La gestion du risque d’entreprise à la rescousse*

Point de vue d’un CA canadien sur le nouveau cadre intégré de gestion du risque d’entreprise publié par le COSO

Par Frank Martens

*Cet article est la version intégrale d’un résumé paru initialement dans le numéro de mars 2005 de CAmagazine.

La gestion du risque d’entreprise (entreprise risk management, ERM) efficace ne se limite pas à mieux définir et évaluer les risques. La vraie valeur de l’ERM réside dans le fait qu’elle peut aider les organisations à fonctionner plus efficacement dans des environnements qui les exposent à de nombreux risques. La gestion du risque d’entreprise ne vise pas tant à tenir compte des contraintes qu’à aider les organisations à atteindre leurs objectifs.

Au Canada et ailleurs, les entreprises vivent des bouleversements sans précédent. Des sociétés autrefois stables sont disparues et ont fait place à des soi-disant jeunes pousses. Les entreprises souples, prêtes à s’adapter et possédant une meilleure capacité d’anticipation sont récompensées. Le défi d’assurer une solide performance dans un contexte de changement accéléré n’en est que plus grand étant donné la responsabilité des sociétés de répondre aux attentes croissantes de leurs parties prenantes. L’incertitude accrue qui en découle touche pratiquement toutes les entreprises et a conduit à la nécessité d’harmoniser la gouvernance, la gestion du risque et la conformité à l’échelle de l’entreprise.

La plupart des grandes sociétés ont mis en place des processus de gestion des risques. Elles savent que les risques font partie des affaires, et que la gestion des risques est essentielle au succès. Mais les pratiques de gestion du risque d’entreprise varient énormément, et l’expression elle-même revêt différentes significations pour différentes personnes. En conséquence, les conseils et les hauts dirigeants responsables de superviser l’identification, l’analyse et la gestion des risques n’ont pas eu accès à des indications détaillées provenant d’une source unique pour évaluer leur approche à l’égard de l’ERM.

En septembre 2004, le Committee of Sponsoring Organizations (COSO) de la Treadway Commission a publié un cadre intitulé Enterprise Risk Management – Integrated Framework. Depuis lors, les organisations peuvent extraire de ce cadre fondé sur des principes une orientation et des critères en vue d’améliorer leur capacité à gérer les risques auxquels elles sont exposées. Cette nouvelle norme ouverte devrait éliminer la confusion qu’entraînaient par le passé les conceptions divergentes de ce qu’était ou n’était pas la gestion du risque d’entreprise.

«Ce cadre ne saurait tomber à un meilleur moment», estime le président du COSO, John J. Flaherty. «Les organisations du monde entier admettent maintenant qu’il existe un lien entre la gouvernance, la gestion du risque d’entreprise et la performance des entités. Bon nombre d’entre elles cherchent à améliorer leurs processus d’identification, d’analyse et de gestion des risques. Or, il n’existait jusqu’à présent aucun cadre conceptuel exhaustif qui réponde réellement aux vastes besoins découlant du nouvel environnement réglementaire et concurrentiel.»

Les avantages du cadre du COSO ne sont pas passés inaperçus, d’après Tamara Ebl, responsable de la gestion du risque d’entreprise et de la conformité avec les règles de la CVMO chez Terasen Inc. «L’ERM apporte aux dirigeants du groupe de sociétés Terasen une perspective plus globale de la société du point de vue de la gouvernance d’entreprise. La direction est consciente de l’importance d’atténuer les risques et de réévaluer périodiquement le profil de risque de la société à la lumière des changements dans le contexte économique, tant à l’interne qu’à l’externe. La direction estime pouvoir demander une prime d’apport pour les actions de Terasen du fait de la confiance des investisseurs dans la gestion du profil de risque de la société et de la stabilité des résultats au fil des ans.»

Une approche stratégique en matière de gestion des risques
Le cadre repose sur l’hypothèse selon laquelle une entité existe pour fournir de la valeur à ses parties prenantes. Toutes les entités font face à l’incertitude, et le défi pour la direction consiste à déterminer quel degré d’incertitude est acceptable alors qu’elle s’efforce de faire croître la valeur pour les parties prenantes. L’incertitude présente des risques comme des opportunités, qui ont le potentiel de miner ou d’accroître la valeur. La gestion du risque d’entreprise permet à la direction de gérer efficacement l’incertitude, améliorant du coup sa capacité à générer de la valeur.

Cela vaut autant pour les organisations à but lucratif que pour les OSBL. Kay Best, vice-présidente directrice, gestion des risques, et directrice financière de la Calgary Health Region, explique : «Il nous faut constamment trouver de nouvelles façons de fournir des services avec des ressources limitées. Les risques sont présents sur de nombreux fronts; les réponses doivent donc être bien coordonnées et intégrées pour réduire l’incertitude au minimum et optimiser les possibilités. Afin de relever ces défis, les organisations du domaine de la santé doivent aller au-delà de l’axe de gestion traditionnel (assurances et réclamations) et adopter une approche plus stratégique à l’égard des risques. Notre priorité centrale consiste à préserver et à faire croître la valeur pour les gens que nous servons, en évitant que nos initiatives stratégiques soient ternies par des pertes évitables ou freinées par le changement et l’incertitude.»

Même si le cadre du COSO présente des avantages pour les organisations qui décident de l’adopter, d’autres cadres de gestion des risques sont actuellement utilisés. Ainsi, plusieurs organisations ont adopté le cadre de gestion des risques publié par Standards Australia et de nombreux organismes publics ont adopté le Cadre de gestion intégrée du risque du Secrétariat du Conseil du Trésor du Canada. En outre, des publications telles que les Recommandations sur le contrôle de l’ICCA fournissent des indications qui permettent aux organisations de passer en revue et d’évaluer le contrôle, les risques et la gouvernance.

L’une des questions incontournables est de savoir quelles actions compte poser l’ICCA en réponse au cadre du COSO et s’il prévoit également mettre à jour les publications du Conseil sur les critères de contrôle pour refléter les nouvelles conceptions de l’ERM. Voici la réponse de Gigi Dawe, directrice de projets pour le Service de gestion des risques et gouvernance de l’ICCA : «Actuellement, l’ICCA ne prévoit pas publier de nouvelle édition des publications du Conseil sur les critères de contrôle. L’ICCA n’a toutefois pas réduit pour autant son appui à l’égard de ces publications, et continue d’élaborer des ouvrages sur les risques et la gouvernance qui viseront notamment à permettre aux organisations de répondre aux attentes des autorités de réglementation pour ce qui est du contrôle interne à l’égard des finances, et des contrôles et procédures de communication de l’information.»

Bien qu’il subsiste un certain appui à l’égard de ces documents, il semble qu’un virage vers l’adoption du cadre du COSO soit déjà amorcé. La terminologie du récent exposé-sondage de l’ICCA, Organismes de services (chapitre 5900), est inspirée de celle du cadre du COSO. En vue de se conformer aux exigences réglementaires qui les régissent, de nombreuses entreprises canadiennes appliquent l’un des cadres du COSO. L’examen de plusieurs publications des grands cabinets comptables au sujet des exigences de la CVMO laisse entrevoir que peu d’entre eux favorisent le cadre de référence de l’ICCA pour le contrôle interne, s’en remettant plutôt à l’Internal Control – Integrated Framework du COSO pour les organisations des deux côtés de la frontière. Seul le temps dira si les organisations préféreront consulter une source unique qui intègre contrôle interne et gestion des risques au lieu de sources multiples.

La profession canadienne poursuit son travail en vue de positionner les CA comme fournisseurs privilégiés d’indications sur la gouvernance et la gestion des risques auprès des conseils et des dirigeants, grâce à la publication récente d’ouvrages portant sur des questions que ceux-ci doivent prendre en compte. Bon nombre de ces publications sont principalement axées sur les rôles et les responsabilités assumés à l’interne en matière d’ERM, et concernent les pdg, les responsables de la gestion des risques et les vérificateurs internes. Les CA affectés à ces fonctions mettront sans aucun doute leurs compétences financières à contribution dans les processus de gestion des risques.

Tamara Ebl souligne : «La connaissance étendue des affaires que j’ai acquise grâce au programme de formation des CA a clairement été un atout essentiel. Les ensembles de compétences que j’ai assimilés en matière de recherche, de facilitation, d’analyse critique et d’exercice du scepticisme professionnel, de capacité à communiquer efficacement des résultats, verbalement et par écrit, de professionnalisme, de souplesse, de capacité à accomplir plusieurs tâches simultanément, etc., sont largement attribuables à ce programme et au stage en cabinet. Mes compétences non techniques, sur le plan de la gestion des relations clients par exemple, ont été tout aussi pertinentes à l’interne pour traiter avec le personnel et les dirigeants des divers échelons au sein du groupe de sociétés Terasen.»

Comme les responsabilités de gouvernance accrues obligent les membres du conseil à superviser les processus de gestion des risques, ces derniers se tournent vers leurs conseillers de confiance pour obtenir du soutien. En effet, les CA qui œuvrent à titre de vérificateurs externes sont de plus en plus souvent appelés à éclairer les conseils et les équipes de direction qui cherchent à s’y retrouver en la matière. Attendez-vous à voir de plus en plus de CA intégrer de l’information sur la gestion du risque d’entreprise dans les communications courantes avec les conseils et les comités de vérification, surtout lorsque la phase initiale axée sur la conformité à la réglementation sera terminée.

Les conseils et les directions générales s’interrogent également sur la «valeur» que génèrent les initiatives d’attestation actuelles. Les organisations continuent d’investir considérablement dans les programmes de conformité à la réglementation, et l’importance de ces investissements ne cesse de croître. Gartner Inc. estime que, d’ici 2006, les sociétés ouvertes qui n’auront pas instauré de processus de gestion de la conformité dépenseront 50 % de plus annuellement pour respecter la réglementation américaine. En conséquence, il devient de plus en plus important de mettre en place des processus efficaces et durables qui intègrent les initiatives de gouvernance, de gestion des risques et de conformité, puisque les organisations cherchent à récupérer leur investissement d’une façon ou d’une autre.

L’Entreprise Risk Management – Integrated Framework du COSO a été élaboré à partir de l’Internal Control – Integrated Framework. Le fait que le cadre de gestion du risque d’entreprise du COSO intègre les éléments clés établis dans le cadre de contrôle interne précédent pourrait faciliter le transfert de la focalisation, du contrôle interne à la gestion intégrée des risques. Cependant, le nouveau cadre du COSO ne remplace pas le cadre de contrôle interne, et les organisations ne sont pas tenues de l’appliquer pour satisfaire aux obligations d’information prescrites par les règlements.

Pour commencer
De nombreuses sociétés redéfinissent maintenant leurs priorités afin de tirer meilleur parti des ressources humaines, des processus et de la technologie pour faciliter la mise en œuvre d’initiatives de gestion du risque d’entreprise qui correspondent aux objectifs de l’organisation et génèrent davantage de valeur que des autorisations périodiques. Le premier défi consiste à trouver par où commencer. Tout d’abord, il est important de former une équipe de base en mesure d’apporter dynamisme et engagement au projet. Cette équipe devrait comprendre du personnel des secteurs suivants : planification stratégique, finances, exploitation, conformité, vérification interne, marketing et ressources humaines. Ce sont des personnes qui jouent un rôle clé dans le succès de votre organisation. L’équipe sera également responsable de superviser la conception des tâches associées au programme et d’en assurer le suivi pendant les premiers temps. Demandez à chaque membre de faire des recherches sur un sujet particulier, de consulter d’autres organisations, ou d’élaborer une partie de l’exposé de votre organisation sur la gestion du risque d’entreprise et d’obtenir l’opinion de collègues sur celle-ci. Avec les membres de l’équipe, exercez-vous à tenir des séances de questions et réponses jusqu’à ce qu’ils deviennent des experts maison dans le domaine. Prévoyez certaines questions, comme «Pourquoi est-ce une bonne solution pour nous?» ou «Quelles sont les organisations qui réussissent bien dans ce domaine?», et préparez-vous à y répondre.

Une fois son équipe de base formée et au fait des principes élémentaires de l’ERM, l’organisation peut commencer à repérer les avantages potentiels. Comme les organisations n’utilisent pas toutes l’ERM aux mêmes fins, les avantages qu’elles en retirent sont différents.  L’ERM présente de nombreux avantages, mais déterminer ceux qui sont pertinents pour votre organisation représente l’un des choix les plus importants que vous aurez à faire. Il y a peu d’intérêt à se tourner vers l’ERM pour réduire les surprises et les pertes d’exploitation si ces pertes n’étaient pas significatives par le passé. Cependant, l’ERM peut offrir une valeur importante à votre organisation en lui permettant d’intégrer des réponses qui étaient traditionnellement gérées suivant des canaux internes multiples et peu commodes. Une fois les avantages déterminés, la direction peut s’attaquer à l’analyse de rentabilité. Une recommandation favorable à l’ERM devrait être étayée par une analyse de rentabilité adéquate, c’est-à-dire qui traite des points mentionnés ci-dessus, prévoit la mise en œuvre des principales tâches de planification et établit les pouvoirs et les obligations de reddition de comptes des personnes responsables.

L’ensemble des tâches présentées ci-dessus peuvent permettre aux organisations d’aller de l’avant. Ces tâches n’ont pas besoin d’être indûment complexes, mais elles doivent être suffisamment rigoureuses pour que la direction et le conseil puissent procéder à la mise en œuvre de l’ERM en toute confiance.

Alors, l’Enterprise Risk Management – Integrated Framework du COSO fera-t-il une réelle différence pour les organisations canadiennes? La réponse dépend de la façon dont les organisations décident d’aborder la gestion des risques. Celles qui adoptent le point de vue selon lequel la gestion des risques conduit à une meilleure performance et facilite l’atteinte des objectifs en matière de stratégie, d’exploitation, d’information et de conformité sont plus susceptibles de tirer des avantages accrus de leur travail que les organisations qui concentrent leurs initiatives de gestion des risques sur la protection contre des malheurs éventuels. La décision revient à la direction et au conseil.

 Frank Martens, B.Comm., CA (frank.j.martens@ca.pwc.com), est premier directeur des Services conseils de PricewaterhouseCoopers à Vancouver. Il est aussi l’un des principaux collaborateurs du cadre du COSO.