09/10. Gestion des risques et contrôle interne des sociétés cotées. 6 ème édition. De la gouvernance à la communication. Aon Global Risk Consulting

Transcription

1 Aon Global Risk Consulting Gestion des risques et contrôle interne des sociétés cotées De la gouvernance à la communication Etude réalisée par Aon Global Risk Consulting en association avec NYSE Euronext et l Institut Français des Administrateurs 09/10 6 ème édition

2 Aon Global Risk Consulting Préface Aon Global Risk Consulting et NYSE Euronext réalisent depuis 2004 un bilan comparatif annuel de la communication sur les risques des sociétés cotées dans leur chapitre «Facteurs de risques». Un exercice complété depuis l année dernière par un panorama de leurs pratiques en matière de gestion des risques et par le positionnement des administrateurs sur ces sujets. Cette sixième édition s enrichit en outre de l étude des pratiques de communication et de gestion des risques des banques et assureurs cotés. Historiquement soumis à des cadres réglementaires plus contraignants que les corporates, leurs dispositifs sont mieux aboutis mais ils se traduisent par une communication exclusivement centrée sur les risques liés à leur cœur de métier, formatée par Bâle 2 et dans une moindre mesure par Solvabilité 2. Si l exercice de communication sur les risques des corporates a pu connaître une relative stabilisation des pratiques ces dernières années, des évolutions semblent néanmoins se profi ler. En effet, à l occasion de la publication en octobre 2009 de la mise à jour du guide d élaboration des documents de référence, l Autorité des Marchés Financiers (AMF) soulève la question du foisonnement et du morcellement de l information sur les risques, due par les sociétés au titre de leurs différentes obligations de publication. Ce faisant, l AMF souligne un facteur que l édition de l étude révèle, à savoir que l enjeu auquel sont désormais confrontés les émetteurs n est plus exclusivement celui de la pertinence ou de l exhaustivité de l information fournie un palier étant constaté depuis deux ans mais également celui de la capacité d orchestrer, depuis le chapitre «Facteurs de risques», l ensemble des données relatives aux risques. Le modèle de maturité dans ce domaine se complète donc d un nouveau volet, refl étant l aptitude des sociétés à embrasser les différentes exigences de communication sur les risques (chapitre «Facteurs de risques», annexes fi nancières, Rapport du Président, rapport fi nancier semestriel ) pour fournir au marché non seulement une vision cohérente d ensemble, mais également une analyse dynamique et prospective. Ces évolutions seront plus faciles pour les émetteurs d ores et déjà dotés de dispositifs de gestion des risques structurés et transverses, à même de fournir une vue décloisonnée et synthétique de la matière «risques». De plus, cet exercice de communication, qui a pu ces dernières années se teinter d une certaine monotonie, semble être revalorisé par les impacts de la crise, révélant ainsi un caractère réactif et évolutif. Si les sociétés y voyaient jusque-là une contrainte réglementaire qui, dans le meilleur des cas, les incitait à structurer leurs dispositifs, elles le considèrent désormais comme une opportunité de rassurer les investisseurs. Ce contexte diffi cile, couplé aux évolutions réglementaires (loi DDAC du 3 juillet 2008 et ordonnance du 8 décembre 2008 transposant la 8 ème directive européenne), redonne sens et valeur aux impératifs de communication, ainsi qu à leurs sous-jacents que sont les démarches globales de gestion des risques. En effet, en confi ant aux administrateurs un rôle de plus en plus prégnant dans le suivi de ces processus, ces réglementations ont engendré de nouvelles exigences en matière de gestion des risques et de contrôle interne. Néanmoins, l analyse des impacts de ces textes montre qu un bilan est encore prématuré, la communication ainsi que les pratiques des sociétés n ayant connu que quelques ajustements. Ce constat s explique par le temps d adaptation nécessaire aux sociétés, mais également par leur attente des interprétations et clarifi cations du régulateur quant à certaines dispositions de ces lois. Aon Global Risk Consulting remercie vivement NYSE Euronext de sa confi ance, l IFA pour son soutien, ainsi que les entreprises et administrateurs pour leur participation à cette sixième étude.. Gilles Proust Directeur Aon Global Risk Consulting Marc Azouz Directeur associé, FIRM Aon Global Risk Consulting 3

3 Sommaire Gouvernance des risques des corporates et des institutions financières : bilan des pratiques et implication des administrateurs... p.12 Gestion des risques et contrôle interne des sociétés corporates Gestion des risques et contrôle interne des banques et assureurs Gestion des risques et contrôle interne : rôle et attentes des administrateurs Communication sur les risques et leur gestion : analyse comparative des pratiques et enquête d opinion... p. 25 Un foisonnement des réglementations rendant l information sur les risques omniprésente mais fragmentée Analyse de la communication sur les risques des corporates Communication sur les risques des banques et des assureurs cotés au sein du chapitre «Facteurs de risques» Annexe - Résultats de l analyse des documents de référence : corporates, banques et assureurs... p. 44 4

4 Aon Global Risk Consulting Gestion des risques et contrôle interne : contexte réglementaire La communication sur les risques Le chapitre «Facteurs de risques» Depuis 2001, l Autorité des Marchés Financiers (AMF) demande aux émetteurs de communiquer sur leurs risques dans le document de référence. Une déclinaison de l information en cinq rubriques - risques fi nanciers, risques juridiques, risques industriels et liés à l environnement, autres risques, et assurances et couverture des risques - a de surcroît été préconisée en L entrée en vigueur, le 1 er juillet 2005, de la directive européenne sur le prospectus a entraîné des évolutions : l AMF a mis à jour, en 2006, ses recommandations et les a proposées comme interprétation de l information due au titre de la réglementation européenne. Suite aux ajustements ainsi effectués, l inclusion de la rubrique «Autres risques» devient facultative et l application des recommandations sur les assurances est désormais laissée à la libre initiative des émetteurs. Dans un souci d adaptation des obligations réglementaires pour les sociétés les plus petites, c est-à-dire celles dont la capitalisation boursière est inférieure à un milliard d euros, l AMF a publié en janvier sur la base des recommandations d un groupe de travail qu elle avait mandaté - un guide du document de référence spécifi que aux valeurs petites et moyennes. Il remplace, pour ces capitalisations, les précédentes recommandations et allège leurs obligations, à la fois en termes de présentation et de contenu. La rubrique «Facteurs de risques» peut ainsi être remplacée par une version simplifi ée, ne faisant mention que des risques «pertinents et signifi catifs» identifi és par l émetteur et devant surtout mettre en exergue les risques fi nanciers (change, taux, action et liquidité). Souhaitant rappeler les éléments généraux nécessaires à une bonne rédaction du chapitre «Facteurs de risques», l AMF a publié le 29 octobre 2009 une mise à jour du guide d élaboration des documents de référence qui annule et remplace le guide publié le 30 janvier Dans cette nouvelle recommandation, l AMF semble prendre note des diffi cultés liées au morcellement de l information exigée sur les risques et ouvre la voie à une harmonisation croissante. Le risque de crédit, jusqu alors exigé au titre d IFRS 7 (voir ci-dessous) fait ainsi son entrée dans le chapitre «Facteurs de risques». Plus largement, les risques fi nanciers feront l objet d un traitement qui se rapproche de celui exigé par IFRS 7. Les renvois sont également encadrés de manière plus spécifi que. Ces recommandations, ne portant pas sur les documents de référence 2008, ne sont pas prises en compte dans cette étude. Les annexes financières Au-delà du chapitre «Facteurs de risques», certaines normes comptables viennent renforcer le corpus réglementaire lié aux risques. La norme «IFRS 7 Instruments fi nanciers : informations à fournir» est d application obligatoire pour tous les exercices ouverts à compter du 1 er janvier Elle régit les informations à fournir sur «la nature et l ampleur des risques découlant des instruments fi nanciers [ ] ainsi que la manière dont l entité gère ces risques». Des informations spécifi ques sont ainsi à communiquer au titre des risques de crédit, de liquidité, de taux et de change. La norme IAS 36 se concentre, quant à elle, sur les méthodes de dépréciation d actifs. Contrairement à l amortissement qui s opère sur un horizon certain, les enregistrements de dépréciation sont une forme de risque (pertes de valeur sur actifs incorporels à durée de vie illimitée : certaines marques, relations contractuelles, goodwill ). La norme IAS 37 régit, entre autres, les critères d estimation fi nancière et les bases d évaluation appliqués aux passifs éventuels. Ces derniers s apparentent à des risques puisqu ils constituent des obligations potentielles à l égard d un tiers qui ne sont ni probables ni certaines à la date de clôture de l exercice, ou des obligations probables à l égard d un tiers pour lesquelles la sortie de ressources ne l est pas. Le rapport semestriel Depuis le premier semestre 2008, les émetteurs sont tenus au titre de l article 5 de la directive Transparence de publier un rapport fi nancier semestriel incluant une rubrique sur les «principaux risques et principales incertitudes pour les six mois restants de l année». Le régulateur introduit ainsi une nouveauté prospective en demandant aux sociétés de se prononcer sur leurs risques «à venir» et non seulement sur leurs risques potentiels ou avérés. 5

5 Pratiques de gestion des risques et de contrôle interne Sociétés corporates Dans le cadre de la Loi de Sécurité Financière (LSF) du 1 er août 2003, le Président du Conseil d Administration des sociétés faisant appel public à l épargne doit rendre compte, dans un rapport, des procédures de contrôle interne mises en place par la société. Constatant l absence de référentiel unanimement admis dans le domaine, l AMF a créé un groupe de place qui a publié en mai 2006 un cadre de référence ainsi qu un guide d application afférent, destinés à accompagner les émetteurs dans la rédaction de ce rapport. Ce cadre positionne l analyse et la gestion des risques comme une des composantes fondamentales du contrôle interne, notamment au travers d un questionnaire relatif à l analyse et à la maîtrise des risques. L adoption de la loi DDAC (1) du 3 juillet 2008 donne une assise réglementaire aux recommandations de l AMF et à son cadre de référence, puisque le Président du Conseil doit rendre compte dans un rapport, dorénavant approuvé par le Conseil d Administration, non seulement des procédures de contrôle interne, mais également de celles de gestion des risques. La 8 ème directive européenne, transposée en droit français par l ordonnance du 8 décembre 2008, va en outre plus loin : le Président du Conseil chargé, par la LSF, de s assurer de la simple existence des procédures de contrôle interne, devra désormais s engager sur l effi cacité des systèmes de gestion des risques et de contrôle interne. Par ailleurs, les sociétés sont tenues, quelle que soit leur taille de capitalisation, de se doter d un Comité d Audit. Cette situation n est pas encore parfaitement stabilisée. Les deux nouvelles lois devront être davantage précisées et défi nies par le régulateur. Une réfl exion est à mener sur les notions de «suivi de l effi cacité des systèmes de gestion des risques et de contrôle interne», d «indépendance», de «responsabilité des administrateurs», de «responsabilité du Comité d Audit» L AMF vient de mettre en place un groupe de travail qui devra se prononcer sur ces questions. En attendant, l Institut Français des Administrateurs (IFA) vient de publier, à travers son groupe de travail «Comités d Audit et auditeurs externes» 50 recommandations pour éclairer la mise en œuvre de l ordonnance du 8 décembre Ces recommandations se regroupent autour de cinq thèmes, dont le contrôle interne et la gestion des risques. Banques et assureurs A la différence du cadre de référence des sociétés corporates, les banques sont soumises à une réglementation contraignante de leur dispositif de contrôle interne. Le règlement du CRBF (Comité de la Réglementation Bancaire et Financière) défi nit un cadre strict dans ce domaine, commun à tous les établissements de crédit et entreprises d investissement. La directive Bâle 2 qui dépasse la simple problématique du contrôle interne contribue, néanmoins, à renforcer et à uniformiser ces pratiques. Le pilier 2 prolonge en effet le CRBF en introduisant une exigence d analyse détaillée des risques et des procédures de suivi et de contrôle tout en prévoyant un dialogue à ce sujet entre les institutions bancaires et leur superviseur. Les assureurs sont, quant à eux, soumis aux recommandations de l Autorité de Contrôle des Assurances et des Mutuelles (ACAM) en matière de contrôle interne. Ce cadre s apparente à celui des corporates avec quelques spécifi cités liées à leur cœur de métier. La directive Solvabilité 2, qui entrera en vigueur en 2012, imposera, via son deuxième pilier, un cadre renforcé pour les pratiques de gestion des risques et de contrôle interne. (1) Loi portant diverses dispositions d adaptation du droit des sociétés au droit communautaire. 6

6 Aon Global Risk Consulting Méthodologie Les résultats présentés dans cette étude s appuient sur une analyse croisée de différentes sources d infor mation : revues documentaires, enquêtes d opinion et entretiens qualitatifs. Analyse comparative des documents de référence et des informations réglementées des corporates, banques et assureurs cotés Tout d abord, l analyse des documents publics suivants d un échantillon de sociétés cotées a été réalisée : pour 100 sociétés corporates cotées du SBF 250 : analyse des documents de référence (chapitre «Facteurs de risques» et annexes fi nancières), des Rapports du Président sur le contrôle interne et la gestion des risques et des rapports fi nanciers semestriels, pour les 6 banques et 6 assureurs cotés : revue des documents de référence (chapitres «Facteurs de risques») et des Rapports du Président sur le contrôle interne et la gestion des risques, pour 51 sociétés corporates cotées au FTSE UK : analyse des documents de référence (chapitres «Facteurs de risques») et des Rapports du Président sur le contrôle interne et la gestion des risques. Composition de l échantillon L échantillon composé de 100 sociétés corporates cotées du SBF 250 est représentatif des répartitions par taille de capitalisation et par secteur d activité de cet indice de référence : Répartition de l échantillon corporates par capitalisation 20 % 42 % 27 % 11 % CAC40 NEXT20 MID100 SMALL90 En parallèle, les résultats de trois enquêtes d opinion ont été exploités : l une portant sur la communication fi nancière sur les risques et réalisée auprès des sociétés corporates du SBF 250, la deuxième portant sur les pratiques organisationnelles de gestion des risques et de contrôle interne, réalisée auprès de sociétés corporates cotées, la dernière portant sur les problématiques de gestion des risques, a été réalisée auprès des administrateurs adhérents de l Institut Français des Administrateurs (IFA). Enfi n, deux entretiens qualitatifs ciblés ont été menés auprès d administrateurs afi n de recueillir leur point de vue sur la gestion des risques et le contrôle interne. Dans un souci de lisibilité, les indices CAC Next20, CAC Mid100 et CAC Small90 sont désignés dans l étude par NEXT20, MID100 et SMALL90 (1). Répartition de l échantillon corporates par secteur 22 % 25 % 11 % 16 % 9 % 17 % Loisirs/Médias Energie/ Matières premières/ Utilités Services Technologies de l'information Industrie L analyse a été étendue cette année à un échantillon de 6 banques et de 6 assureurs cotés. Une comparaison a également été menée avec 51 sociétés corporates cotées au FTSE UK. Biens de consommation/ Retail (1) CAC 40, CAC Next 20, CAC Mid 100 et CAC Small 90 sont des marques déposées par NYSE Euronext. 7

7 Méthodologie d analyse Corporates Analyse des chapitres «Facteurs de risques» La qualité de la présentation du chapitre «Facteurs de risques» de l exercice 2008 et des informations qui y sont délivrées est évaluée sur la base de 41 critères établis à partir des recommandations de l AMF contenues dans le guide de préparation du document de référence Analyse des Rapports du Président sur le contrôle interne et la gestion des risques L analyse des Rapports du Président sur le contrôle interne et la gestion des risques a été menée au moyen d une grille de notation conçue en fonction du questionnaire relatif à la gestion des risques du Cadre de Référence (mai 2006). Cette analyse se focalise exclusivement sur la place de la gestion des risques au sein du contrôle interne. Analyse des rapports fi nanciers semestriels Depuis le premier semestre 2008, les sociétés cotées publient un rapport couvrant les six premiers mois de chaque exercice et incluant une description des «principaux risques et principales incertitudes pour les six mois restants de l année». Les rapports semestriels 2008 et 2009 de l échantillon de 100 sociétés corporates cotées ont été évalués et comparés grâce à une grille composée de 5 rubriques et 21 critères, élaborée sur la base de l article 5 de la directive Transparence. Analyse des informations dues au titre des normes comptables IFRS 7, IAS 36 et IAS 37 Les sociétés cotées communiquent des informations comptables au titre d IFRS 7 Instruments fi nanciers : informations à fournir, d IAS 36 Dépréciation d actifs et d IAS 37 - Provisions, passifs éventuels et actifs éventuels. L étude s attache à l analyse de ces informations fortement liées aux risques. Trois grilles ont été bâties à partir des dispositions contenues dans les normes. Banques et assureurs Les chapitres «Facteurs de risques» des banques et des compagnies d assurance cotées ont été évalués à partir de la même grille que les corporates, à l exception de la rubrique «risques fi nanciers». Dans le but de rendre compte des problématiques propres aux institutions fi nancières (1), ces risques ont été appréciés à partir de critères spécifi ques (tels que les risques de crédit, de marché, de gestion actif-passif...) et tenant compte de leur cadre réglementaire particulier (Bâle 2) et des bonnes pratiques observées sur le marché. Les Rapports du Président sur le contrôle interne et la gestion des risques des banques ont fait l objet d une grille d évaluation spécifi que constituée à partir du Règlement n du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d investissement (CRBF 97-02). Une mise en perspective : les sociétés cotées britanniques Les documents de référence (chapitres «Facteurs de risques») et les Rapports du Président sur le contrôle interne et la gestion des risques de 51 sociétés cotées au FTSE UK ont été analysés avec la même grille que celle utilisée pour les sociétés françaises. Dans la mesure où les exigences réglementaires de communication ne sont pas identiques, les comparaisons présentées sont exclusivement qualitatives. Pour l ensemble de ces analyses, une échelle de notation similaire a été appliquée : 0 : point non traité 1 : point abordé sans toutefois répondre pleinement à la réglementation 2 : point traité conformément à la réglementation 3 : point traité au-delà du niveau requis (1) Dans le cadre de cette étude, le vocable «institutions fi nancières» désigne à la fois les banques et les assureurs. 8

8 Aon Global Risk Consulting Enquêtes d opinion Deux questionnaires adressés aux sociétés cotées du SBF 250 Deux questionnaires ont été adressés aux sociétés du SBF 250. Le premier porte sur les pratiques organisationnelles et méthodologiques en matière de gestion des risques et de contrôle interne, et le second sur la perception des sociétés quant à l exercice de communication sur les risques, le tout regroupant 43 thématiques. Le nombre de réponses obtenues est de 53. Typologie des interlocuteurs sur la préparation du chapitre «Facteurs de risques» Direction financière Direction de la communication financière / Relations investisseurs Directions Audit / Contrôle interne 15 % Direction des risques 12 % 8 % Direction générale 8 % Direction juridique 7 % 27 % 35 % Typologie des interlocuteurs sur la gestion des risques et le contrôle interne Directions Audit / Contrôle Interne 46 % Direction des risques et audit interne 17 % Direction des risques 13 % Direction juridique 13 % Autres 11 % Un questionnaire adressé aux administrateurs des sociétés cotées adhérents de l IFA Avec le soutien de l IFA, une autre enquête a été réalisée auprès d administrateurs afi n de recueillir leur perception quant aux dernières évolutions réglementaires et à leurs responsabilités en matière de gestion des risques et de contrôle interne. Cette enquête a totalisé 32 réponses. Répartition des administrateurs répondants au questionnaire par Comité % 56 % 44 % % 13 % 0 Comité des Comptes ou d'audit Comité des Nominations et des Rémunérations Comité des Risques Autres Comités Aucun Comité Répartition des administrateurs répondants au questionnaire par secteur % % % 9 % 9 % 3 % 0 Biens de consommation/ Retail Industrie Energie/ Matières premières/ Utilités Services Loisirs/ Médias Technologie de l'information 9

9 Composition de l échantillon au 28/10/09 Corporates CAC40 ACCOR AIR LIQUIDE ALCATEL-LUCENT ALSTOM CAP GEMINI CARREFOUR DANONE EADS EDF ESSILOR FRANCE TELECOM GDF SUEZ LAFARGE L OREAL LVMH MICHELIN PEUGEOT PPR RENAULT SANOFI-AVENTIS SCHNEIDER ELECTRIC TECHNIP TOTAL VALLOUREC VEOLIA ENVIRONNEMENT VINCI VIVENDI NEXT20 AIR FRANCE - KLM CASINO GUICHARD DASSAULT SYSTEMES HERMES INTL NEOPOST NEXANS PUBLICIS GROUPE SA SAFRAN SODEXO TF1 THALES MID100 ADP ALTEN ALTRAN AREVA ATOS ORIGIN BIC BOLLORE BONDUELLE BOURBON CARBONE LORRAINE CEGEDIM CIMENTS FRANCAIS CLUB MEDITERRANEE EUTELSAT FAURECIA FIMALAC GENERALE DE SANTE GUERBET HAVAS ILIAD IMERYS JC DECAUX SA KAUFMAN & BROAD LAURENT-PERRIER METROPOLE TV NEXITY NICOX NORBERT DENTRESSANGLE PAGESJAUNES PIERRE VACANCES PLASTIC OMNIUM RALLYE REMY COINTREAU RHODIA RUBIS SEB SOPRA GROUP SPERIAN PROTECTION STALLERGENES THOMSON UBISOFT ENTERTAINMENT VALEO SMALL90 ALES GROUPE AVENIR TELECOM AVIATION LATECOERE CS Communication et Systèmes ETAM DEVELOPPEMENT EURO DISNEY EXEL INDUSTRIES GL EVENTS GROUPE PARTOUCHE HI-MEDIA HIGH CO GAMELOFT INTER PARFUMS NEXTRADIOTV PARROT PHARMAGEST INTERACTIVE RADIALL SAMSE THERMADOR GROUPE TOUPARGEL GROUPE Banques CAC40 BNP PARIBAS CREDIT AGRICOLE DEXIA SOCIETE GENERALE NEXT20 NATIXIS AUTRE CIC Assurances CAC40 AXA NEXT20 CNP ASSURANCES MID100 APRIL GROUP EULER SCOR AUTRE PARIS RE 10

10

11 12 Gouvernance des risques des corporates et des institutions financières : bilan des pratiques et implication des administrateurs

12 Aon Global Risk Consulting Gouvernance des risques des corporates et des institutions financières : bilan des pratiques et implication des administrateurs Les évolutions réglementaires récentes et le contexte économique actuel ont contribué à la montée en puissance des problématiques de gestion des risques et de bonne gouvernance au sein des sociétés cotées. L analyse des Rapports du Président des émetteurs de l échantillon ainsi qu une enquête d opinion sur leurs pratiques organisationnelles mettent en évidence la structuration continue des dispositifs mis en place par les corporates, face à des pratiques plus abouties et encadrées des institutions financières, banques et assureurs. Le rôle des administrateurs en matière de gestion des risques, étudié par un questionnaire spécifique et des entretiens qualitatifs, est, quant à lui, renforcé et a vocation à s accentuer lorsque les récentes évolutions réglementaires seront pleinement assimilées par les sociétés. Gestion des risques et contrôle interne des sociétés corporates L édition de cette étude a révélé une structuration croissante de la gestion des risques et du contrôle interne au sein des sociétés, malgré un relatif manque d interaction entre ces dispositifs. L analyse comparée des Rapports du Président sur le contrôle interne et la gestion des risques d un échantillon de 100 sociétés cotées et des réponses obtenues à un questionnaire sur les pratiques de gestion des risques, envoyé aux sociétés du SBF 250, permet de prolonger, cette année, l examen des tendances. L organisation et le développement des dispositifs continuent de croître mais de profondes évolutions restent encore à venir, notamment suite à l application des récentes réglementations. Une fois passé le nécessaire temps d adaptation et clarifiées certaines de leurs dispositions, des changements plus significatifs vont probablement émerger. Malgré les réductions de coûts liées à la crise, des sociétés de plus en plus outillées en matière de gestion des risques et de contrôle interne La mise en place de dispositifs structurés de gestion des risques et de contrôle interne a été renforcée par le contexte de crise fi nancière. Malgré des politiques de réduction drastique des coûts, les investissements et les efforts liés à la défi nition et l organisation des processus de gestion des risques ne semblent pas avoir été affectés. Les sociétés ont, au contraire, décidé de mettre l accent sur ces problématiques, sans doute afi n de rassurer le marché et leurs actionnaires dans un environnement économique diffi cile. Ainsi, la part des sociétés qui se sont dotées de structures exclusivement dédiées à la gestion des risques est passée de 67 % à 72 %. La fonction de Chief Risk Offi cer (CRO) qui correspond, suivant la politique de l entreprise, à une fonction de Directeur des Risques ou à un rôle plus transverse regroupant à la fois les risques, le contrôle interne et parfois même l audit interne a connu un réel essor entre 2008 et Plus de la moitié des sociétés ayant répondu au questionnaire ont procédé à la nomination d un CRO, contre 29 % seulement en Existence d une fonction Chief Risk Officer (CRO) % 55 % 71 % 29 % Non Oui 13

13 L analyse des Rapports du Président sur le contrôle interne et la gestion des risques confi r- me cette tendance. En effet, l ensemble des points d évaluation liés à la structuration des processus ont vu leur moyenne augmenter entre 2008 et et de plans de continuité d activité (PCA), bien que très développée par les sociétés, fait l objet d une communication réduite dans les documents publiés, notamment le chapitre «Facteurs de risques». Si 68 % des sociétés déclarent s être dotées de plans de gestion de crise, Rapports du Président sur le contrôle interne et la gestion des risques 2, ,0 1,5 1,98 1,83 1,81 1,83 1,64 1,56 1,9 1,54 1,54 1,38 1,36 1, ,13 1,0 0,65 0,5 0,38 0,0 Existence d'une partie gestion des risques Principes généraux de gestion des risques Identification / analyse des principaux risques Procédures de gestion des risques Surveillance des risques et de leur gestion La quasi-totalité des émetteurs de l échantillon (90 %) ont mis en place des dispositifs matures et 12 % parmi eux font preuve d un avancement important : éléments organisationnels, typologie homogène, critères de recensement Alors que 82 % des entreprises ont déployé des processus d identifi cation et d analyse des risques majeurs, elles sont 72 % à disposer de procédures de gestion des risques abouties. Une part largement supérieure aux 56 % de 2008, qui s explique principalement par les conséquences de la loi DDAC du 3 juillet Afi n de rédiger le Rapport du Président désormais élargi à la gestion des risques, un nombre croissant de sociétés a choisi d aborder les procédures de gestion des risques. Cette amélioration est cependant à nuancer car elle est la résultante d un double effet : une partie des sociétés avait déjà mis en place les procédures mais ne les communiquaient pas de manière satisfaisante, alors qu une autre partie a dû se structurer davantage en interne pour répondre aux nouvelles exigences réglementaires. Parmi ces processus de gestion des risques, la mise en place de plans de gestion de crise elles ne sont que 24 % à les mentionner dans leur chapitre «Facteurs de risques». Un écart encore plus important dans le cas des plans de continuité d activité, mis en place par 73 % des entreprises mais communiqués par 24,5 % seulement de l échantillon, sachant que 39 % d entre eux se limitent aux plans liés aux systèmes d information. Le suivi, le contrôle et la mise à jour des dispositifs font toujours l objet d une attention signifi cative de la part des émetteurs. En effet, 70 % d entre eux déclarent mettre à jour régulièrement leur cartographie des risques, contre 58 % seulement en Conséquence directe de cette structuration croissante, les sociétés semblent plutôt confi antes quant à leur capacité à gérer leurs risques. Ainsi l étude Global Risk Management Survey 2009 publiée par Aon Global montre que la perception par les sociétés de leur capacité à gérer leurs dix risques majeurs s est paradoxalement plutôt renforcée entre 2007 et Cette évolution est sans doute à rapprocher de la généralisation et montée en puissance des approches de gestion globale des 14

14 Aon Global Risk Consulting risques dans les entreprises. Néanmoins ces dernières n appréhendent pas de la même manière leur capacité à gérer tous les types de risques : si les risques matériels et fi nanciers leur semblent relativement bien analysés et dans une certaine mesure circonscrits, les risques intangibles - tels que la perte d image - et fortement exogènes - tels que des changements réglementaires défavorables - leur paraissent particulièrement diffi ciles à traiter. Impact de la loi DDAC du 3 juillet 2008 : dans l attente de synergies renforcées entre gestion des risques et contrôle interne L application de la loi DDAC du 3 juillet 2008 qui prévoit que le Rapport du Président sur le contrôle interne, devenu collégial, rende également compte des procédures de gestion des risques, peut entraîner à terme des évolutions signifi catives dans la manière dont les sociétés agencent gestion des risques et contrôle interne. Si les entreprises ont déjà initié une certaine convergence de ces deux démarches, le phénomène ne s est pas pour autant accéléré suite à cette dernière évolution réglementaire. En effet, compte tenu du nécessaire temps d adaptation pour satisfaire aux exigences d une nouvelle loi, les changements commencent à peine à poindre. La part de sociétés déclarant dans le questionnaire établir une collaboration étroite entre la gestion des risques, le contrôle interne et l audit interne a timidement évolué de 33 % à 38 %. Il est à ce titre intéressant de relever que quasiment la moitié des sociétés interrogées (45 %) déclarent que la loi du 3 juillet a entraîné de nouvelles demandes en interne concernant la gestion des risques. Les sociétés se trouvent donc, en quelque sorte, au milieu du gué : l impact de la loi existe aujourd hui en interne, entraînant des évolutions de fond, mais ces dernières n ont pas encore abouti à de véritables changements pouvant être retranscrits dans les Rapports. Par ailleurs, les sociétés ne semblent pas aujourd hui prêtes à favoriser les synergies entre ces démarches via la création d une structure les regroupant : le pourcentage d entreprises dotées d un département commun abritant gestion des risques, contrôle interne et audit est ainsi stabilisé à 33 %. Cependant, des changements davantage marqués ont été relevés dans un domaine plus aisément et immédiatement évolutif, à savoir la structure même des Rapports du Président sur le contrôle interne. Ainsi, si la moyenne obtenue par les sociétés pour l inclusion d une partie spécifi que «gestion des risques» était de 0,65 en 2008, elle est de 1,13 en 2009, soit une progression de 42 %. Cette tendance est confi rmée par le jeu des renvois, que les sociétés réalisent désormais entre les différents documents. Alors que l AMF recommande fortement depuis plusieurs années de réaliser un renvoi du Rapport du Président vers le cha pitre «Facteurs de risques», et que seules 41 % des sociétés se prêtaient au jeu en 2008, elles sont 66 % à mettre en œuvre cette pratique en Similairement, la part d émetteurs prenant l initiative de réaliser le renvoi inverse, à savoir du Rapport vers le chapitre, a également augmenté de 13 % à 25 %. Impact de l ordonnance du 8 décembre 2008 : une montée en puissance progressive du Comité d Audit L ordonnance du 8 décembre 2008 transposant en droit français la 8 ème directive européenne est également de nature à impacter les pratiques des sociétés en matière de gestion des risques et de contrôle interne. Le caractère obligatoire du Comité d Audit ou «Comité spécialisé» dont l une des missions est le suivi de l effi cacité des systèmes de gestion des risques et de contrôle interne renforce le niveau d exigence dans ce domaine et contribue indirectement à structurer davantage les démarches. Les problématiques de gestion des risques et de contrôle interne ne sont plus l apanage des seules équipes opérationnelles puisque les administrateurs, via le Comité d Audit, sont désormais chargés de s assurer que les risques font l objet d un inventaire et d une évaluation et que les procédures de contrôle interne sont en place et contribuent à réduire ces risques. Leur implication et responsabilisation croissantes sur ces problématiques ne peuvent qu entraîner une évolution des pratiques. Ainsi, la part des sociétés ayant mis en place un processus de gestion des risques suite à une demande formulée par le Comité d Audit est passée de 14 % à 32 %, un pourcentage sans doute amené à continuer de progresser dans les mois prochains. De plus, 64 % des répondants au questionnaire déclarent que l organe en charge du suivi du processus d identifi cation et d analyse des risques au sein de leur société est le Comité d Audit. Au-delà d une structuration croissante des processus, l ordonnance du 8 décembre 2008 va progressivement entraîner, comme l ont souligné certaines des sociétés interrogées, une attention renforcée au reporting réalisé (délai, contenu ) et un accroissement du fl ux d information circulant entre le management et les administrateurs. L impact combiné de la loi du 3 juillet 2008 et de l ordonnance du 8 décembre 2008 est donc porteur de nombreuses évolutions structurelles quant à l impulsion et l organisation de la gestion des risques, ainsi qu à ses synergies avec le contrôle interne. Ces profondes mutations sont en cours et 57 % des entreprises interrogées affi rment que la rédaction de leur Rapport du Président a été infl uencée par ces deux dernières évolutions réglemen taires. Cette infl uence se limite, surtout, à l heure actuelle, à de simples agencements (ajout d une partie spécifi - que «gestion des risques» ou mention du suivi de l effi cacité des systèmes de gestion des risques et de contrôle interne parmi les missions du Comité d Audit) traduisant certaines évolutions de fond. Des évolutions limitées qui refl è- tent le nécessaire temps d «incubation» des changements demandés, mais également peutêtre une certaine diffi culté à cerner les attentes du législateur. Le relatif statu quo constaté risque ainsi de perdurer jusqu à l assimilation des récentes publications de l IFA destinées à éclairer la mise en œuvre de l ordonnance du 8 décembre 2008, et des conclusions du groupe de travail mis en place par le Collège de l AMF (prévues pour mi-2010) chargé de proposer des adaptations du cadre de référence de 2006 sur les procédures de contrôle interne et de gestion des risques. Les sociétés pourront ainsi disposer d une interprétation claire de ces nouveaux textes réglementaires. Impact de la loi du 3 juillet 2008 et de la 8 ème directive sur la rédaction des Rapports du Président 43 % 57 % Oui Non 15

15 Gestion des risques et contrôle interne des banques et assureurs A la différence des sociétés corporates dont les dispositifs de contrôle interne et de gestion des risques sont soumis à un cadre de référence «basé sur des principes généraux et non sur des règles contraignantes», les banques et les assureurs voient leurs pratiques organisationnelles davantage encadrées. Le dispositif de contrôle interne des banques est strictement réglementé par le règlement n du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d investissement (CRBF 97-02) et la directive Bâle 2, entraînant des dispositifs structurés et aboutis. Les compagnies d assurance sont, quant à elles, soumises aux exigences de l ACAM (Autorité de Contrôle des Assurances et des Mutuelles) en matière de contrôle interne. Par ailleurs, elles devront se conformer progressivement aux réformes de Solvabilité 2 qui seront mises en œuvre en Le deuxième pilier de la directive prévoit notamment une évaluation des procédures de gestion des risques par l Autorité de Contrôle. Ainsi, les pratiques des assureurs tendront à terme vers davantage d uniformité et de maturité. Une grille spécifi que a été bâtie pour analyser les rapports des banques en incorporant les dispositions réglementaires du règlement CRBF Les banques : une réglementation contraignante se traduisant par des pratiques abouties et structurées Contrairement au cadre de référence de l AMF, reposant sur de simples recommandations, le règlement n relatif au contrôle interne des établissements de crédit et des entreprises d investissement est de nature contraignante. Ce caractère obligatoire se refl ète dans les pratiques des institutions bancaires en matière de gestion des risques et de contrôle interne. Les Rapports du Président révèlent ainsi des pratiques plus abouties et uniformisées. La structuration des dispositifs de contrôle interne et de gestion des risques a atteint un niveau élevé de maturité. L analyse des rapports démontre en effet que 100 % des banques cotées respectent le principe imposé par le CRBF de la séparation des fonctions entre le contrôle interne et l audit interne, une pratique en cours de développement chez les corporates. Par souci de conformité, les banques font toutes la distinction entre le contrôle Comparaison corporates - banques - assureurs : Rapports du Président 2,5 2,0 1,5 1,0 0,5 0,0 1,83 1,80 1,13 Forme et présentation générale de la rubrique 1,83 1,40 1,22 Définition du périmètre de contrôle interne permanent et le contrôle périodique au sein d un paragraphe spécifi que. Certaines décrivent même un stade plus poussé de structuration interne en détaillant chaque niveau de contrôle et son rattachement hiérarchique. Elles sont 66 % à préciser ainsi les prérogatives de l Inspection Générale du Groupe. En dépit d un nombre d entités juridiques bien plus important que chez les corporates, le périmètre d application du contrôle interne fait l objet d une délimitation plus claire et exhaustive chez les banques (moyenne de 1,83 pour les institutions bancaires contre 1,22 pour les corporates). Les banques mettent en place des dispositifs de gestion des risques et de contrôle interne très développés et détaillés. Contrairement au cadre de référence de l AMF auquel se réfèrent les corporates, la réglementation applicable aux banques précise clairement les risques devant faire l objet de procédures spécifi ques. Ainsi, les Rapports du Président des banques fournissent une description poussée de cellesci. Si 84 % des banques détaillent chacun de leurs risques propres dans une sous-rubrique spécifi que, nombreux sont les corporates qui se limitent encore aux procédures comptables 2,20 2,00 1,83 Principes généraux de gestion des risques 2,00 2,00 1,83 Identification et analyse des principaux risques Moyenne 1,94 1,81 1,57 Corporates Banques Assureurs 16

16 Aon Global Risk Consulting et fi nancières. Une grande partie d entre elles (66 %) vont même jusqu à mentionner leur cadre conceptuel de tolérance et de limite pour chaque risque. En outre, l intégralité de l échantillon bancaire se conforme au CRBF en s assurant également du respect et de la mise en œuvre effective des procédures, et non de leur seule existence. Concernant la surveillance du système de contrôle interne et de gestion des risques, 100 % des banques vérifi ent que leur dispositif est régulièrement mis à jour et que son effi cacité est satisfaisante. Une banque se distingue même en livrant des détails sur la fréquence et les procédures de mise à jour. que ce rapport inclut désormais la gestion des risques. Comme pour les corporates, l impact de l ordonnance du 8 décembre 2008 se limite, pour l instant, à préciser la gestion des risques parmi les missions du Comité d Audit. Gestion des risques et contrôle interne - banques 2,5 2,0 1,8 1, ,8 2,2 1,7 2,2 1,9 Cependant, les banques n abordent pas toutes les problématiques avec le même souci d exhaustivité. Certains sujets font l objet d un traitement moins abouti. Ainsi, seules 50 % des institutions bancaires décrivent correctement la remontée des informations des opérationnels vers le Conseil d Administration ou la Direction Générale, et une seule décrit précisément l organisation du fl ux d information et sa fréquence. Pourtant conduites par le CRBF à constituer un système de limites aux risques, les banques se cantonnent à un niveau d information souvent descriptif à ce sujet. Aucune ne communique sur le respect ou non de ces limites et les moyens de contrôle mis en place. En outre, les différents niveaux du dispositif de contrôle interne ne sont pas décrits exhaustivement. Compte tenu des caractéristiques des dispositifs de contrôle interne et de gestion des risques déployés, les banques livrent plus de détails sur le contrôle exercé par la hiérarchie et l Audit Interne que par chaque collaborateur au niveau de ses opérations propres. Elles sont très peu à mentionner l auto-évaluation comme moyen de suivi et d amélioration du système de contrôle interne, alors que cette pratique est largement répandue chez les corporates. Les synergies entre la gestion des risques et le contrôle interne sont très développées au sein des banques. De fait, 84 % d entre elles répondent aux exigences de la loi DDAC du 3 juillet 2008 en traitant clairement les problématiques de gestion des risques dans leur Rapport du Président. Deux banques précisent explicitement que l intitulé du rapport a changé en vertu de la loi du 3 juillet 2008 et 1,5 1,0 0,5 0,0 Forme Définition et présentation du périmètre générale du contrôle de la rubrique interne Principes généraux de gestion des risques Identification et analyse des principaux risques Les assureurs : des degrés divers d avancement dans la mise en place de pratiques anticipant Solvabilité 2 Les pratiques assurantielles en matière de gestion des risques et de contrôle interne sont régies par l ACAM. Le cadre qu elle a mis en place n étant pas aussi contraignant et précis que le CRBF 97-02, les Rapports du Président des assureurs se rapprochent plus de ceux des corporates et sont globalement moins détaillés que ceux des banques. Cependant, face aux risques spécifi ques de leur activité et dans l attente des évolutions organisationnelles qu introduiront les piliers 2 et 3 de Solvabilité 2 en 2012, leurs dispositifs sont souvent plus structurés et uniformisés. Un groupe de tête commence déjà à décrire des pratiques abouties qui traduisent une volonté de conformité par anticipation. La structuration des assureurs en matière de gestion des risques est satisfaisante, mais moins poussée que celle des banques. Ils sont tout de même 84 % à mentionner leur Procédures de gestion des principaux risques Respect des procédures de gestion des principaux risques Communication sur les risques et les procédures de gestion des risques Surveillance des risques et des procédures de gestion des risques Moyenne générale contrôle interne 17

17 référentiel de contrôle interne, comme le cadre de référence de l AMF ou le COSO. Par ailleurs, 100 % des assureurs précisent avoir adopté la charte AFEP-MEDEF qui contribue à uniformiser les pratiques de gouvernance. De plus, les assureurs parviennent à décrire effi cacement le périmètre d application de leur dispositif de contrôle interne, et obtiennent une moyenne de 1,4 contre 1,2 chez les corporates. Le déploiement du processus de contrôle interne et de gestion des risques est disparate au sein de l échantillon assurantiel, ce qui traduit un niveau de maturité encore hétéroclite et moins harmonisé que celui des banques, du fait des degrés différents d évolution et d adaptation réglementaires. Les compagnies d assurance livrent un niveau d information suffi sant et égal à celui des banques pour certains critères. Ainsi, les objectifs du dispositif sont correctement formalisés (moyenne de 2,2) dans tous les rapports analysés. En outre, les processus d identifi cation et d analyse des risques font l objet d un très bon rendu chez tous les assureurs, d où une moyenne élevée de 2. Deux assureurs se démarquent même par des informations qualitatives sur la méthodologie retenue pour établir la cartographie des risques. De plus, la surveillance des dispositifs est bien structurée et décrite (moyenne de 2,2). Ces résultats témoignent de pratiques organisationnelles historiquement plus développées et intégrées chez les assureurs que chez les corporates, la notion de risque étant au cœur de leur activité. En revanche, le décalage avec les banques se fait nettement ressentir pour décrire précisément les procédures de contrôle interne et de gestion des risques. Si la note obtenue à ce critère est bonne (1,8), elle recouvre d importantes disparités. Une seule compagnie d assurance décrit ses procédures risque par risque (contre quatre chez les banques), et trois se limitent aux seules procédures comptables ou liées aux systèmes d information. Sans contrainte réglementaire aussi détaillée que les banques à ce sujet, les assureurs livrent un niveau de détail inférieur et témoignent ainsi de pratiques moins abouties. pratiques de gestion des risques de l échantillon assurantiel semblent globalement structurées mais une certaine marge de progression demeure ainsi que d importantes disparités. Ainsi, 60 % des assureurs (contre 100 % chez les banques) précisent que le Comité d Audit est en charge de la gestion des risques. Mais, ceux qui le font témoignent déjà d une grande maturité. Deux assureurs précisent notamment que le Comité d Audit a examiné le Rapport du Président avant qu il ne soit soumis à une approbation collégiale. Un assureur se distingue également en précisant que le Comité d Audit a augmenté la fréquence de revue des risques fi nanciers depuis l avènement de la crise. Face aux évolutions réglementaires à venir, il semble fi nalement que deux tendances se soient dégagées. Certains assureurs, caractérisés par un niveau avancé en matière de gestion des risques et de contrôle interne, sont capables d anticiper les réformes de Solvabilité 2. Ce groupe de tête annonce ainsi la tendance qui devrait prévaloir avec la mise en œuvre de la directive en Gestion des risques et contrôle interne - assureurs 2,5 2,0 1,5 1,0 0,5 0,0 1,8 1,4 Forme Définition et présentation du périmètre générale du contrôle interne de la rubrique 2,2 Principes généraux de gestion des risques 2 Identification et analyse des principaux risques 1,8 Procédures de gestion des principaux risques 2,2 Surveillance des risques et des procédures de gestion des risques 1,8 1,66 Moyenne générale contrôle interne Les synergies entre gestion des risques et contrôle interne représentent bien le niveau de maturité des assureurs, qui se situe entre celui des banques et celui des corporates. En effet, une seule compagnie d assurance n inclut pas les problématiques de gestion des risques dans son Rapport du Président. Les 18

18 Aon Global Risk Consulting Gestion des risques et contrôle interne : rôle et attentes des administrateurs Un contexte général de renforcement des exigences en matière de gouvernance des risques Le rôle des administrateurs en matière de gestion des risques et de contrôle interne a vocation à être renforcé au cours des prochaines années. La crise fi nancière, née au cœur du système bancaire connu pour ses dispositifs de gestion des risques extrêmement développés et aboutis, a notamment conduit à des réfl exions sur la nécessité de compléter les processus existants par une vision des risques consolidée et plus large, à laquelle les administrateurs peuvent signifi cativement contribuer. Aussi un certain nombre d initiatives se concrétisent-elles dans ce domaine, confi rmant ainsi la tendance amorcée. Dans le cadre de l intégration de l ERM (Enterprise Risk Management) dans le rating des sociétés corporates, Standard & Poor s a publié le 22 juillet 2009 un Progress Report dans lequel l agence de notation crédit communique la liste des questions posées aux sociétés afi n d évaluer la maturité de leurs dispositifs de gestion des risques. Parmi sept questions, deux impliquent directement les Conseils d Administration et le top management : «Comment une perte liée à un risque majeur impacte-t-elle les primes de résultat du top management ainsi que les prévisions budgétaires?», «Quelles discussions liées à la gestion des risques et conduisant à la prise de décisions stratégiques ont été menées au niveau du Conseil d Administration ou du top management?» Ces nouvelles dimensions du rating des corporates ne peuvent être analysées en dehors du contexte actuel de bouleversements réglementaires. En effet, deux réglementations majeures sont récemment entrées en vigueur dans ce domaine en France, à savoir la loi DDAC du 3 juillet 2008 qui prévoit que le Rapport du Président sur le contrôle interne, désormais collégial, rende également compte des procédures de gestion des risques mises en place par la société et l ordonnance du 8 décembre 2008 transposant la 8 ème directive en droit français et qui rend obligatoire la mise en place d un «Comité spécialisé», dont une des missions est le suivi de l effi cacité des systèmes de gestion des risques et de contrôle interne. Les évolutions dans ce domaine ne sont sans doute pas terminées, et de nombreux signaux forts émanent outre-atlantique de la SEC (US Securities and Exchange Commission). Si les règles de gouvernance du New York Stock Exchange prévoient déjà une discussion des politiques de gestion et d évaluation des risques au sein des Comités d Audit des sociétés cotées, le Trésor Américain (US Treasury Department) envisage en outre des réformes qui exigeraient de la part des Comités des Rémunérations des institutions fi nancières cotées de prendre en compte la robustesse et la solidité de la gestion des risques dans la politique de rémunération des dirigeants. En outre, les dernières déclarations de Mary Schapiro, Présidente de la SEC, vont encore plus loin, en évoquant de potentielles nouvelles réglementations visant à obtenir plus de transparence sur la surveillance et le suivi des pratiques de gestion des risques de toutes les sociétés cotées (institutions fi nancières et corporates). Cet environnement en pleine évolution plaide pour réitérer, dans le cadre de cette 6 ème édition, une analyse sur le rôle et les responsabilités des administrateurs en matière de gestion des risques et de contrôle interne, en combinant les résultats quantitatifs d une enquête d opinion réalisée via l IFA auprès de certains de ses adhérents, et des entretiens qualitatifs avec un panel administrateurs. Panel d administrateurs Dans le cadre de cette étude, deux administrateurs ont accepté de livrer leur point de vue sur la gestion des risques et le contrôle interne. Jean Peyrot M. Jean Peyrot est administrateur représentant l Etat au sein du Conseil d Administration d Air France. Il est également membre du Comité d Audit. Entre 1991 et 2004, il a été contrôleur d Etat au sein d Air France et a participé à l ouverture de capital et à la privatisation. Guylaine Saucier M me Guylaine Saucier fait partie du Conseil d Administration de nombreuses grandes entreprises, dont Petro-Canada, Axa Assurances Inc., la Banque de Montréal, Areva (Présidente du Comité d Audit) et Danone. En 2004, elle s est vu décerner le titre de Fellow de l Institut des Administrateurs de Sociétés et le 25 ème Prix de gestion de l Université McGill en

19 Gestion des risques et contrôle interne : des outils synthétiques et structurés comme pré-requis à une implication pertinente du Conseil Rôle du Conseil d Administration en matière de gestion des risques et de contrôle interne % Promotion 41 % Définition et suivi 88 % Surveillance et alerte 13 % Autres Si la mise en place de processus de gestion des risques et de contrôle interne relève de la responsabilité de la Direction Générale et des équipes opérationnelles, les administrateurs ont, quant à eux, un rôle à jouer pour développer et appuyer ces pratiques au sein des sociétés. Ainsi, 87,5 % des administrateurs interrogés voient leur principale valeur ajoutée dans la surveillance et l alerte. Une part qui s explique surtout par l impact de la 8 ème directive dont la transposition en droit français a entériné le suivi de l effi cacité des systèmes de gestion des risques et de contrôle interne, au titre des missions du Comité. Quel que soit leur degré d implication dans la surveillance et le suivi de ces systèmes, les membres des Conseils d Administration préfèrent se limiter à une obligation de moyens et refusent de s engager sur le résultat. En effet, leur rôle premier de supervision est déjà fortement contraint par le temps et les ressources dont ils disposent pour achever cet objectif, un administrateur ne passant en moyenne que quelques heures par mois dans une salle du Conseil. Mais surtout, ils soulignent le fait que la direction opérationnelle de la société revient, avant tout, au management. Le rôle de promotion, pourtant essentiel, n est cité que par 18,8 % des administrateurs. Ce pourcentage refl ète le degré de maturité élevé atteint par les sociétés en termes d organisation et de structuration de leurs dispositifs de gestion des risques, ne faisant ainsi plus une priorité de ce rôle. En effet, 61 % des membres des Conseils d Administration interrogés déclarent que leurs sociétés ont mis en place des processus globaux et récurrents de gestion des risques, une part qui atteint 75 % pour le déploiement d exercices de cartographie des risques. Ces chiffres sont par ailleurs nettement confi rmés par l enquête auprès des sociétés, dont 88 % affi rment être dotées d un processus d identifi cation et de gestion des risques. analyses restent des outils précieux mais leur format doit converger avec les contraintes de temps des administrateurs, afi n que ces derniers puissent pleinement en tirer profi t en analysant et assimilant l ensemble des données fournies. Aussi cette source d informations abondante gagnerait-elle à être complétée par une vision d ensemble de l exposition aux risques de la société. Les administrateurs souhaitent surtout disposer d une analyse structurée et représentative, assimilable à un tableau de bord regroupant et hiérarchisant les risques, et également à même de dresser des tendances et évolutions. Pour ce faire, les administrateurs plaident pour une revue régulière (tous les trois mois par exemple) des résultats de la cartographie. Cette mise à jour trimestrielle n a par ailleurs de sens que si elle donne lieu à un échange en Conseil, afi n d éviter les écueils d une disparité des compréhensions et d une divergence de points de vue entre administrateurs et équipe dirigeante opérationnelle. Les administrateurs s impliquent de manière contrastée dans la défi nition, la mise en place et le suivi des processus de gestion des risques et de contrôle interne. Alors que 27 % s intéressent peu à ces sujets, ils sont 33 % à considérer que leur niveau d implication est plutôt élevé. Ce dernier pourcentage sera sans doute amené à augmenter progressivement au regard des dernières évolutions réglementaires. Si les projets d identifi cation et d évaluation des risques sont largement encouragés et généralisés, les membres des Conseils d Administration font état de certaines diffi - cultés pour exploiter leurs résultats, parfois trop détaillés, et regrettent ainsi que la granularité ne soit pas toujours pertinente. Ces 20

20 Aon Global Risk Consulting Conseil d Administration et communication financière : un rôle nouveau et renforcé Degré d'implication élevé Degré d'implication moyen Degré d'implication faible Mais l intérêt porté par les membres des Conseils d Administration aux sujets de gestion des risques et de contrôle interne n implique pas à lui seul un suivi adéquat des processus. La composition du Conseil et de ses Comités est essentielle, plaçant la question des compétences au cœur du dispositif, et les administrateurs s accordent pour affi rmer que l effi cacité d un Conseil est étroitement liée à l existence d expertises complémentaires, à la fois techniques (dont la gestion des risques) et opérationnelles. Degré d implication des administrateurs dans les processus de gestion des risques 27 % 40 % 33 % «Il faut beaucoup d humilité pour être membre d un Conseil d Administration. Un administrateur ne dispose ni du temps, ni des ressources du management pour gérer tous les problèmes de la société. Il a un rôle primordial de supervision mais ne peut prétendre remplacer la Direction Générale.» Guylaine Saucier «Les cartographies des risques détaillées représentent une source d information très riche pour les administrateurs. Mais ces derniers ne peuvent les interpréter et les exploiter sans une vision d ensemble structurée et représentative de l exposition de la société aux risques.» Guylaine Saucier «Une gestion dynamique des risques passant par la mise à jour régulière des résultats de la cartographie des risques est indispensable pour assurer un suivi effi cace des risques et de l exposition générale de la société. L analyse des priorités d aujourd hui doit être complétée par l examen des évolutions de demain.» Guylaine Saucier La communication fi nancière est restée, pendant longtemps, l apanage des équipes de management. En effet, d une part, les Conseils d Administration, via leurs Comités d Audit, se limitent au contrôle légal et à la validation des comptes. D autre part, les Disclosure Committees, ou «Comités de communication» à l anglo-saxonne, sont composés dans la majorité des cas d opérationnels. Leurs principaux objectifs sont de s assurer que les procédures mises en oeuvre par la société sont conçues de façon à garantir que l information communiquée est déposée dans les délais impartis mais également de s assurer que cette information est transmise à la Direction Générale pour une prise de décision adéquate. Ces opérationnels sont souvent membres du Comité Exécutif et sont assistés d auditeurs externes. Les administrateurs, quant à eux, font très rarement partie de ces Comités. Cependant, les dernières évolutions réglementaires modifi ent cette confi guration et favorisent un rôle accru des administrateurs dans l exercice de communication fi nancière sur les risques des sociétés cotées. La loi DDAC du 3 juillet 2008 prévoit en effet que le Rapport du Président sur le contrôle interne devienne collégial, ce qui implique la responsabilité de l ensemble du Conseil d Administration et non plus seulement de son Président quant à l information qui y est publiée. En outre, le Rapport doit rendre compte dorénavant des procédures de gestion des risques mises en place par la société. Les administrateurs se retrouvent désormais partie prenante du processus de communication sur les dispositifs de contrôle interne et de gestion des risques, et ils redoutent le manque de temps nécessaire à l analyse de ce document hautement important. En effet, beaucoup de sociétés ont choisi de compléter la séance du Conseil d Administration traditionnellement consacrée à la validation des comptes annuels par l examen du Rapport du Président. Force est de constater que l effi cacité d une telle pratique peut se révéler mitigée, ce regroupement se faisant souvent au détriment de l analyse approfondie du Rapport et de sa discussion par l ensemble des administrateurs. L ordonnance du 8 décembre 2008, en rendant obligatoire la mise en place d un «Comité spécialisé» dont une des missions est le suivi de l effi cacité des systèmes de gestion des risques et de contrôle interne peut avoir également un impact indirect sur l implication des 21