Gestion des risques | Management
La gouvernance et le contrôle des risques, des principes à la réalité
Du : 13/02/2008
Tirant les premières leçons de l'affaire de la Société générale, la ministre de l'économie Christine Lagarde a notamment posé la question du lien entre les contrôles internes aux entreprises et leur gouvernance, dans son rapport au premier ministre publié lundi 4 février : "Le renforcement effectif des contrôles internes requiert une plus grande implication des instances de gouvernance des établissements. A cet égard, il serait souhaitable que, compte tenu de la complexité des opérations effectuées, les organes sociaux mettent en place des comités composés en partie de personnalités indépendantes et dédiés à la surveillance des risques et du contrôle interne."
En France, les administrateurs sont déjà investis d'une responsabilité assez large dans ce domaine et en rendent compte aux actionnaires dans un rapport spécifique lors des assemblées générales. "Alors qu'aux Etats-Unis, la loi Sarbanes- Oxley impose au conseil d'administration un contrôle des seuls risques comptables et financiers, la loi de sécurité financière de 2003 impose, en France, le contrôle de tous les risques, ce qui inclut les questions juridiques, fiscales, opérationnelles, environnementales, sociales, de réputation ou liées aux systèmes d'informations internes, etc.", explique Daniel Lebègue, président de l'Institut français des administrateurs (IFA).
Ainsi, comme le prévoient aussi les codes de bonne gouvernance en vigueur dans les autres pays européens et en Amérique du Nord, les conseils d'administration sont chargés de veiller, dans les grands groupes de l'Hexagone, à l'existence et à la fiabilité du dispositif de contrôle interne mis en place par la direction, et à la conformité de l'entreprise aux lois, règlements et codes de déontologie professionnelle qui la concernent.
Dans la pratique, le conseil d'administration délègue souvent cette mission à son comité d'audit ou des comptes, qui d'ailleurs s'appelle parfois comité d'audit et des risques. Selon l'IFA, 95 % des grandes sociétés disposent d'un comité d'audit, qui se réunit sept à huit fois par an, autant de fois que le conseil d'administration, et est composé majoritairement d'administrateurs indépendants. Il examine généralement deux fois par an une "cartographie" des différents risques de l'entreprise et se penche une fois par an, dans le détail, sur ceux-ci. Il entend aussi le responsable du contrôle interne et les commissaires aux comptes.
"EN TEMPS RÉEL"
Depuis l'"affaire de la Société générale" ces comités cherchent à renforcer leur dispositif : "Le management des banques, les conseils d'administrations et les comités d'audit examinent diverses pistes pour améliorer la sécurité des processus, de façon à ce que, par exemple, les incidents significatifs sur les opérations de marché remontent jusqu'au comité d'audit de façon plus rapide et plus systématique que ce n'est le cas aujourd'hui. L'idée est que les alertes puissent être déclenchées en temps réel", explique M. Lebègue.
Le point crucial est en effet la mise en oeuvre concrète des "bons principes" dans la vie de l'entreprise. "Les codes de gouvernance proposent ce qu'ils appellent des "meilleures pratiques", mais il s'agit d'un cadre assez large et non pas de pratiques très détaillées et réelles", explique Peter Wirtz, professeur de finance à l'université Lyon-II. "Il est relativement commode de transformer ce cadre en une simple check-list de critères à respecter sur le plan formel, ce qui donne bonne conscience et permet d'afficher une certaine légitimité. Enron (dont la faillite, en 2001, a contraint à une révision générale des règles de gouvernance aux Etats-Unis) respectait à la lettre les "meilleures pratiques"...", souligne M. Wirtz, pour qui "le critère de l'indépendance des administrateurs a trop été considéré comme une recette miracle, alors que les codes de gouvernance ont négligé l'aspect de la compétence de l'administrateur et de sa bonne connaissance de l'activité de l'entreprise".
A l'intérieur des banques, le poids des contrôleurs doit sans doute aussi être renforcé. "Bien qu'étroitement encadré par des normes réglementaires, le contrôle des risques de marché souffre encore trop souvent d'un manque de reconnaissance à l'intérieur des établissements de crédit. La séparation formelle entre départements de contrôle et de front-office, réglementairement imposée, ne saurait garantir à elle seule la capacité des premiers à constituer un véritable contre-pouvoir face aux seconds", souligne Benoît Cougnaud, professeur de finance à Sciences Po et fondateur de la société de gestion de risques financiers Securrisk Partners. Ce spécialiste recommande "d'intéresser, y compris dans les modes de rémunération, l'ensemble des parties prenantes à une bonne maîtrise des risques, en complément des indicateurs de résultats déjà pris en compte". De façon à ce que les risques soient effectivement pris au sérieux.
En France, les administrateurs sont déjà investis d'une responsabilité assez large dans ce domaine et en rendent compte aux actionnaires dans un rapport spécifique lors des assemblées générales. "Alors qu'aux Etats-Unis, la loi Sarbanes- Oxley impose au conseil d'administration un contrôle des seuls risques comptables et financiers, la loi de sécurité financière de 2003 impose, en France, le contrôle de tous les risques, ce qui inclut les questions juridiques, fiscales, opérationnelles, environnementales, sociales, de réputation ou liées aux systèmes d'informations internes, etc.", explique Daniel Lebègue, président de l'Institut français des administrateurs (IFA).
Ainsi, comme le prévoient aussi les codes de bonne gouvernance en vigueur dans les autres pays européens et en Amérique du Nord, les conseils d'administration sont chargés de veiller, dans les grands groupes de l'Hexagone, à l'existence et à la fiabilité du dispositif de contrôle interne mis en place par la direction, et à la conformité de l'entreprise aux lois, règlements et codes de déontologie professionnelle qui la concernent.
Dans la pratique, le conseil d'administration délègue souvent cette mission à son comité d'audit ou des comptes, qui d'ailleurs s'appelle parfois comité d'audit et des risques. Selon l'IFA, 95 % des grandes sociétés disposent d'un comité d'audit, qui se réunit sept à huit fois par an, autant de fois que le conseil d'administration, et est composé majoritairement d'administrateurs indépendants. Il examine généralement deux fois par an une "cartographie" des différents risques de l'entreprise et se penche une fois par an, dans le détail, sur ceux-ci. Il entend aussi le responsable du contrôle interne et les commissaires aux comptes.
"EN TEMPS RÉEL"
Depuis l'"affaire de la Société générale" ces comités cherchent à renforcer leur dispositif : "Le management des banques, les conseils d'administrations et les comités d'audit examinent diverses pistes pour améliorer la sécurité des processus, de façon à ce que, par exemple, les incidents significatifs sur les opérations de marché remontent jusqu'au comité d'audit de façon plus rapide et plus systématique que ce n'est le cas aujourd'hui. L'idée est que les alertes puissent être déclenchées en temps réel", explique M. Lebègue.
Le point crucial est en effet la mise en oeuvre concrète des "bons principes" dans la vie de l'entreprise. "Les codes de gouvernance proposent ce qu'ils appellent des "meilleures pratiques", mais il s'agit d'un cadre assez large et non pas de pratiques très détaillées et réelles", explique Peter Wirtz, professeur de finance à l'université Lyon-II. "Il est relativement commode de transformer ce cadre en une simple check-list de critères à respecter sur le plan formel, ce qui donne bonne conscience et permet d'afficher une certaine légitimité. Enron (dont la faillite, en 2001, a contraint à une révision générale des règles de gouvernance aux Etats-Unis) respectait à la lettre les "meilleures pratiques"...", souligne M. Wirtz, pour qui "le critère de l'indépendance des administrateurs a trop été considéré comme une recette miracle, alors que les codes de gouvernance ont négligé l'aspect de la compétence de l'administrateur et de sa bonne connaissance de l'activité de l'entreprise".
A l'intérieur des banques, le poids des contrôleurs doit sans doute aussi être renforcé. "Bien qu'étroitement encadré par des normes réglementaires, le contrôle des risques de marché souffre encore trop souvent d'un manque de reconnaissance à l'intérieur des établissements de crédit. La séparation formelle entre départements de contrôle et de front-office, réglementairement imposée, ne saurait garantir à elle seule la capacité des premiers à constituer un véritable contre-pouvoir face aux seconds", souligne Benoît Cougnaud, professeur de finance à Sciences Po et fondateur de la société de gestion de risques financiers Securrisk Partners. Ce spécialiste recommande "d'intéresser, y compris dans les modes de rémunération, l'ensemble des parties prenantes à une bonne maîtrise des risques, en complément des indicateurs de résultats déjà pris en compte". De façon à ce que les risques soient effectivement pris au sérieux.