Académique Documents
Professionnel Documents
Culture Documents
FOURNISSEURS
temps de la fonction Achats, la fonction qui pilote les ressources externes de l’entreprise
étendue, de garantir à l’entreprise le plus haut niveau d’assurance de fonctionnement de
celle-ci sur le court, moyen et long terme et ceci avec toutes ses parties prenantes internes
et externes. C’est justement l’ambition de ce Livre Blanc de produire un ensemble adaptatif
et clair d’outils et de méthodes permettant d’élever la pratique de gestion du risque de
l’entreprise quant à sa base fournisseurs et ses interactions avec celle-ci. Notre démarche est
le résultat d’un intense travail collaboratif, à travers sept ateliers entre mai et décembre
2021, d’une douzaine d’entreprises (*) de secteurs variés sous l’égide du CNA avec le support
de pilotage de Jicap ; à ce titre il intègre leurs pratiques existantes et celles captées sur le
marché et constitue un socle de référence sur lequel les entreprises pourront s’appuyer pour
constituer leur propre référentiel de gestion du risque. Ce socle est bien entendu appelé à
évoluer dans le temps tant le monde compétitif d’aujourd’hui et de demain saura produire
de nouvelles règlementations et de nouvelles attentes sociétales et environnementales
toujours plus exigeantes, des technologies toujours plus puissantes et … sans aucun doute …
de nouveaux risques !
La logique que nous avons retenue pour aborder et traiter ce sujet est une logique linéaire
qui nous conduit de la cartographie des risques jusqu’à la gouvernance du risque fournisseurs
en passant par une étape méthodologique d’évaluation et de mise en perspective des
différentes catégories de risques. Nous avons eu également le souci tout au long de cette
approche de définir les termes et les éléments de langage afférents au risque en nous
inspirant au mieux des démarches normatives.
l’univers varié et complexe des risques ; la notion de risque emporte avec lui en effet sa cause,
ses évènements déclencheurs et ses impacts ; il est tout cela à la fois. Nous avons donc retenu
une première structure entre les risques généraux du monde extérieur, le risque individuel
lié à un fournisseur et/ou un secteur et le risque endogène à l’entreprise en y incluant les
engagements de toute nature qu’elle a pu prendre avec ses fournisseurs.
2
Nous sommes ensuite passés sur une étape méthodologique permettant de définir une
approche générique d’évaluation du risque sur deux dimensions essentielles que sont sa
probabilité d’occurrence et son amplitude d’impact. Ces deux dimensions se factorisent et il
en résulte un degré de criticité brute. Nous avons donc par la suite logiquement structuré les
différentes thématiques d’actions pouvant agir individuellement et/ou de concert sur la
probabilité et l’impact de ces risques. Ces actions peuvent permettre de supprimer le risque,
d’atténuer son occurrence, de diminuer son impact par différentes stratégies de couverture
de celui-ci…
Ces actions peuvent être de nature réactive et/ou proactive et s’inscrire dans des horizons de
temps variés pour l’entreprise. Elles sont également fortement corrélées au secteur de
l’entreprise. Pour cette deuxième étape d’évaluation des risques, les ateliers 3 et 4 ont permis
de caractériser puisgde proposer d’évaluer le niveau de criticité des risques identifiés dans la
première étape.
3
La troisième étape de notre démarche concerne la gouvernance du risque fournisseur. Elle
couvre à la fois le pilotage opérationnel et stratégique du risque par la fonction Achats en
interaction avec les entités concernées de l’entreprise et celles-ci sont nombreuses puisque
toutes utilisent des ressources externes fournisseurs.
Le pilotage institutionnel du risque est bien entendu fortement influencé par le secteur
d’activité de l’entreprise : les exigences réglementaires, l’intensité compétitive, les attentes
sociétales et environnementales, la présence géographique, la nature même des produits et
services et des business models clients associés sont autant de facteurs influents et
déterminants.
Dans cette troisième étape nous avons abordé le sujet clef des outils rendant possible,
efficiente (son coût) et efficace la gouvernance du risque.
Qu’ils soient des outils capteurs du risque, des outils de pilotage opérationnel, des outils de
reporting et de communication, ils sont appelés de plus en plus à adresser à la fois des
attentes particulières et parcellaires autant que holistiques tant l’entreprise se doit de gérer
à la fois le risque dans sa granularité que dans sa totalité.
Par ailleurs, la nature vaste et sa dimension autant verticale (la chaîne d’approvisionnement
dans ses différentes strates) qu’horizontale (les secteurs d’achats, les utilisateurs variés au
sein de l’entreprise…) entraîne une explosion des données produites et gérées qui exigent
par ailleurs des technologies de plus en plus puissantes et intelligentes.
Il n’est pas un référentiel mais il constitue un point de départ et/ou de repère pour votre
fonction Achats.
Nous vous encourageons à le traiter comme tel et nous permettre également de l’enrichir
dans le temps par les expériences et les pratiques particulières que vous aurez menées.
Jean-Philippe COLLIN
Françoise GUILLAUME
Christophe MARNEFFE
2 PRÉFACE ET ENJEUX
8 GLOSSAIRE
10
PAGE
12
PAGE
13
PAGE
21
PAGE
27
PAGE
28
PAGE
33
PAGE
39
PAGE
40 3.1 QUELLES SONT LES STRATÉGIES ET LES LEVIERS ACHATS POUR GÉRER LES
PAGE
RISQUES FOURNISSEURS ?
FOURNISSEURS ?
55
PAGE PAGE PAGE
CONCLUSION
56 REMERCIEMENTS
Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 7
57 BIBLIOGRAPHIE
GLOSSAIRE
GLOSSAIRE
PRÉALABLE
Avant de mettre en place un processus de gestion de ses risques fournisseurs, il convient que
votre organisation ait une politique achats formalisée et déployée. La gestion des risques
intervenant dès l’amont de votre processus achats, votre processus « source-to-contract »
doit être clairement défini, de l’étape d’identification des besoins jusqu’au suivi de
l’exécution de vos contrats. Votre organisation achats a également tout intérêt, comme
prérequis, à suivre une démarche d’amélioration continue de la performance achats. Des
leviers achats bien intégrés permettent de transférer, contrôler et éviter une bonne partie de
vos risques. Les leviers achats sont des bonnes pratiques qui sont déjà des bons débuts de
gestion de vos risques fournisseurs (couverture contractuelle, délégation de pouvoir et de
signature, mise en concurrence des fournisseurs).
AXE 1
Pour pouvoir appréhender les risques fournisseurs, leur identification se doit d’être
suffisamment exhaustive, tout en intégrant la spécificité propre à chaque risque. En effet,
chaque source de risque a une nature propre et se caractérise selon trois éléments : ses
causes, ses événements et ses impacts. Dans le cadre de la réglementation française sur le
devoir de vigilance et la lutte anti-corruption, l’identification des risques doit être robuste.
L’Agence Française Anticorruption et les collectifs d’ONG sont vigilants à la profondeur et la
robustesse de ce processus d’identification.
Ainsi, l’identification de chaque risque est faite de manière unique et indépendante, tout en
veillant à ce que ce risque soit inclus dans son écosystème global. De nombreux outils et
procédures, tels que le principe MECE, méthode des 5 Pourquoi, le diagramme Ishikawa ou
arbre de défaillance, la méthode AMDEC¹ dont les descriptions vous sont proposées dans le
1 glossaire de référence académique du livre, peuvent être exploités pour appliquer cette
méthode d’identification des risques. Grâce à la mise en application opérationnelle de ces
outils, un événement unique observé dans un environnement peut être affecté à une source
de risque.
A l’échelle d’une organisation, il convient de se poser les trois questions suivantes : qu’est-ce
que j’achète ? , à qui j’achète ? , où j’achète ? et comment j’achète ? Ces questions vous
permettront d’identifier les différents types de facteurs de risques :
• Ceux endogènes et exogènes à la fonction Achats quels que soient ses schémas
d’organisation (comment et qu’est-ce que j’achète),
1
AMDEC : Analyse des modes de défaillance, de leurs effets et de leur criticité
Dans le cadre de ce livre, nous nous concentrons sur les risques endogènes et exogènes aux
fournisseurs. Les risques endogènes à la fonction Achats seront abordés dans la première
partie uniquement et les risques exogènes à la fonction Achats, c’est-à-dire tous les risques
liés aux autres parties de l’organisation, sont hors du périmètre d’étude. L’entreprise devra
décider de l’approche qu’elle aura à adopter pour s’assurer de la couverture holistique des
risques. Il convient par facteur de risques d’identifier les sources de risques. Ces sources sont
nombreuses. Elles peuvent dépendre du fournisseur, de la manière dont l’entreprise interagit
avec ce dernier ou même du marché et/ou pays sur lesquels les biens ou services sont acquis.
« Une cartographie des risques de corruption a été réalisée, elle répond notamment aux
exigences de la loi Sapin 2. Pour structurer cet exercice et nous assurer de l’exhaustivité des
scénarios de risques, différents opérationnels de chaque branche de l’organisation
(construction, génie civil, énergie…) ont été consultés et nous avons été accompagnés par le
Risk manager du Groupe. Il nous est apparu que les risques de corruption pouvaient survenir
à toutes les étapes du processus achats, et qu’il n’y avait pas de concentration de ces risques
sur une ou quelques phases particulières. »
Non-respect de
Non-respect de Déversement de produits Disparition d'espèces naturelles et Dégradation de la réputation de
l'environnement et de
l'environnement polluants dans la nature végétales l'organisation
la biodiversité
Absence de politique de
Non-respect de Dégradation de la réputation de
Manque de diversité diversité lors des Discrimination raciale à l'embauche
l'éthique l'organisation
recrutements
Non-continuité des Absence d'amélioration Absence de pratiques de Echec de la montée en charges suite
Ruptures du capacitaire
opérations continue Lean Manufacturing à l'augmentation des volumes
potentiels.
L’analyse des risques endogènes aux fournisseurs pourra être faite en prenant différentes
approches : soit par filière, soit par statut ou taille d’entreprise. Les informations de toutes
natures transmises par les fournisseurs lors des revues de catégories de dépenses externes
ou les informations relevant des activités de « market intelligence» de l’entreprise sont des
moyens d’identifier de nouvelles sources de risques non prises en compte jusqu’alors.
« Nos chantiers ont été interrompus pendant trois semaines lors du Covid 19, du fait du
confinement et il nous fallait impérativement disposer des équipements de protection
(masques, gel hydroalcoolique…). Une Task force a été mise en place par le CPO au sein de
la cellule achats pour sourcer, suivre et gérer au quotidien les approvisionnements de
produits en France et à l’étranger. L’objectif était de sécuriser l’approvisionnement et les
délais de livraison. »
Mauvaises conditions Menaces de Manque de surveillance du Raz-de-marée sur un site de Rupture de la chaîne
environnementales catastrophes naturelles climat local production d'approvisionnement
Non-respect de Niveau de corruption Absence de suivi du risque Détournement de fonds publics par
Crise social
l'éthique élevé pays des responsables politiques d'un pays
Réglementation du
Contexte politique Manque de surveillance du Rupture de la chaîne
commerce international Embargo à l'encontre d'un pays
néfaste contexte politique d'approvisionnement
stricte
Contexte social et Non-respect des droits Non-respect du droit du Esclavage moderne de salariés dans Dégradation de la réputation de
démographique néfaste humains travail un pays l'organisation
Mauvaise surveillance du
Défaillance Manque d'accès à Rupture de la chaîne
réseau de distribution Privation d'accès à l'électricité
techologique l'énergie d'approvisionnement
d'énergie du pays
Pour appréhender ces risques exogènes aux fournisseurs, l’identification doit s’appuyer sur
les menaces et opportunités associées aux marchés concernés (analyses de Porter et SWOT).
Le travail d’identification doit prendre en compte les interactions et interdépendances du
fournisseur avec son écosystème. L’écosystème du fournisseur comprend l’environnement,
les autorités, ses propres fournisseurs et les parties prenantes mobilisées. L’acheteur pourra
s’aider de sources de données publiques ou privées jugées fiables. Par exemple les textes
légaux et réglementaires sont des sources d’information facilement accessibles qui lui
permettent d’identifier les enjeux et le contexte réglementaires liés à l’activité de ses
fournisseurs, et donc d’analyser les écarts avec les pratiques de ces derniers.
L’analyse peut se baser sur le climat des affaires des pays où les fournisseurs sont implantés.
A ce titre, différents indicateurs, mis en place par des organisations internationales publiques
et privées sont à la disposition de l’acheteur.
issues de plusieurs pays. Ceci permet à l’acheteur d’avoir une indication sur l’influence
potentielle d’un pays sur l’engagement financier de ses fournisseurs. Cette évaluation du
risque pays peut venir pondérer le score « Economique et Financier » du fournisseur.
L’acheteur peut également exploiter des outils de « Market Intelligence » , pour pouvoir
récupérer et interpréter les informations sur un marché, et ainsi en déduire les sources de
risques liées par exemple aux évolutions du marché, aux fusions et acquisitions, aux ruptures
de matières premières, à de nouvelles dispositions légales extraterritoriales …
ses procédures et systèmes. Nous avons regroupé ces sources de risques en neuf familles de
risques :
En conclusion, les risques qu’ils soient endogènes ou exogènes peuvent avoir des impacts de
mêmes natures. Il est ainsi possible de classifier ses sources de risques selon leur impact sur
la conformité, la finance, l’opérationnalité ou encore la responsabilité sociale et
environnementale de son organisation. C’est ce que nous allons voir dans la seconde partie.
Pour cartographier l’ensemble des sources de risques, deux méthodes de classification sont
AXE 1 : CARTOGRAPHIE DES RISQUES
à la disposition de l’acheteur :
Le référentiel COSO 2², qui est le cadre commun du contrôle interne en matière de gestion
des risques, propose une classification des risques par cause et par enjeu. Il énumère quatre
enjeux majeurs à toute organisation : stratégique, opérationnel, financier et de conformité.
En s’appuyant sur ce référentiel, nous vous proposons une classification des sources de
risques par nature d’impact. Cette méthode permet aux Directions des Achats de définir les
mesures à prendre pour diminuer la gravité d’un événement négatif. Nous y reviendrons dans
le troisième axe du livre blanc.
- Non-conformité
- Non-pérennité financière
2
Référentiel COSO 2 : cadre de référence de la gestion des risques
3
Code du travail : recueil organisé de la plupart des textes législatifs et réglementaires applicables en matière
de droit du travail français
de l’interdiction d’exporter certains produits vers des pays, des personnes ou des
organisations, est passible de sept années d’emprisonnement et 75 000€ d’amende pour le
fournisseur sanctionné. Dans ce cas, le risque associé est un risque de non-conformité
réglementaire spécifique à un pays.
« Le délai de paiement des fournisseurs est un risque qui au-delà du risque juridique et
financier peut dégrader la relation fournisseurs qui est extrêmement importante dans notre
vision partenariale. Lors de la crise COVID, nous avons mené une campagne auprès de nos
fournisseurs pour évaluer leur santé financière, recenser les risques de faillite à six mois et
leurs attentes vis-à-vis de nous. Pour certains fournisseurs qui avaient des problèmes de
trésorerie, nous avons fait en sorte de leur payer toutes les factures émises et éviter les
retards de paiement.
« La source de risque la plus critique sur le non-respect des exigences environnementales est la non-
atteinte des engagements sur le bas carbone du groupe ou le recours à des fournisseurs qui ne
respectent pas la réglementation en matière de protection de l’environnement. Les conséquences
pour l’organisation sont : réputationnelle (l’organisation perd en crédibilité), et financière (par
exemple amende loi LOM : flotte de véhicules qui ne respectent pas les limites d’émissions de CO2,
renégociation/accord de prêt auprès des banques qui prennent en compte les critères
environnementaux). »
AXE 2
risques. En effet, les objectifs d’une organisation qu’ils soient opérationnels, financiers,
réglementaires ou encore RSE, ne peuvent être sécurisés que par des plans d’actions qui se
basent sur des risques identifiés et mesurés quantitativement et qualitativement.
Néanmoins, cette étape d’évaluation des risques est souvent négligée par de nombreux
acteurs, par manque d’intérêt ou par manque de visibilité. Nous vous conseillons, lors de
vos premières évaluations de vous focaliser sur les sources de risques qui présentent les
impacts les plus sévères pour votre organisation. Il est en effet judicieux de faire une
première évaluation rapide de vos risques, afin de vous concentrer sur vos enjeux
incontournables, vitaux et les risques avérés. C’est pourquoi, après avoir cartographié les
risques fournisseurs, nous les avons ensuite évalués.
Pour l’évaluation des risques, la norme ISO propose une évaluation selon deux critères :
4
- La fréquence ou probabilité d’occurrence
- La gravité ou impact
4
ISO 31000 : famille de normes de gestion des risques codifiés par l’Organisation internationale de
normalisation
« L’officialisation des grilles de notation du groupe est issue d’un travail aligné entre les
besoins métiers et les principes de gestion des risques en lien avec l’audit interne, qui
contribue à la validation du référentiel officiel et de son application. »
Définition de la fréquence
De manière générale, le terme « fréquence » est plutôt utilisé lorsque l’évaluation du risque
se base sur des statistiques ou des retours d’expérience, tandis que le terme « probabilité
d’occurrence », quant à lui, est utilisé lorsque l’analyse se base sur une estimation. Pour
mesurer la fréquence d’un risque, le décideur peut utiliser des sous-critères qualitatifs et
quantitatifs.
Pratiques usuelles
En pratique, la fréquence d’un événement est évaluée le plus souvent, uniquement de
manière qualitative. En effet, l’évaluation quantitative de la fréquence est plus rare, et quand
elle est effectuée, celle-ci est faite à partir du nombre d’événements déclencheurs observés
ou prévisionnels.
Dans le secteur de l’industrie, les entreprises qualifient la fréquence de leurs risques de
manière qualitative et quantitative. Les sous-critères qualitatifs utilisés sont par exemple :
- Rare
- Léger
- Modéré
- Probable
- Très probable
Quant aux sous-critères quantitatifs associés à chaque sous-critères qualitatifs, ils sont les
suivants :
- Moins d’une fois tous les trois ans
- Deux fois par an
- Une fois par semestre
- Une fois par mois
- Plusieurs fois par semaine
Définition de la gravité
AXE 2 : EVALUATION DES RISQUES
De manière générale, le terme « gravité » décrit les impacts des événements sur une
organisation. De même que pour mesurer la fréquence d’un risque, pour avoir une
évaluation pragmatique, le décideur peut utiliser des sous-critères qualitatifs et quantitatifs.
Pratiques usuelles
En pratique, la gravité d’un événement est calculée, le plus souvent, uniquement de manière
qualitative. En effet, l’évaluation quantitative de la gravité est plus rare, et quand elle est
effectuée, celle-ci est faite à partir des impacts sur les indicateurs financiers de l’organisation
observés ou prévisionnels (Bénéfices, résultat opérationnel, trésorerie, chiffres d’affaires ou
part de marché).
Les entreprises peuvent qualifier la gravité de leurs risques de manière qualitative et
quantitative. Les sous-critères qualitatifs utilisés sont par exemple :
- Non significatif
- Faible impact
- Majeur/Significatif
- Inacceptable
- Intolérable
Quant aux sous-critères quantitatifs associés à chaque sous-critère qualitatif, ils sont, au
regard de la baisse des bénéfices, les suivants :
- Pas applicable
- Inférieure à 5%
- Entre 5 et 10%
- Entre 10 et 20%
- Supérieure à 20%
Définition de la criticité
AXE 2 : EVALUATION DES RISQUES
« Dans le cadre de l’évaluation des risques, la structure d’échelle reste identique sur une
base de quatre niveaux et est adaptée selon la nature du critère lui-même. Par exemple, le
risque de non-conformité réglementaire s’évalue de la manière suivante : pas conforme,
partiellement conforme, conforme mais sans preuve, tout conforme. Quant aux risques de
non-respect des exigences RSE, la notation est basée selon le résultat d’audit réalisé par une
tierce partie (entre 0 et 100%) : zéro tolérance, rouge, low performance et sans risque. »
La méthode d’évaluation des risques reste une estimation relative, qu’il faut toujours
accompagner d’une analyse empirique, afin d’éviter d’être induit en erreur à cause d’un biais
AXE 2 : EVALUATION DES RISQUES
cognitif. La considération d’un troisième critère, dit de non-détection des risques, par
exemple, peut dégrader l’évaluation de la criticité finale des risques perçus par une
organisation, et ainsi conduire à une mauvaise évaluation de ses risques. En effet, étant
donné la pondération égale de chacun des trois critères : Fréquence, Gravité, Détection,
toute source de risque n’ayant pas une gravité élevée mais une fréquence et une non-
détection importantes, a toutes les chances de se retrouver, à tort, en tête de liste des
priorités de traitement des risques.
C’est ainsi que nous vous conseillons de pondérer l’évaluation de vos risques par des
indicateurs fiables externes, alimentés par des fournisseurs de données, tel qu’une notation
d’une plateforme d’évaluation des performances RSE ou encore le risque pays de vos
fournisseurs, fourni par une société d’assurance.
« Le taux de dépendance des fournisseurs est à la fois évalué par des données
officielles/publiques issues de fournisseurs de données. Mais aussi, la contribution des
parties prenantes du service achats chez SEB permet de compenser parfois l’indisponibilité
de l’information. En cas d’arbitrage à faire, le point de vue le plus pessimiste est privilégié. »
Pour consolider l’ensemble des scores obtenus pour chaque risque ou famille de risques, trois
approches ont été identifiées :
AXE 2 : EVALUATION DES RISQUES
1/ Une approche par catégorie d’achats qui pourra être déployée par l’acheteur au moment
de la définition de sa stratégie d’achats sur la catégorie.
2/ Une approche par fournisseur qui pourra être déployée à tout moment du processus
achats mais plus particulièrement lors de l’onboarding.
3/ Une approche par nature d’impact qui pourra être déployée une fois par an lors d’un
exercice d’audit interne pour connaître le niveau de criticité sur la conformité, la RSE, la
finance ou encore les opérations.
Pour appliquer ces approches, nous vous proposons deux outils de consolidation des scores :
Nous vous apporterons des exemples de leurs déclinaisons selon chaque approche.
marchés).
Voici ci-dessous un exemple de cadran d’évaluation pour une famille d’achats « Intérim » :
Puis, la matrice de criticité peut être réalisée. Voici ci-dessous un exemple qui peut être
obtenu :
De plus, les fournisseurs d’une organisation peuvent également être regroupés par nature
d’activité, afin d’identifier différents niveaux de criticité équivalents. En d’autres mots, le
« clustering » de ses fournisseurs, que ce soit par nature d’activité, taille d’entreprise,
localisation, modes d’investissements ou encore stratégies, peut permettre à une
organisation d’interpréter ses risques fournisseurs de la même manière afin d’éviter des
pertes de temps dans l’évaluation de ces risques.
Ces deux approches énoncées sont interdépendantes. En effet, l’évaluation des risques d’une
catégorie d’achats identifiée comme à risque pour l’organisation, peut ensuite mener à une
évaluation des risques du panel de fournisseurs concernés.
- Non-conformité
- Non-pérennité financière
- Non-continuité des opérations
- Non-respect des exigences en matière de Responsabilité Sociale et Environnementale
Cette approche d’évaluation revient alors à construire une matrice de criticité ou un cadran
des risques pour nature d’impact.
Voici ci-dessous un exemple de cadran d’évaluation des risques par nature d’impact pour
une famille d’achats « Prestations de nettoyage » :
Pour construire ce cadran, il convient, pour cette approche aussi, de compléter au préalable
le tableau suivant :
$
Sébastien Jacquey, Directeur Performance & Développement
Achats Groupe, Groupe SEB
“Chez SEB, dans le cadre des prérogatives liées au devoir de vigilance, à la loi sapin
2 et Know Your Supplier, le risque de corruption est un risque traité à part entière
avec une évaluation spécifique. Un outil de pré-évaluation développé en interne a
été créé sur la base de trois critères pondérés : la localisation, la catégorie d’achats
Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 38
et la dépense. Sur cette base, un lien est fait avec les données officielles (Politically
Exposed Person, blanchiment d’argents…) et le ou les représentants légaux du
fournisseur. ”
STRATÉGIES DE GESTION DES
RISQUES ET PILOTAGE
AXE 3
Pour que la gestion des risques fournisseurs soit efficiente, le fournisseur doit être
transparent sur la gestion de ses activités, sur son contexte et ses enjeux afin de permettre
à l’organisation d’anticiper les potentiels risques. Or, peu de directions achats arrivent à
instaurer ce dialogue avec leurs fournisseurs sur les sujets des risques et/ou très peu de
fournisseurs acceptent d’être transparents. L’échange d’informations avec ses fournisseurs
est donc un élément clé dans le processus de gestion des risques.
De plus, la gestion des risques doit être réalisée de manière collaborative avec tous les
départements de l’entreprise et les actions devront être coordonnées par département en
fonction de la nature d’impact.
Pour gérer les risques fournisseurs, plusieurs stratégies peuvent être adoptées. Ces stratégies
sont cumulables et il n’y en a pas une meilleure que l’autre, sa pertinence dépendra du
contexte et des enjeux de votre organisation. Pour certains risques, l’organisation n’a pas le
choix de la stratégie de gestion, elle est contrainte de contrôler ces risques pour ne pas
disparaître.
Dans le cadre de ce livre blanc, nous vous proposons cinq stratégies différentes :
- L’acceptation
3.1.1 Les stratégies
- L’évitement
- Le contrôle
- Le transfert
- La surveillance
3.1.1.1 Acceptation
L’acceptation des risques est une première stratégie pour gérer ses risques. Dans ce cas,
l’organisation assume la responsabilité d’un risque particulier auquel elle doit faire face. En
d’autres termes, l’organisation choisit de prendre en charge les dépenses financières qui
interviennent en cas de survenance du risque.
Dans de nombreuses circonstances, lorsque l’organisation accepte un risque, c’est soit parce
qu’après l’évaluation du risque, l’organisation estime que la criticité du risque n’est pas
suffisamment importante pour nécessiter un investissement afin de le traiter, soit parce
qu’elle n’a pas les moyens de gérer ce risque autrement (acceptation forcée). Le choix
d’acceptation du risque doit se baser sur une analyse des coûts de gestion de ce risque. De
3.1.1.1 Acceptation
plus, l’acceptation fait partie des stratégies pour lesquelles certaines sources de risques ne
permettent pas son application.
Ainsi, le risque accepté par l’organisation peut être dans ce cas autofinancé par un compte
de provision, afin d’anticiper les pertes potentielles.
L’évitement des risques est une autre stratégie pour gérer ses risques. Il s’agit dans ce cas,
d’un refus d’accepter un risque connu de la part d’une organisation. En effet, l’organisation
n’autorise aucune exposition au risque (événement, cause, impact) considéré et s’impose par
tous les moyens qui sont à sa disposition à ne pas s’engager dans des actions qui y
donneraient lieu. Aucun financement des pertes n’est donc mis en place.
Il s’agit donc d’une décision à prendre, qu’en cas de criticité extrême pour l’organisation.
3.1.1.2 Evitement
Il est fortement conseillé d’avoir une démarche intentionnelle et de conserver un registre des
décisions d’évitement prises, pour conserver une trace historique, et également pour avoir
une référence afin de guider les stratégies de gestion des risques futurs.
3.1.1.3 Contrôle
La stratégie de contrôle des risques permet également de gérer ses risques. Dans ce cas de
figure, l’organisation évalue les pertes potentielles et prend des mesures pour gérer ou
éliminer ces risques. Le contrôle réalisé a tout intérêt à être réalisé indépendamment de la
gestion par l’organisation, pour éviter toute influence ou altération des jugements/alertes
par une tierce personne. Ce contrôle des risques est permanent et périodique. Cette
stratégie est pertinente quand la criticité du risque considéré est élevée.
Le transfert des risques est une autre stratégie. Dans ce cas, un fournisseur assume les
responsabilités de gestion des risques considérés par l’organisation. En d’autres mots,
l’organisation établit un accord avec un fournisseur pour qu’il prenne en charge le risque et
les impacts au nom de son organisation. Le transfert d’un risque est à privilégier lorsque le
risque considéré à une fréquence faible mais un impact important.
3.1.1.5 Surveillance
La surveillance des risques est également une stratégie pour détecter et évaluer ses risques.
Dans ce cas des indicateurs d'alertes sont mesurés et l’organisation définit un seuil critique,
au-delà duquel elle mettra en place une réponse appropriée et efficace. Cette stratégie peut
être couplée avec toutes les autres stratégies de gestion des risques énoncées. La surveillance
des risques va permettre à l’organisation d’avoir une meilleure réactivité (détection plus
rapide) et une meilleure évaluation de la criticité de ses risques (occurrences d’événements
et d’impacts observées).
Les leviers à mettre en place pour gérer vos risques sont différents en fonction de la famille
d’achats, du fournisseur et du processus achats néanmoins ces leviers seront, dans tous les
cas, classés par nature d’impact pour votre organisation. De plus, ils ne dépendent pas
uniquement de la stratégie de gestion des risques choisie, car un même levier peut être utilisé
pour plusieurs stratégies. Nous vous proposons trois axes de prises de décision différents à
prendre en compte pour définir vos leviers :
- Vos fournisseurs
La matrice de criticité réalisée par catégorie d’achats, lors de l’évaluation des risques, peut
être utilisée pour quantifier la criticité de chaque catégorie d’achats et ainsi dimensionner
un taux de criticité globale pour chacune.
Ensuite, pour définir les leviers de gestion des risques intrinsèques, les responsables des
catégories d’achats, comprenant les auditeurs qualité, les juristes et les responsables achats
groupe, peuvent chercher à répondre aux questions suivantes :
• Que devrait être la stratégie achats courante de notre organisation sur le marché
actuel ?
• Quelles sont les informations à savoir sur les matières, les produits ou services que
notre organisation consommera au cours du prochain trimestre ?
• Quels sont les facteurs en place qui peuvent bouleverser à court terme la nature de
nos achats ?
Livre Blanc CNA-JICAP – Gestion des risques fournisseurs – Avril 2022 44
• Quels sont les principaux facteurs qui ont un impact sur les matières, les produits ou
AXE 3 : GESTION ET PILOTAGE DES RISQUES
A partir des réponses à ces questions, des plans d’urgence efficaces pourront être élaborés,
afin d’anticiper d’éventuelles perturbations liées à des risques, constituant ainsi une liste de
leviers par catégorie d’achat et par risque.
Les leviers listés pourront être classifiés par niveau de criticité pour l’organisation : risque
faible, moyen et fort.
Voici
• ci-dessous des
Où et quand le exemples de leviersproduits
prix des matières, par niveau de criticité
ou services :
consommés par notre organisation
s’effondrera ou explosera ?
- Risque faible :
A partir des réponses à ces questions, des plans d’urgence efficaces pourront être élaborés, afin
d’anticiper d’éventuelles perturbations liées à des sources de risque, constituant ainsi une liste de
o Veille marché
leviers par famille d’achat et par source de risque.
o Veille réglementaire
Les leviers listés pourront être classifiés par niveau de criticité pour l’organisation : risque faible,
o Reporting avec suivi des indicateurs majeurs à tenir sous surveillance
moyen et fort.
- Risque moyen :
o Mise à jour de la stratégie d’achats:
Changement d’allotissement
Standardisation
Relocalisation
- Risque fort :
o Nouvelle stratégie d’achats catégorielle :
Déréférencement du fournisseur
Changement de panel
Changement de technologie
Internalisation
Les leviers de gestion des risques peuvent être aussi définis par fournisseur. Dans ce cas,
l’objectif est de définir un plan d’action par typologie de fournisseurs, en fonction de la
stratégie achats de son organisation et de la nature d’impact : RSE, Finance, Conformité et
Opérations. Les leviers doivent être définis par les acteurs opérationnels. Voici ci-dessous
des exemples de leviers de gestion des risques par typologie de fournisseurs :
- Panel fournisseurs :
o Veille réglementaire
o Surveillance
- Fournisseurs stratégiques :
o Revue performance fournisseur
o Audit des contrats
o Audit des contrats d’assurance
o Veille marché
- Fournisseurs stratégiques critiques :
o Audit de site
o Plan de progrès
o Assurances
Par la même occasion, les organisations peuvent compléter leur stratégie de gestion des
risques par un suivi des plans de contingence de leurs fournisseurs, et par une amélioration
continue de leur processus de gestion des risques fournisseurs. C’est ainsi que ces
organisations seront davantage en éveil des prochains risques pouvant l’impacter, ce qui leur
permettra de gagner en flexibilité face aux changements soudains.
Les leviers de gestion de vos risques fournisseurs peuvent également être définis par
processus achats. Voici ci-dessous des exemples de leviers :
- Spécification des besoins
o Impliquer les fournisseurs dans la définition et/ou la conception
o Changement de technologie
o Utilisation de standards du marché
o Veille réglementaire
o Exigences dans le cahier des charges de la consultation
- Identification des fournisseurs
o Changement de panel
o Changement d’allotissement
o Internalisation
o Veille des incidents fournisseurs
- Consultation
o Collecte du bilan social
o Collecte des documents obligatoires
- Analyse des offres
o Analyse des coûts et provisions dans les comptes
o Certification à la norme
- Négociation et sélection
o Multiplication des sources d’approvisionnement
- Contractualisation
o Couverture contractuelle
o Accord back to back
RISQUES FOURNISSEURS ?
La digitalisation des processus de gestion des risques fournisseurs pourra être construite à
partir d’une analyse continue du marché pour détecter les innovations, plutôt qu’à partir
d’une feuille de route pluriannuelle en fonction des besoins métiers.
De plus, les organisations seront amenées à mettre en place une solution intégrée de gestion
active du risque (IRM : Integrated Risk Management), afin d’appliquer une méthode
stratégique et collaborative de gestion des risques.
L’évaluation des risques fournisseurs pourra ne pas être effectuée uniquement lors du
processus d’appel d’offres (sourcing) mais bien tout au long du processus S2C (Source-To-
Contract), en étant automatisée et génératrice d’alertes. De plus, la matrice des risques (ou
matrice de criticité) pourra être mise à jour de façon régulière, selon les besoins de votre
organisation.
Tout nouveau projet digital sur la gestion des risques de l’organisation pourra impliquer les
métiers concernés. En d’autres mots, la conduite du changement auprès des équipes métiers
après le déploiement d’un projet de transformation digitale ne sera plus assurée par une
équipe dédiée, mais bien par l’ensemble du business dès la définition des projets digitaux.
Pour identifier et évaluer les risques fournisseurs, les achats pourront travailler avec les
autres fonctions support et les opérations. Le pilotage des risques quant à lui, pourra être
réalisé par un comité des risques. Et enfin les audits effectués par un tiers (client, fournisseur,
régulateur, législateur, actionnaire) pourront avoir lieu plus d’une fois par mois.
- Processus
- Gouvernance
- Ressource
- Outils
Le profil de risque de son organisation peut se construire à partir des éléments suivants :
- Objectifs stratégiques
- Engagements extra-financiers
de gouvernance
La gouvernance que nous vous conseillons se base sur les trois lignes de maîtrise :
Les achats interviennent en première ligne de la gouvernance que nous vous proposons. Ce
dispositif de gouvernance intègre les objectifs et composantes du référentiel COSO 2.
Pour que cette gouvernance soit efficiente, nous vous conseillons également d’identifier les
rituels clés pour votre organisation et de documenter le contenu de chacun d’entre eux.
Cette gouvernance vous permettra d’améliorer votre réactivité face à la survenance de tout
type de risque.
Les données pour chaque fournisseur nécessaire issues du système de gestion des
fournisseurs de votre organisation sont les suivantes :
Les données pour chaque contrat nécessaires issues du système de gestion des
contrats de votre organisation sont les suivantes :
- La durée d’engagement
- Le montant du contrat
- La catégorie d’achats du contractant
- Les clauses spécifiques : Propriété Intellectuelle, Sécurité, Résiliation
risques
Nous avons identifié trois marchés de logiciels de gestion des risques :
Ces trois univers commencent à interagir dans ce même marché complexe à forte croissance.
Les éditeurs adaptent les fonctionnalités pour couvrir le périmètre entier. Ces outils doivent
être adaptés à votre organisation pour répondre à vos besoins.
Avec des données publiques (Open data pour l’Europe , Code NAF
pour la France)
Avec des algorithmes de machine learning (Nature Language
Processing, Catégorisation et Classification)
Avec d’autres données fournisseurs (Bases fournisseurs,
Transactions, Contrats, Evaluations)
Avec des données payantes (numéro unique international,
Informations business enrichies, scores de risques)
Avec des données explorées sur le web (Données site web/articles,
réseaux sociaux)
Avec des données issues des réseaux fournisseurs (données
déclarées, benchmark clients, catalogues électroniques publiées)
o « Cockpit » synthétique
Cette démarche est également une opportunité formidable pour les achats
non seulement d’assurer leur fonction régalienne de maîtrise des risques
des tiers fournisseurs de leur entreprise mais également de réaffirmer une
posture de leadership moderne en termes d’animation transversale,
d’approche collaborative, de management par influence et de mise en
sureté de fonctionnement par la rigueur de processus et de la gouvernance
associée.
Nathalie Leroy
+ 33 7 72 37 60 87
nathalie@cna-asso.fr
https://www.cna-asso.fr/
Ingrid Ulivieri
+ 33 7 87 05 65 13
Ingrid.ulivieri@jicap-performance.com
https://jicap-performance.com/