Pour rappel, c’est au Conseil d’administration « de s’assurer que l’entreprise s’est dotée de dispositifs de contrôle interne et de gestion des risques solides et adaptés à la nature de l’activité de la société et à son projet stratégique »(9) et qu’il revient à la Direction générale d’élaborer ces dispositifs et de s’assurer de leur mise en oeuvre et de leur efficacité.
Le dispositif de gestion des risques représente les mesures prises par la Direction générale en matière d’identification, de hiérarchisation et de maîtrise des risques. Il tient compte de la typologie et de l’appétence aux risques adoptées par le Conseil d’administration. Le responsable du contrôle interne, le risk manager et le responsable de l’audit interne accompagnent la Direction générale dans sa mission de gestion des risques de l’entreprise.
Paragraphe 1 : Le responsable du contrôle interne
La pratique du contrôle interne est renforcée par la loi du 3 juillet 2008, portant diverses dispositions d’adaptation du droit des sociétés au droit communautaire, qui a transposé en droit français la directive 2006/46/CE du 14 juin 2006. Cette loi exige aux sociétés commerciales une obligation de transparence en matière de gouvernement d’entreprise et de procédure de contrôle interne.
A l’origine, le contrôle interne visait à sécuriser les informations comptables et financières. Ainsi, il décrivait les procédures d’élaboration de celles-ci.
Dans le monde actuel des affaires, il est préconisé dans toutes les tâches dans le but de sécuriser et de maîtriser l’ensemble des opérations de l’entreprise.
En collaboration avec les responsables des différents centres d’intérêts de l’entreprise, le responsable du contrôle interne supervise l’élaboration des procédures et veille à leur mise en oeuvre. Il peut être saisi par le Comité d’audit sur des questions relatives aux informations comptables et financières.
En fonction de la taille ou des spécificités de l’entreprise, le contrôle interne peut faire l’objet d’une direction à part entière sinon il est sous le couvert de la direction financière.
Paragraphe 2 : Le risk manager
La directive 2009/138/CE du 25 novembre 2009 dite « directive solvabilité 2 » a rendu obligatoire la fonction de management des risques dans les sociétés d’assurance, les mutuelles régies par le livre II du Code de la mutualité et les institutions de prévoyance régies par le Code de la sécurité sociale. Elle l’a instituée dans son deuxième pilier relatif aux exigences en matière d’organisation et de gouvernance des organismes.
Le risk manager ou le responsable de la gestion des risques doit avoir une vision globale des risques de l’entreprise donc au-delà des seuls risques financiers. Il apporte à l’entreprise une méthodologie d’analyse de ses environnements interne et externe, et met en place des outils de collecte et d’appréciation des informations. Il établit la carte des risques de l’entreprise. A cet effet, le risk manager soutient la Direction générale dans sa mission de pilotage des risques de l’entreprise, et est en étroite collaboration avec les autres directions de l’entreprise pour les aider à identifier leurs risques et trouver avec elles les dispositifs à mettre en oeuvre pour mieux maîtriser les risques.
Pour mener à bien sa mission, le risk manager doit être polyvalent et avoir une bonne connaissance de l’entreprise. Il est reconnu comme le gestionnaire par excellence des polices d’assurance de l’entreprise. Il suit les émissions de prime d’assurance et la gestion des sinistres. Il veille aussi à l’adaptation des garanties des polices d’assurance aux spécificités de l’entreprise et à l’évolution des environnements économique, juridique et social. Le risk manager est l’interlocuteur privilégié du Comité des risques en matière de gestion des risques.
Paragraphe 3 : Le responsable de l’audit interne
D’une façon générale, l’audit d’une entreprise, qu’il soit interne ou externe, consiste en une procédure de contrôle de la comptabilité et de la gestion de l’entreprise. L’audit interne est assuré par un responsable au sein de l’entreprise alors que l’audit externe est effectué par le commissaire aux comptes de l’entreprise.
L’audit interne aide l’entreprise « à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité »(10). Sa mission principale est de donner à l’entreprise une assurance sur le degré de maîtrise de ses opérations qu’elles soient financières ou non financières. Ainsi, il donne un avis sur l’efficacité du dispositif de gestion des risques élaboré et mise en oeuvre par la Direction générale en collaboration avec les responsables du contrôle interne et de la gestion des risques. Le responsable de l’audit interne est saisi par les Comités spécialisés sur les questions relatives à l’efficacité des dispositions prises pour maîtriser les risques de l’entreprise.
Lorsqu’il existe, au sein d’une même entreprise, les fonctions de contrôle interne, de gestion des risques et d’audit interne, il serait judicieux de préciser dans le règlement intérieur de l’entreprise les rôles et missions de chaque acteur du dispositif pour une bonne coordination de leurs activités. Leurs actions contribuent à l’élaboration et à la mise en oeuvre du système de gestion des risques de l’entreprise dont son objectif est particulièrement d’assurer la conformité aux lois et règlements, et d’appliquer strictement les directives fixées par le Conseil d’administration et la Direction générale en matière de gestion des risques.
Il convient de noter que la maîtrise et la surveillance des risques de l’entreprise sont complétées par des acteurs externes parmi lesquels les commissaires aux comptes (CAC), l’Autorité de contrôle prudentiel (ACP), l’Autorité des marchés financiers (AMP), l’Autorité de tutelle. Leurs interventions au niveau de l’entreprise visent à rassurer les investisseurs et à protéger les intérêts des citoyens.
9 IFA, AMRAE, PwC et Landwel, « Rôle de l’Administrateur dans la maîtrise des risques », page 5
10 Le Conseil d’administration de l’IFACI du 21 mars 2000