Le législateur impose l’obligation d’évaluer l’efficacité d’un dispositif de gouvernance des risques (audit, contrôle interne, risk management, lutte anti-fraude, etc) c’est-à-dire de prouver que le groupe a mis en œuvre des dispositifs permettant de diminuer de façon substantielle un niveau d’exposition aux risques.
En général, les groupes mettent en place des dispositifs d’auto-évaluation, de tests, de plans d’action correctifs visant à évaluer ce niveau de maturité. Dans la quasi-totalité des cas, ce dispositif est porté par le middle management qui doit promouvoir et rendre des comptes sur le déploiement de ce dernier. Ces dispositifs conçus en contexte occidental sont souvent difficiles à déployer au contexte international multiculturel.
Risk Gouvernance et appétence aux risques
Cette dimension est très sensible dans le cadre du processus de self-assessment – où les managers doivent en toute âme et conscience se positionner une échelle qui va du « rouge foncé » (contrôle inexistant ou inefficace) à « vert foncé » (activité de contrôle totalement efficace).
Dans les cultures risquophiles de type anglo-saxonne, souvent portées par l’éthique protestante, les self-assessments sont souvent verts et cela correspond souvent à une évaluation fréquemment confirmée par les tests. Au contraire dans des cultures risquophobes, comme le Japon, les self-assessments sont aussi souvent verts, mais les tests peuvent être en échec (infirmer l’auto-évaluation) du fait de la difficulté d’afficher un niveau de faiblesse apparent.
Gouvernance des risques et relation à l’autorité
Les self-assessments sont souvent réalisés au niveau hiérachico-fonctionnel jusqu’au niveau N-4.
Une telle implication ne pose pas de problème aux États-Unis ou en Europe. Par contre, dans des pays à forte soumission à l’autorité, il faut parfois faire exécuter les auto-évaluations uniquement aux niveaux N et N-1. Cela doit aussi être couplé, dans ce dernier cas de figure, à une difficulté à se positionner sur un dossier.
Management des risques et niveau d’individualisme
Cette troisième caractéristique liée au contexte multiculturel, est très sensible dans le cadre du déploiement des plans d’action correctifs, soit dans le cas d’une auto-évaluation « en rouge », soit dans le cas d’un test infirmant l’auto-évaluation.
Dans des pays tels que la France ou le Royaume-Uni, à fort niveau d’individualisme, le plan d’action est mis en œuvre individuellement et uniquement si le action plan owner y voit un bénéfice personnel.
Dans des pays tels que la Belgique, où prime l’intérêt du consensus, ou dans des pays comme l’Allemagne, l’intérêt du sens du collectif prime sur l’intérêt individuel. Le plan d’action correctif sera alors mis en œuvre dans l’intérêt de l’entreprise.
Risk management et valeurs masculines/versus féminines
Les valeurs masculines s’expriment dans l’entreprise via un corpus de symboles de pouvoirs codifiés.
Des démarches visant à promouvoir la gouvernance des risques au sein de l’entreprise, peuvent être déployées par des profils psychologiques « masculins » non dans l’intérêt global de l’entité, mais par « orgueil » ou dans une logique de pouvoir en tant qu’ascenseur social.
Gouvernance des risques et culture de l’action/exécution versus de l’analyse
Enfin, des pays de culture d’exécution privilégiant l’action, sont très proactifs en terme de déploiement d’un dispositif de gouvernance des risques, si les règles sont clairement définies et non interprétatives. Par contre une simple culture d’exécution peut être très dangereuse dans le cadre du déploiement d’un dispositif de management des risques, si le périmètre d’analyse n’a pas été correctement défini (parties liées, véritables enjeux, contexte etc.).
En synthèse, il est impossible de déployer de façon monolithique un dispositif de gouvernance des risques en contexte international. Compte tenu des contraintes multiculturelles, exposées dans le présent blog, il s’avère nécessaire de customiser le dispositif pour en assurer l’efficacité.