Livre Blanc-Gestion de Risques Fournisseurs

GERER SES RISQUES
FOURNISSEURS
Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 1

“Planning for the worth hoping for the best”, n’est-ce pas la responsabilité ultime et de tout
PRÉFACE ET ENJEUX
temps de la fonction Achats, la fonction qui pilote les ressources externes de l’entreprise
étendue, de garantir à l’entreprise le plus haut niveau d’assurance de fonctionnement de
celle-ci sur le court, moyen et long terme et ceci avec toutes ses parties prenantes internes
et externes. C’est justement l’ambition de ce Livre Blanc de produire un ensemble adaptatif
et clair d’outils et de méthodes permettant d’élever la pratique de gestion du risque de
l’entreprise quant à sa base fournisseurs et ses interactions avec celle-ci. Notre démarche est
le résultat d’un intense travail collaboratif, à travers sept ateliers entre mai et décembre
2021, d’une douzaine d’entreprises (*) de secteurs variés sous l’égide du CNA avec le support
de pilotage de Jicap ; à ce titre il intègre leurs pratiques existantes et celles captées sur le
marché et constitue un socle de référence sur lequel les entreprises pourront s’appuyer pour
constituer leur propre référentiel de gestion du risque. Ce socle est bien entendu appelé à
évoluer dans le temps tant le monde compétitif d’aujourd’hui et de demain saura produire
de nouvelles règlementations et de nouvelles attentes sociétales et environnementales
toujours plus exigeantes, des technologies toujours plus puissantes et … sans aucun doute …
de nouveaux risques !
La logique que nous avons retenue pour aborder et traiter ce sujet est une logique linéaire
qui nous conduit de la cartographie des risques jusqu’à la gouvernance du risque fournisseurs
en passant par une étape méthodologique d’évaluation et de mise en perspective des
différentes catégories de risques. Nous avons eu également le souci tout au long de cette
approche de définir les termes et les éléments de langage afférents au risque en nous
inspirant au mieux des démarches normatives.

1
La cartographie est une première étape indispensable de description et de catégorisation de
PRÉFACE ET ENJEUX
l’univers varié et complexe des risques ; la notion de risque emporte avec lui en effet sa cause,
ses évènements déclencheurs et ses impacts ; il est tout cela à la fois. Nous avons donc retenu
une première structure entre les risques généraux du monde extérieur, le risque individuel
lié à un fournisseur et/ou un secteur et le risque endogène à l’entreprise en y incluant les
engagements de toute nature qu’elle a pu prendre avec ses fournisseurs.
Cette première structure a été ensuite détaillée en différentes sous-structures

essentiellement autour des enjeux de Durabilité, Fiabilité, Compétitivité, Responsabilité et de
la nature des impacts pour l’entreprise : impacts sur la conformité et donc le respect de la loi,
sur la pérennité financière, sur les opérations et sur la Responsabilité Sociétale des
Entreprises (RSE). La méthodologie de cartographie des risques est issue des deux premiers
ateliers collaboratifs réalisés. Le premier a permis d’identifier les différentes sources de
risques, puis l’atelier suivant a permis de classifier ces dernières par nature d’impact pour les
organisations.

PRÉFACE ET ENJEUX
2
Nous sommes ensuite passés sur une étape méthodologique permettant de définir une
approche générique d’évaluation du risque sur deux dimensions essentielles que sont sa
probabilité d’occurrence et son amplitude d’impact. Ces deux dimensions se factorisent et il
en résulte un degré de criticité brute. Nous avons donc par la suite logiquement structuré les
différentes thématiques d’actions pouvant agir individuellement et/ou de concert sur la
probabilité et l’impact de ces risques. Ces actions peuvent permettre de supprimer le risque,
d’atténuer son occurrence, de diminuer son impact par différentes stratégies de couverture
de celui-ci…
Ces actions peuvent être de nature réactive et/ou proactive et s’inscrire dans des horizons de
temps variés pour l’entreprise. Elles sont également fortement corrélées au secteur de
l’entreprise. Pour cette deuxième étape d’évaluation des risques, les ateliers 3 et 4 ont permis
de caractériser puisgde proposer d’évaluer le niveau de criticité des risques identifiés dans la
première étape.
3
La troisième étape de notre démarche concerne la gouvernance du risque fournisseur. Elle
couvre à la fois le pilotage opérationnel et stratégique du risque par la fonction Achats en
interaction avec les entités concernées de l’entreprise et celles-ci sont nombreuses puisque
toutes utilisent des ressources externes fournisseurs.

Elle couvre également le pilotage institutionnel avec les organes de gouvernance de
PRÉFACE ET ENJEUX
l’entreprise : son comité exécutif, son directoire, son Conseil de Surveillance/Conseil

d’Administration et les différents comités de ces instances (dont certains ont nommément
en charge le risque et d’autres couvrant explicitement ou implicitement celui-ci comme
l’audit, le juridique, la communication …).
Le pilotage institutionnel du risque est bien entendu fortement influencé par le secteur
d’activité de l’entreprise : les exigences réglementaires, l’intensité compétitive, les attentes
sociétales et environnementales, la présence géographique, la nature même des produits et
services et des business models clients associés sont autant de facteurs influents et
déterminants.
Dans cette troisième étape nous avons abordé le sujet clef des outils rendant possible,
efficiente (son coût) et efficace la gouvernance du risque.
Qu’ils soient des outils capteurs du risque, des outils de pilotage opérationnel, des outils de
reporting et de communication, ils sont appelés de plus en plus à adresser à la fois des
attentes particulières et parcellaires autant que holistiques tant l’entreprise se doit de gérer
à la fois le risque dans sa granularité que dans sa totalité.
Par ailleurs, la nature vaste et sa dimension autant verticale (la chaîne d’approvisionnement
dans ses différentes strates) qu’horizontale (les secteurs d’achats, les utilisateurs variés au
sein de l’entreprise…) entraîne une explosion des données produites et gérées qui exigent
par ailleurs des technologies de plus en plus puissantes et intelligentes.

Nous espérons que ce livre blanc pourra éclairer et permettre de consolider votre propre
PRÉFACE ET ENJEUX
démarche de gestion du risque au sein de votre entreprise.
Il n’est pas un référentiel mais il constitue un point de départ et/ou de repère pour votre
fonction Achats.
Nous vous encourageons à le traiter comme tel et nous permettre également de l’enrichir
dans le temps par les expériences et les pratiques particulières que vous aurez menées.
Bonne lecture … elle est sans risque …
Jean-Philippe COLLIN
Senior Advisor - JICAP Performance
Françoise GUILLAUME
Chief Procurement Officer - Société Générale
Christophe MARNEFFE
Strategic/Group Sourcing & Supply Chain - Orange

Sommaire
2
PAGE PAGEPAGE
2 PRÉFACE ET ENJEUX
8 GLOSSAIRE
10
PAGE
PRÉALABLE À LA STRATÉGIE DE GESTION DES RISQUES
12
PAGE
AXE 1 : CARTOGRAPHIE DES RISQUES
13
PAGE
1.1 COMMENT IDENTIFIER LES RISQUES FOURNISSEURS ?
21
PAGE
1.2 QUELLES SONT LES NATURES D’IMPACT ?
27
PAGE
AXE 2 : MÉTHODOLOGIE D’ÉVALUATION DES RISQUES
28
PAGE
2.1 COMMENT ÉVALUER LA PROBABILITÉ ET L’IMPACT ?
33
PAGE
2.2 COMMENT METTRE EN APPLICATION CETTE MÉTHODE D’ÉVALUATION ?
39
PAGE
AXE 3 : STRATÉGIES DE GESTION DES RISQUES ET PILOTAGE
40 3.1 QUELLES SONT LES STRATÉGIES ET LES LEVIERS ACHATS POUR GÉRER LES
PAGE
RISQUES FOURNISSEURS ?
48 3.2 QUELLE GOUVERNANCE METTRE EN PLACE POUR PILOTER LES RISQUES

PAGE
FOURNISSEURS ?
55
PAGE PAGE PAGE
CONCLUSION
56 REMERCIEMENTS
57 BIBLIOGRAPHIE
GLOSSAIRE
GLOSSAIRE

Terme Définition
Acceptation Fait d’approuver, de donner son accord
Biais Oblique par rapport à une direction principale
Cause Raison ou origine d’un événement
Cognitif Qui se rapporte à la faculté de connaître
Contrôle Action, fait de maîtriser quelque chose, un
groupe, d'avoir le pouvoir de les diriger
Criticité Où le risque de bouleversements est présent, où
une décision s'impose pour éviter des
conséquences fâcheuses
Engagement Promesse, convention ou contrat par lesquels on
se lie
Evénement Tout ce qui se produit, arrive ou apparaît
Evitement S'efforcer de ne pas faire quelque chose, de ne
pas user de quelque chose
Facteur de risque Tout élément qui contribue au risque
Fréquence d’un risque Reproduction à intervalles plus ou moins
rapprochés d’un risque
Gouvernance Ensemble des mesures et des règles qui
permettent d'assurer le bon fonctionnement et le
contrôle d'une organisation
Gravité Caractère de ce qui est important, de ce qui ne
peut être considéré avec légèreté, de ce qui peut
avoir des suites fâcheuses
Impact Effet produit par quelque chose ; contrecoup,
influence
Pondération du risque La pondération du Risque Initial ou Brut s'effectue
à partir des mesures de prévention existantes et
permet d'obtenir une valeur de Risque Résiduel ou
Net
Probabilité d’occurrence d’un risque Concept statistique qui peut exprimer un degré de
croyance ou une mesure de l'incertain d’un risque
Risque La combinaison de la probabilité d'un événement
et de ses conséquences
Risque endogène à un fournisseur Risque qui est produit par la structure elle-même
en dehors de tout apport extérieur
Risque exogène à un fournisseur Risque qui provient du dehors, de l'extérieur du
phénomène
Risque inhérent à la fonction Achats Risque lié à l'environnement de la fonction Achats
ou à la nature de ses activités
Source de risque Tout élément, tangible ou intangible, qui, seul ou
combiné à d'autres, présente un potentiel
intrinsèque d'engendrer un risque
Surveillance Veiller sur quelqu'un, quelque chose dont on a la
garde, la responsabilité

PRÉALABLE À LA STRATÉGIE DE
GESTION DES RISQUES
PRÉALABLE

PRÉALABLE À UNE STRATÉGIE DE GESTION DES RISQUES
Avant de mettre en place un processus de gestion de ses risques fournisseurs, il convient que
votre organisation ait une politique achats formalisée et déployée. La gestion des risques
intervenant dès l’amont de votre processus achats, votre processus « source-to-contract »
doit être clairement défini, de l’étape d’identification des besoins jusqu’au suivi de
l’exécution de vos contrats. Votre organisation achats a également tout intérêt, comme
prérequis, à suivre une démarche d’amélioration continue de la performance achats. Des
leviers achats bien intégrés permettent de transférer, contrôler et éviter une bonne partie de
vos risques. Les leviers achats sont des bonnes pratiques qui sont déjà des bons débuts de
gestion de vos risques fournisseurs (couverture contractuelle, délégation de pouvoir et de
signature, mise en concurrence des fournisseurs).

CARTOGRAPHIE DES RISQUES
AXE 1

1.1 COMMENT IDENTIFIER LES RISQUES FOURNISSEURS ?
1.1.1. Identification des facteurs de risques
Pour pouvoir appréhender les risques fournisseurs, leur identification se doit d’être
suffisamment exhaustive, tout en intégrant la spécificité propre à chaque risque. En effet,
chaque source de risque a une nature propre et se caractérise selon trois éléments : ses
causes, ses événements et ses impacts. Dans le cadre de la réglementation française sur le
devoir de vigilance et la lutte anti-corruption, l’identification des risques doit être robuste.
L’Agence Française Anticorruption et les collectifs d’ONG sont vigilants à la profondeur et la
robustesse de ce processus d’identification.
Ainsi, l’identification de chaque risque est faite de manière unique et indépendante, tout en
veillant à ce que ce risque soit inclus dans son écosystème global. De nombreux outils et
procédures, tels que le principe MECE, méthode des 5 Pourquoi, le diagramme Ishikawa ou
arbre de défaillance, la méthode AMDEC¹ dont les descriptions vous sont proposées dans le
1 glossaire de référence académique du livre, peuvent être exploités pour appliquer cette
méthode d’identification des risques. Grâce à la mise en application opérationnelle de ces
outils, un événement unique observé dans un environnement peut être affecté à une source
de risque.
A l’échelle d’une organisation, il convient de se poser les trois questions suivantes : qu’est-ce
que j’achète ? , à qui j’achète ? , où j’achète ? et comment j’achète ? Ces questions vous
permettront d’identifier les différents types de facteurs de risques :
• Ceux endogènes aux fournisseurs (à qui j’achète),
• Ceux exogènes aux fournisseurs (où j’achète),
• Ceux endogènes et exogènes à la fonction Achats quels que soient ses schémas
d’organisation (comment et qu’est-ce que j’achète),
1
AMDEC : Analyse des modes de défaillance, de leurs effets et de leur criticité

Dans le cadre de ce livre, nous nous concentrons sur les risques endogènes et exogènes aux
fournisseurs. Les risques endogènes à la fonction Achats seront abordés dans la première
partie uniquement et les risques exogènes à la fonction Achats, c’est-à-dire tous les risques
liés aux autres parties de l’organisation, sont hors du périmètre d’étude. L’entreprise devra
décider de l’approche qu’elle aura à adopter pour s’assurer de la couverture holistique des
risques. Il convient par facteur de risques d’identifier les sources de risques. Ces sources sont
nombreuses. Elles peuvent dépendre du fournisseur, de la manière dont l’entreprise interagit
avec ce dernier ou même du marché et/ou pays sur lesquels les biens ou services sont acquis.
Responsable Contrôle Interne Achats – Eiffage
« Une cartographie des risques de corruption a été réalisée, elle répond notamment aux
exigences de la loi Sapin 2. Pour structurer cet exercice et nous assurer de l’exhaustivité des
scénarios de risques, différents opérationnels de chaque branche de l’organisation
(construction, génie civil, énergie…) ont été consultés et nous avons été accompagnés par le
Risk manager du Groupe. Il nous est apparu que les risques de corruption pouvaient survenir
à toutes les étapes du processus achats, et qu’il n’y avait pas de concentration de ces risques
sur une ou quelques phases particulières. »

1.1.2. Risques endogènes aux fournisseurs

A qui les biens et services sont achetés ?
Dans le cadre de l’externalisation des activités de l’organisation, celle-ci sous-traite à des

fournisseurs de tout type, de toute taille, de tout secteur. Les risques endogènes aux
fournisseurs sont donc multiples. Ainsi, nous avons regroupé les sources de risques en dix
familles de risques. Pour chacune de ces familles, vous trouverez dans le tableau ci-dessous
un exemple d’événement et un exemple d’une cause et conséquence possible :
Source de risques Événement chez le fournisseur Impact possible pour votre
Famille de risques Cause possible (exemple)
(exemple) (exemple) organisation (exemple)
Mauvaise gestion des Mauvaise gestion des Rupture d'approvisionnement de

Absence d'audit capacitaire Retards de livraison
approvisionnements approvisionnements matières premières
Non-respect de
Non-respect de Déversement de produits Disparition d'espèces naturelles et Dégradation de la réputation de
l'environnement et de
l'environnement polluants dans la nature végétales l'organisation
la biodiversité
Absence de politique de
Non-respect de Dégradation de la réputation de
Manque de diversité diversité lors des Discrimination raciale à l'embauche
l'éthique l'organisation
recrutements
Non-continuité des Absence d'amélioration Absence de pratiques de Echec de la montée en charges suite
Ruptures du capacitaire
opérations continue Lean Manufacturing à l'augmentation des volumes
Non-pérennité Niveau d'endettement Créances clients non Organisation mise en liquidation

Perte d'un partenaire stratégique
financière fort maîtrisées judiciaire
Problème récurrent de travailleurs Procédure judiciaire pour

Non-conformité vis-à- Mauvaises conditions de Non-respect du droit du
dissimulés oeuvrant dans des manquement à la loi sur le devoir de
vis de la réglementation travail travail
conditions pénibles vigilance
Mauvais système de
Non-qualité et non- Défaillance d'un système Baisse de productivité des équipes
management de la Non-conformité ISO 9001
conformité d'information opérationnelles
qualité
Manque de disponibilités de salariés
Nombre de turnovers Non-développement des Augmentation des coûts de gestion
Absence de formation compétentes pour l'activité sous-
élevé compétences nécessaires des ressources humaines
traitée
Mauvaise définition des
Défaut de stratégie et Sous-traitance en
rôles et responsabilités des Rupture de continuité d'une activité Arrêts des lignes de production
gouvernance cascade non-contrôlée
acteurs de la chaîne de
Défaut de maintenance Absence de maintenance Défaillance d'un composant sur un
Défaillance Technologie Dégradation de la satisfaction client
du système informatique préventive organe stratégique

Il convient ainsi de recenser les événements déclencheurs et les causes associées avérés ou
potentiels.
L’analyse des risques endogènes aux fournisseurs pourra être faite en prenant différentes
approches : soit par filière, soit par statut ou taille d’entreprise. Les informations de toutes
natures transmises par les fournisseurs lors des revues de catégories de dépenses externes
ou les informations relevant des activités de « market intelligence» de l’entreprise sont des
moyens d’identifier de nouvelles sources de risques non prises en compte jusqu’alors.
« Nos chantiers ont été interrompus pendant trois semaines lors du Covid 19, du fait du
confinement et il nous fallait impérativement disposer des équipements de protection
(masques, gel hydroalcoolique…). Une Task force a été mise en place par le CPO au sein de
la cellule achats pour sourcer, suivre et gérer au quotidien les approvisionnements de
produits en France et à l’étranger. L’objectif était de sécuriser l’approvisionnement et les
délais de livraison. »

1.1.3. Risques exogènes aux fournisseurs
Qu’est-ce que j’achète ? Où j’achète ?
Les fournisseurs évoluent sur différents marchés, et sur différents pays. En réalisant une
analyse de la structure PESTEL (Politique, Economique, Social, Technologique,

Environnemental et Légal) de ses fournisseurs, les risques exogènes aux fournisseurs qui sont
liés à ces marchés peuvent être identifiés. Cette structure permet ainsi d’étudier six familles
de risques possibles. Pour chacune de ces familles, vous trouverez dans le tableau ci-dessous
un exemple d’événement et un exemple d’une cause et conséquence possible :

Contexte économique Manque de surveillance du

Instabilités monétaires Volatilité des taux de change Crise économique
et financier néfaste contexte économique
Mauvaises conditions Menaces de Manque de surveillance du Raz-de-marée sur un site de Rupture de la chaîne
environnementales catastrophes naturelles climat local production d'approvisionnement
Non-respect de Niveau de corruption Absence de suivi du risque Détournement de fonds publics par
Crise social
l'éthique élevé pays des responsables politiques d'un pays
Réglementation du
Contexte politique Manque de surveillance du Rupture de la chaîne
commerce international Embargo à l'encontre d'un pays
néfaste contexte politique d'approvisionnement
stricte
Contexte social et Non-respect des droits Non-respect du droit du Esclavage moderne de salariés dans Dégradation de la réputation de
démographique néfaste humains travail un pays l'organisation
Mauvaise surveillance du
Défaillance Manque d'accès à Rupture de la chaîne
réseau de distribution Privation d'accès à l'électricité
techologique l'énergie d'approvisionnement
d'énergie du pays
Pour appréhender ces risques exogènes aux fournisseurs, l’identification doit s’appuyer sur
les menaces et opportunités associées aux marchés concernés (analyses de Porter et SWOT).
Le travail d’identification doit prendre en compte les interactions et interdépendances du
fournisseur avec son écosystème. L’écosystème du fournisseur comprend l’environnement,
les autorités, ses propres fournisseurs et les parties prenantes mobilisées. L’acheteur pourra
s’aider de sources de données publiques ou privées jugées fiables. Par exemple les textes
légaux et réglementaires sont des sources d’information facilement accessibles qui lui
permettent d’identifier les enjeux et le contexte réglementaires liés à l’activité de ses
fournisseurs, et donc d’analyser les écarts avec les pratiques de ces derniers.
L’analyse peut se baser sur le climat des affaires des pays où les fournisseurs sont implantés.
A ce titre, différents indicateurs, mis en place par des organisations internationales publiques
et privées sont à la disposition de l’acheteur.

En effet, le « risque Pays » par exemple, qui peut être fourni par des sociétés d’assurance,
est un indicateur établi à partir de données macroéconomiques, financières et politiques
issues de plusieurs pays. Ceci permet à l’acheteur d’avoir une indication sur l’influence
potentielle d’un pays sur l’engagement financier de ses fournisseurs. Cette évaluation du
risque pays peut venir pondérer le score « Economique et Financier » du fournisseur.
L’acheteur peut également exploiter des outils de « Market Intelligence » , pour pouvoir
récupérer et interpréter les informations sur un marché, et ainsi en déduire les sources de
risques liées par exemple aux évolutions du marché, aux fusions et acquisitions, aux ruptures
de matières premières, à de nouvelles dispositions légales extraterritoriales …
« La réactivité du département achats a été très forte, grâce aux multi-compétences de la

task force (présence d’une acheteuse chinoise qui a facilité la communication avec le
marché fournisseur asiatique, spécialiste dans la logistique…). Bien que nous ayons dû
agir de façon extrêmement rapide nous n’avons pas fait l’impasse sur la réalisation
d’audit de ces fournisseurs afin de vérifier leur capacité et leur conformité. »

1.1.4. Risques endogènes à la fonction Achats
Comment l’organisation achète ?
Les risques endogènes à la fonction sont liés à un dysfonctionnement, ou une insuffisance de

ses procédures et systèmes. Nous avons regroupé ces sources de risques en neuf familles de
risques :

Faille dans la sécurité des
Digitalisation néfaste Instabilités monétaires Piratage du réseau informatique Perte de données stratégiques
réseaux informatiques
Impact néfaste sur
Menaces de Non-conformité à la Dégradation de la réputation de
l'environnement et la Intoxication sanitaire
catastrophes naturelles réglementation REACH l'organisation
biodiversité
Absence d'analyse
Non-continuité des Niveau de corruption
fonctionnelle du besoin Insatisfaction client Pertes de parts de marchés
opérations élevé
client
Réglementation du Amendes pour non-conformité
Non-respect de Absence d'audit des Distorsion de concurrence dans le
commerce international réglementaire à la loi anti-corruption
l'éthique critères d'appel d'offre marché public
stricte (Sapin 2)
Non-respect de Non-respect des droits Procédure judiciaire pour non-respect Jusqu'à 2 millions d'euros d'amende
Non-conformité à la loi LME
l'exécution des contrats humains des délais de paiement fournisseurs administrative
Absence de suivi des
Non-pérennité Manque d'accès à Mise en liquidation judiciaire d'un
indicateurs de santé Perte d'un partenaire stratégique
financière l'énergie fournisseur
financière
Absence de système de
Non-qualité et non- Absence d'audit de sécurité Accident de travail mortel sur un site Dégradation de la réputation de
mesure de la
conformité au travail ISO 45001 fournisseur l'organisation
Performance
Mauvaises relations Rupture des relations Absence de surveillance de Rupture des activités avec un
Perte d'un marché stratégique
commerciales commerciales la dépendance économique partenaire stratégique
Absence de stratégie de
Défaut de stratégie et Absence de rationalisation Augmentation des dépenses de la Dégradation de la performance
gestion du Panel
gouvernance du Panel Fournisseurs fonction achats financière de la fonction Achats
Fournisseurs

Afin d’identifier ces risques endogènes à la fonction Achats, il est possible de recourir à un
audit interne et/ou externe. La consultation d’un tiers a l’avantage de vous permettre de vous
comparer avec d’autres organisations tout en assurant la complétude, la conformité et la

cohérence de la démarche au niveau global.
En effet, à travers la revue de l’ensemble des procédures (tant en termes de documentation

que d’implémentation) de la politique Achats, telles que le processus Source-To-Contract (du
sourcing de nouveaux fournisseurs à la contractualisation) ou le processus Procure-To-Pay
(de l’approvisionnement au paiement), il sera possible de repérer les risques mettant en
danger votre organisation. Dans le cadre de la définition de ces procédures, la formation à la
norme ISO 20400 est une aide précieuse. Il convient également de recenser les événements
déclencheurs ou à l’origine de risques avérés ou potentiels. Par exemple, un retard de
paiement est un élément déclencheur qui peut vous mettre en non-conformité avec les
articles 441-10/11 du Code du Commerce et avec les accords dérogatoires signés dans le
cadre de la loi de modernisation de l’économie (LME) de 2009.
En conclusion, les risques qu’ils soient endogènes ou exogènes peuvent avoir des impacts de
mêmes natures. Il est ainsi possible de classifier ses sources de risques selon leur impact sur
la conformité, la finance, l’opérationnalité ou encore la responsabilité sociale et
environnementale de son organisation. C’est ce que nous allons voir dans la seconde partie.

1.2 QUELLES SONT LES NATURES D'IMPACT ?
2
Pour cartographier l’ensemble des sources de risques, deux méthodes de classification sont
à la disposition de l’acheteur :
- Une classification par cause
- Une classification par nature d’impact (enjeu)
Le référentiel COSO 2², qui est le cadre commun du contrôle interne en matière de gestion
des risques, propose une classification des risques par cause et par enjeu. Il énumère quatre
enjeux majeurs à toute organisation : stratégique, opérationnel, financier et de conformité.
En s’appuyant sur ce référentiel, nous vous proposons une classification des sources de
risques par nature d’impact. Cette méthode permet aux Directions des Achats de définir les
mesures à prendre pour diminuer la gravité d’un événement négatif. Nous y reviendrons dans
le troisième axe du livre blanc.
Via cette classification, en ressort quatre natures d’impact :
- Non-conformité
- Non-pérennité financière
- Non-continuité des opérations
- Non-respect des exigences en matière de Responsabilité Sociale et Environnementale
2
Référentiel COSO 2 : cadre de référence de la gestion des risques

« Lorsqu’on parle de risque, de manière naturelle, on va tout de suite penser à l’impact

avant de savoir comment ça s’est passé. »
1.2.1. Impacts de non-conformité

La non-conformité représente une nature d’impact, qui est commune à toute organisation,
étant donné que celle-ci est dépendante de la loi en vigueur sur le territoire. Ainsi les trois
natures d’impact ci-dessous nous semblent applicables à toutes les organisations :
- La non-conformité documentaire (risque endogène au fournisseur) : Si l’on considère

une organisation qui ne respecte pas les modes opératoires d’un donneur d’ordre, celle-ci
s’expose alors à un risque de non-conformité documentaire.
- La non-conformité réglementaire spécifique à un secteur d’activité (risque exogène

3
au fournisseur) : dans le cadre, par exemple, de la perte de marché par une organisation
publique dont le domaine d’intervention est la Restauration de collectivités, l’organisation
publique qui reprend les activités doit également, en application de l’article L1224-1 du Code
du travail³, reprendre tous les contrats de travail du personnel. Les sanctions pénales qui
peuvent en résulter sont une saisie du Conseil de prud’hommes par le salarié impacté,
s’accompagnant de demandes de dommages et intérêts fondées sur la fraude aux
dispositions de l’article L1224-1 du Code du Travail. L’organisation peut ainsi considérer ce
risque comme un risque de non-conformité réglementaire spécifique à un secteur d’activité.
3
Code du travail : recueil organisé de la plupart des textes législatifs et réglementaires applicables en matière
de droit du travail français

- La non-conformité réglementaire spécifique à un pays ou extraterritoriale (risque
exogène au fournisseur) : Par exemple la violation d’un embargo, c’est-à-dire le non-respect
de l’interdiction d’exporter certains produits vers des pays, des personnes ou des
organisations, est passible de sept années d’emprisonnement et 75 000€ d’amende pour le
fournisseur sanctionné. Dans ce cas, le risque associé est un risque de non-conformité
réglementaire spécifique à un pays.
« La famille de risques la plus visible est la non-conformité vis-à-vis de la réglementation

française : lois sur le devoir de vigilance et sapin II. L’impact potentiel pour notre
organisation associé à cette source de risque est surtout réputationnel avec la dégradation
de l’image du groupe, mais aussi financier en cas d’amende. »

1.2.2. Impacts de non-pérennité financière
Pour la nature d’impact de non-pérennité financière, nous distinguons les trois types
d’impact suivants :
- Le défaut de stratégie et gouvernance (risque endogène au fournisseur) : en cas de

dépendance économique d’un fournisseur envers une entreprise (qu’elle soit liée à votre
entreprise ou à une autre entreprise cliente de ce même fournisseur), cette dernière s’expose
à un risque de défaillance financière du fournisseur qui peut entraîner des impacts forts pour
son activité.
- La non-pérennité financière (risque endogène au fournisseur) : le niveau

d’endettement d’un fournisseur est par exemple une source de risque pouvant engendrer un
impact financier pour votre organisation.
- Le contexte économique et financier néfaste, (risque exogène au fournisseur) : le

contexte macroéconomique d’un fournisseur peut présenter des risques de non-pérennité
financière liés notamment à des décroissances économiques, instabilités monétaires,
mouvement technologique majeur…
« Le délai de paiement des fournisseurs est un risque qui au-delà du risque juridique et
financier peut dégrader la relation fournisseurs qui est extrêmement importante dans notre
vision partenariale. Lors de la crise COVID, nous avons mené une campagne auprès de nos
fournisseurs pour évaluer leur santé financière, recenser les risques de faillite à six mois et
leurs attentes vis-à-vis de nous. Pour certains fournisseurs qui avaient des problèmes de
trésorerie, nous avons fait en sorte de leur payer toutes les factures émises et éviter les
retards de paiement.
L’objectif étant d’accompagner nos fournisseurs pendant cette période de pandémie et de se

prémunir des risques qui auraient pu impacter notre entreprise.»

1.2.3. Impacts de non-continuité des opérations
La non-continuité des opérations rassemble les types d’impacts suivants :
- La non-qualité (risque endogène au fournisseur): une défaillance du système

d’information d’un fournisseur peut impacter les opérations de celle-ci.
- Le manque d’excellence opérationnelle (risque endogène au fournisseur) : l’absence

de plan d’amélioration continue d’un fournisseur est également l’illustration d’un risque de
manque d’excellence opérationnelle visible.
- Le mauvais approvisionnement (risque endogène au fournisseur) : des problèmes

d’approvisionnement sur sa chaîne de valeur occasionnent un risque de mauvais
approvisionnement.
- La défaillance technologique (risque endogène et exogène au fournisseur) : le

piratage de données informatiques confidentielles d’un fournisseur est révélateur d’un
risque de mauvais accès à la technologie. L’absence d’une stratégie technologique en est un
autre.
« Le Covid a également augmenté le risque d’une rupture d’approvisionnement en matières

premières (bois, acier...). Des négociations avec les fournisseurs ont été réalisées pour
assurer les livraisons afin de ne pas subir de rupture sur les chantiers. »

1.2.4. Impacts de non-respect des exigences en matière de
responsabilité sociale et environnementale
Le non-respect des exigences en matière de Responsabilité Sociale et Environnementale
d’une organisation peut se décomposer selon les natures d’impacts suivantes :
- Non-respect des exigences environnementales (risque endogène au fournisseur) :

une mauvaise maîtrise des émissions de carbone et/ou de traitement des déchets d’un
fournisseur est une source de risque environnemental pouvant impacter les engagements
RSE de l’organisation.
- Non-respect des exigences sociales (risque endogène au fournisseur) : le non-respect

des droits humains chez un fournisseur peut avoir un impact social sur son organisation.
- Non-respect des exigences éthiques (risque endogène au fournisseur) : le

manquement au devoir de vigilance de l’organisation sur ses activités, pouvant conduire à un
niveau élevé de corruption sur sa chaîne de valeur, peut également démontrer la présence
d’un risque éthique pour l’organisation.
« La source de risque la plus critique sur le non-respect des exigences environnementales est la non-
atteinte des engagements sur le bas carbone du groupe ou le recours à des fournisseurs qui ne
respectent pas la réglementation en matière de protection de l’environnement. Les conséquences
pour l’organisation sont : réputationnelle (l’organisation perd en crédibilité), et financière (par
exemple amende loi LOM : flotte de véhicules qui ne respectent pas les limites d’émissions de CO2,
renégociation/accord de prêt auprès des banques qui prennent en compte les critères
environnementaux). »
Thévy Tran, Responsable Contrôle Interne Achats,

Eiffage
“La direction achat est un des acteurs à la réalisation de deux outils qui
contribuent aux engagements bas carbone du groupe : un reporting
carbone, qui permet d'identifier les familles les plus émissives en CO2 au
regard Livre
du volume de dépenses
Blanc CNA-JICAP – Gestiongénérées
des risquesetfournisseurs
Ecosource, un 2022
– Avril outil de 26
comparaison environnementale multicritères de produits pour des usages
similaires. ”
D’ÉVALUATION DES RISQUES
MÉTHODOLOGIE
AXE 2

« L’évaluation se fait tout au long du processus, avec une métagouvernance, qui est une évaluation
complète des fournisseurs où sont appliquées les règles et critères d’évaluation de l’organisation. La
gestion des risques est intégrée dans la mission de base des acheteurs, afin de contribuer à la
performance de l’organisation. » , Directeur Achats Groupe et Performance - SEB
2.1 COMMENT ÉVALUER LA PROBABILITÉ ET L’IMPACT ?

L’évaluation des risques est une étape fondamentale dans la gestion opérationnelle de ses
AXE 2 : EVALUATION DES RISQUES
risques. En effet, les objectifs d’une organisation qu’ils soient opérationnels, financiers,
réglementaires ou encore RSE, ne peuvent être sécurisés que par des plans d’actions qui se
basent sur des risques identifiés et mesurés quantitativement et qualitativement.
Néanmoins, cette étape d’évaluation des risques est souvent négligée par de nombreux
acteurs, par manque d’intérêt ou par manque de visibilité. Nous vous conseillons, lors de
vos premières évaluations de vous focaliser sur les sources de risques qui présentent les
impacts les plus sévères pour votre organisation. Il est en effet judicieux de faire une
première évaluation rapide de vos risques, afin de vous concentrer sur vos enjeux
incontournables, vitaux et les risques avérés. C’est pourquoi, après avoir cartographié les
risques fournisseurs, nous les avons ensuite évalués.
2.1.1. Le cadre normatif de l’évaluation des risques

Le cadre normatif de l’évaluation des risques est fondé sur la norme 𝐈𝐈𝐈𝐈𝐈𝐈 𝟑𝟑𝟑𝟑𝟑𝟑𝟑𝟑𝟒𝟒 , qui propose
une méthodologie de gestion des risques. Cette norme n’est pas certifiante, néanmoins elle
agit comme un guide d’élaboration et de réalisation des programmes d’audit internes ou
externes, ainsi qu’à l’évaluation des pratiques de gestion du risque.
Pour l’évaluation des risques, la norme ISO propose une évaluation selon deux critères :
4
- La fréquence ou probabilité d’occurrence
- La gravité ou impact
4
ISO 31000 : famille de normes de gestion des risques codifiés par l’Organisation internationale de
normalisation

Directeur Performance & Développement Achats Groupe – SEB
« L’officialisation des grilles de notation du groupe est issue d’un travail aligné entre les
besoins métiers et les principes de gestion des risques en lien avec l’audit interne, qui
contribue à la validation du référentiel officiel et de son application. »
2.1.2. Les deux critères utilisés pour évaluer ses risques

2.1.2.1.La fréquence ou probabilité d’occurrence
Définition de la fréquence
De manière générale, le terme « fréquence » est plutôt utilisé lorsque l’évaluation du risque
se base sur des statistiques ou des retours d’expérience, tandis que le terme « probabilité
d’occurrence », quant à lui, est utilisé lorsque l’analyse se base sur une estimation. Pour
mesurer la fréquence d’un risque, le décideur peut utiliser des sous-critères qualitatifs et
quantitatifs.
Pratiques usuelles
En pratique, la fréquence d’un événement est évaluée le plus souvent, uniquement de
manière qualitative. En effet, l’évaluation quantitative de la fréquence est plus rare, et quand
elle est effectuée, celle-ci est faite à partir du nombre d’événements déclencheurs observés
ou prévisionnels.
Dans le secteur de l’industrie, les entreprises qualifient la fréquence de leurs risques de
manière qualitative et quantitative. Les sous-critères qualitatifs utilisés sont par exemple :
- Rare
- Léger
- Modéré
- Probable
- Très probable
Quant aux sous-critères quantitatifs associés à chaque sous-critères qualitatifs, ils sont les
suivants :
- Moins d’une fois tous les trois ans
- Deux fois par an
- Une fois par semestre
- Une fois par mois
- Plusieurs fois par semaine

2.1.2.2. La gravité ou calcul d’impact
Définition de la gravité
De manière générale, le terme « gravité » décrit les impacts des événements sur une
organisation. De même que pour mesurer la fréquence d’un risque, pour avoir une
évaluation pragmatique, le décideur peut utiliser des sous-critères qualitatifs et quantitatifs.
Pratiques usuelles
En pratique, la gravité d’un événement est calculée, le plus souvent, uniquement de manière
qualitative. En effet, l’évaluation quantitative de la gravité est plus rare, et quand elle est
effectuée, celle-ci est faite à partir des impacts sur les indicateurs financiers de l’organisation
observés ou prévisionnels (Bénéfices, résultat opérationnel, trésorerie, chiffres d’affaires ou
part de marché).
Les entreprises peuvent qualifier la gravité de leurs risques de manière qualitative et
quantitative. Les sous-critères qualitatifs utilisés sont par exemple :
- Non significatif
- Faible impact
- Majeur/Significatif
- Inacceptable
- Intolérable
Quant aux sous-critères quantitatifs associés à chaque sous-critère qualitatif, ils sont, au
regard de la baisse des bénéfices, les suivants :
- Pas applicable
- Inférieure à 5%
- Entre 5 et 10%
- Entre 10 et 20%
- Supérieure à 20%

2.1.2.3. La criticité : indice résultant des mesures de fréquence
et gravité
Définition de la criticité
La criticité d’un risque correspond, de manière générale, à l’indice de hiérarchisation du

degré d’importance que celle-ci représente pour une organisation. En effet, cet indice de
criticité permet de déterminer les risques qui sont les plus à mêmes d’entraîner des
bouleversements profonds sur une organisation.
Formule de calcul de la criticité = Fréquence(F) x Gravité (G)

Pour calculer la valeur de la criticité d’un risque, chaque évaluation de la fréquence et de la
gravité doivent être multipliées entre elles. Le produit des deux critères permet ainsi d’avoir
le degré de criticité du risque évalué. Le résultat obtenu permet de catégoriser la criticité en
plusieurs degrés d’importance : à traiter ultérieurement, inacceptable ou critique. Une fois
les deux critères calculés, une matrice de criticité peut être réalisée à partir des évaluations
des critères obtenues, afin de résumer sur un même support l’évaluation de la criticité de ses
risques.
Les entreprises peuvent interpréter la criticité de leurs risques selon trois degrés :
- Faible
- Modérée
- Elevée
« Dans le cadre de l’évaluation des risques, la structure d’échelle reste identique sur une
base de quatre niveaux et est adaptée selon la nature du critère lui-même. Par exemple, le
risque de non-conformité réglementaire s’évalue de la manière suivante : pas conforme,
partiellement conforme, conforme mais sans preuve, tout conforme. Quant aux risques de
non-respect des exigences RSE, la notation est basée selon le résultat d’audit réalisé par une
tierce partie (entre 0 et 100%) : zéro tolérance, rouge, low performance et sans risque. »

2.1.3. Le sujet des biais cognitifs
La méthode d’évaluation des risques reste une estimation relative, qu’il faut toujours
accompagner d’une analyse empirique, afin d’éviter d’être induit en erreur à cause d’un biais
cognitif. La considération d’un troisième critère, dit de non-détection des risques, par
exemple, peut dégrader l’évaluation de la criticité finale des risques perçus par une
organisation, et ainsi conduire à une mauvaise évaluation de ses risques. En effet, étant
donné la pondération égale de chacun des trois critères : Fréquence, Gravité, Détection,
toute source de risque n’ayant pas une gravité élevée mais une fréquence et une non-
détection importantes, a toutes les chances de se retrouver, à tort, en tête de liste des
priorités de traitement des risques.
C’est ainsi que nous vous conseillons de pondérer l’évaluation de vos risques par des
indicateurs fiables externes, alimentés par des fournisseurs de données, tel qu’une notation
d’une plateforme d’évaluation des performances RSE ou encore le risque pays de vos
fournisseurs, fourni par une société d’assurance.
« Le taux de dépendance des fournisseurs est à la fois évalué par des données
officielles/publiques issues de fournisseurs de données. Mais aussi, la contribution des
parties prenantes du service achats chez SEB permet de compenser parfois l’indisponibilité
de l’information. En cas d’arbitrage à faire, le point de vue le plus pessimiste est privilégié. »

2.2 COMMENT METTRE EN APPLICATION CETTE MÉTHODE
D’ÉVALUATION ?
Pour consolider l’ensemble des scores obtenus pour chaque risque ou famille de risques, trois
approches ont été identifiées :
1/ Une approche par catégorie d’achats qui pourra être déployée par l’acheteur au moment
de la définition de sa stratégie d’achats sur la catégorie.
2/ Une approche par fournisseur qui pourra être déployée à tout moment du processus
achats mais plus particulièrement lors de l’onboarding.
3/ Une approche par nature d’impact qui pourra être déployée une fois par an lors d’un
exercice d’audit interne pour connaître le niveau de criticité sur la conformité, la RSE, la
finance ou encore les opérations.
Pour appliquer ces approches, nous vous proposons deux outils de consolidation des scores :
• la matrice de criticité, que l’on appellera cube de risques,

• et le cadran de risques.
Nous vous apporterons des exemples de leurs déclinaisons selon chaque approche.

2.2.1. Approche d’évaluation par catégorie d’achats (selon
votre nomenclature)
Cette approche par catégorie d’achats, vous permettra de cartographier les scores de criticité
des sources de risques liés aux risques exogènes aux fournisseurs (les risques sur les
marchés).
Voici ci-dessous un exemple de cadran d’évaluation pour une famille d’achats « Intérim » :
Pour construire ce cadran, il convient de compléter au préalable le tableau suivant :
Puis, la matrice de criticité peut être réalisée. Voici ci-dessous un exemple qui peut être
obtenu :

Quant à l’approche de l’évaluation par fournisseur ; celle-ci doit être fondée sur le panel
2.2.2. Approche d’évaluation par fournisseur
fournisseurs et détailler les sources de risques endogènes et exogènes aux fournisseurs. La
criticité calculée pour chaque fournisseur, est pondérée par deux critères :
- Le niveau d’engagement de son organisation auprès du fournisseur
- L’évaluation de la criticité des risques liée à la catégorie d’achats à laquelle est

rattaché le fournisseur
Voici ci-dessous un exemple de cadran d’évaluation pour une famille d’achats « Intérim » :
Pour construire ce cadran, il convient, pour cette approche également, de compléter au

préalable le tableau suivant :
Le niveau d’engagement correspond à la dépendance stratégique de son organisation envers

un fournisseur, que ce soit dans une période actuelle ou future.
Quant à la criticité de la catégorie celle-ci permet de réévaluer le risque inhérent à un
fournisseur par rapport à sa catégorie de rattachement qui a pu être évaluée « critique » pour
son organisation. L’intérêt est d’éviter une mauvaise interprétation de l’impact de ce risque
sur l’activité de l’organisation.

Enfin, voici un exemple de matrice de criticité qui peut être obtenue :
De plus, les fournisseurs d’une organisation peuvent également être regroupés par nature
d’activité, afin d’identifier différents niveaux de criticité équivalents. En d’autres mots, le
« clustering » de ses fournisseurs, que ce soit par nature d’activité, taille d’entreprise,
localisation, modes d’investissements ou encore stratégies, peut permettre à une
organisation d’interpréter ses risques fournisseurs de la même manière afin d’éviter des
pertes de temps dans l’évaluation de ces risques.
Ces deux approches énoncées sont interdépendantes. En effet, l’évaluation des risques d’une
catégorie d’achats identifiée comme à risque pour l’organisation, peut ensuite mener à une
évaluation des risques du panel de fournisseurs concernés.

2.2.3. Approche d’évaluation par nature d’impact pour son
organisation
Enfin, l’évaluation de ces sources de risques peut également se faire en notant ces derniers
par nature d’impact pour son organisation. Les natures d’impact que nous avons exploitées
sont celles décrites dans la partie 1 du livre ; à savoir :
- Non-conformité
- Non-pérennité financière
- Non-continuité des opérations
- Non-respect des exigences en matière de Responsabilité Sociale et Environnementale
Cette approche d’évaluation revient alors à construire une matrice de criticité ou un cadran
des risques pour nature d’impact.
Voici ci-dessous un exemple de cadran d’évaluation des risques par nature d’impact pour
une famille d’achats « Prestations de nettoyage » :
Pour construire ce cadran, il convient, pour cette approche aussi, de compléter au préalable
le tableau suivant :

Vous trouverez ci-dessous un exemple de matrice de criticité pour une nature d’impact de
« Non-respect des exigences sociales » :
$
Sébastien Jacquey, Directeur Performance & Développement
Achats Groupe, Groupe SEB
“Chez SEB, dans le cadre des prérogatives liées au devoir de vigilance, à la loi sapin
2 et Know Your Supplier, le risque de corruption est un risque traité à part entière
avec une évaluation spécifique. Un outil de pré-évaluation développé en interne a
été créé sur la base de trois critères pondérés : la localisation, la catégorie d’achats
et la dépense. Sur cette base, un lien est fait avec les données officielles (Politically
Exposed Person, blanchiment d’argents…) et le ou les représentants légaux du
fournisseur. ”
STRATÉGIES DE GESTION DES
RISQUES ET PILOTAGE
AXE 3

3.1 QUELLES SONT LES STRATÉGIES ET LES LEVIERS ACHATS POUR
GÉRER LES RISQUES FOURNISSEURS ?
AXE 3 : GESTION ET PILOTAGE DES RISQUES
Pour que la gestion des risques fournisseurs soit efficiente, le fournisseur doit être
transparent sur la gestion de ses activités, sur son contexte et ses enjeux afin de permettre
à l’organisation d’anticiper les potentiels risques. Or, peu de directions achats arrivent à
instaurer ce dialogue avec leurs fournisseurs sur les sujets des risques et/ou très peu de
fournisseurs acceptent d’être transparents. L’échange d’informations avec ses fournisseurs
est donc un élément clé dans le processus de gestion des risques.
De plus, la gestion des risques doit être réalisée de manière collaborative avec tous les
départements de l’entreprise et les actions devront être coordonnées par département en
fonction de la nature d’impact.
La réactivité de l’organisation face à un événement imprévisible sera plus ou moins lente

selon sa faculté à anticiper les risques ainsi que leurs impacts. Les organisations les plus lentes
seront celles capables d’identifier un potentiel risque, mais sans avoir de visibilité sur
l’impact des événements associés, les rendant ainsi incapables de mettre en place les plans
d’actions appropriés. C’est pourquoi, nous vous recommandons pour chaque événement
d’identifier toutes les sources de risques possibles, puis de les associer d’une part aux
différentes causes observées mais aussi de les affecter aux impacts perçues ou potentielles
pour votre organisation.

3.1.1 Les stratégies
Pour gérer les risques fournisseurs, plusieurs stratégies peuvent être adoptées. Ces stratégies
sont cumulables et il n’y en a pas une meilleure que l’autre, sa pertinence dépendra du
contexte et des enjeux de votre organisation. Pour certains risques, l’organisation n’a pas le
choix de la stratégie de gestion, elle est contrainte de contrôler ces risques pour ne pas
disparaître.
Dans le cadre de ce livre blanc, nous vous proposons cinq stratégies différentes :
- L’acceptation
3.1.1 Les stratégies
- L’évitement
- Le contrôle
- Le transfert
- La surveillance
3.1.1.1 Acceptation
L’acceptation des risques est une première stratégie pour gérer ses risques. Dans ce cas,
l’organisation assume la responsabilité d’un risque particulier auquel elle doit faire face. En
d’autres termes, l’organisation choisit de prendre en charge les dépenses financières qui
interviennent en cas de survenance du risque.
Dans de nombreuses circonstances, lorsque l’organisation accepte un risque, c’est soit parce
qu’après l’évaluation du risque, l’organisation estime que la criticité du risque n’est pas
suffisamment importante pour nécessiter un investissement afin de le traiter, soit parce
qu’elle n’a pas les moyens de gérer ce risque autrement (acceptation forcée). Le choix
d’acceptation du risque doit se baser sur une analyse des coûts de gestion de ce risque. De
3.1.1.1 Acceptation
plus, l’acceptation fait partie des stratégies pour lesquelles certaines sources de risques ne
permettent pas son application.
Ainsi, le risque accepté par l’organisation peut être dans ce cas autofinancé par un compte
de provision, afin d’anticiper les pertes potentielles.

3.1.1.2 Evitement
L’évitement des risques est une autre stratégie pour gérer ses risques. Il s’agit dans ce cas,
d’un refus d’accepter un risque connu de la part d’une organisation. En effet, l’organisation
n’autorise aucune exposition au risque (événement, cause, impact) considéré et s’impose par
tous les moyens qui sont à sa disposition à ne pas s’engager dans des actions qui y
donneraient lieu. Aucun financement des pertes n’est donc mis en place.
Cette stratégie d’évitement du risque, s’accompagne aussi d’une privation pour

l’organisation des bénéfices et opportunités qui auraient pu être réalisés.
Il s’agit donc d’une décision à prendre, qu’en cas de criticité extrême pour l’organisation.
3.1.1.2 Evitement
Il est fortement conseillé d’avoir une démarche intentionnelle et de conserver un registre des
décisions d’évitement prises, pour conserver une trace historique, et également pour avoir
une référence afin de guider les stratégies de gestion des risques futurs.
3.1.1.3 Contrôle
La stratégie de contrôle des risques permet également de gérer ses risques. Dans ce cas de
figure, l’organisation évalue les pertes potentielles et prend des mesures pour gérer ou
éliminer ces risques. Le contrôle réalisé a tout intérêt à être réalisé indépendamment de la
gestion par l’organisation, pour éviter toute influence ou altération des jugements/alertes
par une tierce personne. Ce contrôle des risques est permanent et périodique. Cette
stratégie est pertinente quand la criticité du risque considéré est élevée.

3.1.1.4 Transfert
Le transfert des risques est une autre stratégie. Dans ce cas, un fournisseur assume les
responsabilités de gestion des risques considérés par l’organisation. En d’autres mots,
l’organisation établit un accord avec un fournisseur pour qu’il prenne en charge le risque et
les impacts au nom de son organisation. Le transfert d’un risque est à privilégier lorsque le
risque considéré à une fréquence faible mais un impact important.
3.1.1.5 Surveillance
La surveillance des risques est également une stratégie pour détecter et évaluer ses risques.
Dans ce cas des indicateurs d'alertes sont mesurés et l’organisation définit un seuil critique,
au-delà duquel elle mettra en place une réponse appropriée et efficace. Cette stratégie peut
être couplée avec toutes les autres stratégies de gestion des risques énoncées. La surveillance
des risques va permettre à l’organisation d’avoir une meilleure réactivité (détection plus
rapide) et une meilleure évaluation de la criticité de ses risques (occurrences d’événements
et d’impacts observées).

3.1.2 Les leviers par approche
Les leviers à mettre en place pour gérer vos risques sont différents en fonction de la famille
d’achats, du fournisseur et du processus achats néanmoins ces leviers seront, dans tous les
cas, classés par nature d’impact pour votre organisation. De plus, ils ne dépendent pas
uniquement de la stratégie de gestion des risques choisie, car un même levier peut être utilisé
pour plusieurs stratégies. Nous vous proposons trois axes de prises de décision différents à
prendre en compte pour définir vos leviers :
- Vos familles d’achats
- Vos fournisseurs
- Vos processus achats
3.1.2.1 Par catégorie d’achats

Les leviers de gestion des risques par catégorie d’achats contribuent à la définition d’un plan
d’action en fonction de la stratégie achats de l’entreprise et de la nature de l’impact : RSE,
Finance, Conformité et Opérations.
La matrice de criticité réalisée par catégorie d’achats, lors de l’évaluation des risques, peut
être utilisée pour quantifier la criticité de chaque catégorie d’achats et ainsi dimensionner
un taux de criticité globale pour chacune.
Ensuite, pour définir les leviers de gestion des risques intrinsèques, les responsables des
catégories d’achats, comprenant les auditeurs qualité, les juristes et les responsables achats
groupe, peuvent chercher à répondre aux questions suivantes :
• Que devrait être la stratégie achats courante de notre organisation sur le marché
actuel ?
• Quelles sont les informations à savoir sur les matières, les produits ou services que
notre organisation consommera au cours du prochain trimestre ?
• Quels sont les facteurs en place qui peuvent bouleverser à court terme la nature de
nos achats ?
• Quels sont les principaux facteurs qui ont un impact sur les matières, les produits ou
services consommées par notre organisation à l’échelle nationale et mondiale ?

• Où et quand le prix des matières, produits ou services consommés par notre
organisation s’effondrera ou explosera ?
A partir des réponses à ces questions, des plans d’urgence efficaces pourront être élaborés,
afin d’anticiper d’éventuelles perturbations liées à des risques, constituant ainsi une liste de
leviers par catégorie d’achat et par risque.
Les leviers listés pourront être classifiés par niveau de criticité pour l’organisation : risque
faible, moyen et fort.
Voici
• ci-dessous des
Où et quand le exemples de leviersproduits
prix des matières, par niveau de criticité
ou services :
consommés par notre organisation
s’effondrera ou explosera ?
- Risque faible :
A partir des réponses à ces questions, des plans d’urgence efficaces pourront être élaborés, afin
d’anticiper d’éventuelles perturbations liées à des sources de risque, constituant ainsi une liste de
o Veille marché
leviers par famille d’achat et par source de risque.
o Veille réglementaire
Les leviers listés pourront être classifiés par niveau de criticité pour l’organisation : risque faible,
o Reporting avec suivi des indicateurs majeurs à tenir sous surveillance
moyen et fort.
- Risque moyen :
o Mise à jour de la stratégie d’achats:
 Changement d’allotissement
 Standardisation
 Relocalisation
- Risque fort :
o Nouvelle stratégie d’achats catégorielle :
 Déréférencement du fournisseur
 Changement de panel
 Changement de technologie
 Internalisation

3.1.2.2 Par fournisseur
Les leviers de gestion des risques peuvent être aussi définis par fournisseur. Dans ce cas,
l’objectif est de définir un plan d’action par typologie de fournisseurs, en fonction de la
stratégie achats de son organisation et de la nature d’impact : RSE, Finance, Conformité et
Opérations. Les leviers doivent être définis par les acteurs opérationnels. Voici ci-dessous
des exemples de leviers de gestion des risques par typologie de fournisseurs :
- Panel fournisseurs :
o Surveillance
- Fournisseurs stratégiques :
o Revue performance fournisseur
o Audit des contrats
o Audit des contrats d’assurance
o Veille marché
- Fournisseurs stratégiques critiques :
o Audit de site
o Plan de progrès
o Assurances
Par la même occasion, les organisations peuvent compléter leur stratégie de gestion des
risques par un suivi des plans de contingence de leurs fournisseurs, et par une amélioration
continue de leur processus de gestion des risques fournisseurs. C’est ainsi que ces
organisations seront davantage en éveil des prochains risques pouvant l’impacter, ce qui leur
permettra de gagner en flexibilité face aux changements soudains.

3.1.2.3 Par processus achats
Les leviers de gestion de vos risques fournisseurs peuvent également être définis par
processus achats. Voici ci-dessous des exemples de leviers :
- Spécification des besoins
o Impliquer les fournisseurs dans la définition et/ou la conception
o Changement de technologie
o Utilisation de standards du marché
o Exigences dans le cahier des charges de la consultation
- Identification des fournisseurs
o Changement de panel
o Changement d’allotissement
o Internalisation
o Veille des incidents fournisseurs
- Consultation
o Collecte du bilan social
o Collecte des documents obligatoires
- Analyse des offres
o Analyse des coûts et provisions dans les comptes
o Certification à la norme
- Négociation et sélection
o Multiplication des sources d’approvisionnement
- Contractualisation
o Couverture contractuelle
o Accord back to back

3.2 QUELLE GOUVERNANCE METTRE EN PLACE POUR PILOTER LES
RISQUES FOURNISSEURS ?
La digitalisation des processus de gestion des risques fournisseurs pourra être construite à
partir d’une analyse continue du marché pour détecter les innovations, plutôt qu’à partir
d’une feuille de route pluriannuelle en fonction des besoins métiers.
De plus, les organisations seront amenées à mettre en place une solution intégrée de gestion
active du risque (IRM : Integrated Risk Management), afin d’appliquer une méthode
stratégique et collaborative de gestion des risques.
L’évaluation des risques fournisseurs pourra ne pas être effectuée uniquement lors du
processus d’appel d’offres (sourcing) mais bien tout au long du processus S2C (Source-To-
Contract), en étant automatisée et génératrice d’alertes. De plus, la matrice des risques (ou
matrice de criticité) pourra être mise à jour de façon régulière, selon les besoins de votre
organisation.
Tout nouveau projet digital sur la gestion des risques de l’organisation pourra impliquer les
métiers concernés. En d’autres mots, la conduite du changement auprès des équipes métiers
après le déploiement d’un projet de transformation digitale ne sera plus assurée par une
équipe dédiée, mais bien par l’ensemble du business dès la définition des projets digitaux.
Pour identifier et évaluer les risques fournisseurs, les achats pourront travailler avec les
autres fonctions support et les opérations. Le pilotage des risques quant à lui, pourra être
réalisé par un comité des risques. Et enfin les audits effectués par un tiers (client, fournisseur,
régulateur, législateur, actionnaire) pourront avoir lieu plus d’une fois par mois.

3.2.1 La gouvernance pour un pilotage des risques efficace
3.2.1.1 Les prérequis à la mise en place d’une gouvernance

Nous avons identifié deux prérequis à la mise en place de votre processus de gestion des
risques :
1/ Connaître la maturité de son modèle opérationnel de gestion des risques :
La maturité du modèle opérationnel de son organisation s’appuie sur quatre piliers :
- Processus
- Gouvernance
- Ressource
- Outils
2/ Connaître le profil de risque de votre organisation :
Le profil de risque de son organisation peut se construire à partir des éléments suivants :
- Exposition aux risques de l’environnement opérationnel de l’organisation
- Objectifs stratégiques
- Engagements extra-financiers

3.2.1.2 Les trois lignes de maîtrise pour déployer son dispositif
de gouvernance
La gouvernance que nous vous conseillons se base sur les trois lignes de maîtrise :
Les achats interviennent en première ligne de la gouvernance que nous vous proposons. Ce
dispositif de gouvernance intègre les objectifs et composantes du référentiel COSO 2.

3.2.1.3 Les rituels clés de sa gouvernance
Pour que cette gouvernance soit efficiente, nous vous conseillons également d’identifier les
rituels clés pour votre organisation et de documenter le contenu de chacun d’entre eux.
Voici deux rituels que nous estimons adaptés à toute organisation :
- Feuille de route de mise en place de la gouvernance, qui permet de :
o Définir les différents rituels pour chaque ligne de maîtrise

o Phaser leur mise en place
o Identifier les interdépendances entre chaque rituel
- Fiche rituel, qui permet de :
o Définir les objectifs de chaque rituel

o Identifier les indicateurs de performance entrants
o Identifier les indicateurs de performance sortants
o Définir les livrables attendus (ex : tableau de bord)
Cette gouvernance vous permettra d’améliorer votre réactivité face à la survenance de tout
type de risque.

3.2.2 Les outils digitaux pour une gouvernance efficiente
3.2.2.1 Les prérequis à la mise en place d’une solution digitale

de gestion des risques
La méthodologie d’évaluation s’appuie sur une bonne connaissance de vos familles d’achats
et de vos engagements fournisseurs. Et donc il nous semble essentiel, avant de lancer toute
démarche de gestion des risques, de consolider les données nécessaires sur les fournisseurs,
à savoir celles relatives :
• Au système de gestion des dépenses :
Les données nécessaires issues du système de gestion des dépenses de votre

organisation sont les suivantes :
- Votre segmentation achats
- Vos dépenses par catégorie
- Vos dépenses par fournisseur
• Au système de gestion des fournisseurs :
Les données pour chaque fournisseur nécessaire issues du système de gestion des
fournisseurs de votre organisation sont les suivantes :
- Le numéro unique issu de votre organisation

- Le numéro unique international
- Le pays
- La catégorie
• Au système de gestion des contrats
Les données pour chaque contrat nécessaires issues du système de gestion des
contrats de votre organisation sont les suivantes :
- La durée d’engagement
- Le montant du contrat
- La catégorie d’achats du contractant
- Les clauses spécifiques : Propriété Intellectuelle, Sécurité, Résiliation

3.2.2.2 Les marchés des solutions autour de la gestion des
risques
Nous avons identifié trois marchés de logiciels de gestion des risques :
o les Systèmes d’Information de Gestion des Risques – SIGR, qui permettent :
 D’identifier au plus près de leur survenance et d’évaluer les risques,

 De classifier puis restituer l’évaluation des risques,
 De reporter le suivi de gestion des risques,
 De faciliter la communication avec les autres départements de
l’organisation,
o les solutions de risque intégrées aux e-proc/ERP,
o les fournisseurs de données.
Ces trois univers commencent à interagir dans ce même marché complexe à forte croissance.
Les éditeurs adaptent les fonctionnalités pour couvrir le périmètre entier. Ces outils doivent
être adaptés à votre organisation pour répondre à vos besoins.

Les "drivers" technologiques sont :
o Enrichissement des données
Vos données fournisseurs peuvent être enrichies de différentes manières :
 Avec des données publiques (Open data pour l’Europe , Code NAF
pour la France)
 Avec des algorithmes de machine learning (Nature Language
Processing, Catégorisation et Classification)
 Avec d’autres données fournisseurs (Bases fournisseurs,
Transactions, Contrats, Evaluations)
 Avec des données payantes (numéro unique international,
Informations business enrichies, scores de risques)
 Avec des données explorées sur le web (Données site web/articles,
réseaux sociaux)
 Avec des données issues des réseaux fournisseurs (données
déclarées, benchmark clients, catalogues électroniques publiées)
o Intelligence Artificielle et analyses prédictives
o Arbre de décision automatique
o « Cockpit » synthétique

Conclusion
Les évènements de ces dernières années ont démontré que l’histoire n’est
jamais finie (comme ont pu le prétendre certains …) ; et qu’ils y apportent
leur lot de risques exogènes majeurs.
La vie de nos entreprises et de nos organismes, qui évoluent dans un

monde de plus en plus ouvert et complexe, s’expose elle-même à
l’émergence de risques nouveaux comme à la réapparition de risques plus
anciens, certains exogènes dans leur écosystème comme endogènes au
sein même de leurs activités internes. D’autant que les attentes et les
exigences grandissantes de leurs clients, de leurs actionnaires et de leur
environnement règlementaire se rajoutent à cette météo perturbée.
L’ambition de ce livre est certes d’apporter à notre communauté achats un

ensemble substantiel de pratiques achats au meilleur niveau dans une
approche inclusive mais également d’être un vrai déclencheur pour
démarrer ou élever le débat au sein de leurs entreprises et de leurs
organismes au sujet du risque des tiers et de sa maîtrise optimale dans une
optique large de création de valeur et de différentiation.
Cette démarche est également une opportunité formidable pour les achats
non seulement d’assurer leur fonction régalienne de maîtrise des risques
des tiers fournisseurs de leur entreprise mais également de réaffirmer une
posture de leadership moderne en termes d’animation transversale,
d’approche collaborative, de management par influence et de mise en
sureté de fonctionnement par la rigueur de processus et de la gouvernance
associée.
D’ici à dire qu’un risque a toujours son opportunité, il y a là un pas que

l’ensemble des participants à cet HA Lab’ n’hésitent pas à franchir et qu’ils
vous invitent, lecteurs de cet ouvrage, à franchir sans attendre !

Remerciements
La rédaction de ce premier livre blanc sur la gestion des risques
fournisseurs est le fruit de travaux issus d’une participation active,
collaborative et apprenante de 10 entreprises et organismes des
principaux secteurs économiques dans le cadre d’un HA Lab Risk du
Conseil National des Achats. Merci à : Thévy Tran, Sébastien Jacquey,
Géraldine Olivier, Frékia Ghezzal, Isabelle Bennet, Denis Laxague, Michel
Gourhannic, Nicole Delattre, Bruno Carrière, Véronique Bertrand, Didier
Dulac, Nancy Dunant, Dominique Etourneau, Laurence Michelet, Stéphane
Gagneux, Florence Maire, Martine Sarramagnan.
Nous remercions tout particulièrement Françoise Guillaume (Directrice
des Achats du groupe Société Générale) et Christophe Marneffe (Directeur
de la Gestion des Risques et Projets d’Orange) qui ont présidé l’HA LAB
Risk du CNA au cours de ces derniers mois, apportant de leur temps et de
leur expertise, lors des ateliers de travail, lors des séances de préparation,
avec toujours une approche rigoureuse, précise et holistique d’un sujet
complexe.
Un grand merci à JICAP pour son soutien, plus particulièrement à Jean-
Pierre Vignes, à Ingrid Ulivieri, Emmanuel Roy, Grégoire Day, sans oublier
le soutien inestimable de Jean-Philippe Collin. Toute une équipe qui a été
aux côtés du CNA et a permis par son savoir et sa méthode d’aboutir à la
réalisation de ce livre blanc destiné à être utilisé et adapté à chaque
environnement d’entreprise et organisme et in fine en faire une référence
maintenant incontournable par son contenu pragmatique.
Ce livre blanc n’aurait pu voir le jour sans Jean-Luc Baras, Président du
CNA, qui en a pris l’initiative et y a apporté tout son soutien avec Nathalie
Leroy, Déléguée générale.

BIBLIOGRAPHIE

BIBLIOGRAPHIE
COSO 2, "Enterprise Risk Management Framework"
Le référentiel COSO (Comitee Of Sponsoring Organizations), créé en 1992 par la

commission « COSO », est un cadre commun de contrôle interne des organisations. Ce
contrôle interne se définit comme un processus mis en œuvre à tous les niveaux de
l’organisation afin de fournir une assurance raisonnable quant à la réalisation de trois
objectifs :
• L’efficacité et l’efficience des opérations
• La fiabilité des opérations financières
• La conformité aux lois et règlements
De plus, cinq composantes constituent ce référentiel :

• L’environnement de contrôle
• L’évaluation des risques
• Les activités de contrôle
• L’information et la communication
• Le pilotage
Enfin, le cadre de ce contrôle interne doit distinguer les différentes structures de
l’organisation : sociétés, entités, fonctions, etc…
A partir des trois objectifs, des cinq composantes et des structures de l’organisation, un cube
COSO en trois dimensions peut être obtenu pour illustrer son contrôle interne.
La loi Sarbanes-Oxley aux Etats-Unis en 2002, puis la loi de Sécurité Financière en France en
2003 ont imposé aux organisations d’évaluer leur contrôle interne et de publier leurs
conclusions. Ceci a provoqué un déploiement massif de l’utilisation du référentiel COSO
comme cadre conceptuel.
En 2004, la commission « COSO » instaure un nouveau référentiel COSO 2 afin de créer un
cadre de référence de la gestion des risques qui intègre le contrôle interne. Ce nouveau
référentiel COSO 2 défini la gestion des risques comme un processus mis en œuvre par le
conseil d’administration, les dirigeants et le personnel d’une organisation dans le but de :
• Identifier les événements potentiels impactant pour l’organisation
• Maîtriser les risques afin qu’ils soient dans les limites de l’appétence au risque de
l’organisation
• Fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation

Le cube COSO 2 qui peut être réalisé à partir de ce nouveau référentiel se décompose en trois
axes qui décrivent chacun :
• Les objectifs que cherche à atteindre l’organisation
• Les éléments du dispositif de management des risques de l’organisation
• Les structures de l’organisation
Ainsi, l’évaluation des risques est également décrite dans le référentiel COSO 2. Cette
évaluation distingue, dans le référentiel, les risques bruts ou inhérents identifiés puis évalués,
des risques nets ou résiduels après maîtrise du risque par l’organisation.
AS/NZS ISO 31000:2009 Risk management - Principles and guidelines
La norme ISO 31000 est structurée autour de trois méthodologies :

- Leadership et engagement de l’organisation
- Création de valeur et protection des ressources
- Gestion des risques
Ces trois méthodologies sont interconnectées dans l’application de la norme, c’est-à-dire que
par exemple, la direction d’une organisation doit s’assurer que la gestion des risques est
intégrée à tous les niveaux de celle-ci, ou encore que toute nouveau risque avéré devrait
mener à processus d'amélioration continue du processus de gestion des risques. Les
problématiques de gouvernance de la gestion des risques seront décrites dans la partie 3 du
livre.
Pratique de l'AMDEC - 2e édition 2009 Jean Faucher
Mise en application de la norme avec la méthode AMDEC

La répartition des sources de risques sur une matrice de risques est possible à partir des deux
critères fournis par la norme ISO 31000, mais la notion de criticité qui en résulte est
manquante.
L’Analyse des modes de défaillance, de leurs effets et de leur criticité (AMDEC), créée en 1940
par l’armée américaine, ajoute à l’évaluation des risques la notion de criticité. En effet, il s’agit
d’un outil, à l’origine, de sûreté de fonctionnement et de gestion de la qualité, mais qui permet
également de décomplexifier sa gestion de risque.

Contactez- nous !
223 avenue Victor Hugo, 92140 Clamart
Nathalie Leroy
+ 33 7 72 37 60 87
nathalie@cna-asso.fr
https://www.cna-asso.fr/
7 Boulevard Haussmann, 75009 Paris
Ingrid Ulivieri
+ 33 7 87 05 65 13
Ingrid.ulivieri@jicap-performance.com
https://jicap-performance.com/

Livre Blanc-Gestion de Risques Fournisseurs

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Livre Blanc-Gestion de Risques Fournisseurs

Transféré par

Droits d'auteur :

Formats disponibles

GERER SES RISQUES

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 1

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 2

Cette première structure a été ensuite détaillée en différentes sous-structures

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 3

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 4

l’entreprise : son comité exécutif, son directoire, son Conseil de Surveillance/Conseil

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 5

démarche de gestion du risque au sein de votre entreprise.

Bonne lecture … elle est sans risque …

Senior Advisor - JICAP Performance

Chief Procurement Officer - Société Générale

Strategic/Group Sourcing & Supply Chain - Orange

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 6

PRÉALABLE À LA STRATÉGIE DE GESTION DES RISQUES

AXE 1 : CARTOGRAPHIE DES RISQUES

1.1 COMMENT IDENTIFIER LES RISQUES FOURNISSEURS ?

1.2 QUELLES SONT LES NATURES D’IMPACT ?

AXE 2 : MÉTHODOLOGIE D’ÉVALUATION DES RISQUES

2.1 COMMENT ÉVALUER LA PROBABILITÉ ET L’IMPACT ?

2.2 COMMENT METTRE EN APPLICATION CETTE MÉTHODE D’ÉVALUATION ?

AXE 3 : STRATÉGIES DE GESTION DES RISQUES ET PILOTAGE

48 3.2 QUELLE GOUVERNANCE METTRE EN PLACE POUR PILOTER LES RISQUES

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 8

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 9

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 10

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 11

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 12

• Ceux endogènes aux fournisseurs (à qui j’achète),

• Ceux exogènes aux fournisseurs (où j’achète),

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 13

Responsable Contrôle Interne Achats – Eiffage

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 14

1.1.2. Risques endogènes aux fournisseurs

Dans le cadre de l’externalisation des activités de l’organisation, celle-ci sous-traite à des

Mauvaise gestion des Mauvaise gestion des Rupture d'approvisionnement de

Non-pérennité Niveau d'endettement Créances clients non Organisation mise en liquidation

Problème récurrent de travailleurs Procédure judiciaire pour

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 15

Responsable Contrôle Interne Achats – Eiffage

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 16

analyse de la structure PESTEL (Politique, Economique, Social, Technologique,

Source de risques Événement chez le fournisseur Impact possible pour votre

Contexte économique Manque de surveillance du

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 17

Responsable Contrôle Interne Achats – Eiffage

« La réactivité du département achats a été très forte, grâce aux multi-compétences de la

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 18

Les risques endogènes à la fonction sont liés à un dysfonctionnement, ou une insuffisance de

Source de risques Événement chez le fournisseur Impact possible pour votre

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 19

comparer avec d’autres organisations tout en assurant la complétude, la conformité et la

En effet, à travers la revue de l’ensemble des procédures (tant en termes de documentation

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 20

- Une classification par cause

- Une classification par nature d’impact (enjeu)

Via cette classification, en ressort quatre natures d’impact :

- Non-continuité des opérations

- Non-respect des exigences en matière de Responsabilité Sociale et Environnementale

Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 21

« Lorsqu’on parle de risque, de manière naturelle, on va tout de suite penser à l’impact

1.2.1. Impacts de non-conformité

- La non-conformité documentaire (risque endogène au fournisseur) : Si l’on considère