FINANCES PERSONNELLES
+ L’achat d’une propriété aux États-Unis
+ Inquiétudes post-emploi
+ Plus
PME
+ En mode survie
+ 10 services valeur ajoutée
+ Marchés étrangers
+ La juste evaluation
+ Faire croître ma PME
+ Vos actifs à la rescousse
+ Plus
IFRS et ISA
+ Sept normes côte à côte
+ Normes canadiennes d'audit
+ Pour réussir le passage obligé
+ Plus
TECHNOLOGIES
+ Systèmes CRM
+ Gestion de performance
+ Enquête 2010 sur les logiciels
+ Plus
LIEU DE TRAVAIL
+ Profession plurielle
+ La RSE : vraiment gagnante
+ Santé et productivité
+ Prévention de la fraude
+ CV chronologique gagnant
+ Gare aux fausses notes
+ Générations et objectifs
+ Les primes gardent la cote
+ Plus
ÉTUDIANTS CA
+ Certifié entreprise
+ Destination: CA
EXPERTISE
+ Les prix de transfert
+ Plus
+ Informations et contacts
RSS
+ Recevez les nouvelles qui vous intéressent
NOUVELLES EN LIGNE
+ Notre cyberlettre mensuelle
La gouvernance unifiée
Par André Lessard
Illustration : Baiba Black
De plus en plus d’entreprises intègrent les éléments clés de gouvernance, risque et conformité dans une seule et même démarche
Le début du XXIe siècle a été marqué par une série de scandales financiers qui ont remis à l’avant-scène l'importance de la gouvernance d’entreprise. Quelques exemples restent célèbres, comme Enron (2001), Worldcom (2002) et Parmalat (2003). En adoptant la loi Sarbanes-Oxley (SOX), les Américains, qui ont été imités notamment par le Canada, l’Europe et le Japon, ont voulu rétablir la confiance des investisseurs en exigeant des entreprises inscrites en bourse une refonte de leur processus de gouvernance.
L’intérêt soudain pour les principes de bonne gouvernance a également touché les organismes publics. Au Québec, la Loi sur la gouvernance des sociétés d’État a été adoptée en 2006. Dans les faits, le type de gouvernance imposé par les lois reste une notion abstraite pour beaucoup de gestionnaires. Pour plusieurs, la conformité à ces lois se résume à l’implantation d’une longue liste de contrôles.
À titre de professionnel dans ce domaine, j’ai constaté que la conformité aux règlements de type SOX a généralement été perçue comme une simple dépense.
Les projecteurs de l’actualité
Dans la foulée des événements de la dernière décennie, la question de la gouvernance a pris une place importante dans le monde des affaires à l’échelle mondiale.
Cette popularité fait cependant en sorte que ce mot est utilisé à toutes les sauces, souvent de façon confuse, et même parfois contradictoire. D’une part, la gouvernance est vue comme la chasse gardée des conseils d'administration, et d’autre part, elle s’applique à l’ensemble de la structure interne d’une organisation. Le mot gouvernance est également employé dans plusieurs domaines spécifiques, comme la gouvernance de projet, la gouvernance de systèmes d’informations et même la gouvernance de données. Les réglementations ne sont pas très explicites sur la façon dont les exigences en matière de gouvernance doivent se concrétiser. C’est pourquoi les praticiens se sont tournés vers une référence largement acceptée dans le milieu des affaires, soit les cadres COSO I et II, destinés respectivement aux contrôles internes et à la gestion des risques.
Cette utilisation a engendré un recoupement dans les définitions de la gestion des risques et de la gouvernance d’entreprise. De plus, étant donné qu’il existe également un domaine appelé gouvernance des risques, il est donc normal que la majorité des gestionnaires y perdent leur latin.
Fortes de l’expérience acquise avec la conformité réglementaire, les entreprises prennent tout de même lentement conscience des avantages d’une stratégie globale de gouvernance et de gestion des risques. De plus, les différences entre les concepts de gouvernance, de gestion des risques, de conformité et de contrôle interne se précisent davantage. La sensibilisation fait donc son chemin et par souci de performance, le souhait d'une approche holistique de la gouvernance se manifeste de plus en plus dans les organisations.
L’histoire de la gouvernance
Le mot gouvernance vient du «verbe grec kubernân, [qui veut dire] “piloter un navire ou un char”, [et a été] utilisé pour la première fois de façon métaphorique par Platon pour désigner le fait de gouverner les hommes». Relancé dans les années 1990, et influencé par le rapport d’Adrian Cadbury intitulé The Financial Aspects of Corporate Governance, le mot gouvernance d’entreprise se définissait d’abord par le «système par lequel les entreprises sont dirigées et contrôlées».
Présenté ainsi de façon très générale, ce rapport comportait une série de conclusions sur la structure et les responsabilités d’un conseil d’administration, le rôle de l’audit interne ainsi que sur les droits et les responsabilités des actionnaires.
Cette conception s’est largement répandue à la suite de l’adoption de plusieurs de ces recommandations par des acteurs économiques majeurs comme la Banque mondiale, l’Union européenne et les États-Unis. Comme la définition du rapport Cadbury représente le premier point de référence du mot gouvernance, il n’est pas étonnant qu’elle soit la plus utilisée.
Quelques années après les efforts d’A. Cadbury, le concept de gouvernance d’entreprise s’est enrichi. En 1999, l'Organisation de Coopération et de Développement Économiques (OCDE) a précisé la réflexion sur la gouvernance en ces termes : «Le gouvernement d’entreprise fait référence aux relations entre la direction d’une entreprise, son conseil d’administration, ses actionnaires et d’autres parties prenantes. Il détermine également la structure par laquelle sont définis les objectifs d’une entreprise, ainsi que les moyens de les atteindre et d’assurer une surveillance des résultats obtenus.» Cette orientation, qui situe la gouvernance bien au-delà de la simple notion énoncée par A. Cadbury, s’étend également aux organismes de normalisation.
L’Institut des Auditeurs Internes (IIA) aux États-Unis et l’Institut Canadien des Comptables Agréés (ICCA) reprennent les grands principes de l’OCDE, dont l’atteinte des objectifs de l’organisation au moyen d’une approche structurée.
S’inspirant à son tour de la position de l’OCDE sur la gouvernance d’entreprise, l’organisme américain IT Governance Institute (ITGI) définit aussi la gouvernance des TI comme étant les «structures et processus de commandement et de fonctionnement qui conduisent l’informatique de l’entreprise à soutenir les stratégies et les objectifs de l’entreprise».
D’autres organismes de normalisation abondent dans le même sens. La norme ISO sur la gouvernance des TI (ISO 38500) décrit la gouvernance comme les activités permettant d’«évaluer et de diriger l’utilisation des TI afin d’appuyer l’organisation et surveiller leurs contributions à la réalisation des objectifs», une définition qui est calquée sur la norme australienne AS 8015 ayant trait à la même question.
Nous pouvons donc présumer que l’inclusion des notions de structure, de processus et de surveillance par l'OCDE et ses homologues constitue un facteur qui a semé la confusion en ce qui a trait à la gouvernance et à la gestion des risques d’entreprise.
Le COSO «Enterprise Risk Management» (ERM), la principale référence en la matière, regroupe en effet les volets de l’élaboration des objectifs, des processus de gestion et des activités de surveillance. Il se présente comme un moyen d’améliorer la gouvernance d’entreprise.
La conformité
L’ensemble des notions présentées jusqu’à présent démontre que le mot gouvernance peut faire référence à un large éventail de définitions, englobant autant l’ensemble de la structure de l’organisation que le rôle de la haute direction. Il est donc encore difficile de démêler l’écheveau. Par conséquent, examinons une notion supplémentaire qu’on appelle la conformité.
Associée, dans le langage courant, au respect des réglementations liées aux marchés financiers, la conformité peut toutefois prendre un sens plus profond. Selon le COSO ERM, la conformité constitue l’une des quatre catégories d’objectifs associées aux organisations. Il la décrit comme le fait d’être conforme aux lois ainsi qu’aux règlements applicables. Cette définition correspond à celle de l’ICCA, sauf que cette dernière incorpore les normes et les politiques internes dans son schème de pensée.
L’interprétation proposée de son côté par l’Open Compliance & Ethics Group (OCEG) reprend de façon plus articulée l’ensemble des concepts précédents. En plus de considérer l’adhésion aux obligations légales et réglementaires ainsi qu’aux politiques internes, l’OCEG évoque la capacité de prouver cette adhésion. En somme, la conformité est présentée comme la preuve que les opérations courantes respectent le cadre qui leur a été fixé. L’OCEG est à l’origine d’un cadre de référence publié en 2009 qui met de l’avant le concept de GRC, c'est-à-dire gouvernance, gestion des risques et conformité. Cette nouvelle expression a fait son apparition au milieu de la dernière décennie et elle vise à remettre en perspective les relations entre ces trois concepts.
À l’heure actuelle, le GRC est plutôt associé à des solutions informatiques. Il est néanmoins intéressant que ces trois concepts fassent partie d’un seul et même principe.
Le cycle de la création de valeur
Qu’on l’appelle GRC ou gouvernance d’entreprise, ces deux concepts définissent la gouvernance comme une manière structurée de gérer une organisation.
Le point de départ de cette structure de gestion s’appuie sur les objectifs de l’organisation, déterminés en fonction des parties prenantes de l’environnement interne et externe. La corrélation entre les objectifs stratégiques et le cadre de gouvernance est fondamentale. Même si elle paraît évidente en théorie, il arrive souvent que cette corrélation ne se concrétise pas.
Chaque objectif comporte son lot de risques, ne serait-ce que celui de ne pas réaliser cet objectif. Certains risques sont directement reliés aux objectifs stratégiques, comme la réputation de l’entreprise dans le cas d’une volonté de pénétration de marché.
D’autres risques deviennent des sources indirectes, comme la capacité de production advenant un succès retentissant de la stratégie marketing. Ils pourraient aussi provenir du choix même d’une stratégie de gestion des risques, comme un contrat de sous-traitance pour accroître la capacité de production et qui engendrerait de nouveaux risques financiers et opérationnels.
À la lumière de ces exemples, on constate que les entreprises évoluent dans un univers de risques sans fin, d'où leurs difficultés à procéder à une analyse pertinente de leur carte des risques.
La gestion des risques ne doit pas avoir la prétention de réinventer la roue. Même si elle constitue le contrepoids de la gestion traditionnelle plus intuitive, son but ultime vise à proposer une approche plus structurée, plus logique et plus cohérente.
Dans un cas comme dans l’autre, les stratégies choisies définissent le modèle d’affaires et les processus internes. On exige désormais que les gestionnaires puissent mieux démontrer et défendre le processus décisionnel menant à l’élaboration des stratégies, donc à la concrétisation des objectifs de l’organisation. C’est sur ce point qu’une méthodologie destinée à la gestion des risques d’entreprise, tel le COSO ERM, aide à instaurer une saine gouvernance.
En résumé, une structure de processus, de procédures et d’activités, jumelée à une culture d’entreprise et à des politiques, vise à gérer les risques internes et externes de l’organisation.
Ces risques découlent des objectifs stratégiques et des décisions des gestionnaires. Il est bien sûr impossible d'éliminer complètement tous les risques au sein d’une organisation. Il serait même nuisible de le faire, parce que sans risque, il n’y a pas d’opportunités. L’objectif de la gestion des risques consiste donc à établir la structure qui permet de se maintenir à un niveau de risques optimal afin de réaliser les objectifs stratégiques. Prises dans leur ensemble, les stratégies constituent donc le cadre de gouvernance de l’organisation, représenté dans le diagramme à la page 34.
Le cycle de GRC
On ne saurait conclure sur la gouvernance sans parler de conformité au cadre de gouvernance. Le principe de conformité est également illustré dans le diagramme de la page 34. Si l’on reprend la définition de l’OCEG, elle souligne l’importance de pouvoir démontrer cette conformité.
Les mécanismes de contrôle interne sont effectués dans le but d’assurer la conformité des stratégies de gestion des risques au cadre de gouvernance. En d’autres termes, ils procurent l’encadrement requis pour que les stratégies mises en œuvre fonctionnent de manière efficace et efficiente.
Nous devons nous rappeler pourquoi nous jugeons important d’effectuer des contrôles de révision sur les résultats financiers, de connaître la satisfaction de la clientèle, de mesurer le taux de rejets sur une chaîne de montage et de procéder à une évaluation de rendement des employés.
Toutes ces mesures visent à vérifier si les stratégies d’affaires permettent de réaliser les objectifs souhaités.
En conclusion, le diagramme mentionné précédemment présente deux derniers principes, c’est-à-dire le fait que l’attestation de la conformité au cadre de gouvernance passe par l’utilisation d’instruments de mesure. Ces instruments peuvent se traduire par un processus d’audit interne ou externe traditionnel, mais également par des outils de contrôle automatisés pour mesurer, par exemple, le trafic d’un réseau informatique ou le temps de réponse d’un centre de service.
On peut également se prévaloir d’autres méthodes comme l’audit en continu et l’auto-évaluation. Somme toute, il est possible d’effectuer le choix d’une mesure selon l’importance de la stratégie et la faisabilité technique de l’instrument.
Notons que la mesure de la conformité sert essentiellement à fournir aux gestionnaires l’information requise pour ajuster leurs stratégies de gestion en fonction des aléas du quotidien.
Enfin, c’est ce principe itératif qui constitue la base d’une amélioration continue dans une perspective de gouvernance d’entreprise et d’optimisation des stratégies.
André Lessard, CMA, M.Adm. TI, CISA, est consultant principal, Services conseils en gestion des risques au bureau de Montréal du cabinet comptable RSM Richter Chamberland S.E.N.C.R.L.
Yves Nadeau, CA, CPA, est associé, Certification et Services conseils en gestion des risques au même cabinet montréalais, et il dirige cette rubrique.
