En ce moment En ce moment

DossierLe risk management s'étend aux ETM

Publié par le

2 - Le rôle du Daf dans la gestion des risques

À défaut d'un risk manager ou d'un département dédié au contrôle interne, c'est souvent le Daf, dans une PME ou petite ETI, qui orchestre la gestion des risques. Conseils pour mettre en place un dispositif adapté. [Article initialement publié en novembre 2012]

Lancer de nouveaux produits, conquérir des marchés étrangers, acquérir des concurrents, faire fonctionner les sites de production... Chaque jour, l'entreprise saisit des opportunités et prend des risques. Encore doit-elle le faire en connaissance de cause: un accident industriel, une pollution environnementale, un défaut de qualité donnant lieu au rappel des produits, la révélation de conditions de travail déplorables, ou encore une fraude monumentale peuvent entacher durablement une réputation, voire provoquer une faillite retentissante. En témoignent les scandales Enron, WorldCom ou Parmalat: l'insuffisance des systèmes de contrôle interne ayant éclaté au grand jour, les régulateurs ont, dès lors, promulgué une série de lois visant à renforcer la maîtrise des risques dans les entreprises, notamment en ce qui concerne l'élaboration de l'information financière. Si ces différentes lois s'appliquent aux entreprises cotées, elles viennent accompagner une tendance de fond à la judiciarisation de la vie des affaires et à l'extension du principe de précaution qui concerne toutes les entreprises, PME comprises. Un exercice auquel elles doivent donc se livrer en fonction de leurs moyens.

Un cadre réglementaire de plus en plus contraignant

À la suite des grands scandales financiers des années 2000 - affaires Enron, WorldCom, ou encore Parmalat -, un ensemble de réglementations a fleuri pour renforcer la fiabilité de l'information financière, en vue de protéger les investisseurs. Ces textes imposent aussi aux entreprises cotées de renforcer l'évaluation et la maîtrise de leurs risques. La loi Sarbanes-Oxley, qui a initié le mouvement en 2002, enjoint aux sociétés cotées aux USA de mettre en oeuvre un dispositif de contrôle interne et de rendre compte de sa fiabilité. Son pendant français, la loi sur la sécurité financière, publiée le 2 août 2003, prévoit des dispositions similaires, que sont venues compléter plusieurs directives européennes. Dans ce cadre, le rapport du président des sociétés cotées ou des SA doit rendre compte des procédures de gestion des risques mises en oeuvre et des procédures de contrôle interne. La directive 2006/46/CE du 14 juin 2006 modifie les quatrième et septième directives concernant les comptes annuels et les comptes consolidés: elle prévoit des obligations de publication d'informations en matière de contrôle interne et de gestion des risques. Elle a été transposée en droit français le 3 juillet 2008.

Par ailleurs, la directive 2006/43/ CE du 17 mai 2006 (appelée "huitième directive"), transposée le 8 décembre 2008, impose l'obligation de constituer des comités d'audit dans les sociétés dont les titres sont admis à la négociation sur un marché réglementé, en assurant le suivi de l'efficacité de systèmes de contrôle interne et de gestion des risques.

Maîtrise des risques: une obligation pour les entreprises cotées, une exigence pour les non-cotées

"Pour une entreprise non cotée, il n'existe pas de cadre législatif spécifique à la gestion des risques, même si de nombreuses réglementations imposent de façon implicite une maîtrise des risques, comme c'est le cas, par exemple, de l'obligation de produire des informations fidèles et fiables", souligne Thomas Aragnetti, associé spécialisé en gestion des risques chez Deloitte. Mais contrairement aux grands groupes où les fonctions de "risk manager" se sont répandues au cours de la dernière décennie, les PME ont rarement les moyens de recruter un salarié dédié au suivi des risques: "Même s'il n'existe pas de règle en la matière, en deçà de 300 salariés, il est rare qu'une entreprise recrute une personne dédiée à plein-temps à ces sujets", constate Nicolas Canteau, chef de produit GRC (gestion des risques et conformité) chez Enablon, fournisseur de solutions logicielles dédiées à la performance durable et à la gestion des risques de l'entreprise.

"Dans les entreprises non cotées, le département de contrôle interne existe dès lors que l'entreprise atteint une taille critique, ou lorsqu'elle évolue dans un secteur sensible: agroalimentaire, santé, aéronautique, défense, énergie, etc.", complète Thomas Aragnetti. Aussi, dans la plupart des PME, la gestion des risques revient généralement... au Daf, naturellement sensibilisé à ces questions et bien positionné pour gérer des processus transverses. Il sera souvent chef de projet en matière de gestion des risques, et aura la responsabilité de structurer une démarche formelle: soit directement, soit en s'appuyant sur un auditeur interne ou contrôleur interne, souvent rattachés à lui-même, au secrétaire général ou au directeur général.

Passer du flou artistique à une démarche structurée

Dans la pratique, à ses débuts, la gestion des risques est réalisée de façon empirique: le contrôle interne est réalisé d'une façon informelle et intuitive, qui se structure au fur et à mesure de la croissance de l'entreprise et de la prise de conscience de son niveau de maturité. Antoine Fléchais, responsable du département finance d'entreprise chez Provadys, constate que la maîtrise des risques se construit pas à pas. "Nous sommes régulièrement sollicités pour des missions de diagnostic et d'audit des pratiques: par exemple, sur la gestion du poste clients, l'encaissement des chèques, la gestion des stocks, le dispositif de contrôle interne... Cela débouche sur une prise de conscience du niveau de maturité de l'organisation, puis peut conduire à l'élaboration d'une cartographie des risques et à la mise en place d'un dispositif global de gestion des risques", indique-t-il.

Avant de se lancer dans un projet de gestion des risques de grande ampleur, Thomas Aragnetti (Deloitte) propose au Daf de se poser deux questions simples: est-ce que l'entreprise connaît ses risques? Qui les gère? "Ces deux questions peuvent sembler triviales, or, souvent, un flou artistique est toléré, surtout lorsque le risque concerne plusieurs fonctions ou métiers: la responsabilité du risque est alors diluée entre plusieurs acteurs, et au final, personne n'est responsable de leur suivi", constate Thomas Aragnetti. De plus, même lorsque les risques sont identifiés, rares sont les entreprises qui poussent le raisonnement et la formalisation jusqu'au bout: "Par exemple, sur le risque lié au cours des matières premières, plusieurs techniques sont possibles pour se protéger, mais elles sont rarement exploitées et leurs avantages et inconvénients peu mis en perspective. Ainsi, définir comment et à quel moment répercuter l'impact d'une hausse des cours dans le prix de vente ou à partir de quel seuil se couvrir par des instruments financiers sont des questions rarement partagées entre les fonctions concernées - achats, commercial, finance...", précise Thomas Aragnetti. D'où le besoin de détailler les processus de gestion des risques à travers une démarche formalisée.


Des outils simples et des relais efficaces

Pour ce faire, le point de départ consiste à identifier les principaux risques auxquels est exposée l'entreprise: si les risques assurables (dommages, incendies, sinistres... ) sont généralement bien identifiés, ils sont loin de constituer l'ensemble des menaces. Inutile toutefois de chercher à être exhaustif: "Mieux vaut identifier un nombre restreint de risques critiques ou mal maîtrisés et les suivre, plutôt que de produire 50 indicateurs non analysés", recommande Thomas Aragnetti. Puis, il convient de décrire les processus-clés, d'identifier les zones de risque et évaluer le niveau de gravité et de maîtrise.

Enfin, il est nécessaire de définir un plan d'action pour couvrir chacun des risques: assurance, contrôle interne, absence de couverture... Pour s'organiser, il est possible de se référer au Coso (Committee of sponsoring organization), référentiel international qui définit les standards du contrôle interne et de la gestion des risques, ou au cadre de référence publié par l'AMF (Association des marchés financiers), dont une version allégée a été élaborée à destination des petites et moyennes valeurs.

Reste ensuite à faire vivre le dispositif: une bonne cartographie ne reste pas dans les tiroirs! "C'est un processus itératif qui évolue en fonction des nouvelles activités, réorganisations, et également des nouveaux outils", souligne Antoine Fléchais (Provadys). "Avec une démarche de contrôle interne, le plus difficile est de la tenir sur le long terme. Elle doit être portée au plus haut et efficacement relayée par le management", prévient Nicolas Canteau (Enablon). Et bien comprise par les opérationnels, qui ne doivent pas pour autant renoncer à l'audace et à l'envie d'entreprendre.

La rédaction // Dossier coordonné par Bénédicte Gouttebroze

La rédaction vous recommande

Sur le même sujet

Risques

Par Carine Guicheteau

Rebondissement après rebondissement, le Brexit nous tient en haleine. Mais, malgré les incertitudes sur les conditions du divorce, vous devez [...]