Les limites des cartographies des risques (interview dans la missive de X. Gattegno)

Partagez cet article :

Facebook
Twitter
LinkedIn

1/ Frédéric, la cartographie des risques est un outil qui existe depuis peu pour les juristes en compliance. Te concernant, à quand remonte ton expérience sur l’exercice ?

J’ai toujours travaillé sur les risques. Quand j’ai commencé ma carrière il y a un peu plus de 20 ans, j’étais auditeur financier et on me demandait déjà à l’époque d’avoir une approche d’audit basée sur les risques.

De mémoire, j’ai formalisé ma première cartographie il y a plus de 15 ans quand je dirigeais le département d’audit et de contrôle interne du groupe Steria.

Ce qui a changé il me semble au fil des ans, ce sont surtout les outils utilisés. Ces dernières années ont par ailleurs été particulièrement marquées par la nécessité légale de mettre en place ce type de document (avec la loi SAPIN 2, la loi sur le devoir de vigilance…).

2/ Dans ton livre, tu exposes les limites de l’exercice. Tu évoques notamment les biais cognitifs et les influences sociales ? Dans le cadre de cartographies juridiques (anti-corruption, RGPD), as-tu identifié ces mêmes problèmes ?

Malheureusement oui.

Que l’exercice de cartographie soit mené sur l’ensemble des risques d’un groupe (risques stratégiques, risques opérationnels…) ou bien sur une catégorie spécifique de risque (le risque de corruption par exemple dans le cadre de la loi SAPIN 2), les limites que j’évoque dans mon ouvrage sont toujours les mêmes.

Cette assertion est d’autant plus vrai que les juristes n’ont sans doute pas été formés à cet exercice au cours de leur formation initiale ou pendant leur carrière.

Identifier et évaluer les risques d’une organisation requiert, entre autres compétences, d’avoir été sensibilisé aux problématiques des heuristiques, des biais cognitifs (il en existe plusieurs centaines) et des biais probabilistes ainsi qu’aux méthodes qui permettent d’en limiter les effets, issues principalement du monde de l’analyse décisionnelle. J’observe que ces thèmes sont rarement abordés au sein même de la communauté des risk managers.

A titre d’exemple (il s’agit d’un biais probabiliste), je tombe encore régulièrement chez mes clients sur des questionnaires de risques qui comprennent des échelles d’évaluation des probabilités du type “très peu probable”, “peu probable”…alors que de nombreuses recherches ont démontré que la perception de ce qui est par exemple “très probable” va être très différente d’une personne à l’autre (certaines personnes estimant qu’un risque “très probable” à plus de 95% de chance de se produire alors que pour d’autres le pourcentage sera de plus de 75% par exemple).

3/ Pour pallier ces problèmes, développes-tu un modèle “alternatif” ? Sondes-tu les régulateurs à ce sujet ?

En sus des problématiques évoquées ci-dessus, qui sont communes à tous les types de risques, ceux qui intéressent les directions juridiques/compliance présentent 2 caractéristiques importantes nécessitant une approche adaptée :

  • Impact : Il ne me semble tout d’abord pas pertinent de procéder à des évaluations en matière d’impact. En effet, la concrétisation d’un risque réglementaire (SAPIN 2, RGPD, anti-trust…) sera toujours très significative (amende matérielle, risque de réputation, accroissement des coûts de financement…). Il ne me semble donc pas pertinent de procéder ici à des analyses de scénario qui établiraient des distinctions en matière d’impact.
  • Probabilité : de la même manière, l’utilisation de la notion de “probabilité” dans le cadre de l’évaluation des risques réglementaires n’est à mon sens pas pertinente. Une probabilité implique un calcul. Or ce calcul est très difficile voire impossible en ce qui concerne les risques réglementaires, sauf à se limiter aux statistiques disponibles en matière de condamnation, mais cela me semble être une approche très restrictive (dans la mesure où elle n’intègre pas les spécificités de l’entreprise).

En raison de ces deux spécificités, je recommande une analyse des risques réglementaires focalisée uniquement sur les “facteurs aggravants” ou “les facteurs atténuants” ayant un impact sur l’appréciation brute du risque réglementaire considéré (un risque brut est le risque considéré indépendamment de toute stratégie de gestion).

Par exemple, quand je souhaite évaluer l’exposition d’une entreprise aux risques de corruption (dans le cadre de la loi SAPIN 2), je vais m’intéresser au degré de concentration du chiffre d’affaires, à la dépendance économique des fournisseurs, au nombre et à la localisation des apporteurs d’affaires utilisés… Si une entreprise utilise plus de 20 apporteurs d’affaires, que plus de 50% d’entre eux sont localisés dans des pays avec un classement Transparency International supérieur à 90 et qu’ils “portent” en tout plus de 20% du chiffre d’affaires du Groupe, alors je pourrai dire que l’entreprise présente un niveau de risque brut en matière de corruption critique sur ce point.

Tu noteras qu’un des avantages de cette approche est qu’on peut très souvent rester dans le quantitatif (les trois critères évoqués ci-dessus à titre d’exemple sont quantifiables).

J’ai rencontré plusieurs personnes à l’AFA pour leur présenter mon approche. Ils étaient intéressés mais ne semblaient pas prêts à la soutenir publiquement, contrairement à un membre de la commission des sanctions (voir échange ci-dessous sur linkedin). Ce qui est sûr, c’est que tous mes clients (plus de 40 à date en matière de cartographie SAPIN 2) y adhèrent. Cela me donne plutôt envie de continuer !

Partagez cet article :

Facebook
Twitter
LinkedIn