Le CSRD exige une gestion des risques pour structurer ses systèmes d’information

L’application progressive de la CSRD européenne sur le reporting extra-financier est loin d’être neutre en termes d’outils de gestion des risques. Mesure quantitative et conforme des normes imposées, croisement avec des données externes, extension de l’analyse aux risques que l’entreprise fait peser sur son environnement… Le sujet est complexe, et les outils de gestion des risques, cartographie et SIGR en tête, devront s’adapter .

Publicité À partir de 2025, les organisations européennes devront progressivement produire un reporting extra-financier conforme à la directive européenne CSRD (corporate Sustainable reporting directive). A commencer par les grandes sociétés cotées qui devront la payer à partir du 1er janvier sur leur activité 2024, puis ce sera le tour de toutes les grandes sociétés cotées et PME à partir de 2026. Si les directions RSE sont au premier chef concernées, c’est aussi le cas du risque. départements. à l’occasion de la publication de son enquête sur les usages des SIGR (systèmes d’information de gestion des risques) en début d’année, l’Amrae (Association pour la gestion des risques et des assurances des entreprises) a fait état de l’intérêt croissant de ces services pour l’intégration du traitement des données ESG dans ces solutions. Mais le sujet est complexe, et les outils de gestion des risques, cartographie et SIGR notamment, devront s’adapter.

François Beaume, vice-président de la transformation numérique au sein de l’association et vice-président des risques et des assurances chez Sonepar, rappelle que ce qui change principalement avec le CSRD, c’est l’exigence d’un reporting structuré. La démarche de cartographie des risques consistait jusqu’à présent essentiellement à recueillir des « perceptions », rappelle-t-il. En d’autres termes, l’organisation établit une méthode de collecte des avis auprès des représentants concernés au sein des métiers, puis attribue des pondérations et priorise certains avis. Il s’agit bien d’une démarche scientifique, avec des échelles et une cartographie des risques, précise-t-il, mais elle reste un instrument de collecte individuel rarement fondé sur des histoires, des cohortes, etc. Avec le CSRD, on passe du qualitatif au quantitatif. François Beaume rappelle également que peu de risques se prêtent réellement à ces méthodes statistiques. Et prenons l’exemple du risque géopolitique d’être exproprié suite à un conflit récent ou à un boycott par exemple. Dans ce cas, l’estimation sera faite au vu du contexte actuel, et non sur la base de données historiques, qui n’existent pas dans ce cas.

Des données et des cartes de risques mal adaptées

Avec les CSRD en revanche, et les risques environnementaux et sociaux en particulier, il s’agit de collecter des mesures et des données, ainsi que de décrire les méthodes utilisées pour les obtenir. La directive s’appuie sur plus de 1 100 indicateurs d’analyse de risques en double matérialité (impact des trois volets ESG sur l’activité de l’entreprise, d’une part, impact de l’activité de l’entreprise sur ces trois volets, d’autre part) potentiellement applicables. Une organisation est uniquement tenue de produire des indicateurs liés à son activité et à certains risques qui la concernent directement, ce qui en réduit le périmètre. Mais il n’en reste pas moins que cela nécessite généralement de produire quelques centaines d’indicateurs. À chaque risque peut correspondre plusieurs d’entre eux, la direction des risques doit donc travailler les directions métiers. Ce qui est différent avec le CSRD, c’est qu’il s’agit d’une approche normative avec un cahier des charges très précis, résume François Beaume. Cependant, la gestion des risques est généralement beaucoup moins sérieuse, car il s’agit d’une approche entreprise pour l’entreprise, avec ses propres défis. Avec le CSRD, nous entrons dans un cadre identique pour toutes les organisations.

PublicitéL’un des outils centraux de la gestion des risques est la cartographie. Mais est-ce adapté au CSRD ? François Beaume rappelle que les cartographies actuellement réalisées dans les entreprises n’incluront probablement pas toutes les données nécessaires au reporting extra-financier, ou les incluront dans un format insuffisamment rigoureux pour la directive européenne et les contrôles qu’elle prévoit. Aujourd’hui, ces cartes s’appuient sur des données d’opinion qui doivent donc être remplacées par des mesures, et complétées, voire croisées, avec des données externes. CSRD consiste à corréler notre avis interne avec la vision des parties prenantes externes comme les ONG, les syndicats, certains fournisseurs, précise François Beaume. C’est plus complexe, mais on ne part pas de zéro, puisque nous le faisions déjà pour la DPEF (déclaration de performance extra-financière, NDLR). Par ailleurs, les cartes ne servent aujourd’hui généralement qu’à mesurer le risque encouru par l’entreprise, et non celui que l’organisation fait peser sur l’environnement extérieur (toujours le principe de double matérialité).

Une collaboration RSE, RH, DAF, risques, rarement DSI

Les solutions pour mesurer, capturer, collecter, analyser et communiquer les données deviendront essentielles. Logiquement, dans de nombreuses entreprises, les équipes RSE, risques, RH, DAF – encore rarement la DSI – travaillent toutes actuellement sur des indicateurs structurants pour la CSRD, explique le vice-président de la transformation numérique de l’Amrae. Il s’agit d’un travail très lourd et devra être récurrent. D’autant qu’il faut aussi structurer la piste d’audit, c’est-à-dire la traçabilité de la chaîne des indicateurs, décrire le modèle des indicateurs, et le mode de collecte. Les organismes tiers indépendants (OTI) seront en effet chargés de donner leur avis sur les informations partagées dans le reporting et sur le mode de collecte.

Les cartographies ne sont pas des dispositifs indépendants des systèmes d’information et vont déjà en tirer des informations, mais elles donnent une vision d’une situation donnée, afin d’agir à un instant donné. Pour le reporting CSRD, certains logiciels comme l’ERP seront obligatoirement requis. Or, pour le vice-président de la transformation numérique chez Amrae, multiplier les cartes en fonction des différents risques n’aurait pas de sens, voire pourrait même devenir contre-productif. Différents éléments de la directive obligent les entreprises à adapter leurs méthodes d’évaluation des risques pour s’y conformer et cela devient de plus en plus complexe, ajoute François Beaume. Jusqu’à présent, nous avions toute liberté pour nous organiser en matière de reportage. Nous devons désormais nous conformer aux normes ESRS (European Sustainability Reporting Standards).

Un système d’information essentiel au service du risque et de la CSRD

Le CSRD rend le système d’information incontournable, car il va forcément augmenter le volume d’indicateurs collectés par les entreprises. Il serait difficile de le maîtriser uniquement avec Excel, insiste François Beaume. Des outils dédiés seront nécessaires. Certains éditeurs comme Kshuttle proposent déjà des solutions de reporting qui prennent également en compte la directive européenne, selon le représentant d’Amrae. Selon cette dernière, une dizaine d’offres spécialisées sont déjà disponibles sur le marché. Cependant, le choix d’un logiciel adapté reste complexe, comme l’expliquait en début d’année Emmanuelle Olivi-Paul, présidente et fondatrice d’AdVaes.