Guide du management des risques à l’attention du conseil

Nouveauté du COSO 2017 : cette nouvelle version intègre désormais la Culture d’entreprise dans la gouvernance y compris les éléments concernant la Vision, la Mission et les Valeurs Corporate.

Le cadre a été révisé afin de regrouper les principes 4, 5 et 6 dans le nouveau Principe 4. Démontrer son engagement à respecter les valeurs fondamentales.

Ce principe met l’accent sur la relation entre la gestion du risque et les valeurs fondamentales établies par le conseil d’administration et la direction de l’organisation.

En outre, le cadre révisé est enrichi d’exemples illustrant l’influence de la culture sur les pratiques de gestion des risques et la prise de décision, y compris l’influence de la partialité de la direction.

Les éléments présentés ci-après représentent un résumé des principaux aspects consacrés à la culture d’entreprise et aux valeurs Corporate.

Gouvernance et culture : La culture correspond aux valeurs éthiques, aux comportements souhaités et à la compréhension des risques dans l’entité.

Le rôle du conseil consiste dans ce cas notamment à : réexaminer, discuter avec la direction, et s’accorder sur l’articulation de la stratégie et des objectifs opérationnels avec la mission, la vision et les valeurs fondamentales.

COSO ERM 2017 - ENTERPRISE RISK MANAGEMENT

Principe 3 : Définir la culture souhaitée

L’organisation définit les comportements souhaités qui caractérisent la culture désirée.

Culture et comportements souhaités

La culture d’une organisation reflète ses valeurs fondamentales, ses comportements et ses décisions. Elle influe sur la manière dont l’organisation identifie ses risques, ceux qu’elle accepte et de quelle façon elle les gère.

Il appartient au conseil d’administration et à la direction générale de définir la culture souhaitée dans son ensemble ainsi que celle des individus qui la compose. Les valeurs déterminent les comportements attendus dans la prise de décision au quotidien.

De nombreux facteurs façonnent la culture comme le niveau de jugement et d’autonomie, la manière dont les collaborateurs interagissent les uns avec les autres, les normes et les règles… et influeront sur le spectre culturel qui va de l’aversion au risque à un goût prononcé pour le risque.

Le jugement joue un rôle important dans la définition de la culture souhaitée et la gestion des risques. Ce dernier dépend des expériences personnelles, de l’appétit au risque, des compétences et du niveau d’informations disponibles ainsi que des préjugés organisationnels. Il risque cependant d’être faussé en permanence par les biais cognitifs qui affectent le jugement.

Effets de la culture

La culture d’une organisation influe sur la manière dont le risque est identifié, évalué et traité sur tout le cycle allant de la définition de la stratégie à son exécution. Elle peut affecter les types d’alternatives stratégiques envisagées mais également la façon de voir les risques côté menaces ou opportunités. Elle influera également sur l’allocation des ressource et la typologie des réponses apportées à la gestion du risque.

Aligner les valeurs, la prise de décision et les comportements

La capacité d’une organisation à atteindre avec succès sa stratégie et ses objectifs est entravée lorsque les comportements et les décisions ne correspondent pas à ses valeurs fondamentales.

Un mauvais alignement peut entraîner une perte de confiance des parties prenantes, des approches incohérentes et des performances inférieures aux objectifs.

Changement culturel

La culture d’une organisation ne reste pas constante dans le temps. Des modifications au sein de l’organisation ainsi que les influences externes peuvent entraîner un changement culturel.

De la même façon, les nouveaux dirigeants peuvent avoir une attitude et une philosophie différente en matière de gestion des risques. Les fusions et acquisitions peuvent également entraîner des modifications culturelles qui affecteront la manière dont l’organisation considérera le risque et influera sur la façon dont le décisions seront prises.

Principe 4 : Démontrer l’engagement en faveur des valeurs fondamentales

L’organisation démontre son attachement aux valeurs fondamentales

Refléter les valeurs fondamentales dans toute l’organisation

Comprendre les valeurs est fondamental pour la gestion des risques de l’entreprise. Les valeurs se reflètent dans les actions et les décisions appliquées dans l’organisation. Sans une compréhension solide et positive des valeurs communiquées au plus haut niveau ainsi qu’un engagement vis-à-vis de ces valeurs, la sensibilisation aux risques peut être compromise et les décisions incompatibles avec ces valeurs.

Un “Tone from the Top” cohérent établit une compréhension commune des valeurs fondamentales, des facteurs opérationnels ainsi que du comportement souhaité du personnel et des partenaires. La cohérence permet de rassembler l’organisation dans la poursuite de la stratégie et des objectifs commerciaux.

Aligner la culture et le “Tone from the Top” donne aux parties prenantes l’assurance que l’entité adhère à ses valeurs fondamentales, à la mission et à la vision.

Une culture de prise de conscience du risque

La direction définit les caractéristiques nécessaires au développement de la culture désirée sous la surveillance du conseil. Elle peut adopter une culture consciente des risques en :

  • Maintenant un leadership fort,
  • Utilisant un style de management participatif,
  • Renforçant la responsabilisation dans toutes les actions,
  • Alignant les comportements et les prises de décision par rapport aux risques avec les performances,
  • Intégrant le risque dans les prises de décision,
  • Ayant des discussions ouvertes et honnêtes sur les risques auxquels l’entité est confrontée,
  • Encourageant la sensibilisation aux risques dans l’ensemble de l’organisation.

L’alignement du comportement individuel sur la culture est essentiel. L’influence la plus puissante étant celle de la direction qui crée et soutien l’ordre du jour organisationnel.

Implicitement l’organisation doit donner l’exemple en reflétant ses valeurs fondamentales et ses normes de conduite.

Garder une communication ouverte sans représailles

Il incombe à la direction de cultiver une communication ouverte et transparente concernant les risques et les attentes en matière de prise de risques.

Pour ce faire, elle envoie aux collaborateurs des messages clairs et cohérents précisant que la gestion des risques fait partie des responsabilités quotidiennes de chacun et qu’elle est essentielle au succès et à la survie de l’organisation.

La communication ouverte et la transparence vis-à-vis des risques permettent à la direction et aux salariés de travailler ensemble de manière continue afin de partager des informations sur les risques.

Répondre aux déviations des valeurs fondamentales et des comportements

Même dans les entités qui démontrent avec détermination leur attachement à leurs valeurs fondamentales, il arrive parfois que des défaillances opérationnelles, des scandales et de crises se produisent portant atteinte à la réputation et laissant finalement l’entreprise incapable d’atteindre sa stratégie et ses objectifs commerciaux.

Les actes répréhensibles se produisent pour trois raisons :

  1. les personnes font des erreurs (par confusion ou ignorance),
  2. elles ont un moment de faiblesse,
  3. elles choisissent de mal agir.

Sachant que chacune de ces trois raisons peut se produire. Une organisation doit aligner ses valeurs et ses comportements afin d’aider les collaborateurs à éviter les erreurs mais également pour identifier les auteurs potentiels d’actes répréhensibles.

L’organisation doit envoyer un message clair sur les comportements acceptables et inacceptables lorsque les écarts sont connus. Les écarts par rapport aux normes de conduite doivent être traités de manière cohérente et en temps voulu.