Points de divergence entre les dispositifs de pilotage de la conformité

    Par le 28 septembre 2017

    Contrôle interne, corporate risk management, RSE, risk management, compliance éthique, etc. Quels sont les principaux points de divergence entre ces dispositifs ?

    Points de divergence entre contrôle interne et corporate risk management

    Le point majeur de divergence entre les deux dispositifs porte sur la réponse apportée en vue de mettre sous contrôle les risques identifiés et synthétisé dans la cartographie des risques.

    Alors que la réponse apportée par le contrôle interne se traduit essentiellement par la production de procédures papier ou de contrôles automatisés dans les systèmes d’information, les outils développés et implémentés par le risk management quant à lui ont un impact budgétaire plus substantiel (programme d’assurance, charges engagées au titre de la sécurité, investissement de sécurité et de gestion de crise, création de filiale d’assurance).

    Même si les deux dispositifs visent à mettre sous contrôle des risques, le contrôle interne est fréquemment rattaché à la direction financière, compte tenu de la dimension primordiale qu’est la sincérité des comptes, alors que le risk manager est lui plus fréquemment rattaché en direct à la direction générale, compte tenu de l’impact majeur des risques opérationnels sur l’atteinte des objectifs stratégiques de l’entreprise.

    Points de divergence entre RSE et risk management

    Ici les deux dispositifs visent à sécuriser l’atteinte des objectifs stratégiques de l’entreprise sur le long et moyen terme. La divergence porte sur les outils et méthodes développés qui sont sensiblement différents d’un dispositif à l’autre.

    Alors que la RSE va se baser sur un processus normatif associé à une certification ISO, le dispositif de risk management quand à lui, va être développé en conformité avec un cadre conceptuel – COSO 3 – méthodologie de place de l’AMF, Solvency 2, etc. se focalisant sur la construction d’outils spécifiques : plans de continuité, communication de crise, sociétés captives d’assurance, programmes internationaux d’assurance.

    D’autre part les deux dispositifs ne sont pas à iso périmètre. D’un point de vue conceptuel, les risques adressés par la RSE ne sont qu’un sous-ensemble de la cartographie des risques challengée par le corporate risk management.

    Points de divergence entre compliance éthique et RSE

    Pour rappel, la Responsabilité Sociétale de l’Entreprise, associée à la certification ISO 26000, consiste en une méthodologie par laquelle les entreprises intègrent les préoccupations sociales, environnementales et économiques dans leur activités et dans leurs interactions avec les parties prenantes. Il s’agit donc de s’assurer que les entreprises intègrent bien les enjeux du développement durable.

    Le champ de réflexion de ISO 26000 est plus large que le contenu du dispositif de compliance éthique qu’une entreprise peut être amené à développer (entre autre via la production d’un  reporting extra financier, et la contribution au développement local).

    Une entreprise peut cependant décider de déployer une démarche éthique portée par un code ou une charte sans se lancer dans une démarche certifiante de type RSE.

    Points de divergence entre autres dispositifs (trade compliance, export compliance, lutte anti-fraude, etc.)

    Comme nous l’avons déjà signalé, ces dispositifs traitent de risques relevant de la cartographie générale de l’entreprise. Leur caractère spécifique est né soit d’exigences réglementaires, soit de la nécessité de construire un dispositif autonome compte tenu du niveau d’exposition aux risques associés.

    La difficulté majeure rencontrée pour les opérationnels est liée à la difficulté d’identifier les  périmètres respectifs de chaque dispositif faisant naître des risques de confusion pouvant être préjudiciables (conflits d’interprétation ou de priorisation).

    Il peut exister d’autre part des conflits d’objectifs entre certains dispositifs. Ainsi la construction d’un dispositif de lutte anti-fraude peut-être antinomique avec le dispositif de prévention du risque d’atteinte à la vie privée de la personne. La prise en compte de ces conflits d’objectifs va devoir être intégrée dans la construction intellectuelle de ces dispositifs pour que ces derniers soient opposables.

     

    Retrouver l’intégralité du dossier : Pilotage intégré de la performance et de la conformité.

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

    Véronique Lévy Il y a 3 semaines

    Bonjour, expert en RSE et en stratégie d’entreprise, je me permets de vous signaler que les démarches de RSE ne sont pas normatives, même si elles s’appuient sur la référence internationale qu’est l’ISO 26000.
    Il s’agit essentiellement d’une norme de progrès qui n’est en aucun cas certifiable, contrairement à ce que vous indiquez dans l’article – il n’existe pas de certification ISO 26000.
    Malgré la référence à la norme, universelle, il appartient à l’entreprise de contextualiser la démarche RSE à ses propres enjeux et objectifs afin de viser une performance globale : économique, financière, sociale, environnementale et sociétale. L’approche est donc fort éloignée d’une démarche normative.
    Le risk management est un complément très intéressant de l’approche de RSE.
    Véronique Lévy, CoreKap

    Répondre