Challenges des fonctions de gestion des risques autour des enjeux RSE
4 questions à Caroline Naït-Merabet
Directrice Gestion des Risques, PwC France et Maghreb
Les sujets de Responsabilité Sociétale sont de plus en plus prégnants dans la vie des entreprises. Les attentes des différentes parties prenantes se font plus pressantes, que ce soient des investisseurs, des salariés, des clients, des fournisseurs ou plus largement de la société civile. Ainsi, la RSE s'intègre à tous les niveaux et au sein de l’ensemble des fonctions de l'organisation : la stratégie, les opérations, les achats, le marketing ou la communication externe, et plus récemment la finance avec notamment des enjeux de performance en matière de durabilité et de valorisation. La question se pose alors du rôle et de la contribution attendue des différents acteurs de la gestion des risques sur ces thématiques, qui sans être nouvelles prennent à ce jour une importance majeure.
Quels sont les principaux impacts de la RSE sur les fonctions Audit interne, Contrôle Interne, Gestion des risques et Conformité ?
Nous voyons deux domaines majeurs où les fonctions Risques, Contrôle et Conformité doivent se saisir du sujet : la stratégie des organisations et l’information extra-financière.
Toute approche Risques pertinente se fait au regard de la stratégie et de sa déclinaison en objectifs. L’importance aujourd’hui des enjeux environnementaux, sociaux et sociétaux a fait naître :
- d’une part, le besoin d’une bonne prise en compte de ces enjeux dans les exercices de pilotage des risques globaux de l’organisation
et
- d’autre part, le besoin d’apport de confort sur la maîtrise des objectifs afférents.
Ces besoins s'immiscent naturellement dans les responsabilités des fonctions Risques et Audit interne.
Par ailleurs, impossible de piloter un objectif stratégique sans reporting. C’est entre autres pour cela que l’information extra-financière est devenue clé. L’accélération des recherches, initiatives et réglementations sur le sujet illustrent le caractère incontournable d’une information extra-financière pertinente, fiable et continue. Contribuer à la qualité et à la fiabilité d’une information clé pour l’entreprise, c’est bien le cœur du domaine d’intervention du contrôle interne.
Pour finir, n’oublions pas la dimension réglementaire. On l’observe, les réglementations liées à l’environnement, par exemple quant au climat ou le respect de la biodiversité, s'accélèrent, tout comme l’utilisation de leviers fiscaux pour contraindre l’évolution des business models vers plus de durabilité. Il est de la responsabilité des fonctions Risques et Contrôle de contribuer à la bonne mise en œuvre des dispositifs liés à ces nouvelles réglementations et à l’évaluation de ceux-ci.
Comment les fonctions risques peuvent-elles se positionner aux côtés des équipes RSE quant à l’identification et la gestion des risques extra-financiers ?
Aujourd’hui, l’identification des risques RSE est souvent faite dans le cadre du reporting extra-financier via la DPEF (Déclaration de Performance Extra-Financière), plutôt réalisée sous la responsabilité des équipes RSE. Cette identification des risques amène l’entreprise à se questionner quant à leur maîtrise.
Le rôle que l’on voit pour les directions Risques est de mettre en place une cohérence entre cette identification et le dispositif global de gestion des risques de l’entreprise. Il est devenu indispensable d’assurer un langage commun et une bonne connexion entre l’approche menée aujourd’hui dans un cadre réglementaire prédéfini et la démarche globale des risques. Pour la lisibilité du dispositif mais aussi pour l’adhésion des contributeurs, les directions Risques se doivent de garantir l’homogénéité des outils et des méthodes et l’intégration des démarches autant que possible. Ce travail de la direction Risques sera également le moyen de s’assurer que le pilotage de ces risques est fait de manière professionnelle.
Cette réflexion s’étend d’ailleurs à d’autres exercices centrés sur les risques, comme les cartographies des risques de corruption (Sapin 2) ou liés au Devoir de Vigilance. Il revient donc aux équipes Risques d’assurer la cohérence et la bonne intégration de l’ensemble.
Les entreprises sont attendues sur leurs contributions environnementales, sociales et sociétales. Elles prennent à ce titre des engagements ambitieux et doivent en rendre compte ; quelles sont les attentes associées ?
L’enjeu majeur est de maintenir la confiance et la crédibilité de l’entreprise vis-à-vis des engagements pris. Les fonctions Risques et Contrôle doivent contribuer à garantir le sérieux de la démarche, répondant ainsi aux besoins du top management, des actionnaires mais aussi de l’ensemble des parties prenantes. On le voit au travers de l’actualité, le “green washing” ou bien le “social washing”, qui peut être dévastateur pour la réputation d’une entreprise.
L’audit interne a alors un rôle central. Il doit évaluer, pour un engagement majeur pris, la robustesse des processus, des moyens et la maîtrise des activités afférentes. Les exemples sont nombreux, nous ne citerons que les plus courants comme la neutralité carbone ou l’égalité salariale, mais aussi ce qui peut concerner le contenu des produits ou leur cycle de vie.
Lors de l’évaluation d’un engagement, il y aura forcément un volet incontournable : celui de l’information. Sur la base de quelle information l’entreprise s’engage-t-elle ? Là encore, quel est le niveau de confiance quant à celle-ci ?
L’information extra-financière suit le chemin de l’information financière, où en sommes-nous aujourd’hui selon vous ?
Tout à fait, d’ailleurs Patrick de Cambourg l’illustre très bien selon moi : “l’information sur les entreprises doit avoir deux jambes : elle a aujourd’hui une jambe surdéveloppée, celle financière, et l’autre nettement moins ; ce qui entraîne un déséquilibre. Il faut au contraire une jambe de même consistance, sans être autonome, mais en connexion.”*
Pour l’instant, la gestion des données extra-financières est complexe, avec de nombreuses difficultés à adresser : la grande diversité des données, la multitude d’unités, leur manque de disponibilité et l’absence de standard de reporting unanime. Par ailleurs, à ce stade, les informations sont peu intégrées dans les systèmes d’information, donc souvent collectées manuellement. Tous ces facteurs impliquent un niveau de risque fort quant à leur fiabilité. Ajoutons à cela le fait que certains KPI soient de plus en plus intégrés aux objectifs individuels, en complément des objectifs collectifs de l’organisation, et le besoin de contrôle est alors une évidence.
Selon nous, il devient essentiel de définir et mettre en place un contrôle interne robuste sur le reporting extra-financier. C’est la fondation requise pour assurer une amélioration progressive de la qualité de ces informations et du crédit qui y sera accordé.
Pour autant, il est important de prévoir des dispositifs adaptés et proportionnés compte tenu de la maturité de l’environnement de contrôle général. Ainsi, pour être pérenne et efficace, le contrôle interne de l’information extra-financière doit être équilibré et pragmatique.
Notons que le projet de révision de la directive européenne sur les données extra-financières prévoit un environnement de contrôle plus strict ; aujourd’hui, c’est très clairement le sens de l’histoire.
*Source : rapport 9e États généraux de la recherche comptable
Pour aller plus loin
Suivez-nous !
