De l’importance pour l’audit de la gestion des risques dans l’industrie

Les Normes d’audit suisses (NAS 315, Identification et évaluation des risques d’anomalies significatives par la connaissance de l’entité et de son environnement) exigent, en vue de la préparation d’audit des états financiers (contrôles ordinaires et restreints), que l’auditeur ait connaissance de l’entité et de son environnement, dont font partie le système de contrôle interne, les risques d’anomalies significatives et les réactions possibles de la direction pour y répondre. Dans ce contexte, l’existence d’approches de la gestion des risques susceptibles d’être intégrées à la planification de l’audit peut se révéler intéressante pour avoir une meilleure compréhension de l’entreprise et recenser les risques possibles d’anomalies.

Les approches de la gestion des risques sont très diversement répandues dans l’industrie. Bon nombre de PME suisses de ce secteur s’imaginent à tort baigner dans un océan de sécurité. Elles se conforment aux bases légales et spécifiques à leur branche d’activité en matière de gestion des risques mais oublient qu’une telle gestion, complète et étendue à l’ensemble de l’entreprise, non seulement garantit l’aboutissement de ses objectifs mais permet de rehausser sa valeur. Une thèse de Master soutenue à la Haute école de St-Gall conclut que l’utilité d’une gestion adéquate des risques est souvent sous-estimée par les entreprises dans la pratique et que cette activité ne sert à leurs yeux qu’à se conformer aux exigences légales¹.

L’économie suisse est à nouveau en pleine mutation depuis quelques mois. L’abandon du cours plancher de l’euro et l’acceptation de l’initiative populaire sur l’immigration de masse ont imposé une fois de plus à bon nombre d’entreprises industrielles de ce pays ce dur constat: elles évoluent dans un contexte incertain, où tout change très vite². Outre les défis politiques déjà évoqués, elles doivent affronter d’autres difficultés propres à leurs branches. C’est ainsi que les activités transfrontières les exposent à des risques pays considérables. Le raccourcissement des cycles de vie des produits et l’individualisation de la demande peuvent exiger des investissements accrus dans la recherche et le développement. La complexité grandissante des systèmes de production peut exercer une influence négative sur la sensibilité aux perturbations³. Et ce ne sont là que quelques-unes des évolutions auxquelles les entreprises industrielles doivent faire face. Le législateur a reconnu ces problèmes et y a réagi il y a sept ans déjà. Depuis 2008, la gestion des risques est en effet devenue une obligation légale pour quantité d’entreprises suisses⁴. Le Code des obligations n’est pas très riche en prescriptions sur le sujet et c’est précisément dans leur formulation un peu évasive que réside le problème. Plusieurs études confirment en effet l’absence d’une gestion des risques systématique: une enquête autrichienne menée parmi des entreprises moyennes a révélé par exemple que la gestion des risques était pratiquée essentiellement – et encore! – dans les domaines de la comptabilité, des finances et du controlling⁵.

Il semble bien que de nombreuses entreprises manquent de connaissances sur les diverses normes de gestion des risques et les cadres conceptuels applicables à l’ensemble des branches. Développés spécialement par de grandes organisations comme l’ISO, ceux-ci devraient pourtant servir de guide pour assurer une gestion des risques adéquate. Il existe divers concepts théoriques applicables au secteur industriel. Les normes les plus connues sont l’ISO Guide 73 Management du risque, le «cube COSO», L’ONR 49000 de l’Institut autrichien de normalisation ou l’ISO 31000 Management du risque – Principes et lignes directrices. Ce sont surtout les deux derniers nommés qui, en théorie, sont recommandables pour l’industrie parce qu’ils font pénétrer la gestion des risques dans le système de management des entreprises⁶.

Il existe aussi de nombreuses approches théoriques et aides à la mise en œuvre du processus – essentiel – de gestion des risques dans l’industrie. Les phases de ce processus diffèrent dans le degré de détail, en fonction de la branche et de ses besoins. Il s’agit toutefois, en règle générale, d’identifier les risques, puis de les évaluer, de les piloter et de les contrôler⁷. Pour la première étape, il est recommandé de mettre en place un système adapté de détection précoce et d’avoir une vision systémique des diverses sources de risques potentiels. Un système de détection précoce est censé permettre à l’entreprise de prendre les mesures qui s’imposent avant que ne surgisse un risque. Durant cette phase, l’objectif doit être d’identifier à temps les «développements mettant en danger la pérennité de la société». Autrement dit, il faut aspirer à un recensement aussi complet que possible des sources de risques, causes de dommages et potentiels de perturbations⁸. Cette première phase constitue, selon de nombreux auteurs, l’étape la plus importante du processus de gestion des risques. Il convient donc de la parcourir d’un bout à l’autre et de la mener en recourant à différentes méthodes d’identification telles qu’interviews, questionnaires, analyses de possibilités d’erreur et de leur influence ou encore séances de «remue-méninges». Au terme de cette opération, il faudrait présenter des catégories de risques appropriées sous forme d’inventaire, celui-ci comprenant par exemple les catégories «risques financiers» et «risques opérationnels». Ces derniers pourraient être détaillés en «risques opérationnels proprement dits» (risques organisationnels, risques de personnel, risques de processus, etc.) et «risques stratégiques»⁹, l’idéal étant que chaque entreprise recherche une solution personnalisée. L’étape suivante – évaluation – devrait inclure à tout le moins une évaluation des risques en fonction de leur probabilité de survenance et de leur portée. Cela peut se faire à l’aide de méthodes qualitatives ou quantitatives. Les premières pourraient consister en des interviews ou des ateliers. La théorie affirme qu’il convient de préférer les méthodes quantitatives, sous forme d’analyses de sensitivité ou de scénario, à condition que la qualité des données soit suffisante. Une fois évalués, les risques sont classés dans un portefeuille ou une matrice de risques. Enfin, les risques intolérables doivent être pilotés et contrôlés en permanence, grâce à des mesures adéquates. Précisons encore que toutes ces considérations ne constituent qu’une vague esquisse de l’abondante littérature consacrée à la gestion des risques dans l’industrie¹⁰.

Cela étant, qu’est-ce que retiennent les PME industrielles de la théorie dans la pratique quotidienne? Les entreprises interrogées dans le cadre de la thèse de Master sont issues des branches les plus diverses de l’industrie (production de plastiques, construction mécanique, sidérurgie, fabrications de boissons, etc.). Les participants aux interviews étaient tous membres de leur direction générale et donc les premiers concernés par ce sujet. Or ce qui frappe de prime abord, c’est que seules quelques rares entreprises retirent un profit directement mesurable, selon elles, de la gestion des risques. Il n’est guère étonnant, dès lors, que cette activité soit plutôt considérée comme une contrainte par bon nombre d’entreprises. Certaines d’entre elles vont même encore plus loin, citant comme unique objectif de la gestion des risques la volonté de respecter les bases légales du Code des obligations. Pire, quelques entreprises ne connaissaient même pas la loi ou laissaient entendre que la révision du Code des obligations n’avait qu’une incidence négligeable sur leur gestion des risques car le temps et l’argent leur manquaient pour s’en préoccuper. Les PME se bornent en l’espèce à faire un inventaire rudimentaire des risques puis à les évaluer et à les classer dans une matrice. Souvent, il n’est pas question d’activités de pilotage, et encore moins de contrôle des risques identifiés.

Interpellée sur les normes de gestion des risques, une seule entreprise a déclaré travailler en fonction d’un tel référentiel. Ces normes seraient tout simplement compliquées à appliquer ou axées de façon trop abstraite sur telle ou telle branche. L’absence de fils conducteurs interbranches mène inévitablement à des situations confuses et, partant, à des lacunes fréquentes dans l’organisation de la gestion des risques. Celle-ci se conçoit souvent comme une approche de haut en bas. Ce qui implique que la direction générale soit seule à s’en préoccuper et que des informations importantes puissent manquer que seule une collecte de bas en haut sera à même d’assurer. Sans compter que les entreprises sont nombreuses à penser qu’un recensement intuitif et spontané des risques leur suffit. S’agissant de l’étape de l’évaluation des risques, aucune des entreprises interrogées ne recourt à des méthodes fondées sur la théorie de la probabilité. Au contraire, les responsables ont une estimation subjective de la portée des risques ainsi que leur probabilité de survenance. Ils fondent également leur jugement sur les enseignements empiriques de périodes de recensement passées. Or, objectivement, il faut bien avouer que ces deux méthodes méritent une note médiocre en termes de degré d’exactitude.

Et ce n’est pas tout. De nombreuses entreprises jugent que l’évaluation des risques suffit à assurer leur gestion. Seule une poignée d’entre elles avouent avoir conçu une stratégie de maîtrise des risques applicable à l’ensemble de l’entreprise. La plupart des personnes interrogées souhaitent pouvoir appliquer une stratégie propre à éviter ces risques. Et pourtant, en contradiction formelle avec ce vœu, moins de la moitié des entreprises disposent d’un mécanisme de couverture des risques de change, situation qui, vu les récents événements, pourrait se révéler catastrophique pour leurs finances.

Les dernières questions soulevées lors des interviews avaient trait aux tendances qui pourraient s’esquisser à l’avenir dans le domaine de la gestion des risques. Un grand nombre d’entreprises ont répondu qu’elles s’attendaient à des risques informatiques accrus et que, suite à un réseautage et à des interdépendances grandissants, elles pensaient que la gestion des risques gagnerait en importance, seul moyen au demeurant d’attirer l’attention sur un maximum d’éventualités.

Il reste que beaucoup d’entreprises n’ont toujours pas conscience de l’importance d’une gestion des risques systématique, de sorte que ce sujet ne retient que peu d’attention. De la multiplicité des formes possibles de mise en œuvre théorique, il n’est né aucun cadre pratique clair selon lequel les entreprises pourraient instaurer un régime adéquat de gestion des risques. D’où une démarche aux contours très flous. Les mesures évasives du législateur ont pour unique résultat d’inciter les entreprises à recenser grossièrement leurs risques et les classer dans une matrice. Les étapes importantes de la mise en œuvre des mesures et de leur contrôle ne sont pas traitées dans la loi et, par voie de conséquence, négligées dans la pratique ou tout simplement omises. Il est souvent trop tard pour en prendre conscience. La complexité des méthodes de recensement et d’évaluation à appliquer fait que celles-ci ne peuvent s’imposer dans la pratique, par manque de ressources ou pour des raisons pécuniaires, par exemple.

En dépit de cette situation, de nombreuses entreprises aspirent à optimiser le coût de leurs risques et seraient d’ailleurs prêtes à instaurer chez elles un système de gestion systématique des risques, à condition toutefois de disposer de facteurs de réussite universels et proches de la réalité de leur activités, puis, à partir de là, de lignes directrices ou d’auxiliaires aptes à les guider pour mener à bien cette tâche. Or les normes et guides actuels s’y prêtent peu et sont souvent trop compliqués.

Il semble donc nécessaire de disposer dans la pratique d’un modèle adéquat de gestion des risques. Trop abstraits, les concepts théoriques sont inapplicables à la plupart des petites et moyennes entreprises. Aussi, interrogeons-nous sur les facteurs de réussite à prendre en considération, notamment pour les PME, en vue d’aboutir à une approche utile de la gestion des risques.

La première chose à faire est d’attirer l’attention des entreprises sur la nécessité absolue d’y ancrer la conscience de l’importance d’une bonne gestion des risques. C’est là une tâche de management, à vivre donc au sommet de la hiérarchie. Ce qui requiert une communication satisfaisante au sein de l’entreprise. La deuxième mesure consiste en une mise en œuvre axée sur la pratique, et surtout simple, de la gestion des risques. Si l’entreprise est de plus grande taille, une organisation homogène présentera de grands avantages et économisera des ressources. Pour l’industrie, il s’agit, vue la pénurie de ressources, d’orienter la gestion des risques sur des analyses soutenues par une gestion de la qualité, par un système de contrôle interne s’il existe et, bien entendu par le contrôle de gestion (controlling). La mise en place d’un progiciel de gestion des informations sur les risques, aussi lourde qu’onéreuse, sera souvent superflue sachant que des rapports annuels physiques sur la gestion des risques suffiront comme base pour les années à venir.

Mais le plus urgent, c’est que les entreprises comprennent que la gestion des risques gagnera sans cesse en importance du fait de la complexité croissante de différents domaines et qu’il faudra donc s’y atteler sans tarder. Pour l’audit des états financiers, l’existence d’un système de gestion des risques se révèle très utile pour la planification des procédures et pour le système de contrôle interne. D’une manière générale, la conclusion à tirer ici est que l’existence d’une gestion des risques vécue donne, suivant la taille de l’entreprise, sa branche d’activité et la complexité de son modèle d’affaires, des indications précieuses quant à des réductions possibles du risque d’audit.

• Branchen-Report-Deutschland, Industriebranche im Fokus [version électronique], Commerzbank AG, 2012, 4, p. 3.
• Boutellier, R. Montagne, E. & Barodte, B., Die Risiken für KMU – und wie sie damit umgehen können, New Management, 2007, n° 11, p. 43 – 46.
• Brünger, C., Erfolgreiches Risikomanagement mit COSO ERM, Berlin, 2009.
• Brühwiler, B., Risikomanagement als Führungsaufgabe, Unter Berücksichtigung der neusten internationalen Standardisierung, Berne, 2007.
• Fiege, S., Risikomanagement- und Überwachungssystem nach KonTraG, Thèse soutenue à l’Université de Berlin, Wiesbaden, 2006.
• Romeike, F., Erfolgsfaktor Risikomanagement, in Finke R. (Hrsg.), Chance für Industrie und Handel, Methoden, Beispiele, Checklisten, Wiesbaden, 2003, p. 16 – 296.
• Thuermann, C. & Ebner, G., Risikomanagement im österreichischen Mittelstand – Verbreitung, Bedeutung und zukünftige Erwartungen, Graz, 2012.