Les trois principaux risques des dirigeants et mandataires sociaux restent inchangés par rapport à l'année dernière (attaques cyber, perte de données et cyber-extorsion). On remarque que ces nouveaux risques s’inscrivent dans la durée et ont vocation à rester des risques sources de préoccupation pour de nombreux dirigeants. Le Règlement Général sur la Protection des Données (RGPD) étant en vigueur depuis plusieurs années maintenant (23 mai 2018) , les entreprises et les dirigeants ont été témoins des importantes amendes qui peuvent être imposées par les autorités régulatrices en charge de la protection des données à la suite d'une violation des systèmes d’information. Concernant l’impact de ces réglementations sur les personnes physiques, il est encore trop tôt pour en apprécier les développements.
En outre, les conséquences financières sous l’angle du Dommage (réparation des dommages subis, reconstitution des données, remise en marche des outils informatiques, frais d’expertise, perte d’exploitation consécutive à l’arrêt total ou partie des systèmes d’information, etc.) à la suite d'une attaque Cyber peuvent être considérables, si on doit également y ajouter les conséquences financières d’actions que des tiers peuvent introduire suite au préjudice subi ou qu’ils estimeraient avoir subi.
La cybersécurité est, bien entendu, d'une importance capitale pour les sociétés, quelle que soit leur taille, mais il peut s'avérer très difficile de suivre le rythme des moyens utilisés pour perpétrer les attaques, ce qui signifie que les actions menées par les autorités régulatrices contre des sociétés qui n’auraient pas suffisamment bien protégé leur(s) système(s) d’information constituent une exposition supplémentaire pour les sociétés et leurs dirigeants.
D'une manière plus générale et tous domaines confondus, les actions menées à travers le monde par les autorités régulatrices continuent d'être une source de préoccupation pour les sociétés et leurs dirigeants, et ce à juste titre. Ces dernières années ont été marquées par une surveillance accrue de la part de régulateurs plus proactifs, plus « globaux », et plus agressifs (notamment après la pandémie), qui ont des exigences réglementaires de plus en plus strictes et la volonté de demander des comptes aux sociétés à l’origine de manquements (volontaires ou par omission) et de procéder à des sanctions quand elles le jugent nécessaire. Les régulateurs continuent de se concentrer sur la lutte contre la criminalité financière et les abus de marché, sur l'amélioration de la protection des consommateurs, ainsi que sur l'importance croissante des politiques de RSE (ou ESG), y compris les risques liés au climat, et sur la réglementation des crypto-monnaies. Nous pouvons nous attendre à ce que les pouvoirs des régulateurs évoluent en parallèle de ces risques émergents, ce qui viendra alors accroitre doublement l’exposition des dirigeants
Bien que la responsabilité sociale des entreprises et l'ESG soient des sujets brûlants pour les conseils d'administration, le changement climatique figure parmi les 7 principaux risques pour les dirigeants seulement dans deux des six régions étudiées - la Grande-Bretagne et l'Australasie. Il est toutefois intéressant de noter que le changement climatique a été le risque numéro un en Grande-Bretagne cette année, devant la cyber-extorsion, la perte de données et la cyber-attaque, qui ont dominé le top 3 des risques dans la région au cours des trois dernières années consécutives. Il est clair que toute obligation de communication sur des sujets pouvant impacter la performance opérationnelle et financière d’une société crée une responsabilité, mais la manière dont les entreprises et les conseils d'administration abordent la question du respect des exigences ESG constituera une responsabilité aussi importante que le fait de ne pas se conformer ou d'atteindre les objectifs.
Agir dans ce domaine peut avoir d'énormes répercussions, non seulement pour l'entreprise elle-même, mais aussi pour la société dans son ensemble. Les conseils d'administration devront bien comprendre et intégrer tous ces aspects avant d'agir, faute de quoi ils pourraient subir le poids des réclamations découlant d'une mauvaise gestion de leurs politiques ESG.
Il ressort clairement de l'enquête que les dirigeants appréhendent également les risques pénaux, qu'il s'agisse de tomber sous le coup de la loi pénale ou que la société soit victime d'un délit, tel que la cybercriminalité. Le risque de poursuites en matière de santé et de sécurité arrive en cinquième position sur la liste des sept principaux risques.
Les entreprises sont tenues de faire tout ce qui est raisonnablement possible pour protéger la santé et la sécurité de leurs employés et pour assurer la sécurité du lieu de travail. Les manquements à cet égard peuvent donner lieu à des amendes importantes et, dans certains cas, à des peines de prison lorsqu'il s'agit d'un manquement particulièrement flagrant. Au Royaume-Uni, les cadres peuvent être poursuivis si l'infraction a été commise avec le consentement, la connivence ou la négligence d’un ou plusieurs dirigeants, et de nombreuses autres juridictions prévoient des dispositions similaires. Comme la plupart des autres organismes du secteur public, les autorités chargées des poursuites ont accumulé un arriéré d'affaires pendant la pandémie, qui est en train de se concrétiser, ce qui se traduit par un niveau d'activité élevé. Nous devrons voir si ces niveaux se maintiendront ou s'ils diminueront une fois que les effets de la pandémie seront passées.
Les enquêtes sur les « pots-de-vin » et la corruption sont coûteuses et souvent transfrontalières, et les procureurs coopèrent au niveau international pour éradiquer ces comportements. Outre les infractions directes, certaines juridictions, comme le Royaume-Uni, ont édicté des infractions pénales de "défaut de prévention" pour les entreprises, ce qui pourrait donner lieu à des poursuites ultérieures pour les cadres dans le cas d'un accord de poursuites différées.
Les sept premiers risques montrent clairement que les dirigeants sont confrontés à une série de risques complexes et potentiellement intenses, qui pourraient avoir des conséquences importantes. La gestion des risques et la mise en œuvre de systèmes et de contrôles adéquats sont essentielles pour prévenir et atténuer ces risques.