Gouvernement d’entreprise et management des risques
3.3) Gouvernement d’entreprise et management des risques
Le management des risques suscite un intérêt croissant et les débats sur le gouvernement d’entreprise ont joué, à cet égard, un rôle capital.
C’est au Conseil d’Administration qu’il incombe, en principe, de fixer les objectifs globaux d’une entreprise et de déterminer les processus à mettre en œuvre pour les réaliser. Toutefois, le Conseil d’Administration délègue généralement une grande partie des fonctions concernées aux cadres dirigeants de l’entreprise.
Les administrateurs et les cadres dirigeants exercent ces responsabilités dans le cadre du processus de management.
Le contrôle interne fait partie intégrante du processus de management. Il découle de la façon dont les administrateurs et les cadres dirigeants gèrent l’entreprise.
Que l’on se réfère aux travaux du COSO ou à ceux du Comité Cadbury, le risque a d’importantes répercussions sur le processus de contrôle interne. A défaut de procédures de gestion adéquates, les risques peuvent, s’ils se matérialisent, compromettre la réalisation des objectifs et l’efficacité des contrôles.
Selon le rapport du COSO, toutes les entreprises sont confrontées, à tous les niveaux, à des risques d’origine externe et interne. Les risques peuvent affecter le potentiel des entreprises dans les domaines suivants :
- Continuité de l’exploitation
- Capacité à bien se positionner face à la concurrence
- Situation financière et image de marque
- Qualité du personnel, des produits et des services rendus aux clients.
Les dirigeants doivent concentrer leurs efforts sur les risques à tous les niveaux de l’entreprise, que ce soit au niveau du siège, des fonctions opérationnelles ou de l’activité. Toutes les entreprises, par définition, comportent des risques et il n’est pas possible de réduire les risques à zéro.
Le Conseil d’Administration et les cadres dirigeants doivent décider du niveau de risques qu’ils peuvent tolérer ou accepter tout en restant prudents, et s’efforcer de contenir les risques dans les limites ainsi fixées.
Selon le COSO, la définition des objectifs est une condition préalable de l’évaluation des risques. L’évaluation des risques implique l’identification et l’analyse des risques liés à la réalisation des objectifs. Elle sert de support aux décisions concernant les modalités de management de ces risques.
En outre, il convient d’identifier et de gérer les risques associés au rythme de l’évolution sociale, économique et technologique actuelle.
Si, dans le dispositif intégré que propose le COSO, chacune des composantes d’un contrôle interne efficace (à l’exclusion de l’évaluation des risques) contribue dans une certaine mesure au management des risques, le dispositif de contrôle joue, quant à lui, un rôle essentiel dans ce domaine.
Ce dispositif regroupe l’ensemble des procédures qui permettent de s’assurer que les directives des dirigeants sont appliquées et que les mesures nécessaires sont prises pour gérer les risques liés à la réalisation des objectifs.
Le contrôle interne fait partie intégrante du processus de gestion, ce dernier ne pouvant exister sans contrôles. L’IFACI a jugé que la notion de processus signifie que le contrôle interne n’est pas événement ou une procédure isolée mais plutôt une série d’actions corrélées aux opérations de l’entreprise.
Ces actions sont permanente et continues et dépendent directement de la manière dont le management dirige l’entreprise. Cette approche du contrôle interne doit être perçue comme un élément du processus de management et en conséquence comme totalement imbriquée dans les activités de l’entreprise.
Le Comité Rutteman a émis les recommandations suivantes, qui concernent principalement les contrôles internes financiers :
- « l’étendue et le degré de formalisation des contrôles internes financiers doivent être déterminés en fonction de l’importance des risques financiers encourus, de la probabilité que ces risques se matérialisent, et du rapport coûts / avantages. »
- « Pour évaluer l’efficacité d’un système, il convient de rechercher en particulier si les risques significatifs ont été identifiés et s’ils ont été examinés avec suffisamment d’attention, et de s’interroger sur la nature des mesures prises. »
- La description des principales procédures de contrôle interne financier qui sont mentionnées dans le rapport du Conseil d’Administration « ne doit pas être trop détaillée car, dans le cadre de rapports financiers destinés au public, les modalités retenues pour identifier et évaluer les principaux risques liés à l’activité, les principes appliqués et la qualité des procédures de suivi constituent des éléments d’informations plus pertinents ».
Plus récemment, le Comité Hampel a déclaré, après celui de Cadbury, qu’ «il peut être difficile, en pratique, de distinguer les contrôles financiers des autres contrôles ».
Il a notamment émis la recommandation suivante : «Les administrateurs doivent veiller à la mise en place de contrôles et s’assurer de leur bon fonctionnement dans tous les domaines où il existe des objectifs de contrôle, et non pas seulement dans le domaine financier… Ces contrôles doivent porter sur l’évaluation des risques liés à l’activité et sur les mesures qui en découlent, sur la gestion financière, le respect des lois et de la réglementation et la sauvegarde des actifs, y compris la réduction du risque de fraude ».
Plus récemment encore, le rapport Turnbull s’est attaché à définir les meilleures pratiques de conception, d’application et de maintenance d’un système efficace de contrôle interne des risques. Celles-ci sont explicitées à l’Annexe 2, Note 3.
En France, les principes du gouvernement d’entreprise ont été examinés par une Commission présidée par M. Viénot en juillet 1995 et constituée de Présidents de sociétés cotées françaises. Cette commission a publié ses conclusions dans deux rapports successifs, en 1995 et 1999 (cf. Note 4, Annexe 2) .
En Allemagne, la réforme sur le gouvernement d’entreprise, initiée par le Parlement, s’est illustrée par le KonTraG (cf. Note 5, Annexe 2) .
Si l’on se réfère aux débats que suscite le gouvernement d’entreprise dans les différents pays évoqués, le management des risques liés à l’activité continue de figurer parmi les principales responsabilités des administrateurs et des dirigeants.