Responsabilité

Le risk management, un enjeu-clé des conseils d’administration 

Comment les conseils d’administration gèrent-ils les risques auxquels leur entreprise est exposée ? L’étude EMEA 360 Boardroom, réalisée par Deloitte, analyse les principales préoccupations de 271 administrateurs répartis sur 22 pays d’Europe, du Moyen-Orient et d’Afrique.

Conseiller et challenger la direction de l’entreprise dans ses choix stratégiques est l’un des rôles principaux du board. L’étude EMEA 360 Boardroom Survey, réalisée par Deloitte au printemps 2016, montre en quoi l’identification et la prise en compte des risques sont particulièrement importants dans le cadre de cette mission. 

Selon cette enquête, réalisée à partir de 271 interviews individuelles menées dans 22 pays, la perception des risques de toutes natures varie selon la volonté d’innover, la concurrence et le marché. 

Le rapport au risque est donc dépendant de la culture, comme le souligne l’administratrice et ancienne astronaute Claudie Haigneré dans une interview accordée à L’Equation de la Confiance. « Les Français n’osent pas prendre de risques : ils sont paralysés par la peur de l’échec, de l’erreur car cela leur est reproché. Il leur manque cette culture du risque qui est valorisée dans d’autres pays », explique-t-elle.  

Une prise de conscience du risque lié à la cyber-sécurité 

Le premier enseignement de cette enquête concerne la gestion du risque de cyber-sécurité.  

« Seulement 48 % des administrateurs considèrent que le niveau de sensibilisation de leur conseil au risque de cyber-sécurité est élevé, 20 % l’identifie comme faible », remarque l’auteure de l’enquête Carol Lambert. Cette variable change selon les pays : plus élevée en Irlande, en Italie, en Afrique du Sud, elle est en revanche plus faible en Autriche et en Belgique.  

A l’échelle mondiale, seuls 5% des répondants indiquent qu'un membre de leur board atteste de compétences en matière de cyber-sécurité. « Cela peut s’expliquer par la très faible présence d’experts en informatique au niveau du board », remarquent les auteurs de l’étude.  

Cette proportion augmenterait potentiellement dans les années à venir avec la prise en compte de l’importance de ces sujets. L’étude relève que le risque lié à la cyber-sécurité passe de la 23e place dans les enjeux clés sur les 12 derniers mois à la 13e place dans les questions majeures à traiter en conseils dans les 12 à 24 prochains mois. Il s’agit de la plus forte progression dans les enjeux clés cités par les membres des boards. 

Le risque de réputation encore sous-estimé 

L’étude traite aussi de la prise en compte du risque de réputation, qui nuit de façon profonde et durable à l’image de l’entreprise, et à la confiance que ses partenaires placent en elle. Les causes sont variées : violations éthiques, pratiques commerciales douteuses ou encore performances réelles éloignées de celles présentées par la communication.  

Comme l’atteste le rapport, les effets d’une crise de réputation perdurent souvent pendant plusieurs années.   

Quels sont, pour le board, les moyens pour prévenir ces situations ? Une grande majorité des administrateurs interrogés dans le cadre de l’étude estiment tout d’abord que les administrateurs ont un rôle d’exemplarité à tenir à cet égard.  

Il est également possible pour le conseil de mettre en place des protocoles autour de l’éthique, et de procéder à une évaluation régulière des risques. Mais si 70 % des administrateurs interrogés confirment que les protocoles de gestion des risques éthiques sont discutés en conseil, de même que le risque de réputation, ils ne le sont régulièrement que dans 20 % des cas. L’enquête révèle par ailleurs que seulement 36% des protocoles sont intégrés à la culture de l’organisation.  

Une proportion importante de répondants (13%), principalement originaires de pays européens comme l’Autriche, la France, l’Allemagne ou encore le Royaume-Uni, indique que ces sujets ne sont jamais discutés au sein de leur board.  

Les comportements varient aussi selon les secteurs d'activité : les protocoles de gestion des risques éthiques et du risque de réputation sont davantage appliqués dans le secteur des services aux entreprises et aux professionnels ainsi que dans les services financiers. L’inverse s’opère dans le secteur public, ainsi que dans les entreprises de construction et de consommation. 

De nombreuses sources d’information selon les pays 

La radiographie montre que 88% des administrateurs interrogés estiment que le risk management est bien intégré dans leur prise de décision et que leurs sources d’information sont de bonne qualité.  

Les membres du board d’entreprises implantées en France, en Norvège, en Afrique du Sud et en Turquie considèrent recevoir une information efficace. Pour comparaison, les administrateurs basés en Allemagne, Irlande, Pologne et au Royaume-Uni trouvent, eux, les informations seulement « acceptables ». L’étude suggère que la remontée d’informations pourrait gagner en fiabilité.  

Cette documentation émane aujourd’hui principalement du management : les répondants citent les business plans dans 90% des cas, puis les présentations du management à 81% et les rapports d’audit externes à 66 %.  

Les sources d’informations varient néanmoins selon les pays. Par exemple, en Afrique du Sud, neuf personnes sur les dix interrogées citent les audits internes et externes tandis que les administrateurs finlandais indiquent avoir plus souvent recours aux analyses des concurrents et aux rapports du personnel.  

Pour en savoir plus, l’étude est disponible ici

Ajouter un commentaire

Pour suivre la discussion

Retrouvez chaque mois, les rencontres et les réflexions qui animent le débat de l’équation de la confiance.