La nécessité de repenser la gouvernance des risques

L'approche des risques d'entreprise est une préoccupation croissante au sein de la gouvernance d'entreprise. Une attention excessive à la conformité et une trop grande concentration sur le risque financier est un risque en soi. Il existe plusieurs catégories de risques stratégiques, qui peuvent s'effondrer ou nuire gravement aux organisations, soulignant l'importance d'aborder le sujet du risque de manière multidisciplinaire et systémique. L'effort pandémique actuel illustre comment les organisations humaines, même les États, ne sont pas bien préparés à faire face aux risques. Une approche holistique soutenue par des principes de politique commerciale, assure une meilleure identification et gestion des risques potentiels. Commencer par la taxonomie des risques aide à classer plusieurs catégories pertinentes, accroître la sensibilisation et la visibilité des domaines critiques, et aider à orienter les efforts vers une meilleure approche à leur égard.

Les approches actuelles de la gouvernance d'entreprise suggèrent qu'une approche normative, bien que nécessaire, n'est pas suffisant pour une gouvernance efficace des risques. Une approche prudentielle et multidisciplinaire est nécessaire. La question du risque semble avoir été négligée dans de nombreuses situations, des occasions manquées d'innover, face à l'évolution technologique, aux catastrophes majeures résultant d'accidents techniques. Les récents accidents d'avion de Boeing ou le déversement de BP Deep Water Horizon dans le golfe du Mexique il y a quelques années peuvent suggérer une amélioration dans l'approche du risque. Les codes de gouvernance traitent de la responsabilité des administrateurs, mais le faire d'un point de vue normatif, alors qu'en fait il faut aller au-delà du simple respect, puisque la « réalisation de l'avenir d'une entreprise est affaire d'initiative, pas d'optimisation » [1]. Ou réfléchissons au nouveau paradigme qu'impliquent la transformation numérique et les cybermenaces, en particulier un tout nouvel ensemble de risques qui n'existaient pas dans le passé.

Cyber-risques, par exemple, avec sa complexité accrue qui « émerge » des effets systémiques est un sujet qui ne reconnaît pas les frontières physiques, et où la technologie, les effets sociaux et géopolitiques façonnent un tout nouveau monde de risques dont les impacts peuvent à peine être estimés. Un conseil d'administration qui n'est pas conscient de ces risques ne s'acquitte probablement pas de ses responsabilités concernant la gouvernance des organisations dont il est responsable. Comme quelqu'un l'a déclaré :« Le travail des dirigeants est d'agir pour obtenir une situation future pour l'organisation, meilleur que l'actuel en termes relatifs », ce qui nécessite une approche holistique sur le sujet du risque [1]. Les risques financiers ont fait l'objet d'une immense couverture médiatique et médiatisée au cours des dernières décennies et ont donc fait l'objet d'efforts réglementaires accrus, une action positive. Il y a, pourtant, de nombreux autres types de risques qui nécessitent une attention similaire afin d'éviter les « angles morts » en ce qui concerne nos organisations. Par example, la pandémie actuelle a pris l'écrasante majorité des entreprises au dépourvu, des systèmes de santé mal préparés, ou des pays aux stratégies économiques inefficaces, qui ont été exposés aux conséquences de la matérialisation des risques.

Les approches de risque actuelles sont encore aggravées par des limitations cognitives résultant de notre capacité limitée à estimer les résultats [2], comme le montrent quelques exemples classiques dans le tableau suivant [3].

Les limitations cognitives mentionnées donnent lieu à des estimations erronées concernant les résultats potentiels. Par example, l'invention de l'appareil photo numérique, qui ne semble pas avoir assez retenu l'attention du conseil d'administration de Kodak il y a quelques décennies, pourrait être un exemple d'échec du conseil d'administration dans l'identification d'un risque technologique critique. Les tâches que le conseil d'administration doit accomplir sont essentiellement celles qui déterminent la prospérité et la pérennité de l'entreprise, accepter un niveau de risque « adéquat », et adopter une approche multidisciplinaire de la prise de décision. Le meilleur processus de prise de décision au monde ne sera pas assez bon sans une information adéquate, et quelle que soit la qualité de l'équipe de direction, les informations transmises au tableau seront toujours « filtrées ». Par conséquent, les administrateurs ont également besoin de canaux d'information adéquats, internes et externes à l'entreprise, ainsi que formelles et informelles. Une approche de politique d'entreprise attirera l'attention sur ses quatre domaines directeurs :l'entreprise, la structure de direction, les systèmes incitatifs et la configuration institutionnelle.

Conformité – une condition nécessaire, cependant pas suffisant

Une entreprise comprend un compromis entre le profit et le risque assumé. Pourtant, prendre trop de risques a parfois un fort potentiel de nuire à l'entreprise, voire de l'effondrer. Certains auteurs suggèrent que la demande croissante et la responsabilisation des administrateurs ne se limitent pas à la question des risques, mais à leur rôle de responsable de la direction organisationnelle, avec les conséquences potentielles que de nombreux administrateurs peuvent avoir tendance à s'écarter de ces rôles [4]. Les tendances récentes dans l'approche des risques d'entreprise comprennent l'introduction croissante d'un directeur des risques, qui devient directement responsable devant le conseil d'administration. Bien qu'une telle situation puisse être quelque peu inconfortable pour le PDG, ce chiffre peut aider le conseil d'administration vers une meilleure approche de la gouvernance des risques.

Les codes de gouvernance d'entreprise suggèrent généralement la mise en œuvre d'un système de gestion des risques ; dont les performances devraient être évaluées périodiquement. Des efforts ont été faits pour une meilleure compréhension et gestion des risques de l'entreprise, de l'introduction de la norme ISO 31000 à la dépense de centaines de millions dans n'importe quelle devise sur les systèmes ERM (Enterprise Risk Management), souvent avec des résultats en deçà des attentes. systèmes GRE, en essayant de couvrir chacun des risques identifiables dans une entreprise, finissent par générer une quantité écrasante de données, ce qui finit par distraire les responsables de la gouvernance des risques. La plupart de ces systèmes traitent les risques comme indépendants les uns des autres, quand ce n'est pas forcément vrai, et peut produire des effets amplifiés – émergence de systèmes – lorsque de tels risques se matérialisent. En outre, en raison de leur simple existence, Les systèmes ERM introduisent un « faux » sentiment de sécurité, un risque pour lui-même.

C'est dans cet équilibre entre risque et profit que s'inscrit l'approche de la gouvernance des risques d'entreprise, ce qui nécessite une plus grande implication et responsabilité de la part des responsables, jeter les planches à l'ancienne, parfois appelées planches « Rubber Stamp », très en vogue dans le passé. Un conseil d'administration efficace s'engage de manière proactive à soutenir la direction générale de l'entreprise, et une gouvernance efficace des risques. Cette attention doit aller au-delà des canaux d'information du conseil et être proactive dans la collecte d'informations, non seulement par des canaux d'information formels mais aussi informels, et à la fois à l'intérieur et à l'extérieur de l'organisation, visiter les installations et les opérations de l'organisation, poser à la direction les questions appropriées, et remettre en question leurs réponses.

Une attention excessive aux risques de type financier

Malgré l'accent mis sur les risques financiers, il existe un large éventail de risques non financiers qui, outre stratégiques, peuvent sérieusement affecter les entreprises. Partant d'une taxonomie des risques, les regrouper en catégories, apporte une visibilité sur les potentiels « angles morts » [5].

Il est légitime de se demander si le conseil d'administration doit se concentrer principalement sur les risques financiers, parfois de courte durée, ou, plutôt, sur la technique, opérationnel, réputation, entre autres typologies de risque, qui sont des risques réels qui peuvent dicter le sort des organisations. La façon dont le risque est traité par la plupart des organisations peut suggérer une certaine sous-estimation, prenant à peine en compte les relations systémiques de cause à effet, derrière les problèmes observés. La remise en cause des domaines susmentionnés de la politique commerciale peut soutenir une approche plus holistique de la gouvernance des risques, en soulevant des questions telles que :

• Comment le risque X affecte-t-il cette entreprise ?
• Quelle est la relation entre le risque X et la structure de l'entreprise ?
• Quelle est la relation entre les systèmes d'incitation et le risque ?
• Les systèmes d'incitation induisent-ils des comportements moins éthiques ?
• Comment la culture organisationnelle affecte-t-elle le risque ou est-elle affectée par celui-ci ?
• Quel est le niveau d'initiative et d'innovation dans l'entreprise ?

Au moyen d'un interrogatoire systématique, un conseil d'administration responsable peut générer une visibilité supplémentaire sur les risques potentiels de l'entreprise, couvrant les points de reliure, et évaluer comment les risques affectent et sont affectés par les quatre domaines directeurs ci-dessus [1]. Les tâches que le conseil d'administration devrait accomplir sont essentiellement celles qui déterminent la prospérité et la pérennité de l'entreprise en présence de diverses typologies de risques. Une focalisation excessive sur le risque financier ainsi qu'une approche trop normative axée sur la conformité peuvent être contraires à la pérennité de l'organisation. La conformité garantit la réalisation des normes de conformité minimales, mais c'est la sagesse pratique, prudence et bonne prise de décision qui aspirent à une performance commerciale maximale. Les codes de bonne gouvernance sont une condition nécessaire, mais pas assez pour éviter le désastre, et une approche holistique est nécessaire pour que les entreprises de demain soient meilleures que celles d'aujourd'hui.