ATOUT RISK MANAGER N°20

ATOUT RISK MANAGER N°20 I PRINTEMPS 2019 35 DOSSIER éfinir ce qu’est l’entreprise étendue n’est pas une mince affaire » souligne en préambule Sonia Cabanis, Directeur Risk Advisory de Deloitte. Pourtant, la gestion des risques dans l’entreprise étendue suppose bien de dresser un inventaire exhaustif des parties prenantes internes ou externes (les concurrents, les fournisseurs, les distributeurs, les clients, le grand public…) et des acteurs comme les ONG et les tutelles. Et de garder en tête que les formes d’extension de l’entreprise sont variées : géographiques, mais aussi fonctionnelles, ou partenariales. VERS UNE RÉFLEXION ÉTENDUE La gestion des risques dans l’entreprise étendue ne doit pas non plus être vue comme une réflexion menée à sens unique. « On est aussi l’entreprise étendue de nos clients, et chez EDF c’est un sujet extrêmement sensible, qui est même réglementé » témoigne Laurent Magne, en charge de la cartographie des risques et du contrôle interne chez EDF. L’interdépendance entre acteurs est d’autant plus forte que les limites d’une entreprise sont floues et varient en fonction de la stratégie. « Les entreprises qui se focalisent sur leur cœur de métier vont davantage recourir à des tiers pour externaliser une partie de leur chaîne de valeur » rappelle Sonia Cabanis. L’entreprise étendue se meut au sein d’un écosystème fait de différents acteurs et d’influences variables. « Dans un contexte où les médias sociaux sont plus nombreux, les parties prenantes externes gagnent en influence, avec des conséquences concrètes sur l’entreprise ou sur l’évolution de la réglementation » ajoute Sonia Cabanis. L’environnement change, les risques aussi, mais les mentalités ont parfois du mal à suivre. « Nous constatons que dans un contexte où les systèmes sont de plus en plus ouverts, la culture du risque chez les collaborateurs n’est pas toujours suffisante » témoigne Laurent Magne. DES PISTES À CREUSER Dans ce contexte, il n’est pas facile de lister toutes les parties prenantes : « Identifier les fournisseurs de rang 2 et au-delà n’est pas si simple » estime Laurent Magne, qui propose comme première piste de travailler étroitement avec ses fournisseurs : les enjeux de vigilance sont alors partagés et les systèmes d’information ouverts… ce qui entraîne en soi d’autres risques. Il évoque également l’importance d’inclure les risques causés par les tiers directement dans la cartographiedes risques de l’entrepriseétendue. Quant à Sonia Cabanis, elle propose d’intégrer la notion d’écosystème au cœur de la définition d’entreprise étendue et de prendre mieux en compte les aspects de création de valeurs dans les choix stratégiques qui sont derrière les extensions. Enfin, elle préconise de bien identifier les attentes des parties prenantes, et d’évaluer en mode prévention les impacts d’une décision sur ces attentes. « L’entreprise étendue est une matière assez molle. Nous proposons des pistes, mais nous ne détenons pas la vérité. Ce n’est pas toujours simple de faire accepter à une personne qui se sent responsable d’un périmètre que ses responsabilités dépassent effectivement ce périmètre » a conclu Philippe Noirot, administrateur de l’AMRAE, Président de la commission ERM 360 et Directeur adjoint du Risk Management du groupe Orange. n Gouverner les risques dans l’entreprise étendue Plus aucun Risk Manager ne l’ignore : c’est bien au-delà des limites de l’entreprise qu’il faut aller chercher les risques. Pour autant, si le sujet des risques de l’entreprise étendue n’est pas nouveau, il n’en reste pas moins critique, comme en témoigne l’organisation d’un atelier sur ce thème, et la publication prochaine d’un ouvrage par l’AMRAE. « D « On est aussi l’entreprise étendue de nos clients, et chez EDF c’est un sujet extrêmement sensible, qui est même réglementé. » Laurent Magne, en charge de la cartographie des risques et du contrôle interne de EDF Sonia Cabanis, Directeur Risk Advisory de Deloitte Laurent Magne, Cartographie des risques et contrôle interne EDF « Ce n’est pas toujours simple de faire accepter à une personne qui se sent responsable d’un périmètre que ses responsabilités dépassent effectivement ce périmètre. » Philippe Noirot, Administrateur de l'AMRAE, Directeur adjoint du Risk Management du groupe Orange