EXÉCUTION DES CONTRATS CLIENTS
Risques relatifs à l’exécution d’un contrat client : mauvaise qualité de prestation de services, non-respect des obligations contractuelles et de performance, livraison de services supplémentaires non définis dans le contrat, mauvaise gestion des
coûts des denrées alimentaires et de main-d’œuvre.
- Horizon de risque : Court/Moyen Terme
- Catégorie : Efficacité Opérationnelle
Impact
Une mauvaise prestation de services aux clients ou le non-respect des obligations contractuelles pourrait donner lieu à une insatisfaction du client, à des pénalités contractuelles et éventuellement à la perte du contrat.
La réalisation de services supplémentaires non prévus par le contrat et sans facturation afférente pourrait entraîner un manque à gagner en termes de revenus et une perte de rentabilité.
Une mauvaise gestion des coûts des denrées alimentaires et de main-d’œuvre pourrait entraîner une moindre rentabilité du contrat.
En outre, la pandémie de Covid-19 a entraîné des modifications importantes en termes de volume et de niveau des services fournis au titre des contrats existants. Une mauvaise gestion des contrats pourrait entraîner des coûts, tout en provoquant une baisse
des revenus, ce qui se traduirait par une diminution de la rentabilité du contrat.
Exemples de mesures de réduction du risque
- Exécution rigoureuse des processus clés de Sodexo pour la mobilisation des contrats.
- I Promise : outils et techniques pour aider les responsables de sites à gérer leurs contrats et à améliorer la qualité des services qu’ils fournissent.
- Définition de standards opérationnels et de bonnes pratiques qui sont partagés pour soutenir la performance (par exemple Innovhub).
- Outil comme le Site Management System qui garantit la formation des collaborateurs dans de bonnes conditions et la réalisation des inspections qualité.
- DRIVE : processus intégré de gestion du coût des denrées alimentaires.
- STEP : le référentiel de la gestion de performance de Sodexo.
- Suivi rigoureux des contrats sous-performants.
- Suivi rigoureux de l’exécution des services pendant la pandémie, y compris une gestion active des coûts fixes et une renégociation de certaines modalités.
TECHNOLOGIES ET SÉCURITÉ INFORMATIQUE
Risques liés à la gestion de la confidentialité, de la disponibilité et de l’intégrité des actifs informatiques de Sodexo, à la gestion des systèmes cloud et des fournisseurs tiers, au traitement des données de Sodexo et de ses clients ; risques de cybermenaces
externes.
- Horizon de risque : Court/Moyen Terme
- Catégorie : Efficacité Opérationnelle
Impact
Tous les jours, les systèmes IT Sodexo sont déployés dans 64 pays, traitent les données de 420 000 employés Sodexo et de 100 millions de consommateurs, incluant
entre autres des patients dans les hôpitaux et des enfants dans les crèches.
De plus, la demande de services plus innovants et efficaces crée une architecture en mutation rapide et interconnectée. À cela s’ajoute l’étendue des opérations, ce qui fait de Sodexo une cible, pour les cybercriminels, qui voudraient exploiter d’éventuelles
faiblesses de Sodexo et accéder aux données des milliers de clients et fournisseurs avec lesquels Sodexo est connecté.
Dans cet environnement difficile, toute atteinte à la sécurité informatique engendrant une faible intégrité des données, des pertes de données confidentielles, l’indisponibilité de systèmes clés, ou des services de collaboration, peuvent avoir des coûts
élevés et/ou un grand impact comme :
- un reporting financier inexact ;
- des pénalités contractuelles ;
- des amendes réglementaires (par exemple : RGPD, loi Brésilienne de protection des données (LGPD), normes sur les informations de carte de paiement PCI-DSS) un préjudice réputationnel dans la relation avec les actionnaires, les clients, les consommateurs, les fournisseurs et les collaborateurs de Sodexo.
En outre, la pandémie de Covid-19 a entraîné une augmentation des activités criminelles liées au cyberespace centrées sur les infrastructures clés et les services informatiques de base, ainsi qu’une demande importante de services de télétravail.
Exemples de mesures de réduction du risque
- Politique de sécurité des informations et des systèmes du Groupe alignée sur la norme ISO 27001, avec des directives de sécurité détaillées sur des sujets clés (par exemple la
sécurité « by design », les services dans le cloud, la gestion des incidents).
- Investissement dans l’infrastructure, les outils et les services de sécurité tels que l’authentification multifactorielle, le cryptage des ordinateurs portables, les évaluations des risques de sécurité, le centre d’opérations de sécurité et la surveillance des courriers électroniques.
- Stratégie de consolidation de Global Data Center axée sur l’utilisation de partenaires d’hébergement de confiance (tels que Microsoft Azure) pour fournir des services sécurisés
et efficaces.
- Collaboration à l’échelle de l’entreprise sur des sujets liés à la sécurité et à la conformité, tels que la confidentialité des données, les cybermenaces, les nouvelles technologies et les contrôles internes informatiques, facilitée par l’existence de comités de gouvernance et d’un groupe de réseaux de sécurité et de contrôle interne entre plusieurs pays.
- Initiatives de cybersécurité coordonnées à l’échelle mondiale visant à aborder spécifiquement les impacts potentiels du Covid-19 et à renforcer la solidité des installations de télétravail.
