L'incertitude est une donnée intrinsèque à toute activité humaine.
Le risque zéro n'existant pas, l'un des principaux défis pour la direction d'une entreprise est la détermination d'un degré d'incertitude acceptable dans la réalisation de ses activités
En ce sens, le management des risques offre la possibilité d'apporter une réponse efficace aux risques et aux oportunités associés aux incertitudes auxquelles l'entreprise fait face, renforçant ainsi sa capacité de création de valeur.
Ce livre blanc présente la démarche générale de conception, déploiement et revue d'un dispositif de maîtrise des risques et repond aux 3 questions suivantes :
Comment inventorier les risques d'une entreprise au regard de ses objectifs stratégiques ?
Comment évaluer/hierarchiser les risques bruts et nets ?
Comment réaliser une revue du Dispositif de Maîtrise des Risques ?
Le management des risques n’est pas une science exacte et cela pour cinq raisons principales :
Il est toujours possible de faire des erreurs de jugement dans la prise d’une décision ;
Le rapport coûts/bénéfices doit être pris en compte dans le choix du traitement des risques ;
Des faiblesses dans le dispositif de contrôle interne et des défaillances humaines peuvent exister ;
Les contrôles peuvent être susceptibles d’être déjoués par collusion entre deux ou plusieurs individus ;
Le management peut volontairement décider de passer outre les décisions prises en matière de gestion des risques.
Face à un risque, une entreprise peut prendre 5 types de mesure :
Arrêt de l’activité porteuse du risque ;
Acceptation du risque : auto assurance (ex : l’état français) ;
Réduction de la probabilité d’apparition du risque : action préventive de nature à éviter la survenance d’un événement de risque ;
Réduction de l’impact du risque : action permettant de limiter les conséquences du risque en cas de survenance sur les plans financier, réglementaire, réputation, continuité d’activité…
Transfert de l’impact du risque sur un tiers : principe de l’assurance.
L’identification des risques d’une entreprise nécessite de passer en revue 8 domaines d’investigation :
Sa forme juridique ;
Sa structure capitalistique ;
Ses métiers ;
Ses objectifs stratégiques ;
Son environnement actuel et futur ;
Les sinistres survenus au sein de l’entreprise ou au sein d’entreprises concurrentes et l’estimation de leurs impacts ;
Les risques évités dans le passé ;
Les éléments nouveaux, car tout changement ou élément nouveau est porteur de risques tels la structure du capital, les métiers exercés, les produits commercialisés, les pays dans lesquels s’exerce l’activité, la technologie, les processus industriel et de commercialisation, les concurrent, les clients, les fournisseurs, la réglementation, les changements organisationnels et/ou de système d’information, etc. Beaucoup d'entreprises gèrent chaque projet individuellement, sans cohésion globale : chaque directeur de chantier, voire chaque chef de projet définit ses propres règles de gestion, ses propres règles de pilotage et ses propres indicateurs de reporting.
En matière de risque, on distingue deux natures de risques :
L’évaluation des risques bruts nécessite le recours à une méthode de cotation reconnue dans le secteur d’activité de l’entreprise.
Pour évaluer les risques bruts dans les entreprises de service par exemple, il est possible d’utiliser les 5 critères suivants :
Impact financier en cas de survenance ;
Probabilité de survenance ;
Impact en termes de réputation ;
Impact en termes de conformité réglementaire (risques de pénalités de la part des autorités de tutelle) ;
Risque d’interruption d’activité.
Le degré de gravité de chaque risque entraîne des actions à conduire visant à en réduire la sévérité ou la probabilité de survenance.
Illustration - Actions à conduire en fonction de la sévérité du risque
L’évaluation des risques nets nécessite la prise en compte de l’efficacité du Dispositif de Maitrise des Risques (DMR) existant.
Pour évaluer cette efficacité, on analyse les 4 composantes de celui-ci :
« Organisation » : effectifs, mode de management (degré d’autonomie), séparation des fonctions incompatibles, système d’information (architecture, puissance, évolutivité, sécurité des données et des traitements, plan de secours et de reprise, stress scénarios, …)
« Politiques et procédures » : formalisation, couverture fonctionnelle, validité temporelle, description des étapes de traitement et des rôles et responsabilités
« Plans de contrôle » : contrôles opérationnels réalisés au fil de l’eau et a priori par les opérationnels dans le traitement des opérations, contrôles permanents de 1ier niveau réalisés a priori par des contrôleurs spécialisés localisés au sein des métiers, contrôles permanents de 2ième niveau réalisés a posteriori par des fonctions de contrôle spécialisées et contrôles périodiques réalisés a posteriori par l’audit interne et la tutelle
« Indicateurs d’activité et de risque » : pertinence, couverture de l’activité et des risques, revue régulière et exploitation par le management.
Dans le cas d’un risque net élevé, il est nécessaire d’agir sur le dispositif de maîtrise des risques pour en renforcer l’efficacité.
Les 9 composante sur lesquelles agir sont : le dispositif de contrôle, les hommes, le corpus documentaire, les plans de contrôle, les indicateurs d’activité et de risques, le dispositif de déclaration et de traitement des incidents avec et sans impact financier, la revue annuelle du dispositif, la circulation de l’information et l’animation du dispositif.
Pour aller plus loin n'hesitez pas à consulter notre chaine YouTube
