Risques juridiques et financiers de l'entreprise (fr)
Cet article est issu de la Grande Bibliothèque du Droit, un projet proposé par l'Ordre des avocats du barreau de Paris. Pour plus de renseignements concernant cet article, nous vous invitons à contacter son auteur |
France > Droit commercial > Droit de l'entreprise
Compte-rendu de la Conférence « Campus 2013 » réalisé par la rédaction de Lexbase-édition privée,
Intervenants : Franck Verdun, avocat au barreau de Paris, Jean-Louis Scaringella, Professeur associé à l'Université́ Paris 2 Panthéon Assas, Bruno Dunoyer de Segonzac, ancien risk manager,
Campus 2013
Sommaire
Les risques financiers
Jean-Louis Scaringella, Professeur associé à l'Université́ Paris 2 Panthéon Assas
Le monde progresse par l'innovation, par l'invention et par le mouvement. Cette démarche se vérifie dans tous les domaines, où l'on constate un cycle de vie des idées, des êtres, des cultures, des produits et des choses. Ce mouvement passe par des états, par définition précaires du simple fait que les conditions générales ne cessent de changer. Entre-temps, il existe un état d'apparente stabilité́ où l'on peut discerner des mouvements de changement, de transformation, de mutation qui annoncent un nouvel état précaire. Le mouvement est en fait consubstantiel au monde et aux activités humaines. C'est particulièrement vrai en économie et dans l'entreprise. On ignore, en effet, combien de temps dure tout nouvel ordre. Cette transformation permanente de l'environnement est bien entendu au centre de l'activité́ des chefs d'entreprise. Il y a même un modèle d'analyse stratégique qui s'appelle le modèle PESTEL (politique-économique-social-technique-environnemental-légal), chaque initiale désignant les composantes qui s'imposent à l'entreprise et auxquelles elle doit s'adapter. Le rôle du chef d'entreprise est donc de faire évoluer son offre de services et de produits pour qu'elle soit performante dans un nouvel environnement. Cette évolution de l'offre se conduit dans l'incertitude de ce que sera le nouvel environnement : les décisions de l'entreprise se font nécessairement dans le doute à partir d'une hypothèse sur ce que seront les nouvelles conditions de l'environnement extérieur dans toutes ses composantes.
Elle prend, par conséquent, des risques qui ne sauraient être évités car liés à la démarche stratégique; c'est la condition indispensable pour que l'entreprise ait un temps d'avance, pour qu'elle soit la première à satisfaire le marché. La prise de risque est donc inhérente à l'activité́ de l'entreprise et de l'entrepreneur, comme l'a démontré́ Schumpeter avec sa théorie de la destruction créatrice : le chef d'entreprise ne doit pas craindre d'abandonner un état pour un autre qui lui semble meilleur. Prendre la mesure des risques, c'est donc faire évoluer l'entreprise.
Lorsque l'on aborde la question de la gestion des risques, les béotiens pourraient penser que le but est de trouver les meilleurs moyens de supprimer les risques. Or, tel n'est pas le cas, puisque sans risque, le rendement ne sera jamais au rendez-vous et sans risque, il n'y aura pas d'innovation. En effet innover, c'est s'écarter des certitudes de l'existant dans une démarche de progrès, vers un monde meilleur. Plus une entreprise s'engage dans une logique de risk management avec l'idée que les risques peuvent être "valorisés", plus elle s'en trouve transformée.
Les entreprises sont un agrégat de risques. Le risque est traditionnellement définit comme un évènement dont l'occurrence est incertaine et dont la réalisation affecte les objectifs de l'entreprise qui le subit. Les risques susceptibles d'affecter l'entreprise sont protéiformes. Tous se traduisent par des effets financiers, c'est-à-dire avec un impact sur le cash-flow, mais tous ne sont pas financiers.
Les risques financiers proprement dits sont, d'abord, le risque de marché, lié à la volatilité́ d'un prix, avec le risque de change, le risque de taux, le risque d'actifs (subis par ceux qui détiennent des actifs volatiles).
Il existe ensuite des risques financiers dus à une décision de gestion : - le risque de liquidité́, lorsque le besoin en fonds de roulement excède le fonds de roulement ; - le risque d'impayé́ ; - le risque "pays", lié aux transformations politiques ; - le risque technique ; - le risque de non-conformité́, lié à l'application de normes, notamment concernant la gouvernance.
Comme tous les risques, les risques financiers s'évaluent; c'est le rôle des agences de notation. Les risques financiers se gèrent, soit en diminuant la probabilité́ d'occurrence des risques, c'est le rôle du management financier; soit en tentant de limiter la gravité des conséquences de l'occurrence en utilisant les mécanismes de couverture (couverture des risques de change, couverture des risques de taux, produits dérivés...) et les assurances.
L'approche de la gestion des risques en entreprise
Bruno Dunoyer de Segonzac, ancien riskmanager
Aujourd'hui dans les grandes entreprises, les risques sont gérés par des personnes spécialisées que sont les risk managers ; à défaut ce rôle sera le plus souvent joué par le directeur financier, voire le directeur général. Lorsque le risk manager existe, il s'agit d'une personne de l'ombre qui a pour objectif de faire fonctionner le processus et non de gérer le risque, contrairement à ce que nom indique. "Le risk manager n'est ni Cassandre, ni Madame Irma". Il doit donc, avant tout, mettre en place et animer un dispositif pérenne, transverse aux organisations, de façon à délivrer régulièrement un état global des risques encourus par l'entreprise. Les risques sont protéiformes et multifonctionnels, de sorte que le risk manager ne doit pas être cantonné à l'étude de risques opérationnels.
L'état global des risques est délivré́ de façon régulière (trois fois par an pour une grosse entreprise de télécommunication). La cartographie des risques est une classification des risques par importance.
La notion de risque. Le risque, c'est la perception préalable d'un évènement dont les conséquences, s'il survenait, empêcheraient l'atteinte d'un objectif. Il s'agit d'une perception préalable car dès qu'il se réalise, il ne s'agit plus d'un risque mais d'un évènement. La stratégie globale de l'entreprise est l'atteinte de l'objectif ; tout ce qui peut empêcher sa réalisation devient un risque qu'il convient d'identifier et de gérer. Un objectif est l'espérance d'un résultat à atteindre pour satisfaire un besoin. Une série d'actions sera alors réalisée afin de satisfaire ce besoin. Se présenteront nécessairement des obstacles prévus ou non prévus qui devront être traités les uns après les autres pour atteindre l'objectif.
L’origine des risques. En entreprise, pour générer du chiffre d'affaires qui est l'objectif premier de l'entreprise, il faut une stratégie (idée créative, innovation), un financement et un processus de fonctionnement pour pouvoir créer l'objet du chiffre d'affaires. Les risques se situeront donc dans ces trois éléments : ils seront donc stratégiques, financiers et opérationnels, en fonction de leur origine.
Le contrôle interne et la gestion des risques : risques induits/risques contextuels. Le contrôle interne correspond aux points de contrôle sur les risques inhérents aux processus de l'entreprise.
La gestion des risques correspond quant à elle à l'identification et à l'anticipation des risques contextuels du marché où évolue l'entreprise : l'approche est donc à la fois environnementale et systémique. Un risque est un évènement qui pourrait affecter : - la capacité́ de l'entreprise à atteindre ses objectifs stratégiques, opérationnels et financiers, - un processus de l'entreprise qui la conduirait à ne plus maîtriser ses activités.
La gestion de risque n'est pas là pour éviter le risque mais pour l'identifier et le designer.
Le dispositif de gestion des risques. Le processus de gestion des risques se décompose de la façon suivante : - identification; - valorisation; - partage cartographique; - décisions; - plans d'actions ; - communication.
La gestion des risques est faite pour deux ordres : les opérationnels et la gouvernance. En fait, la finalité́ du risk management est de donner une information à l'actionnariat sur les risques connus, gérés, potentiels, afin que celui-ci investisse en toute transparence.
1. Collecte des éléments
La collecte des éléments internes s'effectue, en premier lieu, par la réalisation d'interviews des cadres dirigeants en les questionnant sur les éléments qui leur posent des problèmes compte tenu de leurs objectifs. Il s'agit d'une véritable introspection qui peut être parfois très compliquée pour certains. Sont concernés le comité́ de direction de l'entreprise et les managers qui sont nommément identifiés par le contrôle interne comme exerçant dans un secteur plus risqué.
La collecte des éléments internes s'effectue, en second lieu, par un workshop d'acteurs identifiés dans les différentes structures organisationnelles de l'entreprise.
La collecte des éléments externes suppose, quant à elle, d'opérer une veille rigoureuse de l'actualité́, notamment, de surveiller les états de lieux économiques des grands agents économiques qui comptent, comme les banques ou les entreprises du secteur de l'énergie. La collecte des éléments externes impose de veiller également l'évolution politique et notamment les orientations des réformes, les modifications législatives ou réglementaires à venir, mais aussi le contexte culturel, c'est-à-dire les grandes valeurs sociales et morales (risque d'image ou de réputation), ou encore le contexte sociétal afin d'identifier, en particulier, les typologies générationnelles en présence.
2. Evaluation
L'évaluation du risque s'effectue à travers quatre points : - designer le propriétaire du risque dans l'entreprise ; - évaluer l'impact (montant maximum de destruction possible) ; - estimer l'occurrence (capacité́ du scénario à se produire, vraisemblance) ; - définir avec les acteurs un pourcentage de maitrise opérationnelle de chaque scénario, c'est-à-dire se demander s'il existe un plan de secours, une procédure de contrôle, une capacité́ de mobilisation de ressources de traitement rapide en cas d'occurrence.
3. Partage cartographique
Les risques sont numérotés et classifiés. Ils évoluent en fonction de leur importance et des volontés de la direction qui peut souhaiter que certains risques n'apparaissent pas et soient donc traités en amont, comme le risque de grève qui impose aux managers concernés de privilégier un dialogue social de grande qualité́ avec les syndicats.
4. Décisions et plans d'actions
Les résiduels supérieurs à l'indice d'appétence désigné́ par le management, doivent provoquer une décision de réduction : - transfert, sous-traitance, cessation d'activité́ ; - provision ; - assurance, produit financier de couverture ; - plan d'actions, plan de secours, PCA ; - plan de communication prévisionnelle, gestion de crise ; - acceptation partagée.
La responsabilité́ du traitement du risque et de la mise en œuvre des plans d'actions reste aux mains des opérationnels.
5. Reporting et communication
Un reporting est effectué́ à l'exécutif, c'est-à-dire à la direction générale et au management. Les éléments sont communiqués aux organes de gouvernance que sont le comité́ des comptes et le conseil d'administration. Les risques sont ensuite publiés via un document de référence et le rapport annuel à destination des investisseurs.
Le management des risques et les risques juridiques
Franck Verdun, avocat au barreau de Paris, Verdun Verniole avocats
Définition du risque juridique. La définition du risque juridique est assez controversée puisque, pour certains, ce risque est inexistant, dès lors qu'il ne résulterait que de la transgression de la loi. Par ailleurs, les risques perçus comme juridique résultent souvent de risque opérationnel avec des conséquences juridiques (ex. : un sinistre suivi d'une action en responsabilité́). Cependant, le changement de norme juridique (ex. : revirement de jurisprudence) ou la non-conformité́ à une norme juridique de comportement militent pour une définition, sui generis, du risque juridique.
Le risque juridique a ainsi été́ défini comme la conjonction d'une norme et d'un évènement, l'un et/ou l'autre frappé(s) d'incertitude, générant des conséquences susceptibles d'affecter la valeur de l'entreprise (Christophe Collard, in Risque juridique et conformité́, Lamy)
Le premier évènement à l'origine du risque juridique est donc constitué par le changement de norme. La prévention ou le traitement de ce risque implique la mise en œuvre d'une veille juridique. Le changement de norme nécessite une interprétation de celle-ci qui peut être à l'origine d'un risque de non-conformité́.
L'autre évènement à l'origine du risque juridique est constitué́ par la transgression d'une norme juridique de comportement. Il s'agit ici du risque de non-conformité́ à l'origine de mise cause de la responsabilité́ juridique civile, pénale, etc.
L'intérêt de définir le risque juridique est d'identifier les propriétaires du risque, c'est-à-dire les personnes ou entité́ ayant la responsabilité́ du risque et ayant autorité́ pour le gérer (définition ISO 31 000). Ainsi, pour tout ce qui concerne le risque lié à l'identification du changement de norme juridique et à l'interprétation de celle-ci, on peut considérer les juristes et la direction juridique comme propriétaire du risque.
La non-conformité́ provient pour l'essentiel du non-respect de la norme juridique, par exemple un contrat par les opérationnels. Les propriétaires du risque de conformité́ (ou de non-conformité́) sont donc les opérationnels. Les juristes apporteront leur expertise aux opérationnels pour prévenir et traiter ce risque.
Méthodologie de gestion du risque juridique. La gestion du risque juridique reprend la méthodologie classique du risk management, telle qu'elle a été́ présentée précédemment, à savoir : - identifier les risques juridiques ; - évaluer les risques ; - cartographier les risques ; - traiter les risques.
1. Identification des risques juridiques
L'identification des risques juridiques s'effectue donc par des audits, des interviews des opérationnels et des juristes. Les avocats ont un rôle essentiel à jouer dans cette phase d'identification des risques juridiques puisque, tenus par la confidentialité́, ils pourront protéger les informations recueillies, notamment en droit de la concurrence. L'identification du risque juridique nécessite l'analyse de pièces "juridiques", telles que les mises en demeure d'autorités de contrôle, comme l'inspection du travail, ou les décisions judiciaires rendues à l'encontre de l'entreprise.
Il est également possible d'utiliser des outils issus de l'analyse stratégique, notamment la chaine de valeur proposée par Michael Porter. Cette approche permet de distinguer les activités de l'entreprise et leur contribution à la création de valeur et de marge de l'entreprise. L'utilisation de la chaîne de valeur de l'entreprise permet d'identifier les risques qui peuvent impacter chacun de ses segments et donc empêcher ou diminuer la création de valeur.
2. L'évaluation du risque juridique
L'évaluation du risque juridique nécessite de définir des critères de risque afin de déterminer les risques les plus graves pour l'entreprise. Chaque entreprise a des risques propres qui peuvent impacter sa stratégie. Ainsi, seront notamment identifiés les risques qui menacent la continuité́ de l'exploitation (ex. : un arrêt de chantier par l'inspection du travail), qui impactent des ressources (ex. : une condamnation en droit de la concurrence ou l'exercice d'une class action) ou qui compromettent sa stratégie (ex. : avantage concurrentiel lié à la possession d'un brevet).
Si la plupart des risques ont des répercussions financières directes, certains risques juridiques atteignent le capital immatériel de l'entreprise. C'est tout particulièrement le cas du risque de réputation, qui pourra par exemple provenir d'une condamnation pour faits de corruption ou pour entente. Or, le capital immatériel de l'entreprise est de plus en plus pris en compte dans sa valorisation. Ce risque a donc un impact financier certes indirect mais qui peut se révéler très important.
3. La cartographie du risque juridique
Une fois l'évaluation effectuée, les risques sont cartographies en fonction de leur gravité et de la probabilité́ d'occurrence. Il est également possible de mettre en exergue, par l'utilisation de pictogrammes, le risque pénal, le risque d'image ou de réputation, ainsi qu'un risque dont la gravité est en croissance et qu'il y a lieu de surveiller particulièrement.
4. Le traitement du risque
La cartographie des risques juridiques permet de vérifier l'adéquation des ressources de la direction juridique aux risques identifiés, et notamment les plus graves. Elle peut donc conduire à définir une politique de formation, de recrutement de juristes ou le choix de prestataires externes, comme les avocats.
Elle aide également à la direction juridique à piloter les plans de traitement des risques avec les opérationnels : mettre en œuvre des dispositifs de conformité́ (compliance) sur les risques les plus graves (ex. : concurrence, corruption, environnement, RPS). L'identification des risques et des propriétaires des risques permet également de construire une architecture de délégations de pouvoirs adaptée et des formations associées.
Cette approche permet aux juristes de participer activement à la gestion globale des risques de l'entreprise en collaboration avec le risk manager et d'alimenter le comité́ d'audit qui est obligatoire dans les sociétés cotées.
Les avocats ont un rôle important à jouer dans cette démarche vis-à-vis des directions juridiques. Ils pourront notamment fournir un apport méthodologique et pratique, tout particulièrement dans la phase d'identification des risques en procédant aux interviews des directions juridiques et des opérationnels, mais également dans la formation des opérationnels, en collaborant à la rédaction de codes de bonne conduite, et des délégations de pouvoir... Ils apportent, en outre, une appréciation concrète de la dimension judiciaire du risque juridique.
Voir aussi
- Trouver la notion entreprise risque juridique financier dans l'internet juridique français