|
|
|
|
 |
|
Accueil |  |
Contacts | |
Contenu rédactionnel | |
Publicité | |
Abonnement | |
Archives | |
Recherche | |
CMA Canada | |
|
|
|
|
Articles de fond
Contenu
Imprimer le texte seulement
Guide sur le risque et la gestion des risques à l’intention de l’administrateur par Anthony A. Atkinson, CMA, FCMA, et Alan Webb, CA
Étant donné cet écart manifeste entre ce que les administrateurs devraient savoir au sujet de la gestion des risques et ce qu’ils en savent véritablement, nous nous pencherons sur trois éléments importants qui contribuent au risque d’entreprise et sur la façon dont ces risques peuvent être gérés. Il sera question des points de contrôle et des informations nécessaires pour gérer chacun des quatre types de risques d’entreprise. L’importance de la gestion des risques Une revue complète des nombreuses sources de lignes directrices, de recommandations et d’exigences sur la gestion des risques destinées aux conseils d’administration déborde le cadre du présent article. Nous présentons néanmoins quelques exemples pour illustrer l’importance de cette question dans le contexte réglementaire actuel. Le rapport de 2001 du Comité mixte sur la gouvernance d’entreprise (ICCA/TSE/CDNX) recommande que les conseils d’administration de sociétés inscrites à la Bourse de Toronto supervisent le système de gestion des risques mis en place par la direction et soient aux aguets de risques et d’occasions stratégiques pouvant émerger dans l’environnement. De même, selon la politique proposée par la Commission des valeurs mobilières de l’Ontario sur une gouvernance d’entreprise efficace, publiée en janvier 2004, le conseil d’administration devrait avoir pour mandat de « repérer les principaux risques auxquels est exposée la société de l’émetteur et de s’assurer que des systèmes appropriés soient mis en œuvre pour la gestion de ces risques ». Ces deux exemples sont des pratiques exemplaires que les sociétés ne sont pas encore tenues de suivre. Cependant, dans les branches d’activité où la responsabilité fiduciaire est particulièrement importante (comme dans le secteur des services financiers), la législation (par exemple, la Loi sur les banques) exige explicitement l’adoption de procédures détaillées de gestion des risques, à savoir un contrôle interne rigoureux. De même, la Société d’assurance-dépôts du Canada oblige le conseil d’administration à examiner et à approuver les contrôles et les procédures de l’organisation dans le cadre de ses responsabilités de gestion des risques. La nature du risque Le risque découle de l’incertitude quant à la réalisation des objectifs de l’organisation. La nature fondamentale et les conséquences du risque sont les mêmes pour les organisations à but lucratif et les organismes sans but lucratif. Dans le cas des premières, le risque se traduit généralement par une incertitude quant au rendement financier. Pour les seconds, il se traduit en général par une incertitude quant à l’atteinte des objectifs qualitatifs déclarés de l’organisme. Par exemple, un ministère provincial de la santé a pour objectif d’améliorer un indicateur quelconque concernant la santé de la population et le risque est associé à l’incertitude quant à l’atteinte de cet objectif.
Selon un principe fondamental de l’économie financière, le rendement compense le risque : plus le niveau de risque spécifique ou non systématique est élevé, plus le rendement prévu est important. La gestion des risques consiste principalement à établir un compromis approprié entre le risque et le rendement, à mettre en œuvre des processus et des plans d’action qui reflètent le niveau de risque accepté, à surveiller les processus pour déterminer le niveau véritable de risque et à prendre les mesures voulues lorsque les niveaux de risque réels excèdent les niveaux prévus. Le cycle de contrôle Il est utile de discuter du risque d’entreprise dans le contexte du cycle classique du contrôle : planifier, exécuter, vérifier et réagir. Il appartient à la haute direction de planifier, de mettre en œuvre, de surveiller et de réviser les mesures stratégiques qui ont toutes pour effet de créer et d’influencer simultanément le risque d’entreprise. Le conseil d’administration doit pour sa part s’assurer que la direction a mis en place les quatre éléments du cycle de contrôle. Le conseil doit s’assurer que les plans stratégiques de la direction sont bien fondés sur une information appropriée, fiable et complète. Pour ce faire, il doit effectuer une évaluation des plans stratégiques de la direction, notamment de l’information et de la logique qui sous-tendent ces plans, et discuter de son évaluation avec la direction. Il doit s’assurer que la direction a mis en place les systèmes de contrôle qui garantissent que ces principales initiatives ont été mises en œuvre de la façon prévue. Il doit aussi s’assurer que la direction a mis en place les systèmes visant à surveiller et à évaluer la réalisation des objectifs. Enfin, il doit s’assurer que la direction compare régulièrement les résultats prévus et réels, et qu’elle réévalue sa stratégie également selon cette même base régulière. Bref, le rôle de la direction consiste à exécuter et à effectuer les tâches relatives au système de contrôle mentionnées plus haut. Il incombe au conseil de s’assurer que la direction a accompli ces tâches et, dans le cas des étapes Planifier et Réagir (révision du plan), d’évaluer l’information et la logique des plans stratégiques de la direction et d’en discuter avec cette dernière. Les éléments du risque Le risque d’entreprise comporte trois grandes composantes, à savoir le risque stratégique, le risque lié à l’environnement et le risque opérationnel. Le risque stratégique découle des stratégies choisies par l’organisation pour atteindre ses objectifs. Il est représenté par l’écart entre les résultats véritables de la stratégie et les résultats ciblés (figure 2), les effets de toute autre source d’incertitude étant constants par ailleurs. Le risque lié à l’environnement découle des incertitudes inhérentes au contexte opérationnel de l’organisation. Il est représenté comme une incertitude exogène dans le figure 2. Le risque opérationnel comporte à son tour deux composantes : le risque lié aux processus qui découle de la capacité d’un processus d’atteindre ou non ses objectifs et le risque de non-conformité, qui concerne l’éventuel défaut d’exécution d’un processus de la façon prévue.
Le risque stratégique Le risque stratégique concerne la crainte que les grandes mesures stratégiques ne soient pas appropriées compte tenu des circonstances internes et externes de l’organisation. Les stratèges ont conçu la notion d’« adéquation stratégique », qui désigne l’harmonisation du potentiel interne de l’organisation (forces) et des possibilités externes qui s’offrent à elle. Il se produit un manque d’harmonisation lorsque la direction adopte des stratégies non réalisables compte tenu de ses ressources financières et humaines, ou non adaptées à son environnement externe. En conséquence, l’évaluation du risque stratégique consiste à déterminer si la direction n’a pas bien étudié son environnement ou si elle a élaboré une stratégie mal adaptée à cet environnement. Ainsi, la décision de Nortel d’acquérir des technologies qui n’avaient pas fait leurs preuves pour stimuler son expansion de 1998 à 2001 est un bon exemple de premier type du risque stratégique. Par ailleurs, la décision initiale de Microsoft de considérer le Web comme une mode passagère et son entrée tardive, quoique fructueuse, sur le marché des navigateurs Internet illustre bien le deuxième type de risque stratégique. Le rôle de la direction consiste à concevoir et à mettre en œuvre les grands programmes stratégiques de l’organisation. Le conseil d’administration est le point de contrôle du risque stratégique; il doit s’assurer que la direction a acquis et utilisé l’information appropriée pour choisir sa stratégie et que ce choix semble raisonnable compte tenu de l’information acquise. Le risque lié à l’environnement Il existe trois sources de risque lié à l’environnement : le macro-environnement, la concurrence et le marché. Macro-environnement L’outil de gestion STEEP (tendances sociales, technologiques, économiques, environnementales et politiques) résume les facteurs macro-environnementaux qui peuvent influer sur une organisation. Cet outil sert à cerner, quantifier et évaluer les effets potentiels de chaque tendance éventuelle. Tendances sociales : Par exemple, depuis 2000, les entreprises de restauration rapide ont ajouté des repas dits « santé » à leur menu pour tenir compte des tendances sociétales. Certains analystes croient que la réaction tardive et inadéquate de KFC à cet égard lui a coûté une part de marché importante. Il peut cependant arriver qu’une organisation réagisse trop fortement à une tendance apparente. Depuis le milieu de 2004, les consommateurs semblent délaisser les régimes à teneur réduite en glucides qui ont été populaires en 2002 et 2003, et certaines organi-sations se retrouvent maintenant avec des produits qui ont été coûteux à mettre au point et à commercialiser et qui n’ont plus la cote. Tendances technologiques : FedEx a rapidement compris l’importance stratégique et opérationnelle de la technologie du balayage des codes à barres pour suivre les envois. Les concurrents ont rapidement emboîté le pas lorsqu’ils ont constaté que cette technologie améliorait la qualité et diminuait le coût des services de messagerie. Le fabricant d’acier sud-coréen Posco a consacré plus de 200 millions de dollars à mettre au point un système d’information pour relier ses 80 aciéries coréennes. Grâce à ce système d’information, l’entreprise peut traiter les commandes en ligne des clients et diriger chaque commande à l’usine appropriée, ce qui réduit au minimum les stocks de produits en cours, optimise l’utilisation des usines et diminue le temps de cycle pour les clients. Tendances économiques : Les résultats des entreprises du secteur du voyage fluctuent au rythme de l’économie. D’autres secteurs, comme la rénovation et les études supérieures en administration des affaires, semblent aller à contre-courant. Tendances environnementales : Les règlements gouvernementaux et les attentes de la société civile peuvent avoir de vastes effets sur les organisations, y compris sur la conception des processus et des produits. La préoccupation des consommateurs quant au recyclage a incité les entreprises de restauration rapide à servir leurs aliments dans des contenants à base de papier plutôt qu’en mousse de polystyrène comme elles le faisaient auparavant. Tendances politiques : Ces tendances touchent notamment les branches d’activité réglementées et les organisations dont les projets de fusion sont soumis à un examen de l’État. Mentionnons à titre d’exemple les effets de l’accord de Kyoto sur les organisations des pays signataires. Concurrence Michael Porter a élaboré le modèle d’analyse structurelle des secteurs, (figure 3) pour définir les éléments qui influent sur la situation concurrentielle d’une organisation et, par ricochet, sur sa capacité d’atteindre ses objectifs en matière de chiffre d’affaires et de bénéfice, ce qui crée ainsi un risque d’entreprise. Ces éléments sont la concurrence qui existe dans le secteur, le pouvoir de négociation des fournisseurs, le pouvoir de négociation des clients, la facilité de pénétration d’un secteur et l’existence de produits de substitution. Par exemple, l’augmentation du nombre de produits de substitution affaiblit la position concurrentielle de l’organisation, ce qui crée un risque d’entreprise.
Marché Les facteurs relatifs au marché créent un risque d’entreprise du fait qu’ils peuvent transformer le paysage concurrentiel. On dénombre trois facteurs : le cycle de vie du produit, les exigences du marché et la concurrence. Cycle de vie du produit. La dynamique concurrentielle à chaque étape du cycle de vie d’un produit (planification et introduction, début de croissance, fin de croissance et maturité, et déclin) exige que l’organisation adapte sa stratégie concurrentielle en fonction de l’étape du cycle de vie, faute de quoi elle s’expose à un risque d’entreprise. À titre d’exemple, mentionnons l’effet du iPod d’Apple sur le marché des baladeurs. Cette nouvelle technologie a fait passer la technologie actuelle du stade du début de croissance à celui de la maturité/du déclin, obligeant les concurrents à se demander s’il fallait suivre iPod dans le créneau des produits à prix de vente et à fonctionnalité plus élevés ou demeurer dans leur créneau avec la technologie existante. Exigences du marché. Les exigences des clients portent essentiellement sur quatre aspects : le prix de vente, la qualité, la fonctionnalité et le service. La possibilité que le client change d’attitude à l’égard de l’un ou l’autre de ces aspects entraîne un risque lié au client pour l’organisation qui n’est pas prête à s’adapter à ces changements. À titre d’exemple du danger que pose une mauvaise compréhension des besoins du client, mentionnons la perception des fabricants d’automobiles nord-américains, au début des années 70, qui croyaient que la qualité ne constituait pas une exigence importante du client, considérant ainsi que la garantie signifiait que les clients n’étaient pas exposés au risque lié à la qualité. Cette mauvaise compréhension, alliée à la fausse perception des fabricants nord-américains suivant laquelle une meilleure qualité entraînait une hausse des coûts de production, a ouvert la voie aux voitures japonaises que les clients ont adoptées rapidement en raison de leur qualité supérieure. Principaux concurrents. Les principaux concurrents créent un risque d’entreprise en raison de leur capacité à transformer la dynamique concurrentielle d’un marché. Les organisations qui livrent concurrence dans les mêmes segments que Wal-Mart surveillent constamment les intentions de Wal-Mart à l’égard des nouveaux marchés. Les organisations gèrent le risque lié à l’environnement en examinant continuellement chacune des composantes changeantes de l’environnement et en déterminant les problèmes qui doivent être résolus pour maintenir une position concurrentielle. Ce processus officiel d’examen fait partie d’une méthode de gestion stratégique appelée analyse FFPM, qui consiste à faire une étude continue et détaillée des forces, faiblesses, possibilités et menaces de l’organisation, compte tenu de ses stratégies et processus actuels et des tendances changeantes de l’environnement externe. Le principal outil de contrôle de gestion du risque lié à l’environnement est la collecte d’informations et l’évaluation de ces informations par la direction, et le point de contrôle est un groupe de cadres supérieurs responsables de la planification et de la stratégie de l’organisation. Le rôle du conseil d’administration consiste à s’assurer que la direction adopte un processus systématique pour recueillir l’information nécessaire sur l’environnement, pour évaluer le risque d’entreprise (véritable ou éventuel) révélé par cette information, et pour vérifier que la direction réagit de façon appropriée et en temps opportun à l’égard des risques relevés. Le risque opérationnel Il existe deux formes de risque opérationnel, à savoir le risque de non-conformité et le risque lié au processus. Le risque de non-conformité consiste en la possibilité qu’une procédure, un contrôle ou une pratique prescrite, même bien conçus, ne fonctionnent pas comme l’avait envisagé la direction. Le risque lié au processus est la possibilité qu’une procédure, un contrôle ou une pratique prescrite comporte des lacunes de conception qui peuvent entraîner un risque d’entreprise. Risque de non-conformitéLes problèmes de conformité sont à l’origine de la plupart des faillites et pertes spectaculaires de la dernière décennie. Les entreprises touchées ont dû payer des dommages-intérêts et leur réputation a été ternie, ce qui nuira vraisemblablement à leur rentabilité future. Le risque de non-conformité est donc une source importante de risque d’entreprise et l’attention qu’on lui accorde dans les ouvrages sur le contrôle de gestion est tout à fait justifiée. C’est sans doute ce qui incite les autorités de réglementation à se préoccuper du risque de non-conformité lorsqu’elles établissent les normes de gouvernance. L’indépendance entre le vérificateur et la direction, et entre les membres du conseil et la direction, reflète le but implicite visé par la diminution du risque de non-conformité. On craint en effet que les vérificateurs et les membres du conseil soient plus susceptibles de ne pas agir de la façon prévue lorsqu’ils sont redevables à la direction (et donc qu’ils ne sont pas indépendants). Bien que le contrôle du risque de non-conformité soit important, les mesures proposées pour améliorer la gouvernance se soucient trop peu des moyens d’atténuer le risque lié à la stratégie, à l’environnement et au processus. Les problèmes de conformité se produisent pour deux raisons : une dérogation délibérée, ou l’incapacité des personnes qui surveillent un système, par négligence ou ignorance, de le faire fonctionner de la façon prévue. La faillite de la banque Barings est un exemple de dérogation délibérée, comme le sont la plupart des cas de fraude. L’incapacité des systèmes de fonctionner de la façon prévue est plus subtile, et attribuable à de nombreuses causes. Les échecs des systèmes de gouvernance sont souvent imputables à l’incapacité des conseils d’administration de surveiller et de conseiller la direction. Par exemple, on a reproché au conseil d’administration de la Bourse de New York d’avoir approuvé l’attribution au chef de la direction d’un programme de rémunération que de nombreuses personnes de l’extérieur considéraient comme extravagant. Les accidents survenant dans le secteur industriel sont souvent dus à une formation inadéquate des employés. L’Exxon Valdez s’est échoué, provoquant ainsi un désastre environnemental, alors qu’un seul officier du navire se trouvait sur le pont, ce qui constituait un manquement flagrant à la politique de la société. Les organisations disposent de trois outils pour gérer le risque de non-conformité :
Il appartient à la direction de choisir le contrôle approprié au risque de non-conformité et de s’assurer qu’il est bien conçu, mis en œuvre et exécuté. La direction a aussi la responsabilité, au moyen d’une collecte d’informations systématique ou d’ins-pections aléatoires, de surveiller fréquemment les systèmes de contrôle mis en œuvre et d’en évaluer l’efficacité continue. Il incombe au conseil d’administration de s’assurer que la direction a déterminé les risques de non-conformité de même que les procédures, contrôles ou pratiques prescrites qui vont permettre de les gérer. Le conseil a aussi la responsabilité de s’assurer que la direction s’acquitte de ses responsabilités en matière de surveillance et d’évaluation continue de façon systématique et avec efficacité. Enfin, il lui incombe de veiller à ce que la direction contrôle efficacement le risque de conformité. Risque lié au processus Le risque lié au processus découle d’une mauvaise conception du système attribuable au fait que l’on n’a pas adéquatement pris en considération l’environnement dans lequel il devait fonctionner. Arthur Andersen a fermé ses portes parce que le cabinet a perdu sa crédibilité du fait de son association avec Enron. De nombreux observateurs ont attribué les problèmes du cabinet à une défaillance des processus : les associés des bureaux régionaux étaient autorisés à passer outre aux opinions données par les experts du siège social. Ses véhicules Explorer étant jugés instables, Ford les a redessinés et a élargi leur empattement. Les pistes servant à déplacer les véhicules dans la chaîne de montage étaient mal placées, ce qui a endommagé les pneus de certains véhicules. Ford a dû rappeler les véhicules et sa réputation a de nouveau été ternie. Il arrive que le risque découle à la fois des processus et de la conformité. La World Nuclear Association est venue à la conclusion que la catastrophe de Chernobyl survenue en 1986 était le résultat d’un réacteur mal conçu (défaillance du processus) dont le fonctionnement avait été confié à un personnel mal formé, sans égard aux questions de sécurité (non-conformité). (Les commentaires entre parenthèses proviennent des auteurs.)
Comme le risque lié au processus est attribuable à des événements imprévus, il est peut-être le plus difficile à atténuer. Les organisations limitent souvent ce type de risque au moyen d’une assurance ou d’ententes de coentreprises. Cependant, il est important que la direction mette en place un système permettant d’évaluer et de contrôler le risque lié au processus. Il appartient au conseil d’administration de s’assurer que la direction s’est dûment acquittée de cette responsabilité. Pour contrôler le risque lié au processus, on peut recourir à une analyse fondée sur un scénario, qui consiste à prédire comment les systèmes existants réagiraient aux événements imprévus. À cet égard, le conseil peut jouer un rôle important en posant à la direction des questions hypothétiques sur l’exposition au risque d’entreprise causée par des événements imprévus. Les conseils devraient insister pour que les organisations qui courent des risques continus et imprévisibles se dotent de fonds de prévoyance appropriés sous la forme de placements liquides. La haute direction et le conseil d’administration assument tous deux la responsabilité de la gestion du risque d’entreprise. Alors que la direction est responsable de la détermination du niveau pertinent de risque d’entreprise et de la mise en place des systèmes nécessaires pour surveiller, évaluer et contrer les risques imprévus, il incombe au conseil non seulement de s’assurer que la direction a mis en œuvre ces systèmes, mais aussi, en particulier dans le cas du risque stratégique, de participer activement à l’évaluation des niveaux de risque directement plutôt que de se contenter de surveiller les efforts de la direction. Anthony (Tony) Atkinson, Ph.D, CMA, FCMA, est professeur et directeur du secteur de la comptabilité de management à l’École de comptabilité de l’Université de Waterloo. Alan Webb, Ph.D, CA, est fellow PricewaterhouseCoopers à l’École de comptabilité de l’Université de Waterloo.
|
Selon un sondage mené
récemment par la National Association of Corporate Directors des États-Unis auprès
d’administrateurs de sociétés ouvertes et de sociétés fermées, il
semble que les conseils d’administration considèrent la gestion des risques comme une
responsabilité des plus importantes. Cependant, le sondage laisse également entendre que moins
de 30 % des administrateurs jugent que le conseil auquel ils siègent réussit très bien
sur ce plan. De même, 36 % des administrateurs qui ont participé à une étude
effectuée en 2002 par McKinsey and Company ont mentionné qu’ils n’avaient pas une
bonne connaissance des principaux risques courus par leur organisation et 42 %, des éléments de
l’entreprise qui créent le plus de valeur pour les actionnaires. 
