« La bonne gouvernance est avant tout un enjeu de compétitivité de l'entreprise »

Propos recueillis par la rédaction questions de transformation - 06 novembre 2018

0
0
Les entreprises cotées sont soumises à des réglementations de plus en plus exigeantes, qui reflètent les évolutions économiques et sociétales. La technologie et la transformation digitale les exposent constamment à de nouveaux risques. Leurs organes de gouvernance sont donc challengés, non seulement pour continuer à donner un cap à la gestion de l'entreprise, mais aussi pour mesurer et anticiper les risques courants et émergents au sein de la totalité de leur écosystème.

Comment évoluent le fonctionnement et le travail des organes de gouvernance des entreprises du CAC 40 ?

Jeremy Thurbin – Les organes de gouvernance des entreprises du CAC 40 embrassent de plus en plus de sujets. L'étude sur le Panorama de la gouvernance 2018 (1) montre que le travail du conseil s'est encore intensifié et que le nombre de réunions a continué d'augmenter pour atteindre, en moyenne, 9,1 réunions en 2017 (contre 8,7 un an plus tôt). La gouvernance mobilise déjà beaucoup de monde : 16 personnes en moyenne pour les conseils et 4 pour les comités spécialisés (rémunération, audit, nominations...). Il est donc difficile d'envisager un réel élargissement supplémentaire. Le travail s'est aussi densifié en raison du nombre de sujets portés par ces organes de gouvernance : la cartographie et l'analyse des risques liés à des questions de cybersécurité ou à l'entrée en vigueur, le 25 mai 2018, du Règlement général sur la protection des données personnelles (RGPD), des risques en lien avec la corruption depuis l'entrée en vigueur de la loi Sapin 2, le 1er juin 2017, les différents sujets qui relèvent de la Responsabilité sociétale des entreprises (RSE)...

Quelles règles doivent-elles respecter ?

J. T. – Les entreprises françaises du CAC 40 doivent se soumettre au code Afep-Medef (2), qui s'ajoute aux différentes lois et obligations européennes, et à des règles très précises en matière d'environnement. Selon les entreprises, on a vu arriver deux nouveautés en matière de RSE : la déclaration de performance extra-financière et un devoir de vigilance sur les risques encourus par les personnes et l'environnement. À ce travail intense du conseil, se greffent des obligations de transparence accrues. La charge de travail induite est énorme et on peut légitimement se poser la question de l'adéquation de cet état de fait avec la rapidité d'évolution des risques et des circuits d'information. Il reste donc important de trouver un équilibre propice au bon fonctionnement des organes de gouvernance car, comme le rappellent le code Afep-Medef et les autres codes internationaux, la bonne gouvernance est avant tout un enjeu de compétitivité et de pérennité de l'entreprise.

Quels sont les principaux changements liés à la révision du code Afep-Medef de juin 2018 ?

J. T. – Les révisions intervenues en juin portent, entre autres, sur la création de valeur à long terme. Cette réflexion, qui n'est pas propre à la France, permet d'aller au-delà du gain des actionnaires et intègre différentes parties prenantes, dont les employés. Le code français reprend aussi une pratique qui existe déjà au sein des entreprises cotées et qui concerne l'inscription des enjeux RSE dans les critères de rémunération variable des dirigeants. Il intègre également une mention spécifique sur la nécessaire information du conseil d'administration et des comités spécialisés sur les travaux de prévention de la corruption, des dispositions sur la non-discrimination hommes-femmes au sein des comités de direction, le renforcement du dialogue entre le conseil et ses actionnaires, probablement à travers le rôle de l'administrateur référent auprès du président du conseil... Ce code fonctionne selon le principe de régulation du comply or explain. L'entreprise doit se conformer au code ou être en mesure d'expliquer pourquoi elle n'applique pas tel ou tel point. Ceci fait l'objet d'un suivi par le Haut Comité de gouvernement d'entreprise. Depuis juin, en cas d'absence de réponse dans les deux mois à une demande d'explication écrite sur la non-application du code, le courrier pourra être rendu public.

Comment le conseil et les comités doivent-ils faire évoluer leur évaluation des risques de l'entreprise ?

J. T. – Une des questions consiste à savoir comment appréhender en même temps les sujets émergents (corruption, RSE, protection des données) tout en tenant compte des risques liés à la transformation digitale et à l'empreinte géographique et géopolitique de l'entreprise, qui n'ont évidemment pas disparu. Les organes de gouvernance doivent trouver les moyens de hiérarchiser et de gérer tous ces risques, de voir si cela reste possible en s'appuyant sur les moyens traditionnels de cartographie, de plans d'action et de contrôle, ou s'il faut aller vers davantage de contrôles préventifs pour s'assurer que ces événements n'arriveront pas. C'est évidemment le cas sur des questions de cybersécurité ou de RGPD, de détection de la corruption... Il y a encore trop peu de contrôles préventifs, qui sont pourtant plus efficaces en termes de moyens humains et techniques et qui se révèlent critiques sur les risques émergents - on parle beaucoup de vigilance sur les notions de Know your Customer (KYC) ou Know your Supplier. Et enfin, quels sont les capteurs mis en place par l'entreprise pour vérifier que ces procédures sont correctement appliquées ? Il faut par exemple être capable de déceler les taux de marge atypiques, des contrats trop beaux pour être honnêtes, des durées d'accords avec les fournisseurs qui dépassent la norme...

Comment conseil et comités abordent-ils plus spécifiquement les risques émergents ?

J. T. – La transformation digitale de l'entreprise, de son marché et de ses concurrents induit de nouveaux risques pour le conseil, qu'il n'est pas toujours aisé d'évaluer. Les comités de direction se sont saisis de compétences digitales en créant des fonctions de Chief Digital Officer (CDO) et d'experts en cybersécurité, mais ce n'est pas pour autant que l'on doit forcément voir arriver un spécialiste cyber au sein de chaque conseil. Le positionnement du comité de direction à cet égard n'est pas évident par rapport au conseil d'administration. Il y a forcément une expertise aux deux niveaux, mais il y a toujours une différence d'approche entre le comité de direction, qui doit mettre en œuvre la stratégie, et le conseil qui doit exercer une supervision et un contrôle.

En quoi consiste une bonne transparence dans le fonctionnement de la gouvernance ?

J. T. – La transparence regroupe plusieurs sujets. L'entreprise doit d'abord pouvoir expliquer comment fonctionne son conseil, quel est le rôle des administrateurs, quelle est leur expérience, pourquoi tel administrateur siège dans tel comité, quels sont les sujets traités... On regarde aussi quel est le taux d'assiduité des administrateurs. Enfin, il y a l'évaluation des conseils, qui a lieu en général tous les trois ans. De plus en plus d'entreprises communiquent sur le fait qu'elles ont procédé à une évaluation, sur les sujets évalués, si les évaluations ont été réalisées en externe par des tiers - et certaines entreprises innovent dans leur communication à cet égard... On voit ainsi une évolution constante vers plus de transparence.

L'évolution des modèles économiques et la transformation digitale sont-elles suffisamment à l'agenda des organes de gouvernance des entreprises du CAC 40 ?

J. T. – Les conseils se saisissent de plus en plus de sujets très opérationnels, en lien avec leur transformation. L'an dernier, 25 % des entreprises du CAC 40 disent avoir traité de sujets en lien avec la transformation digitale, et 35 % ont abordé d'autres grands projets de transformation, qui peuvent inclure une partie digitale. Une année plus tôt, c'était respectivement 8 % et 18 %. On est donc sur des évolutions significatives.

Quels sont les autres défis pour l'avenir ?

J. T. – Les entreprises vont devoir donner à leurs conseils d'administration, qui se réunissent déjà presque tous les mois, les moyens d'aborder les nouveaux sujets autour de la création de valeur à long terme. Pour garder une nécessaire agilité, l'évaluation, la mesure et le contrôle des risques se feront de plus en plus a priori. L'enjeu consistera donc à mettre en place des canaux d'alerte et à utiliser l'ensemble des données internes et externes à disposition, y compris avec l'aide de l'intelligence artificielle. Les dispositifs d'évaluation des risques et d'analyse de contrôle interne devront aussi évoluer pour capter les signaux faibles et pour être alerté au plus vite en cas de crise. C'est un enjeu pour les comités de direction, comme pour les conseils d'administration.

(1) EY, Étude Panorama de la gouvernance 2018, octobre 2018.
(2) Réalisé sous l'égide de l'Association française des entreprises privées (Afep) et du Mouvement des entreprises de France (Medef), le Code Afep-Medef regroupe des recommandations dans les normes de gouvernance des entreprises cotées pour améliorer leur fonctionnement et leur gestion, la rémunération des dirigeants mandataires sociaux exécutifs et non exécutifs... Il est adopté par la quasi-totalité des sociétés du SBF 120.
 


{POPUP_CONTENT}