La gouvernance de la gestion de risques : quoi de neuf?

Article publié dans l'édition printemps 2015 de Gestion

La gestion des risques des entreprises a grandement évolué depuis 25 ans. De nos jours, elle englobe plusieurs aspects dont la prévention, la précaution, la gestion financière et l’utilisation de l’assurance. Cela dit, quels sont les effets d’une bonne gouvernance sur la valeur d’une entreprise et qu’en est-il de la compétence des membres des conseils d’administration ?

À la suite des faillites d’Enron et de Worldcom, les entreprises ont dû se conformer à de nouvelles réglementations visant à mieux encadrer leurs activités de gouvernance. Au nombre de deux, ces dernières ont été introduites aux États-Unis au début des années 2000. Le Canada, à l’instar d’autres pays, emboîtait le pas en adoptant des réglementations semblables quelques mois plus tard. La première a trait à la loi Sarbanes-Oxley (SOX) et la seconde, celle de la Bourse de New York (NYSE). Ces changements qui touchent le comité d’audit et le conseil d’administration ont pris la forme d’exigences minimales dont fait partie la surveillance de la gestion des risques.

LIRE AUSSI: Collaborez! Petit guide d'influence à l'usage des entreprises

Longtemps associée à l’utilisation de l’assurance, la gestion des risques a vu le jour après la Seconde Guerre mondiale. Puis, dans les années 1950, on a élaboré des formes de gestion des risques purs, comme l’autoassurance, qui constituent des solutions de rechange à l’assurance. Enfin, au cours des années 1970, on a commencé à utiliser des produits dérivés comme instruments de gestion des différents risques assurables et non assurables, pour ensuite développer la gestion des risques financiers des entreprises au cours de la décennie suivante.

Les institutions financières ont intensifié leurs activités de gestion des risques de marché et de crédit durant cette période. Quant aux activités de gestion du risque opérationnel et du risque de liquidité, elles faisaient leur apparition dans les années 1990 ; on a alors assisté à la mise en place des premières réglementations internationales des risques bancaires et d’assurances. C’est également à cette époque qu’on rendait la gouvernance de la gestion des risques obligatoire, qu’on introduisait la gestion intégrée des risques et qu’on créait les premiers postes de gestionnaire des risques (CRO).

Dans un article publié en 2013, nous commentions chacune de ces étapes historiques, notamment les grandes dates de l’évolution des produits dérivés et de la gestion des risques¹. Nous en profitions également pour donner une définition de la gestion des risques et en présenter les principales composantes. Nous nous intéressions par la suite à la réglementation de la gestion des risques au sein des institutions bancaires en expliquant pourquoi elle était nécessaire et nous abordions les principales réformes auxquelles elle avait été soumise, sous l’égide des accords de Bâle en 1988, en 2004 et en 2010.

Nous sommes arrivés à la conclusion que malgré les immenses progrès observés depuis 20 ans, il nous reste encore à définir une réglementation efficace pour bien encadrer les institutions financières. Nous avons en effet pu constater que toutes les réglementations, règles de gouvernance et méthodes de gestion des risques introduites avant 2007 n’ont pas suffi à empêcher la crise financière.

La gouvernance de la gestion des risques

Deux changements importants ont été apportés en 2002. Le premier, qui touche la loi Sarbanes-Oxley (SOX), se traduit par des amendements aux exigences minimales concernant le comité d’audit qui doit désormais être composé uniquement de membres non affiliés au conseil. De plus, au moins un d’entre eux doit posséder des connaissances financières. Toutefois, cette dernière règle n’étant pas coercitive, elle est sujette à interprétation ; toute entreprise ne comptant pas d’expert financier au sein de son comité d’audit doit simplement en expliquer la raison.

Peu de temps après, la Bourse de New York (NYSE) introduisait de nouvelles règles et exigences de gouvernance visant les entreprises désireuses de s’inscrire en Bourse. Le 1^er août 2002 donc, le Conseil du NYSE approuvait les règles ci-dessous, qui furent mises en œuvre dès l’année suivante :

• Les conseils d’administration doivent être composés d’une majorité d’administrateurs indépendants ;

• Les comités de nomination/gouvernance, à l’instar du comité de rémunération, doivent être composés strictement d’administrateurs indépendants ;

• Le comité d’audit de toute entreprise inscrite en Bourse doit compter au moins trois membres, tous administrateurs indépendants ;

• Chaque entreprise inscrite en Bourse doit compter sur un comité responsable des fonctions d’audit interne.

De plus, le document de réglementation du NYSE mentionne que chaque membre du comité d’audit doit posséder une bonne connaissance du secteur financier. Enfin, selon les règles du NYSE, la surveillance de la politique de gestion des risques incombe au comité d’audit. Une fois de plus, il revient au conseil de définir ce qu’il entend par « expertise pertinente du secteur financier ». Les membres du comité d’audit ne possédant pas une telle expertise, par exemple, peuvent y remédier ultérieurement, sans toutefois qu’on précise de délai d’obtention. Il semble donc que les règles de 2002 visaient principalement à s’assurer de l’indépendance des membres du conseil et de différents comités, dont celui d’audit.

Ces réformes ont été largement critiquées. Deux auteurs ont mentionné, entre autres choses, qu’il n’était pas évident pour les comités d’audit d’institutions financières ayant adopté des politiques de gestion des risques sophistiquées, d’assurer une surveillance de la gestion des risques adéquate². Il en est de même pour les sociétés non financières gérant plusieurs risques à l’aide de produits financiers complexes.

Suite à la crise financière de 2007, un rapport de l’Organisation de coopération et de développement économiques (OCDE)³ faisait état des causes à l’origine de cette crise. Elle serait en effet imputable à la méconnaissance des membres des conseils d’administration de la gestion des risques et à leur compréhension limitée des différents risques qu’encourent les institutions financières. Plusieurs de ces entreprises utilisaient des produits structurés très complexes, comme le papier commercial adossé à des créances (PCAA), les titres CDO (Collateral Debt Obligation) et les swaps sur défaillance (Credit Default Swap). En général, les membres des conseils d’administration ignoraient que l’entreprise utilisait ces produits et qu’il leur incombait d’établir un seuil de risque acceptable pour les dirigeants de l’entreprise. Ce qu’il faut retenir de ce constat, c’est que les membres des conseils d’administration des entreprises exposées à des risques importants doivent posséder les connaissances du secteur financier nécessaires pour contrôler étroitement la gestion des risques. À la lumière de cette critique, il apparaît qu’au-delà de l’indépendance des membres des conseils, ces derniers ne possèdent pas nécessairement les compétences requises pour assurer une gestion étroite des risques.

LIRE AUSSI: Portrait d'un leader - Stephen Jarislowsky, l'investisseur à l'éthique d'acier

Les trois auteurs d’une récente étude sur la gouvernance de la gestion des risques des entreprises aurifères nord-américaines se sont penchés sur la façon dont l’indépendance et les connaissances financières des membres des conseils d’administration et des comités d’audit affectent la valeur de la firme au moyen de sa politique de gestion des risques⁴. Ils ont étudié les sociétés aurifères nord-américaines pendant près de 10 ans. Ils ont eu accès à des données exhaustives sur le degré de connaissances du secteur financier des membres des comités d’audit et des conseils d’administration de chacune d’elles, qu’ils ont mesuré selon trois éléments : la formation financière, l’expérience financière et la formation comptable. Ils ont donc évalué la formation financière en fonction du diplôme universitaire obtenu en finance (p. ex. B.A.A., MBA ou M. Sc., Ph. D.) ; mesuré l’expérience financière par le fait que le membre évolue dans un environnement financier, comme c’est le cas, entre autres, pour un gestionnaire de compagnie d’assurance, de banque, ou encore un analyste financier ; et enfin, jugé de la formation comptable selon l’obtention ou non d’un diplôme universitaire en comptabilité. Les auteurs ont aussi recueilli des renseignements sur les différents diplômes universitaires que détiennent les membres du conseil.

L’étude démontre, dans un premier temps, que les règles de 2002 de la SOX et du NYSE, qui reposaient principalement sur l’indépendance des administrateurs, n’avaient aucune influence significative sur la valeur de la firme durant la période étudiée. Elle confirme d’abord que l’interrelation entre l’indépendance des membres et leurs connaissances du domaine de la finance influençait la politique de gestion des risques et par le fait même, la valeur de la firme. Après vérification, ils ont aussi pu établir que les formations universitaires en finance des deuxième et troisième cycles avaient un impact significatif sur la politique de gestion des risques de l’entreprise. Ils ont ensuite déterminé des indices de gouvernance pour le conseil et le comité d’audit, composés de différentes variables comme la connaissance du secteur financier, l’indépendance, la formation de deuxième et de troisième cycles universitaires en finance et la séparation entre les rôles de chef de la direction de l’entreprise (DG) et de président du conseil d’administration. Ils ont prouvé que ces indices avaient un effet important sur la politique de gestion des risques et sur la valeur de l’entreprise.

La nouvelle réglementation des institutions financières

Les agences de réglementation américaines et canadiennes ainsi que certaines agences européennes ont récemment adopté de nouvelles règles de gouvernance pour les banques et les compagnies d’assurance. En vertu des règles canadiennes (2013), ces institutions sont tenues de mettre en place un comité des risques composé uniquement de membres indépendants. Conformément à ces règles, les grandes institutions ayant adopté des politiques de gestion des risques sophistiquées doivent pouvoir compter sur un comité dont les membres possèdent les compétences requises. La notion de compétence fait maintenant partie de la ligne directrice fédérale sur la gouvernance d’entreprise du Bureau du surintendant des institutions financières (BSIF) – (voir l’encadré) – qui s’attend à ce que tous les administrateurs jouent un rôle efficace. Bien que la contribution de chacun puisse varier, cette compétence doit être évaluée dans son ensemble. En effet, le conseil d’administration doit, à titre collectif, former « un ensemble équilibré d’expertises, d’aptitudes, d’expériences et de perspectives … ». On n’exige donc pas que chacun des membres soit compétent dans le domaine de la finance seul. En d’autres termes, la compétence collective tient à la combinaison des compétences de chaque membre du conseil. Pour évaluer ces dernières, la ligne directrice prévoit que le conseil d’administration mette en place un processus annuel d’évaluation de l’efficacité de ses pratiques et, au besoin, fasse appel aux services de conseillers externes indépendants. En outre, les administrateurs devraient saisir toute occasion d’apprentissage à l’interne ou à l’externe, pour bien prendre la mesure des risques encourus par l’institution financière fédérale et leur impact.

Aperçu de la ligne directrice sur la gouvernance des institutions financières fédérales et la gouvernance des risques

- La ligne directrice fédérale sur la gouvernance d’entreprise (janvier 2013) commande à toute institution financière fédérale de mettre en place des pratiques exemplaires de gouvernance.

- Elle s’intéresse au premier chef au conseil d’administration, qui joue un rôle primordial dans l’élaboration d’une stratégie globale pour l’entreprise. Le conseil d’administration doit approuver les politiques mises de l’avant par les dirigeants en s’assurant qu’elles sont conformes à la stratégie et à la propension à prendre des risques approuvées par le conseil. Il doit mettre en place des processus d’évaluation périodiques des risques. Il doit aussi superviser la haute direction et les contrôles internes.

- La ligne directrice a pour but d’évaluer l’efficacité du conseil à l’aide de critères clairement définis. Ainsi, le Bureau du surintendant des institutions financières (BSIF) s’attend à ce que le conseil d’administration forme un ensemble équilibré de compétences, d’expertises, d’aptitudes et d’expériences, tout en tenant compte de la stratégie, du profil de risque et des activités globales des institutions financières. Le conseil d’administration ne devrait en aucun cas dépendre de la haute direction. Il doit avoir la capacité d’agir de son propre chef. Le processus de recrutement des nouveaux administrateurs devrait donc mettre l’accent sur l’autonomie des membres du conseil.

- Il faut aussi séparer le rôle du président du conseil de celui du chef de la direction (DG), puisque cette dissociation est un élément crucial de l’autonomie du conseil. Signalons brièvement certains autres aspects de la ligne directrice : le rôle du chef de la direction, la nature et le cadre des contrôles et des processus de supervision du conseil par rapport à la gestion opérationnelle et, enfin, l’examen et l’évaluation périodique de l’efficacité du conseil par des conseillers externes indépendants.

- La ligne directrice contient également une section sur la gouvernance des risques. Ainsi, l’institution financière doit disposer d’un cadre de gestion de la propension à prendre des risques en fonction de la taille de l’institution financière, de l’étendue de ses activités et de la nature de ses expositions aux risques. Guidé par ce cadre, le conseil doit mettre sur pied un comité de gestion des risques auquel il incombera d’encadrer et de définir la gestion des risques.

- La ligne directrice aborde le comité d’audit et la nature de son mandat. C’est le comité d’audit et non la haute direction qui devrait recommander aux actionnaires la nomination, la destitution et la rémunération de l’auditeur externe. La dernière section est consacrée à la surveillance des institutions financières fédérales par le BSIF.

- Un autre document très important a attiré notre attention : le Guide de gestion intégrée du risque élaboré par le Secrétariat du Conseil du Trésor du Canada à l’intention des ministères et organismes fédéraux.

- Nous signalons également deux lignes directrices élaborées par l’Autorité des marchés financiers (Québec), l’une sur la gouvernance, l’autre sur la gestion intégrée des risques, adoptées en avril 2009.

Bref, il importe que les conseils d’administration des entreprises fortement exposées aux différents risques assument la gestion des risques. De même, il incombe au comité des risques d’encadrer la gestion des risques des grandes banques et des compagnies d’assurance. Ces comités doivent être formés d’administrateurs indépendants possédant une connaissance adéquate de la gestion des risques. Devraient faire partie du comité, s’il y a lieu, des personnes ayant des connaissances techniques dans les disciplines reliées au risque.

Quant aux nouvelles règles prudentielles européennes des secteurs bancaire et financier, elles font l’objet d’un article paru le 21 février 2014, qui en commente l’application, en plus de traiter de l’ampleur de la réforme pour le secteur bancaire⁵. Cette dernière met l’accent sur la gouvernance et la rémunération au sein des établissements de crédit, des sociétés de financement, des entreprises d’investissement et des sociétés de gestion de portefeuille.

En vertu du code monétaire et financier, par exemple, les fonctions de président du conseil et de directeur général (DG) sont désormais dissociées et le conseil d’administration est tenu de créer un comité des risques et un comité des nominations en plus de former des comités des rémunérations et d’audit. Enfin, l’ordonnance européenne s’est assurée qu’hommes et femmes sont équitablement représentés au sein des conseils d’administration.

Conclusion

Retenons d’abord qu’en matière de gouvernance et de gestion des risques, l’indépendance des membres du conseil d’administration ne constitue pas une garantie suffisante pour une surveillance optimale de la gestion des risques et ensuite, que la compétence des administrateurs est un facteur nécessaire à la bonne gouvernance de la gestion des risques.

Les conseils d’administration des grandes institutions financières canadiennes comptent maintenant des comités des risques dont les membres ont pour mandat de les aider à déterminer le seuil de risque des dirigeants, à élaborer les stratégies de gestion des risques, à en surveiller la gestion à l’aide de mesures des risques adéquates et robustes, et à mettre en place des mécanismes de contrôle de la gestion des risques. Il serait souhaitable que les dirigeants des fonds de retraite (pension), des fonds de couverture et des fonds d’investissement ou de placement adoptent volontairement ces règles de gouvernance afin de mieux protéger leurs actionnaires et leurs clients.

Références

Blanchard, D., Dionne, G. (2004), « The case for independent risk management committees », Risk, vol. 17, n° 5, p. S19-S21.

Dionne, G. (2013),« Gestion des risques : histoire, définition et critique », Assurances et gestion des risques, vol. 81, n° 1-2, p. 19-46.

Dionne, G., Maalaoui, O., Triki, T. (2014), The Governance of Risk Management : The Importance of Directors Independence and Financial Knowledge, Mimeo, Chaire de recherche du Canada en gestion des risques.

Kirkpatrick, G. (2009), « The corporate governance lessons from the financial crisis », OCDE Journal : Financial Market Trends, n° 66, p. 893-919.

Speroni, J. (2014), « Nouvelles règles prudentielles dans le secteur bancaire et financier », L’Argus de l’assurance, 21 février.

Notes

1. Dionne (2013)

2. Blanchard et Dionne (2004)

3. Kirkpatrick (2009)

4. Dionne et al. (2014)

5. Speroni (2014)