La loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique dite « loi Sapin II » prévoit l’obligation, pour les personnes morales de droit public et de droit privé, de mettre en place des mesures et procédures visant à prévenir et détecter les faits de corruption et de trafic d’influence. Dans le cadre de cette démarche, l’une des étapes incontournables est la réalisation de la cartographie des risques d’atteinte à la probité auxquels l’entité est exposée.
Qu’entend-on par « cartographie des risques » ?
La cartographie des risques d’atteinte à la probité se révèle être un outil essentiel pour garantir la conformité réglementaire d’une entité en matière de lutte contre la corruption. Elle constitue selon l’Agence Française Anticorruption (AFA), la pierre angulaire du dispositif anticorruption dans la mesure où c’est à partir de son établissement que sont définies les principales mesures de prévention et détection d’atteintes à la probité. Cette analyse de l’ensemble des processus qui conduisent l’entité à interagir avec les tiers, va permettre l’identification, l’évaluation, la gestion des risques liés aux activités et à l’environnement de l’organisation, et de prendre les mesures adéquates afin de les maitriser efficacement.
Son objectif sera donc de limiter conséquences juridiques, humaines, financières et réputationnelles des atteintes précédemment évoquées. La cartographie des risques est validée par l’instance dirigeante qui devra également mesurer au moins une fois par an sa pertinence et son efficacité.
Quelles sont les différentes étapes d’une cartographie des risques ?
Afin de réaliser une cartographie efficiente et qui permettra par la suite la mise en place de dispositifs pertinents et viables au sein de l’organisation, il est recommandé de suivre les étapes ci-après.
Etape 1 : La définition des rôles et responsabilités des parties prenantes à la cartographie des risques
La clarification des rôles et des responsabilités (instance dirigeante, responsable de la conformité, personnel, etc.) permet d’assurer dans de bonnes conditions et avec les personnes compétentes, la promotion de l’exercice de cartographie, la coordination de son élaboration et ce en veillant à appréhender les risques inhérents aux activités exercées par l’ensemble des personnels travaillant dans la structure, quel que soit leur statut.
Etape 2 : L’identification des risques inhérents aux activités de l’organisation
Cette étape vise à répertorier et catégoriser les risques auxquels l’entité s’expose dans le cadre de son activité. Il s’agit de procéder, une fois le recensement des processus et les échanges avec le personnel réalisés, à un état des lieux précis permettant d’identifier, de manière circonstanciée et documentée, les risques propres à l’organisation.
De ce fait, le recensement exhaustif des risques inhérents aux activités nécessite, outre la connaissance de l’organisation mobilisée et des rôles impartis, une maîtrise fine des processus mis en œuvre.
Etape 3 : L’évaluation des risques
Cette phase a pour objectif d’évaluer le niveau de vulnérabilité de la structure pour chaque scénario de risque identifié à l’étape précédente. Nous pouvons, tout d’abord, identifier les risques « bruts » auxquels l’organisationest exposée, c’est-à-dire les risques considérés en amont des moyens de maîtrise mis en œuvre. Le niveau de vulnérabilité est évalué au moyen des trois indicateurs suivants : l’impact, la fréquence et les facteurs aggravants. Ensuite, les risques « nets », à savoir la réévaluation des scénarios de risques « bruts » en prenant en considération les moyens de maîtrise des risques déjà existants et mis en œuvre ou autrement dit, évaluer l’efficacité des mesures existantes face à ces risques.
Etape 4 : L’évaluation des risques nets
Une fois l’étape 3 validée, un classement par niveau des scénarios de risques apparaît. La hiérarchisation des risques nets est une étape indispensable à la mise en œuvre d’un plan d’actions. Elle permet de déterminer les risques les plus urgents à traiter et pour lesquels l’instance dirigeante souhaite améliorer la maîtrise.
Etape 5 : La formalisation, le suivi et l’actualisation de la cartographie des risques
L’ensemble des étapes précédentes constituent la cartographie des risques. Le résultat de celles-ci fait ensuite l’objet de la rédaction d’un document de synthèse qui servira d’outil de pilotage des risques de corruption. La présentation de cette cartographie, particulièrement importante pour son appropriation interne, peut être, au choix de l’organisation, structurée par métier, par processus, par entité ou par zone géographique.
Son actualisation est appréciée chaque année et peut également intervenir à l’occasion d’évènements particuliers impactant l’entité.
Conclusion
La cartographie des risques est un exercice complexe. Elle met en jeu de nombreux acteurs et données, internes et externes à l’organisation. Toutefois, dans un contexte d’incertitudes, elle est un outil incontournable afin de permettre à votre organisation de limiter différents types de risques tels que :
• les sanctions financières, pénales, administratives
• la perte de réputation
• la perte de confiance de ses partenaires, investisseurs ou clients
• la perte d’attractivité, de compétitivité et de productivité.
Prime Conseil, forts de son expertise, peut vous accompagner dans l’élaboration de votre cartographie des risques et faciliter vos décisions stratégiques et opérationnelles à ce titre. N’hésitez pas à nous contacter si vous souhaitez en savoir plus sur notre approche.