Internal control and risk management: From compliance to strategy.
Contrôle interne et management des risques : de la compliance à la stratégie
Résumé
Over the last two decades, all the systems intended to anticipate and prevent economic and financial risks have developed considerably. In this context, various risk management guidelines and methods have emerged, embodying the hope of gaining greater control of the hazards of the economic world, both at the level of companies themselves and at the level of society. One of the most common systems, internal control, is mainly geared toward assuring the reliability of financial reporting and compliance with laws and regulations. Gradually, the need to broaden risk management to other dimensions has emerged, from a perspective that is not only technical but also strategic. Enterprise risk management (ERM), which embodies this need, has given rise to numerous academic works. However, these studies do not address the concrete ways in which ERM is implemented and operates, nor its links with other systems, in particular internal control. This research work is based on the case study of an insurance company that has been implementing risk mapping for the past twenty years, responding to both compliance concerns and needs related to its strategic thinking. The observation of this company allows for an in-depth description of an ERM system and a better understanding of how it works, as well as its interaction with the internal control function.
Lors des deux dernières décennies, l’ensemble des dispositifs destinés à anticiper et prévenir les risques économiques et financiers se sont fortement développés. Dans ce contexte, différents référentiels et méthodes de gestion des risques ont vu le jour, incarnant l’espoir d’une meilleure maîtrise des aléas du monde économique, et ce tant au niveau des entreprises qu’au niveau sociétal. Parmi les dispositifs les plus courants, le contrôle interne est surtout orienté vers la sécurisation du reporting financier et vers la conformité vis-à-vis des lois et règlements. Progressivement, a émergé la nécessité d’élargir le pilotage des risques à d’autres dimensions, dans une perspective stratégique et non plus seulement technique. L’ Enterprise Risk Management (ERM), qui incarne ce besoin, a suscité de nombreux travaux académiques. Cependant, ceux-ci laissent sous silence les modalités concrètes de mise en œuvre et de fonctionnement de l’ERM, ainsi que ses liens avec les autres dispositifs, en particulier le contrôle interne. Ce travail de recherche est basé sur l’étude de cas d’une entreprise d’assurance ayant mis en œuvre depuis une vingtaine d’années une cartographie des risques répondant à la fois à des préoccupations de compliance, et à des besoins liés à sa réflexion stratégique. L’observation de cette entreprise permet de décrire en profondeur un dispositif d’ERM et de mieux comprendre son fonctionnement et son articulation avec la fonction de contrôle interne.