- Gestion du risque
-
La gestion du risque s'attache à identifier les risques qui pèsent sur les actifs de l'entreprise (c'est-à-dire ce qu'elle possède pour sa pérennité, ses moyens, ses biens.) , ses valeurs au sens large, y compris, et peut être même avant tout, sur son personnel. On distingue généralement deux catégories d'actifs : les financiers et les non financiers.
Les dirigeants d'entreprises ont pour mission de rendre leur exploitation viable (équilibrer les charges avec les ressources) voire de la développer (ressources supérieures aux charges = production de richesse). Le résultat obtenu leur permettra de survivre (résultat nul) voire d'en assurer la pérennité en la développant (résultat positif).
Au-delà de la gestion financière des risques et du clivage risques financiers/non financiers, l'analyse approfondie des risques de l'entreprise impose une veille étendue qui peut s'assimiler à de l'intelligence économique. Cette prévention des risques pesant sur les actifs aboutit à établir une grille des risques avec à chaque fois des veilles ciblées adaptées à chaque type de risques (politique, juridique, social, environnemental, etc.).
Le phénomène de cause à effet est de plus en plus délicat à analyser avec l'effet systémique que peut présenter désormais la mondialisation financière et l'économie ouverte ou globalisée.
Définition du terme « risque »
Selon le référentiel ISO Guide 73 – Vocabulaire du management du risque [1] qui a été revu lors du développement de la norme ISO 31000:2009 – Management du risque — Principes et lignes directrices [2], la nouvelle définition abandonne la vision de l’ingénieur (« le risque est la combinaison de probabilité d’évènement et de sa conséquence ») pour coupler les risques aux objectifs de l’organisation : « le risque est l’effet de l’incertitude sur les objectifs » [3]
Le risque dans l'industrie et en gestion
Toute activité économique entraîne des risques, que les dirigeants doivent gérer et avant tout évaluer. Pour cela, il faut les identifier puis les minimiser, assumer financièrement la charge de ceux qu'ils jugeront acceptables (en fonction de la taille et des capacités financières de l'entreprise), traiter par des tiers selon des processus d'externalisation (ex. assurance crédit) les risques liés à certaines activités, et enfin transférer certains risques auprès de professionnels de l'assurance qui assureront une garantie financière.
L'identification des risques passe aujourd'hui par la compréhension du cycle de gestion, qui intègre les partenaires amont et aval (clients et fournisseurs), mais aussi, dans un environnement en interaction complexe avec l'entreprise, les autres parties prenantes (banques, société civile). Dans cette optique, l'évaluation des risques passe également par une analyse du cycle de vie des produits.
Cette démarche d'analyse et d'identification systématique est assez traditionnelle dans le monde industriel : maritime, aviation, nucléaire, pétrolier, industrie chimique… mais cela n'élimine pas totalement le risque (voir l'explosion de l'usine AZF à Toulouse). Elle se développe également dans le domaine de la santé, et plus précisément dans les établissements de santé, publics ou privés, où la gestion des risques et des vigilances sanitaires est devenue indissociable de la démarche qualité.
En revanche, l'analyse de risque est beaucoup plus récente dans le domaine de la gestion et de l'économie, qui en était relativement écarté du fait de l'absence (apparente) de risques directs sur la vie humaine. D'autre part, il existe, à l'intérieur des entreprises, une certaine déconnexion entre le domaine de la gestion pure, et celui de l'industrie, mais les liens existent néanmoins, puisque toutes les grandes entreprises industrielles doivent gérer leur activité, et cela se fait aujourd'hui à l'aide de l'informatique de gestion. D'autre part, la gestion des connaissances a tendance aujourd'hui à faire tomber les frontières entre la gestion et la technique pure, puisqu'elle s'intéresse aux connaissances et aux compétences de l'entreprise.
Le risque de la grande entreprise à la PME
Dans les grandes entreprises, on trouve des équipes spécialisées à la tête desquelles œuvre un gestionnaire du risque ou risk manager. Il a donc vocation à gérer les risques de l'entreprise qui l'emploie.
Pour les PME, " Les entreprises de taille moyenne sont encore peu préoccupées de gestion des risques. Selon une étude du cabinet d'audit Mazars, qui a interrogé environ 200 entreprises affichant des chiffres d'affaires de 100 millions à quelques milliards d'euros, les risques qui les inquiètent le plus sont ceux qui peuvent entraîner une sanction du client, suivis des risques techniques ou opérationnels. Viennent ensuite les risques industriels, juridiques, fiscaux et informatiques." (Les Échos 09/05/2007 "La gestion des risques s'installe aussi dans les entreprises de taille moyenne").
Quelle que soit la taille de l'entreprise, chaque type de risque nécessite une réponse appropriée avec des ressources humaines dédiées externes et/ou internes. On a vu, avec le passage informatique à l'an 2000, qu'il était nécessaire de mettre en place dans les entreprises des équipes spécialisées dans la gestion du risque sous l'angle du management du système d'information. Aujourd'hui, les questions de responsabilité sociétale des entreprises nécessitent, de la même manière, la prise en compte d'un risque global, vis-à-vis de la société civile (impacts de l'activité, risques liés aux produits défectueux, etc, ), la dématérialisation impose un traitement attentif des dirigeants.
La gestion en continu de la grille de risques d'une entreprise suppose vision et vigilance du dirigeant et de ses conseils et cadres, pour la réadapter aux réalités du terrain et des systèmes régulatoires qui s'y appliquent.
Stratégies de gestion du risque
On distingue quatre manières de gérer le risque, par ordre croissant de coût :
- La prévention :
- Des mesures peuvent être prises pour limiter l'apparition de l'événement redouté. Cette stratégie est le plus souvent appliquée en premier lieu et surtout lorsque le danger est dramatique (brûlure grave, chute de grande hauteur, coupure, pouvant entrainer la mort ou des effets subléthaux). La prévention peut aussi se faire par "évitement", c'est-à-dire, l'activité présentant un risque peut être suspendue. Du point de vue des décideurs, cette stratégie est la moins risquée et la moins chère, mais elle est un frein au développement de l'entreprise. De plus, la plupart du temps, elle reporte le risque sur d'autres entreprises, ou bien elle le remet à plus tard. Si le risque est susceptible de devenir majeur, l'évitement n'est pas une attitude responsable.
- L'acceptation :
- L'acceptation d'un risque fait suite à une étude de danger. Cette étude permet d'évaluer les dommages pouvant être causés à des personnes exposées si l'événement redouté a lieu. Ainsi, un risque sans gravité conséquente peut être accepté par les travailleurs au compte de l'entreprise. Par exemple "certains électriciens refusent de porter de gros gants en caoutchouc lorsqu'ils travaillent hors-tension, et de devoir les retirer toutes les 10 minutes pour dénuder un fil". L'acceptation est aussi valable lorsque le moyen de protection coûte trop cher ou gêne énormément l'ouvrier dans sa tâche. Cette approche ne permet pas de protéger les personnels ni l'outil de production tant qu'aucune volonté de réduction du risque ne se manifeste.
- La réduction du risque :
- Veille, identification des risques par l'audit, analyse par la recherche des facteurs de risques et des vulnérabilités, maîtrise des risques par les mesures de prévention et de protection : c'est la démarche classique de gestion des risques.
- Voir aussi : risque.
- Le transfert :
- A titre financier, le transfert de risque s'établit lorsque qu'une assurance ou toute autre forme de couverture de risque financier ou garantie financière est contractée par le dirigeant confronté au risque (ex. assurance crédit). Ces garanties ne sont pas exhaustives pour couvrir le risque économique et financier. En cas de risque pénal pris par le dirigeant, ce transfert peut être réduit à néant.
- A titre opérationnel et économique, ce transfert s'effectue lorsque l'entreprise sous-traite l'activité à risque sous une forme ou une autre (sous-traitance directe, en cascade, co-traitance, externalisation ou outsourcing en anglais) ; un sous-traitant sérieux et qualifié pourra faire payer très cher sa prestation mais aussi démontrer qu'il gère mieux le risque pour un prix équivalent voire inférieur, et le recours à un sous-traitant non qualifié ou dédaigneux du risque fera courir un risque encore plus grand.
Il manque une stratégie, démystifier le risque qui n'est qu'un calcul d'incertitude dans la plupart des cas, en se posant la question de son mode de calcul. On commence alors à parler de danger.
Le processus de la gestion de risque
Pour enclencher une action, il faut identifier des signaux d’alarme face aux dangers, c'est une question d’information. Mais pour penser stratégie, la question est bien plus celle du tri comme des prises de responsabilité autour des informations jugées pertinentes. C'est une question de gestion intelligente de l’information, donc de gestion des savoirs (Jean-Yves Mercier, 2002)
De ce fait, si la création d’une cellule d’observatoire des risques est utile, elle ne sera pas suffisante. Il faut activer les réseaux de connaissances disponibles. On parle alors d’espaces de gestion au sein desquels les éléments du réseau peuvent interagir. Ces espaces sont au nombre de cinq :
• Un espace de réflexion et d’orientation
• Des espaces de tri individuel de l’information potentielle
• Un espace de recensement de l’information
• Un espace de traitement collectif des signaux
• Et un espace de décision collective
Espace de réflexion et d’orientation
L’espace de réflexion et d’orientation est celui représenté par un observatoire du risque qui conduit l’ensemble de la démarche. Cet observatoire se veut un organe transversal, chargé dans un premier temps de diagnostiquer les risques éventuels vus depuis l’institution, puis de les organiser en grandes familles de préoccupations. À titre d’exemple, l’Observatoire du risque de Catalogne a choisi de concentrer son travail sur les risques de la circulation, du travail, de l’environnement, de santé publique, de rupture sociale et sur ceux liés à l’évolution du marché du travail (Albert Serra). Une fois ces orientations validées par le politique, l’observatoire devient un organe pilote.
Espace de recensement de l’information
Autour de chaque axe de travail, des équipes de recensement de l’information sont constituées. Celles-ci sont idéalement liées au département touchés par les risques qu’elles ont à détecter, telle que la santé publique. Leur travail s’effectue pas à pas par une suite de questionnements typiques de la gestion des connaissances (Gilbert Probst), questions que ces équipes approfondissent par diagnostic avec les spécialistes gravitant au sein comme autour de l’institution : ainsi, par exemple, quels signaux nous informent de de la progression des dommages psychosociaux dans les entreprises ? comment les recenser alors que les liens entre travail et troubles psychosomatiques ne sont pas clairs? comment en analyser la pertinence ? comment en évaluer le coût ? À chaque étape, les résultats sont croisés entre équipes sous l’égide de l’Observatoire du risque pour favoriser l’apprentissage mutuel autour de ces questions nouvelles.
Espace de traitement collectif des signaux
Parallèlement, des groupes de projets transversaux entre thèmes et départements sont créés pour organiser le traitement collectif de l’information collectée par ces différentes équipes. Quels outils statistiques communs sont nécessaires ? Quel instrument informatique peut permettre d’accéder aux données et de les enrichir ? Et comment structurer la base générale des connaissances ? Des enseignements récents prouvent que l’instrument informatique est extrêmement structurant pour les échanges de savoir. Comme l’information est difficile à cerner. L’idée est ici de bâtir un outil a posteriori, en fonction des situations rencontrées dans l’approfondissement des différents types de risque.
Espaces de tri individuel de l’information potentielle
La question est ensuite de nourrir cet ensemble qui s’institutionnalise peu à peu. C’est donc le rôle d’animateurs de forums du risque de soutenir le tri individuel de l’information potentielle en structurant des espaces de dialogue, que ce soit via Intranet ou via workshops par exemple. Comme nous créons ou percevons régulièrement de nouveaux risques (Michel Serres), le but en est à la fois de repérer les récurrences de signaux non encore connus – c’est la dimension de fréquence, comme dans le cas des risques psychosociaux – comme ceux plus épars qui semblent toucher un sujet à l’impact potentiel important – c’est le critère de gravité, comme dans le cas de l’ESB. Il ne s’agit ici pas de créer un filtre à l’information, mais au contraire de lui donner un canal qui ôte toute validité à la déresponsabilisation individuelle. Ces animateurs de réseau sont répartis dans l’organisation autour des familles de risques mises en évidence par l’Observatoire.
Espace de décision
Équipes thématiques, groupes de projets de traitement du savoir, animateurs de forums du risque, tous ces outils ne fonctionnent que de concert, sous l’égide de l’Observatoire déjà mentionné. Mais encore une fois, celui-ci n’est pas organe responsable. Il est simplement un facilitateur du réseau d’informations. Il a donc aussi pour rôle de centraliser les questions susceptible de nécessiter traitement du risque, et d’identifier le niveau de responsabilité adéquat. Le problème avec les risques émergents est finalement de créer les espaces de décision et de responsabilité collective (Anthony Giddens). C’est à l’Observatoire de proposer les bonnes constellations aux dirigeants de l'entreprise ou de l'institution. Et c’est là que se situe la vraie responsabilité de ces derniers, non dans le fait d’assumer tout le poids de l’inconnu, mais de structurer et d’octroyer un budget à une cellule de gestion d’un nouveau risque encore flou mais identifié.
Actifs non financiers
Ce sont les actifs « non circulant » ou immobilisés de l'entreprise : bâtiments, véhicules, machines, … auxquels s'ajoute le personnel employé dans le cadre de l'activité y compris les sous traitants (voir la responsabilité des mandataires sociaux)
Les outils de gestion du risque sont
- La prévention (ce qui suppose l'évaluation préalable du risque,
- La diversification des risques,
- L'assurance, qui ne couvre que le risque assurable,
- Et en matière financière, certains outils permettant de transférer le risque à des opérateurs disposés à le prendre, (soit dans une optique de spéculation, soit pour couvrir un risque inverse).
- La couverture du risque (aussi appelée « hedging ») par l'utilisation de contrats dérivés
- La titrisation, c’est-à-dire la transformation de l'élément risqué (par exemple une créance) en titre négociable. La titrisation permet de se débarrasser du risque en le transformant en "papier" et de le revendre.
Les differents Risques
Les principaux risques liés à la détention d'actifs financiers peuvent être listés et couvrent généralement quatre risques, à savoir :
- Le risque de contrepartie ou actions, c'est le risque que la partie avec laquelle un contrat a été conclu ne tienne pas ses engagements. (livraison, paiement, remboursement, etc.)
- Le risque de taux, c'est le risque des prêts-emprunts. C'est le risque que les taux de crédit évoluent défavorablement. Ainsi si vous êtes emprunteur à taux variable, vous êtes en risque de taux lorsque les taux augmentent car vous payerez plus cher. À l'inverse, si vous êtes prêteur, vous êtes en risque de taux lorsque les taux baissent car vous perdez des revenus.
- Le risque de change, c'est le risque sur les variations des cours des monnaies entre elles. Risque sensiblement lié au facteur temps.
- Le risque de liquidité, c'est le risque sur la facilité à acheter ou à revendre un actif. Si un marché n'est pas liquide, vous risquez de ne pas trouver d'acheteur quand vous le voulez ou de ne pas trouver de vendeur quand vous en avez absolument besoin. C'est un risque lié à la nature du sous-jacent (de la marchandise) mais aussi à la crédibilité de l'acheteur-Vendeur. En effet, il est facile d'acheter ou de vendre un produit courant à une contrepartie de confiance, mais plus difficile avec un produit très spécialisé. C'est la liquidité de ce produit. De plus, si l'acheteur/vendeur n'est pas crédible, le risque de contrepartie pour les éventuels fournisseurs/clients, les dissuade de traiter. L'acheteur/vendeur est en risque d'approvisionnement; en risque de "Liquidité".
Il y a d'autres risques mais la plupart se rapprochent de ceux-là. Par exemple, on parle de risque pays. Si un pays connaît une crise très grave (guerre, révolution, faillite en cascade, etc.) alors même les entreprises de confiance, malgré leur crédibilité vont se retrouver en difficulté. C'est un risque de contrepartie lié à l'environnement de la contrepartie. Ces risques sont notamment analysés par l’assureur crédit public ONDD qui met à disposition des outils et un classement du risque pays sur son site web[4].
Le déclenchement d'un de ces risques au niveau local peut entrainer divers types de crises globales
Communication des entreprises en matière de risques
Pour les entreprises cotées soumises à des obligations de communication financière de plus en plus lourdes, les experts estiment avec les autorités boursières que cette communication est arrivée à "maturité".
Ce thème est systématiquement abordé dans les documents de référence, témoin d'une gestion globale des risques en interne (Enterprise Risk Management).
Si la trame varie en fonction du droit applicable à l'entreprise, les entreprises françaises cotées à Paris suivant la grille de l'Autorité des Marchés Financiers qui définit cinq rubriques :
- risques financiers
- risques juridiques
- risques industriels et risques environnementaux
- autres risques
- assurances et couvertures de risques
Le degré d'information peut en tous les cas varier suivant la famille de risques considérée, le profil sectoriel de l'entreprise, le caractère typique de ses métiers, produits et services et de ses implantations géographiques.
Pour les entreprises non cotées, leur capacité financière sera déterminée souvent à la lumière de leur profil de risque dont la trame plus simplifiée est assez proche de celle des entreprises cotées.
Les Processus d'implantation du management des risques d'entreprise
Le management des risques contient trois grands processus:
- l'evaluation des risques
- la formalisation des risques
- l'exploitation des risques
Ces processus permet d'estimer et de transférer des risques dans le but d'atteindre les objectifs d'une organisation. Ainsi, « cette approche présente des opportunités qui permettent d'exploiter des éventuels avantages concurrentiels.» [5] Si ces processus identifient les risques, ils sont utiles aussi pour les évaluer.
Évaluation des risques
Fonction de l’évaluation des risques
L’évaluation des risques a comme fonction « d’examiner et de déterminer la probabilité d’occurrence ou de survenance d’un évènement.» [5] C’est un processus primordial lors de la prise de décision dans une entreprise.
Les risques peuvent être dus à des facteurs externes ou internes.Les facteurs externes sont les suivants:
- facteurs d’ordre économique : changement du niveau de compétition, des forces du marché, de l’économie
- facteurs d’ordre naturel et environnemental : catastrophes naturelles
- facteurs d’ordre politique : changement de gouvernement, de législation
- facteurs d’ordre social : changements démographiques, de priorités sociales
- facteurs d’ordre technologique : virage technologique
Les facteurs internes sont les suivants:
- l’infrastructure : réparations inattendues, problèmes
- le personnel: accidents de travail, grèves
- les processus : problèmes de qualité, technologie)
Pour être capable de bien évaluer un risque, le gestionnaire doit être capable de bien comprendre ce qu’est une décision. Une décision est un choix important à effectuer lorsqu’on fait partie d’une entreprise. Tous les gestionnaires doivent savoir comment bien prendre une décision afin de porter fruit à l'entreprise. Un gestionnaire qui prend toujours de bonnes décisions peut être considéré comme un excellent gestionnaire. Dans le processus de décision, il faut toujours analyser les avantages et désavantages du choix à entreprendre.
De plus, il est aussi important pour le gestionnaire de bien comprendre ce qu’est un risque. Un risque est une action entreprise par une personne en espérant d’avoir un gain mais aussi possibilité de perte. Les risques sont importants dans les entreprises puisqu’ils permettent aux gestionnaires de surmonter des défis. Sans des risques, une entreprise ne peut croître correctement dans ce monde qui est constamment en évolution.
Il faut être capable de bien intégrer la notion de risque ainsi que la notion de décision pour être capable de bien évaluer les risques dans une entreprise.
Principales étapes
Il y a trois étapes qui sont comprises dans l’évaluation des risques :
- l’identification des facteurs ;
- classement par priorité ;
- classification.
La première étape de l’évaluation des risques, sois l’identification des facteurs, permet de se familiariser avec les facteurs qui pourraient causer un problème à l’entreprise. C'est dans cette étape que le gestionnaire doit collecter tout l'information pertinente.
La deuxième étape consiste à bien classer tout l’information pertinente de chaque facteur et les regrouper avec les facteurs de risques concernés.
La troisième et dernière étape de l’évaluation des risques consiste en classifier l’information dans un schéma de classification afin de pouvoir mieux comprendre et analyser les risques de l’entreprise. Ce schéma va permettre de mieux reconnaître les facteurs de risques dans l’entreprise.
La formalisation des risques
La formalisation des risques consiste la deuxième étape du management des risques. Elle permet d'utiliser les méthodes scientifiques comme les méthodes techniques de recherche opérationnelle.
Ce processus contient quatre étapes :
- modéliser les différentes sources de risques ;
- lier les sources à des mesures financières ;
- développer un portfolio des stratégies pour remédier à ces risques ;
- optimiser les investissements avec ce portfolio des stratégies.
Voir aussi
Articles connexes
- Risque
- Risques interculturels
- Risque naturel
- Collapsus écologique, Collapsus global
- Responsabilité sociétale des entreprises ; Partie prenante
- Cycle (gestion) ; Analyse du cycle de vie ;
- Accord Bâle II
- Solvabilité II
- Ratios financiers
- COSO
- Risques organisationnels
- Intelligence des Risques
- EBIOS, méthode de gestion des risques en sécurité de l'information (ANSSI)
- Plan de prévention des risques technologiques (PPRT).
- Cindynique
- Danger > Risque > Accident
- Étude de dangers
- Dangerosité
- Aléa
- Sécurité
- Gestion du risque
- Assurance
- Gestion de crise
- Principe de précaution
- Vulnérabilité
- Développement durable
Liens externes
- DGPR - La Direction Générale de la Prévention des Risques
- CNRTL - Centre National de Ressources Textuelles et Lexicales fédérant un ensemble de ressources, garanties par l’adossement à l’UMR ATILF (CNRS – Nancy Université), le soutien du CNRS ainsi que l’intégration dans le projet d’infrastructure européenne CLARIN.
- IRIAF Institut des Risques Industriels, Assurantiels et Financiers
- Cours basique d'introduction à la gestion des risques - Diapositives sous licence CC
- [4] - Assises Nationales des Risques Technologiques, manifestation biennale sur les risques technologiques, organisées sous l'égide du ministère chargé de l'environnement. réunit environ 1000 participants
Références
- [1] Référence officielle ISO Guide 73:2009 - Management du risque — Vocabulaire
- [2] Référence officielle ISO 31000:2009 – Management du risque — Principes et lignes directrices
- [3] ISO Guide 73: Risk Management - Vocabulary
- Tableau synthétique des risques-pays
- http://web.ebscohost.com/bsi/pdf?hid=119&sid=fa5a5b26-a537-40f9-8381-c0b37747cf7f%40sessionmgr111&vid=3 Management des risques de l'entreprise,
- Discussion : LinkedIn discussion forum on ISO 31000:2009 Risk management - Principles and guidelines
Bibliographie
- Revue trimestrielle Riseo (Risques : études et observations) sur www.riseo.fr
- "Norme ISO/CEI", 31000:2009 Management du risque - Principes et lignes directrices Novembre 2009.
- "Norme ISO/CEI", 31010:2009 Management du risque - Techniques d'évaluation des risques Novembre 2009.
- Le Cygne Noir. La puissance de l'imprévisible. Nassim Nicholas Taleb. Les Belles Lettres (2008), (ISBN 978-2-251-44348-5).
- Management du risque. Approche globale. AFNOR. 2002. (ISBN 2-12-169211-8)
- Management du risque - Principes et lignes directrices. ISO 31000:2009(F)
- 100 questions pour comprendre et agir. Gestion des risques. Jean-Paul Louisot. AFNOR et CARM Institute (Cercle des Affaires en Risk Management) (ISBN 2-12-475087-9)
- Fonction Risk manager, Catherine Véret, Richard Mekouar, Dunod, 2005 (ISBN 2-10-048697-7)
- Managing Knowledge, Gilbert Probst, Wiley, London 1999.
- L'audit d'intelligence économique, Bernard Besson et Jean-Claude Possin, Dunod, 2002 (2e édition), (ISBN 2-10-006699-4)
- Prévenir les risques. Agir en organisation responsable, Andrée Charles, Farid Baddache, Éditions AFNOR, 2006 (ISBN 2-1247-5519-6).
- Anticiper les risques par la gestion du savoir, Conférence devant les conseillers aux États, Jean-Yves Mercier, Contrôle Fédéral des Finances, Berne, septembre 2002
- Guide Pratique des captives d’assurance et de réassurance . 2007 Collection AMRAE www.amrae.fr .
- Risk, Anthony Giddens, The 1999-2000 lectures, LES Events.
- Hominescence, Michel Serres, Le Pommier, Paris, 2001
- La cartographie: un outil de gestion des risques .2007 Collection AMRAE www.amrae.fr .
- Ric de ruptura social : soms solidaris ?, Albert Serra, in : Observatori del Risc : Informe 2001, Institut d’Estudis de la Seguretat, Beta Editorial, Barcelone, 2001
Wikimedia Foundation. 2010.