Contrôle interne et management des risques : de la compliance à la stratégie

Lors des deux dernières décennies, l’ensemble des dispositifs destinés à anticiper et prévenir les risques économiques et financiers se sont fortement développés. Dans ce contexte, différents référentiels et méthodes de gestion des risques ont vu le jour, incarnant l’espoir d’une meilleure maîtrise des aléas du monde économique, et ce tant au niveau des entreprises qu’au niveau sociétal. Parmi les dispositifs les plus courants, le contrôle interne est surtout orienté vers la sécurisation du reporting financier et vers la conformité vis-à-vis des lois et règlements. Progressivement, a émergé la nécessité d’élargir le pilotage des risques à d’autres dimensions, dans une perspective stratégique et non plus seulement technique. L’ Enterprise Risk Management (ERM), qui incarne ce besoin, a suscité de nombreux travaux académiques. Cependant, ceux-ci laissent sous silence les modalités concrètes de mise en œuvre et de fonctionnement de l’ERM, ainsi que ses liens avec les autres dispositifs, en particulier le contrôle interne. Ce travail de recherche est basé sur l’étude de cas d’une entreprise d’assurance ayant mis en œuvre depuis une vingtaine d’années une cartographie des risques répondant à la fois à des préoccupations de compliance, et à des besoins liés à sa réflexion stratégique. L’observation de cette entreprise permet de décrire en profondeur un dispositif d’ERM et de mieux comprendre son fonctionnement et son articulation avec la fonction de contrôle interne.