Que pensez-vous du marché de la gestion des risques ?

Question : 

« Considérez-vous en tant qu’agence de gestion de crise à Paris que la gestion des risques est un marché mature en France ? »

Réponse :

Cartographie des risques, plans de continuité, organisation managériale de la gestion des risques, le thème est porteur chez nos clients. Dans le sillon de la gouvernance d’entreprise et en vertu de l’évolution du cadre réglementaire sur la transparence, la Compliance, la RSE, la lutte contre la fraude interne et la corruption, les entreprises de nos clients traquent les risques dans tous les recoins alors que les risques médiatiques, les risques judiciaires et les risques digitaux n’ont jamais été si nombreux. Une opportunité émergente et prometteuse pour les sociétés de conseil et les agences en gestion de crise à Paris comme LaFrenchCom.

« La gestion des risques est comparable à la maîtrise d’une course pour un coureur automobile. Il convient de mesurer tous les paramètres au plus juste afin d’aller le plus vite possible sans sortir de la route. » C’est en ces termes que Florian Silnicki, Président Fondateur de l’agence LaFrenchCom résume l’enjeu de la gestion des risques pour les entreprises. Un enjeu parfaitement compris par les dirigeants, surtout par les décideurs qui ont déjà eu à affronter une crise et qui mesurent donc parfaitement l’ampleur des dégâts qu’elles peuvent durablement causer sur leur entreprise.

Depuis 4-5 ans, la gestion des risques s’inscrit de plus en plus sur l’agenda de nos clients CEO. Aiguillonnée parfois davantage par des préoccupations de responsabilité légale que par une logique de création de la valeur.

Une préoccupation qui s’inscrit dans les bonnes pratiques de la gouvernance d’entreprise, après les excès de confiance qui ont conduit à quelques faillites retentissantes. Crise sanitaire du Coronavirus Covid19, catastrophes climatiques à répétition, plan vigipirate quasiment constamment activé à cause des actes de terrorisme mais déjà avant avec les attentats du 11 septembre 2001 ou, en France, l’explosion de l’usine Azf ou encore l’incendie de l’usine Lubrizol en septembre 2019 à Rouen ont achevé de briser le sentiment d’invulnérabilité des entreprises, y compris des plus puissantes multinationales car aucune taille ne préserve d’une crise.

Surtout, les nouvelles réglementations de protection des données personnelles comme la RGPD, la succession de normes de transparence liée à la loi Sapin 2, la loi sur la lutte contre la corruption et la protection des lanceurs d’alerte promulguée le 9 décembre 2016, et les nouvelles mesures anti-corruption renforcées entrées en vigueur le 1er juin 2017, la décision de la Commission nationale de l’informatique et des libertés (CNIL) du 22 juin 2017 étendant les obligations des entreprises en matière de dispositifs d’alertes professionnelles … et les premières sanctions très lourdes prononcées sur leur fondement ont rappelé à l’ordre les imprudents.

De la gestion du risque au développement durable

Outre les problématiques métier spécifiques, la gestion des risques s’attaque aujourd’hui à toutes les dimensions, même aux éléments les plus intangibles, comme l’image de marque. Il s’agit de réfléchir à la capacité de résistance des entreprises dans une perspective plus globale.

Alors que dans les années 70, la bourse valorisait les entreprises en tenant essentiellement compte de leur bilan, elle s’intéresse aujourd’hui davantage aux éléments intangibles comme la réputation des entreprises.

La gestion « globale » des risques devient ainsi une problématique de management et de communication à part entière… Que certains cabinets de conseil n’hésitent pas à rapprocher de celle du développement durable. La gestion des risques est un des thèmes sous-jacents à la problématique du développement durable dans le sens où elle est un moyen de maîtriser son développement dans un contexte évolutif.

Hiérarchiser

Pour les sociétés de conseil en gestion de crise comme LaFrenchCom, en terme de missions, c’est une pratique avec un menu complet de communication qui commence par la cartographie des risques afin d’anticiper au mieux les crises qui peuvent en naitre.

Il convient de mixer des méthodes de communication, de statistique financière et un savoir-faire industriel de gestion des points durs pour proposer une vision globale et robuste, intégrant une distribution probabiliste des risques.

Les consultants souhaitent ici apporter un peu de rationalisation dans les registres de risques, historiquement établis par les industriels, et qualifiés par certains consultants de « listes à la Prévert. » Reste encore à convaincre les entreprises concernées, de la valeur ajoutée de leur conseil. Ces projets sont souvent lourds et compliqués, et ils ont parfois tendance à mélanger petits et grands problèmes sans faire de distinction entre les deux.

Chiffrer

Il s’agit aussi de traduire le risque en impact financier. Quelle que soit la nature du risque, il finit par impacter les finances. Dans les entreprises, les reportings environnemental, social ou de gestion des risques, même s’ils sont encore souvent traités à part, tendent à s’articuler avec les reportings financiers pour la part des données traductibles en termes financiers. La question à se poser est : quel niveau de risque pris est acceptable pour optimiser la création de valeur ? Au final en effet, la gestion des risques doit stimuler la création de valeur.

Adapter

Certains points restent difficiles à estimer, comme la réputation d’une entreprise, les conséquences d’une pétition, d’un bad buzz, d’une class action, d’un boycott, d’autant que les mêmes risques ne sont pas forcément vécus de la même manière par les entreprises. Le profil d’aversion au risque varie en fonction des cultures. Au Japon, ce profil est fort (l’affaire de Carlos Ghosn en a été une nouvelle illustration). Aux Etats-Unis, les entreprises s’accommodent davantage du risque mais ont une forte capacité de réaction en cas de sinistre. Impossible donc, de faire du standard. Les sociétés de conseil doivent proposer une méthodologie qui respecte la philosophie de l’entreprise. Ce qui n’est pas simple.

Prévenir et organiser

Viennent ensuite les missions d’accompagnement. Une fois les risques identifiés, ils peuvent être modérés grâce à la rédaction de procédures spécifiques, comme la double signature des virements ou des chèques (l’arnaque au Président a montré que les failles sont encore présentes dans les dispositifs de lutte contre les fraudes), la mise en place d’alertes automatiques, de systèmes de contrôle et de supervision, le déploiement de normes … Le système d’information vient en appui, avec des missions spécifiques pour mettre en place de systèmes d’information ad hoc, de tableaux de bord ou encore des systèmes d’alertes.

Une dynamique qui repose sur une organisation humaine, capable d’évaluer les risques en temps réel. La gestion des risques repose aussi sur la sensibilisation de chacun au quotidien. Cela doit faire partie intégrante de la culture, chacun doit se sentir responsable.

Il convient de constituer un réseau, avec un chargé de la gestion des risques par unité, grand projet ou filiale. Un organigramme qui dépend aussi du métier de l’entreprise, et qui diffère d’une industrie lourde à une entreprise de services. Dans l’industrie, la gestion des risques industriels, environnementaux, d’hygiène et de sécurité, incombe aux directeurs risques industriels des sites, alors que dans d’autres secteurs, ce rôle de relais peut échouer aux directeurs administratifs et financiers, au Directeur de la Compliance ou au Secrétaire Général.

Proposer une issue de secours

Il convient aussi d’apprendre à gérer la catastrophe. Et les missions destinées à maintenir l’activité de l’entreprise, quel que soit le sinistre, se développent, grâce à la mise en place de plans de secours ou de continuité. Ce qui est nouveau aujourd’hui, c’est que l’accent est mis sur l’exécution et la mise en oeuvre plus que sur la stratégie. Le problème consiste à faire fonctionner la matrice, et non à inventer de nouveaux indicateurs.

La question est : comment continuer à faire fonctionner l’entreprise lorsqu’un élément de la chaîne fait défaut ? Un aspect sur lequel le Crédit Lyonnais a été précurseur, grâce à sa filiale de l’époque, la Samis, revendue à Schlumberger. Une précaution qui a été utile lors de l’incendie qui a ravagé le siège en 1996. Un site de secours, construit discrètement Porte de Champerret, disposait d’un back up et d’une réplique complète du système d’information. Chaque employé avait reçu une carte lui indiquant un endroit (le plus souvent un café du quartier) où se rendre en cas de sinistre dans les locaux. Au moment de l’incendie, les employés ont ainsi pu retrouver leur chef d’équipe pour obtenir de nouvelles instructions, puis regagner le site de secours et reprendre leur travail.

Un secteur qui attire tout le monde du conseil

Le programme est vaste pour gérer le risque de A à Z, et plus encore selon une vision à 360 degrés. Mais, les sociétés d’audit, qui disposent de bataillons d’experts techniques en tous genres, ont déjà bien investi le marché, multipliant les cartographies des risques et les audits techniques.

De leur côté, les sociétés de conseil en management rentrent dans la danse par le biais de certains secteurs d’activité très sensibilisés par exemple au risque informatique, notamment la banque. Elles aident les banques à se structurer par rapport à la gestion des risques sur trois plans. Celui de la méthode, grâce à l’analyse de la politique de taux par exemple. Celui de l’organisation, en définissant les rôles et les procédures lors de la mise en place d’une direction des risques. Et enfin celui des systèmes d’information, grâce à une veille très pointue des produits ‘progiciels’ du marché, benchmarkings à l’appui.

Le conseil en stratégie de gestion des crises intègre cette dimension comme l’un des leviers clés pour améliorer la performance globale des entreprises face aux crises.

Sans oublier, bien sûr, les assureurs, qui s’en tiennent eux, à leur territoire naturel, c’est-à-dire la gestion des risques assurables. L’assurance seule ne suffit pas. Elle est associée à la gestion des risques. Celle ci se décline en quatre étapes : l’identification, la quantification, le traitement (prévention-protection-assurance) et le contrôle (un risque évolue, cette évolution justifie de recommencer la démarche)…

Un marché naissant

Beaucoup de monde sur le pont, pour un thème qui, certes prometteur, reste toutefois immature. Il y a un vrai marché à explorer. Le chiffre d’affaires lié au risk management reste encore restreint. Il s’agit d’une activité en démarrage mais qui devrait devenir un thème à part entière, composante naturelle de la palette du consultant en stratégie. Sur cette activité, les Etats-Unis ont encore une longueur d’avance. En France, il s’agit d’un sujet émergent. Outre-Atlantique, nous travaillons notamment beaucoup avec les entreprises sur des problématiques de simulation de situation, par exemple en cas de guerre.

La maturité de la France par rapport au reste de l’Europe n’est pas mauvaise, concernant la gestion des risques et la gestion des crises. On assiste aujourd’hui à une large prise de conscience dans les états majors des grandes entreprises. Les anglo-saxons ont des plans de communication de crise plus ambitieux mais qui ne sont toujours respectés à la lettre.

L’approche globale de la crise n’est pas encore entrée dans les moeurs

La vision de la gestion globale du risque et de la crise, surtout, doit progresser.

Les projets qui visent à mettre en place une approche globale de gestion des risques et des crises doivent se multiplier. Mais tous les clients ne sont pas adeptes de cette approche globale de la crise.

La gestion globale des risques et de la crise est très à la mode aujourd’hui. Mais il existe aujourd’hui un décalage entre la démarche intellectuelle et la pratique sur le terrain.

Aujourd’hui, les missions de gestion des crises et des risques restent trop spécifiques, mais depuis un an, les approches transversales de la crise se multiplient.

Les entreprises ont une approche de la crise encore timide et les projets liés à la gestion des risques sont souvent à tiroir. Des étapes initiales comme la cartographie d’une entité peuvent générer des missions pour mettre en place des plans d’actions. Et les projets peuvent s’étendre à d’autres départements ou filiales et ainsi déboucher sur des projets plus globaux.

Les clients avertis savent ce qu’ils veulent

L’hétérogénéité des clients est grande vis-à-vis de la gestion des risques. Et les sociétés de conseil doivent adapter leur discours, à celles qui « découvrent » cette pratique comme à celles qui ont déjà une expertise bien rôdée en raison de leur métier.

Au sein des sociétés de gestion de crise comme LaFrenchCom déjà bien rôdées à la gestion de risques, lorsque ceux-ci sont inhérents à leur métier, le conseil apporte une vision plus globale et un regard extérieur, benchmarks à l’appui. Il permet de pointer certains risques moins visibles. En effet, si le risque produit est bien identifié chez un vendeur de biens de grande consommation, tout comme le risque incendie dans une industrie chimique, d’autres risques, managériaux notamment, sont souvent perçus de manière plus diffuse. Et il est utile d’évaluer ces zones de vulnérabilité. Un message difficile à faire passer.

Les consultants en gestion de crise ont eu le temps de se faire une doctrine. Dans certains secteurs d’activités, les risques sont essentiellement liés au business. Avant de répondre à de très grands appels d’offres, il est nécessaire d’envisager tous les risques afin de définir ce qui est acceptable ou non de garantir au client. Des instructions générales aident à se poser les bonnes questions. Il s’agit de questionnaires très détaillés, élaborés à partir de toutes les expériences projet. La mise en place du système de suivi et de gradation des risques suit.

Au final, les entreprises matures savent s’y prendre en matière de gestion des risques, le recours aux sociétés de conseil en gestion de crise en appui. Le conseil en communication de crise doit aider l’entreprise à mettre en place sa politique de gestion des risques et non le faire à sa place. Il ne s’agit pas ici d’outsourcing mais bien d’aide à la décision.

Les practices gestion des risques au sein des grandes sociétés de conseil :

– PricewaterhouseCoopers

– Ernst & Young

– Mazars

– Roland Berger

Gestion globale des risques, Danone a historiquement montré la voie

Chez Danone, la réflexion sur la gestion globale des risques a été amorcée historiquement en 1999 et le programme a démarré en 2001.  Ils ont d’abord établi une cartographie des risques sur plus d’une centaine de sociétés filiales avant d’élaborer des plans d’action de gestion des risques. Des groupes de travail spécifiques ont été mis sur pied lorsqu’il y avait une communauté de problèmes entre filiales. Et tout le monde a réfléchi aux bonnes pratiques de gestion des risques. Chaque directeur financier est le risk manager de sa société. Il se charge de faire la synthèse des risques et le reporting au siège de la gestion des risques et de la prévention des risques. Il y a également des risk managers de zone qui assistent les filiales dans la définition des plans d’action contre les risques.