« [reflète] aussi une importante leçon que nous avons tirée de la crise financière mondiale : les organismes de réglementation et les institutions financières doivent mettre l'accent à la fois sur le rôle du CGR et sur l'adoption de solides pratiques de gestion des risques. » ¹

Dans ce contexte, le présent article donne un bref historique du rôle de CGR et résume la situation actuelle dans laquelle les CGR se trouvent, en plus de relever les tendances quant à l'évolution possible de ce rôle, notamment les défis et contraintes probables.

Évolution du poste de CGR

On attribue généralement la création du poste de CGR à James Lam, qui a occupé ces fonctions vers le milieu des années 1990 chez GE Capital et a mis en place un système de gestion des risques bien connu de nos jours sous le nom de « gestion du risque d'entreprise »². En termes simples, il s'agit d'un système de gestion des risques qui analyse et contre les risques au sein d'une entreprise dans son ensemble. La gestion du risque d'entreprise a évolué au fil du temps pour devenir un vaste secteur alimenté par un fort volume d'activité, de recherches et de travaux d'érudition (qui débordent tous du cadre du présent article). Même s'ils étaient relativement uniques lorsqu'ils ont été rendus publics, les scandales d'entreprise (par exemple : Enron, Worldcom), combinés à la mise en place de divers cadres de réglementation exigeant le respect de certains paramètres en matière de risques (par exemple : Sarbanes-Oxley, Basel II), ont permis la percée et l'acceptation de la gestion du risque d'entreprise et du concept de la fonction de CGR. Cependant, cette acceptation n'était qu'à seule fin de permettre à une entreprise de se plier à des exigences réglementaires précises et ne constituait pas l'approbation du poste de CGR ou de la gestion du risque d'entreprise en tant que tels. Le poste s'est d'abord implanté dans les secteurs des finances et de l'énergie.³ Au cours des années qui ont précédé la crise récente, le poste de CGR a évolué : d'abord perçu comme un simple outil utilisé par de grandes multinationales ou par des entreprises assujetties à des exigences réglementaires précises, axé sur la prévention des pertes, comme c'est habituellement le cas en gestion des risques, le poste de CGR a commencé à être considéré par les entreprises les plus proactives comme un instrument qui crée de la valeur en repérant les occasions de tirer parti des risques, au lieu de simplement protéger l'entreprise contre les risques éventuels.⁴ Peu importe le contexte, le poste est devenu beaucoup plus exigeant.

Le poste de CGR aujourd'hui

Responsabilités

Il semblerait que, la crise étant passée, le poste de CGR demeure très différent selon les secteurs, illustrant les différences entre les types de risques auxquels les entreprises sont confrontées, leur gravité et leurs répercussions éventuelles. En outre, ce rôle peut comporter des différences notables au sein de deux entreprises du même secteur, ce qui illustre peut-être la nouveauté relative du concept et du poste. Parmi les facteurs ayant une incidence sur ces différences, on compte : (i) la taille et la portée globale de l'entreprise; (ii) l'approche de l'entreprise en matière de risque (par exemple, si la gestion des risques est considérée comme de première importance pour le conseil d'administration ou le chef de la direction); (iii) la présence d'un partisan de la gestion du risque d'entreprise ou d'une personne intéressée à être le fer de lance de la création d'un poste de CGR; (iv) la compétence du CGR. L'ensemble de ces facteurs définissent le poste de CGR au sein d'une entreprise donnée. Toutefois, de façon générale, les responsabilités du CGR sont habituellement axées sur la surveillance technique et l'influence de l'orientation.

La surveillance technique est la responsabilité précise qui consiste à recueillir des renseignements, des données et des analyses concernant les divers risques connus (et éventuellement inconnus) d'une entreprise (par exemple, les risques en matière d'exploitation, de conformité et d'ordre financier) et de repérer les nouveaux risques auxquels l'entreprise est exposée puis, en fonction de ces connaissances, d'acquérir une compréhension globale du rôle que jouent les risques au sein de l'entreprise, notamment les risques qui se chevauchent ou qui s'opposent, et plus précisément ceux qui pourraient passer inaperçus sans une vision globale de l'entreprise. Cette surveillance, qui est au coeur d'une approche de la gestion du risque d'entreprise, contraste de façon frappante avec l'approche « traditionnelle » de la gestion des risques qui se caractérise, dans le jargon propre au secteur, par la « compartimentation » des risques (c'est-à-dire que chaque service ou unité d'une entreprise gère ses risques de façon distincte). Il est généralement reconnu que les compétences requises pour s'acquitter de la responsabilité de surveillance technique du poste de CGR ne sont pas bien définies, ce qui explique pourquoi il est difficile de définir le rôle « type » d'un CGR.⁵

La deuxième responsabilité principale d'un CGR, l'influence de l'orientation, permet de faire la différence entre un CGR et la plupart des gestionnaires des risques et fait d'un bon CGR un membre essentiel et précieux de la haute direction. Il est primordial pour un CGR de bien comprendre l'ensemble des risques d'une entreprise. Toutefois, à moins que cette compréhension ne se traduise au sein de l'entreprise par des mesures ayant les résultats commerciaux souhaités, l'utilité d'un CGR demeure relativement restreinte.

En outre, on attribue généralement au CGR certaines ou la totalité des responsabilités suivantes :

• apporter le leadership, la vision et l'orientation d'ensemble de la gestion du risque d'entreprise;
  
• établir un cadre intégré de la gestion des risques couvrant tous les aspects des risques auxquels l'entreprise est exposée;
  
• élaborer des politiques de gestion des risques, notamment la quantification de l'appétit pour le risque de la direction à l'aide de limites précises;
  
• mettre en place un ensemble de paramètres et de rapports portant sur le risque, notamment en ce qui concerne les pertes et les incidents, l'exposition aux risques clés et les indicateurs d'alerte rapide;
  
• attribuer le capital économique aux activités commerciales en fonction des risques et optimiser le portefeuille de risques de l'entreprise au moyen d'activités commerciales et de stratégies de transfert des risques;
  
• améliorer l'état de préparation de l'entreprise face à la gestion des risques au moyen de programmes de communication et de formation, de mesures du rendement et de mesures incitatives fondées sur le risque et d'autres programmes de gestion du changement;
  
• élargir les capacités d'analyse et de gestion des systèmes et des données pour appuyer le programme de gestion du risque.⁶

Présentation de l'information

La structure hiérarchique au sein de laquelle le CGR évolue constitue un des facteurs déterminants, voire le principal facteur déterminant, de l'influence qu'il exerce sur les activités de l'entreprise. De nos jours, il existe un large éventail de structures hiérarchiques qui, même si elles présentent certaines difficultés ou certains désavantages, peuvent fonctionner de façon efficace. Voici certaines de ces structures.

Conseil d'administration  : Souvent, le CGR relève directement du conseil d'administration (le « conseil »), tout comme le chef de la direction. La capacité d'un CGR de rendre des comptes directement au conseil en ce qui concerne les risques auxquels l'entreprise est exposée semble être un mécanisme efficace pour que, en bout de ligne, la compréhension qu'a le CGR des risques qui touchent l'ensemble de l'entreprise se traduise par l'atteinte de résultats commerciaux précis. Il peut se révéler particulièrement efficace si les membres du conseil connaissent bien la gestion des risques et considèrent celle-ci comme une priorité pour l'entreprise. Toutefois, si les membres du conseil, à qui échoient déjà bien d'autres responsabilités, ne s'occupent pas proactivement de la gestion des risques (faute d'intérêt, de compréhension ou de temps, ou pour d'autres raisons), les efforts, les idées et la valeur du CGR pourraient être sensiblement diminués.

Comité du conseil  : Il existe également des structures dans lesquelles le CGR relève d'un comité du conseil, par exemple le comité de gestion des risques. De même, une structure qui permet au CGR de présenter ses conclusions et stratégies à certains membres du conseil peut se révéler avantageuse. Toutefois, elle est assujettie à des restrictions semblables à celles qui touchent la structure dans laquelle le CGR relève de l'ensemble du conseil, surtout s'il rend des comptes au comité de vérification d'une entreprise (à qui échoient déjà d'autres responsabilités cruciales et accaparantes) plutôt qu'à un comité spécialisé dans la gestion des risques.

Chef de la direction  : Peu importe l'influence que peut acquérir un CGR dans une entreprise, pour quelques personnes, dont certains CGR, ⁷ le chef de la direction sera toujours le principal CGR d'une entreprise. Ainsi, une structure hiérarchique dans laquelle le CGR relève directement du chef de la direction (si des liens étroits existent entre ces deux personnes) peut être une façon efficace de faire en sorte que la compréhension qu'a un CGR des risques qui touchent l'ensemble de l'entreprise se traduise par l'atteinte de résultats commerciaux précis, puisque cette compréhension des risques est communiquée à la personne responsable de la gestion globale de l'entreprise. Comme lorsque le CGR doit rendre des comptes au conseil d'administration, si un chef de la direction ne voit pas l'utilité du CGR, l'efficacité de celui-ci sera vraisemblablement restreinte. La communication de l'information au chef de la direction semble également constituer l'approche préconisée par le Bureau du surintendant des institutions financières. En juin dernier, madame la surintendante Dickson a déclaré ce qui suit :

« Le secteur bancaire mondial reconnaît que les CGR auraient dû occuper une place plus déterminante au sein de ses institutions. Par suite de la crise financière mondiale, la plupart des banques ont apporté des modifications pour que le CGR relève directement du chef de la direction. Le statut et la visibilité du CGR au sein de l'institution sont importants, que ce soit du point de vue du chef de la direction ou du conseil d'administration. De nombreux assureurs-vie en font autant, et j'encourage cette pratique. »⁸

Dans une récente étude internationale menée par KPMG International auprès de quelque 400 cadres de compagnies d'assurance de par le monde et publiée dans le numéro de novembre 2009 de la publication de KPMG intitulée «  Getting the Balance Right » (disponible au http://www.kpmg.ca/), 45 % des répondants ont déclaré que le CGR de l'entreprise pour laquelle ils travaillent relevait du chef de la direction. Robert Lang, de HSBC, aurait affirmé que, à titre de chef de la direction, il considérerait toujours le CGR comme une personne relevant directement de lui et un collaborateur clé dans la gestion quotidienne de son entreprise et des aspects stratégiques de celle-ci.

Chef des finances, chef de l'information, chef de la conformité  : En général, on considère qu'une structure hiérarchique dans laquelle un CGR relève du chef des finances, du chef de l'information, du chef de la conformité ou d'un autre cadre confère moins d'influence au CGR et, en bout de ligne, est moins efficace pour ce qui est de l'atteinte de résultats positifs. Ce raisonnement s'explique par le fait que, de façon générale, le chef des finances, le chef de l'information et le chef de la conformité n'ont pas l'influence requise à l'échelle de l'entreprise pour mettre en oeuvre des stratégies conçues par suite d'une analyse de l'ensemble de l'entreprise et ayant pour objet de régler des problèmes qui touchent l'ensemble de l'entreprise. Dans cette même étude, 20 % des répondants ont déclaré que leur CGR relevait du chef des finances.

Avenir du poste de CGR

Le rôle de CGR continuera sans aucun doute à évoluer et sera déterminé par un certain nombre de facteurs. S'il n'y avait pas eu de crise financière, peut-être que les CGR se concentreraient sur le repérage des risques qui créent de la valeur pour une entreprise, concept qui, comme il est indiqué ci-dessus, a caractérisé les années qui ont précédé la crise financière. Toutefois, à la lumière de la crise financière, il semble que les motivations futures des institutions financières, en ce qui concerne la mise en oeuvre de la gestion du risque d'entreprise et la nomination de CGR, qui auront également une grande influence sur le rôle des CGR, seront davantage orientées vers la prévention des pertes et la conformité à la réglementation. En fait, Ernst & Young a prédit récemment, dans son document du Global Insurance Center sur les perspectives en matière d'assurance aux États-Unis en 2010 qui traite du secteur de l'assurance-vie, que le CGR devrait également répondre aux demandes croissantes des organismes de réglementation et des agences de notation sur les risques qui sont pris et sur la capacité de les absorber.⁹

Au Canada, madame la surintendante Dickson a démontré cette tendance croissante à mettre l'accent sur la réglementation en déclarant de façon générale ce qui suit :

« J'estime qu'il est indispensable d'avoir un chef de la gestion des risques chevronné et intelligent, qui fait partie de l'équipe des cadres, qui a de l'influence et qui a la réputation au sein de l'organisation de quelqu'un qui met tout en oeuvre pour optimaliser les intérêts des actionnaires et des déposants à long terme - non à court terme. Les institutions financières ne devraient pas lésiner sur le talent de leur chef de la gestion des risques. Après tout, le titulaire de ce poste est appelé à composer avec les pressions exercées par les actionnaires en vue d'augmenter les bénéfices et le cours des actions, ce qui est habituellement synonyme de prendre des risques.du moins jusqu'à ce qu'un problème se présente. »¹⁰

À une autre occasion, elle a également affirmé ce qui suit :

« (.) chaque fois qu'une institution financière nomme un agent principal de gestion des risques ou un titulaire de niveau équivalent, nous nous demandons de quelle façon sa nomination influera sur notre évaluation du risque. Nous nous interrogeons sur la profondeur des compétences du titulaire, sur l'influence qu'il exercera et sur son attitude générale envers le risque. Je ne vous cacherai pas que de telles nominations ont suscité des réactions tantôt positives tantôt négatives au BSIF. »¹¹

En ce qui concerne les préoccupations du BSIF, elle a fait les observations suivantes :

« Les thèmes qui ressortent de deux rapports récents, soit celui de l'Institut de finances internationales (IFI) diffusé le 17 juillet 2008 et celui du Counterparty Risk Management Policy Group (CRMPG) III diffusé le 6 août 2008, sont semblables. Ces rapports sont volumineux, mais ils renferment plusieurs éléments importants pour les banques et les sociétés d'assurances.

... 

Les chefs de la gestion des risques devraient périodiquement demander que les investissements effectués au chapitre de la gestion des risques soient examinés et évalués et qu'un compte rendu en soit fait à la haute direction et au conseil d'administration. Cette démarche ne doit pas être entreprise uniquement après que l'on ait constaté un problème grave; elle doit faire partie des activités courantes de la société. »¹²

En comparant les différents secteurs réglementés par le BSIF, elle a noté ce qui suit en ce qui concerne les CGR de compagnies d'assurance biens et risques divers :

« Même si l'industrie des assurances multirisques devance peut-être les autres secteurs pour ce qui est de la gestion de certains risques, la création du poste d'APGR et des processus connexes permettant d'évaluer plus rapidement le risque à l'échelle de toute une organisation y accuse un certain retard jusqu'ici.

Le BSIF reconnaît que l'industrie des assurances multirisques regroupe des institutions diversifiées sur le plan de la taille, du nombre et de la complexité de leurs branches, de leur appétit pour le risque, etc., et que, logiquement, tous ces facteurs se traduiront par des exigences différentes quant à la robustesse du programme de gestion des risques. Je ne saurais, par ailleurs, exagérer l'importance de mettre en place un processus de gestion des risques à l'échelle de l'entreprise pour faciliter la gestion des nombreux risques connus, inconnus et nouveaux auxquels les sociétés d'assurances multirisques ont à faire face en ces temps difficiles. » ¹³

Entre-temps, au Royaume-Uni, le rapport rédigé par David Walker en novembre 2009 intitulé «  A Review of Corporate Governance in UK Banks and other Financial Industry Entities », communément appelé le « rapport Walker », recommande que les banques et autres institutions financières aient recours aux services d'un CGR qui participe à la gestion des risques et au processus de surveillance aux échelons supérieurs dans l'ensemble de l'entreprise. Le rapport Walker recommande également que le CGR relève directement du chef de la direction ou du chef des finances, de même que d'un comité de gestion des risques du conseil.¹⁴ Dans le même ordre d'idées, le Committee of European Banking Supervisors (le « CEBS ») a récemment publié ses principes de haut calibre pour la gestion des risques dans le cadre de ses normes et directives pour 2010.¹⁵ Ces principes de haut calibre, qui ont pour objet de renforcer la culture du risque au sein d'institutions au moyen d'améliorations de la gestion des risques¹⁶ et dont le CEBS recommande à ses membres la mise en oeuvre avant la fin de 2010, comprennent des directives additionnelles visant le rôle de CGR et la gestion des risques.

La composition des conseils d'administration et l'importance qu'ils accordent à la gestion des risques continueront de déterminer le rôle et la prééminence du CGR. Madame la surintendante Dickson a récemment fait les observations suivantes :

« Dans le cadre d'un récent discours sur la gouvernance, j'ai dit que les institutions devraient songer à renforcer l'expertise en gestion des risques et en assurances de leurs conseils d'administration. À mesure que les conseils d'administration évolueront, votre rôle de CGR changera aussi. La présence au conseil d'administration de gens qui comprennent vraiment la gestion des risques approfondira sans doute les discussions des administrateurs, ce qui ne peut nuire. »¹⁷

Un autre défi se pose pour la fonction de CGR, soit le manque de personnes compétentes. Comme il est mentionné ci-dessus, il est essentiel pour un CGR de posséder des compétences techniques de même que le nouvel ensemble d'aptitudes requises, soit la capacité de saisir l'ensemble des risques qui touchent une entreprise, que ce soit sur le plan financier ou de l'exploitation. De plus, ce problème se complique du fait que les entreprises sont nécessairement exposées à des risques différents, ce qui signifie qu'un CGR provenant d'une autre entreprise a relativement beaucoup de choses à apprendre.

Un des derniers défis qui se posera à l'avenir pour les CGR, de même qu'en gestion des risques d'entreprise en général, est que cette fonction demeure un poste de direction pertinent (et, en ce qui a trait à la gestion des risques d'entreprise, une technique de gestion des risques pertinente). En d'autres termes, le défi consistera à éviter que cela ne devienne, au fil du temps, que le dernier mantra ou la dernière lubie des entreprises (comme la gestion de la qualité totale, les cercles de qualité, l'amélioration permanente ou Six Sigma). Si la fonction de CGR dans son ensemble ne parvient pas à donner les résultats d'entreprise escomptés ou à attirer des personnes compétentes, elle pourrait perdre son caractère pertinent et ne demeurer un poste de haut calibre que dans des secteurs strictement réglementés, comme les secteurs financier ou de l'énergie. Un retour à la prospérité économique pourrait également menacer le statut du poste. Madame la surintendante Dickson a récemment remarqué que : « même si [les] services [des CGR] sont appréciés de nos jours, leurs conseils sont peut-être moins recherchés en période de prospérité ».¹⁸