Ouverture de l'Atelier de la Compliance !
L’Atelier de la Compliance, c’est parti !
Ce matin, le premier chapitre du premier module est paru.
Sur quel thème ?
Il s’agit d’un module sur la cartographie des risques de corruption dans le secteur privé.
Par qui ?
C’est Frédéric Cordel qui assure ce module. Fondateur de FC Consulting, structure de conseil spécialisée en compliance, Frédéric a rédigé plus de 40 cartographies des risques de corruption pour ses clients.
Pour qui ?
Ceux qui doivent faire une cartographie des risques Sapin 2
Ceux qui s'interrogent sur la qualité de la cartographie mise en place
Ceux qui ne l’ont pas mis à jour depuis 2017
Ou encore ceux qui entendent de leurs opérationnels des phrases telles que “on n’a pas ce risque dans notre secteur” “on a déjà des mesures sur ce risque”
Pour vous abonner (avec le code promo “MISSIVE”), c’est ICI.
Dans le cadre de la sortie de ce premier chapitre par Frédéric Cordel, je vous remets ici une partie de l’interview qu’il avait donné en avril sur la difficulté de faire une bonne cartographie des risques en compliance.
2/ Dans ton livre, tu exposes les limites de l’exercice de cartographie. Tu évoques notamment les biais cognitifs et les influences sociales ? Dans le cadre de cartographies juridiques (anti-corruption, RGPD), as-tu identifié ces mêmes problèmes ?
Malheureusement oui.
Que l’exercice de cartographie soit mené sur l’ensemble des risques d’un groupe (risques stratégiques, risques opérationnels…) ou bien sur une catégorie spécifique de risque (le risque de corruption par exemple dans le cadre de la loi SAPIN 2), les limites que j’évoque dans mon ouvrage sont toujours les mêmes.
Cette assertion est d’autant plus vrai que les juristes n’ont sans doute pas été formés à cet exercice au cours de leur formation initiale ou pendant leur carrière.
Identifier et évaluer les risques d’une organisation requiert, entre autres compétences, d’avoir été sensibilisé aux problématiques des heuristiques, des biais cognitifs (il en existe plusieurs centaines) et des biais probabilistes ainsi qu’aux méthodes qui permettent d’en limiter les effets, issues principalement du monde de l’analyse décisionnelle. J’observe que ces thèmes sont rarement abordés au sein même de la communauté des risk managers.
A titre d’exemple (il s’agit d’un biais probabiliste), je tombe encore régulièrement chez mes clients sur des questionnaires de risques qui comprennent des échelles d’évaluation des probabilités du type “très peu probable”, “peu probable”…alors que de nombreuses recherches ont démontré que la perception de ce qui est par exemple “très probable” va être très différente d’une personne à l’autre (certaines personnes estimant qu’un risque “très probable” à plus de 95% de chance de se produire alors que pour d’autres le pourcentage sera de plus de 75% par exemple).
3/ Pour pallier ces problèmes, développes-tu un modèle “alternatif” ? Sondes-tu les régulateurs à ce sujet ?
En sus des problématiques évoquées ci-dessus, qui sont communes à tous les types de risques, ceux qui intéressent les directions juridiques/compliance présentent 2 caractéristiques importantes nécessitant une approche adaptée :
Impact : Il ne me semble tout d’abord pas pertinent de procéder à des évaluations en matière d’impact. En effet, la concrétisation d’un risque réglementaire (SAPIN 2, RGPD, anti-trust…) sera toujours très significative (amende matérielle, risque de réputation, accroissement des coûts de financement…). Il ne me semble donc pas pertinent de procéder ici à des analyses de scénario qui établiraient des distinctions en matière d’impact.
Probabilité : de la même manière, l’utilisation de la notion de “probabilité” dans le cadre de l’évaluation des risques réglementaires n’est à mon sens pas pertinente. Une probabilité implique un calcul. Or ce calcul est très difficile voire impossible en ce qui concerne les risques réglementaires, sauf à se limiter aux statistiques disponibles en matière de condamnation, mais cela me semble être une approche très restrictive (dans la mesure où elle n’intègre pas les spécificités de l’entreprise).
En raison de ces deux spécificités, je recommande une analyse des risques réglementaires focalisée uniquement sur les “facteurs aggravants” ou “les facteurs atténuants” ayant un impact sur l’appréciation brute du risque réglementaire considéré (un risque brut est le risque considéré indépendamment de toute stratégie de gestion).
Par exemple, quand je souhaite évaluer l’exposition d’une entreprise aux risques de corruption (dans le cadre de la loi SAPIN 2), je vais m’intéresser au degré de concentration du chiffre d’affaires, à la dépendance économique des fournisseurs, au nombre et à la localisation des apporteurs d’affaires utilisés… Si une entreprise utilise plus de 20 apporteurs d’affaires, que plus de 50% d’entre eux sont localisés dans des pays avec un classement Transparency International supérieur à 90 et qu’ils “portent” en tout plus de 20% du chiffre d’affaires du Groupe, alors je pourrai dire que l’entreprise présente un niveau de risque brut en matière de corruption critique sur ce point.
Tu noteras qu’un des avantages de cette approche est qu’on peut très souvent rester dans le quantitatif (les trois critères évoqués ci-dessus à titre d’exemple sont quantifiables).