La cartographie des risques, pierre angulaire de la réglementation Sapin 2
Par Florence SCHLEGEL, associée, DAY ONE
« Le pire des risques est celui dont vous ignorez l’existence » (Didier Hallépée, écrivain français, ancien élève de l’école polytechnique, spécialisé en monétique)
■ La cartographie des risques est l’outil unique et indispensable qui permet à la direction générale d’une entreprise et ses équipes de connaître et comprendre de façon exhaustive l’ensemble des processus managériaux, opérationnels et de support liés aux activités de cette entreprise. Ces processus nécessitent d’être mis en œuvre pour la pérennité de l’entreprise dans un contexte ou des contextes économiques qui peuvent être divers.
■ Elle permet également de comprendre les responsabilités de chacun au sein d’une entité ou d’un groupe et réciproquement à chacun de mieux comprendre son rôle.
■ Grâce à cette connaissance de l’entreprise et de ses risques, la direction générale peut mettre en place des outils, procédures ou tout élément permettant de maîtriser ses risques et donc de permettre sa compétitivité et sa pérennité.
■ Grâce à cette connaissance de l’entreprise et de ses risques, l’entreprise peut bâtir un plan de prévention intégrant les huit obligations* de la loi Sapin 2.
1. La cartographie des risques, outil primordial de la stratégie de l’entreprise
« La stratégie d’une entreprise est l’ensemble des décisions destinées à adapter, dans le temps et l’espace, les ressources de la firme aux opportunités et aux risques d’un environnement et de marchés en mutation constante ». (Octave Gélinier, économiste français)
La cartographie des risques, l’une des huit obligations décrites à l’article 17 de la loi Sapin 2 en date du 9 décembre 2016, est un outil de pilotage indispensable pour identifier, évaluer, hiérarchiser et gérer les risques inhérents à l’activité d’une entreprise, et prend donc une nouvelle importance grâce à cette loi.
En effet, la cartographie des risques permet d’être la base la plus complète notamment pour la rédaction du code de conduite qui doit être illustré, du rapport d’évaluation des tiers ou encore des contrôles comptables nécessaires à l’application de la loi.
Elle doit donc être un outil vivant, évoluant régulièrement en fonction des événements que vit la société et va à son tour permettre de mettre à jour les autres outils ou obligations compris dans la loi Sapin 2.
Pour atteindre les objectifs dictés par la loi Sapin 2, la cartographie doit répondre aujourd’hui à 5 critères essentiels :
■ Celui d’une actualisation régulière
■ Celui d’une quantification pertinente des risques bruts et résiduels
■ Celui d’une participation de tous au sein de l’entreprise
■ Celui d’être spécifiquement dédiée aux risques de corruption
■ Celui d’être correctement outillée.
2. La réalisation d’une cartographie des risques, une méthodologie en six étapes
La réalisation d’une cartographie des risques de corruption procède d’une description objective, structurée et documentée des risques spécifiques existants dans chaque entreprise et comprend six étapes :
■ La clarification dans l’élaboration, la mise en œuvre et l’actualisation de la cartographie des responsabilités de chacun dans l’entreprise, partagées entre la direction générale, les directions conformité, juridiques ou risques, et les responsables opérationnels
■ L’identification des typologies de risques inhérents aux activités de l’entreprise
■ L’évaluation du niveau de vulnérabilité de l’entreprise par rapport à l’existence de ces risques inhérents ou risques bruts par occurrence et impact
■ L’identification et l’évaluation des moyens existants permettant de limiter ou maîtriser les risques bruts et aboutissant à lister les risques résiduels
■ Comprendre l’appétence aux risques résiduels de l’entreprise et évaluer les moyens de prévention mis/à mettre en œuvre
■ Formaliser la cartographie des risques résiduels par secteur et par géographie et la mettre à jour régulièrement en fonction des événements.
3. Conclusion
« Plus faibles sont les risques, meilleure est l’entreprise » (Sophocle)
*Code de conduite, cartographie des risques, évaluation des tiers, régime disciplinaire, dispositif de lanceur d’alerte, procédures de contrôles comptables, formation, évaluation du dispositif