Gestes d’apaisement ou reculades ? Le gouvernement envisage de suspendre les hausses fiscales sur les carburants prévues en janvier prochain. Par ailleurs, une évaluation de la suppression de l’ISF est désormais évoquée par l’exécutif. Comment comprendre ces décisions gouvernementales ? Vont-elles calmer la colère des Gilets Jaunes à quelques jours de nouvelles manifestations prévues à Paris et en Provinces ? Pour répondre à ces questions, Rebecca Fitoussi accueille sur le plateau d’OVPL : Jacky ISABELLO et Florian SILNICKI : Fondateur de l’agence de communication de crise LaFrenchCom.

Mobilisation des gilets jaunes. Christophe Castaner et Laurent Nunez auditionnés à l’Assemblée nationale. Invités : Florian Silnicki, expert en communication et fondateur de l’agence LaFrenchCom ; Jean Viard, sociologue et directeur de recherche à Sciences Po, CNRS. 15:09:57 Florian Silnicki : La communication du gouvernement ne répond pas à la volonté de l’opinion publique, ni à celle des gilets jaunes.

15:10:46 Christophe Castaner, son secrétaire d’Etat et le préfet de police sont les premiers responsables de la sécurité. 15:11:08 Jean Viard : ceux qui ont été jugés n’étaient pas tous des casseurs professionnels. 15:13:00 Depuis la crise de 2008, les salaires n’ont pas augmenté. Maintenant, on en est sortis mais les salaires n’augmentent toujours pas.

Morandini Live est à retrouver sur CNews et Non Stop People. Au programme de l’émission du mardi 4 décembre : une édition consacrée aux gilets jaunes.

Le mouvement des gilets jaunes va-t-il perdurer ? Ce mardi, le Premier ministre, Édouard Philippe a annoncé un moratoire sur la hausse de la taxe sur les carburants. Une annonce jugée insuffisante pour de nombreux gilets jaunes qui appellent à continuer le mouvement ainsi que pour les membres de l’opposition.

Pour en débattre sur le plateau, Idir, gilet jaune, Florian Silnicki, expert en communication et Fondateur de l’agence LaFrenchCom, Louis Boyard, président de l’Union nationale Lycéenne, Dimitri Houbron, député La République en marche du Nord.

Morandini Live est à retrouver tous les jours de 10h35 à 11h20 en direct du lundi au vendredi sur CNews et Non Stop People.

Questions-réponses sur le risque et la gestion des risques.

Qu’est-ce que le risque industriel ?

Les activités humaines créent des risques technologiques divers : industriel, nucléaire, biologique, de rupture de barrage, de transport de matières dangereuses… Le risque industriel est soit chronique, soit accidentel. Les risques chroniques résultent des différentes formes de pollutions susceptibles d’avoir un impact sur la santé des populations et l’environnement. Les risques industriels résultent de la présence de produits et/ou de procédés dangereux susceptibles de provoquer un accident entraînant des conséquences graves pour le personnel, les riverains, les biens et l’environnement.

En France, depuis les années 2000, jusqu’à 1 800 accidents industriels par an de gravité variable ont été répertoriés. Pour l’essentiel, ces événements résultent de l’activité d’usines, ateliers, dépôts, chantiers, carrières, élevages, et du transport de matières dangereuses. Ils ont été à l’origine de 50 décès et de plus d’un millier de blessés. Le 21 septembre 2001, l’explosion de l’usine AZF de TotalFinaElf à Toulouse a provoqué la mort de 30 personnes par exemple.

Qu’est-ce que la ” gestion des risques ” ?

Les “cindyniques”, ou sciences du danger (de kindunos, danger, en grec), sont apparues dans les années 1980 en France, alors qu’émergeait dans les entreprises la figure du risk-manager.

Les étapes de la gestion des risques dans l’entreprise sont, de façon grossière, les suivantes rappelle Florian Silnicki, Expert en communication de crise et Fondateur de l’agence LaFrenchCom.

• Identification des risques à prévenir, à partir de l’analyse technique des produits et des systèmes entrant dans la ligne de production.
• Evaluation de la probabilité d’occurrence de ces risques.
• Détermination d’un seuil de “risque acceptable” aussi faible que raisonnablement possible, au regard de la probabilité d’occurrence et du coût de sa prévention.
• Mise en oeuvre de solutions techniques et organisationnelles pour réduire cette probabilité.
• Couverture des risques résiduels auprès des compagnies d’assurances.

Existe-t-il des nouveaux risques auxquels doivent faire face les entreprises ?

Les risques traditionnels (incendie, transport, catastrophes naturelles, pollution), s’ils sont toujours de même nature, prennent une dimension ” graduelle ” (ils n’ont plus une manifestation donnée en un lieu et un temps donnés, mais diffusent dans le temps et l’espace) et ” sérielle ” (ils créent des réactions en chaîne).

A leurs côtés apparaissent de nouveaux risques, ou des risques déjà existants qui n’étaient pas auparavant pris en compte dans le ” risk-management ” : le risque climatique, le risque d’image ou de réputation, le risque de propriété intellectuelle, la pénalisation des relations sociales, l’action des actionnaires minoritaires, les risques informatiques.

En quoi le “principe de précaution” modifie-t-il la gestion des risques ?

Le principe de précaution est une doctrine, “non stabilisée” et en élaboration permanente, selon l’expression de François Ewald, professeur au Conservatoire national des arts et métiers (CNAM). Né en Allemagne dans les années 1970, ce concept a surgi en France vingt ans plus tard. Deux écoles s’affrontent à son sujet. L’une, moralisante et normative, tente de définir le principe pour dire avec précision ce qu’il devrait être. L’autre, plus pragmatique, s’attache à dégager des textes et des pratiques en cours, les différents usages de la notion, afin de permettre, autant que faire se peut, la naissance d’un langage commun.

Car la vraie difficulté d’utilisation de ce principe tient au fait qu’il change de sens selon le statut ou la fonction de celui qui l’emploie. Politiques, experts en communication de crise, spécialistes de la gestion des crises, expert en gestion du risque, militants syndicaux, experts, juristes, philosophes ou simples citoyens…, personne ne définit le principe de précaution de la même manière. C’est dire si, au sein de chaque situation, le terme est un enjeu de pouvoir entre des forces qui entrent en compétition ou en contradiction les unes avec les autres. Au fur et à mesure de l’accumulation des risques, des règles d’utilisation commune se sont imposées.

Depuis le début du XXIe siècle, la gestion des risques connaît une véritable révolution culturelle. Jusqu’alors fonction technique, centrée autour de l’achat de couverture d’assurances, elle est devenue une discipline managériale et transversale : une valise d’instruments que chaque manager doit connaître et appliquer, quels que soient son domaine de compétence et ses missions au sein de l’organisation. Un point s’impose.

Bien appréhender la gestion des risques est un gage d’efficacité pour l’entreprise.

En effet, la gestion des risques est une culture qui doit être assimilée par chacun des acteurs, et ce, quelle que soit la taille de l’entreprise concernée, car justement, de la TPE à la multinationale, tout le monde doit être concerné ! C’est précisément notre ambition, apporter à chaque manager d’entreprise des réponses claires aux questions suivantes : Comment identifier les risques ? Comment analyser les risques ? Quels sont les objectifs de la gestion des risques ? Une carte des risques pour quoi faire ? Pourquoi faut-il financer les risques ? Les entreprises ont-elles des responsabilités pénales ? En quoi consiste la gestion des crises ? Le but étant de leur montrer comment la gestion des risques leur permettra d’atteindre plus sûrement et plus efficacement les objectifs de leur organisation, voire les leurs.

Etape 1 : Evaluer les risques

La première étape pour le manager et ses équipes consiste à mettre en place des outils d’évaluation des risques précise Florian Silnicki, Expert en communication de crise et Fondateur de l’agence LaFrenchCom. L’EU-OSHA a simplifié l’évaluation des risques au sein des petites entreprises en Europe.

Un outil interactif en ligne de gestion des risques

Lancé officiellement en avril 2012, lors du XIXe Congrès mondial sur la sécurité et la santé au travail à Istanbul, le projet d’outil interactif d’évaluation des risques en ligne (OIRA) a constitué la première initiative prise à l’échelle de l’UE en vue de simplifier l’évaluation des risques sur le lieu de travail. Mis au point par l’Agence européenne pour la sécurité et la santé au travail (EUOSHA), cet outil innovant aide 20 millions de petites et très petites entreprises européennes à améliorer la sécurité et la santé de leurs travailleurs en évaluant les risques grâce à une application web conviviale et gratuite.

« L’expérience indique qu’une bonne évaluation des risques est indispensable pour garantir des lieux de travail sains », explique le Dr Jukka Takala, directeur de l’EU-OSHA. « La réalisation de telles évaluations peut toutefois s’avérer relativement complexe, en particulier pour les petites entreprises qui ne disposent pas forcément des ressources ou du savoir-faire nécessaires à cette fin. Les raisons invoquées par les entreprises pour ne pas réaliser de vérifications sont le manque d’expertise (41%), le fait de penser que les évaluations des risques sont trop onéreuses ou qu’elles prennent trop de temps (38%). Grâce à l’OiRA, l’EU-OSHA est fier de proposer un outil en ligne gratuit permettant de surmonter ces défis. L’OiRA contribue à l’élimination ou à la réduction des 168 000 décès liés au travail, des 7 millions d’accidents du travail et des 20 millions de cas de maladies liées au travail dans l’UE 27 », déclare le Dr Takala.

La vision de l’EU-OSHA est d’aider les petites entreprises à mettre en place un processus progressif d’évaluation des risques commençant par l’identification et l’évaluation des risques sur le lieu de travail, en passant par la prise de décision en matière d’actions préventives, l’identification des mesures adéquates, jusqu’au suivi continu et l’établissement de rapports. Le but est de réduire le fardeau des petites entreprises qui doivent réaliser et documenter leurs évaluations des risques aisément et rapidement tout en procédant avec précision.

« L’EU-OSHA travaille en étroite collaboration avec les pouvoirs publics et les partenaires sociaux au niveau national et à celui de l’UE afin de mettre le générateur d’outil OiRA à leur disposition » poursuit le Dr Takala. « À leur tour, ces partenaires mettront au point leurs propres outils OiRA couvrant des secteurs spécifiques et entièrement adaptables sur mesure pour les proposer gratuitement aux petites entreprises. »

> Faire collaborer tous les acteurs de la gestion des risques

La collaboration avec des partenaires sociaux clés favorise également l’acceptation et l’utilisation de l’outil au niveau des entreprises et entraîne le développement d’une communauté OiRA partageant connaissances et expérience. L’outil final est complété par des services de soutien et d’orientation complets fournis par l’EU-OSHA aux développeurs.

Les projets OiRA ont été lancés tant au niveau de l’UE qu’à celui des États membres (Chypre, Belgique et France), pilotant le modèle de développement et de diffusion et couvrant des secteurs tels que la coiffure et les transports.

S’inspirant de l’instrument néerlandais d’évaluation & et d’inventaire des risques, qui est une réussite, l’outil OiRA a pour finalité de répercuter ce succès à travers toute l’Europe. Depuis la création de l’outil en ligne néerlandais (www.rie.nl), ce site web a été visité des millions de fois. Il s’agit là d’un nombre impressionnant si l’on prend en compte la taille relativement petite des Pays-Bas, un pays qui compte environ 800 000 entreprises au total. Cet outil est téléchargé en moyenne 5 000 fois par mois.

Souvent, les TPE manquent d’expertise sur la question. N’hésitez pas à prendre connaissance du projet de l’OIRA.

Etape 2 : Apprendre à gérer les risques

Face à un environnement de plus en plus concurrentiel, les organismes privés et publics ont besoin d’optimiser leurs processus de gouvernance et de maîtrise des risques. Nous assistons, par conséquent, à une forte demande du marché sur les outils de risque. Voici 10 bonnes pratiques pour maîtriser la gestion de l’ensemble des risques en entreprise.

Une bonne gestion des risques se doit d’impliquer tous les acteurs.

Les 10 commandements de la gestion des risques

1 – La Direction Générale, tu impliqueras Sans son soutien et ses directives pour l’ensemble des départements métiers, support et pilotage, votre projet risque de s’enliser.

2 – La stratégie de gestion des risques, tu formaliseras Il est important de définir la politique interne de gestion des risques avec des objectifs, un périmètre, une organisation, un processus, des acteurs et des responsabilités (RACI).

3 – Le métier, tu associeras en amont des projets Les directions métier devront aussi être impliquées très en amont dans le projet afin qu’elles se l’approprient. Ces dernières sont les mieux placées pour identifier, analyser et évaluer les risques auxquels elles sont exposées dans le cadre de leur activité.

4 – Des référentiels et normes, tu t’inspireras La gestion des risques étant mature, les normes (ISO 31000…), les référentiels (COBIT 4, COSO 2) sont de plus en plus partagés par l’ensemble des acteurs et permettent une transparence accrue auprès de l’ensemble des ayants droits.

5 – Des bénéfices du projet, tu feras la promotion Suite à la cartographie des risques, les entités auditées sont crédibles pour demander des budgets et faire avancer leurs plans d’actions. Vous souhaitez un plan d’actions : faites une cartographie des risques !

6 – De manière précise, tu communiqueras Les incidents évités, les plans d’actions achevés, les risques maîtrisés, les gains apportés doivent être communiqués à l’ensemble des acteurs grâce à des tableaux de bord dynamiques. La diminution du risque avéré est le premier indicateur clé de calcul d’un ROI sur un projet de gestion des risques. La réalité des incidents avérés permet de challenger la vision prospective de la cartographie des risques.

7 – Les entités, tu challengeras En comparant les cartographies des risques de différentes entités, par unbenchmarking des actions de maîtrise entre entités, le risk manager saura être pertinent pour apporter sa propre analyse du risque à chaque correspondant.

8 – Les régulateurs, tu choieras Les lettres de suite et les recommandations des différents régulateurs (ACP, CEIOPS, AMF) doivent être finement gérés afin de pouvoir répondre avec aisance aux différents audits sur place et audits sur pièces.

9 – Un outil, tu déploieras et interfaceras Une stratégie de gestion des risques ne peut se faire à la main. La plupart des contrôles manuels peuvent être automatisés. Une solution de gestion des risques est indispensable pour industrialiser les workflow de collecte des données et la production de tableaux de bord pertinents en temps réel pour faire agir l’ensemble des acteurs. Les données collectées sont généralement déjà existantes soit au niveau du SI, soit sur Internet. La collecte automatique de l’ensemble des indicateurs clé de risque, black list, données de marché, doivent être intégrés automatiquement dans la solution globale de gestion des risques.

10 – Des questions, tu renouvelleras L’écosystème de l’entreprise étant en mouvance perpétuelle, un processus de cartographie des risques à peine finalisé sera remis en fonction d’événements endogènes / exogènes à l’entreprise.

Productrice de richesses et source de bien-être, l’entreprise est aussi devenue une menace. La prise en compte de l’ensemble des risques qu’elle court et qu’elle fait courir par et pour l’entreprise elle-même, ses salariés ou la collectivité est devenue indispensable et indissociable des instruments de gestion traditionnels. Mieux percevoir ces risques, puis réduire économiquement leurs impacts potentiels constituent un véritable système de management, car l’art de gérer une entreprise est celui de savoir ne prendre que les risques qui en valent la peine !

Le processus de gestion des risques proposé, ici, conduit à une amélioration continue, un cercle vertueux qui est plus un voyage qu’une destination. Du concepteur à l’usager, de l’aménageur au maître d’oeuvre, ce livre simple d’accès et précis vous permettra de comprendre et mettre en place en toute quiétude cette démarche si précieuse pour nos générations futures.

Pour en savoir plus :
« Gestion des risques » de Jean-Paul Louisot, « Collection : 100 Questions pour comprendre et agir », Editions AFNOR, 266 pages.

Initialement, la gestion des risques consistait principalement en recours systématique à des « transferts » par achat de couverture d’assurance, elle était donc réactive. Depuis le début du 21 e siècle, elle est devenue proactive, anticipation des risques futurs pour optimiser la performance de tout organisme de façon à exploiter les incertitudes du futur pour rebondir même dans les situations de rupture, contenir les menaces et exploiter les opportunités. Cette vision proactive du risk management est renforcée par le standard ISO 31000 :2009 avec une définition clef de voûte : « Le risque est l’effet de l’incertitude sur les objectifs » , elle souligne l’intégration nécessaire de la gestion des risques à tous les stades du processus développement stratégique.

La gestion des risques a subi une évolution considérable depuis son émergence comme une fonction technique il y a six décennies dans certaines entreprises américaines dont le budget assurances justifiaient de disposer d’un spécialiste interne. Cette évolution résulte à la fois de la frustration des praticiens qui ressentaient les limites de l’exercice, et de la réflexion des universitaires d’horizons différents qui ont essayé de développer un support scientifique pour concevoir des instruments spécifiques. C’est ainsi que les Cindyniques, dont le nom apparut pour la première fois dans les pages du Monde le 10 décembre 1987, constituent la « science du danger » dont la dernière définition posée est : « Science visant à rendre intelligibles, et donc prévisibles, les dangers, les risques qui en découlent, endogènes et exogènes au sein d’un système et de permettre de les réduite » (Kervern G.-Y., Boulenger P., Cindyniques : concepts et mode d’emploi, Economica, 2007, p. 1).

Mais l’accélération du mouvement depuis vingt ans, et plus particulièrement depuis la première décennie du XXI e siècle, liée à la complexité croissante des interrelations entre acteurs économiques, accompagne des interdépendances qui dépassent trop souvent la capacité de l’homme à les appréhender, sans recours à la théorie de la complexité. Dans un document récemment mis à jour, les auteurs du livre rouge OCEG (OCEG, red book – GRC capability Model, Version 2.1, New-York (USA), 2012) notent que :

« L’environnement dans lequel les organismes évoluent est aujourd’hui plus complexe et plus exigeant que jamais. Même les PME/PMI, les organismes à but non lucratif, et les acteurs publics ont à relever des défis auxquels seules les grandes entreprises internationales étaient confrontées dans le passé. Les parties prenantes, internes et externes, ne se contentent plus de hautes performances, elles exigent en outre la transparence de la gestion. Les risques et exigences réglementaires qui pèsent aujourd’hui sur les organismes constituent un maquis dense et changeant qui peut frapper sans prévenir. Pour couronner le tout, les coûts à engager pour contrôler ces risques tendent à être hors de contrôle. En résumé, dans beaucoup d’organisme le statut n’est ni soutenable, ni acceptable » .

L’explosion du périmètre d’exercice de la gestion des risques, comme son élargissement à tous les responsables stratégiques et opérationnels, suppose que soit mise au point une batterie d’instruments disponibles pour tous. Dans ce contexte, les apports spécifiques développés grâce à l’expérience de terrain et d’enseignement jouent un rôle dans l’ouverture des yeux des responsables pour leur apporter une vision 360 o dans la prise de décision, combinant l’approche centrifuge (leurs compréhension de l’environnement) et centripète (la perception que les parties prenantes ont de leur organisme).

LES TROIS ÈRES OU LES TROIS AIRES

On peut distinguer trois grandes périodes ou ères dans le développement de la gestion des risques depuis son apparition :

Ère de l’artisan

Un spécialiste de l’assurance accidents du travail est recruté auprès du trésorier pour optimiser l’achat d’assurance ; sa rencontre avec l’ingénieur hygiène et sécurité qui vise l’amélioration des conditions de travail et la réduction de la fréquence et de la gravité des accidents du travail, donne naissance à la gestion des risques. Leur domaine initial est le risque de fréquence.

Ère de l’ingénieur

Les enjeux des risques de fréquence et de gravité moyenne exigent des montages financiers plus complexes et, avec l’accroissement de l’interdépendance des opérateurs économiques, le développement de plans pour garantir la poursuite des flux tendus, aujourd’hui formalisés sous le nom de PCA, Plan de continuité d’activité. Elle s’accompagne de la conception de plans pluriannuels de financement. Les ETI et PME/PMI sont sollicitées pour la sécurisation des réseaux logistiques des grandes entreprises donneuses d’ordre.

Ère du stratège

La création de valeur pour les actionnaires, l’approche portefeuille et la prise en compte des autres parties prenantes débouchent sur une approche globale et intégrée des risques, sous le nom de gestion stratégique des risques, ou de gestion des risques intégrée. Les biens immatériels et la durée génèrent l’essentiel de la valeur de nombreux organismes qui dépendent de la confiance de leurs parties prenantes (multinationales dont la capitalisation boursière est un multiple de la valeur des actifs physiques, organismes charitables financés par les dons et dont l’avenir dépend de l’efficacité perçue de leur action, etc.).

La liaison intrinsèque entre gestion des risques et stratégie est identifiée dès lors que le risque est défini comme effet de l’incertitude sur les objectifs d’un organisme, la prise en compte coordonnée des menaces et des opportunités. Il est intéressant d’ailleurs de faire une analyse de l’origine même du mot risque indiquée dans une étude de Kedar (Kedar B.Z., Again : Arabic risk, Medieval latin riscum, Studii Medievali, Centro Italiano di studi sull alto medievo, Spoletto (1970) quoted in Merna Tony & Faisal F. Al Thani, Corporate Risk Management, 2 nd edition, Chichester, Wiley & Sons LTD, 2008). L’auteur rappelle la double origine : en arabe, « risq » : tout ce qui vous est donné (par Dieu) et qui vous procure un profit, fortuit mais positif ;en latin, « riscum » : le défi à relever par les marins qui pourraient fracasser leurs vaisseaux sur un récif, fortuit mais négatif.

Par delà une justification sémantique, pour reprendre l’exposé d’un article récent (Bazerman Max H., Chugh Dolly, Decisions without blinders, Boston : Harvard Business Review, OnPoint, Spring 2009, p. 58-68) publié dans la HBR, la gestion des risques contribue à éclairer les décisions en augmentant le niveau de conscience des décideurs en les assistant à : voir l’information (former leur regard à identifier ce qui importe, et prendre en compte la vision externe) ; chercher l’information (remettre en cause l’absence d’information divergente, et approfondir la recherche dans les contextes vitaux) ; utiliser l’information (une vision plus large de la situation dans l’espace et dans le temps avant de prendre une décision, et prendre en compte toute l’information disponible au sein de l’organisme) ; partager l’information (chacun, chaque département a une information spécifique, il faut veiller à intégrer l’ensemble dans un système unifié facilitant partage transversal et vertical) .

Dans la décision stratégique, la gestion des risques procure une information de haute qualité sur l’incertitude du futur, information essentielle pour la survie de l’organisme à long terme. La gestion des risques permet aux dirigeants et mandataires sociaux de prendre des décisions « mieux informées » renforçant la résilience de leurs organismes. Ils sont ainsi moins vulnérables à l’échec, mieux préparés à la saisie des opportunités, et mieux équipés pour survivre aux changements de leur environnement, leur contexte externe. La gestion des risques contribue donc à la soutenabilité, c’est-à-dire la survie et le développement de l’organisme conscient de sa responsabilité vis-à-vis de l’environnement au sein duquel il opère et bâtit.

Le « business model » reprend les aspects fondamentaux d’un organisme, y compris sa vision, ses missions, stratégies, infrastructure, politiques, offres, et processus ; il faut en reconnaître les limites. Elles imposent de « penser l’avenir » en mesurant les risques qui pèsent sur lui du fait de la concurrence, de l’évolution technologique, des marchés, des attentes des consommateurs, etc.

L’intégration du processus de gestion des risques à l’élaboration de la stratégie accroît les chances de l’organisme de gérer efficacement les risques auxquels il est confronté. Pour réussir cette intégration, l’organisme doit suivre les étapes suivantes : définir des objectifs pour l’ERM (en établissant les contextes interne et externe) ;identifier les risques (première sous-étape du diagnostic des vulnérabilités – appréciation du risque) ;analyser, évaluer et classer par ordre de priorité les risques « critiques » (deuxième et troisième sous-étapes du diagnostic des vulnérabilités – appréciation du risque) ;traiter les vulnérabilités critiques, en prenant en compte les priorités (traitement des risques) ;auditer les vulnérabilités critiques (surveiller et revoir) .

Les plans les plus affinés peuvent être déraillés par des situations non envisagées ou des événements imprévus. L’intégration de la démarche d’ERM dans le processus de planification stratégique de l’organisme permet de mieux comprendre les menaces et les opportunités de son contexte externe, les forces et les faiblesses de son contexte interne ; c’est ainsi qu’il est en mesure de concevoir des objectifs prenant en compte les risques associés et optimisant la prise de risque. Mais il ne faudrait pas pour autant oublier les travaux de l’artisan et de l’ingénieur, les trois aires du métier de risk manager sont indissociables.

L’ERM – GOUVERNANCE, RISQUES ET CONFORMITÉS

La pression de l’opinion publique, les attentes des citoyens et des consommateurs ne laissent plus le choix aux élus et aux responsables. Ils doivent définir une politique de gestion des risques visant au-delà des actifs de l’organisme, la sécurité de tous et des biens de chacun des habitants, personnes physiques ou morales, partenaires et/ou installés sur les territoires impactés par leurs décisions. Il faut susciter une culture de gestion des risques chez les élus, les fonctionnaires et l’ensemble des responsables économiques, politiques et sociaux, de tous ceux qui vivent ou transitent sur un territoire donné.

L’élargissement du champ de la gestion des risques passe aussi par la montée en puissance du responsable de la gestion des risques. Aujourd’hui, il n’est plus possible de se contenter d’un technicien de l’assurance. Pour embrasser l’étendue de la fonction, il faut savoir porter un regard global sur l’ensemble des activités de l’organisme concerné. Toutefois, l’autorité du responsable « risques » ne peut que découler d’une mission confiée directement par le principal dirigeant, PDG, maire, président du Conseil général ou du Conseil régional, sous l’autorité directe du Directeur général, tout en rendant compte au conseil d’administration ou aux élus.

L’ampleur de la tâche des professionnels de la gestion des risques auxquels les organismes font confiance pour développer et mettre en œuvre un programme global de gestion de leurs risques en fait un véritable acteur du changement. Ils doivent donc faire preuve de patience et de persévérance. Il faut le soutien sans faille des dirigeants et des élus. Chacun comprend que c’est cette culture de gestion des risques qui garantit une « bonne gouvernance » au service de tous.

De fait, le triangle d’or « GRC » est devenu un des clés d’une gestion des risques encore en devenir. Ce nouveau mantra de la gestion des risques « GRC » , pour Gouvernance-Risques-Conformités, souligne l’objectif d’atteindre des résultats mesurables en matière de performance dans les trois pointes du triangle. L’ERM est au cœur de ce dispositif dont il est la clé de voûte et donne la résonance permettant une approche intégrée et globale pour l’optimisation de la prise de risque.

Le resserrement de la nasse légale et réglementaire a éveillé l’intérêt, voire l’inquiétude, des mandataires sociaux et dirigeants. Donc, les conseils d’administration s’impliquent davantage dans la gestion des risques. Toutefois, trop d’administrateurs se contentent d’une analyse des risques juridiques, en particulier ceux pouvant entraîner pour eux un engagement de responsabilité, ce qui les rend plutôt frileux face aux autres risques. Trop nombreux sont les organismes englués dans des programmes de conformité, style « cocher les cases » et finissent par perdre de vue l’essentiel, la définition et l’exécution d’une stratégie « gagnante » en optimisant la prise de risque.

C’est dans ce contexte que l’acronyme GRC doit demeurer la perspective des organismes tant publics que privés pour inscrire leurs efforts et développer des solutions intégrées tricotant ensemble les exigences de ces trois pôles, distincts mais solidaires. Les risques juridiques sont alors portés à l’attention des dirigeants pour qu’ils en mesurent l’impact sur les relations à établir entre les équipes « risk management » et « conformité » dont les compétences et les cultures très différentes, mais complémentaires. Il reste à voir si un nouveau cadre professionnel « hybride » de la gestion des risques émergera pour rendre compte de façon cohérente des trois pointes du triangle de GRC.

De nombreux analystes ont voulu voir l’origine de la crise financière de l’automne 2008 dans la faillite de la gestion des risques, incapable de prévenir la catastrophe ; certains ont même cru pouvoir s’aventurer à prédire la mort de la gestion des risques. Mais n’est-ce pas plutôt l’échec d’une gestion morcelée, en silos, des risques sans véritable intégration ?

En Afrique du Sud, le rapport King III (le rapport King III sur la gouvernance a été publié en Afrique du Sud le 1 er mars 2010. Les autres référence en matière de gouvernance et d’éthique comprennent le Compact Global des Nations Unies, le rapport Cadbury et le Code de principes de gouvernance en Grande-Bretagne, et le rapport Viénot et les législations de transposition en France de la huitième directive européenne – loi SFE, etc.) sur la gouvernance définit en particulier la gouvernance des risques ainsi : « La gouvernance des risques est la composante de la gouvernance qui exige que le conseil d’administration veille à ce que la gestion des risques ne se limite pas à une série d’activités sans prise directe sur les activités au cœur de l’organisme » .

L’IMPACT DE LA CULTURE DE L’ORGANISME SUR LA GOUVERNANCE ET LA GESTION DES RISQUES

La greffe de la gestion des risques sur la culture existante de l’organisme repose sur l’acquisition de compétences par tous les opérationnels. Ils doivent s’approprier le processus de gestion des risques : ce sont eux, les propriétaires de risques. Une formation adaptée doit leur permettre de comprendre la nécessité d’évolutions qui pourraient les inquiéter ainsi que la nécessité d’embrasser les nouveaux processus. Il pourrait être « confortable » pour certains de s’affranchir de certaines étapes du processus de décision, de préférer la politique de l’autruche à un réalisme trop cru, dérangeant surtout quand il faut informer et consulter des parties prenantes internes ou externes. Donner le ton de la culture de gestion des risques relève de l’exemple au sommet.

La culture est immatérielle, mais il faut introduire des instruments de mesure concrets pour en valider l’évolution. C’est indispensable pour influencer les comportements et assurer l’alignement de la gouvernance et des objectifs de performances de la gestion des risques au travers des indices de risques clés (KRI – key risk indicators -) et indices de performances clés (KPI – key performance indicators). Toutefois, pour le changement dans les organismes, il faut se garder de toute précipitation, l’évolution d’une culture est toujours un processus lent, exigeant des délais de maturation.

Par-delà les entreprises privées, il est légitime de s’interroger pour savoir si on verra un jour un risk manager dans chaque ministère ? Ce développement est en cours de réalisation en Grande-Bretagne ; et pourquoi ne pas souhaiter un risk manager de la nation, en particulier dans les pays en voie de développement !

LA GESTION DES RISQUES À LA RÉPUTATION

Dans un article publié en février 2009 (Eccles Robert G., Newquist Scott C., Schatz Roland, Reputation and its risks, Boston (USA): Harvard Business Review ONPOINT, Spring 2009, p. 96-108), les auteurs soulignent que : « Les dirigeants ont conscience de l’importance de la réputation de leurs firmes » tout en mettant en lumière un problème précis : « Les organismes de contrôle, les associations professionnelles, les consultants, et les opérateurs eux-mêmes ont développé des modèles pour évaluer et gérer tout une panoplie de risques, sur les prix de matières premières, le contrôle des chaînes logistiques, les risques politiques, les catastrophes naturelles, etc. Mais les risques à la réputation restent exclus de ces modèles à cause de la difficulté d’intégrer les besoins en capitaux nécessaires » .

La réputation est un actif immatériel fondement de la valeur de la firme. Elle apporte la preuve de la foi de chacun dans le développement soutenable de la firme, elle repose en fait sur la confiance des parties prenantes enracinée dans le comportement éthique du passé, confortée par la conduite présente comme garant du futur. Alors qu’Abraham Lincoln au milieu du XIX e siècle notait que « Le caractère est un arbre et la réputation son ombre. L’ombre est ce que nous en pensons ; mais l’arbre est la réalité » , aujourd’hui on doit s’interroger pour savoir si l’ombre n’est pas l’arbre ! En effet, la réputation, et donc la firme, se révèle souvent plus résiliente qu’on ne pourrait le penser face aux écarts de conduite, pour autant qu’ils demeurent des incidents isolés, non répétés : mais la chute pourrait être brutale et sans appel en cas de récidive. C’est pourquoi un projet d’ERM (Enterprise-wide Management) ne peut être efficient que s’il n’inclut une approche systématique des risques à la réputation, méta-risque, le risque de tous les risques.

Le fondement de toute gestion de la réputation, et des risques de toute nature qui l’accompagnent, menaces et/ou opportunités, peut se résumer en un mot : authenticité. Cependant, il convient encore de transformer cette vision en modèle opérationnel. Pour ce faire il convient de définir, de mesurer et de suivre neuf indicateurs clés classés en trois catégories : intentions – vision/engagements vis à vis des partenaires, profil RSE, capital humain ; actions – leadership /gouvernance, ouverture aux autres, opérations ; résultats – profil du secteur, profil réglementaire, finances et valeur.

La « consultation » des parties prenantes permet de définir un indice de la réputation dont le suivi dans le temps permet véritablement d’évaluer la résilience d’un organisme s’il subissait une rupture/ crise qui viendrait mettre à l’épreuve sa capacité à surmonter l’épreuve en conservant la confiance des parties prenantes.

Alors qu’il s’exprime dans le cadre d’une enquête conduite par un média spécialisé (Global risk survey 2014, Commercial risk Europe, ) John Ludlow, directeur des risques du groupe d’hôtels Intercontinental illustre la liaison intrinsèque entre risques et stratégie en évoquant les relations nécessaires entre le conseil d’administration et le risk manager : « Les administrateurs prennent la gestion des risques au sérieux. Mais encore faut-il que le risk manager comprenne la mission du CA d’augmenter la valeur de l’organisme. Or cette valeur réside de plus en plus dans sa réputation. Alors qu’il est relativement aisé de convaincre les administrateurs de s’intéresser aux risques à impact stratégique et au programme de changement, ils ont plus de mal à s’intéresser aux risques opérationnels. Mais on peut y parvenir si on réussit à leur montrer leur impact potentiel sur la réputation. Il suffit de mettre l’accent sur le lien intrinsèque entre ces concepts pour éveiller leur intérêt » .

Les laboratoires XX multiplient les scénarios de gestion de crise et de communication de crise.

Intervenant dans la santé et l’agroalimentaire, les laboratoires XX, à Boulogne, sont sensibles à la gestion des risques. Il a fallu près de deux mois pour mettre en place un dispositif anticrise solide. Un travail basé sur un important audit interne des risques et des exercices de simulation de crise.

Un jour de semaine apparemment normal. Pourtant, au siège des laboratoires XX à Boulogne, ainsi que dans les sites de production, la cellule de crise est sur la brèche, les téléphones ne cessent de sonner : le ministère de la Santé, la police, les journalistes… tous veulent savoir.

Que s’est-il passé ? Dans la réalité, rien du tout, il s’agit simplement d’un exercice de simulation de crise, en temps réel, pour lequel des intervenants extérieurs ont été mis à contribution.

Les laboratoires XX interviennent sur deux marchés : la pharmacie mais aussi les produits grand public (les deux divisions représentent environ 600 et 400 millions de chiffre d’affaires).

L’entreprise est doublement exposée car elle touche deux domaines « sensibles » : la santé et l’agroalimentaire. Les aspects techniques liés à un problème sur un site de production sont généralement abordés dans les entreprises, mais rarement l’ensemble des répercussions et les enjeux stratégiques qui en découlent.

« L’anticipation de crise n’est pas toujours bien perçue, on passe vite pour les Cassandre », explique Bénédicte XX, directeur des affaires publiques et de la communication. Il a fallu l’arrivée d’un nouveau président pour que l’entreprise entame une réflexion sur le sujet, avec l’aide de l’agence LaFrenchCom spécialisée dans la gestion de crise et la communication de crise.

Prise de conscience. Première phase : la sensibilisation à la notion de crise du comité de direction, puis d’une cinquantaine de cadres (sur les 600 salariés que compte l’entreprise).

Dans un deuxième temps, l’entreprise a procédé à un audit des risques, afin d’identifier les sources de faiblesse, la nature des problèmes rencontrés, les éventuels incidents même mineurs survenus antérieurement.

Il ne faut pas sous-estimer les risques qui peuvent venir de partenaires extérieurs (fournisseur, sous-traitant, transporteur…). L’audit a été réalisé à travers une quarantaine d’interviews sur les différents sites auprès des équipes tant en charge de la production, de la qualité, de l’environnement, des réclamations, du marketing, mais aussi du comité d’entreprise ou de la direction des ressources humaines (DRH)…

« La difficulté quand on se livre à ce genre d’exercice est justement de ne pas créer de crise à l’interne, par manque de compréhension ou par peur », s’exclame Bénédicte XX. Le rapport d’audit des risques a servi de matière première pour organiser une simulation de crise.

L’exercice a clairement révélé l’existence de plusieurs failles et la prise de conscience fut assez brutale pour certains !

Séances d’entraînement à la gestion de crise et à la communication de crise.

A partir de là, une procédure de gestion de crise a été élaborée : en stigmatisant chaque type de problème, en définissant des échelles de gravité, en identifiant une répartition claire des tâches (la composition de la cellule de crise, la désignation d’un porte-parole…).

Le tout accompagné de séances d’entraînement à la prise de parole pour ceux qui risquaient d’y être confrontés un jour.

Un manuel de procédure de gestion de crise et de communication de crise a été distribué à tous les cadres de direction, et les grandes lignes présentées à tous les cadres de l’entreprise ; une brochure simplifiée a été réalisée pour les membres du personnel amenés à gérer des appels téléphoniques. Clignotants.

« C’est un travail lourd, qui a pris un an et qui nécessite d’être actualisé régulièrement », confie-t-on au sein de XX. Difficile de savoir si – et dans quelles circonstances – le dispositif a fonctionné. On reconnaît avoir eu à gérer des « précrises » depuis la mise en place de cet outil.

Des clignotants sur des questions précises ont été introduits : « Ils permettent d’agir sans doute plus en amont ; une réunion d’alerte organisée immédiatement avec les bons interlocuteurs permet de gagner du temps.