Escouade anti-risques

Par Peter Morton
Photographe : Edward Gajdel

Au Canada, on a adopté la gestion du risque d’entreprise depuis un certain temps déjà, et les sociétés ont découvert comment y trouver leur compte

Doug Brooks est très sollicité aux États-Unis ces temps-ci. À titre de premier directeur, gestion des risques pour la Financière Sun Life à Toronto, il parcourt les États-Unis pour parler de l’approche quasi holistique adoptée par les entreprises canadiennes en matière de gestion du risque d’entreprise (GRE).

Art pour le moins mystérieux, la gestion du risque d’entreprise existe sous diverses formes depuis des dizaines d’années. Mais, en cette ère post-Enron et à la suite des attentats du 11 septembre, dans un monde désormais marqué par la Loi Sarbanes-Oxley et toutes les responsabilités imposées aux «chefs» d’une entreprise — chef de la direction, chef des services financiers et maintenant chef de la gestion des risques (CGR) —, cette discipline a pris une nouvelle dimension.

Lors d’un séminaire sur les risques financiers, présenté par l’Association Actuarielle Internationale à Boston l’hiver dernier, Doug Brooks a dit devant une salle bondée : «Si elle dispose de la bonne culture — c’est-à-dire, si chacun se considère responsable de l’identification et de la gestion des risques dans son secteur de responsabilités, et si la haute direction imprime la discipline nécessaire pour que tout fonctionne —, une organisation peut réussir à gérer les risques. Par contre, l’organisation qui dispose des outils les plus perfectionnés mais est privée d’une solide culture du risque ne saura pas gérer les risques efficacement.»

Il n’est pas surprenant que Doug Brooks, aussi vice-président à la Sun Life, soit si populaire aux États-Unis. Au Canada, sans doute avons-nous une culture d’entreprise davantage fondée sur la prudence ou une approche plus globale qu’aux États-Unis. Les entreprises canadiennes n’ont pas tardé à adopter une perspective plus large quant à la façon d’assurer une bonne gestion des risques — et d’en tirer profit.

Pour Doug Brooks, la GRE est simplement un prolongement de ce que les secteurs de l’assurance et des services bancaires font depuis des années, c’est-à-dire tenter de déterminer si une nouvelle entreprise ou une combinaison de circonstances possibles vaut l’investissement, si les risques peuvent être couverts et si l’entreprise peut faire un profit. Souvent, une bonne partie des risques qui se posent à une entreprise peuvent être couverts à l’aide de solutions conventionnelles telles que la couverture de change ou la réassurance.

La GRE, difficile à définir Comprendre pourquoi les entreprises du Canada et d’autres pays ont appris plus rapidement que les sociétés américaines à gérer les risques, c’est comprendre ce qu’est la GRE. «C’est vraiment difficile à définir», admet Suzanne Labarge qui, en tant qu’ancienne membre du Directoire et chef de la gestion des risques à la Banque Royale du Canada, en connaît long sur le sujet. Il y a environ sept ans, lorsqu’elle a été nommée CGR, elle n’était pas seulement la première à occuper ce poste à la Banque, elle était également l’une des premières au Canada. «À l’époque, il n’y avait pratiquement aucun CGR nulle part», se rappelle Suzanne Labarge, qui a récemment pris sa retraite de RBC Groupe Financier à Toronto. Des séminaires ont été entièrement consacrés à tenter de définir, pour les profanes, ce qu’est la GRE. Des tonnes de papier ont été employées dans la recherche d’une définition définitive. Des modèles informatiques douloureusement complexes ont été mis au point pour parvenir à une gestion plus efficace des risques. La US Society of Actuaries a elle aussi proposé une définition de la GRE. [TRADUCTION] «La gestion du risque d’entreprise est la discipline par laquelle une entité d’un secteur d’activité donné évalue, contrôle, mesure, exploite, finance et surveille les risques de toute provenance afin d’accroître sa valeur à court et à long terme pour les parties prenantes.» Mais les entreprises ont encore besoin d’une explication simple. «Si, en contexte mondain, on me demande ce qu’est la GRE, tout ce qui me vient à l’esprit est de dire : "Connais ton risque"», indique Prakash Shimpi, responsable des services de gestion des risques à l’échelle mondiale pour Towers Perrin à New York. «Et si on me questionne davantage, je réponds qu’il faut ensuite se demander : "Quel est le poids de ce risque?"» Lors d’une réunion de CGR tenue à New York l’été dernier, sous l’égide de la US Society of Actuaries, de Standard & Poor’s et de la Casualty Actuary Society, la meilleure définition que les participants ont pu trouver est que, comme la GRE est en mouvance, elle est moitié art, moitié science, et elle est en constante évolution. La description la plus visuelle est probablement celle qu’a donnée John Fraser, vice-président, vérification interne et chef de la gestion des risques de Hydro One Inc. «Envisageons la question sous cet angle, avance-t-il. Lorsqu’une entreprise néglige la gestion des risques, c’est comme si quelqu’un conduisait une voiture sans freins.»

Suivant l’exemple des banques et des entreprises d’assurance, les entreprises canadiennes ont progressé plus rapidement que les sociétés américaines en matière de GRE, ces dernières ayant été entraînées à contrecœur dans une réalité organisationnelle nouvelle et inconnue après l’effondrement de Enron, WorldCom et autres.

«Les sociétés canadiennes, comme les entreprises britanniques et australiennes, ont eu leurs propres versions de la Loi Sarbanes-Oxley des années avant les États-Unis», explique Prakash Shimpi, responsable de la gestion des risques à l’échelle mondiale pour Towers Perrin à New York. Même si les États-Unis rattrapent le Canada et d’autres pays en matière de GRE, il subsiste encore un fossé énorme. «Les sociétés américaines, pour l’essentiel, voient encore la GRE comme une question de conformité à la réglementation, dit Prakash Shimpi. Si les entreprises canadiennes sont perçues comme avant-gardistes en gestion des risques, c’est peut-être en raison de l’approche différente qu’elles adoptent [approche de bas en haut].»

Aux États-Unis, la gestion des risques repose sur un système de listes de contrôle, explique Doug Brooks, alors qu’au Canada on se fonde sur des principes. «Les Américains se concentrent sur le respect des règles, ce qui n’est guère propice à la gestion des risques, dit-il. Dans le cadre d’un système fondé sur des principes, on tente de prévoir ce qui peut arriver, plutôt que de simplement cocher des cases.»

En raison du nombre de sociétés américaines, les autorités de réglementation ont adopté un système fondé sur des listes de contrôle qui simplifie l’administration et facilite pour les tiers le contrôle et la vérification des données. Au Canada, le plus petit nombre de sociétés a permis l’élaboration d’une approche fondée sur des principes. «Le système par listes de contrôle ne permet pas d’élaborer des règles complètes pour chaque situation», de dire Doug Brooks. C’est pourquoi, dans ses allocutions aux États-Unis, il se concentre sur une approche globale de la mise en œuvre de la gestion des risques dans l’ensemble de l’entreprise. «J’aime répéter que chaque membre de l’entreprise est gestionnaire de risques», dit-il.

Le Canada est en avance dans ce domaine, précise John Fraser, CGR et vice-président, vérification interne, chez Hydro One Inc. à Toronto, parce que sa taille est relativement modeste, ce qui favorise le réseautage des CGR. «Les États-Unis sont 10 fois plus grands que le Canada, dit-il, alors il a fallu un événement de l’ampleur du scandale d’Enron pour que les Américains commencent à réfléchir à la question.» Et contrairement à de nombreuses sociétés américaines qui peuvent prospérer sans même quitter leur gigantesque marché intérieur, les entreprises canadiennes ont été forcées de se tourner vers l’international pour conquérir de nouveaux marchés.

Comme l’entreprise fait face à plus de marchés, davantage de choses peuvent mal tourner. «Lorsqu’on fait des affaires dans un seul pays, même s’il est très grand, on peut gérer ses risques avec les mêmes types d’outils», ajoute Doug Brooks.

Une autre raison du leadership du Canada réside dans son cadre réglementaire. Les chefs de la gestion des risques canadiens et les personnes qui s’occupent de risque sont d’avis que ce cadre est quelque peu différent de celui des États-Unis, du fait qu’il est basé sur des principes et non sur des règles. Au Canada, le Bureau du Surintendant des institutions financières propose les «meilleures pratiques» dans un certain nombre de secteurs, mais l’adoption de ces pratiques est laissée à la discrétion de chaque institution financière. Aux États-Unis, l’approche est davantage réglementaire, ou fondée sur des règles.

Un tournant décisif a été pris au Canada en décembre 1994, dans le cadre d’un rapport du Comité sur le gouvernement d’entreprise de la Bourse de Toronto, intitulé Where Were the Directors – Guidelines for Improved Corporate Governance in Canada. Bien avant Enron et WorldCom, ce rapport sonnait l’alarme pour conscientiser les conseils à l’égard de leur rôle dans l’entreprise, particulièrement sur le plan de la gestion des risques. [TRADUCTION] «Le conseil d’administration doit assumer explicitement la responsabilité de […] l’identification des principaux risques associés aux activités de l’entreprise et veiller à la mise en place de systèmes adéquats pour gérer ces risques», pouvait-on lire dans les recommandations de ce rapport.

À vrai dire, le Canada n’a pas l’apanage de la vertu en matière de GRE. Selon John Fraser, le Canada a adopté en bonne partie ce qui est souvent considéré comme la bible de la gestion des risques, qu’on appelle couramment la norme 4360. Élaborée en 1995, mise à jour en 1999 et actualisée en 2004, la norme australienne AS-NZS 4360:2004 en gestion des risques est considérée comme le modèle international pour ce qui est de fournir des lignes directrices générales aux gestionnaires de risques.

Alors que les sociétés canadiennes, britanniques et australiennes ont souscrit à un nouveau style de gestion des risques, les entreprises américaines n’ont fait le saut que lorsqu’elles ont été confrontées à une série de risques qui n’existaient pas 10 ans auparavant. L’effondrement d’Enron et de WorldCom a entraîné une nouvelle génération de règles applicables aux sociétés, dont celles de la Loi Sarbanes-Oxley. Tout comme leur équivalent dans les autres pays, ces nouvelles règles visent à rendre les dirigeants et les administrateurs davantage responsables des actions de leur société.

On doit également composer avec les nouvelles règles applicables à la gestion des capitaux, connues sous le nom de «accord de Bâle II», mises en place par le Comité de Bâle sur le contrôle bancaire, chargé d’uniformiser la réglementation des banques dans le monde. (En septembre 2004, le Committee of Sponsoring Organizations de la Treadway Commission a publié le cadre normatif Enterprise Risk Management Integrated Framework, qui constitue l’équivalent de la norme australienne.)

Outre la réglementation gouvernementale, les entreprises sont motivées par des facteurs tels que l’intégration internationale, le mouvement mondial vers la transparence et l’uniformité de l’information financière, et la concurrence traditionnelle. Une autre raison, plus inquiétante, a trait à l’incertitude qui s’est installée à la suite des attaques terroristes de 2001. «On peut examiner les probabilités sismiques, l’activité terroriste — la liste est longue, dit Doug Brooks. Évidemment, en cas de guerre nucléaire, cela devient sans objet.»

La gestion du risque d’entreprise s’intéresse aux risques qui, souvent, ne sont pas tout à fait évidents ou ne sont pas nécessairement réglementés. Il peut même s’agir de choses d’apparence anodine, comme des erreurs informatiques ou des lettres mal adressées. Or, ces erreurs qui semblent peu importantes peuvent entacher la réputation d’une entreprise et éloigner les clients capricieux. Prenons l’expérience de la Banque Royale du Canada, il y a cinq ans. La Banque avait engagé une société pour faire l’envoi des relevés aux clients. Une autre banque employait aussi cette société, et des relevés ont été adressés aux mauvaises personnes. Même si la banque n’avait rien à se reprocher, elle a dû accuser le coup. «Nous avons constaté», explique Suzanne Labarge, ancienne membre du Directoire et CGR à la Banque Royale, «que nos clients se fichaient de savoir qui avait mis les relevés dans les mauvaises enveloppes. C’est à nous qu’ils en voulaient. Nous avons mis de côté certaines initiatives parce que nous avions déterminé, en analysant les risques, qu’elles n’étaient pas bonnes pour notre image, dit-elle. Ainsi nous avions le choix de décider si les risques étaient trop intolérables ou s’ils pouvaient être gérés.»

Suzanne Labarge mentionne qu’il est difficile de trouver un exemple courant et concret pour illustrer dans quelle mesure la GRE a permis d’atténuer un problème ou en a entraîné un. Et c’est parce que le processus est conçu pour fonctionner essentiellement en coulisse. «Si la GRE est efficace, personne ne s’en rend compte. Ce n’est que lorsqu’elle a des ratés que les problèmes font les manchettes», dit-elle.

John Fraser, sur le point de présenter son palmarès des 10 risques principaux devant le comité de vérification de Hydro One, en connaît un qui est évident. «Je dois informer le comité de ce que j’entends faire de tous les vieux poteaux électriques inclinés que nous avons dans toute la province, dit-il. Hydro One doit repérer et remplacer ces poteaux avant qu’ils ne tombent, pour éviter le mécontentement des clients et un accroissement des coûts. C’est important. Nous dépensons 1 milliard par année dans la transmission et la distribution.»

Aussi nébuleuse puisse-t-elle paraître, la GRE est là pour rester. Elle a obtenu ses lettres de noblesse, affirme Prakash Shimpi. Une étude réalisée par MMC Enterprise Risk Inc. et The Economist a permis de découvrir que 41 % des entreprises pratiquent désormais une forme ou une autre de gestion des risques. Et elle règne dans les domaines où cela va de soi : assurance, services financiers et énergie, où 85 % des entreprises font de la gestion des risques, selon le Conference Board du Canada.

Une récente étude du Conference Board, réalisée en collaboration avec la Georgia State University et Towers Perrin, révèle que les entreprises créent le poste de CGR pour trois grandes raisons : centraliser et coordonner la fonction de gestion des risques; implanter et élaborer un cadre intégré de gestion des risques; et améliorer la communication des risques à la direction, au conseil d’administration et aux autres parties intéressées.

Le processus prend toutefois du temps. Le Board a observé que, dans 50 % des entreprises, le rôle de CGR existait depuis moins de deux ans, mais le vent tourne. Une étude de Towers Perrin portant sur les chefs des services financiers dans le secteur de l’assurance-vie, publiée en novembre 2004, indique que la mise en place de la GRE compte parmi les trois principales préoccupations pour 2005. L’étude montre que 69 % des chefs des services financiers désignent le contexte concurrentiel et l’environnement économique comme les deux plus grands obstacles à l’atteinte des objectifs de leur entreprise en matière de croissance, profits et gestion des risques.

Ce sont les questions réglementaires qui poussent près des deux tiers (63 %) des chefs des services financiers interrogés à améliorer la gestion des risques, et 90 % des entreprises sont pour le moins peu préparées à relever les défis à venir.

«La plupart des assureurs n’en font pas assez pour intégrer la GRE, mais des signes encourageants indiquent que beaucoup d’entre eux sont sur la bonne voie», commente Jack Gibson, directeur général des services d’assurance-vie pour l’Amérique du Nord de Towers Perrin à New York.

Si le Canada, l’Australie et le Royaume-Uni sont pour l’instant chefs de file sur le plan de l’innovation en GRE, les Américains rattrapent vite leur retard. Et cela tient peu à la gouvernance d’entreprise, aux poursuites d’actionnaires, à la Loi SOX et à la nouvelle réglementation gouvernementale. C’est plutôt une question de profit. «La gestion des risques évolue et est maintenant perçue comme une opportunité, selon les priorités de l’entreprise», explique Cheryl Kruger, actuaire en chef de la US Society of Actuaries en Illinois. Elle précise que de nombreuses entreprises qui ont beaucoup investi pour élaborer des outils de gestion des risques entendent utiliser ces outils non seulement pour atténuer les risques, mais aussi pour évaluer les nouvelles opportunités.

Towers Perrin, dans son troisième sondage biennal Tillinghast auprès des cadres nord-américains, européens et asiatiques chargés de la gestion des risques dans le secteur de l’assurance, a constaté que :

• la GRE a obtenu ses lettres de noblesse et les sociétés lui accordent désormais toute leur attention;
• la GRE crée finalement de la valeur pour les actionnaires, en permettant de mieux fonder le processus décisionnel et la répartition des capitaux sur les risques;
• le capital économique devient un outil décisionnel clé de plus en plus en vogue;
• la gestion des risques et la gestion des capitaux font déjà la différence dans l’orientation des décisions d’affaires;
• malgré les progrès des dernières années, il ressort du sondage que les entreprises estiment qu’il reste encore des lacunes importantes à combler.

Towers Perrin a aussi constaté que, depuis le sondage précédent, en 2002, la façon dont les entreprises positionnent la gestion des risques dans la hiérarchie des priorités a considérablement évolué. Dans 39 % des entreprises sondées, le CGR était investi de la responsabilité première de la gestion des risques, ce qui n’était vrai que dans 19 % des entreprises en 2002, puisque les chefs des services financiers étaient ceux qui assumaient alors cette responsabilité en grande partie. Mais c’est l’amélioration des résultats qui a le plus interpellé les entreprises d’Amérique du Nord et d’ailleurs.

Même si elles ont instauré une gestion des risques plus globale pour se conformer aux nouveaux règlements sévères, au moins la moitié des entreprises disent qu’elles souhaitaient mieux utiliser les capitaux et accroître la valeur pour les actionnaires au lieu de se limiter à la protéger. «C’est alors que cette démarche prend tout son sens», conclut Prakash Shimpi.

Peter Morton est correspondant en chef à Washington pour le Financial Post.