Facteurs de changement proposés

Facteur de changement n° 1 : Augmentation globale des attentes à l'égard des conseils d'administration et des organes de gouvernance en matière de surveillance des risques dans les secteurs privé et public

Depuis la crise financière mondiale de 2008, les conseils d'administration du secteur privé et ce que l'IIA appelle les "organes de gouvernance" dans les secteurs public et à but non lucratif sont de plus en plus sollicités pour mieux superviser les processus de création et de contrôle des stratégies et des objectifs de création de valeur, ainsi que pour identifier et évaluer les risques qui créent une incertitude quant à la réalisation des stratégies et des objectifs. Il est de plus en plus reconnu que les organes de gouvernance devraient être responsables de la supervision de l'efficacité de la planification stratégique, de la gestion des risques d'entreprise et de l'audit interne. La mise à jour du code de gouvernance britannique, qui vient d'être publiée en janvier 2024⁴, illustre cette tendance.

L'IIA, dans son modèle des trois lignes de défense pour 2020⁵ définit les rôles de l'organe de gouvernance comme suit :

Principe n° 2 : Rôles de l'organe de gouvernance

L’organe de gouvernance est chargé de s’assurer que :

• les structures et processus adéquats sont en place pour garantir l’efficacité de la gouvernance;
• les objectifs et les activités de l’organisation sont en lien avec les intérêts prioritaires des parties prenantes.

Ce modèle définit également les principales responsabilités de l'organe directeur :

L’organe de gouvernance :

• délègue des responsabilités et alloue des ressources à la direction pour lui permettre de réaliser les objectifs de l’organisation tout en veillant au respect des exigences d’ordre juridique et éthique;
• met en place et surveille une fonction d’audit interne indépendante, objective et compétente chargée d’apporter clarté et confiance quant aux progrès accomplis en matière d’atteinte des objectifs.

Dans le secteur des services financiers, le Bureau du surintendant des institutions financières (BSIF) a publié en septembre 2018 un guide intitulé simplement "Gouvernance d'entreprise"⁶. Le BSIF définit la gouvernance d'entreprise comme suit :

La gouvernance d’entreprise s’entend de l’ensemble des relations entre la haute direction, le conseil d’administration (le conseil), les actionnaires et autres interlocuteurs d’une société. Elle fournit également la structure permettant de fixer les objectifs de la société, de déterminer les moyens à prendre pour les réaliser et de suivre le rendement.

Les responsabilités du conseil d'administration du BSIF sont alignées sur les directives du gouvernement fédéral publiées par le Secrétariat du Conseil du Trésor (SCT)⁷. La définition de la "gouvernance" du BSIF - axée sur la définition et la supervision de la stratégie, des objectifs et du suivi des résultats - est de plus en plus considérée comme une bonne pratique pour les secteurs public et privé.

Malheureusement, tant le BSIF que le SCT au niveau fédéral au Canada semblent encore supposer que la GRE signifie la création et la tenue de registres ou de listes de risques. Cela correspond aux résultats des études annuelles menées conjointement par l'American Institute of Certified Public Accountants (AICPA) et la North Carolina State University, qui continuent d'indiquer des progrès limités dans l'intégration de la planification stratégique et de la gestion des risques d'entreprise⁸.

La mise en œuvre des concepts fondamentaux de la GRE et l'obtention des avantages promis par le COSO et l'ISO ont également progressé lentement aux niveaux provincial et municipal. La Colombie-Britannique, et d'autres provinces, ont pris le contre-pied de la tendance et adopté une approche de la GRE centrée sur le risque. Elles affirment avoir utilisé la norme internationale de gestion des risques ISO 31000, qui définit le "risque" comme "l'effet de l'incertitude sur les objectifs"⁹.

Cependant, malgré ces efforts, la tendance générale des pratiques de gestion des risques continue de ne pas répondre aux attentes croissantes des organes de gouvernance.

Les municipalités canadiennes qui ont mis en œuvre des cadres de GRE similaires, axés sur le risque ou basés sur le registre des risques, sont notamment Toronto, Peel, Edmonton et Halifax. La GRE basée sur la liste des risques n'intègre pas la GRE à la planification stratégique, aux objectifs clés et à la performance.

Facteur de changement n° 2 : Acceptation croissante du fait que la GRE doit relier la stratégie, les objectifs, les risques, le traitement des risques, l'état des risques résiduels et la performance.

Comme indiqué dans la première partie de cet article, la norme ISO 31000:2018¹⁰, la norme mondiale de gestion des risques, définit le risque comme "l'effet de l'incertitude sur les objectifs". Cette définition, ainsi que l'approche globale proposée par l'ISO, constitue la base du Cadre statégique de gestion du risque du gouvernement fédéral canadien¹¹. Une vue d'ensemble de cette norme est présentée ci-dessous. Le changement le plus important dans la mise à jour de 2018 est l'accent mis dans le cercle supérieur sur la "création et la préservation de la valeur".

Diagramme 2 – Relations entre les principes, le cadre organisationnel, et le processus de COSO

En 2017, le COSO a publié une mise à jour de son document de référence en matière de gestion des risques d'entreprise (GRE)¹². L'un des principaux objectifs du COSO ERM 2017 est de convaincre les organisations de passer de pratiques de GRE axées sur le risque/la liste des risques, largement utilisées à l'échelle mondiale, à des pratiques qui intègrent véritablement la gestion des risques à la planification stratégique et à la prise de décision.

En janvier 2020, le COSO a publié un supplément : Creating and Protecting Value: Understanding and Implementing ERM¹³. (Créer et protéger la valeur : comprendre et mettre en œuvre la GRE). Pour renforcer les points soulevés dans le document COSO ERM 2017, encore largement ignoré, ce nouveau document de référence du COSO souligne à plusieurs reprises que la GRE doit être centrée sur la stratégie/l'objectif et non sur le risque.

  ⁴ https://media.frc.org.uk/documents/UK_Corporate_Governance_Code_2024_kRCm5ss.pdf

  ⁵ https:/www.theiia.org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense-july-2020/three-lines-model-updated-french-canadian.pdf

  ⁶ https://www.osfi-bsif.gc.ca/fr/consignes/repertoire-consignes/gouvernance-dentreprise-ligne-directrice-2018

  ⁷ https://www.tbs-sct.canada.ca/pol/doc-fra.aspx?id=19422

  ⁸ https://www.aicpa-cima.com/resources/download/2023-state-of-risk-oversight-report-14th-edition p.24

  ⁹ https://www2.gov.bc.ca/gov/content/governments/services-for-government/internal-corporate-services/risk-management

¹⁰ https://www.iso.org/obp/ui/fr/#iso:std:iso:31000:ed-2:v1:fr

¹¹ https://www.tbs-sct.canada.ca/polhttps://www.tbs-sct.canada.ca/pol/doc-fra.aspx?id=19422/doc-fra.aspx?id=19422

¹² https://www.coso.org/_files/ugd/3059fc_61ea5985b03c4293960642fdce408eaa.pdf

¹³ https://www.coso.org/creating-and-protecting