MCG #8 C'est quoi un risque ?
Quand on débute en tant que compliance officer, on ne connait parfois rien du risque.
Dans l’ignorance, le risque est alors comme un rocher brut.
A mesure que le temps passe, on apprend des choses.
Toute connaissance pertinente devient un burin.
Un burin qui permet de tailler son risque.
Les contours s'affinent.
Devient diamant.
Brilliant.
Avez-vous remarqué que je viens de faire une allégorie ?
Je viens de rattacher le risque, une abstraction, à une activité concrète.
Car le risque est une abstraction.
Si on reprend la définition, le risque est une possibilité que se produise un événement susceptible d’avoir un impact sur la réalisation des objectifs.
Le risque est donc :
une abstraction / une théorie
sur une potentialité
d’un évènement ayant un impact négatif sur quelqu’un ou quelque chose.
Cela emporte des conséquences sur des expressions courantes :
❌ J’évite les tautologies :
- “risque théorique”
- “risque potentiel”
🔄 Je préfère “risque pertinent” à :
- “risque avéré”
- “risque réel”
Revenons à ce risque-diamant que vous peaufinez à force d’expériences.
Celui qui cartographie aujourd’hui un risque participe de sa représentation quand celui qui y renonce se soumet à celle des autres.
Cela se vérifie dans plusieurs compliances :
LCB-FT : la 4e directive LCB-FT est fondée sur une approche par les risques en créant une obligation à trois échelles, l’UE, l’Etat membre et l’entité assujettie. Bien qu’il existe naturellement une hiérarchie entre les 3 niveaux, ces derniers entretiennent des relations plus complexes. Chaque niveau doit tenir compte de l’évaluation supérieure, si bien que l’Etat Membre se retrouve dans une situation où il doit respecter l’évaluation européenne et aider les entreprises assujetties à établir leur cartographie pour en tirer le meilleur parti dans l’atteinte de l’objectif.
Sapin 2 : depuis 2019, l’Agence Française Anti-corruption a été à l’initiative à l’échelle mondiale de la structuration de la connaissance des mécanismes de prévention débouchant sur le projet plus concret d’une meilleure connaissance du risque de corruption lui-même. Depuis les premières recommandations, l’AFA alerte les entités assujetties de ne pas donner un crédit excessif au classement Transparency International, sous pavillon américain. L’AFA se bat donc sur le terrain de la représentation du risque à son échelle.
RGPD : même si le RGPD n’impose aucune formalisation de la cartographie des risques, la vision nécessaire pour établir le registre de traitements et le registre des sous-traitants plaide pour une cartographie des traitements et des sous-traitants, en mettant en exergue les risques au travers des traitements nécessitant une étude d’impact. Dans les faits, la capacité à convaincre de l’amplitude d'un risque est central dans les contentieux.
La représentation du risque n’est donc pas une vulgaire question technique.
La porte est pourtant étroite pour l’entreprise assujettie.
Elle réside dans une objectivation de son risque.
Devenir le moins contestable possible par le régulateur.
Ainsi, peut-elle se mettre en position de contribuer à cette représentation.
Y’a plus qu’à.