Cartographie des risques
Aux termes de l’article 17, II, 3° de la loi Sapin II, la cartographie des risques doit prendre :
« la forme d’une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d’exposition de la société à des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d’activité et des zones géographiques dans lesquels la société exerce son activité. »
La cartographie des risques repose sur une analyse structurée, objective et documentée des risques de corruption et de trafic d’influence auxquels l’entreprise est exposée du fait de ses activités.
Elle doit être à la fois :
- complète, c’est-à-dire couvrir l’ensemble des processus managériaux, opérationnels et support mis en œuvre par l’entreprise dans le cadre de ses interactions avec les tiers et le périmètre d’intervention de l’entreprise, notamment en prenant en compte l’exercice d’un contrôle de droit ou de fait sur d’autres entités,
- formalisée, c’est-à-dire prenant la forme d’une documentation écrite détaillant les méthodes retenues pour son élaboration, les mesures mises en œuvres pour assurer la maîtrise des risques et les rôles et responsabilités des différentes parties prenantes au sein de l’entreprise, et
- évolutive, c’est-à-dire actualisée chaque fois qu’une évolution notable se produit dans l’entreprise.
Dans ce cadre et afin d’accompagner ses clients dans l’élaboration d’une cartographie répondant aux nombreuses exigences légales, Soulier Avocats a développé une approche méthodologique, inspirée des dernières recommandations de l’Agence française anticorruption, qui se décline en plusieurs étapes. Chaque étape nécessite une étroite collaboration entre les différents acteurs de l’entreprise concernée et notre équipe dédiée.
Etape 1 : Définir les rôles et responsabilités des parties prenantes à la cartographie des risques
Cette étape constitue un préalable indispensable car elle permet une claire répartition des missions et des responsabilités entres les différents acteurs au sein de l’entreprise (instance dirigeante, responsable conformité (compliance officer), responsables des processus décisionnels, responsable en charge de la maîtrise des risques le cas-échéant et membres du personnel).
Etape 2 : Identification des risques inhérents aux activités de l’entreprise
L’identification des risques repose sur une analyse fine des processus de l’entreprise.
L’entreprise doit tout d’abord établir un recensement de ses processus sur la base des activités qu’elle exerce. Dans un second temps, des échanges sont organisés avec des membres du personnel de tous niveaux hiérarchiques, notamment au moyen d’ateliers, d’entretiens individuels et/ou collectifs, de l’envoi de questionnaires, etc.
L’objectif est de procéder à un état des lieux précis permettant d’identifier, de manière circonstanciée et documentée, les scénarios de risques propres à l’entreprise. Ces scénarios doivent prendre en compte l’environnement général dans lequel opère l’entreprise (pays dans lesquels l’entreprise exerce ses activités, secteurs d’activités concernés, nature des opérations, nature et environnement des tiers concernés, durée du cycle de vente, pression concurrentielle, conditions et moyens de paiement, historique des incidents, etc.)
Etape 3 : Évaluation des risques bruts
Cette étape vise à évaluer le niveau de vulnérabilité de l’entreprise pour chaque scénario de risques préalablement identifié. En d’autres termes, Il s’agit ici d’identifier les risques « bruts », c’est-à-dire les risques considérés en amont des moyens de maîtrise mis en œuvre.
Cette étape permet d’identifier quelles personnes et fonctions opérationnelles sont les plus exposées aux risques.
Le niveau de vulnérabilité est évalué au moyen de trois indicateurs : l’impact, la fréquence et les facteurs aggravants.
Une analyse de l’impact réputationnel, financier, économique et juridique de chaque scénario de risque identifié doit être réalisée.
A ce stade pourra être établi un premier registre de risques, recensant l’ensemble des risques identifiés.
Etape 4 : Évaluation des risques nets ou résiduels
Cette étape consiste à réévaluer les scénarios de risques « bruts » en prenant en considération les moyens de maîtrise des risques déjà existants et mis en œuvre par l’entreprise afin de déterminer les risques « nets » ou « résiduels » auxquels cette dernière est exposée.
Il convient ainsi de recenser les mesures existantes et les évaluer afin de les adapter et les compléter.
Il faudra tenir compte des facteurs aggravants tels que par exemple : la réception ou l’octroi régulier de cadeaux et invitations, les relations habituelles avec des personnes dépositaires de l’autorité publique ou des représentants d’intérêts, l’importance des volumes d’achat auprès du même fournisseur, les dons à des œuvres caritatives etc.
Etape 5 : Hiérarchisation des risques nets ou résiduels et élaboration du plan d’actions
Une fois les risques « nets » ou « résiduels » identifiés, il convient de procéder à leur hiérarchisation au moyen d’une méthode objective adaptée aux spécificités de l’entreprise et basée sur la combinaison de plusieurs critères tels que le risque-pays, le chiffre d’affaires, la nature et le type de relations avec les tiers, etc.
Cette hiérarchisation permet de distinguer les risques pour lesquels le niveau de maîtrise est considéré comme suffisant de ceux pour lesquels l’entreprise souhaite améliorer la maîtrise notamment via un renforcement des moyens de contrôle interne.
Cela donnera lieu à l’établissement de matrices des risques.
Sur la base de ces éléments, un plan d’actions est ensuite élaboré. La responsabilité de la détermination du calendrier, des modalités de mise en œuvre, de suivi et de reporting de ce plan d’action doit être confiée à des acteurs précisément désignés au sein de l’entreprise.
Etape 6 : Formalisation et mise à jour de la cartographie des risques
L’ensemble des éléments identifiés, documentés, hiérarchisés et élaborés dans le cadre des étapes précédentes constitue la cartographie des risques de l’entreprise.
Elle peut être, au choix de l’entreprise, organisée et formalisée par métier, par processus, par entité ou par zone géographique.
Elle doit être accompagnée d’une annexe décrivant les modalités de son élaboration et la méthodologie d’identification, d’évaluation, de hiérarchisation et de gestion des risques.
Il est nécessaire d’apprécier chaque année la nécessité éventuelle d’actualiser la cartographie des risques en fonction des évolutions de l’entreprise et de ses activités.