Nouvelles recommandations de l'Institut français des administrateurs (IFA) et de l'Association pour le management des risques et des assurances de l'entreprise (Amrae) : en collaboration avec PricewaterhouseCoopers (PwC) et Landwell, ils ont dévoilé hier leur guide de l'administrateur dans la maîtrise des risques.
Alors que l'ordonnance du 8 décembre 2008 rend obligatoire le comité d'audit et le charge notamment du suivi de l'efficacité des systèmes de contrôle interne et de gestion des risques, un état des lieux était nécessaire. Selon une étude d'Aon auprès du SBF 120, 19 % seulement des entreprises ont déclaré que la maîtrise des risques entrait dans les objectifs du management.
La gestion des risques « est d'abord de la responsabilité du management, rappelle Gérard de la Martinière, président du comité d'audit d'Air Liquide et de Schneider. Le comité d'audit n'est pas fait pour suppléer le management ». Xavier Maitrier, directeur chez PwC, rappelle le rôle de chacun : le conseil supervise la maîtrise des risques, la direction générale définit les orientations et pilote le contrôle des risques, le management met en œuvre la gestion des risques et rapporte à la direction générale, le directeur des risques établit la méthodologie, anime le dispositif et fait une synthèse, tandis que l'audit interne évalue le dispositif et assure le suivi de l'efficacité du contrôle interne.
L'IFA et l'Amrae propose 21 bonnes pratiques. D'une part sur le champ d'application : suivre l'ensemble des risques en fonction de la stratégie de l'entreprise, s'assurer que les risques majeurs sont sous contrôle, disposer d'une cartographie des risques avec une mise à jour au minimum annuelle. D'autre part sur le suivi de l'efficacité : évaluer les risques au regard des critères propres à l'entreprise, s'assurer de la définition des objectifs, de l'organisation, des indicateurs, d'un audit régulier. Enfin, sur le fonctionnement du comité d'audit : rédiger un règlement intérieur, remonter les informations chaque trimestre au comité, discuter au moins une fois par an avec le conseil, former les membres du comité.
Certaines sociétés ont déjà créé un comité des risques distinct du comité d'audit. Toutefois, le débat est ouvert par les juristes sur cette possibilité ou sur la division du comité d'audit en deux sous-comités. En effet, selon la loi, la gestion des risques incombe au seul comité d'audit.