Nouveau guide de l’ORSE pour une meilleure maîtrise des risques RSE

Le Club Finance de l’ORSE, Observatoire de la Responsabilité Sociétale des Entreprises, a publié en avril dernier un guide destiné aux organisations du secteur financier. A l’origine du guide, une réflexion a été menée associant des représentants des directions de développement durable et des directions des risques.

La réflexion collective organisée par l’ORSE consistait à « déterminer dans quelle mesure les risques environnementaux, sociaux et de gouvernance (ESG) pouvaient aider à une meilleure compréhension des risques opérationnels ». Un groupe de travail animé par la Banque Postale s’est par la suite chargé de la rédaction du guide.

L’ORSE a été créé en 2000, et est une association regroupant plus d’une centaine de membres. L’Observatoire offre à ses membres plusieurs services, et se charge notamment de :

• collecter, analyser et transmettre l’information RSE des organisations membres,
• d’animer un réseau d’acteurs impliqués dans la RSE ainsi que la réflexion entre ses membres,
• de permettre l’échange des bonnes pratiques de ses membres et identifier celles des autres,
• sensibiliser les organisations à la RSE,
• faciliter la constitution de partenariats.

• Contexte du guide

Un des gros enjeux du secteur financier repose sur la capacité à pouvoir anticiper et maîtriser les risques, ce qui assure la pérennité des banques et assurances, et permet de continuer à assurer ses services auprès de ses clients, explique le guide. Il existe trois grands types de risque :

• Les risques de crédit (défaut de paiement d’une contrepartie),
• Les risques de marchés (variation d’un taux d’intérêt par exemple),
• Les risques opérationnels (inadaptation ou défaillance des procédures et systèmes internes, du personnel, ou des risques externes).

Le guide explique qu’avec l’essor de la RSE, une quatrième catégorie de risques est en train d’émerger, celle des risques ESG (Environnementaux, Sociaux et de Gouvernance). Ces risques sont issus de l’impact des activités de l’organisation sur ses parties prenantes, mais concernent également de manière réciproque les risques liés à l’impact des parties prenantes sur l’organisation.

Par exemple, concernant les risques sociaux, de mauvaises pratiques des ressources humaines peuvent entraîner des problèmes au niveau de la cohésion sociale. A propos de la gouvernance, un mauvais système de gestion des risques peut favoriser la prise de décision trop (ou pas assez) risquées. Enfin vis-à-vis de l’environnement, la pollution des alentours des usines pourrait avoir de fortes conséquences sur la réputation de la firme, et grandement fragiliser sa pérennité.

Pourtant évidents et ne datant pas d’hier, ces risques ne pas encore pris en compte dans le système de pilotage du risque par le secteur financier.

Le guide souhaite donc faciliter la prise en compte des risques ESG, et à « comprendre en quoi les pratiques de la RSE peuvent compléter les dispositifs existants dans la maîtrise des risques opérationnels et les processus de décision qui leur sont liés ». Le document permet donc la comparaison des différents référentiels suivants :

• Bâle II pour les risques opérationnels des banques,
• ISO 26000 et GRI en matière de RSE,
• et EFFAS (European Federation of Financial Analysts Societies) concernant les indicateurs de performance pour les analystes et investisseurs.

• Enseignements liés au rapprochement des référentiels

Le guide propose une revue des différents risques opérationnels de Bâle II, ainsi qu’une « mise au regard avec les principes de la norme ISO 26000 et les indicateurs sélectionnés dans la GRI et l’EFFAS ».

Ainsi, le premier risque opérationnel mentionné dans le cadre de l’accord Bâle II est la fraude interne, qui se réfère aux activités non autorisées et au vol, et qui occupe une place importante au sein des établissements financiers. De plus, le volet « Bonnes pratiques des affaires » est une des questions centrales de la norme ISO 26000. Comme le souligne le guide, l’accent est mis [par les indicateurs GRI et EFFAS] sur l’identification des risques de corruption, la formation, l’exemplarité du management et la mise en place de codes de conduite.

Le second risque opérationnel de Bâle II, relatif à la fraude externe, est abordé dans les référentiels RSE à propos de la protection des données et de la vie privée. Ce sujet est éminent aujourd’hui « à l’ère du tout numérique et de la révolution du Cloud computing ».

Le troisième risque opérationnel concerne les pratiques en matière d’emploi et de sécurité sur le lieu de travail. Les risques de niveau 2 qui lui sont liés sont relatifs aux relations de travail, à la sécurité sur le lieu de travail, au respect de l’égalité et à la lutte contre la discrimination. Comme le rappelle le guide, les salariés sont au même titre que les clients, une partie prenante stratégique et centrale pour les entreprises. Les collaborateurs sont ceux qui permettent à l’organisation d’être performante et d’assurer sa pérennité.

Le quatrième risque opérationnel est lié aux pratiques commerciales et à la relation client. La maximisation de la rentabilité financière ne peut assurer à elle seule la bonne relation avec les clients. Cette pratique doit nécessairement s’accompagner par de bonnes pratiques commerciales, autre question centrale de l’ISO 26000. Ainsi, les indicateurs concernent le fait d’être transparent et loyal envers le client, afin de satisfaire au mieux leurs besoins et d’assurer la meilleure qualité possible du service et produit. Depuis quelques années, le rapport rappelle que certaines grandes ONGs font désormais pression sur les institutions de financement qui participent à des projets ayant de forts impacts négatifs sur l’environnement, ou les droits de l’homme par exemple.

Le cinquième risque opérationnel correspond aux dommages causés sur les actifs corporels, se rapportant aux bonnes pratiques envers l’environnement et la communauté. Le guide explique que les référentiels RSE soulèvent de nouveaux risques relatifs au changement climatique, pouvant fortement impacter les organisations. Par ailleurs, l’entreprise augmente les risques opérationnels lorsqu’elle opère de manière « déconnectée vis-à-vis de son environnement social immédiat ». En revanche, en s’impliquant dans les problématiques locales et en étant « un acteur de la société civile », l’organisation prévient les risques de vandalisme.

Enfin, les deux derniers risques opérationnels de l’accord de Bâle II concernent l’interruption et la défaillance des systèmes, et la gestion des processus. Concernant le premier risque, lorsqu’une organisation fournit un « service essentiel », elle est alors responsable d’assurer « la disponibilité, l’intégrité, et la continuité de ce service » (domaine d’action ISO 26000 relatif aux pratiques commerciales). A propos du dernier risque, les référentiels RSE font la promotion de processus et d’un système de gouvernance vertueux, éthiques, et responsables. Ainsi la transparence, la robustesse et la qualité des processus caractérisent les attentes des référentiels RSE.

• Avis Sequovia

Le guide proposé par l’ORSE apporte une aide utile au secteur financier, pour la prise en compte des risques liés à la RSE. Ces risques ESG viennent compléter les risques opérationnels traditionnels, renforçant la gestion de risque mise en œuvre par les banques, assurances et institutions de gestion d’actifs.

L’impact réciproque existant entre organisations et parties prenantes ne peut être négligé, dans un souci de développement durable. En effet, au delà des collaborateurs et des clients qui sont des parties prenantes à grande importance stratégique, les impacts des activités corporatives sur les fournisseurs, l’environnement, ou la communauté doivent également être pris en compte, afin de prévenir les risques inhérents à une mauvaise relation avec elles.

Le guide est disponible sur la page internet de l’ORSE pour de plus amples détails sur les indicateurs de la GRI et de l’EFFAS, et aux différents domaines d’action de l’ISO 26000 relatifs aux risques opérationnels de Bâle II.