« Cette crise est ainsi une sorte de test de la robustesse des programmes de compliance », estime Antoinette Gutierrez-Crespin, associée responsable du département Forensic & Integrity d'EY en France. Ces enjeux sont partagés dans la nouvelle étude EY intitulée « Est-ce le moment de vérité pour l'intégrité des entreprises ? ». Il en ressort trois leviers critiques que l'entreprise doit prioriser afin de renforcer son programme de compliance et relever les défis éthiques liés à la crise :
Ancrer l'intégrité des affaires comme une valeur fondamentale de l'entreprise pour la protéger des comportements non éthiques
« Dans un contexte des affaires sous tension, ce qui est acceptable en matière de conduite éthique change », partage Flore Vera, Senior Manager au sein du département Forensic & Integrity d'EY en France et responsable du département à Marseille. Ainsi, parmi les principaux risques engendrés par la crise de la Covid-19 mentionnés par les répondants, figurent la rupture des modes traditionnels de travail - y compris les risques liés au télétravail (33 %) ; la perturbation dans la chaîne d'approvisionnement et dans les relations avec les tiers (28 %) ; la baisse des rémunérations des collaborateurs et la réduction des effectifs (22 %).
Ce qui est plus préoccupant : 30 % des répondants seraient prêts à agir de façon non éthique pour accélérer leur carrière ou augmenter leur rémunération ; et selon 46 % d'entre eux, des managers au sein de leur entreprise seraient prêts à sacrifier leur intégrité pour des profits à court terme. Ce chiffre passe à 51 % pour les cadres supérieurs ayant répondu à l'étude.
« Pour renforcer le dispositif de compliance, l'entreprise doit, entre autres, revoir la cartographie des risques pour y intégrer certaines dimensions (facteur humain, intégrité des données, Data privacy, cyberattaques, réorganisation, etc.), renforcer la formation des managers face à la fraude, tester la vulnérabilité du contrôle interne… », poursuit Flore Vera.
Placer l'intégrité au cœur des relations développées avec les tiers
Gérer les risques dans les relations avec les tiers (clients, fournisseurs, consultants, etc.) est déjà complexe ; la crise de la Covid-19 les a aggravés. Certaines entreprises ont dû se diversifier, se tourner vers de nouveaux partenaires, pays, fournisseurs… Environ 30 % des répondants estiment ainsi le risque lié aux tiers comme l'un des plus importants ; seulement 34 % d'entre eux considèrent que leurs tiers respectent les lois et codes de conduite en vigueur.
L'intégrité du management de la société acquise est considérée par 20 % des répondants comme l'un des plus hauts risques dans le cadre d'une opération de fusion-acquisition. Par ailleurs, seulement 25 % des entreprises interrogées feraient des revues/audit des risques de corruption lors de leurs opérations de M&A**.
« Parmi les bonnes pratiques pour réduire les risques liés aux tiers figurent notamment le renforcement des dispositifs d'évaluation et de suivi des tiers dès l'entrée en contact et pendant toute la relation d'affaires, tout particulièrement en pré et post-acquisition », partage Antoinette Gutierrez-Crespin.
Adopter les nouvelles technologies et promouvoir une stratégie éthique des données
L'explosion du volume de données détenues par les entreprises a créé de nouveaux modèles économiques utilisant l'analyse de données, l'intelligence artificielle et l'automatisation. Cette tendance s'est accélérée avec la Covid-19 qui a favorisé une multiplication des services à distance et de l'utilisation des données.
Si l'intelligence artificielle peut aider à la prise de décision, elle crée aussi des risques de non-respect des règlementations de protection de données. Or, 40 % des répondants déclarent ignorer leurs responsabilités en la matière et 60 % ne pas être suffisamment formés.
Au défi de gestion éthique des données se combine le risque des attaques cyber. Selon 32 % des répondants, les cyberattaques sont la plus grande menace pour l'entreprise ; pourtant, 62 % d'entre eux estiment que celle-ci n'a pas de programme de réponse à incidents cyber adapté ou du moins ne le connaissent pas.
Pour faire face à ces risques, l'entreprise doit former ses employées au nouvel environnement de travail et aux régulations applicables. Par ailleurs, lors de la mise en place d'outils technologiques elle devra analyser les impacts relatifs à la protection des données et déployer un programme de réponse à incidents lui permettant d'investiguer les faits.
* Cette étude est le résultat d'une enquête EY menée entre janvier et février 2020 puis en avril 2020, dans un contexte de crise, où environ 3 600 employés, des conseils d'administration aux employés juniors, travaillant dans divers départements, ont été interrogés dans 33 pays et territoires.
** Mergers and Acquisitions en anglais, c'est-à-dire fusion-acquisition.
