GRC : le guide du dispositif « Gouvernance Risque et Conformité »

Sapin II, RGPD, devoir de vigilance, CSRD, CSDDD… en dix ans, les obligations de conformité applicables aux grandes entreprises se sont multipliées. Chaque texte impose ses propres exigences, ses propres documents à produire et ses propres contrôles à effectuer sur les tiers. Et chaque direction concernée (Achats, juridique, conformité, finance, DSI) a tendance à gérer son périmètre avec ses propres outils, ses propres définitions et ses propres circuits de reporting.

Au final, les grandes entreprises se retrouvent avec des doublons, des angles morts dans la gestion du risque, des reporting contradictoires et, en cas de contrôle externe, des difficultés à rassembler un dossier consolidé. C'est précisément ce problème que la GRC (Gouvernance, Risque et Conformité) cherche à résoudre.

Dans cet article, la rédaction de Provigis détaille le fonctionnement de ce cadre de gestion, ses trois piliers, les enjeux pour les grandes entreprises, les postes impliqués et les étapes pour structurer une démarche GRC opérationnelle.

Qu'est-ce que la GRC ?

La GRC, acronyme de « Gouvernance, Risque et Conformité », est un cadre de gestion structuré par l’Open Compliance and Ethics Group (OCEG) autour de quatre étapes :

• Learn, pour analyser le contexte de l'entreprise ;
• Align, pour aligner la stratégie sur les objectifs ;
• Perform, pour exécuter les actions de contrôle et de prévention ;
• Review, pour évaluer et ajuster.

Ce modèle a été formalisé dans le GRC Capability Model (dit « Red Book »), publié pour la première fois en 2004. L’objectif est d’aider les grandes entreprises à coordonner trois fonctions habituellement traitées en silos : le pilotage de l'entreprise, l'anticipation des menaces et le respect des obligations légales et internes.

L'intérêt de les réunir dans un même cadre est d’éviter que chaque direction travaille de manière isolée avec ses propres outils, ses propres définitions et ses propres reporting :

• Le même fournisseur peut être audité plusieurs fois par différents services (achats, conformité, QHSE) sans mutualisation des résultats ;
• Un risque identifié par la DSI, par exemple, ne remonte pas forcément la direction des risques, et inversement ;
• En cas de contrôle externe, l'entreprise met plusieurs semaines à produire un dossier consolidé faute de centralisation ;
• Les reporting destinés à la direction générale peuvent se contredire selon les services.

La GRC propose une alternative plus rationnelle : un référentiel de contrôles partagé entre les directions, des circuits de remontée définis à l’avance et un tableau de bord consolidé qui reflète l'état réel de l'entreprise en matière de risques et de conformité.

💡 La GRC et les autres référentiels de gestion des risques

Le Red Book de l'OCEG est le seul standard qui couvre les trois piliers de la GRC (gouvernance, risque, conformité) dans un cadre unifié. Il peut toutefois être articulé avec d’autres référentiels, notamment sur la brique de la gestion des risques, comme l’ISO 31000, adopté comme standard officiel par 57 pays et le COSO ERM qui encadre le contrôle interne et l'audit.

Gouvernance, risques, conformité : que recouvre chaque pilier de la GRC ?

La gouvernance fixe le cadre (qui décide et selon quelles règles), la gestion des risques identifie ce qui peut mal tourner à l'intérieur de ce cadre, et la conformité vérifie que l'ensemble respecte les obligations légales et internes.

Les trois piliers s'alimentent donc mutuellement : toute faiblesse sur l'un se répercutera forcément sur les deux autres.

Pilier #1 : la gouvernance

La gouvernance désigne l'ensemble des règles, politiques et processus qui encadrent la prise de décision dans l'entreprise. Concrètement, elle définit :

• Qui décide de quoi ;
• Selon quels critères ;
• Avec quels contrôles et quels circuits de validation.

Dans la démarche GRC, la gouvernance joue un rôle de cadrage : elle fixe les limites à l'intérieur desquelles la gestion des risques et la conformité doivent opérer.

Par exemple, si la gouvernance prévoit qu'aucun fournisseur ne peut être référencé sans validation préalable de sa conformité sociale, cette règle s'impose aux équipes Achats et structure le dispositif de conformité tiers.

Le tableau suivant détaille les différentes dimensions du pilier « Gouvernance » de la GRC.

Pilier #2 : la gestion des risques

La gestion des risques consiste à identifier, évaluer, hiérarchiser et traiter les menaces susceptibles d'affecter l'entreprise. Elle vise évidemment à éviter les dangers, mais aussi à prendre des décisions informées sur l’acceptation de certains risques, leur transfert (via une assurance, par exemple) ou encore leur atténuation par des mesures de contrôle.

Le processus suit généralement quatre étapes :

• Identification : recenser les risques par catégorie (financier, opérationnel, juridique, cyber, réputation, tiers…) ;
• Évaluation : estimer la probabilité de survenance et l'impact potentiel de chaque risque ;
• Traitement : décider pour chaque risque s'il faut l'éviter, le réduire, le transférer ou l'accepter ;
• Suivi : surveiller l'évolution des risques et l'efficacité des mesures prises.

Dans la démarche GRC, la gestion des risques s'appuie sur le cadre fixé par la gouvernance (quels risques sont acceptables, quels seuils déclenchent une escalade) et alimente le pilier de la conformité (un risque réglementaire non traité devient un problème de conformité).

Pilier #3 : la conformité

La conformité consiste à respecter les obligations qui s'imposent à l'entreprise sur les deux niveaux :

• Conformité externe : les textes imposés par le législateur ou les régulateurs (voir tableau plus bas) ;
• Conformité interne : les règles que l'entreprise s'impose à elle-même (charte éthique, politique achats responsables, procédures qualité…).

Dans la démarche GRC, la conformité s'appuie sur la gouvernance (qui définit les règles) et sur la gestion des risques (qui identifie les zones de non-conformité potentielle).

Elle couvre naturellement la conformité des tiers, qui a pris de l’ampleur dans les dix dernières années sous l’effet de la densification des obligations légales sur les parties prenantes externes. L'entreprise doit s'assurer que ses fournisseurs, sous-traitants et prestataires respectent les obligations applicables, sous peine d'engager sa propre responsabilité.

Pourquoi mettre en place une démarche GRC dans votre entreprise ?

Les entreprises font face à une double pression : d'un côté, des obligations réglementaires de plus en plus denses (Sapin II, RGPD, devoir et obligation de vigilance, CSRD, CSDDD) et de l'autre, des exigences croissantes de la part des donneurs d'ordre, des auditeurs et des financeurs sur la maîtrise des risques tiers.

La GRC permet de répondre à ces attentes de manière coordonnée tout en fiabilisant les décisions et en évitant les incidents opérationnels liés à la défaillance d'un fournisseur ou d'un sous-traitant.

1. Réduire l'exposition aux sanctions

Référencer un nouveau fournisseur, signer un contrat de sous-traitance, collecter des données auprès d'un prestataire… chaque opération peut déclencher des exigences au titre de plusieurs textes simultanément, par exemple la vérification anti-corruption (Sapin II), la collecte des attestations de vigilance (Code du travail), l'évaluation RSE (devoir de vigilance, CSRD), le contrôle des données personnelles (RGPD), etc.

En l'absence de coordination, chaque direction gère « sa » conformité sans visibilité sur les autres, avec plusieurs risques :

• Des contrôles effectués en doublon sur certains fournisseurs, aucun sur d'autres ;
• Des écarts non détectés parce qu'ils tombent entre deux périmètres de responsabilité ;
• En cas de contrôle externe (inspection du travail, AFA, CNIL), une incapacité à produire rapidement un dossier consolidé.

💡 Ce qu’il faut retenir

Le risque de sanction peut donc se cumuler : une défaillance sur la conformité d'un sous-traitant peut entraîner à la fois une solidarité financière au titre du travail dissimulé, une mise en cause au titre du devoir de vigilance et une atteinte réputationnelle si l'affaire devient publique.

2. Anticiper les audits

Les auditeurs, qu'ils soient internes ou externes (commissaires aux comptes, AFA, CNIL, inspection du travail), réclament des preuves : documents à jour, pistes d'audit exploitables, justificatifs de contrôles effectués….

Quand chaque service gère sa conformité de son côté, par exemple le service achats avec ses fichiers Excel, la DAF avec son propre outil, la DSI avec un autre… les équipes passent plusieurs semaines à rassembler les pièces demandées.

Les auditeurs relancent, s'impatientent et finissent par documenter davantage d'écarts : une entreprise qui peine à produire ses preuves suscite en effet la vigilance. En interne, les collaborateurs mobilisés sur la collecte documentaire délaissent leurs missions courantes, et l'audit qui devait durer trois semaines s'étire sur deux mois.

La GRC permet de documenter les contrôles au fil de l'eau, d’archiver les attestations collectées avec leur date de validité et d’administrer des questionnaires de conformité (Sapin II, RSE, RGPD) pertinents. Lorsque l'auditeur demande la preuve qu'un fournisseur a été évalué sur le risque de corruption ou que les attestations URSSAF de tel sous-traitant sont à jour, l'information est accessible en quelques clics.

Vous aurez donc :

• Moins de constatations, car les écarts de conformité sont détectés et corrigés avant l'audit ;
• Des cycles d'audit plus courts, et donc moins de temps passé à chercher, plus de temps pour analyser et clore ;
• Une relation plus fluide avec les auditeurs.

3. Éviter les mauvaises surprises opérationnelles

La défaillance ou, a minima, les difficultés que peuvent connaître les tiers sont généralement précédées d'un faisceau de signaux, par exemple des retards de paiement URSSAF ou le non-renouvellement des certifications expirées. Ces signaux viennent bien avant les conséquences opérationnelles (retards de livraison).

Mais ces données sont généralement dispersées entre les services achats, finance et juridique. Le fait de ne pas les croiser ne permet pas d’évaluer correctement le niveau de risque du tiers fournisseur ou sous-traitant.

Le jour où un fournisseur fait défaut, que l’entreprise subit une cyberattaque ou que l’inspection du travail découvre une non-conformité, la direction se retrouve à gérer une crise plutôt qu’un risque, avec des arrêts de production, des retards de livraison, des pénalités contractuelles, des sanctions, etc.

💡 À savoir

Avec une approche GRC qui s’appuie sur les bons outils, ces signaux remontent automatiquement et génèrent des alertes pour agir avant la rupture, par exemple en cherchant une alternative, en renforçant les contrôles ou en suspendant la relation avec le tiers non conforme.

4. Prendre des décisions éclairées

Référencer un nouveau fournisseur, renouveler un contrat, arbitrer entre deux prestataires, prioriser les audits internes… ces décisions engagent l'entreprise, parfois pour plusieurs années.

Sans vue consolidée, elles reposent sur des informations partielles : le service Achats connaît les prix et les délais, la finance connaît les encours, le juridique connaît les litiges passés, mais personne n'a le tableau complet.

Par exemple, un fournisseur peut très bien être compétitif sur les coûts et catastrophique sur la conformité sociale. Un prestataire IT peut proposer un bon niveau de service et présenter des failles de sécurité critiques.

La consolidation permet aussi de répondre aux demandes de la direction générale ou du comité d'audit :

• Quel est le taux de conformité du panel fournisseurs ?
• Combien de tiers présentent un risque élevé ?
• Quels tiers présentent des attestations expirées depuis plus de deux mois ?

5. Faciliter l'accès aux marchés

Les marchés publics, les grands comptes privés et les bailleurs de fonds exigent de plus en plus que leurs partenaires démontrent qu’ils maitrisent leurs propres risques tiers.

Un donneur d'ordre qui répond à un appel d'offres (ou qui prospecte un grand compte) peut être challengé sur la façon dont il contrôle la conformité de ses sous-traitants. On pourra également lui demander s’il dispose d’un plan de vigilance ou encore s’il évalue les risques RSE et anti-corruption tout au long de sa chaîne d’approvisionnement.

Avec un dispositif GRC structuré et outillé, l'entreprise peut fournir :

• Des preuves de collecte et de contrôle documentaire sur ses fournisseurs ;
• Des pistes d'audit opposables ;
• Des indicateurs de conformité consolidés.

💡 À retenir

Cette capacité à démontrer la maîtrise des risques tiers peut renforcer le dossier de l’entreprise, ou simplement lui permettre de participer à un appel d’offres particulièrement exigeant.

6. Mieux valoriser les engagements RSE auprès des parties prenantes

Les entreprises, notamment les GE, sont de plus en plus évaluées sur leur performance ESG de la part de l’ensemble de leurs parties prenantes, internes comme externes. Par exemple :

• Les investisseurs intègrent désormais les critères RSE dans leurs analyses de risque ;
• Les clients grands comptes demandent des preuves d'engagement RSE avant de référencer un fournisseur ;
• Les candidats, en particulier les jeunes diplômés, scrutent les pratiques des entreprises avant de postuler ;
• Les salariés eux-mêmes sont plus enclins à s'investir dans une organisation dont ils partagent les valeurs.

💡 Le chiffre à connaître

Selon une étude LinkedIn, 60 % des travailleurs français n’accepteraient pas de travailler pour une entreprise qui ne correspond pas à leurs valeurs et à leurs convictions. Ce sentiment est plus marqué chez la Génération Z, qui représentera plus de 30 % de la population active à l’horizon 2030.

Pour répondre à ces attentes, les entreprises doivent produire des données fiables, documentées, vérifiables et intelligibles… un exercice qui sera beaucoup plus aisé avec un bon dispositif GRC grâce à la centralisation des preuves qui alimentent directement les rapports annuels et les supports marketing.

En somme, la GRC permet à l’entreprise de s’éloigner de la RSE déclarative (et des soupçons greenwashing) **pour aller vers la preuve.

💡 La GRC et le reporting extra-financier

Depuis 2024, la directive CSRD impose aux grandes entreprises européennes de publier un rapport de durabilité détaillé, avec notamment les impacts générés tout au long de leur chaîne de valeur. Le dispositif GRC est probablement le meilleur cadre pour répondre à cette obligation dans les règles de l’art.

Qui pilote et exécute la GRC dans l'entreprise ?

Comme pour tous les projets structurants, l'impulsion doit venir de la direction générale ou du comité exécutif. La GRC suppose en effet des arbitrages entre services, des investissements (outils, recrutements, formation) et une priorisation des risques à traiter.

Sans sponsor au plus haut niveau, les initiatives risquent de s’enliser et se heurter aux résistances des directions métiers qui protègent leur périmètre.

Plusieurs fonctions interviennent ensuite dans l'exécution, en fonction de l’organigramme de l’entreprise :

• Direction générale ou Conseil d'administration : fixe le niveau de risque acceptable, valide le cadre et porte la responsabilité en cas de défaillance ;
• Directeur de la conformité (CCO) : supervise le dispositif de conformité, assure la veille réglementaire et coordonne les actions correctives ;
• Directeur des risques (CRO) : consolide la cartographie des risques à l'échelle de l'entreprise et pilote les plans de traitement ;
• DAF : garantit l'intégrité financière, le contrôle interne et le reporting ;
• DSI ou RSSI : couvre les risques IT et cybersécurité ;
• Direction juridique : suit les évolutions réglementaires, gère les contentieux et rédige les clauses contractuelles ;
• Direction Achats : contrôle la conformité des fournisseurs et sous-traitants.

Un risque fournisseur identifié par les Achats (attestation URSSAF expirée par exemple) doit remonter au CRO. Une faille de sécurité détectée par la DSI chez un prestataire IT doit alerter le CCO et le juridique. Une clause contractuelle négociée par le juridique doit intégrer les exigences définies par le CCO, etc.

💡 Dans la pratique…

Cette coordination passe par des comités dédiés (comité des risques tous les trimestres, comité de conformité tous les mois), une cartographie des risques partagée et une plateforme de gestion des tiers accessible aux fonctions concernées.

Comment définir la criticité des tiers dans une démarche GRC

La « criticité » permet de classer les tiers selon le niveau de risque qu’ils représentent pour l’entreprise. L’idée est d’adapter l’intensité des contrôles. Par exemple, un prestataire IT qui accède à des données sensibles ne présente pas le même risque qu’un fournisseur très occasionnel. Sans cette distinction, la GRC applique les mêmes vérifications à tout le monde et surcharge les équipes : « Quand tout est important, rien n’est important ».

La plupart des grandes entreprises s’appuient sur trois niveaux (faible, moyen, élevé). Ce classement s’appuie sur quelques critères relativement simples à documenter :

• La nature de la prestation : présence sur site, exposition santé-sécurité, impact opérationnel, etc. ;
• L’exposition réglementaire liée au tiers, notamment sur la vigilance, la lutte anticorruption, le RGPD, le devoir de vigilance, la CSDDD… ;
• L’accès potentiel à des données, à des systèmes ou à des locaux ;
• Le volume d’affaires et la dépendance contractuelle ;
• Les antécédents du tiers, notamment les retards de livraison, les incohérences documentaires et les incidents.

💡 Ce qu’il faut retenir

Chaque critère donne un signal, et l’ensemble produit un classement simple qui conditionne par la suite l’application des contrôles du référentiel : certains contrôles ne concernent que les tiers critiques, d’autres doivent s’appliquer à tous les tiers, sans exception. Il détermine également la fréquence des vérifications et les circuits d’escalade.

Quelles étapes pour structurer une démarche GRC dans l’entreprise ?

Les chantiers GRC démarrent souvent à la suite d’un contrôle externe exigeant, d’un incident impliquant un fournisseur ou d’une demande d’un client majeur qui réclame des preuves de maîtrise des risques.

Ces situations obligent les directions à rassembler des informations éparpillées entre les Achats, le Juridique, la Conformité, la DSI ou la Finance et révèlent les écarts de pratiques, les doublons et les zones non couvertes.

L’urgence de la GRC peut également se manifester en préparation d’une acquisition, d’une réorganisation ou d’un changement de régime réglementaire, lorsque la volumétrie des tiers ou les obligations applicables dépassent ce que les circuits existants peuvent absorber. Voici les étapes à suivre pour lancer ce chantier.

Étape 1 : définir les objectifs du projet

Toutes les entreprises ne partent pas du même point. Certaines doivent répondre en priorité à une obligation réglementaire (Sapin II, devoir de vigilance, RGPD), d'autres cherchent à réduire un risque opérationnel identifié (dépendance à un fournisseur critique, incidents cyber récurrents), d'autres encore veulent structurer un dispositif avant un audit ou une levée de fonds.

Cette étape consiste à formaliser ce que l'entreprise attend vraiment de sa démarche GRC :

• Quels risques veut-elle couvrir ?
• Quelles obligations doit-elle respecter ?
• Quels sont les périmètres concernés (filiales, fournisseurs de rang 1, sous-traitants) ?

Ce travail est généralement mené par le CCO ou le CRO, en lien avec la direction générale et les directions métiers concernées (Achats, juridique, finance, DSI). Les objectifs retenus par la majorité des entreprises sont les suivants :

• Se mettre en conformité avec un texte de loi avant une échéance donnée ;
• Réduire le nombre de constatations lors des audits internes ou externes ;
• Obtenir une vision consolidée du niveau de risque tiers ;
• Répondre aux exigences d'un client grand compte ou d'un appel d'offres public.

💡 Le livrable de cette étape

Un document de cadrage (Word ou PDF) qui liste les risques prioritaires, les obligations réglementaires à couvrir, les périmètres concernés et les indicateurs de succès attendus (KPIs).

Étape 2 : cartographier l'existant

La plupart des entreprises disposent déjà de processus de contrôle, d'outils et de pratiques liées à la gestion des risques ou à la conformité. Cette étape consiste donc à recenser ce qui existe déjà, direction par direction, pour capitaliser sur ces acquis :

• Quels contrôles sont effectués, à quelle fréquence, par qui ?
• Quels outils sont utilisés (Excel, plateforme dédiée, ERP) ?
• Quels documents sont collectés auprès des tiers ?
• Quels risques sont déjà suivis, et selon quels critères ?

Là encore, c’est le CCO ou le CRO qui pilote cet état des lieux, avec l'appui d'un chef de projet ou d'un consultant externe si l'entreprise manque de ressources. L'objectif est d’identifier les redondances (plusieurs services qui contrôlent les mêmes fournisseurs sans le savoir) et les angles morts (des tiers ou des risques que personne ne suit).

💡 Le livrable de cette étape

Un tableau (Excel) des processus, des outils et des contrôles en place, organisé par direction, avec une colonne « redondances identifiées » et une colonne « angles morts ».

Étape 3 : structurer un cadre commun

Une fois l'existant cartographié, l'entreprise doit définir un cadre partagé entre les directions. L'objectif est que tout le monde travaille avec les mêmes définitions, les mêmes critères d'évaluation des risques et les mêmes circuits de remontée.

Ce cadre repose sur trois éléments :

• Un référentiel de contrôles qui liste les vérifications à effectuer par type de tiers (fournisseur, sous-traitant, prestataire IT) et par niveau de risque ;
• Un glossaire partagé pour que les termes utilisés aient le même sens d'une direction à l'autre (par exemple « risque élevé », « conformité validée », « alerte critique ») ;
• Une matrice RACI qui précise, pour chaque contrôle, qui est responsable, qui est consulté et qui est informé.

Pour l’exécution, c’est toujours une mission pour le CCO ou le CRO, mais l'élaboration du cadre implique toutes les directions concernées : Achats, juridique, finance, DSI. Sans leur participation, le référentiel restera un document théorique que personne n'appliquera.

💡 Le livrable de cette étape

Un référentiel de contrôles (Excel ou outil dédié), un glossaire de 10 à 20 termes clés et une matrice RACI validée par les directions concernées.

Étape 4 : formaliser les contrôles et les preuves dans un référentiel commun

L’objectif de cette étape est de mettre noir sur blanc ce que l’entreprise vérifie, sur quels tiers, à quel moment et avec quelle preuve. Tant que ces règles ne sont pas écrites et formalisées, vous ne pourrez pas automatiser ce qui est automatisable (voir l’étape 5).

Concrètement, vous allez créer un référentiel commun. C’est un tableau partagé, où chaque ligne correspond à un contrôle à effectuer sur les tiers concernés. Un contrôle correspond à une vérification qui peut être commune à plusieurs obligations légales ou normes que l’entreprise s’est imposée, par exemple :

• « Attestation URSSAF à jour »,
• « Assurance responsabilité civile valide »,
• « Clause RGPD signée »,
• « Questionnaire anticorruption complété », etc.

Pour chaque contrôle, le tableau décrit dans les colonnes les tiers concernés, la date de la vérification, comment on juge la conformité du contrôle (ce qui permet de dire « OK » ou « KO »), quelle preuve doit être conservée, etc. Ce tableau devient la référence commune utilisée par les Achats, la Conformité, les Risques, le Juridique ou la DSI : tout le monde parle enfin de la même chose.

Voici un exemple de tableau simplifié qui illustre la manière de décrire les contrôles dans un référentiel commun. Chaque ligne correspond à une vérification à appliquer sur les tiers selon votre cadre GRC.

Pourquoi mettre en place une démarche GRC dans votre entreprise ?

Les entreprises font face à une double pression : d'un côté, des obligations réglementaires de plus en plus denses (Sapin II, RGPD, devoir et obligation de vigilance, CSRD, CSDDD) et de l'autre, des exigences croissantes de la part des donneurs d'ordre, des auditeurs et des financeurs sur la maîtrise des risques tiers.

La GRC permet de répondre à ces attentes de manière coordonnée tout en fiabilisant les décisions et en évitant les incidents opérationnels liés à la défaillance d'un fournisseur ou d'un sous-traitant.

1. Réduire l'exposition aux sanctions

Référencer un nouveau fournisseur, signer un contrat de sous-traitance, collecter des données auprès d'un prestataire… chaque opération peut déclencher des exigences au titre de plusieurs textes simultanément, par exemple la vérification anti-corruption (Sapin II), la collecte des attestations de vigilance (Code du travail), l'évaluation RSE (devoir de vigilance, CSRD), le contrôle des données personnelles (RGPD), etc.

En l'absence de coordination, chaque direction gère « sa » conformité sans visibilité sur les autres, avec plusieurs risques :

• Des contrôles effectués en doublon sur certains fournisseurs, aucun sur d'autres ;
• Des écarts non détectés parce qu'ils tombent entre deux périmètres de responsabilité ;
• En cas de contrôle externe (inspection du travail, AFA, CNIL), une incapacité à produire rapidement un dossier consolidé.

💡 Ce qu’il faut retenir

Le risque de sanction peut donc se cumuler : une défaillance sur la conformité d'un sous-traitant peut entraîner à la fois une solidarité financière au titre du travail dissimulé, une mise en cause au titre du devoir de vigilance et une atteinte réputationnelle si l'affaire devient publique.

2. Anticiper les audits

Les auditeurs, qu'ils soient internes ou externes (commissaires aux comptes, AFA, CNIL, inspection du travail), réclament des preuves : documents à jour, pistes d'audit exploitables, justificatifs de contrôles effectués….

Quand chaque service gère sa conformité de son côté, par exemple le service achats avec ses fichiers Excel, la DAF avec son propre outil, la DSI avec un autre… les équipes passent plusieurs semaines à rassembler les pièces demandées.

Les auditeurs relancent, s'impatientent et finissent par documenter davantage d'écarts : une entreprise qui peine à produire ses preuves suscite en effet la vigilance. En interne, les collaborateurs mobilisés sur la collecte documentaire délaissent leurs missions courantes, et l'audit qui devait durer trois semaines s'étire sur deux mois.

La GRC permet de documenter les contrôles au fil de l'eau, d’archiver les attestations collectées avec leur date de validité et d’administrer des questionnaires de conformité (Sapin II, RSE, RGPD) pertinents. Lorsque l'auditeur demande la preuve qu'un fournisseur a été évalué sur le risque de corruption ou que les attestations URSSAF de tel sous-traitant sont à jour, l'information est accessible en quelques clics.

Vous aurez donc :

• Moins de constatations, car les écarts de conformité sont détectés et corrigés avant l'audit ;
• Des cycles d'audit plus courts, et donc moins de temps passé à chercher, plus de temps pour analyser et clore ;
• Une relation plus fluide avec les auditeurs.

3. Éviter les mauvaises surprises opérationnelles

La défaillance ou, a minima, les difficultés que peuvent connaître les tiers sont généralement précédées d'un faisceau de signaux, par exemple des retards de paiement URSSAF ou le non-renouvellement des certifications expirées. Ces signaux viennent bien avant les conséquences opérationnelles (retards de livraison).

Mais ces données sont généralement dispersées entre les services achats, finance et juridique. Le fait de ne pas les croiser ne permet pas d’évaluer correctement le niveau de risque du tiers fournisseur ou sous-traitant.

Le jour où un fournisseur fait défaut, que l’entreprise subit une cyberattaque ou que l’inspection du travail découvre une non-conformité, la direction se retrouve à gérer une crise plutôt qu’un risque, avec des arrêts de production, des retards de livraison, des pénalités contractuelles, des sanctions, etc.

💡 À savoir

Avec une approche GRC qui s’appuie sur les bons outils, ces signaux remontent automatiquement et génèrent des alertes pour agir avant la rupture, par exemple en cherchant une alternative, en renforçant les contrôles ou en suspendant la relation avec le tiers non conforme.

4. Prendre des décisions éclairées

Référencer un nouveau fournisseur, renouveler un contrat, arbitrer entre deux prestataires, prioriser les audits internes… ces décisions engagent l'entreprise, parfois pour plusieurs années.

Sans vue consolidée, elles reposent sur des informations partielles : le service Achats connaît les prix et les délais, la finance connaît les encours, le juridique connaît les litiges passés, mais personne n'a le tableau complet.

Par exemple, un fournisseur peut très bien être compétitif sur les coûts et catastrophique sur la conformité sociale. Un prestataire IT peut proposer un bon niveau de service et présenter des failles de sécurité critiques.

La consolidation permet aussi de répondre aux demandes de la direction générale ou du comité d'audit :

• Quel est le taux de conformité du panel fournisseurs ?
• Combien de tiers présentent un risque élevé ?
• Quels tiers présentent des attestations expirées depuis plus de deux mois ?

5. Faciliter l'accès aux marchés

Les marchés publics, les grands comptes privés et les bailleurs de fonds exigent de plus en plus que leurs partenaires démontrent qu’ils maitrisent leurs propres risques tiers.

Un donneur d'ordre qui répond à un appel d'offres (ou qui prospecte un grand compte) peut être challengé sur la façon dont il contrôle la conformité de ses sous-traitants. On pourra également lui demander s’il dispose d’un plan de vigilance ou encore s’il évalue les risques RSE et anti-corruption tout au long de sa chaîne d’approvisionnement.

Avec un dispositif GRC structuré et outillé, l'entreprise peut fournir :

• Des preuves de collecte et de contrôle documentaire sur ses fournisseurs ;
• Des pistes d'audit opposables ;
• Des indicateurs de conformité consolidés.

💡 À retenir

Cette capacité à démontrer la maîtrise des risques tiers peut renforcer le dossier de l’entreprise, ou simplement lui permettre de participer à un appel d’offres particulièrement exigeant.

6. Mieux valoriser les engagements RSE auprès des parties prenantes

Les entreprises, notamment les GE, sont de plus en plus évaluées sur leur performance ESG de la part de l’ensemble de leurs parties prenantes, internes comme externes. Par exemple :

• Les investisseurs intègrent désormais les critères RSE dans leurs analyses de risque ;
• Les clients grands comptes demandent des preuves d'engagement RSE avant de référencer un fournisseur ;
• Les candidats, en particulier les jeunes diplômés, scrutent les pratiques des entreprises avant de postuler ;
• Les salariés eux-mêmes sont plus enclins à s'investir dans une organisation dont ils partagent les valeurs.

💡 Le chiffre à connaître

Selon une étude LinkedIn, 60 % des travailleurs français n’accepteraient pas de travailler pour une entreprise qui ne correspond pas à leurs valeurs et à leurs convictions. Ce sentiment est plus marqué chez la Génération Z, qui représentera plus de 30 % de la population active à l’horizon 2030.

Pour répondre à ces attentes, les entreprises doivent produire des données fiables, documentées, vérifiables et intelligibles… un exercice qui sera beaucoup plus aisé avec un bon dispositif GRC grâce à la centralisation des preuves qui alimentent directement les rapports annuels et les supports marketing.

En somme, la GRC permet à l’entreprise de s’éloigner de la RSE déclarative (et des soupçons greenwashing) **pour aller vers la preuve.

💡 La GRC et le reporting extra-financier

Depuis 2024, la directive CSRD impose aux grandes entreprises européennes de publier un rapport de durabilité détaillé, avec notamment les impacts générés tout au long de leur chaîne de valeur. Le dispositif GRC est probablement le meilleur cadre pour répondre à cette obligation dans les règles de l’art.

Qui pilote et exécute la GRC dans l'entreprise ?

Comme pour tous les projets structurants, l'impulsion doit venir de la direction générale ou du comité exécutif. La GRC suppose en effet des arbitrages entre services, des investissements (outils, recrutements, formation) et une priorisation des risques à traiter.

Sans sponsor au plus haut niveau, les initiatives risquent de s’enliser et se heurter aux résistances des directions métiers qui protègent leur périmètre.

Plusieurs fonctions interviennent ensuite dans l'exécution, en fonction de l’organigramme de l’entreprise :

• Direction générale ou Conseil d'administration : fixe le niveau de risque acceptable, valide le cadre et porte la responsabilité en cas de défaillance ;
• Directeur de la conformité (CCO) : supervise le dispositif de conformité, assure la veille réglementaire et coordonne les actions correctives ;
• Directeur des risques (CRO) : consolide la cartographie des risques à l'échelle de l'entreprise et pilote les plans de traitement ;
• DAF : garantit l'intégrité financière, le contrôle interne et le reporting ;
• DSI ou RSSI : couvre les risques IT et cybersécurité ;
• Direction juridique : suit les évolutions réglementaires, gère les contentieux et rédige les clauses contractuelles ;
• Direction Achats : contrôle la conformité des fournisseurs et sous-traitants.

Un risque fournisseur identifié par les Achats (attestation URSSAF expirée par exemple) doit remonter au CRO. Une faille de sécurité détectée par la DSI chez un prestataire IT doit alerter le CCO et le juridique. Une clause contractuelle négociée par le juridique doit intégrer les exigences définies par le CCO, etc.

💡 Dans la pratique…

Cette coordination passe par des comités dédiés (comité des risques tous les trimestres, comité de conformité tous les mois), une cartographie des risques partagée et une plateforme de gestion des tiers accessible aux fonctions concernées.

Comment définir la criticité des tiers dans une démarche GRC

La « criticité » permet de classer les tiers selon le niveau de risque qu’ils représentent pour l’entreprise. L’idée est d’adapter l’intensité des contrôles. Par exemple, un prestataire IT qui accède à des données sensibles ne présente pas le même risque qu’un fournisseur très occasionnel. Sans cette distinction, la GRC applique les mêmes vérifications à tout le monde et surcharge les équipes : « Quand tout est important, rien n’est important ».

La plupart des grandes entreprises s’appuient sur trois niveaux (faible, moyen, élevé). Ce classement s’appuie sur quelques critères relativement simples à documenter :

• La nature de la prestation : présence sur site, exposition santé-sécurité, impact opérationnel, etc. ;
• L’exposition réglementaire liée au tiers, notamment sur la vigilance, la lutte anticorruption, le RGPD, le devoir de vigilance, la CSDDD… ;
• L’accès potentiel à des données, à des systèmes ou à des locaux ;
• Le volume d’affaires et la dépendance contractuelle ;
• Les antécédents du tiers, notamment les retards de livraison, les incohérences documentaires et les incidents.

💡 Ce qu’il faut retenir

Chaque critère donne un signal, et l’ensemble produit un classement simple qui conditionne par la suite l’application des contrôles du référentiel : certains contrôles ne concernent que les tiers critiques, d’autres doivent s’appliquer à tous les tiers, sans exception. Il détermine également la fréquence des vérifications et les circuits d’escalade.

Quelles étapes pour structurer une démarche GRC dans l’entreprise ?

Les chantiers GRC démarrent souvent à la suite d’un contrôle externe exigeant, d’un incident impliquant un fournisseur ou d’une demande d’un client majeur qui réclame des preuves de maîtrise des risques.

Ces situations obligent les directions à rassembler des informations éparpillées entre les Achats, le Juridique, la Conformité, la DSI ou la Finance et révèlent les écarts de pratiques, les doublons et les zones non couvertes.

L’urgence de la GRC peut également se manifester en préparation d’une acquisition, d’une réorganisation ou d’un changement de régime réglementaire, lorsque la volumétrie des tiers ou les obligations applicables dépassent ce que les circuits existants peuvent absorber. Voici les étapes à suivre pour lancer ce chantier.

Étape 1 : définir les objectifs du projet

Toutes les entreprises ne partent pas du même point. Certaines doivent répondre en priorité à une obligation réglementaire (Sapin II, devoir de vigilance, RGPD), d'autres cherchent à réduire un risque opérationnel identifié (dépendance à un fournisseur critique, incidents cyber récurrents), d'autres encore veulent structurer un dispositif avant un audit ou une levée de fonds.

Cette étape consiste à formaliser ce que l'entreprise attend vraiment de sa démarche GRC :

• Quels risques veut-elle couvrir ?
• Quelles obligations doit-elle respecter ?
• Quels sont les périmètres concernés (filiales, fournisseurs de rang 1, sous-traitants) ?

Ce travail est généralement mené par le CCO ou le CRO, en lien avec la direction générale et les directions métiers concernées (Achats, juridique, finance, DSI). Les objectifs retenus par la majorité des entreprises sont les suivants :

• Se mettre en conformité avec un texte de loi avant une échéance donnée ;
• Réduire le nombre de constatations lors des audits internes ou externes ;
• Obtenir une vision consolidée du niveau de risque tiers ;
• Répondre aux exigences d'un client grand compte ou d'un appel d'offres public.

💡 Le livrable de cette étape

Un document de cadrage (Word ou PDF) qui liste les risques prioritaires, les obligations réglementaires à couvrir, les périmètres concernés et les indicateurs de succès attendus (KPIs).

Étape 2 : cartographier l'existant

La plupart des entreprises disposent déjà de processus de contrôle, d'outils et de pratiques liées à la gestion des risques ou à la conformité. Cette étape consiste donc à recenser ce qui existe déjà, direction par direction, pour capitaliser sur ces acquis :

• Quels contrôles sont effectués, à quelle fréquence, par qui ?
• Quels outils sont utilisés (Excel, plateforme dédiée, ERP) ?
• Quels documents sont collectés auprès des tiers ?
• Quels risques sont déjà suivis, et selon quels critères ?

Là encore, c’est le CCO ou le CRO qui pilote cet état des lieux, avec l'appui d'un chef de projet ou d'un consultant externe si l'entreprise manque de ressources. L'objectif est d’identifier les redondances (plusieurs services qui contrôlent les mêmes fournisseurs sans le savoir) et les angles morts (des tiers ou des risques que personne ne suit).

💡 Le livrable de cette étape

Un tableau (Excel) des processus, des outils et des contrôles en place, organisé par direction, avec une colonne « redondances identifiées » et une colonne « angles morts ».

Étape 3 : structurer un cadre commun

Une fois l'existant cartographié, l'entreprise doit définir un cadre partagé entre les directions. L'objectif est que tout le monde travaille avec les mêmes définitions, les mêmes critères d'évaluation des risques et les mêmes circuits de remontée.

Ce cadre repose sur trois éléments :

• Un référentiel de contrôles qui liste les vérifications à effectuer par type de tiers (fournisseur, sous-traitant, prestataire IT) et par niveau de risque ;
• Un glossaire partagé pour que les termes utilisés aient le même sens d'une direction à l'autre (par exemple « risque élevé », « conformité validée », « alerte critique ») ;
• Une matrice RACI qui précise, pour chaque contrôle, qui est responsable, qui est consulté et qui est informé.

Pour l’exécution, c’est toujours une mission pour le CCO ou le CRO, mais l'élaboration du cadre implique toutes les directions concernées : Achats, juridique, finance, DSI. Sans leur participation, le référentiel restera un document théorique que personne n'appliquera.

💡 Le livrable de cette étape

Un référentiel de contrôles (Excel ou outil dédié), un glossaire de 10 à 20 termes clés et une matrice RACI validée par les directions concernées.

Étape 4 : formaliser les contrôles et les preuves dans un référentiel commun

L’objectif de cette étape est de mettre noir sur blanc ce que l’entreprise vérifie, sur quels tiers, à quel moment et avec quelle preuve. Tant que ces règles ne sont pas écrites et formalisées, vous ne pourrez pas automatiser ce qui est automatisable (voir l’étape 5).

Concrètement, vous allez créer un référentiel commun. C’est un tableau partagé, où chaque ligne correspond à un contrôle à effectuer sur les tiers concernés. Un contrôle correspond à une vérification qui peut être commune à plusieurs obligations légales ou normes que l’entreprise s’est imposée, par exemple :

• « Attestation URSSAF à jour »,
• « Assurance responsabilité civile valide »,
• « Clause RGPD signée »,
• « Questionnaire anticorruption complété », etc.

Pour chaque contrôle, le tableau décrit dans les colonnes les tiers concernés, la date de la vérification, comment on juge la conformité du contrôle (ce qui permet de dire « OK » ou « KO »), quelle preuve doit être conservée, etc. Ce tableau devient la référence commune utilisée par les Achats, la Conformité, les Risques, le Juridique ou la DSI : tout le monde parle enfin de la même chose.

Voici un exemple de tableau simplifié qui illustre la manière de décrire les contrôles dans un référentiel commun. Chaque ligne correspond à une vérification à appliquer sur les tiers selon votre cadre GRC.