Christophe Wintgens, Marie-Jeanne Chèvremont, Anne Kayser (Photo: Julien Becker)

Christophe Wintgens, Marie-Jeanne Chèvremont, Anne Kayser (Photo: Julien Becker)

«Gouverner, c’est prévoir.» Émile de Girardin, homme politique parisien du 19e siècle, à qui l’on prête cette phrase devenue adage, avait le sens de la formule. Il n’aurait sans doute pas manqué de la replacer dans le contexte de la crise économique de 2008 et de ce qui en a découlé. Depuis six ans, le concept de gouvernance a gagné en popularité et celui de compliance lui est désormais souvent attaché. Or, l’un et l’autre ne devraient pas recouvrir une même réalité. «Il ne faut pas réduire la gouvernance aux seuls aspects que sont l’analyse de risques, la compliance ou l’audit interne. Les nouvelles réglementations ont mis l’accent sur ces aspects constitutifs d’un modèle de gouvernance global. Mais ils ne sont qu’une partie de ce qu’est la gouvernance, commente Marie-Jeanne Chèvremont, présidente de l’Institut luxembourgeois des administrateurs (ILA). Le rôle d’un conseil d’administration est beaucoup plus large. La gouvernance comprend aussi la vision de l’entreprise, la stratégie business, le développement et son suivi.»

Les entreprises, principalement celles du secteur financier, doivent répondre à des exigences réglementaires de plus en plus nombreuses, émanant des régulateurs, à l’échelle nationale ou européenne, et des autorités de contrôle. Suite à certaines dérives, des boulons ont été resserrés. «Chaque établissement doit faire face à un formalisme accru, mettre en place des structures qui répondent aux nouvelles exigences de manière claire, établir des comités participant à un meilleur contrôle, permettant une transparence plus grande, avec des rôles bien déterminés, précise Anne Kayser, membre du comité de direction de BGL BNP Paribas. Cela exige aujourd’hui d’être encore mieux organisé et structuré.»

Les devoirs des uns et des autres n’ont pourtant fondamentalement pas changé. Dans les faits, malgré une réglementation plus sophistiquée, les responsabilités du conseil d’administration sont identiques à celles qui ont été définies dans la législation de 1915. «La crise qui a secoué l’économie peut notamment s’expliquer par certaines dérives et par le fait que chacun n’a pas exercé le rôle qu’il aurait dû, commente Marie-Jeanne Chèvremont. Les réglementations dont nous parlons beaucoup aujourd’hui formalisent avant tout des éléments qui étaient censés être mis en œuvre préalablement. C’est notamment le cas pour l’évaluation des risques. Aujourd’hui, si on a tendance à devoir établir nommément responsabilités et procédures au sein du conseil d’administration et de la structure, l’évaluation des risques est inhérente, depuis toujours, à la fonction du conseil d’administration.»

Au sein d’une structure, toute la responsabilité ultime incombe à ce seul organe: le conseil d’administration. C’est lui qui définit donc les orientations que prend l’entreprise, en ayant évalué les opportunités et les risques. Le conseil d’administration s’assure aussi de la bonne mise en œuvre de ses décisions, évalue les performances et s’assure de travailler dans le respect des règles en vigueur.

Approche défensive

Les notions de compliance sont aujourd’hui au cœur des discussions, alimentent les débats au sein des conseils d’administration. La pression réglementaire et la publicité qui est faite autour ne sont pas sans effet sur le comportement des administrateurs. «Le rôle et la responsabilité des administrateurs ont été remis en lumière. Alors que, par le passé, ils s’appuyaient probablement un peu trop sur le CEO. Vu les discussions et débats que suscitent les nouvelles réglementations, les administrateurs ont tendance à adopter une approche défensive, explique Christophe Wintgens, associé du cabinet EY Luxembourg. La gouvernance s’assimile à l’anticipation des problèmes. Les administrateurs ont peur de mal faire et les nouvelles circulaires renforcent cet effet. Aussi, le marché est plus tendu depuis quelques années.»

La CSSF, par exemple, exige que des responsabilités soient nommément établies au sein des conseils d’administration. «Mais il ne faut pas oublier que, pour tout conseil d’administration, au final, la responsabilité est collégiale», précise Marie-Jeanne Chèvremont.

Encore faut-il que les administrateurs aient pleinement conscience de leur rôle et de leurs responsabilités et qu’ils puissent exercer leur influence en toute liberté. Une caractéristique luxembourgeoise réside dans le fait que les sociétés sont souvent des filiales d’organisations internationales qui font fi de l’entité juridique luxembourgeoise. «Le balancier est revenu à une situation dans laquelle les administrateurs sont plus enclins à être vocaux vis-à-vis de leur groupe et vice versa. Les maisons mères sont plus à l’écoute des recommandations effectuées par les membres du conseil d’administration, explique Christophe Wintgens. Ça n’a pas toujours été le cas dans la période qui a précédé la crise. Ce n’est qu’après que l’on s’est retourné vers certains administrateurs en leur demandant, ‘mais où étiez-vous, qu’avez-vous fait pendant ce temps?’»

Pour faire face à la charge de travail, dans le cadre d’une gouvernance optimisée, le conseil d’administration a la possibilité de s’organiser en comités. Ceux-ci s’attacheront à différentes problématiques, comme l’audit, les risques, la compliance, les rémunérations, etc.

Si le conseil d’administration dans son ensemble et ses membres, individuellement, doivent être conscients de leur rôle et de leurs responsabilités, ils ne sont pas seuls pour assurer la mise en œuvre de leurs décisions. Ils peuvent s’appuyer sur le comité de direction, le board of management ou son équivalent. «Son rôle est de veiller à la mise en œuvre, au quotidien, de l’orientation stratégique définie par le conseil d’administration, explique Anne Kayser. Le comité de direction ('la direction autorisée') a aussi des responsabilités bien établies. La nomination de ses membres doit, par ailleurs, dans certains cas, être approuvée par la CSSF. C’est la direction autorisée qui est responsable collectivement envers le régulateur, mais aussi envers les administrateurs, ultimes responsables.»

Si l’on s’autorise une analogie avec le monde du sport automobile, le conseil d’administration constitue le directeur de course, qui connaît le circuit et établit la stratégie qui doit permettre de gagner. C’est lui qui définit la vitesse à laquelle on roulera. Le comité de direction, lui, serait le pilote, chargé de mener la voiture – en l’occurrence l’entreprise – vers l’objectif fixé, selon la stratégie établie.

L’un et l’autre travaillent donc dans la même direction, avec des comptes à rendre à l’arrivée. Le comité de direction en réfère au conseil d’administration qui l’a nommé. Les administrateurs, eux, sont responsables vis-à-vis des actionnaires.

Contrôle à tous les étages

Reste que, selon la taille de la structure, l’activité et les réglementations en vigueur, il n’est pas toujours évident de maîtriser l’ensemble des paramètres et facteurs. Tout le monde, principalement quand de grandes responsabilités sont engagées, ne peut se contenter de faire une confiance aveugle en son board. C’est la raison pour laquelle d’autres structures, en interne, ont vu le jour: le contrôle interne, le compliance & risk officer ou le département répondant aux mêmes fonctions, et enfin l’audit interne indépendant. Tous participent à la fonction de contrôle sur trois niveaux.

Le premier est celui du contrôle interne, qui permet à la direction de s’assurer du respect des règles, de la performance, de la bonne allocation des ressources à la poursuite des objectifs fixés. Au deuxième niveau, on retrouve les fonctions risk et compliance. «Le compliance officer doit digérer les réglementations et les traduire au niveau des politiques et procédures de l’entreprise. Il travaille donc en amont de l’entrée en vigueur de la réglementation. Il lui appartient de s’assurer du respect de la législation, explique Marie-Jeanne Chèvremont. Son rôle est fondamental. Il est une personne ressource importante, qui doit pouvoir identifier ce qui doit être mis en œuvre, éveiller les responsables stratégiques et le comité de direction aux enjeux en matière de compliance.»

Si la compliance doit anticiper les réglementations, l’audit interne, troisième niveau de contrôle, doit évaluer le respect des règles, des décisions et des procédures en aval de leur mise en œuvre. Il est un organe indépendant, qui fonctionne selon des procédures d’audit définies au niveau du conseil d’administration. Il n’est donc pas attaché, ni au comité de direction, ni au conseil d’administration. C’est toutefois à ce dernier qu’il doit rendre des comptes.

«C’est un partenaire important de la gestion de l’entreprise, du suivi des décisions prises et du respect des règles. Sa légitimité est assurée par son indépendance, énonce Christophe Wintgens. Dans l’évolution actuelle des choses, sa fonction a tendance à s’apparenter moins à celle d’agent de contrôle ou d’inspecteur qu’à celle de conseiller du conseil d’administration lui donnant les éléments pour anticiper des problèmes. Cela se traduit de plus en plus par un nombre croissant de demandes spécifiques émanant du conseil d’administration à l’audit interne.»

La fonction de l’audit interne ne doit pas se résumer au contrôle. En exerçant son activité à tous les niveaux de l’entreprise, il est très au fait de son fonctionnement. À ce titre, en préservant son indépendance, il est un vrai partenaire à la fois du conseil d’administration et du comité de direction. Il est une source de qualité pour les recommandations stratégiques.

Concilier compliance et business

En matière de compliance, tous ces rouages et éléments de l’organisation sont nécessaires. Mais ils doivent être utiles à bien d’autres égards. «Si ces fonctions sont séparées, mais elles ont tout intérêt à travailler ensemble, en complémentarité. L’audit interne, en effet, doit pouvoir mener des investigations, mais aussi identifier des leviers d’amélioration. Le département compliance, aidé par des juristes, des fiscalistes, des informaticiens, doit pouvoir évaluer, en amont, les impacts d’une réglementation sur les processus des métiers de l’entreprise. L’enjeu est de pouvoir discuter, pour trouver un juste équilibre, en s’assurant du respect des règles tout en faisant en sorte que cela soit bénéfique in fine pour le business», commente Anne Kayser. Ce n’est évidemment pas toujours simple. Le client ne comprend pas nécessairement les implications des nouvelles réglementations. L’enjeu, en impliquant les nombreuses parties prenantes de l’entreprise, est de pouvoir trouver des solutions pour allier business et compliance.

Pour cela, il faut donc penser la gouvernance dans sa conception la plus large. «Le rôle des administrateurs en charge de la gouvernance de l’entreprise, c’est de penser au futur de celle-ci. C’est exercer une responsabilité vis-à-vis des orientations que doit prendre l’entreprise compte tenu de sa situation. En dehors de la gestion quotidienne de l’entreprise, les administrateurs prennent le recul nécessaire à la définition de la vision stratégique et de l’orientation à donner à l’entreprise, conclut Christophe Wintgens. Il y a un réel danger à laisser toute son attention accaparée par les notions de responsabilité et de compliance. Pour entreprendre, on se doit de prendre un minimum de risques.» Gouvernance rime donc bien avec anticipation et prévoyance.

Manifestement, Émile de Girardin, depuis son 19e siècle, avait bien le sens de la bonne formule…

Administrateur

Une fonction à professionnaliser

Responsabilités, réglementations, formalisme accru… On ne s’improvise définitivement plus administrateur. Le fonctionnement d’un conseil d’administration doit répondre à des règles précises. «Il faut en effet que la fonction se professionnalise», commente Christophe Wintgens, d’EY. Le rôle de l’administrateur est aujourd’hui plus visible. Ses responsabilités sont mieux identifiées. «C’est ce qui exige une professionnalisation des conseils d’administration, qui dans le fonctionnement doivent se tenir à des règles précises liées par exemple à la production des documents, au suivi des décisions prises, à la matérialisation des recommandations», précise Marie-Jeanne Chèvremont. On oublie encore trop souvent que ce qui n’est pas écrit n’a pas de valeur. Le rôle de l’administrateur n’est certainement pas de s’impliquer dans la gestion opérationnelle, mais de s’assurer de disposer de tous les éléments nécessaires à la bonne prise des décisions et que celles-ci soient mises en œuvre. «Il faut que les administrateurs, compte tenu des nombreux facteurs inhérents à leur fonction, soient mieux formés», poursuit Marie-Jeanne Chèvremont. L’ILA recommande donc des formations certifiantes pour celles et ceux qui souhaitent exercer le métier d’administrateur.