Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorQuand les conseils d’administration n’étaient pas au courant, qui est en faute?

​Quand les conseils d’administration n’étaient pas au courant, qui est en faute?

En lisant les articles sur les scandales qui ont entaché l’image d’entreprises majeures, on a l’impression de prendre connaissance d’un top 10 des actualités les plus marquantes de la dernière décennie : scandale des bilans truqués de Toshiba, dieselgate de Volkswagen, comptes fantômes de Wells Fargo, effondrement de Carillion et tollé du salaire du PDG de Nissan.

Ces scandales très médiatisés devraient sérieusement troubler l’ensemble des défenseurs de la bonne gouvernance ; qu’il s’agisse des investisseurs, des régulateurs ou des responsables de la conformité et risk managers en passant par les organismes de certification indépendants. Pire encore, ces exemples de mauvaise gouvernance ont en commun une intrigue secondaire. En effet, les conseils d’administration de chacune de ces sociétés, établies de longue date et très évoluées, ignoraient, dans une large mesure, l’ampleur des défaillances de management des risques qui érodaient la valeur de leur action auprès des actionnaires.

Une analyse de ces scandales amène inévitablement à la question suivante : que faisait le conseil d’administration ? Le rapport sur les risques publié récemment par l’IIA, OnRisk 2020: A Guide to Understanding, Aligning, and Optimizing Risk, apporte des éclairages pertinents qui pourraient contribuer à apporter une réponse à cette question.

Ce rapport est le premier à offrir une vision de l’alignement stratégique des trois acteurs clés du management des risques – le conseil d’administration, l’équipe de direction et l’audit interne – et ses principales conclusions suggèrent que les conseils d’administration ont une vision irréaliste de la maîtrise des risques :

Pour chaque risque clé (le rapport en aborde onze), les membres des conseils d’administration ont attribué un score plus élevé que l’équipe de direction quant à la capacité de l’organisation à maîtriser les risques. Cette constatation suggère que les conseils d’administration manquent d’esprit critique à l’égard des informations que la direction leur fournit. Soit les informations qu’ils reçoivent sont insuffisantes, soit leurs compétences sont trop limitées pour appréhender et évaluer les risques. Les résultats du rapport laissent entendre également que les membres de l’équipe de direction ne sont peut-être pas totalement transparents avec le conseil d’administration en ce qui concerne les risques et leurs propres réserves quant à la capacité de l’organisation à les maîtriser.

Au moins trois raisons peuvent expliquer cette vision malencontreuse et trop optimiste du management des risques. Examinons-les une par une.

Les membres du conseil d’administration font l’autruche. Être membre d’un conseil d’administration est aujourd'hui de plus en plus complexe et chronophage. Caractérisé par un rythme en accélération et porté par la technologie, le panorama des risques gagne en dynamisme. L’époque où la préoccupation principale des conseils d’administration était le bilan financier est révolue. Cette nouvelle réalité suscite de plus en plus d’appels à faire évoluer le profil type de l’administrateur en lui apportant davantage de diversité, une orientation plus technologique et plus de jeunesse.

Cependant, la diversité des expériences et une certaine fraîcheur parmi les points de vue ne peuvent suffire à résoudre le problème plus fondamental évoqué dans OnRisk 2020. Les conseils d’administration qui manquent d’esprit critique à l’égard des informations que l’équipe dirigeante leur fournit n'obtiendront jamais une vision complète et précise des risques et de leur maîtrise. Trop souvent, il manque une dose de scepticisme professionnel sain aux administrateurs dans l’exercice de leur fonction.

Une des causes importantes de cette lacune est la manière dont beaucoup – sinon la plupart – des cadres dirigeants finissent par obtenir un siège d’administrateur. Soit, ils sont choisis par le président du conseil d’administration ou le directeur général, soit ils ont un autre lien préexistant avec l’organisation, le directeur général ou un membre du conseil d’administration. Depuis trop longtemps, la voie menant au conseil d’administration dépend davantage des relations du potentiel administrateur que de ses compétences. Du fait de cet accord non dit, les membres du conseil d’administration se sentent redevables envers la direction et sont donc moins susceptibles de poser des questions essentielles.

Parmi les cadres dirigeants, la politique consiste à rester discret : ne rien révéler, ne rien demander. Le rapport OnRisk 2020 s’est aussi penché sur l’évaluation par les conseils d’administration, l’équipe de direction et par l’audit interne des onze risques clés quant à la maturité du management des risques. Là aussi, les conseils d’administration se sont montrés plus optimistes que l’équipe dirigeante eu égard à la capacité de leur organisation à maîtriser les risques.

C’est assez révélateur. Si le conseil d’administration a systématiquement une vision plus positive que les agents de terrain des capacités de l’organisation en matière de maîtrise des risques, il semble probable que la direction ne se montre pas totalement transparente.

À défaut d’être excusable, c’est au moins compréhensible. Les dirigeants passent peu de temps devant les conseils d’administration qui se réunissent deux ou quatre fois par an et lors de ces réunions, ils doivent fournir beaucoup d’informations en peu de temps. Il n’est pas surprenant que certains risques ne soient pas examinés aussi minutieusement qu’ils le devraient. Mais pour être honnête, je pense qu’il est plus probable que la direction utilise ces opportunités limitées pour se donner l'image la plus flatteuse possible et minimiser les points négatifs.

Le responsable de l’audit interne reste silencieux. Une explication que le rapport OnRisk 2020 n’aborde pas est le rôle de l’audit interne dans cette vision faussée de la maîtrise des risques. Puisqu’elle est l’unique voix de l’assurance indépendante en matière de management des risques, l’audit interne a l’obligation de prendre la parole lorsque les conseils d’administration ne reçoivent pas une vision complète et précise au moment opportun.

Plus facile à dire qu’à faire. Souvent, l’audit interne n’a pas un positionnement qui lui permettrait d’évaluer les informations transmises au conseil. En effet, le rapport 2019 North American Pulse of Internal Audit a révélé que 23 % des responsables de l’audit interne n’abordent jamais les sujets de l’exhaustivité et de l’actualité des informations transmises aux administrateurs avec la direction et le conseil d’administration, et 34 % d’entre eux déclarent que de telles discussions ont lieu uniquement dans des situations inhabituelles. L’audit interne doit mieux se positionner pour fournir une assurance indépendante quant aux informations transmises au conseil d’administration.

L’exercice ci-dessus permet de démontrer clairement deux choses. Premièrement, la question que nous devrions nous poser n’est pas « Que faisait le conseil d’administration ? ». Mais bien « Qui est responsable de la vision faussée des administrateurs sur le management des risques ? » La réponse est claire : le conseil d’administration, la direction et l’audit interne ont chacun une part de responsabilité.

La solution doit être tout aussi claire, et c’est à mon sens l’enseignement le plus précieux que dispense le rapport OnRisk 2020 : redevabilité et transparence sont essentielles pour une bonne compréhension et un bon alignement stratégique entre le conseil d’administration, la direction et l’audit interne eu égard aux efforts de maîtrise des risques. Toute exigence moindre représenterait une menace inacceptable à la bonne gouvernance.

Comme toujours, vos commentaires sont les bienvenus.

Communication :
Richard F. Chambers, président et directeur général du Global Institute of Internal Auditors, publie chaque semaine pour InternalAuditor.org un article de blog traitant des sujets d’actualité en rapport avec la profession d’auditeur interne.