L’évaluation des risques d’une cartographie des risques de corruption est un enjeu techniquement surmontable en principe, parfois difficilement acceptable psychologiquement pour ceux qui portent la cartographie.

Les recommandations de l’AFA donnent quelques éléments de réponse, sur la façon de procéder, mais les pratiques observées permettent d’entrevoir ce qu’il est pertinent de faire en la matière, et ce qu’il vaut mieux éviter.

Comme à l’habitude rien de normatif dans ces quelques lignes, mais des compléments de réponse aux recommandations, inspirées de pratiques observées et de quelques rapports de contrôle de l’Agence.

Il convient en préambule de préciser que les évaluations de risques ne sont jamais le fruit d’une approche scientifique et rigoureuse, que ce fut pour l’évaluation brute ou pour l’évaluation nette des risques.

Le jeu consiste à trouver une méthode rigoureuse et homogène d’un risque à l’autre, qui permette moins de mesurer scientifiquement des risques qui s’y prêtent peu – attendons l’IA ? – que de comparer les risques identifiés entre eux.

Et c’est d’ailleurs probablement la raison pour laquelle l’AFA demande de façon appuyée dans ses recommandations qu’il soit procédé à une présentation hiérarchique des risques : mieux vaut savoir qu’un risque est le plus important, qu’il vaille 1, 3, ou 5.

La théorie :

• chaque (scénario) de risque doit faire l’objet d’une évaluation brute, pour « évaluer le niveau de vulnérabilité de l’entreprise », comme le précise la note 137 des recommandations de l’Agence.
  • Cette évaluation est réalisée « au moyen des trois indicateurs suivants : l’impact, la fréquence et les facteurs aggravants». Note 138, où :
    • « Cet impact peut être réputationnel, financier, économique ou juridique. Un même scénario de risque peut naturellement cumuler plusieurs types d’impact. » Note 139
    • « Une probabilité d’occurrence est déterminée à l’aide des informations les plus complètes et les plus adaptées à la spécificité du risque identifié (exemple : historique des incidents). » Note 140
    • « L’appréciation des facteurs jugés aggravants est réalisée par l’application de coefficients de gravité » Note 141
  • Puis, en fonction du « niveau de maîtrise des risques » par l’entreprise, cette dernière doit réévaluer ces risques, en faisant passer leur évaluation de brute à nette «  en prenant en considération les moyens de maîtrise des risques déjà existants et mis en œuvre » Note 143.

Et c’est à peu près tout ce qui est mentionné dans ces recommandations.

En pratique,

l’évaluation brute des risques nécessite qu’il soit répondu à différentes questions pour que l’exercice soit facilité, et empreint d’une forme de rigueur

• Puisqu’un risque brut doit être évalué suivant deux axes probabilité et impact – ou gravité – du risque, il apparaît nécessaire de déterminer des échelles des 2 paramètres.
  • Quatre à six échelons feront l’affaire. Plus ne rendraient pas les choses très lisibles. Moins non plus. Ce qu’il faut retenir est que ces échelles permettent de mettre en perspective les risques les uns par rapport aux autres. Pas de donner une note qui conditionnera le passage dans la classe supérieure !

• Pour positionner les éléments évalués eu regard des degrés de l’échelle, le meilleur moyen est de caractériser de quoi sont constitués les différents degrés des échelles déterminées :
  • Pour la gravité, ou l’impact, les dimensions que l’AFA décrit au point 139 des recommandations sont pertinentes :
    • réputationnel – bruit interne, presse locale, presse nationale, internet viral- ,
    • financier – au regard de seuils financiers,
    • économique – perte d’un client, de clients, d’un marché,
    • ou juridique au regard de sanctions pénales qui pourraient être encourues par la société,
    • sont autant de caractéristiques auxquelles affecter une cotation, de sorte que cette grille, constituera une base de référence sur laquelle la cotation pourra se faire de façon à peu près objective et univoque.sont autant de caractéristiques auxquelles affecter une cotation, de sorte que cette grille, constituera une base de référence sur laquelle la cotation pourra se faire de façon à peu près objective et univoque.

• • Pour la probabilité, il ne faut ne pas se tromper. Il ne s’agit pas de mesurer le nombre de fois le risque s’est produit, sinon la probabilité risque d’être particulièrement atone, mais bien de mesurer le nombre de fois où les éléments pouvant constituer le fait générateur du risque sont réunis :
    • ainsi si un risque est lié à la présence de cash, et qu’il n’existe qu’une caisse à l’échelle d’un Groupe, la probabilité sera minime. S’il en existe dans chaque filiale du Groupe, la probabilité n’en sera que plus importante.
  • Pour les facteurs aggravants, il s’agit ici d’identifier, en nombre limité, des critères binaires – oui ou non – qui viendront majorer l’impact ou la gravité du risque de façon mécanique à hauteur de n%, valeur arbitraire absolument pas scientifique, mais utilisée pour mettre l’accent sur l’importance du risque.
    Ainsi pourront être utilisés comme facteurs aggravants :
    • la survenance du risque identifié,
    • l’existence d’une alerte au nom du risque considéré,
    • l’implication possible d’agents publics dans la survenance du risque,
    • l’absence de conscience de la probabilité du risque, ou de contrôle, même minime venant limiter la portée du risque
    • …

Pour l’évaluation des risques nets, la solution est moins immédiate, et peut être plus délicate à mettre en œuvre

• On l’a vu, les risques bruts consistent à confronter une situation donnée à différents critères, qu’il est relativement facile de se représenter.
  Pour les risques nets, en revanche, la question est plus délicate. Il s’agit prendre en compte des moyens de maîtrise, ou de contrôle des risques à la disposition de l’entreprise.
  • Pour autant, si tant est qu’il en existât, comment décrémenter l’évaluation du risque brut réalisée à l’étape précédente ?
    • Dans quelles proportions diminuer le risque brut ?
    • Existe-t-il des contrôles plus aptes que d’autres à limiter la portée d’un risque ?
    • De quelle façon diminuer le risque ? De façon simultanée, et uniforme sur la probabilité et sur la gravité ?
    • Un risque peut-il voir son existence réduite à néant, grâce à un moyen de contrôle ?
  • Il n’existe pas de réponse technique précise, pas de martingale scientifique, et c’est peut-être l’un sujets liés à l’application de la loi Sapin 2 qui ne connaisse pas de traitement vraiment homogène d’un groupe à l’autre.
    • Quelle que soit la méthode que l’on retienne, quelques règles devraient être respectées :
  • Aucun risque ne devrait voir son incidence réduite à néant
  • La diminution des composantes d’un risque devrait s’appliquer plus à sa probabilité qu’à son impact : en effet un moyen de maîtrise limite la possibilité de survenance d’un risque, pas mais n’a pas d’effet sur son impact, s’il se produit.
  • Sur les moyens de maîtrise eux-mêmes, il peut être pertinent d’appliquer une diminution aux composantes du risque en 2 temps :
    • un premier coefficient quand il existe un moyen de contrôle, qui peut lui-même être multiplié par le nombre de contrôles recensés encadrant risque considéré,
    • un second plus important, quand on sait que le contrôle est appliqué de façon certaine. Ce qui permet, par exemple, de donner une « prime » aux contrôles automatisés, qui ne connaissent pas d’aléas liés à la volonté humaine.

Dernier point, le plus important : comment représenter les risques ?

• La méthode la plus couramment utilisée consiste à représenter autant de points que de risques sur les 2 axes que sont probabilité et gravité. Rien que de très classique.Reste l’épineuse questions des couleurs par zones de la matrice : ont-elles une importance, et le rouge doit-il être banni ? Tout est question de goût. Seul compte finalement le positionnement relatif des risques les uns par rapport aux autres !