Gouvernance, gestion des risques et conformité au réseau Gestion des risques
Gouvernance, gestion des risques et conformité ou GRC, tel était le thème principal de la conférence annuelle 2019 du réseau de gestion des risques. En effet, il est apparu récemment, dans divers cas célèbres, que des fossés considérables pouvaient se creuser entre les attentes des parties prenantes et du public d'une part, et la gestion effective de l'entreprise d'autre part - aussi bien dans des entreprises du secteur privé, comme la banque Raiffeisen, que dans des entreprises à capitaux publics, comme dans le cas de CarPostal.
Gouvernance, gestion des risques et conformité - comment les trois forces de la GRC interagissent-elles ? Y a-t-il des différences entre les entreprises publiques et privées ? Les normes internationales pourraient-elles renforcer encore la gestion des risques ? Et comment vérifier sa solidité ? Pour répondre à ces questions à plusieurs niveaux, quatre présentations d'experts passionnantes étaient à l'ordre du jour de l'assemblée générale du réseau de gestion des risques le 27 mars 2019 au centre d'affaires Migros Aare.
La logistique des produits frais chez Migros
Mais tout d'abord, les quelque 90 participants ont été captivés par le monde trépidant de la logistique des produits frais, puisque l'hôte de la conférence annuelle de cette année, la Coopérative Migros Aareà son centre d'opérations de Schönbühl (BE) : La visite d'une heure de la plateforme logistique a tout d'abord permis de se faire une idée de la planification et de la précision nécessaires pour que plus de 400 articles différents, dont environ 200 000 pots de yaourt ou environ 100 000 caisses de fruits et légumes, puissent être livrés chaque jour avec précision dans les 126 points de vente Migros des cantons de Berne, Soleure et Argovie.
D'autre part, la planification et la précision sont également des exigences essentielles lorsqu'il s'agit d'étendre les capacités limitées de cette plateforme logistique dans le cadre d'un projet de grande envergure, et ce sans interrompre les opérations. Il n'est pas surprenant que cela impose également des exigences particulières en matière de gestion des risques. Une modélisation systématique des processus est indispensable pour garantir que les risques pertinents restent au centre de la multitude d'événements critiques possibles - ayant un impact sur les performances financières, la position concurrentielle ou la société et l'environnement. Cependant, un contact étroit avec les responsables hiérarchiques reste au moins aussi important, comme l'a décrit de façon impressionnante Christian Müller, contrôleur et responsable des risques pour le projet.
Plus qu'un expert en gouvernance
La série de présentations spécialisées de l'après-midi a été ouverte par le Dr Daniel L. Bühr, associé du cabinet international d'avocats de Laliveen notant que la Suisse est dans la Indice de lutte contre le blanchiment d'argent (de l'ONG Institut de Bâle sur la gouvernance) ne se classe qu'au milieu de 129 pays. La note est étonnante, car elle contraste non seulement avec son propre sentiment, mais aussi, par exemple, avec le grand soutien dont bénéficie l'initiative de responsabilité des entreprises au sein de la population. Les experts de la GRC dans le monde entier s'accordent désormais à dire que la réussite à long terme des entreprises est impossible sans la direction de la GRC, selon les meilleures pratiques, qui est consolidée dans les organismes internationaux de normalisation, ne peut plus être réalisée.
À l'ère des réseaux numériques permanents, des réseaux de journalistes et de l'échange automatique d'informations dans le cadre de l'AMCA, le monde s'est non seulement rapproché, mais il est aussi devenu plus transparent : Les infractions à la loi peuvent donc non seulement être très coûteuses, mais elles sont aussi plus susceptibles d'être découvertes grâce à la coopération internationale croissante du pouvoir judiciaire. Outre le système mis en place, un élément clé d'une bonne GRC est l'exemple vécu des cadres moyens et supérieurs.
Jonas Vetter, avocat à la Administration fédérale des finances (AFF)présente le thème de la Contrôle des entreprises fédérales L'externalisation des tâches fédérales à des sociétés indépendantes il y a une vingtaine d'années reposait sur l'idée fondamentale que ces sociétés - libérées du corset administratif de l'administration centrale - pouvaient fournir leurs services de manière plus efficace et plus conforme au marché. Une fois la décision d'externalisation prise, il faut également établir les principes selon lesquels le Conseil fédéral exerce sa responsabilité de propriétaire majoritaire de ces unités économiquement importantes et les gère dans l'intérêt public.
La tâche n'est pas anodine : il s'agit non seulement de concilier des objectifs parfois contradictoires (services de base contre valeur actionnariale), mais aussi d'accorder aux entreprises la liberté entrepreneuriale dont elles ont besoin pour leur réussite durable. Outre un cadre juridique solide (à long terme, statique), l'instrument des objectifs stratégiques est central : le Conseil fédéral les utilise pour fixer des objectifs dynamiques pour quatre ans à la fois, que le conseil d'administration, en tant qu'organe de direction suprême, doit atteindre, notamment en ce qui concerne les performances, les finances et la politique du personnel.
Gestion des risques et conformité
La gestion des risques et la conformité ont également gagné en importance dans la gestion des entreprises fédérales. Dans le paysage des risques, il faut distinguer entre (1) les risques supportés par la Confédération en tant que propriétaire et garant des services de base et (2) les risques dont l'entreprise est elle-même responsable sur la base de ses tâches et objectifs. Ils sont gérés en conséquence par la RM de la Confédération ou celle de l'entreprise.
Mais comme le risque 2 peut aussi avoir des répercussions sur la Confédération elle-même, le Conseil fédéral doit prendre des précautions particulières. Toutefois, sur la base de ses principes de contrôle, il n'interviendra pas dans les compétences de l'entreprise. Il oblige plutôt le conseil d'administration à assurer, avec un objectif stratégique, un système de gestion des risques approprié - conformément aux normes internationales. La réalisation des objectifs sera vérifiée par un audit indépendant. Comme je l'ai dit : pas insignifiant, mais important.
"Le Contrôle fédéral des finances (CDF) est-il autorisé à effectuer des audits de gestion et de conformité auprès de la Confédération et des entreprises fédérales", a expliqué Brigitte Christ dans son exposé. Auditer les systèmes de gestion des ressources humaines et de gestion du changement - mais comment ? avec une connotation malveillante. "Non !" est la réponse sans équivoque du directeur adjoint du CDF, "il le faut !" Parce que la loi sur le contrôle financier (FCA, SR 614.0) définit les critères (art. 5 ; p. ex. la régularité) et les domaines institutionnels (art. 8 ; p. ex. l'administration fédérale centrale) selon lesquels le CDF doit effectuer des contrôles. Sur cette base, elle a mené ces dernières années des audits dans le domaine de la GRC sur la gestion de la conformité (CM) au RUAG (2016) et sur la gestion des risques à la Poste et à l'Administration fédérale (toutes deux 2018). Dans chaque cas, l'accent est mis sur deux domaines : d'une part, l'audit des systèmes de GR et de GC eux-mêmes, y compris leurs fondements ("deuxième ligne de défense"), et d'autre part, les domaines d'activité dans lesquels les systèmes sont mis en pratique et sont donc censés être efficaces. Ce dernier est souvent difficile à déterminer, mais les "audits en caoutchouc", c'est-à-dire les audits sur place et les discussions directes avec le niveau de direction, sont généralement utiles. En termes de méthodologie, le CDF s'appuie sur les normes internationales (ISO, COSO) et les directives d'audit du DIIR, sur les connaissances d'experts et l'expérience croissante en matière d'audit des systèmes de gestion des ressources humaines et - à ne jamais sous-estimer - sur une bonne dose de bon sens.
Plus de gestion des risques de bien-être ! Bruno Brühwiler, expert en risques internationaux et directeur général d'EuroRisk Ltd., a présenté ses informations sur le développement actuel de l'ensemble des normes RM : Après que la révision de la norme ISO 31000 ait été achevée avec succès en 2018, et à la lumière du succès de la série ONR 49000 et des connaissances pratiques croissantes de RM consulting, il s'est avéré évident d'aborder la création d'une norme RM désormais certifiable dans le cadre de l'ÖNORM 4900. C'est la conclusion à laquelle est parvenu le groupe de travail composé d'un certain nombre d'experts en normes éprouvées d'Allemagne, d'Autriche et de Suisse ayant une expérience et des intérêts dans la gestion des risques. La nouvelle norme doit répondre à diverses exigences : Premièrement, elle doit spécifier des exigences contraignantes qui peuvent être clairement vérifiées par des experts indépendants et dont le respect - adapté au format de l'organisation - démontre l'efficacité de la gestion des risques. Deuxièmement, il devrait inclure la gestion des urgences, des crises et de la continuité. Troisièmement, la norme doit soutenir la structure du système de gestion ISO ("High Level Structure") et éviter les doubles emplois, par exemple entre RM, CM ou QM. Les travaux sur la nouvelle norme sont bien avancés ; elle devrait être disponible sous la forme de l'ÖNORM 4901 dès le second semestre de 2019.
