Pour comprendre et analyser les relations entre décisions et contrôle dans une entreprise, il faut s’interroger sur les modes de gestion, de régulation, de contrôle et donc de sa gouvernance. Celle-ci est considérée comme le pilotage de l’entreprise fondé sur des relations s’instaurant entre les managers de cette organisation et une pluralité d’acteurs ou parties prenantes visant de la manière la plus consensuelle possible à la réalisation d’objectifs admis et partagés. Par Amel Sahli – Professeur associé à l’EMLV (Ecole de Management Léonard de Vinci), responsable Majeure Corporate Finance

 

Gouvernance, contrôle interne et audit

Le terme de gouvernance est très utilisé actuellement et renvoie aux modes d’influence et aux processus de prises de décision dans les organisations. Les actionnaires sont des partenaires primordiaux, mais d’autres forment ce qu’on appelle des facteurs d’influence comme les clients, les fournisseurs, les banques, les salariés, l’environnement… C’est le contrôle interne, qui est un dispositif interne à l’entreprise, qui fournit au management ou gouvernement d’entreprise une assurance raisonnable d’une maîtrise des risques qui menaceraient la réalisation des objectifs, la fiabilité des informations, la régularité des opérations et la protection des actifs. L’audit interne est une fonction qui a pour finalité d’évaluer la qualité du système de contrôle interne et d’en recommander les améliorations. Le bénéficiaire de première ligne est le management. Les parties prenantes considèrent que la qualité du contrôle interne est un facteur de bonne gouvernance, et estiment qu’elles doivent avoir des garanties sur cette qualité, grâce à un comité d’audit qui a pour objectif d’apprécier et évaluer ce processus interne.

De la gestion des sinistres à la gestion des risques

Jusque dans les années 1990, ce qu’on nommait « gestion des risques » se limitait en réalité à la gestion des sinistres. Progressivement le champ du risk-management s’est étendu à l’ensemble des risques auxquels peut être confrontée une entreprise. Il ne s’agit plus uniquement de gestion d’assurance mais d’anticiper l’ensemble des risques d’une entreprise, de les évaluer et de mettre en place des procédures de contrôle et de stratégie de gestion. On voit en effet émerger depuis plusieurs années un nouveau métier, celui de risk manager dont le rôle peut fortement varier d’une entreprise à une autre. Né dans les années 1990, la gestion des risques entreprise s’est développée avec les faillites et fraudes comptables de 2001 (Enron, Wordcom, Parmalat…) et la crise financière de 2007-2008.  La gestion des risques entreprise a évolué vers une gestion globale des risques intégrant les risques financiers, opérationnels et stratégiques dans un cadre permettant à l’organisation d’atteindre ses objectifs stratégiques tout en préservant sa valeur financière. Quel que soit leurs origines, les risques interagissent et se combinent du fait d’indépendance et de corrélations entre les évènements, rendant ainsi leur gestion très complexe. Les référentiels du risque d’entreprise COSO, FERMA, AMF sont des référentiels de contrôle interne et de gestion du risque. Ils soulignent tous l’impact du risque comme aléa positif ou négatif sur le patrimoine et la création de valeur : COSO (committee of Sponsoring Organization of the Treadway Commission), FERMA (Federation of European Risk management Associations), AMF (Autorité des marchés financiers) …

Le risque de conformité ou compliance

Les gestionnaires de risques prennent en charge une multitude de risques s’étendant des risques opérationnels et de non-conformité aux risques financiers et stratégiques. Si le métier de risk manager était jusqu’à présent encore peu développé en France, la gestion des risques opérationnels (liés au système d’information, aux process et aux individus) était souvent prise en charge par l’auditeur interne au sein de l’entreprise. Aujourd’hui, la gestion des risques financiers est prise en charge par la plupart des métiers financiers : le crédit manager gère le risque client ; le trésorier doit veiller aux risques de liquidités, de taux de change, de matières premières et de contreparties ; le risk manager applique des solutions prioritairement assurantielles à toutes les menaces sur l’entreprise et le directeur financier est garant du dispositif de contrôle interne visant la protection des actifs.

Dans ce contexte, la compliance est devenue un enjeu central des stratégies des entreprises. La loi Sapin 2, entrée en application à l’été 2017, illustre la tendance en matière de compliance ou conformité : les entreprises de plus de 100 millions de CA et de 500 salariés devront disposer d’un code de conduite, d’un dispositif de contrôle interne, d’une cartographie des risques à jour, d’une évaluation de la situation des clients et fournisseurs et former leur personnel sur ces aspects. La non-conformité coûte cher. Plusieurs grandes entreprises se sont vues infligées des amendes se chiffrant en millions d’euros. Le non-respect des normes a aussi un aspect qui n’est pas financier. Il entame l’image et la réputation de l’entreprise. Les enjeux sont majeurs : perte de confiance des employés, des investisseurs, perte d’attractivité…Face aux évolutions des normes et standards impulsées par les Etats et par les autorités et organisations internationales (commission Européennes, Comité de Bâle, etc..), les acteurs bancaires et de l’assurance ont compris qu’il fallait et intégrer rapidement dans leurs organisations les dernières évolutions en matière de règles prudentielles (IFR9, Solvency 2, TLAC, CCAR (US). Les contraintes réglementaires sont apparues comme des opportunités uniques de transformer les modalités opérationnelles et les modes de fonctionnement. Désormais, le « compliance officer » se positionne comme un expert capable d’identifier, d’évaluer et de contrôler le risque. Doté d’une excellente culture juridique et d’une sensibilité forte au monde financier, il gère principalement le risque et s’assure de la bonne conformité aux différentes législations et/ou réglementations bancaires et aux nouvelles directives européennes et internationale.

Le + de la rédac

Compliance et gestion des risques, gardiens du temple