Pourquoi le nouveau COSO intègre-t-il Culture et Valeurs dans la gouvernance des risques ?

Comme nous avons pu le constater ces dernières années, nombre de crises ayant fortement affecté les entreprises (en termes financiers, juridiques et de réputation) ont été causées par une « fracture » dans les Valeurs, la Culture et la politique en matière d’avantages incitatifs.

A contrario, une culture saine protège et génère de la valeur à long terme. En redonnant des repères et du sens à l’action, en guidant les comportements, elle réduit non seulement les risques mais favorise également la performance financière et la croissance à long terme.

Après des années de réformes réglementaires, la Culture, les Valeurs et les comportements sont désormais devenus des priorités pour les régulateurs qui introduisent désormais leur surveillance dans les nouveaux codes de gouvernement d’entreprise.

Les référentiels de management des risques se devaient donc d’évoluer dans ce sens en intégrant la Culture et les Valeurs comme socle de maîtrise des risques. La nouveauté nécessitant quelques explications, vous trouverez dans les lignes qui suivent les principales affirmations du COSO 2017 concernant l’impact de la culture et des valeurs sur la maîtrise des risques.

Mission, Vison et Valeurs fondamentales

La mission, la vision et les valeurs fondamentales définissent ce qu’une organisation cherche à être et comment elle souhaite mener ses activités. Elles communiquent aux parties prenantes le but de l’organisation, sa raison d’être.

  • La mission représente le but, l’objectif principal de l’organisation. Elle indique ce que l’organisation veut accomplir et pourquoi elle existe,
  • La vision représente les aspirations de l’organisation quant-à son futur. Il s’agit du sens profond de l’organisation à atteindre pour le futur,
  • Les valeurs représentent les croyances et les idéaux de l’organisation, quant-à ce qui « bon » ou « mauvais », acceptable ou pas, qui influencent les comportements.

Dans le cadre du COSO ERM (chapitres 6 à 10), la mission et la vision sont prises en considération dans un contexte organisationnel de définition et de mise en œuvre de la stratégie et des objectifs opérationnels. Les valeurs sont intégrées dans le champ de la culture désirée.

Comprendre la culture

Qu’il s’agisse d’une petite entreprise privée ou familiale, d’une multinationale complexe, d’un organisme gouvernemental ou à but non lucratif, la culture reflète les valeurs fondamentales de ces organisations : les croyances, les attitudes, les comportements souhaités et la façon dont les risques sont intégrés. La culture soutient la réalisation de la mission et de la vision et préserve des menaces en encourageant une circulation transparente et opportune d’informations sur les risques.

La culture est développée et façonnée par les personnes à tous les niveaux de l’organisation au travers de ce qu’elles disent mais surtout au travers de ce qu’elles font (leurs actes). En effet, ce sont bien les personnes qui définissent la mission, la stratégie et les objectifs de l’entreprise ainsi que les pratiques de management des risques qui affectent les décisions et les actions.

Chaque personne a un point de référence unique qui influence la manière dont elle identifie, évalue et réagit au risque. Le management des risques doit donc les aider à prendre des décisions en comprenant l’influence culturelle dans la prise de décision.

Lien entre Culture et Risk Appetite

Une organisation doit gérer ses risques en lien avec sa stratégie, ses objectifs et son Risk Appetite (c’est-à-dire le type et la quantité de risques qu’elle est prête à accepter). L’appétit au risque fournit des indications sur les attitudes qu’une organisation est encouragée à suivre ou à ne pas suivre. Il définit l’éventail des pratiques appropriées et oriente les décisions fondées sur les risques plutôt que de spécifier une limite.

La première expression de l’appétit au risque concerne la mission et la vision de l’organisation. En effet, la mission, la vision et les valeurs constituent l’expression initiale du type et de la quantité de risques acceptables lors de l’établissement de la stratégie.

C’est la bonne compréhension de la culture de l’organisation qui permettra au Risk Appetite d’être suffisamment souple pour pouvoir s’adapter à l’évolution des conditions de l’entreprise, sans attendre les revues et approbations périodiques.

Le risque de désalignement

La mission et la vision donnent un aperçu du type et du niveau de risque acceptables pour l’organisation. Ils l’aident à établir des limites et se concentrent sur la manière dont les décisions peuvent affecter la stratégie.

La capacité d’une organisation à atteindre avec succès sa stratégie et ses objectifs sera entravée lorsque ses comportements et ses décisions ne correspondent pas à ses valeurs fondamentales. « Culture eats strategy for breakfast » _Peter Drucker. Un mauvais alignement peut également entraîner une perte de confiance des parties prenantes ainsi que des approches incohérentes et des performances inférieures aux objectifs.

Le management des risques peut aider l’organisation à éviter le désalignement stratégique en fournissant à cette dernière des informations lui permettant de s’assurer que la stratégie qu’elle a choisie soutient la mission et la vision de l’entreprise.

Décisions & jugements

Le jugement influence la capacité d’une organisation à gérer les périodes de crise et à reprendre des activités normales de manière plus efficace. Durant les périodes de perturbation, la capacité d’une organisation à fonctionner conformément aux politiques et procédures en vigueur peut être entravée l’obligeant à se fier davantage au jugement et aux comportements de la direction et du conseil en étant guidé par la culture.

Les organisations dotées d’équipes de management possédant une vaste expérience, des compétences reconnues et une tolérance au risque bien définie exerceront probablement leur jugement avec davantage de clarté. Les parties prenantes auront également à leur tour davantage de chances de compter sur une organisation qui se redressera rapidement à partir de jugements conformes aux valeurs de l’organisation.

Le jugement affecte aussi la façon dont l’innovation et l’identification des opportunités sont favorisés au sein d’une organisation. Lorsque l’entité se caractérise par des pratiques très prescriptives et des délégations de pouvoir limitées, l’innovation peut alors être étouffée.

Transparence & conscience des risques

Distiller davantage de transparence et de prise de conscience des risques dans la culture d’entreprise requiert des actions telles que :

  • La mise en place de forums ou autres mécanismes permettant de partager des informations, prendre des décisions et identifier des opportunités,
  • Encourager les personnes à faire face aux problèmes et aux préoccupations sans craintes de représailles,
  • Aligner les valeurs fondamentales, les comportements et la prise de décision sur les incitations et les matrices de rémunération,

Dans une culture consciente des risques, les collaborateurs savent quelles sont les limites dans lesquelles ils peuvent opérer. Ils peuvent discuter ouvertement et débattre des risques à prendre pour atteindre la stratégie et les objectifs commerciaux. Le résultat se matérialisera par un comportement des collaborateurs et du management plus cohérent avec l’appétit au risque de l’organisation.

Effets de la culture

La culture d’une organisation influe donc sur la manière dont le risque est identifié, évalué et traité de la définition de la stratégie à son exécution. Les exemples comprennent :

  • La portée stratégique et les objectifs commerciaux : la culture d’une organisation peut affecter les types d’alternatives stratégiques envisagées,
  • Les processus d’identification et d’évaluation des risques : selon le type d’organisation, la nature et les types de risques et d’opportunités peuvent différer,
  • Les réponses aux risques et l’allocation des ressources,
  • L’analyse des performances : les organisations situées à différents niveaux du spectre culturel peuvent traiter différemment les tendances du marché et ses variations.

Et pour conclure

Comprendre les valeurs et la culture d’une organisation est donc fondamentale pour une bonne gestion des risques.

Sans une compréhension solide et positive des valeurs communiquées au plus haut niveau et un engagement réel vis-à-vis de ces valeurs, la sensibilisation aux risques peut être compromise et les décisions inspirées par les risques incompatibles avec les valeurs de l’organisation.

Sabine DRUJON, Président de VALUES & SENSE

Lire aussi : COSO ERM – Gouvernance et Culture

Publié par VALUES & SENSE

Notre mission : Accroître la Performance et favoriser la Transformation par les Valeurs et la Culture d'Entreprise