ATOUT RISK MANAGER N°27

ATOUT RISK MANAGER N°27 I HIVER 2020 30 Dossier - L’ERM, le vaccin qui ne fait pas débat présente sur ce sujet, par l’intermédiaire notamment de son comité des risques qui se réunit 5 fois par an, sur des thèmes récurrents de risque comme sur des sujets d’actualité. Et le Conseil lui-même, au-delà de la supervision de la gestion des risques par le comité d’audit, rassemble tous ses administrateurs lors d’une réunion annuelle dédiée à un bilan des risques. Ensuite, le risque est l’affaire de tous dans l’entreprise. L’exercice de construction de la cartographie des risques embarque tous les niveaux de l’organisation grâce à un dispositif top down récurrent et des comités de gouvernance investis. Chaque direction, chaque manager du Groupe se retrouve complètement dans une méthodologie structurée et pérenne qui a su assembler les spécificités et les contraintes de notre Groupe. C’est le résultat d’une stratégie d’approche intégrée Audit/contrôle/Risque où Risk Management et Contrôle Interne sont indissociables : l’analyse fine des causes permet de mettre en place des dispositifs de maîtrise plus appropriés qui, une fois à maturité, diminuent les conséquences du risque. Rien de plus classique… mais pas si évident dans la réalité. Ce que nous apprennent les évènements en général, et la crise sanitaire en particulier, c’est que ce binôme Risk Management / Contrôle Interne est cohérent et rassurant en ce qu’il permet de coordonner plus efficacement les actions et leurs effets sur les risques. Combiné aux travaux de l’audit interne, dont les recommandations sont un moteur de l’amélioration des dispositifs, cela nous apporte, à nous dirigeants, une vision réellement globale des risques à 360°. Cette approche vise à donner une assurance intégrée à lagouvernance, unmodèleprécurseur qui tire parti de toutes les synergies entre les lignes de maîtrise, du technicien au contrôleur de gestion, du vendeur au juriste, du téléconseiller au responsable de sécurité, bien au-delà des seules fonctions Audit, Contrôle et Risque qui en sont le cœur. Je suis très fan de cette stratégie d’approche intégrée, qu’Orange a été la première entreprise au monde à faire certifier ISO 9001, et j’attache beaucoup d’importance au fait que le comité des risques suive les bons sujets. Enfin cette approche nous aide notamment à communiquer de façon cohérente sur nos risques dans l’URD et le RAI, les attentes des parties prenantes nous poussant vers toujours plus de transparence sur les enjeux de l’entreprise autour des risques. Quels ont été les apports de la cartographie des risques? Face aux attentes nombreuses envers un groupe comme le nôtre, notamment légales et réglementaires, nous avons développé notre niveau de granularité pour être en mesure par exemple de répondre aux exigences de lois comme Sapin 2 et le devoir de vigilance. Dans toutes les entités significatives, nous avons déployé un système qui consiste à regrouper un certain nombre de risques en fonction de leur nature, de leur priorité ou encore de l’actualité. Notre approche par clusters de risques (mot devenu maintenant bien connu pour d’autres raisons !) est mature. Elle nous a permis d’absorber ces lois nouvelles mais aussi d’anticiper l’ensemble des évènements sur ces dernières années, sans compromettre la capacité de synthèse indispensable à nos différentes communications. Notre cartographie de risques avait déjà beaucoup évolué dans les dernières années pour couvrir certains sujets de manière très détaillée (RGPD, Compliance, Fraude, etc.). Ces typologies spécifiques sont devenues des incontournables pour les opérationnels et une assurance pour nos instances de gouvernance que nous couvrons efficacement les risques propres à une entreprise étendue comme le groupe Orange. D’autres typologies propres à certains sujets ont aussi été développées et sont portées par les entités responsables du Groupe. La cartographie a encore évolué en 2020, sous l’effet des tendances évoquées plus haut, dont la crise fait partie. En quoi vos attentes envers le Risk Management ont-elles changé? Nos attentes se développent avec la maturité de cette fonction. Par exemple, lorsque le Risk Manager travaille avec les directeurs de projet sur les grands projets du groupe, c’est un élément supplémentaire qui concourt à l’atteinte des objectifs stratégiques. Les attentes se développent aussi parce que les sujets de risques prennent une place significative à l’ordre du jour des instances de gouvernance, dont le rôle est de suivre l’efficacité des dispositifs de gestion des risques et de contrôle interne dans l’ensemble du Groupe. Dans le domaine du risque comme ailleurs, 2020 aura contribué à accélérer des tendances préexistantes. Avez-vous défini et communiqué en interne sur votre appétence aux risques? Celui-ci a-t-il évolué depuis la crise? De la confiance des administrateurs dans notre prise de risque aux attentes et aux conseils de nos parties prenantes internes et externes, en passant par la saisie d’opportunités, le groupe Orange doit depuis toujours accepter une certaine prise de risque dans ses décisions. Face à un monde qui change et à un environnement très chahuté, nous sommes amenés à prendre