Recherche

Les Normes d’audit suisses (NAS 315, Identification et évaluation des risques d’anomalies significatives par la connaissance de l’entité et de son environnement) exigent, en vue de la préparation d’audit des états financiers (contrôles ordinaires et restreints), que l’auditeur ait connaissance de l’entité et de son environnement, dont font partie le système de contrôle interne, les risques d’anomalies significatives et les réactions possibles de la direction pour y répondre. Dans ce contexte, l’existence d’approches de la gestion des risques susceptibles d’être intégrées à la planification de l’audit peut se révéler intéressante pour avoir une meilleure compréhension de l’entreprise et recenser les risques possibles d’anomalies.

Les approches de la gestion des risques sont très diversement répandues dans l’industrie. Bon nombre de PME suisses de ce secteur s’imaginent à tort baigner dans un océan de sécurité. Elles se conforment aux bases légales et spécifiques à leur branche d’activité en matière de gestion des risques mais oublient qu’une telle gestion, complète et étendue à l’ensemble de l’entreprise, non seulement garantit l’aboutissement de ses objectifs mais permet de rehausser sa valeur. Une thèse de Master soutenue à la Haute école de St-Gall conclut que l’utilité d’une gestion adéquate des risques est souvent sous-estimée par les entreprises dans la pratique et que cette activité ne sert à leurs yeux qu’à se conformer aux exigences légales¹.

L’économie suisse est à nouveau en pleine mutation depuis quelques mois. L’abandon du cours plancher de l’euro et l’acceptation de l’initiative populaire sur l’immigration de masse ont imposé une fois de plus à bon nombre d’entreprises industrielles de ce pays ce dur constat: elles évoluent dans un contexte incertain, où tout change très vite². Outre les défis politiques déjà évoqués, elles doivent affronter d’autres difficultés propres à leurs branches. C’est ainsi que les activités transfrontières les exposent à des risques pays considérables. Le raccourcissement des cycles de vie des produits et l’individualisation de la demande peuvent exiger des investissements accrus dans la recherche et le développement. La complexité grandissante des systèmes de production peut exercer une influence négative sur la sensibilité aux perturbations³. Et ce ne sont là que quelques-unes des évolutions auxquelles les entreprises industrielles doivent faire face. Le législateur a reconnu ces problèmes et y a réagi il y a sept ans déjà. Depuis 2008, la gestion des risques est en effet devenue une obligation légale pour quantité d’entreprises suisses⁴. Le Code des obligations n’est pas très riche en prescriptions sur le sujet et c’est précisément dans leur formulation un peu évasive que réside le problème. Plusieurs études confirment en effet l’absence d’une gestion des risques systématique: une enquête autrichienne menée parmi des entreprises moyennes a révélé par exemple que la gestion des risques était pratiquée essentiellement – et encore! – dans les domaines de la comptabilité, des finances et du controlling⁵.

Il semble bien que de nombreuses entreprises manquent de connaissances sur les diverses normes de gestion des risques et les cadres conceptuels applicables à l’ensemble des branches. Développés spécialement par de grandes organisations comme l’ISO, ceux-ci devraient pourtant servir de guide pour assurer une gestion des risques adéquate. Il existe divers concepts théoriques applicables au secteur industriel. Les normes les plus connues sont l’ISO Guide 73 Management du risque, le «cube COSO», L’ONR 49000 de l’Institut autrichien de normalisation ou l’ISO 31000 Management du risque – Principes et lignes directrices. Ce sont surtout les deux derniers nommés qui, en théorie, sont recommandables pour l’industrie parce qu’ils font pénétrer la gestion des risques dans le système de management des entreprises⁶.

Il existe aussi de nombreuses approches théoriques et aides à la mise en œuvre du processus – essentiel – de gestion des risques dans l’industrie. Les phases de ce processus diffèrent dans le degré de détail, en fonction de la branche et de ses besoins. Il s’agit toutefois, en règle générale, d’identifier les risques, puis de les évaluer, de les piloter et de les contrôler⁷. Pour la première étape, il est recommandé de mettre en place un système adapté de détection précoce et d’avoir une vision systémique des diverses sources de risques potentiels. Un système de détection précoce est censé permettre à l’entreprise de prendre les mesures qui s’imposent avant que ne surgisse un risque. Durant cette phase, l’objectif doit être d’identifier à temps les «développements mettant en danger la pérennité de la société». Autrement dit, il faut aspirer à un recensement aussi complet que possible des sources de risques, causes de dommages et potentiels de perturbations⁸. Cette première phase constitue, selon de nombreux auteurs, l’étape la plus importante du processus de gestion des risques. Il convient donc de la parcourir d’un bout à l’autre et de la mener en recourant à différentes méthodes d’identification telles qu’interviews, questionnaires, analyses de possibilités d’erreur et de leur influence ou encore séances de «remue-méninges». Au terme de cette opération, il faudrait présenter des catégories de risques appropriées sous forme d’inventaire, celui-ci comprenant par exemple les catégories «risques financiers» et «risques opérationnels». Ces derniers pourraient être détaillés en «risques opérationnels proprement dits» (risques organisationnels, risques de personnel, risques de processus, etc.) et «risques stratégiques»⁹, l’idéal étant que chaque entreprise recherche une solution personnalisée. L’étape suivante – évaluation – devrait inclure à tout le moins une évaluation des risques en fonction de leur probabilité de survenance et de leur portée. Cela peut se faire à l’aide de méthodes qualitatives ou quantitatives. Les premières pourraient consister en des interviews ou des ateliers. La théorie affirme qu’il convient de préférer les méthodes quantitatives, sous forme d’analyses de sensitivité ou de scénario, à condition que la qualité des données soit suffisante. Une fois évalués, les risques sont classés dans un portefeuille ou une matrice de risques. Enfin, les risques intolérables doivent être pilotés et contrôlés en permanence, grâce à des mesures adéquates. Précisons encore que toutes ces considérations ne constituent qu’une vague esquisse de l’abondante littérature consacrée à la gestion des risques dans l’industrie¹⁰.