Face à la multiplication des dispositifs de conformité – Sapin 2 et programme anticorruption, devoir de vigilance, RGPD et protection des données personnelles -, nécessitant des ressources à mobiliser pour les mettre en œuvre, il convient de s’organiser au mieux pour optimiser les efforts déployés ; en premier lieu pour gagner en simplicité et lisibilité des projets mis en œuvre ; ensuite pour ne pas dérouter, ni démotiver les opérationnels qui y participent et qui observent une prolifération d’initiatives menées en parallèle ; et enfin pour s’inscrire dans une démarche intégrée telle que prônée par la GRC – Gouvernance, Risk & Compliance.

 

Le cadre ERM - Entreprise Risk Management

A ce titre, lorsqu’il s’agit d’aborder l’identification des zones exposées à la corruption, étape cruciale dans la détermination et le dimensionnement du dispositif anticorruption, il convient s’appuyer sur l’existant en matière de cartographie des risques au sein des entreprises. En effet, cet exercice consistant à répertorier, catégoriser et évaluer les risques en entreprise, conceptualisé et modélisé en un cadre dénommé Enterprise Risk Management, s’est imposé comme un pratique incontournable de bonne gestion et de bonne gouvernance au sein des entreprises.

L’approche pour cartographier les risques de corruption devrait s’intégrer judicieusement dans ce référentiel ERM, pour bénéficier d’une méthodologie, d’outils, canevas de travail, documents voire logiciel existants ayant fait leurs preuves ; mais aussi pour assurer une cohérence de grille de lecture lors de la restitution des résultats aux instances dirigeantes. 

Le positionnement des risques répertoriés, des zones à risque à surveiller, doit épouser la matrice retenue dans le référentiel ERM : découpage des métiers, des organisations, des processus opérationnels… pour des raisons évidentes de lisibilité.

Il est entendu que si la cartographie des risques de corruption peut être produite et ségréguée au sein de l’entreprise, dans l’objectif premier de la fournir au régulateur en cas de contrôle administratif, elle doit surtout être un outil de travail simple, abordable, cohérent et pratique pour ceux qui ont la charge de mettre œuvre les actions de contrôle et de maîtrise, au sein des transactions et des processus de l’entreprise.

Par ailleurs, l’expérience capitalisée par un Risk Manager, à savoir comment mener une démarche d’évaluation des risques, comment aborder les opérationnels pour susciter leur adhésion et éviter les écueils d’une telle démarche complexe, s’avèrera une véritable source de synergie et d’optimisation des ressources.

S’inscrire dans une démarche holistique de Gouvernance, Risk & Compliance - GRC

Bien que l’identification et l’évaluation précise et exhaustive des risques de corruption soit une étape essentielle pour répondre et se conformer à la nouvelle réglementation, elle doit pouvoir également contribuer à mieux protéger l’entreprise et la prémunir au mieux des événements adverses.

C’est l’initiative de GRC – Gouvernance, Risk & Compliance qui promeut cette approche intégrée, qui part d’un constat d’approches historiquement fragmentées, avec des services travaillant en silo ; et qui permet d’organiser efficacement les moyens et ressources au sein de son organisation.

La démarche GRC s’inscrit dans cette vision holistique qui constate, qu’on ne fait pas du risk management uniquement pour connaitre et évaluer ses risques, de la même façon qu’on ne fait pas de la compliance uniquement pour se conformer à toutes les réglementations ; mais que l’ensemble des initiatives doivent converger pour fournir aux instances dirigeantes les meilleurs outils pour prendre des décisions, pour exercer la bonne gouvernance et atteindre les objectifs de l’entreprise, tout en alignant stratégie, ressources, systèmes, moyens humains déployés.

Finalement, plus qu’un concept abstrait, il s’agit d’un cadre de management, de plus en plus adopté par les entreprises, qui permet aux instances dirigeantes de continuer à prendre des risques pour se développer, pour créer de la valeur, tout en ayant l’assurance que celle-ci sera durable, que les valeurs d’entreprise seront portées haut et que les limites légales ne seront pas franchies.

La cartographie des risques de corruption devrait s’inscrire dans cette dynamique tout en répondant aux attentes du régulateur.