DossierLes grands chantiers des directions financières
3 - La conscience des risques, l'ADN des Daf
Le fil d'Ariane de toutes ces transformations est bien sûr la gestion des risques. Tout changement implique une ou plusieurs inconnues et une mise en risque qu'il faut évaluer et maîtriser. Or, ce terrain-là aussi est plus que mouvant.
La mise sous contrôle des risques constitue bien évidemment un enjeu fort pour les directions financières et irrigue d'ailleurs tous les autres chantiers en cours ou à venir cités précédemment. Habitués, de par leur fonction au sein de l'entreprise, à anticiper, identifier et mettre sous contrôle les risques, les Daf ont naturellement une bonne appréhension de la gestion des risques.
Les entreprises elles-mêmes semblent avoir progresser sur ce terrain. C'est en tous cas ce qui ressort de l'étude Trends of Finance 2023 menée par Opinion Way pour Daf Magazine et BDO. Selon les Daf interrogés, les principaux risques sont jugés sous contrôle et leur gestion bénéficie d'une bonne maturité puisqu'ils attribuent à leur entreprise une note moyenne de 7,3/10 sur la sécurisation de la data par exemple ou encore 7,6 sur la gestion de la conformité et 7,4 concernant la maîtrise du risque de défaillance clients.
Cybersécurité enjeu n°1
Il n'en reste pas moins que les risques constituent une matière protéiforme, mouvante et parfois peu préhensible. « Entre l'apparition de nouveaux risques, la résurgence de risques un peu oubliés et l'accélération des cycles, il n'y a plus vraiment de temps de pause dans la gestion des risques. Tout va extrêmement vite aujourd'hui », constate Eric Picarle, associé BDO.
Sans surprise l'enjeu prioritaire clairement identifié par les directions financières est la cybersécurité pour 77 % des répondants avec des efforts particuliers portés sur la sécurisation des datas. « Bien souvent le problème n'est pas tant d'identifier les risques que de les documenter et de les processer, souligne Eric Picarle. Or cela évolue positivement. On constate de nets progrès avec des efforts particuliers sur la documentation et les mesures de protection. » Pour l'expert, la première étape est de réaliser une matrice des risques une bonne fois pour toute afin de prioriser et de matérialiser les risques. « Cela demande certes un investissement humain et financier important mais cela en vaut la peine. » Notons que le travail de documentation représente en moyenne le travail d'une personne à temps plein sur un mois, implique la conduite d'interviews sur le terrain dans tous les services en interne et bien souvent l'intervention d'un ou plusieurs prestataires externes.
Instaurer une culture gestion du risque
Parce qu'un travail poussé sur la gestion des risques permet de faire ressortir les points forts actuels et les besoins pour demain, il est possible d'utiliser ces travaux comme driver positif et non plus par la peur comme ce fut longtemps le cas. Et les Daf semblent l'avoir pleinement compris puisqu'ils sont une large majorité à vouloir mettre l'accent sur la structuration interne en investissant sur l'organisation de la gestion des risques. 72% des Daf interrogés prônent en effet une gestion des risques partagée en interne le plus largement possible. Pour près de 70% des Daf la priorité en 2023 sera de développer une culture de la gestion des risques. On note qu'il ne s'agit pas de culture du risque (conduite par la peur) mais bien une culture de la gestion du risque avec donc une dimension pédagogique forte. L'objectif étant que chacun prenne conscience, comprenne et s'approprie les risques qui les concernent directement. « Il y a une réelle ambition de décloisonner la perception du risque dans l'organisation par la compréhension des enjeux globaux notamment, témoigne Emmanuel Piot, secrétaire général des activités Habitat IDF de Vinci Construction. Nous avons mené des audits internes sur le terrain pour quantifier et faire remonter les risques mais également pour impliquer les opérationnels. Nous leur avons ensuite fourni un aide-mémoire des bonnes pratiques. » Créer des groupes de travail pour faciliter l'appropriation et la communication naturelle des métiers est une autre possibilité et également une méthode pour dédiaboliser les risques sans toutefois les minimiser. Pour achever de positiver l'approche tout en responsabilisant chacun des programmes de certification pour les collaborateurs peuvent être mis en place sur les bons réflexes cyber par exemple.
Côté outils, les investissements semblent avoir été fait. Ils ne sont en tous cas pas prioritaires pour les directions financières. 60 % des répondants affirment ainsi être équipés de solution de prévision et de scénarisation des risques. Même chose pour les outils de conformité permettant de réduire les risques réglementaires. « Il n'existe pas de solution magique pour gérer les risques. La technologie sera toujours au service de la stratégie. Il ne faut donc pas attendre après la technologie pour avancer sur ces sujets. L'humain reste central et a seule cette capacité de transformation », conclut Eric Picarle, associé BDO.
BON À SAVOIR
Les bonnes pratiques des Daf du comité d'étude
-Identifier les bonnes personnes en interne pour établir la cartographie des risques et s'assurer qu'elle est utilisée.
-Prévoir une révision annuelle de cette cartographie.
-Responsabiliser les services pour que chacun joue sa partition et partage l'enjeu de protection.
-Communiquer largement grâce à un guide pratique par exemple puis nommer une personne référente pour s'assurer le sponsorship et l'accompagner en créant des groupes de travail ou communautés internes.
-Proposer des programmes de certification pour engager les collaborateurs et saluer les bonnes conduites vis-à-vis du risque cyber notamment.
