point distinct à l’ordre du jour, mais nous l’abordons dans notre analyse des risques. Ceci dit, il est clair que de nos jours, les conseils accordent plus d’attention au risque lié aux tiers qu’il y a à peine deux ans. Au Brésil, c’est principalement à cause de la loi anticorruption (Clean Company Act) de 2014. En vertu de cette loi, les entreprises peuvent être tenues responsables des activités illégales ou de la conduite contraire à l’éthique de leurs tiers fournisseurs.

Depuis que cette loi est en vigueur, les administrateurs examinent de beaucoup plus près les risques associés aux tiers fournisseurs des entreprises qu’ils supervisent. Ils examinent les pratiques de leurs fournisseurs en matière de conditions de travail, de normes pour les employés, de mesures de santé et de sécurité et d’autres facteurs pour s’assurer que tous respectent les normes de l’entreprise qui a fait appel à eux. La santé financière des fournisseurs est un autre paramètre fort important, surtout au vu de la situation économique actuelle au Brésil. Les entreprises veulent être sûres que leurs fournisseurs paient leurs impôts et respectent leurs obligations juridiques, en particulier dans leurs relations avec leurs employés, et qu’ils seront à même de poursuivre leur exploitation.

Les administrateurs examinent-ils les relations avec des tiers dans le contexte du cyberrisque ?

Je pense que les entreprises dont les systèmes sont connectés avec ceux de tiers fournisseurs à des fins d’approvisionnement ou de logistique sont conscientes de l’existence du cyberrisque et prennent les mesures nécessaires pour s’en prémunir. Mais ces mesures sont généralement liées aux échanges de produits et de services.

Dans une perspective plus vaste, je dirais que la plupart des entreprises ne disposent pas de systèmes d’information appropriés pour gérer leurs relations avec des tiers. Les systèmes de la plupart des entreprises ne sont pas assez sophistiqués pour se connecter aux systèmes des fournisseurs ; les entreprises ont recours à divers outils pour gérer leurs relations avec des tiers et souvent, ces outils ne sont pas très bien intégrés entre eux. Les relations sont par exemple gérées à l’aide de plusieurs systèmes, y compris des chiffriers et des outils manuels qui ne sont pas du tout conçus pour cet usage.

À qui devrait revenir la responsabilité des tiers fournisseurs ?

Le conseil d’administration doit jouer un rôle de supervision et faire en sorte que les cadres supérieurs disposent d’un processus de gestion du risque lié aux tiers.

Au Brésil, c’est souvent le service de l’approvisionnement qui reste responsable des problèmes opérationnels et qui vérifie que les produits et les services sont bien fournis selon les modalités du contrat conclu avec le tiers fournisseur. De plus, nombre d’entreprises mettent aussi sur pied une fonction particulière chargée de la gestion des contrats conclus avec des tiers. La plupart des entreprises brésiliennes entretiennent plusieurs relations avec des tiers : services alimentaires, sécurité, transports, fabrication. Toutes sont essentielles au fonctionnement d’une entreprise au quotidien. Les entreprises sont donc nombreuses à affecter davantage de ressources à la gestion efficace des contrats.

Certaines entreprises surveillent constamment leurs fournisseurs pour s’assurer que les contrats sont observés à la lettre. Bon nombre exigent que leurs fournisseurs autoévaluent leur conformité contractuelle, en plus d’effectuer des audits périodiques et d’autres tests afin de vérifier le respect des contrats. Toutes ces mesures représentent un travail colossal et parfois, il faut y consacrer une fonction administrative particulière.

Je vais vous relater un exemple authentique. L’une des sociétés avec lesquelles je collabore est en train de construire de nouvelles installations de grande envergure. C’est un investissement de près de 2 milliards de dollars américains, et c’est un projet d’environ : 18 mois. À l’heure actuelle, la construction vient juste de commencer. Plusieurs fournisseurs y travaillent, que ce soit pour la sécurité du chantier ou pour l’approvisionnement en matériel ou son installation.

L’entreprise a mis sur pied un comité directeur de projet qui comprend entre autres des membres de l’équipe de direction. Ce comité se réunit au moins une fois tous les : 15 jours, et les relations avec les fournisseurs reviennent justement sans cesse à son ordre du jour. C’est beaucoup plus qu’une question de diligence raisonnable ; le comité procède aussi au suivi constant des tiers fournisseurs.

Le comité directeur présente chaque mois au conseil l’état d’avancement du projet. Le rapport d’avancement consigne tout ce qui a trait aux tiers fournisseurs : le défaut de verser les retenues sur salaires des employés, de payer des impôts fonciers ou des avantages sociaux, la violation des règles de santé et de sécurité sur le chantier, aussi bien que les problèmes opérationnels comme le non-respect des échéances par un fournisseur ou la qualité insuffisante des services qu’il a rendus. Lorsque des problèmes surgissent, le comité de projet les reporte sur la « carte du risque » du projet, et la direction prend les mesures de suivi nécessaires, y compris l’application des pénalités contractuelles, le cas échéant.

Les entreprises devraient-elles aussi définir leurs propres normes déontologiques à l’endroit des tiers fournisseurs ?

Après l’entrée en vigueur de la loi brésilienne anticorruption, la plupart des entreprises ont passé en revue leurs normes déontologiques et leur code de conduite ; l’une des grandes nouveautés, c’est qu’elles y ont ajouté des procédures et des règles qui s’adressent aux tiers fournisseurs.

Par le passé, toutes les activités encadrant les règles de déontologie, comme la formation et les ateliers, étaient entreprises dans une perspective interne. Les normes s’appliquaient au personnel de l’entreprise, mais ne dépassaient pas les limites de celle-ci pour viser également les fournisseurs externes. Maintenant, la portée s’est élargie et les règles régissant les employés, les mesures de santé et de sécurité, les conditions de travail, l’obéissance aux lois, etc., englobent aussi les tiers fournisseurs. Les entreprises ont également étendu leurs programmes de formation et invitent leurs fournisseurs à leurs séminaires et ateliers où seront expliqués les règles et les processus de surveillance.

Auteur : Gouvernance des entreprises | Jacques Grisé

Ce blogue fait l’inventaire des documents les plus pertinents et récents en gouvernance des entreprises. La sélection des billets, « posts », est le résultat d’une veille assidue des articles de revue, des blogues et sites web dans le domaine de la gouvernance, des publications scientifiques et professionnelles, des études et autres rapports portant sur la gouvernance des sociétés, au Canada et dans d’autres pays, notamment aux États-Unis, au Royaume-Uni, en France, en Europe, et en Australie. Chaque jour, je fais un choix parmi l’ensemble des publications récentes et pertinentes et je commente brièvement la publication. L’objectif de ce blogue est d’être la référence en matière de documentation en gouvernance dans le monde francophone, en fournissant au lecteur une mine de renseignements récents (les billets quotidiens) ainsi qu’un outil de recherche simple et facile à utiliser pour répertorier les publications en fonction des catégories les plus pertinentes. Jacques Grisé est professeur titulaire retraité (associé) du département de management de la Faculté des sciences de l’administration de l’Université Laval. Il est détenteur d’un Ph.D. de la Ivy Business School (University of Western Ontario), d’une Licence spécialisée en administration des entreprises (Université de Louvain en Belgique) et d’un B.Sc.Comm. (HEC, Montréal). En 1993, il a effectué des études post-doctorales à l’University of South Carolina, Columbia, S.C. dans le cadre du Faculty Development in International Business Program. Il a été directeur des programmes de formation en gouvernance du Collège des administrateurs de sociétés (CAS) de 2006 à 2012. Il est maintenant collaborateur spécial au CAS. Il a été président de l’ordre des administrateurs agréés du Québec de 2015 à 2017. Jacques Grisé a été activement impliqué dans diverses organisations et a été membre de plusieurs comités et conseils d'administration reliés à ses fonctions : Professeur de management de l'Université Laval (depuis 1968), Directeur du département de management (13 ans), Directeur d'ensemble des programmes de premier cycle en administration (6 ans), Maire de la Municipalité de Ste-Pétronille, I.O. (1993-2009), Préfet adjoint de la MRC l’Île d’Orléans (1996-2009). Il est présentement impliqué dans les organismes suivants : membre de l'Ordre des administrateurs agréés du Québec (OAAQ), membre du Comité des Prix et Distinctions de l'Université Laval. Il préside les organisations suivantes : Société Musique de chambre à Ste-Pétronille Inc. (depuis 1989), Groupe Sommet Inc. (depuis 1986), Coopérative de solidarité de Services à domicile Orléans (depuis 2019) Jacques Grisé possède également une expérience de 3 ans en gestion internationale, ayant agi comme directeur de projet en Algérie et aux Philippines de 1977-1980 (dans le cadre d'un congé sans solde de l'Université Laval). Il est le Lauréat 2007 du Prix Mérite du Conseil interprofessionnel du Québec (CIQ) et Fellow Adm.A. En 2012, il reçoit la distinction Hommage aux Bâtisseurs du CAS. En 2019, il reçoit la médaille de l’assemblée nationale. Spécialités : Le professeur Grisé est l'auteur d’une soixantaine d’articles à caractère scientifique ou professionnel. Ses intérêts de recherche touchent principalement la gouvernance des sociétés, les comportements dans les organisations, la gestion des ressources humaines, les stratégies de changement organisationnel, le processus de consultation, le design organisationnel, la gestion de programmes de formation, notamment ceux destinés à des hauts dirigeants et à des membres de conseil d'administration. Voir tous les articles par Gouvernance des entreprises | Jacques Grisé