Lorsqu’elle s’engage dans une démarche de mise en conformité, le premier objectif d’une entreprise est de réduire son risque.
Concernant les réglementations de contrôle des exportations et les sanctions internationales, les risques auxquels une entreprise est exposée sont de plusieurs natures et interreliés. Il peut s’agir d’un risque juridique qui vise l’entreprise elle-même ainsi que son instance dirigeante, d’un risque financier à travers les sanctions administratives encourues et les frais de défense qu’elles vont engendrer ou d’une perte de productivité, d’un risque opérationnel via la suspension d’une autorisation d’exportation ou le bannissement d’un marché, ou encore un risque réputationnel, résultant de l’ensemble de ces risques, impactant l’image de l’entreprise auprès de ses clients, de ses investisseurs et de l’opinion publique, comme cela a été le cas pour plusieurs entreprises dans l’actualité récente.
Les réglementations de contrôle des exportations présentent également le risque particulier d’une déstabilisation de l’entreprise. En effet, leur assujettissement aux règlementations étrangères extraterritoriales peut exposer les entreprises à des audits particulièrement intrusifs, pouvant entrainer la divulgation d’information confidentielle, le ciblage et le débauchage de collaborateurs clé, des entrées au capital agressives ou une perte d’avantage concurrentiel.
Pourtant, malgré le fait qu’une analyse de risque préliminaire soit souvent recommandée dans les lignes directrices émises par les régulateurs, ou même dans les procédures internes de l’entreprise, notre expérience du terrain nous pousse à constater que les programmes de conformité de contrôle des exportations ne font quasiment jamais l’objet d’une analyse de risques.
Deux raisons peuvent l’expliquer. D’abord la technicité du sujet du contrôle des exportations oblige les entreprises à recruter des collaborateurs très spécialisés pour développer et conduire les programmes de conformité. Ces profils d’expert n’ont pas toujours l’expérience de gestion des risques et de contrôle interne. Ensuite, les entreprises se trouvent très souvent prises entre deux urgences : celle de la gestion des affaires quotidiennes et celle de la clôture des recommandations émises par les régulateurs ou par l’audit interne.
Pourtant l’analyse de risque est la fondation du programme de conformité, nous allons donc essayer d’en détailler les enjeux et d’en expliquer la nécessité.
Une analyse de risques est un exercice qui va consister à identifier les risques auxquels l’organisation est exposée et à les positionner sur une matrice de risques selon une évaluation de leurs probabilités et de leurs impacts potentiels afin de formaliser une cartographie des risques de l’entreprise. Cet exercice se déroule en 3 étapes principales.
L’objectif de cette étape est de dresser une liste de risques inhérents à l’entreprise.
Nous pourrons partir d’une liste de risques connus, c’est-à-dire d’événements ou d’incidents qui se sont déjà produits au sein de l’organisation, et essayer d’en imaginer de potentiels autres qui pourraient advenir en nous appuyant sur la connaissance opérationnelle des collaborateurs.
L’enjeu ici va être de définir une liste de risques qui soit à la fois exhaustive, c’est-à-dire qui couvre l’ensemble des risques auxquels l’entreprise est exposée, mais également composée de risques formulés de manière assez générique pour pouvoir être pilotés. En règle générale, pour atteindre cet équilibre, nous essaierons de maintenir une liste allant de 10 à 30 risques.
Une fois la liste de risques inhérents établie, nous allons devoir définir un référentiel à partir duquel nous allons évaluer comment l’entreprise est exposée à ces risques.
Ce référentiel est composé de deux dimensions : l’impact et pour cet impact donné, la probabilité d’occurrence du risque.
Ici aussi, l’exercice doit être mené de manière à piloter le risque de façon pragmatique :
L’idée est de définir une référence à partir de laquelle l’entreprise va se situer pour évaluer sa situation, et cette référence va dépendre de l’appétence au risque de l’organisation et de son instance dirigeante.
Evaluer l’exposition de l’entreprise vis à vis du référentiel
Une fois le référentiel défini, nous allons passer en revue la situation et le contexte de l’entreprise, ainsi que les mesures de contrôle interne déjà déployées pour prévenir les risques.
Pour chaque risque, nous essaierons d’identifier dans la situation actuelle de l‘entreprise, quelles pourraient être les causes potentielles d’occurrence et leurs impacts. Nous essaierons également d’identifier de potentiels facteurs aggravants, tels que la nature des destinations vers lesquelles l’entreprise exporte, ou les facteurs atténuants comme le fait d’être capable de démontrer une vraie bonne volonté de l’entreprise à se conformer aux réglementations de contrôle des exportations.
A partir de cette analyse nous serons capables de positionner chaque risque sur la matrice de référence et constituer ainsi la cartographie globale des risques de l’organisation. Sur cette cartographie, l’instance dirigeante pourra tracer sa propre zone d’acceptation du risque.
En fonction du positionnement des risques sur la matrice, nous allons prioriser ce qui doit être traité de manière prioritaire, et sur les risques les plus critiques, décider des actions immédiates pouvant être déployées afin de réduire l’exposition au risque de manière significative.
La cartographie permettra ensuite de définir la feuille de route de mise en conformité à partir de l’identification de 4 zones :
Dans un premier temps, l’analyse de risques va permettre de faire un diagnostic de l’exposition au risque de l’entreprise.
Comme évoqué précédemment, c’est sur la base de l’analyse de risques que seront déployées les mesures de conformité les plus urgentes et que le programme de mise en conformité sera structuré, en fonction des priorités identifiées.
L’idée est de permettre de sécuriser l’exposition au risque de manière efficace en s’inscrivant dans une logique de loi de Pareto selon laquelle 20% des actions de conformité permettront de sécuriser 80% de l’exposition au risque.
De cette manière l’entreprise optimise les ressources, humaines et matérielles, qu’elle met à disposition pour assurer la conformité de l’entreprise.
Lorsque les objectifs de mise en conformité entrent en conflit avec les objectifs d’autres fonctions, qu’ils soient commerciaux ou de performance logistique, il est complexe pour l’instance dirigeante d’arbitrer car elle manque d’une vision claire de son exposition au risque. La cartographie des risques va permettre de formaliser de manière simple et intelligible cette exposition et les impacts concrets qui pourraient résulter des décisions prises et des actions menées sur la réduction du risque de l’entreprise ou au contraire sur son aggravation.
La mise en conformité présente de réelles opportunités à moyen et long terme pour l’organisation. Cependant, le déploiement de nouvelles procédures ou de mécanismes de blocage dans les processus opérationnels peuvent générer dans le court terme un certain inconfort pour les employés. Il est souvent difficile pour l’équipe export control d’obtenir une entière adhésion au changement de la part des collaborateurs et parfois même de leur hiérarchie. La cartographie permettra ici d’être utilisée comme un outil de communication. Elle va aider à communiquer aux fonctions de l’entreprise et aux collaborateurs le « Pourquoi ? » des actions et des efforts qui leurs sont demandés leur permettant de se sentir impliqués de manière plus directe dans la protection de leur entreprise.
La cartographie des risques est une photo de la situation de l’entreprise à un instant T.
C’est elle qui va permettre à l’instance dirigeante de décider, en toute connaissance de causes, de l’étendue de sa zone d’acceptation du risque. Cette zone d’acceptation pourra varier en fonction de l’appétence au risque du management de l’entreprise ou d’un contexte de marché spécifique ;
Les actions de mise en conformité vont viser à réduire le risque net de l’entreprise. L’analyse de risque pourra donc être mise à jour et servir d’outil de suivi de l’exposition au risque de l’organisation par l’instance dirigeante.
L’avantage de l’analyse de risque dans la cadre du contrôle des exportations, est que l’exercice va également permettre de définir le périmètre d’assujettissement de l’entreprise.
L’assujettissement aux réglementations de sanctions internationales et de contrôle des exportations a cette particularité de dépendre de l’activité de l’entreprise, des biens et technologies qu’elle exporte ou encore des destinations vers lesquelles elle exporte, et non pas spécifiquement ou uniquement de sa nationalité et de sa taille. L’exercice d’analyse de risques, comme vu plus haut va consister à étudier ces différentes données. En effet, nous allons regarder entre autres quelles sont les origines des produits achetés et revendus par l’entreprise, la nature des produits qui sont fabriqués par l’entreprise, les destinations d’export, les itinéraires de transit, les nationalités des collaborateurs.
C’est donc par exemple l’occasion d’identifier les produits d’origine américaine ITAR ou EAR, d’identifier les « US Persons » gravitant dans l’écosystème de l’entreprise ou impliquées dans des transactions à risque. Identifier les clients à géographie pouvant faire l’objet d’embargo ou de restrictions particulière telle que la Chine si des produits américains sont exportés.
Pour conclure, l’analyse de risque est un élément clé dans le bon déploiement de la conformité, elle servira de fondation pour le construire et de boussole pour le piloter et pour maintenir l’entreprise dans sa zone d’acceptation du risque.
En effet la situation de l’entreprise est mouvante et son exposition au risque évolue au gré d’évènements internes, comme lors de la création d’une nouvelle activité, l’acquisition de nouvelles entités ou d’évènements externes tels que des nouveaux régimes de sanction : le régime de sanction européen envers la Russie qui a fait l’objet de 13 trains de sanctions depuis le déclenchement de la guerre en Ukraine en février 2022.
Enfin, l’analyse de risque va permettre d’intégrer le sujet du contrôle des exportations et des sanctions internationales dans les systèmes de gestion des risques de l’entreprise, de permettre son audibilité et de l’intégrer à part entière dans la gouvernance de l’entreprise.