0

Youssef BRIGA

Gestion des risques

et Gouvernance
des entreprises du secteur public

Les problématiques
Les stratégies
Les défis

2017

1
Sommaire

Avant propos 3
Introduction 6
Partie 1 : les entreprises publiques face à la tourmente 10
1. La crise financière et impact sur la gouvernance 11
a) Normes et codes de gestion des risques 13
b) Appétence et incitations au risque 14
c) Comités du conseil d'administration 16
2 Les pratiques de gestion des risques dans les entreprises publiques 18
a) Les Entreprises publiques par rapport aux sociétés cotées 19
b) L’appétence et incitations au risque 20
c) Les responsabilités au niveau du conseil d'administration 22
d) Désignation des Responsables du risque 24
Partie 2 : Les tribulations des organismes sans but lucratif 27
1) Le contexte des défis structurels 29
2) La gestion systématique des risques 30
3) L'échelle des risques d’un secteur non profit 32
Conclusion 35

2
Avant propos

Le samedi 29 juillet, à l'occasion de la fête du Trône, Sa Majesté le Roi s'est adressé à la

nation. Alors que ce discours était traditionnellement axé sur le bilan des réalisations de
l'année écoulée, le souverain a cette fois adopté un ton particulièrement offensif contre les
partis politiques et l'Administration, qu’il a chargé de la responsabilité des problèmes de
développement que connaissent certaines régions du royaume.

Le Souverain a ainsi mis en évidence les carences en service de base dont souffrent
plusieurs régions, découlant essentiellement des manquements de l'Administration et des
partis politiques et, selon lui, de certains fonctionnaires qui « manquent de compétence et
d'ambition » et versent dans « l'abus d'autorité et les trafics d'influence » au lieu de servir
leurs concitoyens.

Le tableau dressé par le souverain fut dur et le ton acerbe en parlant des partis qui
« s'attribuent les bénéfices politiques et médiatiques dès qu'un bilan s'avère positif », mais en
cas d'échec « se retranchent derrière le palais ». Dés lors, « Le citoyen est en droit de se
demander à quoi servent les institutions en place ou la tenue des élections » à souligné
également le souverain.

Face à ces « manquements au devoir » qu'il va jusqu'à qualifier de « trahison », le Roi a

insisté pour que désormais gouvernement, partis et institutions « rendent des comptes » et
menace de destitution tout responsable qui faillirait à sa mission.

Pour la deuxième fois en moins de deux ans, Sa Majesté le Roi a dressé, lors du discours du
Trône, un tableau sombre du fonctionnement et du rendement de l'Administration publique.

Dans son discours du Trône prononcé samedi 29 juillet 2017 depuis Tétouan, le Souverain
avait pointé du doigt le douloureux mal dont pâtit l'Administration, à savoir que
"L'Administration souffre d'une faible gouvernance et d'une productivité insuffisante". Pour le
souverain, l'appel pressant -qu'il avait lancé pour la réforme de l'Administration en 2016- n'a
pas été entendu. Il a été négligé en dépit des déclarations d'intention du gouvernement.

Dans son discours, le Souverain est revenu à la charge en affirmant que "l'un des problèmes
qui entravent le progrès du Maroc réside dans la faiblesse de l'administration publique, en
termes de gouvernance, d'efficience, de qualité des prestations offertes aux citoyens".

Ainsi, si l’opinion publique et le citoyen estiment qu’il y a incapacité à assainir la productivité

de l'administration publique, l’approche même de la gestion des relations de l'Administration
avec le citoyen devrait impérativement changer. Il faudra aussi changer l'esprit de la gestion

3
publique, car le processus de démocratisation et de développement est irréversible, et
nécessite une amélioration continue de ses processus d’intervention.

En effet, la crise des projets de développement ou d’investissement peuvent, dans beaucoup

de cas, être dus à des facteurs induits, non intentionnels ou tachés de malversations, mais
découlant d’une mauvaise programmation, d’un mauvais suivi du déroulement et de mis en
œuvre, de la faiblesse d’un maillon d’approvisionnement en biens ou en services, et surtout –
le plus insidieux et le moins considéré- une faible gestion des risques apparents ou latents de
ces projets.

D’où tout l’intérêt de se poser la question, où en est la pratique dans ce domaine crucial, et
toute réponse ne peut que passer par un benchmark des bonnes pratiques mise en place
dans les pays où la prise en conscience de l’intérêt de ce sujet est déjà mature.

4
Introduction

Si les récentes catastrophes comme DeepWater Horizon ou Fukushima viennent

immédiatement à l'esprit, d’autres plus anciennes comme Bhopal ou Seveso restent dans les
mémoires, comme étant le résultat de risques naturels et de force majeure. Ainsi, depuis l’an
2000, les faillites des grandes entreprises de part le monde se sont placées sous le feu des
medias à cause des scandales répétés dans le secteur financier principalement, mais le
phénomène a touché également tous les autres secteurs et pour la plupart cela n'a pas
toujours été la résultante de prises de risques financiers, mais dans leurs prédispositions à
gérer les risques découlant de leurs actions de gestion et des événements fortuits et
catastrophes financières, environnementales, humaines qui sont survenues.

Ainsi, les scandales financiers impliquant une fraude comptable ont pullulé (à l’exemple des
sociétés Olympus, Enron, WorldCom, Satyam, Parmalat) ou une affaire de corruption
étrangère (Siemens et Samsung), pour n'en citer que quelques-uns.

Souvent, ces échecs ont été -grandement- facilités par des faillites de la gouvernance
d'entreprise, où les conseils d’administration n'ont pas pleinement apprécié les risques quils
prenaient (si ils n'étaient pas effectivement imprudents et aient initiés les prises de risque
eux-mêmes) et/ou lorsque les systèmes de gestion des risques étaient défaillants.

L'importance d'un cadre efficace de gouvernance des risques a été soulignée dans plusieurs
rapports de l’OCDE depuis 2009 et 2010, et plus récemment celui de 2014 relatif à
l'adéquation de la gouvernance d'entreprise existante avec les principes, lignes directrices et
pratiques adoptées dans ce domaine et la gouvernance des risques y afférents1.

Au-delà de la limite de l'entreprise étendue, d'autres facteurs contribuent à l'environnement

dans lequel le risque doit être géré. Ces facteurs peuvent soit générer des risques qui ne
peuvent pas être directement contrôlés, ou peuvent contraindre la façon dont l’organisation
2(entreprise ou organisme public) est autorisée à prendre ou à gérer le risque.

Plus particulièrement, les lois et règlements peuvent avoir un effet sur l'environnement de
risque. Il est important pour une organisation d'identifier les façons dont les lois et règlements
encadrent le travail de chaque organisation, soit en exigeant que l'organisation accomplisse
certaines taches ou formalités, soit par la restriction des actions que l'organisation est
autorisée à prendre (Par exemple, la manière dont une organisation gère son risque de

1 Le rapport de l’OCDE de 2014 OECD (2014) « Risk Management and Corporate Governance » présente le résultat d’un examen couvrant 22 pays
membres de l'OCDE, ainsi que l'Argentine; Hong Kong, Chine; Inde; Lituanie et Singapour, en proposant un aperçu général de la gouvernance des
risques et les pratiques de toutes les juridictions des pays participants.
2 On entend par « Organisation » toute entreprise publique, privée, association ou communauté adoptant un mode d’organisation managérial et

impactant son environnement économique et social.

5
fonctionnement relatif à la profusion ou l’insuffisant du personnel est lié aux contraintes de la
législation du travail).

Chaque organisation est également restreinte dans ses actions par les attentes de ses
partenaires. Ainsi, certaines actions de gestion, qui présentent une bonne valeur ajoutée et
sont et efficaces dans l'abstrait, mais peuvent ne pas être acceptables pour les partenaires.
Pour les organisations gouvernementales, cela est particulièrement important en ce qui
concerne leurs relations avec le public; ainsi les actions à risque, qui même avérées
efficaces, nécessitent d’être traités spécifiquement et peuvent néanmoins avoir d'autres
effets résiduels que leur public cible ne voudrait pas accepter.

Ainsi, la gestion des risques ou «gouvernance des risques», considérée du point de vue de la
gouvernance d'entreprise, reste tributaire des principes pertinents définissant le cadre
général des recommandations de la norme ISO 31000. Cet outil se concentre sur les
questions de gouvernance des risques qui sont pertinentes pour les entreprises de tous les
secteurs (y compris l'État) plutôt que celles concernant uniquement les intermédiaires
financiers. D’où l’intérêt de focaliser sur les pratiques de gestion des risques des entreprises
d'État, dont les pannes de gestion sont susceptibles d'avoir un impact, directement ou
indirectement, sur les finances publiques. Les exemples abondent en cas d'échecs majeurs
de la gestion des risques, dont beaucoup sont attribués à un manque de surveillance des
risques par les conseils d'administration des entreprises publiques. Le coût direct en cas de
survenance de ces pannes reste énorme pour les contribuables.

Le point de départ est que les conseils d’administration doivent remplir certaines fonctions
clés, y compris l'examen et l'orientation de la politique de risque de l'entreprise, ainsi que la
mise en place de systèmes appropriés de gestion des risques et de se conformer à la loi et
normes établies en la matière éventuellement. Les conseils d’administration ont également
une responsabilité essentielle de définir la politique de risque en précisant les types et le
degré de risque qu'une organisation est disposée à accepter dans la poursuite de ses
objectifs.

En complément, il est souligné que pour s’assurer de l'intégrité des systèmes essentiels de
reporting et de suivi, le conseil établira et appliquera les lignes de responsabilité et de
responsabilisation transparentes dans toute l'organisation.

Le fait est que le conseil d’administration doit également veiller à ce qu'il y ait une
surveillance appropriée sur « la gouvernance » et stipule que les entreprises publiques
doivent divulguer des informations cadre sur toutes les questions relatives à leurs « principes
de gouvernance » et, en outre, se concentrer sur des domaines particulièrement
préoccupants, tels que définis par l'Etat en tant que superviseurs et garant des intérêts du
grand public.

Les facteurs de risque importants et les mesures prises pour gérer nécessitent que les
conseils d'administration devraient créer des comités spécialisés pour appuyer ces derniers

6
dans l'exercice de leurs fonctions, en particulier en matière de vérification, de gestion et
d’atténuation des risques. La mise en place de comités ad-hoc et des conseils spécialisés
pourrait contribuer à renforcer la compétence des conseils d'administration et à soutenir leur
responsabilité critique dans des domaines tels que la gestion des risques et l'audit.

Dés lors, il apparait que toute organisation fait face à de nombreux défis influencés par les
considérations internes et externes telles que:

• la politique gouvernementale et les changements de politique générale ;

• les réductions de financement, l’instabilité économique mondiale, les risques
monétaires et financiers, la durabilité et l'utilisation de ressources limitées;
• La mondialisation et la révolution numérique et l'interdépendance des entreprises ;
• les nouveaux choix et pressions pour le personnel, l’augmentation de la mobilité et
les attentes en matière de services et de produits, une concurrence de plus en plus
féroce pour le financement de la recherche et pour attirer le personnel le plus qualifié;
• L'augmentation des coûts d'équipement,
• Les pressions exercées par les agences de notation et de classement international;
• les contraintes de la disponibilité des d'infrastructures sur les services existants et
leur impact sur les nouvelles initiatives;
• les impacts environnementaux découlant des pressions croissantes sur
l'environnement naturel et la nécessité de gérer l’environnement pour assurer la
durabilité et la survie à long terme;
• Les menaces des catastrophes naturelles et menaces sanitaires et sécuritaires;
• La demande croissante en matière de diligence, de transparence et de
responsabilité;
• La pression des réglementations gouvernementales, des surveillances et des
vérifications régulières de la part d'organismes externes.

En outre, les organismes de financement internationaux et autres bailleurs de fonds

Étatiques sont de plus en plus nombreux à rechercher une preuve de l’existence d'un
système de gestion des risques fiable et cohérent dans le cadre de leurs exigences
préalables au titre des accords de financement. Sans un système viable de garantie des
risques, ces institutions de financement estiment qu’elles risquent de mettre en danger à la
fois leurs fonds et leurs relations d’affaires, foncièrement non philanthropiques.

Dans cet environnement particulier, il existe certains risques spécifiques qui imposent des
« obligations de gouvernance » où des processus ont été (ou doivent être) mis en place pour
s'assurer qu'il existe approche cohérente pour contrôler ces risques, dont :

• Les risques financiers

• Les risques de fraude
• Les risques juridiques et de conformité
• Les risques d’éthique et intégrité
• Les risques liés à la santé et à la sécurité environnementale.

7
Et pour que la gestion de ces risques puisse faire partie des pratiques quotidiennes, chaque
institution, partenaire et personne impliquée doit reconnaître et accepter le rôle qu'elle joue
dans l'identification et la gestion des risques en son sein pour le bien de tous.

D’où, un cadre de gestion des risques devant intégrer efficacement le processus de gestion
des risques dans une approche de gouvernance globale comprenant : la stratégie et la
planification, la gestion des ressources, les processus de reporting, les politiques internes,
les valeurs et la culture.

8
 Partie I :

Les entreprises publiques

face à la tourmente

9
1. La crise financière et impact sur la gouvernance

L’impact de la crise financière de 2008 et le marasme qui a suivi jusqu’à ce jour, a révélé que
les pratiques de surveillance et de gestion des risques dans les entreprises publiques sont
extrêmement faibles et ce, même dans des entreprises publiques hautement sophistiquées.
Dans de nombreux cas, les risques n'ont pas été gérés à l'échelle des entreprises publiques
et ces dernières n'ont pas ajusté à leurs stratégies conséquemment, car les gestionnaires
des risques ont souvent été écartés des processus de direction et n’ont pas été considérés
comme une partie essentielle de la mise en œuvre de la stratégie de l'entreprise. En outre,
les départements et sous-comités internes se trouvaient dans un nombre important de cas
dans l’ignorance totale des risques auxquels l'entreprise était confrontée.

Depuis le début de la crise financière, diverses enquêtes internationales ont révélé que les
entreprises publiques qui développent leurs pratiques de gestion des risques et de
surveillance, sont certes toujours confrontées à des défis, mais arrivent à mieux définir les
risques intrinsèques à développer les réponses à ces risques et leur permettent de les
aborder sur la base des cinq dimensions clés (stratégie, personnes, détails, tâches et
conducteurs) et ce; tout en tenant compte des préoccupations des partenaires et en abordant
toutes ces questions du point de vue de l'entreprise dans sa globalité. Ces mêmes défis sont
confrontés à la fois par des entreprises des secteurs financiers et non financièrs.

En effet, les risques auxquels les entreprises publiques sont confrontées sont à la fois
financiers et non financiers. Dans le contexte des institutions publiques, l'accent est
naturellement plus mis sur les risques financiers, tels que les risques de crédit, de liquidité ou
de marché, que sur les risques opérationnels.

La gestion efficace des risques ne consiste pas à éliminer la prise de risque, qui est en effet
une force motrice fondamentale dans les entreprises et un élément fondateur de l'esprit
d'entreprise. Toutefois, la nécessité de renforcer les pratiques de gestion des risques a été
l'une des principales leçons de la crise financière, tant pour les entreprises financières que
non financières. Bien que cela soit bien reconnu, il existe peu de preuves que les sociétés
cotées ont effectivement accordé beaucoup plus d'attention à la gestion des risques au cours
des dernières années. Par exemple, dans un sondage mené en 2011 par McKinsey 3, 44%
des répondants ont déclaré que leurs conseils d’administration ont simplement examiné et
approuvé les stratégies proposées par la direction. Le même sondage a révélé que
seulement 14% du temps consacré au conseil d'administration était consacré à la gestion
des risques commerciaux. La moitié des administrateurs ont déclaré que l'information qu'ils

3McKinsey&Company (2011), Governance since the Economic Crisis, www.mckinseyquarterly.com/

Governance_since_the_economic_crisis_McKinsey_Global_Survey_results_2814.

10
recevaient était trop courte ou incomplète et que seuls 14% des répondants avaient une
compréhension complète des risques auxquels leur entreprise était confrontée.

Dans le cas des institutions publiques -non financières-, les mêmes risques seront également
présents, mais pas toujours dans la même proportion que ceux des institutions financières.
D'autres risques, tels que les risques liés aux technologies de l'information et à
l'externalisation, sont susceptibles de concerner les institutions non financières et, dans
certains cas, les risques environnementaux, de sécurité et de santé pour les entreprises non
financières sont particulièrement préoccupantes. Les règles et pratiques de gouvernance des
risques appropriées pour les institutions financières ne peuvent donc pas être directement
applicables aux institutions non financières. Mais, des leçons et des canevas génériques
peuvent être tirées à titre d’archétypes à partir des faiblesses de la gestion des risques dans
le secteur financier.

Depuis le début de la crise financière, de nombreux rapports ont porté sur la gouvernance
des risques dans les institutions financières, y compris les principaux rapports du Comité de
Bâle sur le contrôle bancaire, le Groupe des Trente, l'Institut des finances internationales et
d'autres. Le rapport le plus récent a été l'examen du Financial Stability Board 4 sur la
gouvernance des risques, qui a conclu qu‘un travail relativement faible a été accompli sur la
gouvernance des risques dans le secteur non financier, notamment en ce qui concerne les
leçons à tirer des échecs de la gestion des risques de manière plus générale.

C’est quoi un risque?

La gestion des risques est un processus dans lequel les organisations

identifient, évaluent et traitent les risques susceptibles d'affecter leurs
opérations managériales.

Un risque peut être défini comme un événement ou une circonstance qui

a un effet négatif sur l’organisation, (par exemple, le risque d'avoir de
l'équipement ou de l'argent volé en raison de mauvaises procédures de
sécurité). Les types de risque varient d'une entreprise à l'autre, mais
toute organisation devra décider de la quantité de risque qu’elle est prête
à prendre. Certains risques pris peuvent être essentiels à sa réussite;
cependant, exposée aux mauvais types de risque peut lui être nuisible.

4Source: Financial Stability Board (FSB) (2013), Thematic Review on Risk Governance,
www.financialstabilitboard.org/publications/r_130212.pdf.

11
Les sections suivantes mettent en évidence les principaux résultats des réponses au
questionnaire, notamment dans les domaines suivants:

1) normes et codes de gestion des risques;

2) l'appétence pour le risque et les incitations;
3) les principaux agents des risques;
4) exigences de qualification des membres du conseil d'administration;
5) les comités du conseil d'administration.

a) Normes et codes de gestion des risques :

Dans de nombreux pays, les problèmes de gestion des risques sont traités (d'une manière ou
d'une autre) dans les « codes nationaux de gouvernement d'entreprise », comme c'est le cas
avec les règles de la société cotée à la Bourse de New York (NYSE), le code combiné du
Royaume-Uni et le code AFEP-MEDEF français.

Au niveau international, les instituts professionnels et les associations offrent également leurs
orientations et directives en la matiére. En 1992, le Comité des organisations de parrainage
de la Commission Treadway (COSO) 5 a publié un guide-cadre intégré sur le contrôle interne
et en 2004 un guide-cadre intégré de gestion des risques (ERM). Un rapport préparé pour
l'OCDE en 2010 a conclu, cependant : « qu’aucune des directives existantes sur la gestion
des risques n'est adéquate à cette fin. La plupart des conseils sont d’un haut niveau, sont
axés sur les processus et donnent peu de conseils sur la façon de créer un cadre efficace de
gestion et d'assurance des risques. ».

En 2009, l'Organisation internationale de normalisation a publié sa norme pour la mise en

œuvre des principes de gestion des risques, ISO 31000, qui est de facto devenu la norme
mondiale. Le but de l'ISO 31000 est de fournir des principes et des directives génériques sur
la gestion des risques qui pourraient atteindre la convergence à partir d'une variété de
normes, de méthodologies et de procédures qui diffèrent selon les industries, les matières et
les pays. Plus récemment, COSO a publié des directives sur les évaluations des risques et
sur l'appétence pour le risque (2012), qui fournit des orientations plus spécifiques sur certains
aspects de la gestion des risques.

L’étude de l’OCDE6 a mis également en évidence l'inclusion de références à la gestion des

risques dans les codes de gouvernance d'entreprise (qui, dans de nombreux pays,
fonctionnent sous une forme conforme ou explicite). En fonction de la compétence requise,
les références à la gestion des risques sont également contenues dans les règles ou les
réglementations nationales (Inde, Royaume-Uni et États-Unis), les lois sur les sociétés
(Autriche, Allemagne, Turquie et Japon) ou les lois boursières (Mexique), généralement en

5Committee of Sponsoring Organisations of the Treadway Commission (COSO) (2004), Integrated Framework,
www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf.
6
Le rapport de l’OCDE de 2014 OECD (2014) « Risk Management and Corporate Governance »

12
relation avec les fonctions de vérification ou de contrôle interne. Les directives
supplémentaires qui sont parfois fournies, telles que le «Turnbull Guidance» du Royaume-
Uni, se réfèrent principalement à la vérification et aux contrôles internes. Une exception est
faite pour le Conseil de gouvernement d'entreprise de Singapour qui, en mai 2012, a publié
des orientations spécifiques sur la gouvernance de la gestion des risques («Guide de
gouvernance des risques pour les commissions répertoriées»).

Les catégories de risques les plus courantes sont:

 Les risques stratégiques : concerne les décisions stratégiques concernant les objectifs et
les projets.
 Les risques de conformité : concerne la nécessité de respecter les lois, les règlements, les
normes et les codes de pratique
 Les risques financiers : concerne les opérations financières, comptables, , financements
et participations.
 Les risques opérationnels : concerne les procédures opérationnelles et administratives
 Les risques environnementaux : concernent les événements externes ne pouvant être
contrôlés, (conditions météorologiques, catastrophes naturelles ou désastres
économiques)
 Les risques de réputation : concernent l’image ou la perception développée par les
partenaires.
D'autres comprennent les domaines de la santé et la sécurité, le projet, l'équipement, la sécurité,
la technologie, la gestion des parties prenantes et la prestation des services.

b) Appétence et incitations au risque

Attendu qu'il est généralement admis que les conseils d'administration devraient être
responsables de l'appétence ou de la tolérance au risque de leur entreprise, il existe toutefois
peu de conseils sur la façon dont les conseils peuvent définir des cibles ou domaines de
risque, compte tenu des différents types de risques auxquels les sociétés modernes peuvent
être soumises. L'agrégation de tous les risques en un seul apparaît impossible, et même les
modèles existants pour l'agrégation des risques financiers (plus particulièrement) ont été en
grande partie discrédités au cours de la crise financière. Par conséquent, la seule option
réaliste pour les conseils d’administration semble être de définir l'appétence pour le risque ou
la tolérance à l'égard de chaque risque individuel identifié. Dans le même temps, les conseils
d’administration doivent être conscients de l'interaction possible de différents risques,
notamment leurs possibilités de se renforcer mutuellement.

13
Une conclusion importante d’un rapport de 2010 sur «La gouvernance d'entreprise et la crise
financière »7 était que la responsabilité du conseil d’administration pour définir la stratégie et
l'appétence pour le risque qui doit être étendue à tout l'établissement que la supervision des
systèmes de gestion des risques soit bâtie et calibrée à l'échelle de l'entreprise.

Dans le cadre du sondage de l’OCDE 8 précité, seule l'Allemagne et l'Inde ont mis en
évidence l’existence des dispositions spéciales pour les risques majeurs menaçant
l'existence de l'entreprise. La loi allemande sur les sociétés d'actions exige que le conseil
d'administration et mette en place des mesures appropriées, en particulier concernant la
mise en place d'un système de surveillance, afin de s'assurer que tout développement
menaçant la continuité de l'entreprise puisse être identifié et communiqué au conseil
d'administration dès son constat. La loi sur les entreprises de l'Inde exige, dans le cadre
d'une déclaration sur la gestion des risques et l'identification des risques susceptibles de
menacer l'existence de l'entreprise, bien que l'efficacité de ces règles ne soit pas claire.
L'absence de telles règles dans la plupart des pays suggère que l'accent a souvent été axé
sur les risques les plus susceptibles de se concrétiser, plutôt que sur ceux ayant le plus
grand impact potentiel, même s'il est jugé peu susceptible de se matérialiser.

Parmi les pays également concernés par l’étude, l'Argentine et Singapour se sont référés à
des documents d'orientation qui suggèrent la nomination d'un gestionnaire principal des
risques dans certains cas lorsque les sociétés (habituellement les plus grandes ou celles du
secteur financier) ont décidé de nommer un responsable des risques, et la tendance fut que
la fonction de gestion des risques soit distincte des centres de décision, principalement dans
le secteur financier, et relève directement du conseil d’administration. La mesure dans
laquelle où ces arrangements sont jugés suffisants, dépendait de nombreux facteurs, dont
principalement la culture de risque globale de l'entreprise.

Dans le secteur financier, les managers ont, dans de nombreux cas, insisté pour que les
fonctions principales de gestion de risques soient améliorées, plus autonomes, mieux dotées
et impliquées dans la prise de décision. Toutefois, de telles pratiques de gouvernance des
risques, pourtant solides, pour les institutions financières ne seront ni applicables ni
nécessaires pour la majorité des autres types d'entreprises publiques, exception faite pour
certaines règles qui peuvent avoir du sens pour les grandes entreprises et/ou celles qui
opérant dans des secteurs à haut risque.

7 McNulty, T., C. Florackis and P. Ormrod (2013), “Boards of Directors and Financial Risk during the CreditCrisis”, Corporate Governance: An
International Review, http://onlinelibrary.wiley.com/doi/10.1111/corg.12007/pdf.
8 Corporate Governance. Risk Management and Corporate Governance. OECD (2014), Risk Management and Corporate Governance, Corporate

Governance, OECD Publishing. http://dx.doi.org/10.1787/9789264208636-en .ISBN 978-92-64-20862-9 (print). ISBN 978-92-64-20863-6 (PDF)

14
 Préparation d'un plan de gestion des risques :
Le plan de gestion des risques devrait détailler les stratégies pour faire face aux risques propres
à une organisation. Il est important d'allouer du temps et des ressources à la préparation du
plan pour réduire la probabilité d'un incident affectant l’entreprise.
Un plan de gestion des risques peut être élaboré, en plusieurs étapes successives, comme suit:
 Identification des risques,
 Évaluation des risques,
 Traitement des risques,
 Surveillance et contrôle des risques.

c) Comités du conseil d'administration

En règle générale, la fonction de gestion des risques au sein du conseil d’administration se

trouve logé au sein du comité de vérification, ce qui est l’état de la pratique courante et/ou les
exigences législatives. La directive sur l'audit légal de l'UE exige que les comités de
vérification surveillent l'efficacité du contrôle interne de la société, de l'audit interne et le
système des risques de gestion.

Des règles similaires existent dans le monde entier. Ainsi, aux États-Unis par exemple, les
règles de la société cotée en bourse de New York (NYSE), qui stipule qu’au fur et à mesure
qu'elles rendent compte de leurs activités, les sociétés obligent les comités de vérification à
discuter des politiques en matière d'évaluation des risques et de gestion des risques. Le
FSB 9 considère comme une "bonne pratique de gouvernance des risques" le fait que les
institutions financières aient un comité de risque autonome, distinct du comité de vérification,
aient un président qui est un administrateur indépendant, évitant le «double chapeau» avec
le président du conseil ou tout autre comité.

Les règles de la Bourse de New York observent en outre que : «le rôle du chef de la direction
et de la haute direction est d'évaluer et de gérer l'exposition aux risques de la société cotée,
le comité de vérification doit discuter des lignes directrices et des politiques pour régir le
processus par lequel elle est traitée. Le comité de vérification devrait discuter des principales
expositions au risque financier de la société cotée et la gestion des étapes ayant permis de
surveiller et de contrôler ces expositions »10.

Le « comité de vérification » n'est pas tenu d'être le seul organe responsable de l'évaluation
et de la gestion des risques, mais, comme indiqué précédemment, le comité doit discuter de
lignes directrices et des politiques pour régir le processus d'évaluation et de gestion des
risques. Certes, beaucoup d'entreprises, et en particulier les entreprises financières, gèrent
et évaluent leurs risques par des mécanismes autres que celui de la mise en place d’un
«comité de vérification». Ces mêmes processus que ces entreprises ont mis en place

9Financial Stability Board.

10New York Stock Exchange (n.d.), Listed Company Manual (Section 303A.07) http://nysemanual.
nyse.com/LCMTools/PlatformViewer.asp?selectednode=chp_1_4_3_11&manual=%2Flcm%2Fsections%2Flc m-sections%2F.

15
devraient quand même être revus d'une manière générale par un comité de vérification
spécifique à cette fonction.

Dans la Suède, par exemple, il y a lieu d’observer que les « comités de vérification »
révisaient certes plus activement les systèmes internes de gestion des risques, mais avaient
peu d’engagement dans le suivi des plans actions établis. Le talon d’Achille de ce modèle est
que les comités se penchent sur le modèle établi de la gestion des risques de l'entreprise
juste à de simples fins de complément à l'information financière, de sorte que la gestion des
risques s'est séparée de la stratégie de l'entreprise et de sa mise en œuvre.

1. Identification des risques :

Pour effectuer un examen de l’organisation pour identifier les risques
potentiels, certaines techniques utilisées sont les suivantes :
 Évaluer chaque fonction et identifier tout ce qui pourrait avoir un
impact négatif sur la gestion.
 Examiner les incidents de sécurité ou l’historique des incidents
pour identifier les problèmes latents.
 Envisager des risques externes qui pourraient avoir un impact
nocifs à court et à long terme.
 Faire des séances de brainstorming et brainmapping en faisant
appel à toutes les parties prenantes.
 Utiliser la méthode « Et si if ? pour mettre au point des scenarios et
des simulations.

Une enquête de haut niveau de 2010 sur les incitations et la gestion des risques dans les
sociétés cotées dans les pays de l'OCDE et menée par « Manifest Information Services »11 a
révélé la faible incidence des « comités spécialisés » mis en place par les conseils
d’administration pour faire face aux risques de gestion. Contrairement aux aspects financiers,
la question de la gestion des risques est très peu considérée et peu de place lui est réservée
dans le droit des sociétés ou le code des meilleures pratiques.

Alors que certains pays (pour exemple, le Royaume-Uni) ont souligné une tendance
croissante à la création de comités de risque au niveau du conseil d’administration dans les
grandes entreprises publiques, le sondage de l’OCDE a révélé que peu de pays ont des
règles explicites ou des recommandations sur la mise en place de comités de risque en
dehors du secteur financier. Cependant, l'Inde et Singapour ont publié des recommandations
en faveur des comités de risque et le « Code de gouvernement d'entreprise » de l'Italie fait
référence à un «Comité de contrôle et de risque» et le « Code commercial de la Turquie »
exige que les entreprises créent un «Comité pour l'identification anticipée des risques». La
Pologne a notifié que certaines entreprises publiques ont l’obligation de constituer des

11Manifest information Services (2010), “Board Practices: Incentives and Managing Risks – United Kingdom, Sweden, Portugal, Brazil and
Japan”, Report commissioned by the OECD .

16
comités de risque et la Suède a révélé que les compagnies du secteur énergétique ont
tendance à avoir des comités de risque.

En règle générale, la responsabilité d'établir et de superviser le système de gestion des

risques à l'échelle de l'entreprise incombe habituellement au conseil d'administration dans
son ensemble. Cependant, dans certains cas, cette responsabilité est énoncée dans le droit
des sociétés et/ou dans les règles de gestion, sauf dans un petit nombre de pays où cela
n'est pas clairement indiqué. Ainsi, dans certains pays, y compris les États-Unis, cette
responsabilité incombe aux comités de vérification.

Les exigences concernant « la qualification » des membres du conseil d'administration

s'appliquent généralement uniquement aux institutions financières et dans de nombreux pays
également pour les membres des comités de vérification. La directive sur l'audit légal de l'UE
(2006/43/CE) par exemple, stipule que "une personne physique peut être autorisée à
effectuer un contrôle légal seulement après avoir obtenu l'entrée à l'université ou un niveau
équivalent, puis complété un cours d'enseignement théorique, suivi une formation pratique et
a passé un examen de la compétence professionnelle du niveau d'examen universitaire final
ou équivalent, organisé ou reconnu par l'État membre concerné ".

2. Évaluation des risques

L’évaluation de chaque risque identifié se fait en établissant:
 la vraisemblance (fréquence) de celui-ci ;
 la conséquence (impact) si cela se produit.
Le niveau de risque est calculé à l'aide de cette formule:
Niveau de risque = probabilité x conséquence
Pour déterminer la probabilité et la conséquence de chaque
risque, il est utile d'identifier comment chaque risque est
actuellement contrôlé. Les contrôles peuvent inclure:
 les révisions comptables ou réglementaires,
 les observations sur terrain,
 les prévisions stratégiques et financières,
 les contrôles administratifs,
 les contrôles techniques ou d'ingénierie.

2 Les pratiques de gestion des risques dans les entreprises publiques :

Lors de l'évaluation des comportements à risque lors des récentes crises financières, deux
types d'institutions se sont distinguées:

17
 i) les institutions financières publiques considérées comme des entreprises
publiques; et
ii) les entreprises détenues par les institutions gouvernemental infranationales
considérés comme des entreprises de capitaux.

Certains des exemples les plus problématiques d'échec dans la gestion des risques ont eu
lieu dans des institutions bancaires et financières appartenant à des organes
gouvernementaux. Beaucoup de ces institutions financières ont dans les faits subis des
pertes nettement plus importantes que les entités privées comparables. Parmi les raisons
possibles avancées peuvent être que : leur gouvernance des risques était de moindre
qualité, que des dernières années sont que les méthodes et approches des conseils
d'administration peuvent avoir été de moindre qualité et pertinence à celles du secteur privé
ou bien, que l'État n'avait pas exercé correctement sa fonction de contrôle souverain.

a) Les spécificités des entreprises publiques par rapport aux sociétés cotées

Presque tous les pays ont répondu qu'il n'y avait pas de différences importantes entre les
pratiques de gouvernance des risques au niveau des entreprises publiques non cotées par
rapport aux sociétés cotées. En fait que, dans de nombreux cas, cela n'est pas une exigence
découlant des cadres juridiques ou réglementaires, mais que c'est une question déterminée
par la taille de l'entreprise. En effet, si certaines entreprises publiques sont de tailles très
importantes, la grande majorité des autres sont petites et ont des objectifs plus spécifiques,
dés lors, les gouvernements ne souhaitent pas exiger que toutes les entreprises publiques
fonctionnent systématiquement selon les normes prédéfinies, mais ils s'attendront en retour à
ce que leurs entreprises publiques particulièrement importantes ou à vocation commerciale
puissent le faire. Aussi, est-il attendu que les institutions financières puissent normalement -
quelle que soit leur taille - fonctionner selon des pratiques de gestion des risques similaires à
celles des entités similaires du secteur privé.

Pour déterminer si les entreprises publiques sont gérées conformément aux normes
spécifiques recommandées pour les sociétés cotées, les répondants ont identifié quatre
catégories principales :

- Dans un groupe de pays, il est noté que parfois il n'y a pas de cadre préexistant pour
s'assurer que les entreprises publiques respectent certaines normes de gouvernance
des risques et qu’aucune disposition légale ou réglementaire ne l’exige (Autriche,
République tchèque, Allemagne, Hong Kong, Chine) Corée, Mexique, Nouvelle-
Zélande, Pologne, Espagne et Turquie). Cependant, plusieurs d'entre eux ont noté
qu'en pratique, les grandes entreprises stratégiques non cotées ont des pratiques de
gestion des risques qui diffèrent peu de celles des sociétés cotées. À l'extrême
opposé, la réponse coréenne a indiqué que «il existe sûrement des différences
importantes entre les pratiques de gouvernance des risques dans les entreprises
publiques non cotées et les sociétés cotées», arguant que la gestion des risques
pourrait également être forte dans les entreprises publiques.

18
 - Un deuxième groupe de pays exige que les entreprises publiques respectent les
mêmes normes de gouvernance de risque que les sociétés cotées (Finlande, Italie et
Suède).
- Un troisième groupe de pays (Argentine, Chili, Inde, Israël, Japon, Lituanie, Norvège,
Portugal et Suisse) établit des normes spécifiques pour les entreprises publiques,
mais l'équivalence ou les relations mutuelles entre ces normes et celles des sociétés
cotées peuvent difficilement être évaluées. Un seul pays (Pays-Bas) rend facultatif
pour les entreprises publiques de se conformer aux codes de gouvernance des
sociétés cotées.
- Enfin, quelques pays (par exemple, l'Argentine) ont observé que la gestion des
risques n'est généralement pas bien développée dans les entreprises publiques.
Cela peut être dû à la façon dont les entreprises publiques sont perçues et
positionnées dans le secteur public.

3. Gestion des risques

La gestion des risques implique l'élaboration d'options rentables pour y faire face, y
compris:
 En l’évitant,
 En le réduisant,
 En le transférant,
 En l’acceptant.

1) Éviter le risque : passe par la modification d’un processus d'affaires, d’un

équipements ou matériel pour obtenir un résultat similaire, sans risque identifié.
2) Réduire le risque : si un risque ne peut être évité, réduire ses probabilités et ses
conséquences. Cela pourrait inclure la formation du personnel, la documentation
des procédures et des politiques, le respect de la législation, le maintien de
l'équipement, la mise en pratique des procédures d'urgence, la tenue des dossiers
sécurisés et la planification d'urgence.
3) Transférer le risque :- transférer un certain ou tout le risque à une autre partie par
contrat, assurance, partenariats ou joint-ventures.
4) Acceptez le risque : c'est peut-être la seule option en cas d’opportunité, d gain
futur ou d’impossibilité d’y faire face.

Par ailleurs, il est noté que plus les entreprises publiques d'un pays sont corporativement
intégrées, elles auront tendance à adopter les « meilleures pratiques » du secteur privé en
matière de gestion des risques.

b) L’appétence et incitations au risque :

En général, la responsabilité de la direction dans les entreprises publiques est légalement

limitée et encadrée, cela n'inciterait pas les gestionnaires à prendre des risques excessifs.

19
En ce qui concerne les mécanismes visant à limiter la prise de risque, ils se divisent en deux
grandes catégories, à savoir:

i) ceux qui affectent l'environnement financier et opérationnel général des

entreprises publiques; et
ii) des lignes directrices et des instructions concernant la gestion quotidienne des
entreprises.

Dans la première catégorie, les approches rapportées par divers pays dépendent à leur tour
du degré de corporatisation des entreprises publiques et de la proximité entre les entreprises
publiques et les secteurs des administrations publiques du secteur privé

En général, quatre approches globales peuvent être discernées:

● Le contrôle direct : Les gouvernements exercent toujours un contrôle direct sur

les transactions majeures par les entreprises publiques, ce qui peut bien sûr
servir d'instrument de contrôle ultime. Dans de nombreux pays, cela peut se
limiter à la passation des marchés.
● L’approbation des responsabilités : La manière la plus répandue de contrôler le
risque (financier) est le fait que les entreprises publiques dans la plupart des
pays sont soumises à une procédure d'approbation préalable - généralement
impliquant le ministère des Finances -. Parmi les pays qui ont indiqué ceci
comme un outil de limitation des risques, il y avait le Chili, le Japon, le Mexique
et les Pays-Bas.
● L’extension de garanties : La plupart des entreprises publiques opèrent sans
les garanties gouvernementales, mais ceux qui sont chargés de missions de
service public, sur la base de stratégies publiques, peuvent toujours être
explicitement soutenus par l'État. Certains répondants (par exemple, le Chili,
l'Allemagne, Israël et la Nouvelle-Zélande) considèrent la limitation explicite de
l'étendue de ces garanties comme un autre outil de contrôle des risques.
● Les réglementations ou législations sectorielles : Dans certains pays, la portée
des activités auxquelles une entreprise d'État donnée peut s'engager est stipulée
dans les règles légales ou la réglementation. La position du Japon et du Mexique
identifie (pour certains secteurs) la limitation réglementaire comme un outil
efficient dans la gestion des risques. Dans le même temps, il faut reconnaître
que, dans de nombreux pays, la prise de risque des entreprises publiques est
considérée principalement comme une mission centrale de surveillance afférente
au gouvernement (souvent via le ministère des finances).

Parallèlement, dans la plupart des cas, cette surveillance consiste dans une large mesure
dans un rapport trimestriel ou semi-annuel sur les résultats financiers qui est, dans certains
cas, complété par la présentation d’évaluations des risques. Comme la crise financière l'a
démontré, ces rapports ex-post peuvent souvent être trop tard pour alerter les conseils sur
une prise de risque excessive.

20
La même réserve s'applique concernant la dépendance répandue envers les organismes
d'audit de l'État pour surveiller le risque. La Nouvelle-Zélande, considère que « l'État, comme
tout autre actionnaire, de temps à autre, indique sa tolérance de risque aux conseils qu'il
nomme». Lorsque des lignes directrices officielles existent, elles peuvent être soit un
instrument autonome, soit incorporées à des codes de gouvernance généraux pour le
secteur des entreprises publiques. Dans de nombreux cas, ils couvrent à la fois les attentes
en matière de gestion des risques pour les entreprises et la définition des responsabilités
spécifiques des conseils d'administration.

Parmi les autres exemples, on peut citer la Lituanie, où les ministères des finances et de
l'économie ont publié des lignes directrices sur la gestion des risques financiers en 2012,
détaillant les principes concernant : i) la gestion des fonds détenus auprès des banques
commerciales; ii) stratégies d'investissement pour les actifs financiers des entreprises
publiques; iii) opérations sur les recettes dérivés. L'Inde rapporte que les entreprises
publiques sont soumises à un suivi plus strict que les sociétés cotées en matière de prise de
risque, notamment en raison de la surveillance par une Commission centrale de vigilance.

c) Les responsabilités au niveau du conseil d'administration

Conformément aux principes de l'OCDE relatives aux lignes directrices des entreprises
publiques, presque tous les pays identifient la gestion des risques principalement comme
étant une responsabilité incontournable des conseils d'administration des entreprises
publiques.

Les approches nationales relèvent trois catégories de pratiques au niveau des entreprises
publiques :

i) Celles qui mandatent ou encouragent la création de comités de risque;

ii) Celles qui confient la gestion des risques aux comités de vérification du conseil
d'administration; ou
iii) Celles qui accordent une responsabilité importante au conseil pour gérer les
risques (selon la législation nationale, essentiellement une application de
l'obligation de diligence).

Les pratiques varient non seulement entre les pays mais également entre les catégories
d'entreprises, notant que les plus grandes entreprises publiques sont les plus susceptibles de
ne pas avoir des comités de conseils spécialisés.

Les lignes directrices des entreprises publiques recommandent que "si nécessaire, les
conseils d’administration devraient mettre en place des comités spécialisés pour soutenir
l’établissement en entier dans l'exercice de ses fonctions managériales, en particulier en ce
qui concerne la gestion des risques 12 . Cela ne signifie évidemment pas que toutes les

12OECD Principles for Public Governance of Public-Private Partnerships (www.oecd.org/governance/oecd.

principlesforpublicgovernanceofpublic-privatepartnerships.htm).

21
entreprises d'État devraient disposer d’un comité de gestion des risques, mais également
que, du fait que le conseil dans son ensemble resterait responsable de la surveillance du
système de gestion des risques, il pourrait éventuellement rechercher, le cas échéant, le
soutien d'un comité ad-hoc chargé de la gestion lié à leurs problèmes des risques.

Les pays où un nombre non trivial de conseils d'administration des entreprises publiques ont
établi des comités de gestion des risques ad-hoc comprennent le Chili, l'Allemagne, et la
Corée où les lignes directrices du gouvernement recommandent vivement la création d'un
comité au niveau du conseil d’administration, exclusivement désigné responsable de la
gestion des risques.

4. Surveiller et examiner
Vous devriez surveiller et examiner régulièrement votre plan de gestion des
risques et vous assurer que les mesures de contrôle et la couverture d'assurance
sont adéquates. Discutez de votre plan de gestion des risques avec votre
assureur pour vérifier votre couverture.
Élaborer un plan de continuité des activités pour faire face à des événements
inattendus
Assurez-vous que votre entreprise a une assurance adéquate.

Parmi les pays objet de l’étude, certains chargent légalement et directement le conseil
d'administration pour gérer les risques (y compris, entre autres, l'Inde, la Finlande et le
Japon).

En Inde, la section 7.3 des lignes directrices, qui sont établies sous les auspices du
Département des entreprises publiques (DPE) 13 rendu obligatoire pour les entreprises
publiques indiennes, annonce les stipulations suivantes : « La société doit établir des
procédures pour informer les membres du conseil d'administration sur les procédures
d'évaluation et de minimisation des risques. Ces procédures doivent être périodiquement
revues afin de s'assurer que la direction exécutive contrôle les risques par un cadre
correctement défini. La procédure sera également prévue pour effectuer sa mission de
gestion interne des risques ». Les conseils d’administration devraient mettre en œuvre des
politiques et des procédures qui incluent :

a) les responsabilités du personnel en matière de prévention et d'identification des

fraudes;
b) la responsabilité de l'enquête sur la fraude une fois qu'une fraude a été identifiée;
c) le processus de déclaration des questions liées à la fraude à la gestion;
d) les processus de déclaration et d'enregistrement à suivre pour consigner les
allégations de fraude;

13
Source: Department of Public Enterprises (DPE) (2010), Guidelines on Corporate Governance for Central Public Sector. Enterprises, New
Delhi, India. dpe.nic.in/sites/upload_files/dpe/files/gcgcpse10.pdf.

22
 e) les exigences de la formation à effectuer sur la prévention et l'identification des
fraudes

Enfin, une autre question préoccupante découle du fait que dans la plupart des pays, les
réponses au questionnaire ne font aucune mention des mécanismes garantissant si le
système de gestion des risques est effectivement adapté aux risques auxquels sont
confrontées les entreprises d'État. Outre les exigences générales, les gouvernements ne
définissent généralement pas un système de gestion des risques spécifiques, de sorte que
chaque entreprise publique soit tenue de la définir sous sa propre responsabilité. De plus, il
est constaté que dans les pays ayant des systèmes fédéraux, le gouvernement fédéral a plus
de difficultés pour collecter des informations sur la prise de risque par les entreprises
publiques appartenant à des niveaux de gouvernement infranationaux.

d) Désignation des Responsables du risque

La question de savoir si, au niveau de la notion de souveraineté de l’Etat, il existerait des

mécanismes spécifiques pour surveiller l'exposition au risque dans les entreprises publiques
et évaluer les passifs éventuels pour l'État, n'a été résolue que par quelques pays.

Apparemment, la plupart des fonctions de souverainetés étatiques considèrent que le suivi

continu de leur portefeuille d’entreprises publiques et leur benchmarking par rapport aux
critères de performances usuelles dans les autres secteurs d’activité économiques,
fournissent suffisamment de sécurité pour la gestion des risques ; en particulier pour les
institutions financières qui sont d'origine publique et considérées comme «trop importantes
pour échouer (Too Big to fail)

Un autre facteur influent peut être que, étant donné qu'une proportion croissante
d'entreprises publiques sont en fait des sociétés à responsabilité limitée où l'État ne supporte
pas de passif formel au-delà de sa participation initiale, il y a peu de volonté pour faire face
aux passifs de risques éventuels découlant de la gestion des entreprises publiques.

Une exception à cette observation générale est fournie par la Corée, où un vaste système
public de divulgation de l'état actuel du bilan du secteur public consolidé est opérationnel. En
outre, en raison de la fluidité de la situation d'un grand nombre d'institutions publiques en
Corée (qui peuvent ou non être considérés comme des entreprises publiques en fonction de
la taille de leurs bénéfices commerciaux), la situation de la définition des responsabilités est
surveillée de près.

Pour sa part, la Suisse considère ses entreprises publiques comme étant une composante
cadre du système général de gestion des risques du gouvernement. Dans le cas suédois, le
fardeau est mis moins sur le contrôle des bilans et plus sur le risque de fluctuations
budgétaires et le non-respect des engagements publics. Enfin, les lois de la Nouvelle-
Zélande obligent le gouvernement à préciser les risques budgétaires découlant de la gestion
des entreprises publiques dans leurs dispositions budgétaires annuelles. Ces catégories de

23
risques incluent des décisions « potentiellement importantes » ou des événements
«raisonnablement possibles» peuvent affecter de façon importante les recettes fiscales, les
dépenses ou le bilan général.

24
Le cadre de gestion des risques de l'Organisation est composé, et est informé par les
éléments suivants :
• La Politique de risque: document de base du cadre qui définit formellement les principes
de stratégie, les procédures et les responsabilités individuelles et institutionnelles, les
exigences et les structures imposées par les autorités et organismes gouvernementaux et
réglementaires, les organismes de financement, les assureurs, les normes professionnelles,
les organismes d'accréditation et les normes d'éthique en matière de gestion des risques.
• Le Manuel de gestion des risques: conçu pour être adopté et consulté conjointement avec
la stratégie des risques et pour guider, diriger et aider chacun à mieux comprendre les
principes de la gestion des risques et à y adopter processus cohérents.
• Le Registre des risques (RR): référentiel principal pour les risques à travers l'organisation
et ses sous-entités. Le registre des risques permet aux différents départements de profiler
les risques, de surveiller les contrôles et de prioriser actions de traitement. Le registre des
risques facilite également le reporting des risques et leur approbation.
• Le «centre de risque» de l'organisation : (c.-à-d. Le département chargé de la gestion des
risques) responsable de la coordination et de la facilitation du programme de gestion des
risques de l'organisation, y compris le suivi régulier et l’examen des risques et la rédaction
des rapports officiels dans le cadre de la gouvernance.
• Le Comité de gestion des risques de l'organisation (Risk Management Comity):
responsable de la coordination générale du risque gestion au sein de l'Organisation.
• Le Suivi et l’examen régulier: sur une base régulière et nécessaire, pour permettre à
l'Organisation de confirmer que la gestion des risques est pertinente, efficace, soutenue et
facilite la réalisation de ses objectifs.
• Les Rapports formels: l'organisation doit faire son rapport à divers organismes internes et
externes; et pour ce faire, l'organisation doit être informée et gérer activement les risques
de façon régulière et en temps opportun. Les rapports formels sur les risques officiels sont
élaborés sur la base du registre des risques par l'organisation elle-même ou par un autre
organisme approuvé pour prendre en charge cette mission.

25
 Partie 2 :

Les tribulations des organismes

sans but lucratif

26
La faillite en 2015 de FEGS (Federation Employment & Guidance Service) 14 , la plus
importante organisation à but non lucratif à New York, a secoué la confiance dans les
organismes sans but lucratif de la ville. À la suite de la tourmente de la Cooper Union15 et
l'effondrement de l'Opéra de New York City, de nombreux syndicats et gestionnaires se sont
posés de nouvelles questions sur l’organisation et la gestion des institutions qu’ils dirigent.
Les questions ont foisonné dans la presse et des remises en questions sérieuses ont vu le
jour.

Le constat en découlant est que malheureusement très peu d'organisations à but non lucratif
ont mis en place des processus pour résoudre ces problèmes de gestion des risques
financiers. Cependant, les nouvelles tendances des intellectuels et nouveaux managers
suggèrent que cela peut et doit changer. Plusieurs enseignements se sont dégagés :

•• Les organismes à but non lucratif sont fragiles et certains sont ont insolvables; certains
n'ont pratiquement aucune réserve de trésorerie (c.-à-d. marge d'erreur); d’autres sont
carrément déficitaires.

•• Les organismes sans but lucratif en difficulté ont des moyens très restreints pour récupérer
d’un phase de crise, de sorte que leurs organes comptables doivent faire tout ce qu'ils
peuvent pour réduire le risque que leur organisation rencontre et éviter même sa survenance.

•• Certaines pratiques telles que la planification de scénarios, l'analyse comparative et l'auto-

évaluation, et la définition explicite les objectifs de stabilité financière ne sont pas adoptées
au niveau de la gestion des organisations sans but lucratif, alors même qu’elles peuvent
améliorer la gestion des risques. Quelques organisations ont certes intégrées ces méthodes
modernes de management, mais la plupart ne le font pas.

Des recommandations provenant d'une étude de SeaChange Capital Partners et Oliver

Wyman sur la façon d'adapter pratiques de risque du secteur privé à but non lucratif 16, prône
que les organisations sans but lucratif peuvent connaitre des améliorations spectaculaires si
un effort parallèle dans la gestion des risques est adopté.

Cette étude a été motivée par des échecs récents des organismes à but non lucratif
américains et que les organisations à but non lucratif sont préoccupés pour faire face à un
nombre croissant de risques (y compris la hausse des taux d'intérêt, les paiements fondés
sur la valeur des soins de santé et à l'augmentation des coûts immobiliers), car les
organisations qui n’adoptent pas une gestion optimale des risques se sont retrouvés dans
des positions de plus en plus précaires.

14 http://www.fegs.org/
15 https://en.wikipedia.org/wiki/Cooper_Union_financial_crisis_and_tuition_protests
16 http://seachangecap.org/wp-content/uploads/2016/03/SeaChange-Oliver-Wyman-Risk-Report.pdf

27
1) Le contexte des défis structurels

Les organes de comptabilité et de surveillance comptable ne parviennent souvent pas à

apprécier les conditions difficiles dans lesquelles fonctionnent les organismes sans but
lucratif. Ces conditions peuvent être beaucoup plus difficiles que celles rencontrées
usuellement dans les entreprises du secteur privé. Elles devront ainsi :

•• S'attaquer en priorité aux problèmes les plus difficiles : les organismes sans but lucratif
abordent des problèmes économiquement insolubles et politiquement peu attrayants. Cela
est vrai même si les organismes de bienfaisance sont apparus bien avant les programmes
sociaux du gouvernement et ont contribué à façonner l'agenda public.

•• Financement au moindre coût : la plupart des financements à but non lucratif, en particulier
dans le domaine de la santé et des services humanitaires, se présentent sous la forme de
contrats gouvernementaux ou de subventions restreintes qui garantissent pratiquement la
survenance de situations de déficits. Les contrats gouvernementaux créent indubitablement
des besoins constants en fonds de roulement parce que les déboursements arrivent après la
fin des services prodigués et l’engagement des dépenses, étant rappelés que ces
déboursements de fonds connaissent également des retards imprévisibles.

•• Les paris à sens unique : les organismes à but non lucratif font face à des dettes qui
peuvent les couler financièrement ; ceux-ci comprennent des surdépenses non autorisées,
les revalorisations des couts après services-faits éventuelles.

•• Philanthropie à somme zéro : l'approvisionnement total de biens et services à titre de

d’actions de philanthropie est en grande partie une composante de leur quotidien. Les
grandes organisations qui interviennent dans des zones difficiles seront toujours largement
tributaires du financement gouvernemental, eu égard à leur missions philanthropiques.

•• Risque d’explosion des coûts : les organismes sans but lucratif fournissent des services
ayant un fort besoin en main-d'œuvre qui ne sont pas remplaçables par la technologie. Le
coût réel de ces services a considérablement augmenté au fil du temps et devrait continuer à
le faire dans l'avenir.

•• Recrutement et rétention des personnels : les organisations à but non lucratif font face à
des défis structurels dans le recrutement et le maintien de personnel de haute qualité dans
leurs domaines de la finance, de la comptabilité, de la technologie et des back-office. La
petite taille de nombreuses organisations leur pose des défis à relever en matière de
développement des carrières et de faire face à la concurrence du secteur privé.

28
•• Constant souci de survie: les organismes sans but lucratif fonctionnent dans un
environnement dynamique. Leurs défis comprennent l’évolution de leur démographie cible,
les difficultés de financement et l’augmentation des couts. En effet, la faible situation
financière de nombreuses organisations à but non lucratif peut rendre difficile leurs efforts de
réponse à leurs missions et dés lors, il n'est pas surprenant que de nombreuses
organisations à but non lucratif vivent toujours à la limite de la faillite financière.

2) La gestion systématique des risques :

Le Risk Management dans les entreprises à but lucratif suggère un ensemble de meilleures
pratiques (best practices) pour la gestion des risques dans les organismes à but non lucratif.
Notamment :

1. La Gouvernance et la responsabilisation dans la gestion des risques : la surveillance

de la gestion des risques fait partie des tâches juridiquement allouées au conseil et
devraient être une responsabilité explicite du comité de vérification et/ou de la
finance, avec la fixation du temps approprié dévolue à cette fonction (Une
organisation de premier plan consacre environ 10% de la discussion totale du conseil
tourne autour des risques). Le comité responsable du risque doit avoir une
communication directe avec la fonction financière et avec le personnel, en les incitant
à prendre le temps de se demander «Et si?» (What if ?). Il devrait faire rapport et
obtenir des commentaires du conseil dans son ensemble. Il devrait s'assurer que le
conseil donne le bon ton en communiquant un engagement à la gestion des risques
dans toute l'organisation ; cela devrait faire partie de sa stratégie, de sa culture et de
sa conduite. Les organisations devraient élaborer une déclaration explicite de
tolérance au risque. Il doit également indiquer les limites de la prise de risque et la
volonté de négocier l'impact du programme à court terme pour une durabilité à plus
long terme. Une déclaration de tolérance de risque réfléchie réduira la probabilité
qu'une organisation soit cavalière à propos du risque ou paralysée par une aversion
excessive au risque.
2. La Planification des scénarios : les organisations doivent conserver une liste
récurrente des principaux risques qu'elles rencontrent. Pour chacun, ils devraient
indiquer leur probabilité d’occurrence et la perte attendue (probablement en termes
d'actifs nets non restreints) si cela se produit réellement. Ensuite, ils devraient
envisager des actions pour réduire la probabilité que cela ne se produise et atténuer
les dommages si cela se concrétise. La liste peut inclure un large éventail de risques
possibles en fonction des activités de l'organisation. Les exemples comprennent : le
renouvellement de la location des immeubles, les dépassements de coûts sur un
projet, le non-renouvellement d'un bailleur de fonds important, la défaillance d’un
fournisseur ou prestataire et des performances d'un investissement.
3. Rétablissement et planification de la continuité du programme: les organisations
devraient avoir des plans pour maintenir le service en cas de catastrophe financière.
Les grandes organisations devraient également envisager de développer des

29
 «testaments de vie» pour accélérer le transfert des programmes à d’autres en cas de
défaillance et ce, assurer la continuité du projet. Ces testaments vivants devraient
être discutés à l'avance pendant des périodes stables avec des organismes
gouvernementaux et des partenaires afin que chacun soit prêt à agir en cas de crise.
4. Balayage de l'environnement : chaque année, les organisations devraient informer
leurs partenaires, prestataires, contractants et donneurs d’ordres des tendances et
pronostiques à plus long terme dans leur environnement de d'exploitation. Ils
devraient envisager les avantages potentiels d'explorer diverses formes de
remaniements organisationnels, comme les collaborations, les fusions, les
acquisitions, les coentreprises, les partenariats, l'externalisation, les dissolutions et
les désinvestissements.
5. Benchmarking et autoévaluation : les organisations devraient comparer leurs
performances financières à leurs pairs chaque année en utilisant les données
disponibles. Ils devraient également demander à des groupes de recueillir des
informations plus détaillées et opportunes du groupe de leurs pairs. Une autre option
consiste à utiliser un outil d'auto-évaluation pour combiner les mesures financières
en un indicateur global de la santé organisationnelle.
6. Objectifs de stabilité financière : les organisations devraient avoir des objectifs pour
les résultats d'exploitation en fonction des besoins à court et à long terme. Ils
devraient également avoir des objectifs pour renforcer les encaisses, les actifs nets,
les réserves d'exploitation et l'accès au crédit. Les organes comptables devraient
élaborer des plans d'urgence pour atteindre leurs objectifs minimaux lorsqu’ils
estiment que ceux-ci ne seront pas atteints. Étant donné que la capitalisation requise
pour leur fonctionnement optimal est si difficile à atteindre, les organisations sans but
lucratif doivent penser de manière créative à la façon de construire des réserves de
sauvegarde. Les idées pourraient inclure des campagnes ponctuelles de collecte de
dons et de capitaux et des fonds engagés auprès des fiduciaires pour être utilisés en
cas de crise. Les organisations devraient mettre en place des processus de suivi et
de gouvernance pour s'assurer que les réserves crées ne soient pas utilisées par
inadvertance pour financer les déficits d'exploitation.
7. Rapports et informations à fournir: les grandes organisations devraient résumer
leurs résultats financiers dans un court rapport formel. Ce rapport devrait couvrir
leurs opportunités et leurs risques dans le cadre du contexte de leurs conditions
internes et externes. L’élaboration de ce type de rapport donnerait lieu à un
sentiment d'urgence aux processus sous-jacents. Cela pourrait également aider à
rassurer les parties prenantes, comme : les banques et les organismes de
réglementation, et aider à assurer leur durabilité et survie à long terme.

Peu d'organisations à but non lucratif seront en mesure de mettre en œuvre toutes ces
pratiques, mais toutes bénéficieront de plus de temps pour anticiper et se préparer aux
risques.

30
3) L'échelle des risques d’un secteur non profit :

L’analyse générique des résultats financiers des organismes à but non lucratif illustre
combien ces derniers sont fragiles, ce qui devrait constituer un point de départ pour
comprendre le profil de risque absolu et relatif de leur gestion.

Il existe trois mesures importantes de la capacité de financement des organismes sans but
lucratif que les gestionnaires financiers doivent garder à l'esprit : la disponibilité de l'argent
comptant pour couvrir les besoins immédiats; les actifs nets comme la meilleure mesure des
«fonds propres» qui sont disponibles pour supporter des pertes ou les placements et les
réserves d'exploitation (la partie des capitaux propres disponible à court terme).

Dans l'ensemble, le secteur a des liquidités, des capitaux propres et des réserves
opérationnelles égales à moins de 3 mois. Ces ratios de trésorerie et de réserves
d'exploitation sont bien inférieurs au niveau de six mois que les experts suggèrent comme
approprié pour les organismes à but non lucratifs.

Les organisations existent pour poursuivre des programmes sanitaires te humanitaires, non
pour créer des ressources internes. Aussi, la profonde sous-capitalisation et la petite échelle
de la plupart des organisations entravent-elles les investissements nécessaires et rendent la
gestion prudente des risques d’autant plus importants. Par exemple, une grande organisation
à but non lucratif à but lucratif avec des économies d'échelle pourrait gagner un excédent de
1% sur les revenus au cours d'une année typique si elle repose principalement sur les
contrats du gouvernement. Cependant, même après cinq ans, l'excédent retenu qui en
résulterait serait inférieur à trois semaines de dépenses. Cela ne suffit pas pour soutenir de
nouveaux investissements appropriés en technologies ou en infrastructures ou bien, pour
fournir un coussin de sécurité contre les risques imprévus.

Les organismes sans but lucratif plus importants, en termes de tailles ou d’activités, ont
généralement une proportion plus faible de revenus provenant de la philanthropie privée ; ils
restent donc plus dépendants des contrats et financements gouvernementaux. Au-delà d'un
certain point, même les organisations les plus efficaces ne pourront pas nécessairement,
uniquement avec les fonds privés, compenser le déficit de leur financement gouvernemental.

La fragilité globale du secteur signifie que de nombreuses organisations à but non lucratif
subiront des difficultés financières, ainsi, beaucoup de chefs d'établissement à but non
lucratif avaient essayé de lutter, alors que certains ont fait faillite. D'autres ont été secourus à
in extremis par d'autres organisations. D'autres sont entrés dans des fusions ou dissolutions
ordonnées.

Ainsi, de l’analyse du retour d’expérience du secteur, plusieurs « leçons » de même que

«pires pratiques» ont été observées :

31
1. Pour les organisations qui étaient fragiles, les crises à répétition avaient érodé les
ressources existantes déjà limitées aggravées par plusieurs années de déficits.
2. Les organisations ont réussi le défi de longue haleine d’intéresser, de recruter et de
conserver un personnel acquis à leur cause avec dévouement et abnégation.
3. Les organisations ont échoué à faire une planification de scénario explicites malgré des
situations intrinsèquement incertaines. Elles n'ont pas accordé suffisamment d'attention
aux éventualités et à l’environnement. Les organisations ont été surprises par des crises
qui auraient pu être prévenues.
4. Elles n'ont pas été pleinement conscientes de l’impact des tendances à long terme de
leur environnement d'exploitation sur leurs performances financières. Des tendances
importantes ont été masquées par l’accent mis exclusivement sur les équilibres et
rations des budgets annuels, en se limitant aux comparaisons "en rétroviseurs" et à
court termes des résultats de l'année en cours et ceux l'année précédente.
5. Elles ont pris trop de temps pour se rendre compte qu'il y avait un problème et ont tardé
à prendre des mesures, même après avoir décidé qu'il était nécessaire. nous croyons
que bon nombre de ces organismes sans but lucratif auraient mieux réussi, avec moins
de perturbation, si elles avaient mis en place certaines ou toutes les pratiques
recommandées en matière de prévention des risques.

La gestion des risques ne garantit pas seule la survie d’une organisation ; mais
malheureusement, les organisations à but non lucratif, en difficulté ou en crise, ont peu
d'options de récupération. Contrairement à celles à but lucratif, elles ne peuvent pas attirer
les bailleurs de fonds avec des avantages attractifs en termes de prix, de marque ou de
rentabilité. Il n'existe pas ou peu non plus de financements spécialisés pour ces types
d’organismes à but non lucratif pour renflouer et assumer leurs risques financiers. En fait, la
plupart des bailleurs de fonds privés les désertent au premier signe de problèmes, aggravant
ainsi leur crise. Leur meilleur espoir, en cas de problème, pour ces organismes est de
s'accrocher pour survivre. Cela implique d’atrophier leurs programmes, de réduire les
salaires, de réduire les effectifs, de faire des emprunts externes, d'utiliser les réserves
financières et comptes courants, déjà particulièrement stoïques, à des fins non autorisées et
de solliciter les partenaires institutionnels existants (y compris l’Etat) pour obtenir un soutien.

Dans un environnement opérationnel difficile, le statu quo n'est plus acceptable. Dans ce
contexte, les administrateurs à but non lucratif doivent s'assurer que des processus de
gestion des risques bien pensés sont en place ; dés lors, les organismes à but non lucratif
doivent s'efforcer de maximiser le bien que leur organisation fait tout en gérant leurs risques
et leurs problèmes financiers. L'équilibre entre ceux-ci peut être difficile en raison de la
passion ressentie pour l'organisation elle-même envers sa mission qu’elle tend à poursuivre
et privilégier avant tout autre considérant.

Enfin, les organismes à but non lucratif n'ont pas les mêmes indicateurs de santé interne et
outils de mangement adoptés par les administrateurs des entreprises à but lucratif. Ils
manquent également de partenaires extérieurs comme les cabinets conseils spécialisés, les

32
analystes financiers et les agences de notation, autant d’inputs exogènes qui fournissent aux
entreprises du secteur privé une vision objective et complète de leur situation et celle de leur
environnement.

33
Conclusion

Souvent, la seule réponse à laquelle une organisation peut recourir face à au risque posé par
son environnement consiste à préparer des plans d'urgence. Certes, la plupart des
organismes publics ne peuvent pas contrôler directement les risques et aléas à travers leurs
activités sur territoire d’un pays ou à travers le monde (catastrophes naturelles,
bouleversements politiques, actes délictueux) mais ils peuvent faire des plans d'urgence pour
planifier la continuité des activités. Il est important qu'une organisation puisse considérer son
« environnement de risque » de la manière la plus large possible et identifier la manière dont
il impacte sa stratégie économique.

Un aspect particulier de l'environnement de la gestion des risques, qui est important pour les
organisations du secteur public, est l’action du gouvernement lui-même. En principe, les
organisations gouvernementales existent pour exécuter les politiques que les ministres
formant gouvernement ont décidés. Il existe un besoin particulier et important dans la gestion
des risques qui est de fournir aux ministres des conseils stratégiques axés sur les risques
existants et latents touchant les actions découlant de leurs décisions stratégiques. Même si,
dans certains cas, les fonctionnaires gouvernementaux peuvent être contraints, au-delà de
l’appréhension des risques qu'ils prennent ou ne prennent pas, par l’exécution de décisions
de politique générale, de prendre des initiatives risquées qu’ils ne peuvent pas esquiver pour
des raison de service public.

34