Harvard Law note une décision historique prise par la Cour de chancellerie du Delaware il y a environ vingt-cinq ans, qui a poussé le conseil d’administration à faire de la mise en place d’un programme de conformité efficace une obligation fiduciaire. Le conseil d’administration doit également superviser ce programme et se tenir au courant de son contenu et de son fonctionnement. Mais comment les conseils d’administration peuvent-ils prendre le pouls des programmes de conformité de l’organisation lorsqu’ils se trouvent confrontés à des risques croissants comme la cybersécurité, la culture d’entreprise et la responsabilité sociale des entreprises ? Comment peuvent-ils faire en sorte que les manquements ou les scandales soient rapidement atténués et que des mesures correctives soient prises ?

Déléguer la propriété des risques mais maintenir une approche pratique

Bien sûr, le conseil d’administration ne "détient" pas directement ces risques, mais la supervision des risques est l’une de ses missions les plus essentielles. Selon un récent rapport de Deloitte sur les pratiques des conseils d’administration, la délégation de la propriété des risques par le CA est une pratique courante dans les entreprises. Bien que les conseils d’administration délèguent les risques, il est impératif qu’ils maintiennent une approche pratique. Le fait de ne pas le faire expose le conseil d’administration et l’organisation à des inexactitudes et des incohérences potentielles dans la gestion et la déclaration des risques. Cela ouvre la porte à des manquements en matière de conformité, à d’éventuelles amendes et, au pire, à des défaillances organisationnelles. Comment les conseils d’administration peuvent-ils donc trouver le bon équilibre entre l’obligation de déléguer et la nécessité de maintenir une surveillance adéquate ?

Voici quelques moyens qu’ils peuvent mettre en oeuvre pour y parvenir :

• élaborer et communiquer des résultats clairs en termes de gestion des risques ;

• disposer d’une méthodologie et d’outils communs pour l’établissement de rapports réguliers sur la gestion des risques ;

• dispenser une formation continue pour les employés et le conseil d’administration afin de se tenir au courant des risques et de la conformité ;

• mandater le comité/les propriétaires de risques individuels pour obtenir des rapports réguliers sur les risques lors des réunions du CA ;

• poser les questions difficiles.

Exiger des rapports de conformité cohérents, accessibles et en temps réel

Lorsqu’ils confient à divers comités ou personnes la surveillance de certaines parties d’un programme global de conformité de l’entreprise, les conseils d’administration doivent également établir une méthode de communication cohérente et claire.

Cela devrait être fait de telle sorte que le conseil d’administration puisse le faire :

• accéder à tout moment à des rapports et des mesures en temps réel ;

• avoir une présentation, des mesures et un style de rapport cohérents ;

• comprendre instantanément ce qui est rapporté grâce à un commentaire supplémentaire ;

• fournir la preuve que les personnes ou les comités désignés supervisent et gèrent le risque ;

• approfondir davantage les résultats, les contrôles ou les risques si quelque chose nécessite un examen plus approfondi ;

C’est là qu’une plateforme logicielle unique et unifiée comme HighBond peut apporter de la valeur. Une fois les personnes en place et les processus définis, vous devez relier ces différentes équipes et/ou différents comités et rassembler toutes ces données sur les risques en un seul et même point pour la création des rapports de gestion. HighBond permet la création d’un "story-board" au niveau du conseil d’administration, où les risques et les opportunités peuvent être mis en lumière et où les directeurs et la direction peuvent facilement explorer les anomalies pour en découvrir les causes. Le résultat global est que la position de l’entreprise en matière de conformité est rapidement communiquée et facilement comprise.

Lorsque des problèmes sont signalés, le CA est également chargé de veiller à ce que ces problèmes fassent l’objet d’une enquête approfondie et indépendante. Il est donc essentiel de pouvoir "cliquer" sur une question spécifique pour l’étudier plus dans le détail.

Du "ton donné par la direction" aux "mécanismes de contrôle et d’atténuation des risques"

Notre monde évolue, tout comme les risques professionnels que nous rencontrons et les moyens que les CA doivent utiliser pour les gérer. En fait, l’Association du barreau américain a suggéré dernièrement que les organisations devraient s’éloigner de l’approche du "ton donné par la direction" pour plutôt adopter une approche de "mécanismes de contrôle et d’atténuation des risques". Elle affirme qu’ "une approche reposant sur les mécanismes de contrôle et d’atténuation des risques porte sur les rôles, les responsabilités et les relations entre les principaux éléments et acteurs du système de gouvernance, de contrôle et de supervision d’une entreprise".

Comme nous l’avons vu dans un certain nombre de cas, l’absence d’une supervision efficace crée une situation propice aux conduites malveillantes car les dirigeants peuvent se sentir en droit de faire ce qu’ils veulent. En janvier 2020, la recherche Google "faute de conduite PDG" renvoie plus d’un million de résultats, dont des récits relatant les échecs des décisions prises par des dirigeants, par exemple chez Smith & Wesson, Volkswagen, Renault-Nissan, pour n’en citer que quelques-uns.

Les CA devraient prendre l’initiative de créer, de mettre en oeuvre et d’exécuter des mécanismes de contrôle et d’atténuation des risques. Ce n’est pas une activité passive. Déléguer efficacement la gestion des risques tout en maintenant des rapports réguliers sur les risques sont des activités tangibles et bien définies qui influencent réellement le "ton donné par les dirigeants", beaucoup moins tangible.

Trois mesures que les CA peuvent suivre

Pour résumer, voici trois moyens pratiques que les conseils d’administration ont à leur disposition pour s’approprier le programme de conformité d’une organisation :

• déléguer la propriété des risques mais maintenir une approche pratique ;

• exiger des rapports cohérents, en temps réel et accessibles ;

• passer du "ton donné par la direction" aux "mécanismes de contrôle et d’atténuation".

En mettant en oeuvre ces mesures, accompagnées des technologies appropriées, les conseils d’administration se dotent du bon équilibre d’informations pour examiner, identifier et suivre les questions problématiques avant qu’elles ne deviennent des problèmes plus graves. Cela permet également d’encourager un dialogue ouvert et efficace sur la manière dont l’organisation gère les risques et de créer un niveau de responsabilité plus élevé pour tous les propriétaires de risques.

SUR L'AUTEUR

Avec plus de vingt-cinq ans d’expérience dans le domaine du logiciel et

du service dans le secteur de l’informatique et de la BI auprès de groupes internationaux, et depuis quatorze ans dans le secteur de l’audit et du contrôle interne, Pascal Gadea contribue au développement commercial européen de la société Galvanize. En France, il aide de nombreux clients à faire face aux problématiques de conformité