1. Qu’est-ce que la gouvernance ?

De la définition du Petit Robert ( datant des années 90 ), passant par la conception anglo-saxonne (Code of Best Practice 1992 UK , Principales of Corporate Gouvernance USA ), la gouvernance est aujourd’hui synonyme de bien gouverner : « c’est la mise en œuvre d’un ensemble de dispositifs ( règles, normes, protocoles, conventions, contrats…) pour assurer une meilleure coordination des parties prenantes d’une organisation ( entreprise , sociétés ..). L’objectif est de prendre des décisions de manière concertée, transparente et surtout contrôlée par les différents organes de la société afin de permettre à ceux-ci d’assumer leur responsabilité sociale et sociétale, dans le cadre d’un développement durable de la structure. D’où la notion de « bien gouverner » selon Brigitte Henri.

Aujourd’hui, l’incertitude sur la maîtrise des risques augmente même si les méthodes d’évaluation des risques sont importantes, ces évolutions restent assez lentes car le périmètre des risques s’élargit au fur et à mesure de nos connaissances. Plus de connaissance des risques devient donc indispensable pour les acteurs de la bonne gouvernance.

2. D’abord, qu’est-ce qu'un risque ?

Un risque, c’est une situation indésirable avec des conséquences négatives résultant de la survenance d'un ou plusieurs événements dont la survenue est incertaine. Tout événement redouté qui réduit les attentes de gain ou d'efficacité dans l'activité de la société est un risque. La conséquence de la survenance du risque mettrait en danger l'organisme porteur du risque.
Le plan d'atténuation étant insuffisant, l'organisation doit mettre en place un plan de prévention pour éviter la survenance du risque. Dans un contexte de profonde mutation (évolutions réglementaires et législatives, environnementales et avancées technologiques), la prévention et le management des risques demeurent fondamentaux pour les acteurs de la gouvernance.

3. La prise de conscience sur les risques dits émergents.

La prise de conscience de l'importance des nouveaux risques est très récente.
Par exemple, au Royaume-Uni, l'enquête sur le risque systémique de la Banque d'Angleterre menée tous les six mois par les dirigeants de la ville de Londres ne mettait pas en avant le sujet de la cybersécurité comme important jusqu'en 2014-2015. Plus généralement, si jusqu'en 2012, le cyber-risque était rarement mentionné dans les enquêtes mondiales auprès des PDG ou des experts, il s'est systématiquement classé parmi les 10 premiers risques pour l'entreprise et l'environnement économique depuis, voire dans son top 3 lors de la dernière réunion du Forum économique mondial à Davos.
Cette prise de conscience a permis aux acteurs de la gouvernance de mettre toute leur énergie dans la prévention des risques imminents. La technologie est un véritable facteur de développement et de changement significatif, mais elle expose les entreprises à d'énormes risques potentiels tels que les cyber-attaques, les risques algorithmiques et autres qui découlent du « deep leaning », de l'usurpation, la fuite de données, la défaillance de sauvegarde, le piratage des clouds... des dangers qui peuvent avoir un impact très négatif sur la vie de l'entreprise.
Certes, tous les risques ne peuvent pas être identifiés, mais il est important d'anticiper et d'informer les managers sur les zones à risques de l'entreprise. Cela consiste à établir les bonnes pratiques dans le registre des risques et mettre en place une bonne cartographie des risques. Il appartiendra aux administrateurs d’adopter a priori une politique sociale pour éviter tous risques comme les risques psychosociaux dus à un niveau de stress extrême qui peut conduire le personnel dans un burn out. Aussi, garantir les ressources financières nécessaires à la prestation sur les risques communs, d’enjeux rigides sur les grands secteurs susceptibles d’être sources d’impact grave à la pérennité de l’entreprise. Les facteurs de risques sont nombreux, on peut en citer plusieurs : une mauvaise gestion, manquement d’un responsable à ses obligations, manque de vigilance des dirigeants et administrateurs sur les nouveaux risques.
Il est d’une évidence certaine que les administrateurs n'ont pas encore les moyens d'identifier tous les risques, mais la meilleure façon de prévoir les risques majeurs est la tendance à la vigilance et la mise en place d’indicateurs de risques afin de clarifier la manière dont ces derniers apparaissent.

II. Les enjeux des nouveaux risques:
Comment faire face aux nouveaux risques complexes ? L’exemple de la cybersécurité.

Les premiers managers avec la vision française tentaient déjà à identifier les risques par rapport au panorama des risques : exemple la montée du populisme, le terrorisme, le changement climatique, les atteintes à l'environnement (en France il est au niveau des 5e premiers contrairement à l’international), la cybersécurité etc. Le risque de sécurité des systèmes d'information peut entraîner des risques majeurs pour l'entreprise (fraude, vol de données personnelles, stratégiques et sensibles). La direction et le conseil doivent cependant, les comprendre pour mieux les anticiper. Les gestionnaires de risques doivent donc pouvoir prévoir, d’identifier, d'évaluer et d’établir les zones de contexte de risque, les cartographier le plus clairement et le plus précisément possible.

Les risques dits émergents sont un facteur à prendre en compte, nous ne sommes plus dans une logique "je traite, ils diminuent" pour bien maîtriser la menace. Nous parlons des défaillances de la cyber-sécurité qui est un risque immédiat et mortel pour l'entreprise. Nous devons donc faire face au risque continuellement et sans relâche. Le risque est là sous nos yeux, dans un avenir proche ou immédiat. Les pirates trouveront toujours un moyen de nous joindre, souillant parfois notre réputation, nous devons donc être prêts à les affronter car une entreprise qui a vu ses serveurs piratés risque de ne plus être crédible aux yeux de certains clients.

La réglementation est également une menace pour l’entreprise. Néanmoins sur ce point, la culture française voire européenne est à saluer car la réglementation en matière de protection des données (RGPD) qui accompagne les entreprises à travers la CNIL est un atout majeur pour les entreprises qui en sont conscientes. Cette association d'organismes-CNIL est un facteur essentiel pour les entreprises souhaitant se conformer à la législation en vigueur.

Pour arriver à un niveau de risque moyen, l'entreprise doit être capable d'évaluer globalement tous les risques susceptibles de contraindre une volonté de pérennité et de bon fonctionnement à tous les niveaux avec un traitement adapté à chaque cas.

5. Comment l'entreprise définit-elle son appétence pour les risques et sa stratégie de traitement?

La loi sur la Sapin II oblige les entreprises à mettre en place une cartographie des risques prenant la forme d'une documentation régulièrement mise à jour et destinée à identifier, analyser et hiérarchiser les risques d'exposition de l'entreprise aux sollicitations externes à des fins de corruption, en fonction notamment du secteur de l'activité et les zones géographiques dans lesquelles la société opère. Aujourd’hui, dans certaines entreprises, apparaît la notion de risques inacceptables qui se caractérise par une grave négligence des responsables vis-à-vis des risques dont ils sont conscients des conséquences sur l'organisation et de sa survenance. Pour définir son appétence pour les risques, les administrateurs doivent rassurer les parties prenantes sur d’éventuels risques possibles avec une vision éclairée du sujet et rester dans une quête permanente pour les identifier, les cartographier différemment et véhiculer a posteriori une politique de risque en interne.

6. Comment évaluer les risques une fois identifiés?
Comment les gérer et changer de comportement envers de nouveaux risques?

La prévention est essentielle mais n’est pas suffisante, avoir la capacité de gérer les risques et les crises est essentiel pour une entreprise.
Le défi aujourd'hui est de dire que toutes ses données, en termes de connaissances et de moyens sont toujours bonnes, mais comment faire ressortir les bons risques? Comment partager des visions synthétiques avec les parties prenantes?
Pour ce faire, nous devons jouer sur le terrain de la communication. Le partage d'informations, le renforcement de la fiabilité des informations collectées et l'adoption d'une culture du risque permettraient une bonne gestion des risques. Dans cette logique, la direction et le conseil d’administration doivent mettre en œuvre des directives et établir une bonne articulation entre les fonctions du seconde ligne(les fonctions de gestion des risques et conformité) et celle de la première( Les managers) et de la seconde ligne. Mettre également en place des systèmes simples et ciblés sur les enjeux du risque, soutenir et promouvoir la culture du risque. Cette question de la culture est importante, par exemple en Angleterre, les entreprises doivent mettre en place une évaluation de la culture du risque. Elle se fait par une évaluation périodique et de la mise en place d'un système de travail en lien avec la troisième ligne,( les auditeurs internes ) les informant des nouveaux risques afin de gérer et de traiter ensemble les événements liés aux nouveaux risques. C'est un élément fondamental car les menaces évoluent, les réglementations changent très souvent et il faut du temps pour s’adapter et les comprendre avant de changer de comportement.
La culture du risque est donc essentielle pour maintenir l'équilibre.

7. Quels documents sont nécessaires pour prévenir les risques en adoptant la bonne pratique?

Pour une bonne prévention des risques, il est nécessaire de connaître les documents qui facilitent ce travail. La régularité des comptes spécialisés est impérative. De même, disposer de bonnes informations, mettre en place des systèmes d'identification et de qualification des risques permet à l'entreprise de se mettre sur la bonne voie.
La cartographie des risques est un moyen efficace de définir la probabilité des risques et leur impact sur l'entreprise. Une fois ces éléments connus, une évaluation sérieuse des risques est nécessaire pour permettre à l’organisme de les traiter.
Pour cela, une communication fiable de l'information a posteriori est essentielle voire impérative avec une parfaite confiance dans le partage de l’information avec les parties prenantes.