Selon la loi Sapin 2, les entreprises devront, à partir du 1er juin prochain, intégrer de nouveaux risques dans leur cartographie (lutte anti-corruption, e-réputation…). Pour aider les ETI dans ces démarches, l’Ifaci vient de publier un guide proposant un modèle précis de gestion des risques, passant par trois niveaux de contrôle : les vérifications exercées par le management opérationnel, l’élaboration des procédures et des modes opératoires par les fonctions supports (services juridiques, RH, achats, contrôle interne…), et la supervision de l’audit interne.

Avant de mettre en place cette organisation, l’institut recommande de recenser les rôles de chaque ligne de maîtrise. Il faut identifier, par exemple, les ressources disponibles (effectifs, compétences…), leurs relations avec les parties prenantes externes à l’entreprise (commissaires aux comptes, clients, fournisseurs…) et la nature de leur relation avec la direction générale. Cette cartographie peut alors permettre de faire ressortir les risques qui sont trop couverts et ceux qui ne le sont pas.

Enfin, l’Ifaci donne quelques clés de réussite, parmi lesquelles la mise en place de recommandations concrètes de la part de l’audit interne et l’accompagnement des opérationnels pour qu’ils anticipent mieux les risques.