On reconnaît la bravoure d’un capitaine à celui qui a navigué les mers, contre vents et marées, pour se rendre à la destination souhaitée. Sur un navire, lorsque les rats se lancent à la mer, les vieux marins affirment que c’est le présage d’une tempête à venir. Qu’en est-il du CA? Que doit-il faire pour prévenir les dommages d’un événement sismique, d’une grande magnitude, qui peuvent faire s’écrouler l’organisation? Happée par une crise, l’entreprise devient parfois comme Rocky Balboa après les rounds de la première partie du combat contre Apollo Creed, en mode réactif, déstabilisée, désorientée… Elle doit vite se ressaisir et prendre le contrôle. La haute direction ainsi que le CA doivent prendre des décisions dans l’urgence avec peu de recul.

Le secteur public offre un intéressant laboratoire de la gestion de crise. Lorsque le gouvernement commet une bévue, les médias le pourchassent comme des loups. Alors, la machine gouvernementale s’emballe comme un pacemaker dont la pile s’épuise. En Hercule Poirot, elle déploie toute son énergie vers la solution et, souvent, la recherche d’un coupable… ce soit pour un contrat octroyé illégalement, une formation au nom ésotérique suivie par des fonctionnaires ou une douche posée dans le cabinet d’une sous-ministre…dans un contexte d’austérité.

En raison des obligations de fiduciaires qui lui incombent, le CA doit s’impliquer activement dans la gestion d’une crise qui terrasse l’organisation. Aux États-Unis, des administrateurs ont été poursuivis pour leur présumée négligence à agir de manière diligente dans la gestion de la crise. Les administrateurs du CA de GM ont été poursuivis pour leur présumée faute de prévenir les problèmes liés au rappel titanesque de véhicules (2,6 millions) en raison d’accidents attribuables à des commutateurs d’allumage défectueux ayant causé la mort et des blessures graves à des centaines de consommateurs. Le juge a rejeté le recours contre les administrateurs en concluant que GM avait un cadre de gestion des risques adéquat et qu’il n’y avait pas de problèmes évidents (¨red flags¨) que le CA connaissait mais avait ignorés. En outre, il a conclu qu’il n’y avait aucune preuve de mauvaise foi de la part des administrateurs. (Réf. : Lawsuit dismissed against GM board over ignition switch, Detroit Free Press, 2015).

Comment prévenir une situation de crise?

Nous vous présentons 5 bonnes pratiques reconnues pour prévenir une crise :

1. Leadership – Le CA et ses administrateurs doivent avoir le courage de questionner la pertinence et la solidité des mesures de prévention en place et de d’exiger des améliorations. Ils doivent faire face aux résistances de la haute direction. Il ne faut pas oublier que, parfois, la haute direction, peut elle-même constituer un risque (par ex. : fraude d’un vice-président).
2. Cadre rigoureux de gestion des risques – La haute direction doit identifier les événements qui pourraient nuire à la réputation ou à la continuité des opérations de l’entreprise. Des exemples : une poursuite, un incendie, une cyberattaque, un accident de travail mortel, une campagne de dénigrement de consommateurs ou d’anciens employés dans les médias sociaux, la défectuosité d’un produit, etc. Sans s’immiscer dans les opérations de l’entreprise, le CA doit être vigilant et proactif pour s’assurer que la haute direction mette en place des processus efficaces de gestion des risques (par ex. : couverture d’assurance, plan de continuité d’activités, renforcement des procédures de sécurité, processus en cas de cyberattaques, etc.). La haute direction doit informer le CA des risques importants pour l’entreprise, l’aider à les comprendre et à les évaluer, expliquer la manière dont ils sont gérés, l’écosystème dans lequel ils s’inscrivent et les maillons faibles.
3. Rôles et responsabilités définis – La haute direction doit clairement définir les rôles et les responsabilités. Ils doivent être connus et compris de tous.
4. Formation et sensibilisation – Plusieurs organisations mettent en place des contrôles physiques et techniques pour prévenir certains risques. Cependant, si les employés n’ont pas été formés ni sensibilisés, ces contrôles deviennent inutiles. Une équipe bien formée peut représenter la première ligne de réponse en situation de crise. Dans le cas d’une cyberattaque, par exemple, des employés sensibilisés et formés éviteront d’ouvrir un courriel douteux ou de télécharger des programmes informatiques malveillants. Les administrateurs peuvent aussi exiger une formation pour bien comprendre les risques cruciaux de l’entreprise.
5. Recours à une expertise externe – Certains risques exigent une expertise approfondie dans un secteur pointu. Le CA ne doit pas hésiter à recourir à des experts réputés en mesure de le guider dans l’appréciation de certains risques et sur la fiabilité des mesures implantées pour les gérer. Cette pratique est courante en cybersécurité ou dans le cadre d’une poursuite légale d’envergure.

Pour une information approfondie sur le rôle du CA en gestion des risques, nous vous référons à l’excellent cadre de surveillance préparé par le Conseil sur la surveillance des risques et la gouvernance (CSRG) de l’Institut Canadien des Comptables Agréés (ICCA) et accessible sur le site du Collège des administrateurs de sociétés: https://www.cas.ulaval.ca/files/content/sites/college/files/documents/references/top-10/icca_surveillance-risques_top10.pdf