Cartographie des risques : la faire… vivre !

Élément structurant et central de toute politique d’éthique et de conformité, la cartographie des risques “corruption” doit permettre de concilier maîtrise des risques et pilotage stratégique des fonctions E&C. Au-delà de sa mise en place initiale, la plupart des entreprises s’interrogent désormais sur les façons de tenir un jour un exercice aussi maintenir nécessaire que pertinent. Quand et comment la mettre à jour ? Comment mobiliser les équipes opérationnelles sur le sujet ? Quelles méthodes pour consolider un ensemble données parfois volumineux ? Panorama des échanges des membres du CEA lors du dernier atelier pratique dédié à ce sujet.

Un dispositif vivant

Rendue obligatoire en matière de corruption par la loi Sapin II, dès 2017, l’exercice de cartographie des risques est un élément bien connu des directions en ayant la charge. Pour preuve, le dernier diagnostic national réalisé par l’Agence Française Anticorruption, (AFA), en 2024, suggéraient que 94% des entreprises assujetties à la loi Sapin II disposaient d’un tel outil.

Ce taux est beaucoup plus faible – aux alentours de 45% – chez les entreprises non-assujetties ayant répondu à l’enquête de l’AFA, quoiqu’il demeure très élevé pour un instrument qui, pour ces dernières, n’est pas obligatoire. Peu étonnant donc que le taux de déploiement du dispositif d’alerte interne – quant à lui exigible de la part de toutes les entreprises de plus de 50 salariés – demeure largement plus important – aux alentours de 88%.

Il n’en demeure pas moins que l’exercice reste l’un des piliers essentiel de toute politique d’éthique et de conformité dans la mesure où, placé au cœur de la stratégie du département E&C, il permet d’irriguer et de faire dialoguer l’ensemble des autres dispositifs – du code de conduite aux contrôles en passant par les due diligence et les alertes internes.

Si l’enjeu de son adoption semble désormais passé, reste désormais celui, tout aussi exigeant quoique moins retentissant, de sa mise à jour. L’alerte conjointe lancée par l’AFA et l’AMF à l’été 2025 illustre bien cette nécessité de rester vigilant face à de nouvelles menaces – en l’espèce celle de corruption privée visant des personnes physiques ayant accès à des informations privilégiées, qui peuvent devenir la cible de réseaux liés à la criminalité organisée.

Des pratiques de plus en plus structurées

Le témoignage de la plupart des grandes entreprises présentes lors de cet atelier pratique organisé par le Cercle d’Éthique des Affaires révèle leur inexorable montée en puissance sur ce sujet : les méthodologies sont désormais plus éclairement établies, les pratiques sont bien connues de ceux qui en ont la charge, des outils permettent d’assurer une traçabilité précise des différentes étapes réalisées. Force est par ailleurs de constater que le contrôle de certaines entreprises par l’Agence Française Anticorruption (AFA) a permis de convaincre – s’il le fallait – de la nécessité du dispositif et d’identifier, parfois, des pratiques à améliorer.

Processus lourd et chronophage, la mise à jour de la cartographie des risques de corruption continue néanmoins de susciter des interrogations. Parmi celles-ci, la première étant souvent celle la bonne fréquence de renouvellement de l’exercice. Lors d’un précédent atelier consacré à ce thème, tenu en octobre 2022, la plupart des entreprises avait retenu un rythme biannuel, voire annuel. Force est de constater que, trois ans plus tard, la majorité d’entre elles ont finalement opté pour une mise à jour de l’exercice tous les trois ans.

En effet, devant la complexité de l’exercice pour les plus grandes entreprises, cette fréquence semble permettre d’atteindre un point d’équilibre entre l’indispensable maîtrise des risques, la juste mobilisation des équipes en interne et la capacité à mettre en œuvre des plans d’actions effectifs. Gardons à l’esprit, qu’en moyenne, la mise à jour d’une cartographie des risques d’un Grand groupe s’étend sur environ 9 mois !

En revanche, et conformément aux recommandations de l’AFA, il est très fortement encouragé de formaliser, chaque année, les raisons pour lesquelles il n’a pas semblé pertinent d’ouvrir un processus de mise à jour complète de la cartographie des risques globale, de procéder le cas échéant à des mises à jour partielle pour certaines entités si l’actualité de l’entreprise le justifie ou, plus consensuellement, en cas de nouvelles acquisitions.

Consulter et consolider !

Si l’exercice apparait si chronophage, c’est qu’il induit la nécessité de consulter un nombre importants de personnes au sein de l’entreprise et de consolider de nombreux exercices locaux pour arriver à un document au global. Parmi les entreprises adhérentes du Cercle d’Éthique des Affaires, certaines d’entre elles, soumises à l’impératif de l’AFA de réaliser l’exercice « jusqu’aux bornes du groupe », doivent consolider plus de 100 cartographies particulières – ce chiffre étant atteint en procédant déjà à des efforts de rationalisation !

Pour coordonner et harmoniser la mise à jour, les entreprises ont dans leur grande majorité adopté des méthodologies uniques qu’elles déploient sur l’ensemble du groupe et des entités contrôlées. Pour les entités sous contrôle conjoint ou sans contrôle, des sensibilisations sont réalisées auprès des Conseil d’Administration de ces sociétés.

Dans la plupart des hypothèses, la direction Éthique et Conformité globale détient un rôle de « coach » et de coordinateur des compliance officers locaux en charge de la réalisation de l’exercice. Ce support peut prendre la forme d’une mise à disposition d’une base documentaire solide, de « kits » prêts à utilisation et comprenant les templates nécessaires à l’animation d’ateliers, des mails d’invitation prérédigés, etc et plus encore, d’un accompagnement tout au long du processus de réalisation de la cartographie. Ainsi, certaines entreprises mobilisent une personne dédiée pour s’occuper de la coordination des différents compliance officers en local.

Pour ces derniers, il revient de sélectionner les parties prenantes pertinentes à auditionner, les interviewer de façon individuelle ou, plus traditionnellement collective, de les faire évaluer le risque brut attachés aux différents scenarios applicables à l’entité et d’identifier et d’évaluer les différents éléments de maîtrise des risques afin de déterminer le risque net pour chaque scénario.

Les équipes locales ont par ailleurs la charge de proposer un plan d’actions permettant une meilleure maîtrise des risques identifiés comme critiques par l’exercice de cartographie. Ces plans sont systématiquement revus et le cas échéant, amenés par la direction E&C centrale avant leur présentation au conseil d’administration de l’entité.

La consolidation des scénarios vers les « méta-risques » et des cartographies locales vers la cartographie globale est soumise, quant à elle, à des méthodologies différentes en fonction des entreprises interrogées. Pour éviter une variance statistique trop faible – c’est-à-dire de très faibles écarts à la moyenne – certaines entreprises préfèrent, lors de la consolidation entre différents risques ou différentes entités, retenir la valeur la plus faible de l’échantillon sur la maîtrise des risques. Cela revient à affirmer que « la résistance d’une chaine dépend de son maillon le plus faible » et doit permettre de tirer vers le haut les pratiques. Cette analyse n’est cependant pas partagée par toutes les entreprises qui peuvent y voir une méthodologie trop coercitive.

Difficultés, limites et tendances actuelles

Bien que les entreprises soient désormais habituées à l’exercice de cartographie et à son renouvellement, certaines difficultés persistent et continuent d’interroger les professionnels qui en ont la charge.

Ainsi, un dilemme revient : doit-on proposer uniquement des scénarios préétablis aux opérationnels ou doit-on procéder de façon plus ouverte et permettre à chaque participant de proposer un scénario qu’il aurait imaginé ? La première option facilite la consolidation mais pourrait empêcher de prendre en compte certains aspects de la réalité opérationnelle… La seconde semble très pédagogique mais se heurte à la difficulté de consolider des réponses disparates et provenant de publics parfois mal préparés. La plupart des entreprises optent donc pour des solutions à mi-chemin : liste de scénarios préétablis, dans lesquels on fait rentrer les exemples donnés en atelier, ajout, le cas échéant de nouveaux scénarios si le besoin s’en fait ressentir.

Surtout, la plupart des entreprises s’interrogent désormais sur les outils informatiques qu’il convient de déployer pour assurer une bonne traçabilité – et donc opposabilité – de l’exercice tout en facilitant la tâche des opérationnels qui en ont la charge. Si l’intelligence artificielle irrigue de nombreuses discussions, force est de constater qu’aujourd’hui encore la plupart des entreprises naviguent entre fichier Excel améliorés ou outils internes plus sophistiqués. Au cœur des problématiques : le besoin de workflow, d’archivage automatique des pièces et la consolidation automatisée.

La logique artisanale des premiers temps laisse désormais place à des méthodologies éprouvées, robustes et de plus en plus automatisées permettant à la cartographie de devenir un véritable outil de pilotage stratégique des politiques E&C, un levier d’anticipation plutôt qu’une contrainte bureaucratique.

Crédit photo : ilkercelik – Istockphoto.com