PROCESSUS ET RISQUES : deux approches complémentaires

Suite à la débâcle d’ENRON, annoncée en 2001, et à celle de nombreuses autres sociétés américaines ou européennes, des textes de loi sont venus dans la plupart des pays occidentaux apporter des contraintes d’informations nouvelles aux sociétés cotées et éventuellement à d’autres sociétés commerciales. Deux grands objectifs communs caractérisent ces textes :
– détecter plus précocement les risques encourus par les actionnaires
– et prévenir les comportements frauduleux des dirigeants, par des obligations de communication plus explicites et des peines encourues nouvelles ou aggravées.

C’est l’approche des risques d’une entreprise qui va retenir notre attention dans le présent article, tel qu’il ressort de textes aux abréviations désormais courantes : LSF, SOA et Bâle2.

   La loi de Sécurité Financière (LSF)

La loi du 1er août 2003 sur la sécurité financière (LSF) couvre trois volets principaux : la modernisation des autorités de contrôle des marchés financiers, la sécurité des épargnants et des assurés et enfin le contrôle légal des comptes ainsi que la transparence et le gouvernement d’entreprise. Ce dernier volet s’adresse non seulement aux sociétés faisant appel public à l’épargne, mais à toutes les sociétés anonymes.

La LSF confie au Président d’une société la responsabilité de la rédaction et du contenu d’un rapport annuel sur les procédures de contrôle interne mises en place dans l’entreprise.

Ce volet de la LSF vise à imposer un usage étendu et très pragmatique du contrôle interne, dans une acception plus anglo-saxonne proche du contrôle des opérations (par opposition à une simple obligation formelle). Cette fonction renforcée du contrôle interne et des reportings associés doit permettre d’instiller une réelle culture de gouvernement d’entreprise entre les organes de contrôles (conseil d’administration ou de surveillance) et les organes de direction pour au final déboucher sur plus de transparence vis-à-vis des actionnaires.

La loi Sarbanes-Oxley

Le Sarbanes-Oxley Act (SOA) de 2002 concerne les seules sociétés cotées sur les marchés financiers nord américains auprès de la SEC et visait à sa création à apporter une réponse rapide à la crise de confiance en la fiabilité des informations communiquées par les entreprises. Le SOA est donc centré sur le contrôle de ces informations et il exige de surcroît que les directeurs généraux et directeurs financiers (CEO et CFO) engagent leur responsabilité sur la fiabilité de celles-ci.

L’article 404 traite des obligations liées au contrôle interne dans l’optique de la fiabilité de l’information financière délivrée, il introduit l’exigence d’un rapport d’évaluation de la qualité du contrôle interne dans l’entreprise, l’obligation (lourde) de documenter les tests de contrôle interne réalisés, et met un fort accent sur les dispositifs anti-fraudes. Cet article rend obligatoire l’utilisation d’un cadre d’analyse reconnu en matière de contrôle interne et cite en substance le référentiel COSO.

Ceci nous amène à nous arrêter quelques instants sur le cadre conceptuel du référentiel méthodologique COSO 2. Il se présente comme un cube dont les 3 dimensions sont :

1 Concourir à la réalisation des 3 objectifs suivants :
– la réalisation et l’optimisation des opérations
– la fiabilité des opérations financières
– la conformité aux lois et règlements

2 Analyser pour chacun de ces trois objectifs les cinq composantes du contrôle interne suivantes :
– l’environnement de contrôle,
– l’évaluation des risques,
– les activités de contrôle,
– l’information et la communication,
– le pilotage du contrôle interne

3 Appliquer cette double approche à chaque activité et fonction de l’entreprise

COSO 2 promeut, sur la base de cette analyse en « cube », l’émergence de la notion de gestion des risques de l’entreprise, « l’Enterprise Risk Management ou ERM ».

Cette gestion des risques doit être considérée dans une optique de pilotage : quels risques veut-on absolument éviter, quels risques sont inutiles, quels risques est-on prêt à prendre pour profiter de quelles opportunités ou conserver quel avantage ?

Il faut souligner à cette occasion qu’une organisation qui souhaiterait ne jamais prendre de risques se verrait par son immobilisme condamnée à disparaître.

Nous retiendrons à ce stade que, pour la LSF comme pour COSO 2, l’un des enjeux, (extrêmement positif) est d’amener l’entreprise à aligner sa stratégie et sa gestion des risques.

La réglementation dite « Bâle2 »

Le dispositif réglementaire Bâle 2 concerne les établissements financiers européens, a été publié en 2004 et vise à une homologation des établissements par le régulateur en 2006. Il nous apporte des contraintes méthodologiques fort intéressantes en précisant des étapes de perfectionnement à suivre et en décomposant les risques par grande nature pour les établissements financiers : risques de Crédit, risques de Marché, et risques Opérationnels.

Cette dernière catégorie retiendra plus particulièrement notre attention car c’est la moins spécifique au secteur bancaire, mise à part la nature de la récompense offerte aux plus méritants (la possibilité de diminuer la mobilisation de 15% de fonds propres sur les risques opérationnels de « l’approche de base » si la méthode suivie le justifie).

Le premier niveau de perfectionnement est « l’approche standard » pour laquelle il faudra :
– mettre en place un dispositif de collecte des incidents, avec une historisation longue et une consolidation le cas échéant (risques réalisés),
– découper les activités de la banque par ligne de métier,
– identifier les risques opérationnels de la banque, et dégager leurs composantes,
– évaluer les pertes potentielles liées à la réalisation de ces risques,
– définir des indicateurs de suivi des risques, construire et diffuser largement des reportings internes sur les risques, et mettre en place des plans d’actions pour faire suite à ces reportings.

A ces premières obligations s’ajoutent pour « l’approche avancée » :
– mettre en place une entité indépendante, responsable de la gestion des risques opérationnels, des procédures et des contrôles,
– utiliser des données externes pour la prise en compte de risques extrêmes,
– calculer les fonds propres à mobiliser sur la base des incidents et des données externes collectés.

Suite de l’article

Laurent Hassid

PROCESSUS ET RISQUES : deux approches complémentaires