La CSRD impose à la gestion des risques de structurer ses SI

La gestion des risques à l'heure du reporting CSRD passe par la data et des SIGR spécialisés. (Photo : Pixabay/yogendras31/Mediamodifier)

L'application progressive de la CSRD européenne sur le reporting extrafinancier est loin d'être neutre en matière d'outils de gestion des risques. Mesure quantitative et conforme à des standards imposés, croisement avec des données extérieures, extension de l'analyse aux risques que l'entreprise fait peser sur son environnement... Le sujet est complexe, et les outils de gestion des risques, cartographies et SIGR en tête, devront s'adapter.

PublicitéÀ partir de 2025, progressivement, les organisations européennes devront produire un reporting extrafinancier conforme à la CSRD européenne (corporate sustainability reporting directive). A commencer par les grandes entreprises cotées qui devront s'en acquitter dès le 1er janvier prochain sur leur activité 2024, puis ce sera au tour de toutes les grandes entreprises et PME cotées à partir de 2026. Si les directions RSE sont concernées au premier chef, c'est également le cas des directions des risques. À l'occasion de la publication de son enquête sur les usages des SIGR (systèmes d'information de gestion des risques) en début d'année, l'Amrae (Association pour le management des risques et des assurances de l'entreprise) a signalé l'intérêt croissant de ces services pour une intégration du traitement des data ESG dans ces solutions. Mais le sujet est complexe, et les outils de gestion des risques, cartographies et SIGR en tête, devront s'adapter.

François Beaume, vice-président transformation digitale au sein de l'association et vice-président risques et assurance chez Sonepar, rappelle que ce qui change principalement avec la CSRD, c'est l'exigence d'un reporting structuré. « Le processus de cartographie des risques consistait jusque-là essentiellement à collecter des "perceptions" », rappelle-t-il. Autrement dit, l'organisation établit une méthode de collecte des avis de représentants pertinents au sein des métiers, puis affecte des poids et priorise certaines opinions. « Il s'agit bien d'un processus scientifique, avec des échelles, une cartographie des risques, tient-il à préciser, mais cela reste un instrument de collecte individuelle rarement basé sur des historiques, des cohortes, etc. Avec la CSRD, on passe du qualitatif au quantitatif. » François Beaume rappelle également que peu de risques se prêtent cependant véritablement à ces méthodes statistiques. Et de prendre l'exemple du risque géopolitique d'être exproprié à la suite d'un conflit récent ou d'un boycott par exemple. Dans ce cas, l'estimation se fera au vu du contexte actuel, et non à partir de données historiques, inexistantes en l'occurrence.

Des data et cartographies des risques mal adaptées

Avec la CSRD, en revanche, et les risques environnementaux et sociaux en particulier, il s'agit bien de collecter des mesures et data, ainsi que de décrire les méthodes qui ont servi à les obtenir. La directive repose sur plus de 1100 indicateurs d'analyse des risques en double matérialité (impact des trois volets de l'ESG sur l'activité de l'entreprise, d'un côté, impact de l'activité de l'entreprise sur ces trois volets, de l'autre) potentiellement applicables. Une organisation n'est contrainte de produire que les indicateurs liés à son métier et à certains risques qui la concernent directement, ce qui réduit le périmètre. Mais il n'en reste pas moins que cela exige en général de produire quelques centaines d'indicateurs. A chaque risque, peuvent correspondre plusieurs de ces derniers, et la direction des risques doit donc travailler avec les directions métiers. « Ce qui est différent avec la CSRD, c'est qu'il s'agit d'une approche normative avec un cahier des charges très précis, résume François Beaume. Or la gestion des risques est habituellement beaucoup moins normée, car c'est une démarche de l'entreprise pour l'entreprise, avec ses propres enjeux. Avec la CSRD, on entre dans un cadre identique pour toutes les organisations. »

PublicitéUn des outils centraux de la gestion des risques est la cartographie. Mais est-elle adaptée à la CSRD ? François Beaume rappelle que les cartographies réalisées actuellement dans les entreprises ne comprendront probablement pas toutes les data nécessaires au reporting extrafinancier, ou les comprendront dans un format insuffisamment rigoureux pour la directive européenne et les contrôles qu'elle prévoit. Aujourd'hui, ces cartographies s'appuient sur des données d'opinion qui devront donc être remplacées par des mesures, et complétées, voire croisées, avec des données externes. « La CSRD implique de corréler notre opinion interne avec la vision de parties prenantes externes comme des ONG, des syndicats, certains fournisseurs, précise François Beaume. C'est plus complexe, mais on ne part pas tout à fait de zéro, puisque nous le faisions déjà pour la DPEF (déclaration de performance extrafinancière, NDLR). » Par ailleurs, les cartographies ne servent aujourd'hui en général qu'à mesurer le risque encouru par l'entreprise, et non celui que l'organisation fait courir à l'environnement extérieur (toujours le principe de double matérialité).

Une collaboration RSE, RH, DAF, risques, rarement DSI

Des solutions de mesure, capture, collecte, analyse et reporting de données, vont s'imposer. « En toute logique, dans nombre d'entreprises, les équipes RSE, risques, RH, DAF - encore rarement la DSI - travaillent donc toutes en ce moment sur la structuration d'indicateurs pour la CSRD, précise ainsi le vice-président transformation digitale de l'Amrae. C'est un travail très lourd et qui devra être récurrent. D'autant qu'il faut aussi structurer la piste d'audit, c'est-à-dire la traçabilité de la chaîne d'indicateurs, décrire le modèle d'indicateurs, et la modalité de collecte. » Des organismes tiers indépendants (OTI) seront en effet chargés de donner leur opinion sur les informations partagées dans le reporting et sur le mode de collecte.

Les cartographies ne sont pas des dispositifs indépendants des systèmes d'information et vont déjà y puiser des informations, mais elles donnent « une vision d'une situation donnée, pour agir à un moment donné. Pour le reporting CSRD, certains progiciels comme les ERP seront forcément sollicités. » Pour autant, pour le vice-président transformation digitale de l'Amrae, multiplier les cartographies en fonction des différents risques n'aurait pas de sens, voire pourrait devenir contre-productif. « Différents éléments de la directive imposent aux entreprises d'adapter leurs modalités d'évaluation des risques pour s'y conformer et cela devient plus complexe, complète François Beaume. Jusqu'ici, nous avions toute liberté pour nous organiser pour le reporting. Maintenant, il nous faut nous conformer aux standards ESRS (European Sustainability Reporting Standards). »

Un SI indispensable au service du risque et de la CSRD

La CSRD rend le système d'information indispensable, car elle va forcément augmenter le volume d'indicateurs collectés par les entreprises. « Il serait difficile de s'en emparer uniquement avec Excel, insiste François Beaume. Il faudra des outils dédiés. » Certains éditeurs comme Kshuttle proposent déjà des solutions de reporting qui prennent aussi en compte la directive européenne, d'après le représentant de l'Amrae. Selon ce dernier, une douzaine d'offres spécialisées seraient déjà disponibles sur le marché. Le choix d'un logiciel idoine demeure cependant complexe, comme le précisait Emmanuelle Olivié-Paul, présidente et fondatrice d'AdVaes, en début d'année.