Gestion des risques : méthode pour prendre des décisions sûres

La notion de « gestion des risques » » (ang. Risk Ma­na­ge­ment) regroupe toutes les mesures pour iden­ti­fier et in­fluen­cer des op­por­tu­ni­tés et dangers résultant de l’activité en­tre­pre­neu­riale et pouvant avoir des ré­per­cus­sions tant positives que négatives sur la réussite de l’en­tre­prise.

L’objectif de la gestion des risques n’est pas d'éli­mi­ner tous les dangers ce qui serait d’ailleurs quasiment im­pos­sible, mais plutôt d'établir un rapport optimal entre op­por­tu­ni­tés et risques. Une gestion des risques réussie contribue à la sûreté des décisions et pla­ni­fi­ca­tions, minimise le risque de faillite et stabilise la situation fi­nan­cière.

La gestion des risques est per­ti­nente pour l’en­tre­prise non seulement sur le plan éco­no­mique, mais elle constitue également une obli­ga­tion légale de la direction de l’en­tre­prise. Le principe de la gou­ver­nance en France est un cadre fixé par la loi avec des spé­ci­fi­ci­tés marquées pour les sociétés cotées. La gestion des risques obéit à des règles d’origine légale et ré­gle­men­taire avec des textes issus du Code Civil et du Code de Commerce. S’y ajoutent les dis­po­si­tions du Code Monétaire et Financier qui traitent des valeurs mo­bi­lières et des marchés fi­nan­ciers.

L’évolution lé­gis­la­tive et ré­gle­men­taire in­ter­ve­nue depuis 2007 et notamment la loi du 3 juillet 2008 et l’or­don­nance du 8 décembre 2008 ont transposé en droit français les di­rec­tives eu­ro­péennes imposant de nouvelles obli­ga­tions aux sociétés cotées en matière de contrôle interne et de gestion des risques, et prévoient les missions du comité d’audit dans ces domaines. De manière originale dans le paysage européen, le principe du « comply or explain » s'est inscrit dans le cadre de la Loi de Sécurité Fi­nan­cière. La LSF pro­mul­guée le 1er août 2003 afin de renforcer les dis­po­si­tions légales en matière de gou­ver­nance d'en­tre­prise est parue au Journal Officiel n^o 177 du 2 août 2003 (n^o 2003-706 du 1^er août 2003) et repose prin­ci­pa­le­ment sur une res­pon­sa­bi­lité accrue des di­ri­geants, une réduction des sources de conflits d’intérêt et un ren­for­ce­ment du contrôle interne, ce dernier point étant dans le même temps élargi à la gestion des risques.

Qui plus est, la loi sur la trans­pa­rence, la lutte contre la cor­rup­tion et la mo­der­ni­sa­tion de la vie éco­no­mique, dite « Sapin 2 », a été adoptée par le Parlement le 8 novembre 2016, puis validée dé­fi­ni­ti­ve­ment par le Conseil cons­ti­tu­tion­nel le 8 décembre 2016.

Les prin­ci­pales normes in­ter­na­tio­nales com­pren­nent la norme sur la gestion des risques ISO 31000:2009, la norme sur la gestion de la qualité ISO 9001:2015 ainsi que le COSO En­ter­prise Risk Ma­na­ge­ment Framework (COSO ERM 2017). Ce cadre également connu sous le nom de cube du COSO classe la gestion des risques par com­po­sants, ca­té­go­ries cibles et unités or­ga­ni­sa­tion­nelles.

Les lignes di­rec­trices re­pré­sen­tées dans ces normes doivent ici aider les en­tre­prises à mettre en œuvre et à pour­suivre le dé­ve­lop­pe­ment de leur propre gestion des risques. Les normes ISO et COSO sont ré­gu­liè­re­ment con­trô­lées et adaptées le cas échéant pour être conformes aux évo­lu­tions actuelles du monde de l’en­tre­prise.

La gestion des risques dans l’en­tre­prise est souvent associée à la con­for­mité et gou­ver­nance d’en­tre­prise car les trois dis­ci­plines sont étroi­te­ment liées. Elles con­tri­buent toutes à une gestion efficace et en bonne et due forme de l’en­tre­prise.

La gestion des risques de l’en­tre­prise peut se sub­di­vi­ser en gestion des risques stra­té­gique et opé­ra­tion­nelle. L'aspect stra­té­gique regroupe la dé­fi­ni­tion des objectifs de la gestion des risques, la for­mu­la­tion d’une stratégie générale et la dé­fi­ni­tion des processus opé­ra­tion­nels. La mise en œuvre de ces processus est le rôle de la gestion des risques opé­ra­tion­nelle.

Il faut commencer par iden­ti­fier tous les risques existants en les triant, sai­sis­sant et décrivant in­di­vi­duel­le­ment sur le plan qua­li­ta­tif. Il est possible de le faire aussi bien au niveau de l’ensemble de l’en­tre­prise que du projet. Les décideurs peuvent utiliser dif­fé­rentes méthodes pour struc­tu­rer et garantir le processus d'iden­ti­fi­ca­tion de manière à pouvoir iden­ti­fier tous les dangers et sources de dommage :

• Sondages des experts et des col­la­bo­ra­teurs ;
• Éva­lua­tion des données et documents dis­po­nibles ;
• Ateliers de risques internes ;
• Visites de l’usine et du site.

À la fin de cette phase, il devrait y avoir un catalogue de risques complet (également appelé : in­ven­taire des risques).

À cette étape, chaque risque in­di­vi­duel doit être évalué sur le plan quan­ti­ta­tif au niveau de sa pro­ba­bi­lité d’oc­cur­rence et de ses ré­per­cus­sions po­ten­tielles. Lors de l’éva­lua­tion, il faut non seulement tenir compte d’un risque pris in­di­vi­duel­le­ment, mais aussi des ré­per­cus­sions po­ten­tielles de l'in­te­rac­tion de plusieurs risques ou de leur cumul au fil du temps. Ce dernier point est également qualifié d’agré­ga­tion des risques.

Des dis­tri­bu­tions de pro­ba­bi­lité ou des ré­par­ti­tions de fré­quences entrent dans la quan­ti­fi­ca­tion. La mesure concrète pour évaluer un risque est qualifiée de Value at Risk.

L’analyse des risques désigne également les étapes 1 et 2 re­grou­pées. Elle est con­si­dé­rée être la phase la plus difficile du processus de gestion des risques car des dangers actuels, mais aussi futurs doivent être détectés et analysés. Après avoir évalué les résultats de l’analyse des risques, il est possible d’enrayer en priorité les risques pré­sen­tant une pro­ba­bi­lité d'oc­cur­rence par­ti­cu­liè­re­ment élevée et des dommages con­sé­cu­tifs im­por­tants.

Dans le cadre du contrôle des risques, l’ef­fi­cience, la per­ti­nence et l’ef­fi­ca­cité des méthodes ap­pli­quées seront vérifiées. Il peut se faire de deux manières idéa­le­ment com­plé­men­taires : sous forme de contrôle continu en temps réel et de contrôle ap­pro­fondi et pé­rio­dique des risques. Les résultats sont ra­pi­de­ment com­mu­ni­qués aux res­pon­sables concernés.

La gestion des risques ne relève pas de la res­pon­sa­bi­lité d’une seule personne, mais elle concerne tous les employés de l’en­tre­prise. La stratégie et l’orien­ta­tion fon­da­men­tale de la gestion des risques sont certes définies par la direction de l’en­tre­prise, mais d'autres instances sont con­cer­nées dans l’activité opé­ra­tion­nelle.

Pour répartir les res­pon­sa­bi­li­tés dans la gestion des risques, on utilise souvent le modèle des trois lignes de défense :

• Première ligne : les res­pon­sables et les employés réa­gis­sent aux risques sur le plan opé­ra­tion­nel suivant les stra­té­gies définies. Ils sont aidés ici par un système de contrôle interne.
• Deuxième ligne : les col­la­bo­ra­teurs auxquels sont confiés des tâches de gestion des risques sou­tien­nent et sur­veil­lent la première ligne, par exemple en imposant des méthodes ou du coaching.
• Troisième ligne : une instance in­dé­pen­dante surveille la gestion des risques con­for­mé­ment à l’obli­ga­tion d’audit légal.

L’iden­ti­fi­ca­tion et la maîtrise des risques font partie in­té­grante de la culture d’en­tre­prise. La gestion des risques ne se fait pas dans la tour d'ivoire de la direction, mais elle concerne chaque employé dans ses activités quo­ti­diennes.

Toute personne qui n'aurait pas calculé en amont les ré­per­cus­sions négatives po­ten­tielles de ses décisions met fi­na­le­ment en péril la stabilité éco­no­mique de toute l’en­tre­prise. Avec ses méthodes, la gestion des risques donne les outils né­ces­saires pour iden­ti­fier clai­re­ment les dangers plutôt que de se fier à une intuition diffuse. L’en­tre­prise peut ainsi prendre des risques calculés né­ces­saires pour sa crois­sance et sa réussite.