Comment se développera la nouvelle génération de risk managers ?
Pr Jean-Paul Louisot

« Une gestion des risques et une conformité efficaces sont essentielles pour protéger les actifs et réputation de l'entreprise. » (Hendrith Vanlon Smith Jr )

Un récent rapport de l'OCDE analyse le cadre et les pratiques de gouvernance d'entreprise en matière de gestion des risques, dans le secteur privé comme dans les entreprises publiques. Il repose sur une enquête générale menée auprès des juridictions participantes, complétée par trois études nationales illustrant différents aspects de la gestion des risques et de la gouvernance d'entreprise (Norvège, Singapour et Suisse).

Le rapport constate que, bien que la prise de risque soit un moteur fondamental dans les affaires et l'entrepreneuriat, le coût des échecs de la gestion des risques est encore souvent sous-estimé, tant à l'externe qu'en interne, y compris le coût en termes de temps de gestion nécessaire pour rectifier la situation. La gouvernance d'entreprise devrait donc veiller à ce que les risques soient compris, gérés et, le cas échéant, communiqués.

Suite à la crise financière de 2008/2010, de nombreuses entreprises ont commencé à accorder plus d'attention à la gestion des risques. Ce phénomène se traduit cependant rarement par des changements dans les procédures formelles, sauf dans le secteur financier et dans les entreprises qui ont connu récemment de graves défaillances en matière de gestion des risques. Il semble que la plupart des entreprises considèrent que la gestion des risques devrait rester la responsabilité des responsables hiérarchiques.

En réponse aux pressions du public et/ou des actionnaires, certains conseils d'administration d'entreprises, notamment dans les grandes sociétés, ont commencé à revoir leurs structures incitatives, y compris par la réduction des incitations potentielles à une prise de risque excessive, notamment les options boursières pour les cadres supérieurs. Les conseils d'administration des entreprises cotées doivent être dotés de structures incitatives qui récompensent adéquatement le succès commercial, ainsi que la sensibilisation et la gestion du risque.

Les normes existantes en matière de gouvernance des risques pour les sociétés cotées restent principalement axées sur les fonctions de contrôle interne et d'audit, et principalement sur le risque financier, plutôt que sur l'identification (ex ante) et la gestion globale du risque. Les normes de gouvernance d'entreprise devraient mettre suffisamment l'accent sur l'identification ex ante des risques. Une attention doit être accordée aux risques financiers et non financiers, et la gestion des risques doit englober à la fois les risques stratégiques et opérationnels.

Actuellement, les normes de gouvernance des risques ont tendance à être très élevées, ce qui limite leur utilité pratique et/ou se concentrent principalement sur les institutions financières. Il est possible de rendre les normes de gouvernance des risques plus opérationnelles, sans restreindre leur flexibilité pour les appliquer à différentes entreprises et situations. Les expériences du secteur financier peuvent être précieuses, même si elles ne sont pas nécessairement transférables au secteur non financier. Les risques liés à l'externalisation et aux fournisseurs, par exemple, méritent une attention à la fois dans le secteur financier et non financier.

Il n'est pas toujours évident que les conseils mettent suffisamment l'accent sur les risques potentiellement « catastrophiques », même si ceux-ci ne semblent pas très susceptibles de se matérialiser. Des orientations supplémentaires peuvent être fournies sur la gestion des risques qui méritent une attention particulière, tels que les risques qui auront potentiellement d'importantes répercussions négatives sur les investisseurs, les parties prenantes, les contribuables ou l'environnement.

Les conseils d'administration devraient être conscients des lacunes des modèles de gestion du risque qui reposent sur des hypothèses probabilistes douteuses. Les entreprises publiques devraient suivre des pratiques de gouvernance des risques similaires à celles des entreprises cotées, mais cela n'est souvent pas formalisé dans une réglementation applicable. Les écarts par rapport aux normes des sociétés cotées doivent être dûment motivés, et ne pas résulter uniquement d'un manque d'applicabilité des codes de gouvernance d'entreprise.

Parfois, les entreprises publiques sont soumises à une surveillance distincte de la gestion des risques par le biais d'organismes de réglementation sectoriels, de systèmes de gestion des risques pangouvernementaux ou d'institutions gouvernementales d'audit. La surveillance des risques au niveau sous-fédéral tend à être moins développée et plus inégale qu'au niveau fédéral.

Les pratiques du conseil d'administration des entreprises publiques diffèrent, certains pays considérant le risque comme un problème pour l'ensemble du conseil, d'autres chargeant le comité d'audit du conseil avec le travail, et d'autres encore établissant des comités de risque. Comme dans le secteur privé, ces choix sont souvent influencés par des facteurs tels que la taille et les secteurs dans lesquels l'entreprise publique opère. Quelle que soit la structure choisie, une surveillance efficace doit être assurée. Certains pays mandatent des auditeurs externes pour examiner la gouvernance des risques dans les entreprises publiques.

Pour les entreprises publiques, un équilibre crucial doit être trouvé entre …