La rédaction de rapports sur les risques organisationnels à l’attention des cadres supérieurs est l’une des tâches les plus importantes des responsables de la conformité. Un rapport efficace sur les risques est fondamental pour un programme de conformité solide – et, franchement, pour la sécurité de la carrière d’un responsable de la conformité. C’est quelque chose que chaque professionnel de la conformité doit comprendre et bien faire.
Alors aujourd’hui, prenons du recul et passons en revue les fondamentaux : Qu’est-ce que le rapport de risque, et comment créer un rapport de risque efficace ?
Qu’est-ce qu’un rapport sur les risques ?
Un rapport sur les risques transmet des informations sur les risques les plus pressants de l’entreprise à l’heure actuelle. Généralement, il aborde les risques critiques, pour lesquels les conséquences pour l’entreprise pourraient être terribles ; ainsi que les risques émergents qui pourraient causer des problèmes plus importants à l’avenir s’ils ne sont pas surveillés attentivement.
De plus, le rapport sur les risques doit traiter de la façon dont l’entreprise gère ou non ces risques à ce moment-là. Ainsi, le rapport pourrait également inclure des éléments sur les politiques qui sont insuffisantes, les contrôles qui ne fonctionnent pas aussi bien que prévu, ou les mesures supplémentaires qui pourraient être nécessaires pour maintenir le risque dans les niveaux de tolérance de l’entreprise.
Pourquoi le rapport sur les risques est important
Principalement, les politiques sont insuffisantes est important parce que le travail du conseil d’administration est de surveiller l’efficacité des systèmes de gestion des risques – et le conseil (spécifiquement le comité d’audit) ne peut pas bien le faire sans comprendre quels sont réellement les risques de l’entreprise. Les comités d’audit qui adoptent une approche peu rigoureuse de la surveillance de la gestion des risques violent leurs obligations fiduciaires en vertu de la loi et peuvent être poursuivis en justice. Il n’est donc pas surprenant que les comités d’audit aiment voir un reporting des risques compétent et efficace.
Le rapport sur les risques est également important car il aide le conseil d’administration à offrir des conseils stratégiques. Par exemple, votre rapport sur les risques peut mettre en garde contre un risque élevé de corruption si l’entreprise se développe sur les marchés émergents. Ce rapport pourrait inciter le conseil d’administration à reconsidérer si l’expansion est judicieuse, ou des stratégies de prix alternatives, ou toute autre mesure. Quoi qu’il en soit, le rapport sur les risques est la matière première que le conseil utilise pour réfléchir à ces choix.
Pendant ce temps, l’équipe de direction s’appuiera sur les rapports de risque pour comprendre comment elle pourrait avoir besoin de changer les opérations pour faire des affaires d’une manière plus consciente des risques. Admettons que le conseil d’administration décide qu’une expansion sur les marchés émergents est nécessaire. Il revient alors à la direction de décider comment atteindre cet objectif. Un rapport de risque approfondi aidera les cadres supérieurs à comprendre comment ils pourraient avoir besoin de mettre à jour les politiques sur les cadeaux et les dépenses de divertissement, ou la rémunération incitative pour atteindre les quotas de vente, ou les systèmes de diligence raisonnable pour rechercher les clients à l’étranger.
Un rapport de risque efficace est également important pour les régulateurs. Si jamais ils visitent votre entreprise pour examiner sa conduite ou le programme de conformité et qu’ils constatent une faible capacité à signaler et à discuter des risques, rien de bon n’en sortira. Considérez ce passage du guide du ministère américain de la Justice sur l’évaluation des risques. Justice Department’s guidance on evaluating compliance programs:
Le point de départ de l’évaluation par un procureur pour savoir si une entreprise a un programme de conformité bien conçu est de comprendre les activités de l’entreprise d’un point de vue commercial, comment l’entreprise a identifié, évalué et défini son profil de risque…
Une entreprise ne peut pas identifier, évaluer et définir son profil de risque si les dirigeants ne parlent pas de ce que sont ces risques – et un rapport sur les risques est fondamental pour cette discussion.
Ce que doit comprendre un rapport sur les risques
Comme nous l’avons mentionné plus haut, votre rapport sur les risques doit aborder les risques les plus critiques, ainsi que les risques émergents.
Les responsables de la conformité auront naturellement tendance à se concentrer sur les risques de conformité réglementaire critiques ou émergents, et c’est un point de départ tout à fait correct. Par exemple, votre rapport pourrait aborder les règles de confidentialité des données alors que vous vous développez sur de nouveaux marchés, ou les règles de passation de marchés publics si vous commencez à soumissionner à des marchés publics. Les responsables de la conformité s’inquiéteront toujours de l’application de la lutte contre la corruption, également.
Pensez de manière expansive ici. Considérez comment les changements dans les opérations de routine de votre entreprise pourraient changer la nature des risques de longue date que votre entreprise a toujours eu. Par exemple, un risque émergent et critique pourrait être le passage à des employés travaillant à domicile – ce qui pourrait changer radicalement vos risques de fraude, de cybersécurité et de harcèlement, sans aucun changement dans les lois et règlements réels qui régissent ces questions. Parfois, un changement dans les opérations laissera les politiques et les contrôles existants insuffisants pour les risques en question, et c’est quelque chose à inclure dans un rapport de risque.
L’exemple du travail à domicile appelle un autre point important : Y a-t-il des conditions externes qui changent, qui remettent en cause les hypothèses de votre programme de gestion des risques ?
Par exemple, le changement du travail à domicile se produit en raison de la crise du COVID-19. Dans le même ordre d’idées, de nouvelles politiques commerciales dans le monde pourraient créer des risques de sanctions ; une fusion pourrait créer des risques antitrust. Plus vous définissez les risques émergents ou critiques possibles de manière large, plus vous serez en mesure d’identifier les risques émergents ou critiques réels qui doivent figurer dans votre rapport.
Ce qu’un rapport sur les risques doit aborder
Chaque risque dans le rapport doit inclure une discussion sur son impact potentiel. C’est ce que les cadres supérieurs et les administrateurs du conseil d’administration veulent comprendre pour décider comment le risque doit être traité.
On peut définir l' »impact » selon plusieurs axes :
- Financier : pénalités monétaires dans le cadre d’une action d’application de la réglementation ; coûts connexes de main-d’œuvre ou d’équipement pour cette enquête (avocat externe, nouvelle technologie, et ainsi de suite) ; perte de revenus ou de profits
- Opérationnel : si un risque peut entraîner des stocks qui ne peuvent pas être vendus, des usines qui ne peuvent pas être utilisées, des processus d’affaires qui pourraient ne pas fonctionner lorsque nécessaire, et ainsi de suite
- Stratégique : si un risque pourrait contrecarrer certaines options à long terme, comme laisser l’entreprise avec trop peu de liquidités pour acquérir des cibles de fusion ou développer de nouveaux produits
- Réputationnelle : un risque pourrait-il nuire à la réputation de l’entreprise auprès des clients, des consommateurs ou des partenaires commerciaux
Pas tous les risques nécessitent une discussion complète de chaque point ci-dessus, mais les responsables de la conformité devraient au moins considérer ces variables, et celles qui sont les plus pertinentes pour le risque dont vous discutez.
Le rapport doit explorer la manière dont le programme de conformité tente de traiter le risque en question. Par exemple, indiquez si les politiques et les contrôles existants de l’entreprise produisent les résultats souhaités ; ou quelles sont les faiblesses des contrôles censés régir le risque. La discussion doit également inclure un calendrier d’action pour résoudre les faiblesses de contrôle que vous avez, identifier le propriétaire du risque, et demander toute orientation du conseil d’administration ou de la direction si cela est nécessaire.
Comment créer un rapport de risque efficace?
Partons du principe que votre rapport a identifié tous les risques qui devraient vraiment être inclus. À ce stade, la véritable menace est que le rapport présente trop d’informations, d’une manière qui laisse le lecteur submergé ou confus sur ce qu’il doit faire. Un rapport efficace sur les risques porte sur la concentration et la structure, en plus du contenu.
Par exemple, le rapport sur les risques doit être facile à lire et à digérer. Cela signifie un résumé des risques et la raison pour laquelle ils sont inclus dans le rapport, suivi d’une discussion approfondie de chaque risque et de vos données justificatives. La longueur du résumé peut varier, mais en règle générale, tout résumé qui dépasse les 10 pages est en passe de devenir trop long.
Après ce résumé, vous pouvez plonger dans les détails – qui peuvent être volumineux. C’est là que vous pouvez inclure des données justificatives (plus vous utilisez des diagrammes ou des graphiques provenant d’outils de visualisation de données, mieux c’est), des rapports d’audit, des histoires de cas, des projections de coûts, et ainsi de suite. Au format électronique, vous pouvez même structurer votre rapport sur les risques avec des liens pour permettre au lecteur de passer du résumé à la discussion approfondie.
Un rapport efficace relie aussi clairement chaque risque à un objectif commercial déclaré. Après tout, la plupart des personnes qui liront le rapport sur les risques seront issues des opérations commerciales ou des fonctions de gestion, sans avoir beaucoup d’expérience en matière de conformité ou de gestion des risques. Relier le risque à un objectif commercial indique au lecteur pourquoi le risque est important et mérite son attention.
Enfin, un rapport efficace trace un plan d’action ou pose des questions auxquelles le conseil d’administration ou la direction générale doit répondre. Un rapport efficace implique le lecteur, soit en le rassurant sur l’existence d’un plan pour maîtriser le risque, soit en sollicitant des conseils sur ce qu’il faut faire ensuite. Un rapport sur les risques saisit l’état des défis de la gestion des risques d’une entreprise à l’heure actuelle et trace des voies potentielles pour l’avenir.
Ce qu’un rapport sur les risques n’est pas, c’est un exercice en soi. Ce n’est pas un exercice de type check-the-box pour montrer que la fonction de conformité a fait son travail. C’est un outil pour aider les hauts dirigeants à faire leur travail de gouvernance de l’entreprise – et plus vous maniez cet outil avec expertise, plus votre programme de conformité sera réussi.