Contribution partenariale à la gestion des risques de l’entreprise

des risques des entreprises. Certains acteurs opèrent en interne alors que d’autres sont externes à l ’entreprise. Ils contribuent à la gestion de ces risques bien que certains ne fassent pas partie dans les faits de ce dispositif (COSO, 2005).

2.1. Contribution des acteurs internes à la gestion des risques de l’entreprise

Les acteurs internes qui jouent un rôle dans la gestion des risques de l’entreprise sont le conseil d’administration, le management et la fonction d’audit interne.

2.1.1. Conseil d’administration

Le conseil d’administration exerce une activité de surveillance et doit avoir une vue globale du dispositif de management des risques de l’entreprise. À cet effet, il doit avoir connaissance des limites de l’efficacité de ce dispositif, de l’appétence de l’entreprise pour le risque, accepter cette appétence, être informé des principaux risques et savoir s’ils sont gérés d’une manière adéquate par le management (COSO, 2005 ; IFA et IFACI, 2009). Faisant partie de l’environnement interne des entreprises et en tant que mécanisme de contrôle cherchant la protection des intérêts des actionnaires, le conseil d’administration doit se doter d’une structure particulière lui permettant de contribuer à une meilleure gestion des risques. Le conseil d’administration doit être composé d’administrateurs objectifs, compétents qui possèdent des connaissances pratiques sur l’activité et l’environnement de l’entreprise, qui consacrent le temps nécessaire et les moyens nécessaires à l’accomplissement des responsabilités qui leur sont confiés et qui puissent communiquer avec l’auditeur interne, externe et les juristes (COSO, 2005).

Emanant du conseil d’administration, le comité d’audit est chargé de superviser le système de contrôle interne. Ce comité doit, selon Maders et Masselin (2009), examiner la qualité du système de contrôle interne ainsi que son efficacité dans la gestion des risques de l’entreprise. Ce comité doit se réunir périodiquement pour faire le point sur l’état de la gestion des risques de l’entreprise. Dans ce cadre, l’ordonnance du 8 septembre 2008,

123

transposant la huitième directive européenne dans la législation française, confie explicitement au comité d’audit des entreprises la mission de suivi de l’efficacité du système de gestion des risques (IFA et IFACI, 2009). Plus précisément, « le comité d’audit va devoir s’assurer que les risques ont bien été recensés et que les procédures de contrôle interne sont conçues et fonctionnent de manière à réduire ces risques. II y aura donc un lien à établir entre l'identification des risques et les procédures de contrôle interne qui ont été mises en œuvre » (KPMG et ACI, 2009, p. 7). Selon IFA et IFACI (2009, p. 31), le comité d’audit « s’assure que les risques majeurs sont sous contrôle et ont fait l’objet d’un traitement adéquat de la part de la direction, que les risques majeurs sont surveillés par une personne compétente et qu’il existe un lien entre les risques et les programmes de travail de l’audit interne ».

2.1.2. Management de l’entreprise

La responsabilité directe du dispositif de gestion des risques de l’entreprise revient au management (COSO, 2005 ; Renard, 2009). Selon Verdun (2006, p. 103), « les dirigeants de l’organisation sont, de façon générale, responsables de l’ensemble des risques qui peuvent affecter l’organisation et empêcher celle-ci de réaliser son but ». Plus spécifiquement, le directeur général joue un rôle principal en s’assurant de l’existence d’un environnement interne favorable et de la mise en place de tous les éléments du dispositif de management des risques. Tout en s’appuyant sur l’aide des managers, le directeur général définit les objectifs stratégiques, les politiques globales et développe l’appétence pour le risque et la culture du risque de l’entreprise. Les réunions avec les directeurs des principales fonctions de l’entreprise lui permettent de passer en revue les responsabilités de chacun d’eux et de percevoir leur façon d’aborder le management des risques. Ces réunions lui permettent aussi de s’informer sur les risques inhérents à l’activité de l’entreprise, sur la manière dont ils sont traités, sur les contrôles mis en place et sur l’évolution de ces risques (COSO, 2005).

Quant aux directeurs des unités fonctionnelles, ils appliquent les éléments du dispositif de management des risques au sein de leur sphère de responsabilité tout en respectant les tolérances aux risques de l’entreprise. Chacun de ces directeurs a d es responsabilités spécifiques de management des risques relatifs à son unité notamment la mise en place des techniques d’identification, d’évaluation et de traitement des risques ainsi que la surveillance de l’application des activités de contrôle. Il doit aussi rendre compte du fonctionnement de ces activités de contrôle à son supérieur hiérarchique (COSO, 2005).

124

Plus spécifiquement, la fonction juridique joue un r ôle essentiel dans l’efficacité du dispositif de management des risques en informant les directeurs des unités fonctionnelles des nouvelles lois et réglementations ayant une incidence sur les activités (COSO, 2005 ; Paris et Aubin, 2002).

Par ailleurs, la désignation d’un « chief risk officer » assure qu’un responsable des risques est identifié dans l’organigramme. Il est, selon Paris et Aubin (2002, p. 140), « garant de la justesse de la vue d’ensemble des risques » et « son rôle sera principalement de fournir au haut niveau du m anagement (directeur général ou CEO) et aux représentants des actionnaires une information cohérente sur les risques à un niveau agrégé, consolidé, tenant compte des compensations et corrélations possibles de risques ». Appelés aussi des gestionnaires de risques ou des « risk managers », certains aspects de la maîtrise des risques sont délégués par les dirigeants à ces gestionnaires et ce surtout dans les environnements sensibles au risque (Maders et Masselin, 2009). N éanmoins, cette fonction se trouve seulement au niveau des grandes entreprises et elle se situe en amont de l’audit interne. Elle est rattachée au plus haut niveau pour préserver son indépendance (Renard, 2009).

2.1.3. Fonction d’audit interne

L’audit interne joue aussi un rôle important dans le processus de gestion des risques de l’entreprise. Dans une définition approuvée par l’Institut International de l’Audit interne le 29 juin 1999, l’audit interne est « une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité » (Ruud et Linsi, 1999, p.1156).

Le rôle de la fonction d’audit interne dans le processus de gestion des risques est défini par la direction générale et le comité d’audit (Tusek et Pokrovac, 2010). L'attitude de la direction est le plus souvent déterminée par des facteurs tels que la culture organisationnelle de l'entreprise, la capacité du personnel d’audit interne et les conditions qui prévalent dans certains pays. Toutefois, Tusek et Pokrovac (2010) signalent que l'activité minimale que la fonction d’audit interne doit accomplir périodiquement consiste à évaluer l'adéquation et l'efficacité des processus de gestion des risques.

125

Selon Maders et Masselin (2009), les auditeurs internes évaluent périodiquement l’efficacité du système de contrôle interne et peuvent recommander des améliorations. Dans le même sens, Renard (2009, p. 103) souligne que « l’objectif prioritaire de l’audit interne reste l’évaluation du processus de management des risques, donc l’évaluation du contrôle interne qui en est le produit fini ».

L’audit interne va ainsi au-delà de la validation de la conformité pour apporter des conseils, évaluer le processus de gestion des risques et contribuer ainsi à conforter son efficacité. Selon l’IFA et lFACI (2009, p. 17 ), l’audit interne « évalue le dispositif de gestion des risques et de contrôle interne afin d’apporter une information indépendante et objective à la direction générale sur le niveau de maîtrise des risques ». En revenant aux étapes du pr ocessus de gestion des risques présentés ci-dessus, le rôle joué par l’audit interne peut être inséré dans l’étape de contrôle des risques. Il est considéré comme un garant de la bonne marche de ce processus. Toutefois, Darsa (2009) signale que ce rôle est essentiellement joué au niveau des grandes entreprises et que peu de PME peuvent allouer des ressources pour juger de la performance et de l’efficacité de leurs stratégies de contrôle des risques.

2.2. Contribution des acteurs externes à la gestion des risques de l’entreprise

Les acteurs externes qui jouent un rôle dans la gestion des risques de l’entreprise sont l’auditeur externe, le législateur ainsi que d’autres partenaires externes.

2.2.1. Auditeur externe

L’auditeur externe contribue aussi à l’amélioration du processus de gestion des risques de l’entreprise. En effet, « l’auditeur, lorsqu’il met en œuvre la procédure pour obtenir la compréhension de l’entité et de son environnement, y compris de son contrôle interne, étudie à la fois la façon dont l’entité gère ses risques et le contrôle interne qu’elle a mise en place pour maîtriser ces risques » (Hamzaoui, 2005, p.78). Maders et Masselin (2009) indiquent que l’auditeur externe n’est ni intégré au système de contrôle interne ni responsable de son efficacité mais les lois développées récemment (loi de sécurité financière en France…) ont tendance à lui attribuer un rôle important dans l’amélioration du système de contrôle interne.

L’audit des états financiers entraîne la divulgation d’informations par l’auditeur qui peuvent aider le management dans l’accomplissement de ses responsabilités en matière de gestion des risques de l’entreprise. Ces informations peuvent être soit les conclusions d’audit et les recommandations fournies par l’auditeur pour contribuer à la réalisation des

126

objectifs de l’entreprise, soit des conclusions sur les défaillances du processus de gestion des risques et des contrôles révélés à l ’auditeur au cours de ses travaux et ses recommandations pour y remédier (COSO, 2005).

2.2.2. Organismes réglementaires

Les législateurs peuvent aussi influencer le dispositif de management des risques mis en place par les entreprises. Ainsi, la dernière décennie est caractérisée par une prolifération de nouvelles obligations légales mettant l’accent sur l’amélioration du système de gouvernance des entreprises et plus spécifiquement du système de contrôle interne26. En effet, les entreprises doivent évaluer leur système de contrôle interne et rendre compte de cette évaluation dans leur rapport annuel ou de gestion. L’auditeur doit, selon ces mêmes obligations légales, attester de l’évaluation de ce système de contrôle interne faite par la direction. Il s’agit ainsi d’une tendance de la part des législateurs à exiger plus de divulgation de la part des entreprises qui permettent aux parties prenantes externes de disposer de l’information sur leur système de contrôle interne. Cette tendance incite ainsi les entreprises à mettre en place un système de contrôle interne de qualité qui permet de mieux maîtriser leurs principaux risques.

2.2.3. Autres partenaires de l’entreprise

Les clients, les fournisseurs ainsi que d’autres tiers ayant une relation d’affaire avec l’entreprise peuvent être une source d’informations qui aident cette dernière dans son dispositif de gestion des risques. Les créanciers peuvent exiger, dans le cadre de l’octroi d’un prêt, l’obtention d’informations sur la situation de l’entreprise, entre autre, sur le degré d’atteinte de ses objectifs ce q ui est directement lié au processus de gestion des risques (COSO, 2005). Aussi, l’entreprise doit tenir compte des informations contenues dans les investigations et analyses faites par les analystes financiers et les agences de notation et ce dans le cadre de l’amélioration de son processus de gestion des risques (COSO, 2005).

Le risque fiscal, faisant partie de toute une panoplie de risques, requiert une analyse particulière en exposant le rôle du système de gouvernance dans la gestion de type de risque et dans la préservation des intérêts de tous les partenaires de l’entreprise.

26 _{Il s’agit notamment de la loi Sarbanes Oxley aux Etats Unis(2002), de la loi de sécurité financière en}

127

3. Risque fiscal, gouvernance actionnariale et gouvernance partenariale