Astreinte de crise 24h/24 7j/7

Gestion stratégique des risquesActualitésGestion stratégique des risques

Gestion stratégique des risques

proteger

proteger

Initialement, la gestion des risques consistait principalement en recours systématique à des « transferts » par achat de couverture d’assurance, elle était donc réactive. Depuis le début du 21e siècle, elle est devenue proactive, anticipation des risques futurs pour optimiser la performance de tout organisme de façon à exploiter les incertitudes du futur pour rebondir même dans les situations de rupture, contenir les menaces et exploiter les opportunités. Cette vision proactive du risk management est renforcée par le standard ISO 31000 :2009 avec une définition clef de voûte : « Le risque est l’effet de l’incertitude sur les objectifs » , elle souligne l’intégration nécessaire de la gestion des risques à tous les stades du processus développement stratégique.

La gestion des risques a subi une évolution considérable

La gestion des risques a subi une évolution considérable depuis son émergence comme une fonction technique il y a six décennies dans certaines entreprises américaines dont le budget assurances justifiaient de disposer d’un spécialiste interne. Cette évolution résulte à la fois de la frustration des praticiens qui ressentaient les limites de l’exercice, et de la réflexion des universitaires d’horizons différents qui ont essayé de développer un support scientifique pour concevoir des instruments spécifiques. C’est ainsi que les Cindyniques, dont le nom apparut pour la première fois dans les pages du Monde le 10 décembre 1987, constituent la « science du danger » dont la dernière définition posée est : « Science visant à rendre intelligibles, et donc prévisibles, les dangers, les risques qui en découlent, endogènes et exogènes au sein d’un système et de permettre de les réduite » (Kervern G.-Y., Boulenger P., Cindyniques : concepts et mode d’emploi, Economica, 2007, p. 1).

Un environnement de plus en plus complexe

Mais l’accélération du mouvement depuis vingt ans, et plus particulièrement depuis la première décennie du XXIe siècle, liée à la complexité croissante des interrelations entre acteurs économiques, accompagne des interdépendances qui dépassent trop souvent la capacité de l’homme à les appréhender, sans recours à la théorie de la complexité. Dans un document récemment mis à jour, les auteurs du livre rouge OCEG (OCEG, red book – GRC capability Model, Version 2.1, New-York (USA), 2012) notent que :

« L’environnement dans lequel les organismes évoluent est aujourd’hui plus complexe et plus exigeant que jamais. Même les PME/PMI, les organismes à but non lucratif, et les acteurs publics ont à relever des défis auxquels seules les grandes entreprises internationales étaient confrontées dans le passé. Les parties prenantes, internes et externes, ne se contentent plus de hautes performances, elles exigent en outre la transparence de la gestion. Les risques et exigences réglementaires qui pèsent aujourd’hui sur les organismes constituent un maquis dense et changeant qui peut frapper sans prévenir. Pour couronner le tout, les coûts à engager pour contrôler ces risques tendent à être hors de contrôle. En résumé, dans beaucoup d’organisme le statut n’est ni soutenable, ni acceptable » .

L’explosion du périmètre d’exercice de la gestion des risques, comme son élargissement à tous les responsables stratégiques et opérationnels, suppose que soit mise au point une batterie d’instruments disponibles pour tous. Dans ce contexte, les apports spécifiques développés grâce à l’expérience de terrain et d’enseignement jouent un rôle dans l’ouverture des yeux des responsables pour leur apporter une vision 360 o dans la prise de décision, combinant l’approche centrifuge (leurs compréhension de l’environnement) et centripète (la perception que les parties prenantes ont de leur organisme).

On peut distinguer trois grandes périodes ou ères dans le développement de la gestion des risques depuis son apparition :

Ère de l’artisan

Un spécialiste de l’assurance accidents du travail est recruté auprès du trésorier pour optimiser l’achat d’assurance ; sa rencontre avec l’ingénieur hygiène et sécurité qui vise l’amélioration des conditions de travail et la réduction de la fréquence et de la gravité des accidents du travail, donne naissance à la gestion des risques. Leur domaine initial est le risque de fréquence.

Ère de l’ingénieur

Les enjeux des risques de fréquence et de gravité moyenne exigent des montages financiers plus complexes et, avec l’accroissement de l’interdépendance des opérateurs économiques, le développement de plans pour garantir la poursuite des flux tendus, aujourd’hui formalisés sous le nom de PCA, Plan de continuité d’activité. Elle s’accompagne de la conception de plans pluriannuels de financement. Les ETI et PME/PMI sont sollicitées pour la sécurisation des réseaux logistiques des grandes entreprises donneuses d’ordre.

Ère du stratège

La création de valeur pour les actionnaires, l’approche portefeuille et la prise en compte des autres parties prenantes débouchent sur une approche globale et intégrée des risques, sous le nom de gestion stratégique des risques, ou de gestion des risques intégrée. Les biens immatériels et la durée génèrent l’essentiel de la valeur de nombreux organismes qui dépendent de la confiance de leurs parties prenantes (multinationales dont la capitalisation boursière est un multiple de la valeur des actifs physiques, organismes charitables financés par les dons et dont l’avenir dépend de l’efficacité perçue de leur action, etc.).

La liaison intrinsèque entre gestion des risques et stratégie est identifiée dès lors que le risque est défini comme effet de l’incertitude sur les objectifs d’un organisme, la prise en compte coordonnée des menaces et des opportunités. Il est intéressant d’ailleurs de faire une analyse de l’origine même du mot risque indiquée dans une étude de Kedar (Kedar B.Z., Again : Arabic risk, Medieval latin riscum, Studii Medievali, Centro Italiano di studi sull alto medievo, Spoletto (1970) quoted in Merna Tony & Faisal F. Al Thani, Corporate Risk Management, 2 nd edition, Chichester, Wiley & Sons LTD, 2008). L’auteur rappelle la double origine : en arabe, « risq » : tout ce qui vous est donné (par Dieu) et qui vous procure un profit, fortuit mais positif ;en latin, « riscum » : le défi à relever par les marins qui pourraient fracasser leurs vaisseaux sur un récif, fortuit mais négatif.

Par delà une justification sémantique, pour reprendre l’exposé d’un article récent (Bazerman Max H., Chugh Dolly, Decisions without blinders, Boston : Harvard Business Review, OnPoint, Spring 2009, p. 58-68) publié dans la HBR, la gestion des risques contribue à éclairer les décisions en augmentant le niveau de conscience des décideurs en les assistant à : voir l’information (former leur regard à identifier ce qui importe, et prendre en compte la vision externe) ; chercher l’information (remettre en cause l’absence d’information divergente, et approfondir la recherche dans les contextes vitaux) ; utiliser l’information (une vision plus large de la situation dans l’espace et dans le temps avant de prendre une décision, et prendre en compte toute l’information disponible au sein de l’organisme) ; partager l’information (chacun, chaque département a une information spécifique, il faut veiller à intégrer l’ensemble dans un système unifié facilitant partage transversal et vertical) .

Dans la décision stratégique, la gestion des risques procure une information de haute qualité sur l’incertitude du futur, information essentielle pour la survie de l’organisme à long terme. La gestion des risques permet aux dirigeants et mandataires sociaux de prendre des décisions « mieux informées » renforçant la résilience de leurs organismes. Ils sont ainsi moins vulnérables à l’échec, mieux préparés à la saisie des opportunités, et mieux équipés pour survivre aux changements de leur environnement, leur contexte externe. La gestion des risques contribue donc à la soutenabilité, c’est-à-dire la survie et le développement de l’organisme conscient de sa responsabilité vis-à-vis de l’environnement au sein duquel il opère et bâtit.

Le « business model » reprend les aspects fondamentaux d’un organisme, y compris sa vision, ses missions, stratégies, infrastructure, politiques, offres, et processus ; il faut en reconnaître les limites. Elles imposent de « penser l’avenir » en mesurant les risques qui pèsent sur lui du fait de la concurrence, de l’évolution technologique, des marchés, des attentes des consommateurs, etc.

L’intégration du processus de gestion des risques à l’élaboration de la stratégie accroît les chances de l’organisme de gérer efficacement les risques auxquels il est confronté. Pour réussir cette intégration, l’organisme doit suivre les étapes suivantes : définir des objectifs pour l’ERM (en établissant les contextes interne et externe) ;identifier les risques (première sous-étape du diagnostic des vulnérabilités – appréciation du risque) ;analyser, évaluer et classer par ordre de priorité les risques « critiques » (deuxième et troisième sous-étapes du diagnostic des vulnérabilités – appréciation du risque) ;traiter les vulnérabilités critiques, en prenant en compte les priorités (traitement des risques) ;auditer les vulnérabilités critiques (surveiller et revoir) .

Les plans les plus affinés peuvent être déraillés par des situations non envisagées ou des événements imprévus. L’intégration de la démarche d’ERM dans le processus de planification stratégique de l’organisme permet de mieux comprendre les menaces et les opportunités de son contexte externe, les forces et les faiblesses de son contexte interne ; c’est ainsi qu’il est en mesure de concevoir des objectifs prenant en compte les risques associés et optimisant la prise de risque. Mais il ne faudrait pas pour autant oublier les travaux de l’artisan et de l’ingénieur, les trois aires du métier de risk manager sont indissociables.

Gouvernance, risques et conformités

La pression de l’opinion publique, les attentes des citoyens et des consommateurs ne laissent plus le choix aux élus et aux responsables. Ils doivent définir une politique de gestion des risques visant au-delà des actifs de l’organisme, la sécurité de tous et des biens de chacun des habitants, personnes physiques ou morales, partenaires et/ou installés sur les territoires impactés par leurs décisions. Il faut susciter une culture de gestion des risques chez les élus, les fonctionnaires et l’ensemble des responsables économiques, politiques et sociaux, de tous ceux qui vivent ou transitent sur un territoire donné.

L’élargissement du champ de la gestion des risques passe aussi par la montée en puissance du responsable de la gestion des risques. Aujourd’hui, il n’est plus possible de se contenter d’un technicien de l’assurance. Pour embrasser l’étendue de la fonction, il faut savoir porter un regard global sur l’ensemble des activités de l’organisme concerné. Toutefois, l’autorité du responsable « risques » ne peut que découler d’une mission confiée directement par le principal dirigeant, PDG, maire, président du Conseil général ou du Conseil régional, sous l’autorité directe du Directeur général, tout en rendant compte au conseil d’administration ou aux élus.

L’ampleur de la tâche des professionnels de la gestion des risques auxquels les organismes font confiance pour développer et mettre en œuvre un programme global de gestion de leurs risques en fait un véritable acteur du changement. Ils doivent donc faire preuve de patience et de persévérance. Il faut le soutien sans faille des dirigeants et des élus. Chacun comprend que c’est cette culture de gestion des risques qui garantit une « bonne gouvernance » au service de tous.

De fait, le triangle d’or « GRC » est devenu un des clés d’une gestion des risques encore en devenir. Ce nouveau mantra de la gestion des risques « GRC » , pour Gouvernance-Risques-Conformités, souligne l’objectif d’atteindre des résultats mesurables en matière de performance dans les trois pointes du triangle. L’ERM est au cœur de ce dispositif dont il est la clé de voûte et donne la résonance permettant une approche intégrée et globale pour l’optimisation de la prise de risque.

Le resserrement de la nasse légale et réglementaire a éveillé l’intérêt, voire l’inquiétude, des mandataires sociaux et dirigeants. Donc, les conseils d’administration s’impliquent davantage dans la gestion des risques. Toutefois, trop d’administrateurs se contentent d’une analyse des risques juridiques, en particulier ceux pouvant entraîner pour eux un engagement de responsabilité, ce qui les rend plutôt frileux face aux autres risques. Trop nombreux sont les organismes englués dans des programmes de conformité, style « cocher les cases » et finissent par perdre de vue l’essentiel, la définition et l’exécution d’une stratégie « gagnante » en optimisant la prise de risque.

C’est dans ce contexte que l’acronyme GRC doit demeurer la perspective des organismes tant publics que privés pour inscrire leurs efforts et développer des solutions intégrées tricotant ensemble les exigences de ces trois pôles, distincts mais solidaires. Les risques juridiques sont alors portés à l’attention des dirigeants pour qu’ils en mesurent l’impact sur les relations à établir entre les équipes « risk management » et « conformité » dont les compétences et les cultures très différentes, mais complémentaires. Il reste à voir si un nouveau cadre professionnel « hybride » de la gestion des risques émergera pour rendre compte de façon cohérente des trois pointes du triangle de GRC.

De nombreux analystes ont voulu voir l’origine de la crise financière de l’automne 2008 dans la faillite de la gestion des risques, incapable de prévenir la catastrophe ; certains ont même cru pouvoir s’aventurer à prédire la mort de la gestion des risques. Mais n’est-ce pas plutôt l’échec d’une gestion morcelée, en silos, des risques sans véritable intégration ?

En Afrique du Sud, le rapport King III (le rapport King III sur la gouvernance a été publié en Afrique du Sud le 1 er mars 2010. Les autres référence en matière de gouvernance et d’éthique comprennent le Compact Global des Nations Unies, le rapport Cadbury et le Code de principes de gouvernance en Grande-Bretagne, et le rapport Viénot et les législations de transposition en France de la huitième directive européenne – loi SFE, etc.) sur la gouvernance définit en particulier la gouvernance des risques ainsi : « La gouvernance des risques est la composante de la gouvernance qui exige que le conseil d’administration veille à ce que la gestion des risques ne se limite pas à une série d’activités sans prise directe sur les activités au cœur de l’organisme » .

L’impact de la culture de l’organisme sur la gouvernance et la gestion des risques

La greffe de la gestion des risques sur la culture existante de l’organisme repose sur l’acquisition de compétences par tous les opérationnels. Ils doivent s’approprier le processus de gestion des risques : ce sont eux, les propriétaires de risques. Une formation adaptée doit leur permettre de comprendre la nécessité d’évolutions qui pourraient les inquiéter ainsi que la nécessité d’embrasser les nouveaux processus. Il pourrait être « confortable » pour certains de s’affranchir de certaines étapes du processus de décision, de préférer la politique de l’autruche à un réalisme trop cru, dérangeant surtout quand il faut informer et consulter des parties prenantes internes ou externes. Donner le ton de la culture de gestion des risques relève de l’exemple au sommet.

La culture est immatérielle, mais il faut introduire des instruments de mesure concrets pour en valider l’évolution. C’est indispensable pour influencer les comportements et assurer l’alignement de la gouvernance et des objectifs de performances de la gestion des risques au travers des indices de risques clés (KRI – key risk indicators -) et indices de performances clés (KPI – key performance indicators). Toutefois, pour le changement dans les organismes, il faut se garder de toute précipitation, l’évolution d’une culture est toujours un processus lent, exigeant des délais de maturation.

Par-delà les entreprises privées, il est légitime de s’interroger pour savoir si on verra un jour un risk manager dans chaque ministère ? Ce développement est en cours de réalisation en Grande-Bretagne ; et pourquoi ne pas souhaiter un risk manager de la nation, en particulier dans les pays en voie de développement !

La gestion des risques à la réputation

Dans un article publié en février 2009 (Eccles Robert G., Newquist Scott C., Schatz Roland, Reputation and its risks, Boston (USA): Harvard Business Review ONPOINT, Spring 2009, p. 96-108), les auteurs soulignent que : « Les dirigeants ont conscience de l’importance de la réputation de leurs firmes » tout en mettant en lumière un problème précis : « Les organismes de contrôle, les associations professionnelles, les consultants, et les opérateurs eux-mêmes ont développé des modèles pour évaluer et gérer tout une panoplie de risques, sur les prix de matières premières, le contrôle des chaînes logistiques, les risques politiques, les catastrophes naturelles, etc. Mais les risques à la réputation restent exclus de ces modèles à cause de la difficulté d’intégrer les besoins en capitaux nécessaires » .

La réputation est un actif immatériel fondement de la valeur de la firme. Elle apporte la preuve de la foi de chacun dans le développement soutenable de la firme, elle repose en fait sur la confiance des parties prenantes enracinée dans le comportement éthique du passé, confortée par la conduite présente comme garant du futur. Alors qu’Abraham Lincoln au milieu du XIX e siècle notait que « Le caractère est un arbre et la réputation son ombre. L’ombre est ce que nous en pensons ; mais l’arbre est la réalité » , aujourd’hui on doit s’interroger pour savoir si l’ombre n’est pas l’arbre ! En effet, la réputation, et donc la firme, se révèle souvent plus résiliente qu’on ne pourrait le penser face aux écarts de conduite, pour autant qu’ils demeurent des incidents isolés, non répétés : mais la chute pourrait être brutale et sans appel en cas de récidive. C’est pourquoi un projet d’ERM (Enterprise-wide Management) ne peut être efficient que s’il n’inclut une approche systématique des risques à la réputation, méta-risque, le risque de tous les risques.

Le fondement de toute gestion de la réputation, et des risques de toute nature qui l’accompagnent, menaces et/ou opportunités, peut se résumer en un mot : authenticité. Cependant, il convient encore de transformer cette vision en modèle opérationnel. Pour ce faire il convient de définir, de mesurer et de suivre neuf indicateurs clés classés en trois catégories : intentions – vision/engagements vis à vis des partenaires, profil RSE, capital humain ; actions – leadership /gouvernance, ouverture aux autres, opérations ; résultats – profil du secteur, profil réglementaire, finances et valeur.

La « consultation » des parties prenantes permet de définir un indice de la réputation dont le suivi dans le temps permet véritablement d’évaluer la résilience d’un organisme s’il subissait une rupture/ crise qui viendrait mettre à l’épreuve sa capacité à surmonter l’épreuve en conservant la confiance des parties prenantes.

Alors qu’il s’exprime dans le cadre d’une enquête conduite par un média spécialisé (Global risk survey 2014, Commercial risk Europe, ) John Ludlow, directeur des risques du groupe d’hôtels Intercontinental illustre la liaison intrinsèque entre risques et stratégie en évoquant les relations nécessaires entre le conseil d’administration et le risk manager : « Les administrateurs prennent la gestion des risques au sérieux. Mais encore faut-il que le risk manager comprenne la mission du CA d’augmenter la valeur de l’organisme. Or cette valeur réside de plus en plus dans sa réputation. Alors qu’il est relativement aisé de convaincre les administrateurs de s’intéresser aux risques à impact stratégique et au programme de changement, ils ont plus de mal à s’intéresser aux risques opérationnels. Mais on peut y parvenir si on réussit à leur montrer leur impact potentiel sur la réputation. Il suffit de mettre l’accent sur le lien intrinsèque entre ces concepts pour éveiller leur intérêt » .