Gestion des Riques et Outils de l’organisation Apprenante

Quelles en sont les grandes lignes et les outils pour que les RM français mettent en place le « risk management intelligent» préconisé par Power (2004, 2007, 2009, 2016) ?

Je les développe dans l’ouvrage coécrit avec Nicolas Dufour. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Je vous propose dans les articles suivants des pistes de réflexion pouvant s’appliquer à la gestion des risques. Vous pouvez lire ou relire l’article du blog « Yves Rocher et les NeuroSciences ». Archives du blog Mai 2020.

Vous pouvez lire ou relire l’article posté le 18 novembre relatif à L’Organisation Apprenante.

Je vous propose aujourd’hui un article sur la nécessité elle aussi déjà proposé par Power d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (p.66 Aubry C., Dufour N., La Fonction Risk Manager)

Emancipons les managers de la machine à reporting !

Tout change – sauf la manière de manager ?

Le monde change…  L’entreprise change… Les expressions « innovation permanente», « agilité organisationnelle» ou « adaptation à un monde globalisé » sont partout présentes. Mais si on parle volontiers des transformations des structures, de l’environnement ou des technologies, les discours sont moins clairs pour ce qui concerne l’évolution du travail des managers. Pourtant, n’est-il pas en train de changer radicalement lui aussi et même plus radicalement que tout le reste ? Car on ne pourra gérer l’entreprise de demain avec des outils supposés innovants, en s’appuyant sur la même façon de définir le rôle et le fonctionnement du management. Selon l’expression des théoriciens de l’Ecole de Palo Alto, on ferait alors « plus de la même chose » : plus de leadership, plus de contrôle, plus de performance, plus de normes ou plus de système d’information… et on compliquerait la gestion sans vraiment la transformer. Comme le notait Paul Watzlawick, le problème serait justement accru par la solution (P. Watzlawick, J. Weakland et R. Fish, Changements : paradoxes et psychothérapie, le Seuil, 1981). Or le problème aujourd’hui, c’est l’immobilisme dans la façon de manager dans un monde qui bouge. Et la solution, c’est le nouveau management qui la trouvera.

Bouleversements dans la création de valeur

Une telle situation n’est pas nouvelle. Déjà, lors des grandes crises économiques précédentes dans les années 1930 ou 1970, c’est le travail des managers qui, en se transformant, a permis la mutation des entreprises. Dans l’entre-deux-guerres, on a assisté à l’émergence du fordisme grâce à l’apparition d’un management qui savait gérer la production de masse. A partir des années 1970, sont apparues des organisations globales permises par un management à partir d’outils de gestion normalisés et, notamment, par la montée en puissance des financiers. Avec la crise des années 2010, nous sommes entrés dans une nouvelle période de transformation des entreprises due à leur définanciarisation : le contrôle systématique et la régulation centralisée des structures matricielles à partir de normes financières sont devenus beaucoup trop coûteux et trop imprécis pour être soutenables. Les systèmes de gestion informatisés représentaient 25% de l’investissement productif français à la fin des années 2000,  ce qui signifie que le quart de l’investissement ne créait pas d’autre valeur que de… contrôler la création de valeur. Les organisations doivent inventer des outils adaptées à des formes organisationnelles plus légères, plus souples.

Le travail humain, quelle que soit la fonction exercée, doit être considéré, non plus comme une ressource parmi d’autres, mais comme la clé de la création de valeur à partir de laquelle se détermine l’investissement. Parallèlement, des technologies issues du web et, bientôt de l’impression 3D obligent à reconcevoir l’organisation des chaînes de valeur d’industries entières, notamment en faveur de productions décentralisées, en très petites séries mais à forte valeur ajoutée locale. Enfin, dans un monde à la fois globalisé et fractionné, on demande à l’entreprise d’être non plus un simple producteur de biens et services, mais aussi une institution qui assure davantage de fonctions sociales et politiques qu’elle seule peut désormais fournir à la société, comme, par exemple, des services de formation voire d’éducation, de gestion des ressources, de sécurisation de l’information ou de régulation de la vie sociale, familiale et personnelle. Continuer de gérer de manière anonyme ou globale par écrans et ratios de gestion interposés, c’est un peu comme regarder la vie à la télé… Le manager doit sortir de son bureau, aller sur le terrain et organiser les activités en proximité avec les équipes. Sans quoi il risque d’apparaître rapidement aussi obsolète qu’un Minitel. Ce nouveau management nécessitera évidemment de vaincre des routines, des résistances… et aussi des impatiences.

Des managers concernés

Car je constate que ces transformations sont aussi attendues par beaucoup de managers, et à tous les niveaux hiérarchiques. D’abord parce que leur travail s’est particulièrement dégradé ces dernières années, qu’il atteint parfois une sorte de limite dans l’absurde. François-Régis Puyo, aujourd’hui chercheur à Audencia, a montré dans sa thèse que plus du tiers du temps de travail d’un cadre consiste à remplir ou discuter des reportings. Or, seules 10% des informations transmises sont utilisées. La crise du sens frappe, sans doute plus que les autres salariés, les managers qui sont à la fois les acteurs et les victimes d’un vaste système de contrôle aussi coûteux que vain. Si on parle de « souffrance au travail », il ne faut pas négliger qu’elle concerne nombre de gestionnaires, y compris au plus haut niveau, qui ont l’impression de travailler dans une absence grandissante d’intérêt pour ce qu’ils font. Pas étonnant que l’on constate une aspiration à s’émanciper de la machine à reporting, pour retrouver la valeur du travail d’encadrement, le développement des compétences et l’encouragement des hommes qui est, pour beaucoup, au cœur de leur vocation de manager.

Ensuite, l’Histoire avance et les entreprises les plus performantes se transforment déjà. Elles remettent en question la lourdeur des matrices organisationnelles et des systèmes de contrôle devenus aveugles à la « vraie vie » des entreprises. Elles introduisent davantage de décentralisation, de souplesse hiérarchique, et de subsidiarité dans leur fonctionnement. PME dynamiques ou grandes entreprises globales, ces entreprises, prennent au sérieux la création de valeur à partir du travail réel de leurs salariés et parfois d’autres parties prenantes comme les clients. Elles innovent vraiment en définissant le management comme un service au plus près de ce travail. En régénérant leur modèle, elles deviennent redoutablement performantes.

par Pierre-Yves Gomez

Economiste, docteur en gestion, directeur de l’Institut français de gouvernement des entreprises à l’EM Lyon. Il a été professeur et chercheur invité à la London Business School. Spécialiste des questions de gouvernance, il  a été à l’origine du code gouvernance des entreprises françaises cotées et directeur de la Société française de management.


Pour une approche globale technique et socio-cognitive de la demarche de gestion des risques. les outils de l’organisation Apprenante

Dans l’article de recherche sur lequel je travaille actuellement j’écris :

« Préférer une logique de soutien à la logique de contrôle qui prévaut à la mise en place de la gestion des risques transformerait la Fonction Risk Manager en instrument de légitimité cognitive. L’accès des RM au terrain serait facilité ; les obstacles associés à la logique de contrôle (manque de communication interne en direction des opérationnels, méfiance vis-à-vis des opérationnels, manque de motivation, de disponibilité et inertie des opérationnels, poids de la sanction venant de la direction) seraient allégés. Cette première dynamique passe par la mise en place d’une approche globale technique et socio-cognitive (Chautru, 2008 ; Aubry et Montalan, 2007). »

Cette idée m’est chère. Elle ressort des entretiens que j’ai pu mener avec des RM. Elle rejoint la mise en place du « risk management intelligent» préconisés par Power (2004, 2007, 2009, 2016) pour que le CRO passe d’un profil de contrôleur à celui de « champion du risque », trajectoire qui constitue un bon indicateur pour la FRM française[1]

Je les développe dans l’ouvrage coécrit avec Nicolas Dufour. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Quelles en sont les grandes lignes et les outils ?

  • Orientation de la démarche vers les acteurs de l’entreprise et participation des opérationnels à l’analyse des risques (à l’élaboration des cartographies) via une implication active, l’adoption d’un mode de gestion top-down, le développement d’une communication et d’une information sur les risques.
  • Déploiement d’outils de gestion des connaissances, tels que l’apprentissage, l’analyse rétrospective d’accidents et d’erreurs, le retour d’expérience.
  • Traitement de la question de la sanction.
  • Un prochain travail de recherche proposera un cadre théorique d’analyse de cette approche technique et socio-cognitive et de ses outils, nous permettant d’interroger les RM sur les outils qu’ils ont mis en place ou pourraient mettre en place.

En attendant je vais vous proposer dans les semaines à venir quelques lectures en lien avec cette problématique.

  • Vous pouvez relire l’article du blog « Yves Rocher et les NeuroSciences ». Archives du blog Mai 2020
  • Vous pouvez lire ci-dessous un article relatif à L’Organisation Apprenante. Il propose des pistes de réflexion pouvant s’appliquer à la gestion des risques.

Comment devenir une organisation apprenante

Le 08/07/2020

C’est bénéfique pour le collaborateur et pour l’entreprise.

Dans un monde où le rythme des changements et l’obsolescence des compétences s’accélèrent, où la révolution technologique fait émerger des enjeux inédits de « upskilling-reskilling », où l’évolution des marchés – et des évènements comme la crise sanitaire – imposent une adaptation permanente, progresser en tant que « learning company » est plus que jamais un avantage distinctif. A partir de pratiques recueillies auprès de plus de 50 grands groupes et startups à forte croissance, ainsi que de travaux de recherche, voici un cadre de réflexion et d’action pour ancrer des dynamiques apprenantes dans sept moments clés de l’expérience collaborateur.

1- Intégration

C’est une étape décisive pour accroître la rétention des salariés, en impulsant un rythme d’apprentissage sur plusieurs mois (débutant même avant le premier jour). L’objectif est de :

– faciliter une appropriation de la vision et du métier : « welcome pack » apprenant (livres ou objets suscitant une réflexion en lien avec les valeurs de l’entreprise, par exemple) ou atelier pour s’entraîner à présenter en quelques mots son entreprise. C’est le cas dans la startup ContentSquare, où chaque salarié reçoit une certification liée à l’utilisation de la solution de l’entreprise, à l’issue de ses deux jours d’onboarding.

– susciter, dès le début, une culture du partage et du mentoring, grâce à un accompagnement par un ou plusieurs parrains/marraines, comme chez Buffer (spécialisé dans la publication et l’analyse des campagnes sur les réseaux sociaux), qui abordent avec les nouveaux venus des sujets tels que la culture d’entreprise, l’expertise métier et le management.

– inciter à réfléchir sur soi et son développement professionnel, en intégrant un test de personnalité, un « livret de développement » ou encore des questions réflexives sur sa capacité à apprendre, à partager et à grandir dans l’organisation, comme le fait dès l’entretien de recrutement l’organisme de formation Numa.

2- Les formations internes

Au-delà des programmes formels et des ressources digitales mises à disposition, il est important de créer les conditions pour autoriser, voire sanctuariser, des « espaces-temps » d’apprentissage. Pour cela, il faut instaurer des :

– rituels courts et périodiques, du type « breakfast/lunch & learn », y compris virtuels : des moments d’inspiration avec des intervenants internes ou externes qui partagent leurs « bonnes » pratiques, ou encore des « ateliers philosophiques » sur des thèmes comme l’intelligence collective, comme chez L’Oréal, à destination de la communauté RH ;

– « learning days », organisés dans différents pays et ouverts à tous, combinant des moments d’inspiration en lien avec la stratégie business ou RH, des formations souvent animées en interne, des échanges entre les participants, le tout autour d’une thématique spécifique – comme « we love learning » chez Natixis ;

– événements combinant apprentissage et intelligence collective, comme un hackathon biannuel où les collaborateurs sont invités à imaginer, en équipes pluridisciplinaires et internationales, des réponses à des problématiques business ou sociétales, comme le fait la licorne irlandaise Stripe, la nouvelle plateforme de paiements en ligne.

3- L’auto-apprentissage

L’enjeu est aussi de créer les conditions de responsabilisation des collaborateurs dans leur développement, en écho avec la notion de « maîtrise personnelle », proposée par Peter Senge (directeur du « Center for Organizational Learning », au MIT, et auteur du livre de référence sur l’organisation apprenante « The Fifth Discipline »), pour engager les salariés dans une dynamique permanente d’auto-apprentissage. Cela nécessite en particulier de :

– favoriser la connaissance de soi par des outils et des exercices d’introspection, et proposer des formations pour « apprendre à apprendre » ;

– diffuser régulièrement des offres de formation qui soient personnalisées, en fonction du profil et des intérêts de chacun, en utilisant comme le fait Google des « people analytics » ;

– offrir des « journées de développement », sous forme de « menu » (participation à des conférences ou à des salons, mécénat de compétences), ou encore des « cool days », comme le propose une fois par mois à ses collaborateurs la startup Comet.

– multiplier les approches d’accompagnement individuel : « coaching bar » le vendredi matin, « speed-coaching » avec des coachs externes disponibles par visioconférence, ou encore mise à disposition de coachs internes, comme chez le nouvel assureur santé Alan.

4- L’apprentissage social

L’apprentissage est social par nature : chacun peut être apprenant et formateur auprès de pairs, et cette forme d’apprentissage contribue, deux fois plus que la formation traditionnelle en salle, à l’acquisition de nouvelles compétences et expertises. Comment l’encourager encore davantage ? Il faut pour cela :

– déployer des dispositifs de formation de « peer to peer » et de mentoring à grande échelle pour accélérer le partage de compétences métiers et/ou comportementales entre pairs, comme le fait Air France sur sa communauté de managers ; ou mettre en place des réseaux d’échanges métiers permettant de trouver rapidement la solution à un problème rencontré, comme chez Generali ;

– mettre en place des groupes de co-développement, en présentiel ou à distance, internalisés mais aussi inter-entreprises sur des thématiques ou populations ciblées du type business developers ou responsables marketing, comme le fait la startup iAdvize.

– susciter le partage post formation, comme le propose le « Gandalf Scholarship » de DBSBank, grâce auquel tout collaborateur peut recevoir 1000 dollars pour une formation professionnelle de son choix, à condition de partager ses enseignements à minimum dix personnes.

5- Les modes de travail

Selon une étude récente de France Stratégie (« Les organisations du travail apprenantes : enjeux et défis pour la France », avril 2020), les organisations du travail qui sont réellement apprenantes, notamment en milieu industriel, se caractérisent par trois critères : l’autonomie des collaborateurs, la polyvalence et la résolution de problèmes en équipes. Les départements formation peuvent équiper les managers et leurs équipes pour favoriser de telles pratiques, en mettant en place notamment :

– des rituels d’apprentissages en équipe : temps d’inclusion au début des réunions (comme la « météo personnelle », particulièrement utile en situation de crise), valorisation des efforts (« qu’est-ce qui vous a rendu fiers ce mois-ci ? »), points réguliers sur le fonctionnement d’équipe (présence, place aux questions et émotions,…), sans oublier les « retours d’experience » pour apprendre des succès et des échecs, comme le rituel « Fail, learn, succeed » de Blablacar ;

– des modes de travail propices à l’intelligence collective et à l’innovation, des outils de collaboration, des environnements propices tels que les « creativity rooms », dédiées à l’innovation, ou les murs en « velleda » pour les brainstormings et le management visuel, comme le fait Qonto, la néobanque des entreprises et des indépendants.

6- Le rôle du management

Le rôle du manager d’équipe est clé en matière d’apprentissage individuel et collectif. A condition que ce rôle soit clair, et soutenu par des formations et des outils pour :

– accompagner le développement des collaborateurs : se mettre dans la posture de « manager coach », développée notamment chez Criteo, et intégrer des « boucles d’apprentissage » dans les points réguliers avec les équipes en utilisant, par exemple, la règle du « 5/0/5 » (de Charles Jennings, co-fondateur du « 70 :20 :10 Institute ») : prendre cinq minutes avant une formation d’un collaborateur pour échanger sur son besoin, zéro minute pendant sa formation, et à nouveau cinq minutes après pour décider de la mise en oeuvre des apprentissages reçus ;

– aider à se projeter sur le moyen terme : « conversations de développement », comme chez Danone, pour amener chaque collaborateur à révéler ses talents – avec un guide introspectif -, réfléchir à son projet professionnel et bâtir un plan de développement ;

– instaurer des « moments d’apprentissage » réguliers : au sein d’une équipe (tous les trimestres, par exemple, chez Leroy Merlin), afin d’apprendre ensemble sur une nouvelle thématique ou de réaliser un partage d’expérience ; ou plus largement, des rituels d’entreprise, comme « DEAL – Drop Everything And Learn » chez le spécialiste de la formation en ligne Udemy.

 7- La mobilité interne et externe

L’évolution de carrière et l’expérience opérationnelle sont parmi les plus importantes sources d’apprentissage. Comment multiplier les occasions ? Grâce notamment à :

– des programmes d’immersion en externe (startups, associations…) ou en interne, comme « l’Open Talent Market » mis en place par Schneider Electric, qui vise à créer des liens entre les souhaits de développement des collaborateurs et les opportunités de vivre une nouvelle expérience, au sein de l’entreprise : missions à temps partiel ou à temps complet, contribution à un projet, rôle de formateur ;

– des entretiens approfondis lors des départs, afin de clôturer positivement la collaboration et améliorer, grâce aux feedbacks, l’expérience collaborateur – et ainsi la marque employeur – comme chez ManoMano, le leader du bricolage en ligne, où tous les départs sont célébrés ;

– l’animation d’un réseau d’anciens, permettant aux alumni de continuer à se développer en s’appuyant sur cette communauté, et à l’entreprise de bénéficier d’un réseau d’ambassadeurs, voire de formateurs expérimentés, à l’image de McKinsey qui fédère un réseau de 34 000 alumni à travers le monde.

Si la question « pourquoi devenir une organisation apprenante ? » est du ressort de chaque entreprise, celle du « comment » fait appel à plusieurs dimensions, qui sont, elles récurrentes : la vision (source de motivation intrinsèque pour les individus et les équipes), la culture (pour instaurer un « growth mindset »), les politiques de formation bien sûr, et enfin l’organisation et le management, une dimension bien souvent trop peu exploitée et pourtant clé dans les dynamiques d’apprentissage.

Par Thierry BonettoMorgan Baivier de Fortis


[1] La fonction est ancienne et les acteurs sont déjà structurés ; créée par General Electric en 1993, elle est présente dans la majorité des grandes entreprises (dans tous les secteurs) ; elle est promue par trois associations professionnelles (International Federation of Risk and Insurance Management Association (IFRIMA), Public Risk Management Association (PRIMA), Risk and Insurance Management Society (RIMS)) qui assurent sa diffusion en déployant leurs actions dans trente pays, proposant des formations qualifiantes et assurant des certifications de compétences identifiées et reconnues par les entreprises. Elle fait l’objet d’une littérature abondante.

Risques de corruption. Dispositifs anti-corruption : des progrès à faire

Dans les archives mensuelles (situées tout en bas à gauche de la page) ou en recherchant « Risque de corruption » retrouver et relire :

  1. Loi Sapin : rôle du régulateur-législateur et résumé de la loi / article « Trois ans après, où en sont les entreprises ? » ; Archives octobre 2020
  2. Cartographies de risques de corruption ; Archives juillet 2020

Aujourd’hui après la présentation de la loi, le bilan à N+3 et la présentation de l’outil de gestion des risques, je vous propose un article sur les progrès dans la mise en place des plans d’actions anti-corruption.

Dispositifs anti-corruption : des progrès à faire

Grant Thornton a publié début octobre la 3e édition de son baromètre sur les dispositifs anti-corruption des entreprises. Axé cette année sur la maturité, il constate des progrès dans tous les domaines mais pointe également de nombreux retards.

Près de 4 ans après l’instauration de la loi Sapin 2, où en sont les entreprises en termes de dispositifs anti-corruption ? C’est la question à laquelle le Baromètre de Grant Thornton consacré au sujet essaie de répondre, pour la troisième année consécutive. « Le constat général est qu’il y a des progrès dans tous les domaines même si c’est parfois un peu poussif », résume Nicolas Guillaume, Business Risk Services & Forensic Lead Associé chez Grant Thornton qui a supervisé la réalisation de ce baromètre. Il reconnaît cependant que le baromètre Grant Thornton est exigeant puisque pour être jugé conforme en termes de dispositif anti-corruption, il faut être conforme à tout.

Difficile évaluation des tiers

Et force est de constater que peu d’entreprises sont en conformité : 90% des entreprises sont  » non conformes « . Ce chiffre est certes un mieux par rapport à 2019 (seules 6% des entreprises étaient alors conformes) mais il y a encore de nets progrès à faire, notamment dans le domaine de l’évaluation des tiers : seules 19% d’entités sont conformes. « C’est opérationnellement très lourd de passer au peigne fin toute sa chaîne, d’autant plus quand le business est très éclaté, avec beaucoup de transactions », analyse Nicolas Guillaume.

Deux autres thèmes progressent doucement : le dispositif de suivi (44% d’entités conformes) et les contrôles comptables (46%). « Sur les contrôles comptables, les entreprises rencontrent des difficultés à identifier quels sont les points spécifiques à relever et comment s’organiser pour le faire. Quant au dispositif de suivi, ce n’est pas étonnant qu’il ne soit pas avancé : il faut d’abord progresser sur les autres sujets », explique Nicolas Guillaume.

Doublement de la maturité sur la cartographie des risques

Le Baromètre note par contre de gros progrès en matière de cartographie des risques : nous avons presque constaté un doublement de la maturité, les entreprises conformes étant passées de 40% en 2018 à 71% aujourd’hui », rapporte

L’associé Grant Thornton souligne également que si la proportion d’entités totalement conformes évolue lentement (10% contre 6 % précédemment), le taux de conformité moyen progresse quant à lui fortement, passant de de 57 % à 79 %.

Prévention des risques

Les progrès sont là mais les entreprises doivent mieux faire, ne serait-ce que pour éviter de se faire rattraper par le régulateur sur les questions d’anti-corruption. « Il y a également un aspect de responsabilité sociétale : les entreprises ont tout intérêt à utiliser leurs ressources dans d’autres sujets qu’en faveur d’intermédiaires véreux », souligne Nicolas Guillaume. Il insiste aussi sur la notion de risque : « Un dispositif efficace peut permettre d’éviter de se faire piéger par des gens peu scrupuleux et de protéger son activité ».

C’est pourquoi la cartographie des risques est si importante : cela permet de prendre conscience de la nécessité d’agir sur certains sujets dans l’intérêt de son entreprise. « Les entreprises débutent leurs travaux pour des raisons réglementaires mais quand les dirigeants se rendent compte en avançant que des collaborateurs se sont retrouvés dans des situations compliquées le sujet devient moins technocratique et les intéresse davantage », observe Nicolas Guillaume.

L’associé Grant Thornton rapporte par ailleurs que le panel du Baromètre est constitué d’entités non soumises aux exigences de la loi Sapin 2 mais qui ont décidé volontairement d’engager les démarches pour satisfaire aux exigences. « Ces entités évoluant majoritairement à l’international et ayant des clients soumis à Sapin 2 ont perçu l’enjeu commercial de se positionner comme un partenaire compliant« , pense Nicolas Guillaume.

Identifier les enjeux

Nicolas Guillaume reconnaît cependant la complexité de certains sujets de la loi Sapin 2. « L’Agence française anticorruption (AFA) est en train de mettre à jour certaines de ses recommandations : elles seront plus explicites pour les entreprises », indique Nicolas Guillaume. Il entrevoit un autre problème à la mise en place des dispositifs anti-corruption dans les entreprises : le manque de temps et de ressources. « Dans la période actuelle, les entreprises ont de plus d’autres préoccupations ».

Il conseille de débuter par une cartographie des risques établie avec sérieux afin d’identifier les sujets à enjeux pour l’entreprise. « Cela permet de ne pas adopter une approche monolythique : il s’agit non pas de faire tous les tiers ni tous les contrôles comptables à la fois mais de se concentrer sur les vraies zones d’enjeux », recommande-t-il.

Nicolas Guillaume insiste aussi sur la culture d’entreprise: « Les procédures sont importantes mais ce qui compte c’est la façon dont se comportent les collaborateurs face à une situation compliquée : il s’agit d’éduquer les gens, de leur faire prendre conscience de ces problématiques afin qu’ils acquièrent les bons réflexes ». Les dispositifs anti-corruption comprennent donc un volet management et formation.

Eve Mennesson. 2 nov. 2020 

Cloture du CYBERMOIS : L’apprentissage par le jeu comme outil de sensibilisation des equipes à la Cybersecurité

La mise en place par certains Risk Managers d’outils hors contrôle tels que le retours d’expérience, les réunions, la responsabilité des opérationnels, l’appropriation des outils permettraient aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable ; elle est le « graal » de la légitimité.) Nous évoquons ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96).

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

L’apprentissage par le jeu fait notamment son apparition pour sensibiliser les équipes à l’enjeu de la cybersécurité.

Je vous propose ci-dessous pour clôturer le Cybermois :

  1. Un jeu proposé par l’ANSII pour vous tester
  2. Un article sur l’apprentissage de la cybersécurité par les serious games

Pour clôturer le Cybermois, l’ANSSI propose cet apprentissage par le jeu.

ILLUSTRATION

C’est à vous de jouer !
Pour la dernière semaine du #Cybermois, Léa, alias Dark Sissi, cherche de nouvelles victimes sur #Internet … Qui va-t-elle cibler aujourd’hui ? #cybersécurité #rançongiciel
Et vous, que feriez-vous ?
➡️ https://lnkd.in/dDh_eNr

Et vous, que feriez-vous ?

cybermois.fr • Lecture de 1 min

Pour clôture le Cybermois, je vous propose de découvrir l’univers des serious games :

Sensibilisation à la cybersécurité : les serious game tirent leur épingle du jeu

Vous souhaitez familiariser vos collaborateurs aux enjeux de cybersécurité de votre entreprise ? En les sensibilisant par le jeu plutôt que par des sessions de formation classiques, il devient possible de susciter leur intérêt et d’améliorer leur apprentissage. Bonnes pratiques.

Pour sensibiliser leurs équipes à ces épineuses questions, les entreprises recourent traditionnellement à des sessions de formation. Le décor : une salle de réunion peuplée de collaborateurs plus ou moins attentifs. Sur scène : un formateur faisant défiler les slides d’une présentation avec le rythme d’un métronome. Ce format comporte de nombreuses limites, notamment celle de devoir assimiler un très grand volume d’informations en un temps restreint. La session présentielle étant peu interactive, les participants se sentent moins impliqués, ce qui influe sur la quantité d’informations retenues

e-Learning, la panacée ?

Avec la démocratisation du e-learning dans les années 2000, les entreprises ont pu affiner leur stratégie de formation, avec la possibilité d’inclure des cas pratiques concrets, et proposer ces modules à un grand nombre de salariés, permettant à chacun de se former au moment qui l’arrange. Cependant, l’e-learning à lui seul reste insuffisant. Rapidement lassés par un format redondant, les apprenants finissent par faire défiler les modules de manière automatique, sans assimiler les contenus. Tout miser sur l’e-learning serait donc une erreur.

Pour impliquer les collaborateurs, les méthodes d’apprentissage les plus ludiques tirent aujourd’hui leur épingle du jeu. Celles-ci permettent de mémoriser des informations sans s’en rendre compte. Il est ainsi conseillé de miser sur une approche plus informelle, en imaginant des campagnes de sensibilisation marquantes, fondées sur le jeu, renforçant la cohésion d’équipe.

Pour marquer les esprits, le mieux est de simuler par le jeu les conséquences d’une attaque informatique. Il peut s’agir par exemple de démonstrations de piratage d’outils bureautiques, via de fausses campagnes de phishing ou des prises de contrôle de PC à distance. Pour un public évoluant au sein d’environnements industriels, le piratage de maquettes SCADA est aussi très visuel et montre très bien l’impact d’une cyberattaque sur une chaîne de production.

Questions pour un cyber-champion

Parce que le sel du jeu, c’est la compétition, organiser un challenge entre les collaborateurs au cours d’une session de formation permet de dynamiser l’apprentissage et de faciliter l’appropriation des messages-clés. Plusieurs formats peuvent inspirer les entreprises. Ainsi, le code de la cybersécurité reproduit les sessions du code de la route, en mettant à disposition des participants une télécommande pour répondre à une question parmi quatre propositions. Ces séances sont l’occasion d’aborder les bonnes pratiques du quotidien comme le verrouillage des sessions, la politique de mots de passe ou les bons réflexes en cas d’impression d’un document.

Les collaborateurs peuvent également s’affronter autour de Questions pour un cyber-champion : 200 questions traitent des bases de la cybersécurité, des simples bonnes pratiques pour protéger ses données personnelles, en passant par des thèmes plus difficiles abordant les protocoles sécurisés, les attaques informatiques, ou les équipements de sécurité, etc.

Jeu de cartes, escape game : les vertus de l’apprentissage en équipe

L’apprentissage collaboratif compte parmi les solutions les plus efficaces. La discussion permet en effet de reformuler les notions, facilitant ainsi leur appropriation. Ce travail d’équipe va également participer au renforcement des liens entre les salariés. Orange Cyberdefense a par exemple conçu un jeu de cartes pour découvrir les menaces liées à la navigation sur Internet. Chaque joueur doit déjouer les attaques informatiques de ses adversaires en mettant en œuvre les bonnes pratiques de sécurité.

Pour aller plus loin, un escape game au cours duquel les participants se mettent dans la peau d’un espion offre une expérience encore plus réaliste. Par équipe de cinq, ils doivent voler une formule secrète en moins d’une heure, en tirant parti des mauvaises pratiques de sécurité (mots de passe, mauvaise manipulation de documents, etc.).

Ces vecteurs de sensibilisation ludiques et innovants viennent ainsi compléter les approches plus traditionnelles utilisées en entreprise. Ce type de démarche suscite un intérêt particulier auprès des équipes qui enrichissent leur culture en cybersécurité et adoptent des comportements plus vertueux.

Notes : *Intermedia, 2017, Data Vulnerability Report

The European Cybersecurity Month 2020

Au programme : en savoir plus / une menace croissante / où chercher l’information ? / quels métiers ? / un exemple de cyberrésilience.

Ce mois d’octobre marque le 8e mois européen de la cybersécurité de l’Union européenne.

Pour en savoir plus sur la campagne et s’impliquer dès aujourd’hui. https://europa.eu/!Xr98gU

Une menace informatique croissante et en mutation.

Entre septembre et mi-octobre 2020 : un quartier de Londres victime d’une cyberattaque d’envergure, la ville de Besançon, Edenred, ORPEA, Groupe CMA CGM, Bridgestone Norvège, Le Ritz, Garmin. 

Il est nécessaire d’identifier le risque, de l’évaluer et de mettre en place des PCA si ceux-ci sont nécessaires.

Quelles ressources ?

Guide « Organiser un exercice de gestion de crise cyber » réalisé par l’ Agence nationale de la sécurité des systèmes d’information (ANSII) en collaboration avec le Club de la Continuite d’Activite (CCA). L’amélioration de la résilience numérique par l’entraînement à la gestion de crise cyber n’est plus seulement une opportunité, mais bien une nécessité pour toutes les organisations.
Ce nouveau guide vise à accompagner, pas à pas, les organisations dans la mise en place d’un exercice de gestion de crise d’origine cyber vraisemblable et formateur, pour les joueurs comme pour les organisateurs ;

https://lnkd.in/dfs2pQf

Revue annuelle de l’ANSII, Edition 2020, disponible sur le site de l’organisation;

Guide ANSII-AMRAE « Maîtrise du Risque Numérique », disponible sur les sites des deux organisations ;

« Anti Fraud Playbook » publié par the Association of Certificated Fraud Examiners

A venir :

Conférence « Du cyber risque à la cyber résilience : quels enjeux pour la direction juridique ? » animée par Philippe Cotelle, lors du Sommet du Droit en Entreprise 2020.
📌 Mercredi 25 Novembre 2020 à partir de 14h15
📌 Pavillon d’Armenonville, allée de Longchamp, Paris 75116
📌  Rendez-vous sur le site web : 

https://lnkd.in/dZ4kuf9

Quels sont les métiers de la cybersécurité ?

L’ANSII vient de publier le panorama des métiers de la cybersécurité. A retrouver sur https://graces.community

Parce que la gestion des risques ça marche : un exemple de cyberrésilience.

ORPEA a résisté à une cyberattaque

Orpea a révélé avoir détecté dans la nuit du 17 septembre l’intrusion d’un logiciel malveillant sur certains de ses serveurs. Les équipes de sécurité informatique ont pris les mesures immédiates pour sécuriser les systèmes, isoler les serveurs concernés (moins de 1% de la totalité des serveurs) et fermer temporairement l’ensemble du réseau, empêchant ainsi la propagation du logiciel. Cette interruption volontaire a provoqué des perturbations sur les systèmes informatiques mais n’affecte en rien la continuité des soins et la vie sociale au sein des établissements du groupe.

Après l’analyse d’experts reconnus en cyber sécurité et grâce à la réactivité et au bon fonctionnement des systèmes de sécurité, l’ensemble des sauvegardes sont intactes et aucune donnée n’a été détruite ou transférée.

L’infrastructure informatique du groupe, ses logiciels et applications et l’ensemble des données sont sains et n’ont subi aucun dommage.

Les équipes IT et des experts externes en cyber sécurité travaillent activement pour relancer progressivement l’ensemble des serveurs et des applications.

La direction générale a souhaité que ce processus se déroule étape par étape avec une extrême vigilance, et avec toutes les précautions nécessaires. Le bon fonctionnement, tant des établissements que des services administratifs, est assuré.

Orpea a informé les autorités compétentes de cet acte de malveillance.

Le régulateur/législateur, amplificateur de risques. Dispositifs anticorruption : 3 ans après la loi Sapin II où en sont les entreprises ?

Amplificateur de Risques

Comme le suggère le concept d’amplification sociale du risque, des facteurs sociaux, institutionnels et psychologiques influencent les perceptions du risque et les comportements à travers un réseau de canaux de communication qui les structurent et les transmettent socialement (Kaperson et al, 1988) ; les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias (Pidgeon et al, 2003).

Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. L’analyse de la période 2008-2018 conduit à constater un renforcement institutionnel de l’obligation de prudence et de vérification. Sur fond de scandales et de crise, les interventions du régulateur-législateur amènent les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009 de l’AMF ; loi Sapin II du 9 décembre 2016…

La loi Sapin II vise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions -.

Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II ainsi que les réglementations en vigueur et la soft-law (principe de précaution) dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

En février 2020, un peu plus de trois ans après, l’Autorité Française de Anticorruption lançait une enquête sur le niveau de maturité des dispositions anticorruption en entreprise.

L’article ci-dessous présente les principaux résultats de cette enquête, un lien pour y accéder, un article à lire ou relire sur la cartographie des risques de corruption posté sur le blog en juillet 2020

Dispositifs anticorruption : 3 ans après la loi Sapin II où en sont les entreprises ?

Un questionnaire destiné à toutes les entreprises a été transmis aux fédérations professionnelles pour diffusion à leurs adhérents.

Soit près de 2000 entreprises touchées et une collecte de données actualisées sur l’état de la prévention de la corruption dans le secteur privé

L’AFA publie ses résultats dans un rapport d’analyse. Il apporte un éclairage sur la connaissance des entreprises en matière d’atteintes à la probité et identifie différents dispositifs mis en place et axes de progrès:

– 70 % ont un dispositif de prévention perfectible pour la cartographie des risques, l’évaluation de tiers ou le positionnement du responsable de la fonction conformité.  

– focus sur les PME/ ETI non-assujetties à a loi Sapin2 (art.17), quant à leur appropriation des dispositifs anticorruption

– lien avec le plan national pluriannuel de lutte contre la corruption…

Ce diagnostic national permettra à l’AFA d’adapter davantage ses recommandations.

Lien vers le rapport d’analyse :
https://lnkd.in/efX85yY

A relire : le très bon article de Stéphanie Dominguez et Stella Vitchénian « Etablir la cartographie des risques de corruption : un défi en pratique » posté sur ce blog en juillet 2020.

A retrouver dans les archives juillet 2020 (tout en bas du menu déroulant à gauche).

Les affaires et la règlementation. Enron…Wirecard.

Pourquoi le risque devient-t-il une variable centrale de la réflexion organisationnelle ?

Il le devient sous l’effet de cinq facteurs.

L’un de ces facteurs est l’actualité du risque et les affaires.

« Les scandales en série (Maxwell, 1991 ; Enron, 2001 ; Vivendi, 2002 ; Nike, 1990-2000) posent l’exigence de conditions nouvelles d’auditabilité du risque et de transparence. L’objectif est d’accroître la transparence et la fiabilité de l’information comptable et financière des entreprises. » En p.10 de l’ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement », nous présentons de manière détaillée l’affaire Enron (2001).

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Les réglementations qui ont suivi ces affaires (Turnbull Report…loi Sarbanes Oxley…) ont posé l’exigence de nouvelles conditions d’auditabilité du risque et de transparence.

Il y en a eu beaucoup d’autres affaires depuis…Wirecard est clairement l’un d’elles.

Le premier article ci-dessous présente les détails de ce que l’on peut appeler l’affaire Wirecard.

Le second présente les similitudes entre les affaires Enron et Wirecard.

Le régulateur et le cabinet d’audit au coeur de la tempête Wirecard

Comment une entreprise cotée en Bourse, valorisée à plus de 20 milliards d’euros, a-t-elle pu s’écrouler en deux semaines? Après l’arrestation de son patron, le scandale Wirecard place le gendarme financier allemand et le cabinet d’audit EY sur le banc des accusés.

Au lendemain de la demande de mise en liquidation de la fintech Wirecard, les interrogations pullulent quant à ce qui est déjà considéré comme un « scandale sans équivalent dans le monde de la finance », selon les termes du gouvernement allemand. Après avoir reporté la publication de ses résultats à quatre reprises, Wirecard a été contrainte d’admettre que quasiment deux milliards d’euros avaient tout simplement disparu, voire jamais existés. On soupçonne son désormais ex-patron, Markus Braun, d’avoir réalisé de fausses transactions avec des tiers afin de gonfler le bilan de l’entreprise dans le but de la rendre plus attractive pour les investisseurs.

« Comment une fraude aussi audacieuse n’est pas devenue apparente Wirecard est non seulement une société cotée en Bourse à Francfort, mais elle fait de plus partie du Dax, l’indice boursier allemand de référence et la vitrine de l’économie germanique. « Comment une fraude aussi audacieuse n’est pas devenue apparente plus tôt, devra faire l’objet d’une enquête », a estimé jeudi Olav Gutting, chef de groupe CDU/CSU au Bundestag. »La BaFin (l’autorité fédérale allemande de supervision financière, NDLR) devra également répondre à des questions. »

La BaFin ne pourra échapper à une sérieuse remise en question de ses méthodes de travail. Dans une lettre envoyée jeudi soir à Steven Maijoor, le président de l’Autorité européenne de supervision des marchés financiers (ESMA), la Commission européenne demande qu’une « analyse préliminaire » soit conclue « au plus tard le 15 juillet » quant au rôle de la BaFin dans cette débâcle.

Selon les résultats de cette enquête préliminaire, il pourrait y avoir une investigation complète conduisant à la remise d’un rapport par l’ESMA. Ce rapport énumérerait les lacunes de la supervision et donnerait des instructions au gendarme allemand de la finance pour introduire des réformes dans ses méthodes de travail.

Signaux d’alarme ignorés

Si le régulateur doit affronter le courroux du monde politique, c’est parce qu’il a été informé à plusieurs reprises d’irrégularités dans les comptes de Wirecard et de pratiques douteuses dans son chef. En 2015, déjà, le Financial Times (FT) publie une enquête intitulée « House of Wirecard » dans laquelle le quotidien suggère qu’il existe un trou de 250 millions d’euros dans la comptabilité de la fintech.

Un an plus tard, plusieurs vendeurs à découvert publient une enquête sous le pseudonyme de Zatarra dans laquelle ils accusent Wirecard de procéder à du blanchiment d’argent pour le compte de sites de poker américains. Informée des faits, la BaFin ouvre une enquête pour découvrir qui se cache derrière Zatarra, estimant que ses auteurs tentent de manipuler le marché. 

En janvier 2019, le Financial Times reprend ses investigations sur la fintech. Il découvre que son responsable pour la région Asie-Pacifique a fait usage de faux, blanchi de l’argent et falsifié des comptes. Quand la police de Singapour, où est basé le QG asiatique de Wirecard, perquisitionne les bureaux de l’entreprise, la BaFin réagit en empêchant les ventes à découvert sur l’action Wirecard, soulignant « son importance pour l’économie » et ouvre une enquête contre le FT, qu’elle soupçonne également de manipulation de marché.

Mea culpa

En réponse à une question parlementaire, le ministre allemand des Finances Olaf Scholz a indiqué que la BaFin avait mis plus d’un an pour se pencher sur les manipulations de marché dont était soupçonné Wirecard après le signalement d’un donneur d’alertes.

Le régulateur avait donc été avisé des faits, mais a préféré soit fermer les yeux, soit attaquer ceux qui avaient eu l’outrecuidance de dénoncer les actes frauduleux. Face à un tel constat, plusieurs députés ont demandé la démission du patron de la BaFin, Felix Hufeld.

Après quelques tergiversations, celui-ci a publiquement présenté ses excuses lundi. Il estime que la BaFin fait partie des institutions responsables de ce « désastre complet », en ayant failli à son rôle de supervision. Il s’est engagé à régler les manquements apparus dans le fonctionnement de l’autorité, mais a également tenté de faire porter le chapeau à d’autres, précisant que la direction de Wirecard ainsi que « plusieurs commissaires aux comptes » ont failli dans leurs missions.

Audit défaillant

L’attaque se dirige plus spécifiquement sur EY, l’un des quatre principaux bureaux d’audit et de conseil dans le monde. C’est en effet l’ancienne Ernst & Young qui auditait les comptes de la fintech allemande depuis 2011 et c’est elle qui a refusé ce mois-ci de les valider. 

« Une société cotée en Bourse doit en principe d’abord faire ses comptes en interne, ceux-ci sont ensuite approuvés par le conseil d’administration, avant de faire l’objet de l’analyse d’un réviseur. Ces comptes sont alors transmis avec le rapport du réviseur à l’assemblée générale, qui peut poser des questions avant de les approuver ou de les rejeter », explique Eric Steghers, directeur général de l’Institut des experts-comptables et des conseils fiscaux.

Le rôle du réviseur est ainsi de vérifier les comptes, pas de détecter les fraudes. « Les comptes doivent correspondre à une situation, c’est cela que regarde le réviseur. »

EY a eu le nez plongé dans le bilan de Wirecard pendant neuf ans. Le fait que le géant de l’audit dénonce aujourd’hui une fraude massive dans le chef de son client peut ressembler à une fuite en avant. « L’auditeur a failli, pas parce qu’il n’a pas découvert la fraude, mais parce qu’il est totalement passé à côté de l’essentiel dans les comptes », estime un ancien auditeur qui a passé plus de dix ans dans le secteur.

Image salie

« Plusieurs cas de figure peuvent se présenter, le plus grave étant une collusion entre le cabinet et l’entreprise« , pointe-t-il. Il se pourrait également que le commissaire aux comptes n’ait pas réalisé correctement sa diligence, ou qu’il ait réalisé son travail en toute bonne foi, mais que son client ait réussi à particulièrement bien maquiller sa fraude.

Ce vendredi, le FT révélait que EY n’avait plus demandé d’information à la banque de référence de Wirecard à Singapour depuis trois ans. L’établissement était pourtant supposé conserver un milliard de dollars de liquidités pour le compte de la fintech. Cette procédure de routine aurait permis de déceler la fraude très rapidement.

EY voit son image une nouvelle fois éreintée. Le cabinet, qui déclare poursuivre son travail sans faire de commentaire, traîne déjà quelques casseroles derrière lui. Le régulateur britannique, le Financial Reporting Council (FRC), enquête sur lui dans le cadre de l’affaire NMC Health, un groupe hospitalier parvenu à dissimuler les deux tiers de sa dette et par rapport au dossier de Thomas Cook, le voyagiste tombé en faillite l’année passée. EY est suspecté d’avoir manqué à sa mission dans les deux cas.

Il est encore trop tôt pour évaluer la puissance de l’onde de choc du scandale Wirecard, mais il semble certain que, tant les fintechs, que les régulateurs et les cabinets d’audit ne travailleront désormais plus de la même manière…

OLIVIER SAMOIS 

26 juin 2020 20:37

Enron. Le scandale, il y a 20 ans, était un parfait exemple de la matérialisation d’un énorme risque opérationnel (pour Enron, classé par Fortune le magazine « l’entreprise la plus innovante d’Amérique » entre 1996 et 2000) et du risque de réputation (pour leurs auditeurs, Arthur Andersen & Co., alors l’un des 5 grands cabinets d’experts-comptables), conduisant à l’effondrement des deux sociétés.

S’il est trop tôt pour connaître l’issue exacte de ce qu’on a appelé « l’Enron allemand » Wirecard impliquant, cet article revient sur les premiers indicateurs présentant des similitudes entre les deux scandales.

Wirecard, Enron et panneaux d’avertissement sur deux décennies.

L’auteur George Santayana a écrit: «Ceux qui ne se souviennent pas du passé sont condamnés à le répéter.» Et Mark Twain a écrit: « L’histoire ne se répète pas, mais elle rime souvent ».

Pourrions-nous former un couplet d’Enron pour marquer le début du millénaire et Wirecard pour marquer la fin des années 2010?

Dans l’état actuel des choses, Wirecard s’annonce comme l’une des plus grandes fraudes financières depuis des années, établissant au moins quelques comparaisons avec Enron des décennies passées. Ce sont des industries différentes, bien sûr – Enron a fait sa maison (et sa tombe) dans l’énergie, et Wirecard est un processeur de paiements. Mais malgré les verticales disparates, certains des signes avant-coureurs font écho.

Prix ​​des actions de la fusée? Sûr. Il y a dix ans, les actions Wirecard se négociaient à un faible taux à un chiffre et atteignaient 200 euros en 2018. Les actions d’Enron ont culminé à environ 90 $ à l’été 2000, après avoir commencé l’année à environ 40 $.

L’augmentation rapide des cours des actions laisse présager de l’optimisme que l’horizon (et les bénéfices) restent clairs pour les entreprises.

Les deux entreprises ont promis de transformer leurs industries. Wirecard, axé sur les paiements en ligne, a créé ces dernières années Boon, un système de paiement par application mobile lié à l’Europe, et a proposé WeChat Pay aux marchands européens aussi récemment que cette année. Enron a mis le doigt sur tout, du gaz naturel aux réseaux Internet.

La sonnette d’alarme avait sonné pour les deux entreprises avant que les choses ne se déroulent. Pour Wirecard, les racines d’un examen plus approfondi de ce qui se passait dans les coulisses peuvent être retracées dans un article du Financial Times (FT) du début de 2019 qui disait que la société avait falsifié des documents liés aux activités asiatiques de Wirecard dans le but d’induire les régulateurs en erreur.

Une couverture plus tardive de l’année a indiqué que les résultats des filiales avaient été gonflés. Le New York Times a noté le 26 juin que les services de recherche sur les actions ciblant les vendeurs à découvert (qui parient que les prix vont baisser) signalaient que Wirecard était un «château de cartes».

Puis le ralentissement rapide – et l’insolvabilité. Enron a déposé son bilan en 2001 après que des irrégularités comptables ont fait surface; une grande partie des activités commerciales de la société – comptabilisées en tant que revenus et bénéfices – avait été réalisée par le biais d’entités ad hoc (où elle détenait des participations). Wirecard, selon FT en février 2019, s’était engagé dans un «round trip». Dans le cadre de cette activité, selon le journal, l’argent quitterait la banque de Wirecard détenue en Allemagne, «montrerait son visage au bilan d’une filiale dormante à Hong Kong, partirait pour s’asseoir momentanément dans les livres d’un« client »externe», puis voyagerait retour aux opérations de Wirecard en Inde pour être comptabilisé en tant que revenu.

Plus récemment, Wirecard a déclaré qu’environ 2,1 milliards de dollars de soldes de compte qui ne peuvent pas être retracés « n’existent pas ».

L’histoire a encore des jambes, bien sûr, car ces dernières semaines, la banque centrale des Philippines a déclaré qu’il n’y avait aucun signe que les 2,1 milliards de dollars avaient été déposés en premier lieu. Les banques citées – BDO Unibank Inc. et BPI – avaient été utilisées pour « induire en erreur » les enquêteurs, selon la banque centrale.

Ailleurs, comme l’a noté le New York Times, le fournisseur de recherche indépendant The Analyst, basé à Londres (et où le partenaire fondateur Mark Hiley a qualifié Wirecard de « château de cartes ») a soulevé des questions sur les acquisitions Wirecard d’acquéreurs marchands et sur la performance financière de ces acquisitions.

« Lorsque vous avez examiné les documents financiers des entreprises locales, vous avez pu constater qu’il s’agissait de très petites entreprises, avec des revenus très faibles et une rentabilité limitée », a déclaré Hiley, cité dans le Times. « Nous étions inquiets: pourquoi payaient-ils autant d’argent pour ces petites entreprises à peine rentables? »

Et maintenant, Wirecard a déposé un dossier d’insolvabilité en partie en raison du «surendettement», les prêts d’une valeur cumulée de 1,3 milliard d’euros (1,46 milliard de dollars) venant à échéance le 1er juillet.

À certains égards, au moins dans cette histoire de deux montées et descentes spectaculaires s’étalant sur 2000 et 2020, l’histoire ne s’est peut-être pas répétée, mais elle a certainement des échos familiers.

Même s’ils ne riment pas.

Risque de réputation. Définition, illustration à travers les affaires NIKE, 1990-2000, 2020

Dans notre ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement », Editions Gereso, 2019, Nicolas Dufour et moi-même reprenons la définition de Rayner (2003). Il définit le risque de réputation comme « toute action, évènement ou circonstance qui pourrait avoir un impact positif ou négatif sur la réputation d’un organisme…ou encore… comme un ensemble de perceptions et opinions présentes ou passées sur un organisme, nichées dans la conscience des parties prenantes. »

Contrefaçons, rumeurs, guerre économique, diffamation…sont autant de vecteurs de risques que l’entreprise devra contrôler afin de maîtriser son image. Les risques associés à l’image ou à la réputation de l’entreprise ne sont pas dédiés aux grandes entreprises. Ils sont également un enjeu pour chaque PME-PMI, ETI.

Nous l’illustrons à travers « l’affaire Nike (1990-2000) ».

Vous trouverez ci-dessous un extrait des faits reprochés à Nike et qui ont affecté sa réputation (p.39).

« En résumé, Nike a opté pour une stratégie basée sur une forte capacité d’innovation, un marketing agressif mettant en scène des superstars du monde sportif… Cette stratégie a relativement bien fonctionné, jusqu’à ce qu’elle fasse l’objet de critiques véhémentes par des activistes, dénonçant les pratiques des sous-traitants, considérées comme non conformes à l’éthique communément acceptée dans les pays développés. Au nombre des pratiques dénoncées, figuraient en bonne place le non-respect de certaines conventions internationales portant, entre autres, sur la liberté syndicale, les conditions de travail, le travail forcé, le travail des enfants et les questions salariales…

Puis un article écrit par O.Cimelière, Directeur-adjoint ESJ Entreprise sur la nouvelle tourmente qui affecte de nouveau la réputation de l’entreprise.  

« Dr Jekyll & Mr Nike : De la nécessité impérative d’avoir une communication RSE alignée pour sa réputation

Très active durant les mouvements de protestation liés à #BlackLivesMatter, la marque Nike se retrouve actuellement confrontée à des mises en accusations graves de la part d’une ONG australienne et du député européen Raphaël Glucksmann. L’entreprise s’approvisionnerait auprès d’usines chinoises où la minorité ouïghoure est réduite en esclavage. Jusqu’où tolérer un grand écart réputationnel sans s’égarer dans le « woke washing » ? Analyse.

Il s’intitule sobrement « You can’t stop us ». En 1 minute 30, le dernier film publicitaire de Nike magnifie le monde du sport dont les événements et les compétitions ont dû être annulés ou reportés durant la pandémie du coronavirus. Depuis fin juillet, ce vibrant appel à la résilience et à la volonté a été visionné 50 millions de fois à ce jour sur YouTube. La marque au swosh est familière de ces messages engagés et puissants qu’elle égrène au fil des mois. En mai dernier, c’était le spot « « We are never too far down to come back » qui invitait au relèvement après d’éprouvantes semaines de confinement en jouant avec l’allégorie de grands sportifs mythiques ayant vécu l’échec avant de retrouver le sommet. Sur YouTube, plus 1,1 millions de personnes ont plébiscité le film.

Il est pourtant un sujet actuel où Nike est étonnamment aux abonnés absents malgré les likes qui s’empilent en sa défaveur et les messages d’exhortation qui circulent sur les réseaux sociaux et dans des pétitions en ligne : le travail forcé des Ouïghours dans des usines chinoises manufacturant des produits textile pour la marque. Peut-on sincèrement être #BlackLivesMatter et fermer les yeux par ailleurs sur des atteintes fondamentales aux Droits de l’Homme ?

Nike, esclavagiste par procuration ?

L’épineux dossier des Ouïghours éclate début mars 2020 avec les révélations d’un rapport très fouillé de l’ONG australienne, Australian Strategic Policy Institute (ASPI). Dans celui-ci, il est question de la déportation de plus de 80 000 Ouïghours, une population turcophone et majoritairement musulmane vivant dans la région chinoise du Xinjiang. Depuis des années, celle-ci est persécutée par le régime central de Pékin qui entend dissoudre la culture ouïghoure en internant des millions de personnes dans des camps de rééducation (lire à ce sujet les articles conseillés en bas de l’article). Or, dans ces camps, l’ONG explique qu’entre 2017 et 2019, 80 000 d’entre elles ont été transférées de force pour travailler dans des usines chinoises (1) « appartenant aux chaînes d’approvisionnement de 83 marques connues mondialement dans la technologie, le textile et l’automobile. Des usines recourent au travail forcé des Ouïghours dans le cadre d’un mécanisme de transfert encadré par l’Etat (chinois), ce qui entache des chaînes de production à l’échelle mondiale ».

Nike n’est certes pas la seule marque emblématique pointée du doigt. A ses côtés, on retrouve d’autres noms illustres comme Apple, Samsung, BMW, Adidas ou encore Lacoste. En revanche, elle est sûrement celle qui interpelle le plus du fait de son activisme sociétal prononcé aux Etats-Unis et ailleurs. Souvent prompte à dénoncer la ségrégation raciale et à soutenir des sportifs engagés comme Colin Kaepernick ou Megan Rapinoe, Nike se veut une entreprise à raison d’être assumée et incarnée. Dans son rapport, l’ONG australienne s’appesantit toutefois particulièrement sur l’usine de Quingdao Taekwang Shoes qui fait travailler de force 600 ouvrières et qui est un établissement important pour Nike (2) : « Il s’agit pour la majorité de femmes ouïghoures des préfectures du Hotan et du Kashgar, considérées par le gouvernement chinois comme ‘arriérées’ et ‘contaminées par l’extrémisme religieux’. A l’usine, les ouvrières ouïghoures fabriquent des chaussures Nike pendant la journée. Le soir, elles sont obligées de suivre des cours où elles étudient le mandarin, chantent l’hymne national chinois et reçoivent des leçons d’éducation patriotique ».

Nike, do you hear us ?

La mise en cause de l’ONG n’a pourtant pas vraiment fait bouger l’entreprise. A la suite de la publication du rapport, Nike se retranche d’abord derrière le communiqué officiel du syndicat de branche « Retail Industry Leaders Association » qui précise notamment que des actions vont être engagées mais que ce problème ne peut être résolu par le seul truchement des entreprises et requiert une implication plus poussée du gouvernement américain (3).

Fin juin 2020, c’est le député européen Raphaël Glucksmann qui décide de remettre la pression sur le sujet. Depuis ses comptes Twitter et Instagram, il hèle publiquement Nike mais aussi Adidas et Lacoste à propos des conditions inhumaines que subissent les Ouïghours dans les usines chinoises qui fabriquent pour leur compte. Assez rapidement, Adidas et Lacoste reçoivent l’élu européen et prennent des engagements clairs pour changer les prestataires de leur chaîne d’approvisionnement et de production. En revanche, Nike fait la sourde oreille aux requêtes du philosophe qui tweete (4) : « Nike n’a pas répondu à nos demandes précises. Ce rejet de la transparence souligne l’importance cruciale de notre combat au Parlement pour une législation européenne sur le devoir de vigilance des entreprises. Là où le volontariat ne suffit pas, il faut imposer par la loi ». Et les internautes d’essayer de lancer un boycott de la marque récalcitrante.

Un démenti ambivalent

Courant juillet, Nike se décide enfin à sortir du bois avec un communiqué diffusé sur le site Web corporate. La marque au swosh réfute les assertions contenues dans le rapport de l’ASPI qu’elle qualifie d’inexactes. Elle explique ensuite que l’entreprise est particulièrement pointilleuse en matière de respect des Droits humains et qu’elle s’efforce de faire appliquer son Code de Conduite à ses partenaires et fournisseurs. Concernant l’usine de Qingdao Taekwang Shoes plus particulièrement vilipendée, elle précise qu’après avoir été alertée en 2019, elle a enjoint l’établissement à arrêter d’employer des ouvriers ouïghours en provenance de la région autonome du Xinjiang (5) et que les effectifs actuels n’en comptent plus.

Le plaidoyer ne semble pas convaincre tout le monde, à commencer par Gordon G. Chang, un auteur et éditorialiste américain. Il fait notamment référence à un reportage publié en Février 2020 par The Washington Post. Le journaliste y raconte qu’il a vu des ouvriers ouïghours travailler et être effrayés de parler à des interlocuteurs étrangers dans l’usine de Taekwang, par ailleurs fournisseur de Nike depuis 30 ans à raison de 8 millions de paires de chaussures de sport produites annuellement (6). Un témoignage qui vient donc quelque peu contredire les allégations de Nike dans son communiqué.

Schéma extrait du rapport de l’ASPI

Risque de résurgence d’un passé embarrassant

Avec la controverse sur le travail forcé des Ouïghours, la marque sportive joue avec le feu en termes de réputation. C’est en effet loin d’être la première fois que celle-ci se voit morigéner pour laisser perdurer des dérives dans les usines de ses fournisseurs (Nike ne possédant pas de sites de production en propre). Déjà dans les années 70, la marque avait été blâmée pour recourir à des ateliers de misère (les tristement connus « sweatshops ») en Chine, à Taïwan et en Corée du Sud. Des accusations qui sont réitérées en 1991 par des activistes qui dénoncent des dérives similaires en Indonésie. Un film intitulé « Behind the swosh » est même consacré au sujet. Rebelote en 1996 avec le magazine Life qui publie en particulier une photo qui va faire mondialement sensation (et réaction !). Celle-ci montre un enfant de 12 ans en train de coudre un ballon de football estampillé Nike.

C’est en 1998 que Nike commence à prendre la mesure du problème d’image qui ternit grandement la réputation de l’entreprise et de ses produits. Phil Knight, fondateur de Nike et PDG jusqu’en 2006, finit par admettre que sa société doit prendre sa part de responsabilité d’autant que l’opinion publique s’émeut ouvertement (7) : « Le produit Nike est devenu synonyme de salaires d’esclave, de travail forcé sans limite et d’abus arbitraires ». Malgré des actions concrètes réalisées sur le terrain, Nike éprouve des difficultés à se défaire de cette encombrante réputation d’entreprise méchante.

Une réputation entretenue de surcroît par les organisations activistes particulièrement suspicieuses et à l’affût du moindre dérapage. Lequel intervient à nouveau en 2006 à l’ouverture de la Coupe du Monde de football où de nouvelles photos d’enfants pakistanais cousant des ballons sont dévoilées. L’électrochoc est cette fois sévère. Nike rompt son contrat avec le fabricant en cause et rappelle les ballons pour un coût de 100 millions de dollars (8).

© Marie DORIGNY

Nike prend le taureau par les cornes

Depuis ces déboires, Nike a démontré un engagement nettement plus solide sur les questions de responsabilité sociétale. En 2013, la société va même prendre une décision radicale qui ne fut pas sans aller avec quelques débats houleux et réticents en interne avec les responsables des achats. À la suite des alertes répétées de Hannah Jones, vice-présidente de Nike en charge du développement durable et de l’innovation, sur les conditions de travail régnant au Bangladesh, Nike met un terme aux contrats passés avec plusieurs fournisseurs. Quelques semaines plus tard (le 24 avril 2013 précisément), une grande usine de confection, le Rana Plaza, s’écroule et tue 1135 personnes travaillant pour des marques de textile occidentales à des salaires miséreux et avec un niveau de sécurité inexistant. Nike ne fera pas partie des sociétés alors épinglées par les ONG et les médias.

L’affaire du travail forcé des Ouïghours remet le projecteur sur cet incessant pas-de-deux qui tiraille en permanence nombre d’entreprises occidentales et auquel Nike n’échappe pas. Si la question de l’éthique et de la responsabilité sociétale a concrètement avancé (mais il reste du chemin), il n’en demeure pas moins que les discussions demeurent âpres en interne pour parvenir à concilier la maîtrise des coûts de production et la décence des conditions de travail dans les pays où la main d’œuvre est moins chère. En réagissant bien tardivement dans la foulée de sa mise en cause sur le sujet des Ouïghours, Nike met en péril une réputation longtemps mise à mal puis rebâtie à force d’opiniâtreté et de concrétude.

Le cas d’école Boohoo en Grande-Bretagne

Pour s’en convaincre, il suffit de se référer aux récents avatars de Boohoo. Cette marque britannique de commerce en ligne de produits textiles se veut un parangon en matière d’éthique, de conformité, de transparence envers ses salariés mais aussi de production locale (c’est-à-dire au Royaume-Uni). Pourtant, en juillet 2020, une enquête du Sunday Times jette un gros pavé dans la mare. Le journaliste s’est infiltré dans l’atelier de confection d’un sous-traitant basé à Leicester où il met en lumière les conditions de travail déplorables des ouvriers. Depuis les révélations du Sunday Times, l’action qui a valu jusqu’à 4,15 livres à mi-juin 2020, a dévissé jusqu’à 2,10 livres à la mi-juillet (9). Banques, analystes et investisseurs regimbent désormais à accorder des lignes de crédit jugées non responsables pour une entreprise qui ne joint pas vraiment la parole aux actes.

La dichotomie entre impératifs de rentabilité et de compétitivité et exigences RSE va sans nul doute encore peser sur les stratégies de communication et de responsabilité sociale et environnementale. Il est fort à parier que d’autres entreprises à l’instar de Nike ou Boohoo, se feront encore pincer pour ce grand écart réputationnel. Il n’en demeure pas moins qu’il est fortement souhaitable de voir la dimension RSE s’imposer en lieu et place de la marge financière à tout prix. Ne pas le faire, c’est s’exposer à des violents retours de bâton où la réputation est ternie et non sans un certain impact sur les ventes mais aussi sur la durabilité des emplois. La route est longue mais elle vaut le coup. Entre Dr Jekyll et Mr Nike, il faudra trancher ! »

Source

– (1) – « Apple, Volkswagen, Nike associés au travail forcé de la minorité ouïghour en Chine » – Les Echos – 2 mars 2020
– (2) – « Chine : les Ouïghours transférés en masse pour travailler dans des usines fournissant Apple, Nike ou Sony » – TV5 Monde – 2 mars 2020
– (3) – Communiqué officiel de la Retail Industry Leaders Association – 10 mars 2020
– (4) – Reuben Attia – « Nike : pourquoi des internautes appellent-ils au boycott de la marque ? » – GQ Magazine – 10 juillet 2020
– (5) – Communiqué officiel de Nike – 21 juillet 2020 –
– (6) – Jilil Kashgari & Joshua Lipes – « Nike Says China-based Supplier Sent All Uyghur Workers Home Amid Forced Labor Allegations » – Radio Free Asia – 21 juillet 2020
– (7) – « Nike and child labour – how it went from laggard to leader » – Mallen Baker – 29 février 2016
– (8) – Ibid.
– (9) – Isabelle Couet – « L’affaire Boohoo, un cas d’école pour l’investissement responsable » – Les Echos – 22 juillet 2020

Pour en savoir plus sur le drame des Ouïghours

– Richard Artz – « Persécution de la minorité ouïghoure: Pékin dément et poursuit ses méthodes » – Slate – 11 août 2020
– Robin Tutinges – « Camps, arrestations, répression: cinq Ouïghours témoignent » – Slate – 19 juillet 2020
– Joshua Keating – « La Chine montre la voie de l’épuration ethnique en toute impunité » – Slate – 26 novembre 2019

Préjudice écologique et responsabilité environnementale, quelle responsabilité pour l’entreprise ?

Pour continuer sur les risques environnementaux des entreprises.
Pollution de l’air ou de l’eau, dépollution d’un site… Les atteintes à l’environnement sont de plus en plus présentes.

Trop souvent sous-estimés, complexes, longs et onéreux à réparer…

Face au risque écologique, quelle responsabilité pour l’entreprise et ses dirigeants ?

En pleine actualité Lafarge – pollution de la Seine – (voir article de la semaine dernière), je vous propose pour en savoir plus sur le risque environnemental un podcast éclairant.
Ecoutez sur ce sujet le Responsable des risques environnementaux de Chubb.  

Ecouter le podcast

chubb.com