Piloter le risque juridique pour servir la stratégie de l’entreprise

Le risque clairement identifié, pondéré, et pour lequel sont identifiés des correctifs pertinents et réalisables est un risque auquel on a retiré, tout ou partie de son « aléa ».

La maîtrise des risques et l’optimisation des processus font d’ailleurs partie des six priorités pour les directions financières en 2022 aussi bien au sein des grands groupes que des ETI/PME1. La cartographie des risques, et plus particulièrement la cartographie des risques juridiques, offre une réponse à ces besoins. En identifiant les risques juridiques et en les priorisant, l’entreprise s’autorise des process plus sécurisés, légers, et efficaces. 

1. Pourquoi réaliser une cartographie des risques juridiques ?

Cartographier les risques juridiques est un facteur de compétitivité pour l’entreprise, permettant une gestion plus ambitieuse et hiérarchisée, selon les niveaux de risques, et augmentant le « rhythm of business ».

Pour la direction juridique, cette cartographie permet d’employer un langage commun, de sensibiliser et diffuser une culture risque, et de donner une vision très claire sur les risques juridiques de l’entreprise.

La cartographie des risques est un outil qui permet d’optimiser les process, de valoriser la direction juridique et de servir la stratégie. 

Elle donne aussi la possibilité d’argumenter de manière objective sur l’adéquation entre les moyens et les ressources qui sont allouées à la direction juridique. 

Pour les opérationnels et autres fonctions support, elle permet la mise en place de plan d’actions se basant sur des risques au sein d’un même référentiel. En identifiant les propriétaires de chaque risque, elle permet une responsabilisation des parties prenantes pertinentes face aux différents risques. 

L’exercice de cartographie représente un travail et une coordination importante des équipes juridiques, support et opérationnelles ; il peut donc être utile de se faire accompagner pour réaliser cet exercice avec succès. 

2. Définir le risque de manière très opérationnelle 

Construire sa cartographie des risques juridiques implique au préalable de définir la notion de « risque juridique » pour éviter des interprétations multiples. D’autant que, d’expérience, les juristes ont tendance à définir le risque juridique de manière restrictive. 

Compte tenu de son potentiel impact sur l’activité business, le risque juridique doit être défini sous un angle opérationnel. Ainsi, le risque juridique peut être défini comme l’expression et/ou la manifestation du non-respect des dispositions légales ou réglementaires auxquelles l’organisation est soumise pour toutes ses activités et relevant du périmètre de la direction juridique. Il peut résulter d’une mauvaise compréhension/application d’une norme juridique ou d’un comportement opérationnel qui va générer des conséquences juridiques.

3. Fonctionner en mode projet 

Pour obtenir les résultats escomptés, il est nécessaire d’impliquer d’autres directions dans la réalisation de la cartographie des risques. 

Les directions audit et risques sont particulièrement utiles en raison de leur connaissance de l’entreprise et de ses risques. Les impliquer tôt dans le projet est une bonne pratique participant à son succès. Elles peuvent fournir des informations, outils ou méthodologies de cartographie qui pourront être utilisés par la direction juridique. 

Chaque élément préexistant réutilisé (autre cartographie des risques, échelles, référentiels…) participe de la cohérence de la démarche globale de gestion des risques de l’entreprise. Il faut donc se poser la question pour chacun de ces éléments de leur pertinence et de la possibilité de les réutiliser pour la cartographie des risques juridiques. 

4. Partir de la chaîne de valeur 

Identifier les risques implique de retracer les maillons de la chaîne de valeur de l’entreprise. Il convient de suivre chaque processus métier opérationnel ou support pour identifier les risques qu’il pourrait générer. 

Pour cela, il convient de se baser sur la documentation interne et les connaissances des métiers de l’entreprise, mais aussi et surtout, travailler en lien avec les opérationnels et fonctions support concernés. Les risques vont dès lors transparaître au sein des différents maillons avec une description très opérationnelle. L’objectif étant d’obtenir la liste la plus complète possible des risques juridiques de l’entreprise. 

En outre, il conviendra d’identifier les scénarios ou cas concrets à l’origine des risques, ce qui permet de donner un langage plus opérationnel à la cartographie. Les équipes juridiques indiqueront également, pour chaque risque, son fondement juridique, ses conséquences/sanctions, ainsi que les propriétaires ou copropriétaires (la direction juridique ou une autre direction). 

Le risque juridique est ainsi transformé en une matière prête à être pondérée. 

5. Evaluer et mettre en lumière les risques majeurs

Afin de pondérer les risques identifiés, il convient de choisir des échelles de risques adaptées. 

Comme vu précédemment, des échelles peuvent préexister au sein de l’entreprise et il faut s’interroger sur leur pertinence pour la cartographie des risques juridiques.

Trois types d’échelles sont nécessaires.

Une échelle d’impact répondant à la question : « Quel est l’impact du risque ? ». A noter que cet impact n’est pas nécessairement strictement financier. Il peut s’agir d’un impact sur l’image de l’entreprise, sur la qualité de service rendu ou encore le risque pénal. Cela renvoie à l’idée d’impact d’un risque sur l’atteinte des objectifs stratégiques de l’entreprise (destruction de valeur aussi bien financière que extra-financière).

Une autre échelle, l’échelle de probabilité répond à la question : « Quelle est la probabilité pour que le risque se réalise effectivement ? ».

Ces deux premiers types d’échelles viennent donner une première pondération au risque, une criticité brute : impact x probabilité. 

Une troisième échelle sera utilisée dans un second temps pour évaluer l’efficacité des dispositifs de maîtrise des risques (politiques, documentations, process, outil…). Cette échelle permettra d’obtenir une criticité nette en prenant en compte l’efficacité de la maîtrise des risques. Plus un risque est maîtrisé, plus sa criticité nette sera basse. Dès lors, ce risque n’apparaîtra pas forcément comme prioritaire.

L’évaluation de ces éléments permet de visualiser concrètement et objectivement les risques en fonction de leur potentiel plus ou moins élevé de nuisance. De cette évaluation découleront des plans d’action adaptés.

6. Choisir un support et le partager

Il est ensuite nécessaire de choisir un support visuel qui pourra être partagé en interne et utilisé au quotidien. 

Comme évoqué précédemment le support peut parfois être préexistant dans l’entreprise lorsque d’autres cartographies ont déjà été réalisées ou lorsqu’un outil préexiste dans l’entreprise. Il peut s’agir d’un rapport synthétique, d’un fichier Excel, d’un outil de data visualisation, ou d’un outil marché par exemple.

Ci-dessous, des exemples de visuels pouvant être exploités pour matérialiser la cartographie :

Cartographie des risques bruts par familles de risques :

Cartographie des risques nets par familles de risques :

7.      Gérer les risques dans la durée

Une fois la cartographie prête et partagée, il faut continuer à la faire vivre au quotidien en mettant les données qui la composent à jour régulièrement.

Une instance peut être mise en place pour se réunir une ou plusieurs fois par an et acter du progrès dans la gestion des risques connus ou de la survenance de nouveaux risques.

Cette instance désignera les nouveaux dispositifs de maîtrise des risques à mettre en place et éventuellement à abandonner. Elle viendra valider et suivre les plans d’action et désigner les responsables gestionnaires de risques. Un suivi efficient des plans d’action implique de définir avec précision les responsabilités de chaque partie prenante (responsables, contributeurs…). 

Ce suivi permettra de conserver toute la pertinence et la puissance de la cartographie et d’évaluer les progrès de l’entreprise dans la maîtrise de ses risques juridiques. A ce titre, la mise en place d’un tableau de bord, permettra de piloter les plans d’action avec aisance.

A noter que, la tentation peut parfois être grande pour une direction juridique de vouloir communiquer une cartographie dont tous les risques juridiques paraissent parfaitement maîtrisés. Une évaluation objective – en particulier des dispositifs de maitrise des risques - est néanmoins bien plus bénéfique : elle permet d’apprécier pleinement la maîtrise plus ou moins importante des risques et les progrès réalisés d’année en année par l’entreprise.

Des changements significatifs dans l’activité de l’entreprise viendront aussi s’incrémenter (modèle économique, nouveaux process, etc.).

Conclusion

Construite intelligemment et avec méthode, une cartographie des risques juridiques offre à l’entreprise une bonne visibilité sur ses risques juridiques, améliore l’efficience de la direction juridique et sa capacité à travailler main dans la main avec les fonctions support et opérationnelles. Elle permet l’adoption d’approches pragmatiques et transverses et de s’organiser en mode projet. Pour l’entreprise, elle constitue un gage de bonne gestion et, in fine, un levier de croissance.

https://www.pwc.fr/fr/publications/fonction-finance/priorites-2022-des-directions-financieres.html