Le présent article a pour but d’expliquer et vulgariser le fonctionnement d’un système de contrôle interne (SCI) ainsi que l’implication et l’importance d’une bonne gestion des risques.
Pour ce faire nous avons fait appel à un expert reconnu dans le domaine, le professeur Emmanuel Fragnière (enseignant à la HES-SO Valais-Wallis)
Un bref historique
Comment est né le besoin de la gestion de risque et d’un SCI ? Historiquement, il faut revenir à l’instant où la personne morale (la compagnie) décide de prendre ses distances avec la personne physique qui l’a fondée et/ou menée. Ce moment est assez crucial à comprendre.
On peut aisément dire que ce n’est pas une période de l’histoire économique mais plutôt un moment dans l’évolution d’une société.
Le besoin d’une vue d’ensemble des risques de la société est rendu nécessaire, d’une part par la croissance de la compagnie et de ses effectifs, et d’autre part pour le pilotage de la société par ses dirigeants et la transmission du savoir faire entre les dirigeants actuels et futurs.
Il est aussi intéressant de relever l’évolution dans le temps des effectifs des « grandes » compagnies. À la fin du 19ième siècle, une des plus grandes sociétés comptait 400 employés et était active dans le domaine du textile. De nos jours, c’est Walmart qui arrive en tête du nombre de collaborateurs avec 2.1 millions d’employés actifs !
Dans un tel contexte d’évolution et aussi dans un but de pérennisation de l’activité économique, les premières règles de gouvernance commencent à apparaître et le EWRM (Entreprise Wide Risk Management) voit le jour. C’est ainsi, en élargissant l’analyse des risques à toute la société, qu’un système de contrôle interne prend son sens. L’idée est bien de procéder à une revue périodique du fonctionnement de toute la société et de poser des points de contrôle. Il est primordial de sensibiliser à l’importance de leur rôle tous les acteurs qui seront identifiés comme acteur clé. Le but final étant de, soit annuler un risque potentiel, soit de le réduire à une valeur acceptable et qui ne mettrait pas en danger le fonctionnement de la compagnie. A la fin du 20ième, les sociétés « références » dans le domaine sont Danone, Nestlé, GE etc.
Réglementation
Dans les années ’90, la réglementation commence à imposer une certaine norme en termes de pilotage des risques. Mais le tout fût surtout motivé par les marchés financiers (bourses), dans le but d’avoir plus de transparence dans les états financiers des entreprises ainsi que dans leurs rapports de gestion.
Malheureusement, une telle réglementation n’a pas vraiment eu d’effet positif concluant. En effet, on constate trente ans plus tard que malgré la réglementation devenue applicable à tout entité morale (voir le Code des Obligations), les normes d’audit suisse NAS restent très superficielles. Leur application ne génère pas une plus-value tangible dans la qualité de la gestion, mais bien plus une surcharge administrative (peu d’analytique et surtout de la documentation).
Cette approche dans la gestion des risques et la mise en place des SCI d’un point de vue de la recherche, n’a malheureusement pas abouti à des résultats très importants.
Plus-value perçue
La compagnie avec un SCI et un pilotage des risques sera plus à même de surmonter une situation de crise ; donc sa valeur va se stabiliser et remonter plus rapidement.
Plus-value réelle
Elle dépendra du Risk Management (RM) pratiqué par la compagnie. L’approche en Risk assesment s’avère assez peu utile en cas d’événement macroéconomique qui changerait les règles du jeu sur le marché dans lequel la compagnie opère. Par contre, une approche en Risk Response aura potentiellement une réelle plus-value. Pour autant que les SCI s’adaptent aussi à cette pratique. De nos jours encore, le 90% des contrôles sont dit correctifs et nous avons encore une approche de feedback control (contrôle correctif). Si à contrario, nous avions une approche feedforward control (contrôle anticipé), cela « forcera » les personnes à réfléchir, non seulement aux risques existants, mais plus aux risques futurs. Dans cette approche, l’entraînement et l’exercice fera en sorte que la compagnie sera plus à même de gérer la situation en cas de survenance du risque.
Nouvelle technologie et gestion des risques
On n’y est pas encore, en effet le big data et l’AI ne permettent finalement pas de se focaliser sur le fond mais génère plus de travail sur la forme – préparation des données, leurs contrôles et validations, alors que les algorithmes sont en constante évolution.
Est-ce que l’intelligence artificielle (IA) remplacera l’humain dans l’analyse des risques ?
La réponse est simplement non. Si nous souhaitons un Risk Management efficace. Non seulement les données utilisées sont basées uniquement sur le passé et n’incluent donc pas une disturbancy future, mais l’algorithme n’intégrera jamais le savoir être de l’humain.
Ce qui est regrettable de nos jours, c’est que peu de gens perçoivent aussi le risque sous-jacent à l’utilisation de l’IA dans l’audit et de manière générale dans l’analyse des risques. À force de s’appuyer sur des modèles dont le fonctionnement-même est compris par une minorité de personnes, nous risquons de perdre notre propres sens et capacité d’analyse.
L’IA est inévitablement l’avenir mais devra être utilisée uniquement comme un outil qui deviendra de plus en plus performant et permettra dans le futur une gestion des risques pertinente. Et par la même occasion une gestion des entreprises encore plus efficiente.
Lectures complémentaires :
Les compétences clés d'un auditeur par Sandrine Ngo Mbock
Le métier d'un auditeur par GBNews-reporters
Faut-il avoir peur de l'intelligence artificielle ? par Anaelle Ordinas
Crédit photo: Pixabay
