Gestion des risques d’entreprise (GRE) et rôle de surveillance du conseil d’administration : Comment bien faire ?


 

Aujourd’hui, je vous propose la lecture d’un article publié par Maria Castañón Moats*, Paul DeNicola, Stephen G. Parker de la firme PricewaterhouseCoopers, et paru sur le Forum de la Harvard Law School on Corporate Governance.

Les administrateurs sont de plus en plus impliqués dans les activités de surveillance, d’évaluation et de gestion des risques d’entreprises (GRE).

Les auteurs présentent une approche empirique très utile pour aider les administrateurs à s’acquitter de leurs responsabilités eu égard aux risques.

L’article fait le tour des moyens utilisés par les conseils d’administration pour se prémunir des risques organisationnels. L’article est assez long, mais il est très complet.

Afin d’aider les lecteurs, j’en ai une adaptation en utilisant l’outil de traduction de Google, et en faisant une adaptation soignée.

Bonne lecture !

Risk oversight and the board: navigating the evolving terrain

 

Nous vivons à une époque d’événements imprévus qui engendrent des risques, notamment des conflits géographiques et des événements si imprévisibles qu’ils  ne sont sur le radar de personne – une pandémie mondiale aux conséquences économiques et sociales de grande envergure. Bien qu’une entreprise ne puisse pas toujours anticiper ce qui pourrait arriver, une surveillance rigoureuse des risques par le conseil d’administration peut aider l’entreprise à réagir avec plus de rigueur et d’agilité. Le nombre et les types de risques que le conseil surveille continuent d’augmenter, même si leur nature change. Certains deviennent plus probables à mesure que les entreprises sont plus interconnectées. Certains sont susceptibles d’avoir un impact sur un certain domaine de l’entreprise. D’autres pourraient avoir de graves répercussions sur l’ensemble des opérations.

Ces dernières années ont renforcé la nécessité de reconnaître l’occurrence d’événements qui semblaient autrefois être improbables. Comment les organisations et leurs conseils d’administration peuvent-ils utiliser cette leçon pour améliorer leurs processus de surveillance des risques ? Garder un esprit ouvert, mais sceptique, en constitue une grande partie. Compte tenu de l’expérience collective de la plupart des conseils d’administration, et du fait que les administrateurs siègent en dehors de la gestion quotidienne de l’entreprise, ils sont bien placés pour apporter cette ouverture d’esprit et cette volonté d’explorer divers scénarios. Adopter une vision à long terme des risques, alignée sur le plan stratégique au niveau du conseil d’administration, permet à la direction de l’entreprise de se concentrer sur la gestion quotidienne de ces risques.

L’évolution de la GRE

La gestion des risques d’entreprise (GRE) a toujours consisté à identifier et à gérer les principaux risques pour l’organisation. Cela n’a pas changé. Les intrants, la méthodologie, les résultats et le processus global l’ont été, parce qu’ils le devaient. Comme illustré ci-dessous, il existe plusieurs moteurs de l’évolution des processus de GRE et de surveillance des risques.

 

Le lien entre stratégie et risque

Les grands investisseurs institutionnels ont fait pression pour obtenir plus d’informations sur la façon dont la déclaration d’intention d’une entreprise est liée à sa stratégie et à son succès à long terme. Avec cette attention externe croissante sur la stratégie, les conseils d’administration doivent comprendre comment la mission de leur entreprise a un impact sur ses processus pour  identifier les risques et déterminer l’appétit pour le risque de l’entreprise. Les risques et l’appétit pour le risque de l’entreprise doivent être considérés non seulement du point de vue de l’entreprise, mais aussi du point de vue des actionnaires et des autres parties prenantes (par exemple, les employés, les clients, les fournisseurs, les communautés et les régulateurs).

Prenons les risques GRE pour illustrer cela. Pour de nombreuses entreprises, ces risques étaient déjà sur leur radar, quelque part. Mais l’attention récente des grands investisseurs institutionnels, combinée à une augmentation des propositions d’actionnaires demandant la divulgation, a mis ces risques au premier plan. Les grands investisseurs institutionnels suggèrent que les risques GRE pourraient avoir un impact sur la valeur durable à long terme de l’entreprise. Par exemple, l’entreprise dépend peut-être de l’eau comme ressource clé. En raison des changements climatiques, l’approvisionnement en eau pourrait devenir un enjeu, ce qui finira par affecter la valeur à long terme de l’entreprise. Les entreprises se concentrent désormais davantage sur l’identification des risques GRE matériels de ce type, sur le suivi et la surveillance de ces risques, et sur la communication de leurs efforts aux actionnaires et aux autres parties prenantes.

Le conseil doit se concentrer sur les principaux risques commerciaux qui font l’objet d’un suivi et d’une surveillance actifs à tous les niveaux, y compris au niveau du conseil. Ils peuvent ajouter une valeur réelle en prenant du recul et en se demandant quels risques ne seraient pas pleinement soupesés.

Marge d’amélioration dans les discussions GRE

Seuls 62 % des administrateurs déclarent que leur conseil d’administration discute de la GRE dans le cadre de la discussion sur la gestion des risques d’entreprise

Source : PwC, Sondage annuel 2021 auprès des administrateurs de sociétés, octobre 2021.

Pour en savoir plus sur la GRE, lisez Préserver la confiance : le rôle du conseil d’administration dans l’intégration de la GRE.

 

Tout d’abord : la composition du conseil d’administration

La surveillance des risques relève de l’entière responsabilité du conseil d’administration.

 

 

Il est essentiel de disposer de compétences et d’expériences diverses au sein du conseil d’administration pour comprendre le large éventail de risques auxquels une entreprise peut être confrontée. Il est important d’avoir des membres du conseil d’administration ayant une grande expertise dans l’industrie et qui peuvent aider à anticiper ce qui va arriver. D’un autre côté, il est également important d’avoir de nouvelles perspectives, qu’il s’agisse de nouveaux administrateurs, de personnes ayant de l’expérience dans différents secteurs ou de compétences différentes, pour voir le risque sous différents angles. Les administrateurs qui ont une expertise spécifique en gestion des risques peuvent également apporter une réelle valeur ajoutée.

Composition et diversité du conseil

Comment décririez-vous l’importance des aptitudes, compétences ou qualités suivantes au sein de votre conseil ?

La diversité du conseil peut également avoir une incidence sur la surveillance des risques. En fait, 76 % des répondants à notre sondage annuel 2021 sur les administrateurs de sociétés ont convenu que la diversité au sein du conseil améliore la stratégie/la surveillance des risques et peut réduire le risque de passer à côté de risques clés.

Une fois que les administrateurs ont évalué la composition du conseil, et constaté qu’ils disposent des compétences adéquates au sein du conseil pour superviser efficacement les risques, il s’agit ensuite de comprendre comment l’entreprise identifie et gère ces risques.

La diversité du conseil a une incidence sur la surveillance

76 % des administrateurs déclarent que la diversité au sein du conseil améliore la stratégie/la surveillance des risques

Source : PwC, Sondage annuel 2021 auprès des administrateurs de sociétés, octobre 2021.

Comprendre et maximiser la GRE

La gestion des risques d’entreprise (GRE) signifie différentes choses pour différentes personnes. Certaines entreprises utilisent simplement la GRE pour identifier, hiérarchiser et signaler les risques, protégeant ainsi la valeur. Les meilleures entreprises utilisent également la GRE pour prendre des décisions plus éclairées et améliorer leurs performances stratégiques, financières et opérationnelles, ce qui génère de la valeur. Mais, il faut du travail et de l’adhésion à tous les niveaux pour que cela se produise.

Qu’est-ce que la GRE ? (et ce qu’elle n’est pas)

La GRE est l’ensemble des capacités, de la culture, des processus et des pratiques qui aident les entreprises à prendre de meilleures décisions face à l’incertitude. Il donne aux employés un cadre et des politiques pour les aider à comprendre, identifier, évaluer, gérer et surveiller les risques afin que l’entreprise puisse atteindre ses objectifs. Elle est plus utile lorsqu’elle est intégrée à la planification stratégique et à la prise de décision.

Les meilleures entreprises utilisent également la GRE pour prendre des décisions plus éclairées et ainsi améliorer leurs performances stratégiques, financières et opérationnelles, ce qui génère de la valeur.

La simple évaluation des risques (identification et hiérarchisation des principaux risques) ne relève pas de la GRE. Si une entreprise s’arrête là, elle peut connaître le risque, mais ne pas le gérer activement. Cela ne veut pas dire que l’identification et l’évaluation des risques ne sont pas un élément clé de la maximisation de la valeur de la GRE pour l’entreprise. La recherche de risques nécessite non seulement de comprendre les inducteurs de valeur de l’organisation, mais également les risques (et les opportunités) qui peuvent survenir lorsque ces inducteurs de valeur changent. La GRE peut être un outil pour aider les organisations à considérer les avantages potentiels des décisions associées à chaque risque spécifique. Par exemple, de nombreuses organisations ont changé leurs modèles d’affaires à la suite de la pandémie de COVID-19, en adoptant une politique de main-d’œuvre à distance et en offrant aux clients d’autres manières d’interagir avec eux, ouvrant ainsi de nouveaux canaux de distribution.

Les conseils d’administration et les hauts dirigeants doivent regarder au-delà de ce trimestre ou de cette année pour élaborer la bonne stratégie et prendre les bons paris. Il est peu probable que la GRE et la haute direction prédisent le prochain événement « cygne noir ». Mais une GRE robuste peut mettre en lumière une technologie disruptive : nouveaux concurrents, problèmes environnementaux ou sociaux et changements dans les réglementations, l’économie ou le paysage politique. L’évaluation continue des risques de l’entreprise doit englober les risques émergents pour aider l’entreprise à se concentrer sur les risques futurs afin d’identifier tout impact stratégique.

Il est également important de garder à l’esprit que la surveillance des risques ne signifie pas d’éviter tous les risques. Pour avoir une stratégie réussie, les entreprises doivent prendre des risques. Correctement effectuée, la GRE identifie les principaux risques qui pourraient faire obstacle et s’assure qu’ils sont (a) communiqués aux parties prenantes qui ont besoin de savoir, et (b) gérés de manière appropriée. Mais, la GRE etant différente dans chaque entreprise, comment les administrateurs peuvent-ils savoir si cela fonctionne dans leur entreprise ?

Signes indiquant que la direction pourrait améliorer la GRE

Pour en savoir plus sur l’amélioration de la GRE, consultez l’ enquête mondiale sur les risques 2022.

Veiller à ce que la GRE survive aux changements de direction

Si la GRE ne fonctionne qu’au niveau de la direction, elle n’influencera pas le comportement dans toute l’organisation. En fait, certaines entreprises trouvent utile d’évaluer les risques ou de hiérarchiser les risques à différents niveaux. Si vous demandez à différents groupes de personnes de hiérarchiser une poignée de risques clés dans l’entreprise, vous pouvez obtenir des réponses différentes en fonction du domaine de compétence de chacun. Le conseil d’administration et l’équipe de direction peuvent être alignés sur la hiérarchisation des risques, mais les cadres intermédiaires peuvent avoir une hiérarchisation très différente. Il vaut la peine de demander à ceux qui ne font pas partie de la haute direction comment ils pourraient hiérarchiser les risques. Alors, soit que  les cadres intermédiaires obtiennent plus d’informations sur les risques de la part des clients, des fournisseurs et d’autres employés que le processus GRE ne capte pas, soit que l’équipe de direction ne sensibilise pas efficacement les cadres intermédiaires aux principaux risques et à la nécessité de se concentrer sur leur atténuation. Dans tous les cas, ces informations peuvent être très utiles pour comprendre comment l’entreprise s’aligne sur l’identification et la hiérarchisation des risques.

Autres acteurs concernés par la GRE

En plus de la haute direction et du conseil d’administration, de nombreuses entreprises trouvent utile d’inclure des personnes de différents niveaux de l’organisation dans leur processus de GRE. Cela peut être aussi simple que de demander à la direction d’ajouter certains cadres intermédiaires à toutes les entrevues pendant le processus d’évaluation des risques. Lors des mises à jour de la GRE, les administrateurs peuvent demander à la direction s’ils ont envisagé cette approche plus holistique pour identifier et évaluer les risques.

Appétit pour le risque

Nous avons tous lu sur des entreprises qui ont pris des décisions impliquant des niveaux de risque qu’elles ne comprenaient pas entièrement. Également, d’autres organisations craignent de prendre trop peu de risques et de rater des opportunités en termes de performance et de croissance. À la lumière de ce qu’ils voient se produire, il n’est pas rare que les administrateurs se demandent quel niveau de risque l’entreprise doit prendre pour réaliser le plan stratégique .

L’instinct pousse à prendre des risques dans de nombreuses entreprises. La plupart des gens savent comment ils doivent se comporter et quels risques sont acceptables. Mais comment la haute direction et le conseil d’administration peuvent-ils savoir que tout le monde est sur la même longueur d’onde lorsqu’il s’agit de prendre des risques ? Cela revient à tirer parti d’un appétit pour le risque. La direction peut informer les employés du niveau de risque acceptable pour atteindre ses objectifs en déclarant son d’appétit pour le risque. Certaines entreprises voient cela comme un exercice académique qui finit sur une tablette. Mais, lorsqu’il est bien fait, il peut fournir un véritable aperçu des types et de la quantité de risques qui conviennent à l’entreprise, tout en précisant la prise de décision en matière de risque dans l’organisation.

Les déclarations d’appétit pour le risque réussies correspondent à la stratégie et éclairent les décisions commerciales. La déclaration d’appétence au risque comprend des informations quantitatives et qualitatives. Le conseil d’administration revoit annuellement la déclaration d’appétit pour le risque dans le cadre de ses efforts de surveillance de la GRE. Et dans le cadre de rapports réguliers, les conseils d’administration obtiennent une vue consolidée des risques dans l’ensemble de l’organisation afin d’être en mesure d’évaluer l’agrégation des risques par rapport à l’appétit pour le risque.

Qu’est-ce qui fait une bonne déclaration d’appétit pour le risque ?

Une bonne déclaration d’appétit pour le risque peut promouvoir une culture saine et aider à la prise de décision. Cela devient un manuel de l’entreprise pour déterminer le degré d’incertitude acceptable. Il définit les limites du niveau de risque à prendre pour atteindre les objectifs stratégiques et opérationnels. (Ces limites seront différentes pour différents types de risques.) En réalité, plusieurs expressions peuvent être nécessaires pour exprimer le degré de risque adéquat (le plancher) et le degré acceptable (le plafond) pour atteindre les objectifs. En résumé, cela rend la prise de risque plus transparente.

Pour obtenir des exemples, consultez Appétit pour le risque du COSO – Essentiel au succès.

Quel rôle la culture joue-t-elle dans la discussion sur les risques ?

L’appétence au risque fait partie intégrante de la culture d’entreprise. Une culture d’entreprise qui reflète un ton clair, cohérent et éthique au sommet peut favoriser une prise de risque appropriée ainsi qu’une nécessaire transparence. D’un autre côté, si le ton du sommet est celui de la méfiance et de la microgestion, la prise de décision peut être paralysée et conduire à une culture de l’aversion au risque. Et une culture d’entreprise qui fournit des messages mitigés (les actions et les mots ne concordent pas) peut conduire à une prise de risque inappropriée. Des conseils avisés évaluent le leadership, les personnes, la communication, la stratégie, la responsabilité, le renforcement, la gestion des risques et l’infrastructure pour évaluer l’impact du risque sur la culture du risque de l’entreprise.

Voir Pourquoi les conseils d’administration doivent-ils connaître la culture de leur entreprise ? Indice : pour sassurer qu’il s’agit d’un atout, et non d’un handicap, pour plus d’informations sur le rôle du conseil d’administration dans la surveillance de la culture.

 

 

Rapports sur les risques

De nombreuses entreprises utilisent une approche en silo et manuelle pour gérer et signaler les risques. Cela signifie que différentes parties de l’entreprise peuvent signaler les risques au conseil à différentes fréquences, sous différents formats et avec différents domaines d’intérêt. Pour aggraver l’inefficacité de cette approche fragmentée, chaque partie de l’entreprise peut utiliser des systèmes différents, rapportant ainsi différents types de données.

Certaines entreprises préparent des rapports de risques complets en distillant les informations fournies par divers groupes de gestion des risques. Mais une telle approche soulève d’autres défis et le processus lui-même peut être inefficace. De plus en plus d’entreprises utilisent une plate-forme technologique GRC (gouvernance, risques et conformité) pour consolider et rationaliser le processus de reporting des risques.

Le conseil devrait déterminer le type, le niveau et la fréquence des rapports qui lui permettraient de s’acquitter efficacement de ses responsabilités en matière de surveillance des risques. Les principales organisations font rapport trimestriellement au conseil d’administration sur la GRE. Dans le cadre d’une analyse approfondie annuelle du processus global de GRE, la direction peut présenter son processus d’identification et d’évaluation des principaux risques pour l’organisation. Ces principaux risques (généralement entre 10 et 15 risques, pouvant varier en fonction de l’entreprise) et toute modification de ceux-ci feraient partie d’un rapport de prélecture trimestriel cohérent pour le conseil.

Votre entreprise obtient-elle les données dont elle a besoin pour gérer les risques ?

Parmi les participants à l’étude sur les risques mondiaux 2022 de PwC :

38 % ont déclaré que la fonction de risque de leur entreprise ne recherchait pas activement des informations externes pour évaluer et surveiller les risques

Source : PwC, 2022 Global Risk Survey, mai 2022.

Pour chaque risque clé, un cadre supérieur doit être désigné et un plan d’atténuation détaillé. Ce suivi devrait préciser les indicateurs de risque clés (KRI) pour chaque risque surveillé au niveau du conseil. Les KRI peuvent servir de signes avant-coureurs et peuvent être particulièrement utiles pour les administrateurs. Ces mesures peuvent donner aux conseils d’administration une idée de la façon dont la direction analyse l’horizon du risque à la recherche de signaux d’alarme. Les KRI ne prédisent pas l’avenir, mais ils permettent à la direction de surveiller les changements possibles dans l’impact ou la probabilité des risques clés pour aider à minimiser les surprises. Par exemple, une baisse du produit intérieur brut ou une augmentation du chômage peuvent signaler à un détaillant que les ventes de vacances ne seront pas aussi robustes que prévu et qu’il peut être temps d’alléger les stocks ou de réduire les effectifs.

En plus des prélectures trimestrielles récurrentes pour le conseil d’administration, les responsables de la GRE de l’organisation et quelques-uns des responsables des risques peuvent fournir des commentaires lors d’une réunion sur les changements et sur ce qui pourrait émerger. Les questions que le conseil pourrait envisager de poser incluent : (1) y a-t-il des risques qui ne figurent pas sur la liste des principaux risques et qui pourraient apparaître subséquemment? (2) Que se passe-t-il si deux risques ou plus interagissent ? Il peut être plus utile de considérer ceux pour lesquels la probabilité semble faible, mais dont l’impact serait critique.

Il est essentiel de comprendre que des discussions régulières avec la direction sur les risques sont impératives. Les rapports de la direction et/ou les discussions avec le conseil d’administration doivent, au minimum, identifier les risques les plus critiques pour l’entreprise, l’impact possible et la probabilité de ces risques, l’identification des responsables des risques et la situation eu égard aux activités d’atténuation.

Structure du conseil et pratiques de surveillance

Tout le conseil ou responsabilité d’un comité?

L’ensemble du conseil d’administration est responsable de la surveillance des risques et doit comprendre le programme de GRE d’une entreprise. Toutefois, le conseil peut souhaiter déléguer les détails de la surveillance de risques spécifiques à des comités. Par exemple, le comité de rémunération peut se concentrer sur les risques posés par les plans de rémunération remaniés tandis que le comité de la technologie se concentre sur ceux inhérents à une nouvelle intégration des systèmes informatiques.

Avec l’augmentation du nombre et du type de risques que les conseils d’administration surveillent, de nombreux conseils d’administration réexaminent la manière dont ils répartissent la surveillance des risques entre l’ensemble du conseil et les comités. Les principaux conseils d’administration réexaminent la répartition des risques au moins une fois par an pour s’assurer que rien ne passe entre les mailles du filet et que tous les risques clés sont à l’ordre du jour au conseil d’administration plénier ou à un comité.

Les comités des risques suscitent beaucoup d’intérêt, mais les comités des risques sont encore relativement rares. En effet, seulement 12 % des entreprises du S&P 500 ont des comités des risques. Cela inclut les entreprises du secteur des services financiers et d’autres secteurs hautement réglementés, où elles peuvent être obligatoires.

Bien que l’ensemble du conseil d’administration soit responsable de la surveillance des risques, beaucoup de CA confient l’entièreté de la surveillance quotidienne au comité d’audit, qui a déjà beaucoup de pain sur la planche. Les risques distincts sont ensuite répartis dans l’ensemble de la structure du comité, le comité d’audit en assumant également certains. En plus des contraintes de temps et du large champ d’application, le comité d’audit peut ne pas être le bon endroit pour surveiller certains risques qui peuvent nécessiter une expérience plus spécifique à un sujet.

Quelle que soit la structure d’attribution de la surveillance que le conseil adopte, les administrateurs doivent s’assurer qu’ils sont en mesure de faire les liens appropriés. Une focalisation cloisonnée sur les risques individuels pourrait empêcher le conseil d’identifier comment les risques se recoupent. Une lecture rigoureuse des rapports des comités aide à garantir que les idées et les conclusions importantes sont communiquées à l’ensemble du conseil. Pour une surveillance efficace, il est essentiel de s’assurer que les aspects distincts de la gestion des risques se rejoignent au niveau de l’entreprise pour un examen de la façon dont ces risques distincts interagissent, s’ils peuvent devenir covariants et quelles circonstances externes pouvaient conduire à des risques apparemment indépendants, en alignement ou en cascade.

Utilisation d’une matrice de répartition des risques

Certaines sociétés bénéficient de l’utilisation d’une matrice de répartition des risques, qui peut faire partie du résumé des risques clés fourni au conseil d’administration. Une matrice de répartition des risques, qui fonctionne mieux lorsqu’elle fait partie du cadre de gouvernance de la GRE, aide les membres du conseil à comprendre quel comité, ou éventuellement l’ensemble du conseil, détient la responsabilité de la surveillance de chaque risque. Cela devrait également faire partie du cadre de gouvernance de la GRE, un élément clé qui définit clairement qui gère et qui supervise chaque risque.

Selon un sondage de la NACD , seuls 53 % des administrateurs ont indiqué que leur conseil d’administration avait attribué des rôles de surveillance des risques clairement définis à chacun de leurs comités.

Exemple de matrice de répartition des risques

 

Tirer le meilleur parti du temps consacré aux réunions

Qu’il s’agisse de l’ensemble du conseil d’administration ou d’un comité chargé de superviser les risques, des analyses approfondies périodiques peuvent aider les administrateurs à mieux comprendre les principaux risques. Les responsables du risque (unité commerciale ou cadres fonctionnels) peuvent expliquer la nature du risque, son impact potentiel sur les objectifs stratégiques, la manière dont il est géré, y compris les limites acceptables, et le type de contrôles en place. C’est aussi le moment idéal pour découvrir comment ils intègrent les pratiques de gestion des risques dans leurs activités. Et c’est l’occasion de comprendre s’ils gèrent les risques et les performances ensemble, car les risques individuels peuvent avoir un impact sur plusieurs objectifs. La mise en évidence de 1 à 2 domaines de risque clés chaque trimestre est une bonne cadence. Envisagez d’intégrer ces séances dans le calendrier de planification de l’agenda annuel.

Les administrateurs peuvent ensuite passer du temps à discuter du risque et de la façon dont l’évaluation de la direction peut changer, par exemple, si l’impact potentiel est plus grave ou change plus rapidement que prévu.

Enfin, les administrateurs doivent solliciter d’autres avis sur la manière dont la direction gère un risque spécifique en demandant leur avis au personnel de la GRE, de la conformité et de l’audit interne.

Transparence du conseil

Comment un conseil d’administration peut-il rassurer les investisseurs et les autres parties prenantes sur le fait qu’il surveille efficacement les risques ?

Depuis 2010, les sociétés ouvertes sont tenues d’inclure des informations sur le rôle du conseil d’administration dans la surveillance des risques dans leurs circulaires de sollicitation de procurations. La divulgation anticipée des procurations comprenait peu de détails. Ils ont souvent simplement déclaré que le conseil a la responsabilité globale de la surveillance des risques, le comité d’audit surveille les risques liés aux finances, le comité de gouvernance surveille les risques liés à la gouvernance et le comité de rémunération surveille les risques liés à la rémunération. De telles divulgations de base ne donnent pas aux actionnaires une grande confiance dans le fait que le conseil surveille activement les risques qui comptent.

Récemment, les actionnaires ont exigé que les entreprises fournissent des informations plus significatives et transparentes sur les activités et les performances de surveillance des risques du conseil d’administration. En particulier, les grands investisseurs veulent comprendre comment les entreprises se concentrent sur les risques de développement durable qui pourraient avoir un impact sur la capacité d’une entreprise à générer de la valeur à long terme. Pour inciter à l’action, certains investisseurs ont même annoncé des changements dans leurs politiques de vote des administrateurs. Dans certains cas, l’incapacité d’une entreprise à se concentrer de manière appropriée sur ces risques et à divulguer des mesures pertinentes pourrait désormais déclencher des votes contre certains administrateurs.

En réponse à la demande des investisseurs, les régulateurs ont également commencé à faire pression pour une plus grande divulgation de la surveillance des risques. En 2022, la SEC a proposé des règles relatives à la fois au changement climatique et aux divulgations en matière de cybersécurité. Les règles proposées traitent de la divulgation de plus d’informations sur la gestion des risques de l’entreprise dans ces domaines et sur la surveillance du conseil d’administration dans chacun d’eux. Compte tenu de cette attention accrue portée à la surveillance des risques par les investisseurs et les régulateurs, de nombreuses entreprises élargissent désormais leurs informations sur les risques. Les administrateurs doivent lire leurs déclarations de procuration actuelles avec un œil critique et s’assurer de faire connaître le travail qu’ils accomplissent.

Les administrateurs peuvent demander à la direction de comparer les informations fournies par la société sur la surveillance des risques par le conseil. L’examen des meilleures divulgations peut inciter le conseil à être plus transparent. Cet exercice peut également souligner la nécessité de consacrer plus de temps au conseil à la gestion des risques ou d’identifier d’autres lacunes dans le processus de surveillance du conseil qui doivent être corrigées.

Quelle est la solidité de vos informations sur la surveillance des risques ?

Les déclarations de procuration ont évolué pour inclure des informations supplémentaires liées à la surveillance des risques, telles que :

  • Si l’ensemble du CA est engagé;
  • Une description de la façon dont le conseil examine la fonction de gestion des risques de l’entreprise (GRE);
  • L’approche du conseil d’administration pour répartir la surveillance des risques par comité, y compris une liste détaillée des principaux domaines de risque sur lesquels chaque comité se concentre;
  • La nature et la fréquence des rapports au conseil ou au comité;
  • Le rôle de la haute direction relativement à la surveillance des risques, y compris une description du comité de gestion des risques, de ses membres et de ses responsabilités;
  • Les détails concernant la surveillance de la cybersécurité, y compris le nombre de fois où la cybersécurité était à l’ordre du jour du conseil, qui (par exemple, CIO, CISO, CRO) présente des mises à jour au conseil, s’ils entendent également des experts externes et s’ils tiennent des séances privées avec le CIO ou RSSI;
  • Spécificités concernant la surveillance des risques GRE, y compris les objectifs et les cibles;
  • Comment le conseil se familiarise-t-il avec ses propres connaissances techniques dans ces domaines, que ce soit par le biais d’une expertise spécifique, de l’utilisation de conseillers tiers, d’une formation continue ou d’un perfectionnement des compétences ?

En conclusion…

Dans un environnement de risque commercial qui devient de plus en plus complexe et interconnecté, les conseils d’administration jouent un rôle crucial dans la surveillance des risques et de l’information aux actionnaires.

  • Pour commencer, les conseils peuvent regarder autour de la table. Y a-t-il une diversité d’expérience, de pensée, de genre et de race pour apporter des perspectives différentes sur le risque ?
  • Les conseils d’administration voudront également comprendre le programme de GRE de l’entreprise, et comment ils contribuent à ce programme.
  • Le conseil voudra également consacrer du temps à sa propre structure de surveillance.
  • Enfin, les conseils d’administration doivent considérer les diverses parties prenantes de l’entreprise : quelles informations leur sont fournies sur les programmes et les activités de gestion des risques de l’entreprise ?

En examinant et en affinant son approche de la surveillance des risques, un conseil peut offrir une valeur accrue à l’entreprise et à ses actionnaires.


*Maria Castañón Moats  est leader,  Paul DeNicola est directeur et Stephen Parker est associé au Governance Insights Center de PricewaterhouseCoopers LLP.

Auteur : Gouvernance des entreprises | Jacques Grisé

Ce blogue fait l’inventaire des documents les plus pertinents et récents en gouvernance des entreprises. La sélection des billets, « posts », est le résultat d’une veille assidue des articles de revue, des blogues et sites web dans le domaine de la gouvernance, des publications scientifiques et professionnelles, des études et autres rapports portant sur la gouvernance des sociétés, au Canada et dans d’autres pays, notamment aux États-Unis, au Royaume-Uni, en France, en Europe, et en Australie. Chaque jour, je fais un choix parmi l’ensemble des publications récentes et pertinentes et je commente brièvement la publication. L’objectif de ce blogue est d’être la référence en matière de documentation en gouvernance dans le monde francophone, en fournissant au lecteur une mine de renseignements récents (les billets quotidiens) ainsi qu’un outil de recherche simple et facile à utiliser pour répertorier les publications en fonction des catégories les plus pertinentes. Jacques Grisé est professeur titulaire retraité (associé) du département de management de la Faculté des sciences de l’administration de l’Université Laval. Il est détenteur d’un Ph.D. de la Ivy Business School (University of Western Ontario), d’une Licence spécialisée en administration des entreprises (Université de Louvain en Belgique) et d’un B.Sc.Comm. (HEC, Montréal). En 1993, il a effectué des études post-doctorales à l’University of South Carolina, Columbia, S.C. dans le cadre du Faculty Development in International Business Program. Il a été directeur des programmes de formation en gouvernance du Collège des administrateurs de sociétés (CAS) de 2006 à 2012. Il est maintenant collaborateur spécial au CAS. Il a été président de l’ordre des administrateurs agréés du Québec de 2015 à 2017. Jacques Grisé a été activement impliqué dans diverses organisations et a été membre de plusieurs comités et conseils d'administration reliés à ses fonctions : Professeur de management de l'Université Laval (depuis 1968), Directeur du département de management (13 ans), Directeur d'ensemble des programmes de premier cycle en administration (6 ans), Maire de la Municipalité de Ste-Pétronille, I.O. (1993-2009), Préfet adjoint de la MRC l’Île d’Orléans (1996-2009). Il est présentement impliqué dans les organismes suivants : membre de l'Ordre des administrateurs agréés du Québec (OAAQ), membre du Comité des Prix et Distinctions de l'Université Laval. Il préside les organisations suivantes : Société Musique de chambre à Ste-Pétronille Inc. (depuis 1989), Groupe Sommet Inc. (depuis 1986), Coopérative de solidarité de Services à domicile Orléans (depuis 2019) Jacques Grisé possède également une expérience de 3 ans en gestion internationale, ayant agi comme directeur de projet en Algérie et aux Philippines de 1977-1980 (dans le cadre d'un congé sans solde de l'Université Laval). Il est le Lauréat 2007 du Prix Mérite du Conseil interprofessionnel du Québec (CIQ) et Fellow Adm.A. En 2012, il reçoit la distinction Hommage aux Bâtisseurs du CAS. En 2019, il reçoit la médaille de l’assemblée nationale. Spécialités : Le professeur Grisé est l'auteur d’une soixantaine d’articles à caractère scientifique ou professionnel. Ses intérêts de recherche touchent principalement la gouvernance des sociétés, les comportements dans les organisations, la gestion des ressources humaines, les stratégies de changement organisationnel, le processus de consultation, le design organisationnel, la gestion de programmes de formation, notamment ceux destinés à des hauts dirigeants et à des membres de conseil d'administration.

Qu'en pensez-vous ?

Entrer les renseignements ci-dessous ou cliquer sur une icône pour ouvrir une session :

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

%d blogueueurs aiment cette page :