En s’intéressant au sujet de la maîtrise des risques au sein des sociétés interrogées, BM&A et Altares ont voulu comprendre les démarches enclenchées et évaluer leur niveau de maturité. Quels leviers activent les entreprises pour avancer ? Quels dispositifs sont en place ? Pour quelle valeur ajoutée et avec quels facteurs clés de succès ?

Déployer un dispositif de maîtrise des risques ne fait plus débat

Pour la quasi-totalité des entreprises interrogées par BM&A et Altares, la question du déploiement d’une politique de contrôle interne sonne comme une évidence : 96 % d’entre elles déclarent en effet avoir un dispositif de maîtrise des risques ou prévoient d’en mettre un en place prochainement, mais à peine un quart d’entre elles jugent leur dispositif satisfaisant.

Pour 70 % des dirigeants, la mise en mouvement a été initiée par un besoin d’accompagnement de la croissance (organique, externe, développement international, changement d’actionnaire). Pour deux tiers d’entre eux, il s’agissait aussi d’une réponse aux exigences réglementaires : introduction en bourse, Sapin 2, RGPD, RSE... La prise de conscience vient donc rarement d’un accident ou d’une crise.

Comme le souligne un directeur général du secteur de l’industrie d’une société cotée interrogé : « Il n’y a pas de hiérarchie des risques. Les failles finissent toujours par se traduire financièrement mais c’est le risque réputationnel qui est le plus important pour nous, car les conséquences sur le business peuvent être plus durables. »

Après le besoin, la volonté

En termes de maturité, on observe une dichotomie claire entre entreprises cotées et non cotées, les premières étant plus avancées en matière de contrôle interne, et également plus exigeantes avec elles-mêmes, notamment du fait de la transparence attendue de la part de ces sociétés sur leurs dispositifs de maîtrise des risques.

Dans ce contexte, la direction a un rôle essentiel. Elle en constitue l’atout maître. Comment ? En fédérant les différentes fonctions, en arbitrant la feuille de route et en insufflant cette culture du contrôle interne animée par un chef d’orchestre ad hoc (le responsable du contrôle interne).

En effet, « il ne faut pas confondre chef d’orchestre et homme-orchestre. La maîtrise des risques doit d’abord être portée par les opérationnels. Le responsable du contrôle interne a un rôle d’animation transverse, il s’assure de la priorisation, de la cohérence et de la proportionnalité des réponses apportées, avec une vision à 360 degrés » partage Caroline Allouët, associée BM&A à l’initiative de l’étude.

Après la volonté, l’ambition

Adopter cet état d’esprit, c’est se donner l’opportunité de voir les leviers potentiels des contraintes réglementaires. Si bien que les sujets réglementaires tels que Sapin 2, RSE, Vigilance sont mieux maîtrisés et déployés au sein des entités dont le contrôle interne est jugé satisfaisant.

C’est aussi se doter de la boite à outils ad hoc : les sociétés les plus avancées disposent à 90 % de codes de conduite, de référentiels de risques, de procédures. Elles les intègrent dans leurs systèmes d’information, et les outillent avec des solutions technologiques ad hoc, analyse de données comptables et évaluations des tiers en premier lieu.

De fait, le niveau de maîtrise des risques varie selon les thématiques traitées. Les sujets les plus financiers sont les plus matures tandis que les sujets « nouveaux », liés notamment à la RSE, se cherchent encore.

« Connaître et maîtriser ses risques, un sujet longtemps perçu comme relevant de la transparence de l’information financière et d’un contrôle de ces informations, a changé de contours et de dimensions. Les entreprises passent du contrôle a posteriori à la prévention, de la finance à l'ensemble des opérations, et surtout d’une vision interne des processus à un regard porté au-delà des frontières de l’entreprise, englobant ses tiers (fournisseurs, partenaires, clients) et l’impact de ses activités sur l’environnement et la société » analyse Anne-Sophie de Lambertye, M&A and strategic initiative director de Altares.

La maîtrise des risques, vecteur de création de valeur

Les bénéfices du dispositif se manifestent en termes de performance, de sécurité et de confiance : au-delà de la question de la croissance, s’intéresser à la maîtrise des risques, c’est évidemment s’offrir plus de sérénité grâce à une meilleure définition des responsabilités (pour 65 % des entreprises l’ayant mis en place) et une meilleure prévention des erreurs (58 %) mais aussi une amélioration de la confiance des parties prenantes externes (41 %) et davantage de sécurité pour les collaborateurs (30 %).

A contrario, les risques perçus d’un contrôle interne faible sont d’abord financiers (57 %) et réputationnels (55 %).

Tandis que le contrôle interne est encore souvent considéré comme un sujet de direction financière, les gains réalisés sont donc avant tout opérationnels via l’amélioration constatée de l’efficacité de la chaîne de valeur et la réponse aux attentes des parties prenantes.

« La décision d’allocation des ressources et les arbitrages entre les priorités (les ressources n’étant pas extensibles) sont clés. Les bénéfices constatés et l’importance des risques liés à un contrôle interne faible doivent permettre d’ouvrir cette discussion au niveau de la direction dont le soutien est indispensable. Il faut une vraie vision et volonté stratégique pour accepter ce saut qualitatif et promouvoir le changement culturel qu’il implique. Une fois ces étapes passées, la maîtrise des risques devient un moteur pour optimiser son organisation et ses performances » conclut Caroline Allouët.