Les dispositifs, contrôle interne et risk management, se partagent une cartographie unique des risques. Le contrôle interne va se focaliser sur les risques de non sincérité des comptes, de fraude comptable, de non-conformité contractuelle et réglementaire. Le risk management quant à lui intervient soit sur :
- Les risques stratégiques et financiers. On parle alors de business risk management qui intègre des thématiques telles que fusions acquisitions, lancement de nouveaux produits, décision d’investissement, etc.
- Les risques opérationnels. On utilise dans ce cas le terme de corporate risk management , visant à couvrir des risques tels que : incendie , atteinte à l’environnement , contrefaçon ,etc.
- Les points de convergence entre les deux dispositifs que sont le contrôle interne et le risk management, portent par exemple, sur les plans de continuité d’activité informatiques couplés à un processus d’arrêtés de comptes. Que se passe-t-il si le système d’information tombe au 28 décembre ? L’entreprise sera-t-elle en capacité à produire ses comptes sociaux en domestic GAAP (normes fiscales locales) et ses comptes consolidés IFRS et/ou US GAAP ?
Points de convergence entre RSE (Responsabilité Sociétale de l’Entreprise) et corporate risk management
En ce qui concerne les groupes cotés, les deux dispositifs sont réglementaires et donnent lieu dans le document de référence aux livrables suivants :
- Cartographie des risques /facteurs de risques communiqués au marché,
- Rapport du Président du Conseil d’administration portant sur l’efficacité du contrôle interne et du risk management,
- Rapports des commissaires aux comptes sur le rapport du Président,
- Chapitre dédié à la RSE.
Les deux dispositifs se situent dans une optique long terme permettant de sécuriser tant les objectifs de l’entreprise, que les relations avec l’ensemble des parties prenantes –actionnaires, investisseurs, associations, fournisseurs, clients, salariés.
De même, les deux dispositifs sont évalués par les agences de notation, et le scoring associé impacte directement le rating des groupes cotés français.
Points de convergence entre compliance éthique et RSE
Il existe de nombreux points de convergence entre les dispositifs de compliance éthique, visant à diffuser les bonnes pratiques définies dans le code éthique de l’entreprise et le dispositif réglementaire RSE Responsabilité Sociétale de l’Entreprise .
Les chapitres classiques associés à la structuration d’un code éthique portent sur des thématiques communes aux deux dispositifs, à savoir :
- gouvernance de l’entreprise et déontologie des dirigeants,
- respect du droit de l’homme, des libertés publiques, risque d’atteinte à la vie privée de la personne,
- relations et conditions de travail,
- éthique des affaires (cadeaux d’affaires, corruption commerciale active ou passive).
Le dispositif de compliance éthique peut intégrer des aspects complémentaires non traités par la RSE tels que :
- lutte anti-fraude interne et externe,
- prévention du délit d’initié et de l’atteinte au fonctionnement des marchés financiers (risque de ne pas communiquer volontairement une information, ou de communiquer une information erronée aux marchés financiers),
- prévention du blanchiment et du financement du terrorisme / prévention de la criminalité financière,
- prévention de l’abus de biens sociaux.
Points de convergence entre les autres dispositifs
Les dispositifs de trade compliance, export compliance et lutte anti-fraude ont tendance, compte tenu de leur criticité (niveau d’exposition aux risques pour l’entreprise, pénalités de certains groupes payées à des autorités de tutelle) à être dissociés du dispositif de risk management auquel ils étaient initialement rattachées.
Cela se traduit fréquemment par la création de fonctions dédiées (fraud officer, trade compliance officer, etc.) servant de relais privilégiés en cas d’investigation ou de communication avec les régulateurs ou Autorités de tutelles (AMF Autorité des Marchés Financiers, SEC Security Exchange Commission, ACPR Autorité de Contrôle Prudentiel et de Résolution).