Gouvernance, éthique, gestion des risques : quelles évolutions pour les administrateurs ?

Découvrez ci-dessous "La question du dirigeant" du 7 avril 2009, signée par
- Sylvie Le Damany, Avocat Associée Landwell, responsable de l'activité Contentieux/Pénal des affaires et Maîtrise des risques,
- Yves Medina, Associé PwC/Landwell & Associés, responsable Déontologie et RSE,
et Jean-Marc Truchi, Associé PwC/Landwell & Associés, responsable de l'activité Gouvernance, Risques et Contrôle interne.

A lire dans le quotidien Les Echos,dans la rubrique Management, page 13

Gouvernance, éthique, gestion des risques : quelles évolutions pour les administrateurs ?

Acteurs de la stratégie au côté des dirigeants, gardiens de la gestion des risques et de l’information transmise aux tiers, les administrateurs œuvrent au service des actionnaires, de l’entreprise et de ses parties prenantes.

Un rôle crucial pour le devenir des entreprises mais également lourd de responsabilités, en particulier en 2009, où celles-ci :

• sont à assumer au milieu des turbulences de la crise ; un environnement moins prévisible et plus agressif… une nouvelle donne sur la cartographie des risques 2009 ; 
• ont été renforcées par le législateur. La loi du 3 juillet 2008 impose désormais au conseil d’approuver le rapport du Président sur la gouvernance, le contrôle interne et la gestion des risques, et étend ses engagements. Elle requiert notamment de se prononcer sur les procédures de gestion des risques opérationnels, financiers, juridiques, etc. et sur la mise en œuvre d’un code de gouvernement d’entreprise assortie de la règle « appliquer ou s’expliquer ».

Et ce n’est pas tout ! Les administrateurs se doivent aussi de répondre aux attentes fortes en matière de responsabilités sociale et environnementale. Or, l’appel à l’éthique ne retrouvera sa crédibilité dans l’entreprise que si elle est déclinée tant au niveau de la stratégie que des procédures de gouvernance et des comportements.

Et tout cela sous les projecteurs des acteurs du marché, des régulateurs, du gouvernement et de l’opinion publique...

• En quoi la crise accroît-elle les rôles et alourdit-elle les responsabilités des administrateurs en matière de gestion des risques ?

Au préalable, un constat, celui de la forte judiciarisation du monde des affaires et la professionnalisation de la fonction d’administrateur au fil des années, sous la pression du législateur, des actionnaires et de l’opinion publique, pour améliorer la gouvernance.

Et aujourd’hui, au premier plan, surgissent avec la crise économique et financière un environnement économique moins prévisible et plus agressif, une performance de l’entreprise mise sous tension et, pour les sociétés en situation financière fragile, une pérennité menacée par la crise du crédit, véritable épée de Damoclès.
Nul doute, la crise augmente sensiblement les risques opérationnels, financiers et juridiques pesant sur l’entreprise, les dirigeants et les administrateurs.
Dans un tel cadre, le rôle des administrateurs, garants de la gestion des risques, prend une dimension particulière en 2009, même si le management est en première ligne pour gérer les risques.

L’administrateur se doit en effet d’être de plus en plus actif et vigilant, notamment en matière de gestion des risques et de contrôle interne. Rappelons qu’il appartient notamment au conseil d’administration de s’assurer que :
–  la société dispose d’une organisation et de procédures adaptées à la gestion des risques;
–  les risques sont effectivement pris en compte dans la réflexion et les décisions stratégiques;
–  l’information communiquée aux actionnaires et au marché donne une véritable compréhension des différents risques de la société.
Dans ce rôle, le conseil est aidé par les comités ad hoc qu’il a constitués, tels que le comité d’audit (voir question : Quel est le rôle désormais réglementé du Comité d’audit ?), le comité stratégique, le comité des rémunérations, etc.
L’administrateur est responsable vis-à-vis des actionnaires, de la société et des tiers. Sa responsabilité civile peut être engagée, voire dans des cas extrêmes, également sa responsabilité pénale s’il peut être démontré qu’il est auteur, coauteur ou complice de la réalisation d’une infraction.

En outre, si l’entreprise est confrontée à une situation de cessation des paiements conduisant à un dépôt de bilan, l’administrateur peut être poursuivi sur ses deniers personnels pour combler le passif social dans son intégralité ou partiellement (de telles poursuites ne sont cependant possibles que s’il est démontré qu’il a commis une faute ayant entraîné une aggravation dudit passif).

Même si le cadre juridique varie selon les territoires, les situations sont analogues : ainsi l’augmentation de la responsabilité des administrateurs devrait également attirer l’attention de ceux siégeant aux conseils de sociétés étrangères.

• Quelles nouvelles obligations dans le rapport du Président sur la gouvernance, le contrôle interne et la gestion des risques, désormais approuvé par le conseil d’administration ?

Meilleure gouvernance et toujours plus de transparence, tels sont les objectifs des textes qui se sont multipliés depuis quelques années ; en France dès 2001 avec la loi NRE, puis la loi de sécurité financière du 1er août 2003, la loi pour la confiance et la modernisation de l’économie du 26 juillet 2005 et dernière en date, la loi du 3 juillet 2008. Cette succession de textes illustre la pression progressive du législateur et du marché sur les sociétés faisant appel public à l’épargne. Cette évolution concerne de nombreux pays puisqu’il s’agit d’un mouvement international.

Cela étant, de nombreuses sociétés se sont déjà engagées depuis plusieurs années dans une démarche vertueuse d’amélioration de leur gouvernance et de gestion des risques. En 2009, il faudra se demander si leurs bonnes pratiques déjà mises en œuvre suffiront ou non à répondre aux nouvelles contraintes réglementaires. Pour le savoir, un diagnostic s’impose.

La loi du 5 juillet 2008 a notamment étendu le contenu du rapport du Président sur la gouvernance et le contrôle interne, à la gestion des risques, mais a également imposé que celui-ci soit approuvé par le conseil d’administration ou de surveillance, et soit rendu public. Ainsi, tous les administrateurs sont concernés. On impose ainsi aux entreprises cotées de communiquer sur la gestion de leurs risques.

Désormais le Président du conseil rend compte dans son rapport :

• des procédures de gestion des risques et tous les risques y compris opérationnels, juridiques et de réputation puisque ceux-ci sont susceptibles d’avoir un impact sur la situation comptable et financière de l’entreprise; 
• de la composition du conseil d’administration ou de surveillance; 
• du code de gouvernement d’entreprise élaboré par les organisations représentatives des entreprises auquel la société se réfère (par exemple, le rapport consolidé Afep/Medef mis à jour en décembre 2008 intégrant les recommandations sur les rémunérations des dirigeants (voir question : En quoi le Code de gouvernement d’entreprise de l’AFEP/MEDEF encadre-t-il la rémunération des dirigeants ?) en précisant : 
  - les dispositions qui ont été écartées,
  - les raisons pour lesquelles elles l’ont été, et enfin le lieu où ce code peut être consulté.
  Car désormais, la règle d’or en matière de code de gouvernement d’entreprise est « appliquer » ou « s’expliquer ». Ainsi, si une société ne se réfère pas à un tel code, le rapport doit indiquer les règles retenues en complément des exigences requises par la loi et expliquer le cas échéant les raisons pour lesquelles la société a décidé de ne pas appliquer de code de gouvernement d’entreprise.
• des modalités de participation des actionnaires à l’assemblée générale ou un renvoi aux dispositions des statuts qui prévoient ces modalités ;
• et, pour les sociétés anonymes cotées sur un marché réglementé, des éléments susceptibles d’avoir une incidence en cas d’offre publique.

Naturellement, ces nouvelles mentions s’ajoutent à celles déjà requises auparavant sur :

• les procédures de contrôle interne;
• les conditions de préparation et d’organisation des travaux du conseil d’administration ou de surveillance; 
• les limitations que le conseil d’administration apporte aux pouvoirs du directeur général;
• les principes et les règles arrêtés par le conseil d’administration pour déterminer les rémunérations et avantages de toute nature accordés aux mandataires sociaux pour les sociétés cotées sur un marché réglementé.

... Et bien au-delà de la simple mise en conformité, les entreprises ont tout intérêt, dans cette période de crise, à également examiner comment utiliser leur dispositif de gestion des risques comme outil d’amélioration de la performance et de création de valeur.

• En quoi la crise implique-t-elle une mise à jour de la cartographie des risques de l’entreprise ?

La cartographie des risques est la pierre angulaire de toute la stratégie de gestion des risques définie par la direction ainsi que de l’adéquation du dispositif de suivi et de pilotage des risques au sein de l’entreprise (voir question : Comment le Comité d’audit peut-il « suivre l’efficacité des systèmes de contrôle interne et de gestion des risques » ?).
Elle constitue l’outil fondamental des dirigeants pour identifier les axes d’actions prioritaires au titre de la couverture des risques et décider de l’allocation des ressources disponibles.

En 2009, impossible de faire l’économie d’une mise à jour approfondie de la cartographie des risques. La crise a bouleversé l’environnement économique et financier et ce, au niveau mondial. Elle a également affecté de nombreuses entreprises dans leurs fondamentaux de création de valeur et leurs équilibres financiers. La stratégie de couverture des risques est donc à adapter.

Et même si l’analyse des risques est propre à chaque entreprise, la crise a, d’un point de vue général, sensiblement modifié l’appréciation des risques et en a fait apparaître de nouveaux comme :

• des risques opérationnels à court terme, désormais prioritaires par rapport à des risques de nature stratégique, mais ayant un impact potentiel à plus long terme ;
   Les évolutions brutales des marchés influencent le positionnement relatif des risques dans la cartographie en donnant plus de poids aux incertitudes ayant un impact à court terme (par exemple le risque de défaillance d’un ou de plusieurs partenaires stratégiques, de clients ou fournisseurs). 
• des risques jugés non significatifs en période de croissance économique et désormais particulièrement sensibles en période de crise ; Tel peut être le cas du risque de rupture de financement à court terme de l’exploitation de certaines filiales, ou de sites de production, suite à une baisse brutale des ventes. Considéré aujourd’hui comme un risque difficile à couvrir, il peut être décidé par la direction de le gérer au niveau du groupe et non au niveau de l’entité ou du site de production concerné. 
• des risques issus de la mondialisation de la crise et des activités, ainsi que des nouveaux désordres économiques, sociaux et politiques dans certaines régions du monde.
   Ces risques sont susceptibles de dégrader de manière significative le ratio Risques/Avantages de certaines délocalisations et d’affecter la rentabilité et l’organisation du groupe. Jusqu’à présent, ces risques étaient traités avec peu de précision par les entreprises du fait de leur faible probabilité d’occurrence. Il en résulte que les entreprises se trouvent souvent démunies pour y répondre s’ils n’ont pas été anticipés (ex : diversité des sources d’approvisionnement pour faire face à de fortes augmentations des prix des matières premières); 
• des risques « éthiques » qui nécessitent de revoir la conformité aux lois et règlements et la manière dont sont appliquées dans l’entreprise les règles et normes internes en matière d’éthique, sachant que le risque d’atteinte à la réputation ou à l’image, peut être lourd de conséquences (corruption, ententes,…).

Lors de la mise à jour de la cartographie des risques, il est crucial de s’assurer de la fiabilité des informations collectées et de leur cohérence avec l’actualité des enjeux de l’entreprise, et d’adapter les méthodes de travail. Par exemple, l’expérience montre l’intérêt d’impliquer fortement les responsables opérationnels dans les travaux de préparation de la cartographie.

Mais il serait réducteur de considérer la cartographie des risques comme uniquement un outil de couverture des risques. Si la prise de risques est une menace lorsqu’elle n’est pas maîtrisée, elle est également un attribut incontournable de management et constitue même un enjeu de survie et de développement dans l’environnement actuel de forte concurrence. Ainsi, seule une cartographie des risques complète, avec une procédure permanente de mise à jour, permet à la direction de gérer l’équilibre entre, d’un côté, l’exposition aux risques et, de l’autre, la nécessaire prise de risques, facteur de croissance.

• Quel est le rôle de l’administrateur dans la responsabilité sociétale de l’entreprise (RSE) ?

L’engagement des administrateurs sur les thématiques RSE se justifie d’abord par les risques qu’elles représentent (risque d’image, risque de réputation, risques sociaux, risques de mauvaises relations avec les parties prenantes, ONG, syndicats, acteurs locaux, agences de notation,…).

Conscientes de ces risques, de nombreuses sociétés ont déjà démontré leur engagement dans le domaine de leur responsabilité sociétale, comme en témoigne le développement des actions décrites dans les rapports de gestion des sociétés faisant appel à l’épargne publique (L’Institut Français des Administrateurs a publié un rapport « Les administrateurs de sociétés cotées et la responsabilité sociale de l’entreprise », présentant les résultats de l’enquête « RSE et Administrateurs » réalisée par PwC auprès des administrateurs du CAC 40, disponible sur www.ifa-asso.com.).
Au premier rang de ces risques, le risque éthique : l’entreprise se définit par ses valeurs, sa culture et ses règles de comportement, qui sont autant d’éléments fédérateurs de ses différents métiers et une composante forte de sa vision à long terme.

Avec la crise financière, les fraudes et les scandales financiers, un retour en force de l’éthique est espéré par les différents acteurs du marché et l’opinion publique...

Aussi l’administrateur ne peut-il rester à l’écart de la définition de l’éthique et de l’appréciation des risques sociétaux encourus par l’entreprise. En pratique, il a donc un devoir de veiller à ce qu’un processus concerté soit mis en place par la direction pour qu’émergent ces valeurs et soient assumées ces règles de comportement. Comment ?

• D’une part, en participant à la définition de la politique RSE sur la base d’une cartographie des risques induits.
  Le champ couvert par les bonnes pratiques, les recommandations, les codes, les conventions internationales et plus généralement l’ensemble des recommandations constituant ce qu’on appelle la « soft law » est immense. C’est pourquoi un premier exercice fondamental consiste à définir précisément le périmètre de la politique RSE de l’entreprise, compte tenu de son objet, de ses implantations et des limites de sa capacité à prendre certains types d’engagements très contraignants.
   Ensuite, le conseil doit s’interroger sur l’ensemble des risques en rapport et examiner les impacts sur les parties prenantes (clients, fournisseurs, acteurs publics et locaux, syndicats et ONG) à partir d’une cartographie par thème et par partie prenante. 
• D’autre part, en s’assurant du comportement responsable du management et en veillant en particulier au bon respect des règles de conduite adoptées par l’entreprise.
  Ces règles qui sont à intégrer dans des documents spécifiques et rendus publics (codes, chartes…), concrétiseront ainsi l’engagement de la société rappelé dans le rapport du Président sur la gouvernance, le contrôle interne et la gestion des risques (voir question ci-dessus : Quelles nouvelles obligations dans le rapport du Président sur la gouvernance, le contrôle interne et la gestion des risques, désormais approuvé par le conseil d’administration ?).

C’est en s’assurant de la cohérence des pratiques de l’entreprise, et plus particulièrement du comportement de son haut management, que le conseil d’administration remplit pleinement sa mission de gardien des valeurs. Bien que cette appréciation soit complexe, le conseil peut y parvenir en veillant à l’existence de moyens incitatifs permettant de valoriser l’exemplarité de certains comportements de la direction et à l’inverse en sanctionnant ouvertement, avec notamment le concours du comité des rémunérations, les déviances observées.