On attendait dans les top risks 2017 une poussée des risques de compliance, avec la loi Sapin 2 obligeant les entreprises de plus de 500 salariés et 100 millions de chiffre d’affaires à mettre en place un dispositif anti-corruption, le dispositif de lanceur d’alerte échu aux entreprises de plus de 50 salariés ainsi que la réforme de l’audit, qui renforce les responsabilités des membres du conseil d’administration en cas de manquement dans la supervision et la gestion des risques.
Même si l’accroissement de la réglementation augmente mécaniquement le risque de « non compliance », tout en le sanctionnant davantage, ce risque figure déjà depuis le début des années 2000 en bonne place dans les cartographies des risques de la plupart de nos sociétés. On pourra discuter des seuils qui aujourd’hui intègrent de plus petites entités, mais le vrai bouleversement dans la gestion des risques est ailleurs. Il réside plutôt dans la progression de nouveaux risques qui engagent les stratégies et les business plans de nos entreprises.
En tête, le risque géopolitique, qui s’est considérablement renforcé ces derniers mois pour se faire une place dans les top risks des plans d’audit. De nature exogène, ce risque est plus diffus, plus volatile, donc plus difficilement contrôlable. Les conséquences du Brexit, l’élection de Donald Trump, la montée des populismes, provoquent des incertitudes et des tensions pesant sur l’économie du pays. En juin dernier, la Banque mondiale a réitéré sa mise en garde contre le risque géopolitique et son impact sur les perspectives de l’économie mondiale. Si la perspective en France d’une sortie de la zone euro est désormais écartée, le prochain scrutin législatif italien pourrait également mettre en péril la stabilité du marché unique. Dans un monde de plus en plus incertain et complexe, le risque géopolitique doit donc être appréhendé par nos entreprises afin de favoriser leur capacité de résilience face au changement. Cette appréhension nécessite de la transversalité puisqu’elle implique de nombreux risques sous-jacents : risque énergétique, risque fiscal, risque de change, risque de liquidité, risques juridiques…
Autre risque en forte croissance cette année dans les plans d’audit, le risque RH qui est aujourd’hui reconnu (enfin pourrait-on dire) comme l’un des facteurs clés de compétitivité. Au cœur du management de ce risque, on trouve bien sûr la politique de recrutement pour attirer les talents, mais également le développement ou le maintien de la culture de l’organisation et donc de sa cohésion, ainsi que la qualité de l’environnement de travail des collaborateurs et les politiques de lutte contre les discriminations au travail. Le risque de réputation n’est pas bien loin, car l’image que les organisations renvoient au grand public doit refléter leur engagement sociétal et en premier lieu, leur politique RH.
Enfin, autre risque stratégique majeur, celui des données qui recouvre les problématiques de cybersécurité et qui ne peut plus être aujourd’hui analysé sous un prisme exclusivement réglementaire, même si se profile la transposition de la directive européenne sur la protection des données personnelles (RGPD) en mai 2018. Les données, devenues une ressource précieuse et convoitée, deviennent dans le même temps une ressource ultra-sensible à protéger, ce qui commande de mettre en place des dispositifs de maîtrise des risques adéquats. Les scandales récents de vols de données, du piratage des mails de Yahoo! pesant dans l’opération de rachat par Verizon à la chute vertigineuse du cours de bourse de Vinci, rappellent l’importance que requiert la maîtrise des systèmes d’information de l’entreprise.
Que retenir de ce rapide tableau ? Que les risques de compliance n’ont pas pris le pas sur les risques stratégiques, loin s’en faut. Et que ces risques sont aujourd’hui tant interconnectés, complexes et volatiles, qu’ils demandent aux entreprises de mettre en place des stratégies de pilotage de leurs risques transversales, agiles et prenant en compte l’ « ADN du risque » propre à chacune.