Gestion des risques : méthode pour prendre des décisions sûres

La notion de « gestion des risques » » (ang. Risk Management) regroupe toutes les mesures pour identifier et influencer des opportunités et dangers résultant de l’activité entrepreneuriale et pouvant avoir des répercussions tant positives que négatives sur la réussite de l’entreprise.

L’objectif de la gestion des risques n’est pas d'éliminer tous les dangers ce qui serait d’ailleurs quasiment impossible, mais plutôt d'établir un rapport optimal entre opportunités et risques. Une gestion des risques réussie contribue à la sûreté des décisions et planifications, minimise le risque de faillite et stabilise la situation financière.

La gestion des risques est pertinente pour l’entreprise non seulement sur le plan économique, mais elle constitue également une obligation légale de la direction de l’entreprise. Le principe de la gouvernance en France est un cadre fixé par la loi avec des spécificités marquées pour les sociétés cotées. La gestion des risques obéit à des règles d’origine légale et réglementaire avec des textes issus du Code Civil et du Code de Commerce. S’y ajoutent les dispositions du Code Monétaire et Financier qui traitent des valeurs mobilières et des marchés financiers.

L’évolution législative et réglementaire intervenue depuis 2007 et notamment la loi du 3 juillet 2008 et l’ordonnance du 8 décembre 2008 ont transposé en droit français les directives européennes imposant de nouvelles obligations aux sociétés cotées en matière de contrôle interne et de gestion des risques, et prévoient les missions du comité d’audit dans ces domaines. De manière originale dans le paysage européen, le principe du « comply or explain » s'est inscrit dans le cadre de la Loi de Sécurité Financière. La LSF promulguée le 1er août 2003 afin de renforcer les dispositions légales en matière de gouvernance d'entreprise est parue au Journal Officiel n^o 177 du 2 août 2003 (n^o 2003-706 du 1^er août 2003) et repose principalement sur une responsabilité accrue des dirigeants, une réduction des sources de conflits d’intérêt et un renforcement du contrôle interne, ce dernier point étant dans le même temps élargi à la gestion des risques.

Qui plus est, la loi sur la transparence, la lutte contre la corruption et la modernisation de la vie économique, dite « Sapin 2 », a été adoptée par le Parlement le 8 novembre 2016, puis validée définitivement par le Conseil constitutionnel le 8 décembre 2016.

Les principales normes internationales comprennent la norme sur la gestion des risques ISO 31000:2009, la norme sur la gestion de la qualité ISO 9001:2015 ainsi que le COSO Enterprise Risk Management Framework (COSO ERM 2017). Ce cadre également connu sous le nom de cube du COSO classe la gestion des risques par composants, catégories cibles et unités organisationnelles.

Les lignes directrices représentées dans ces normes doivent ici aider les entreprises à mettre en œuvre et à poursuivre le développement de leur propre gestion des risques. Les normes ISO et COSO sont régulièrement contrôlées et adaptées le cas échéant pour être conformes aux évolutions actuelles du monde de l’entreprise.

La gestion des risques dans l’entreprise est souvent associée à la conformité et gouvernance d’entreprise car les trois disciplines sont étroitement liées. Elles contribuent toutes à une gestion efficace et en bonne et due forme de l’entreprise.

La gestion des risques de l’entreprise peut se subdiviser en gestion des risques stratégique et opérationnelle. L'aspect stratégique regroupe la définition des objectifs de la gestion des risques, la formulation d’une stratégie générale et la définition des processus opérationnels. La mise en œuvre de ces processus est le rôle de la gestion des risques opérationnelle.

Il faut commencer par identifier tous les risques existants en les triant, saisissant et décrivant individuellement sur le plan qualitatif. Il est possible de le faire aussi bien au niveau de l’ensemble de l’entreprise que du projet. Les décideurs peuvent utiliser différentes méthodes pour structurer et garantir le processus d'identification de manière à pouvoir identifier tous les dangers et sources de dommage :

• Sondages des experts et des collaborateurs ;
• Évaluation des données et documents disponibles ;
• Ateliers de risques internes ;
• Visites de l’usine et du site.

À la fin de cette phase, il devrait y avoir un catalogue de risques complet (également appelé : inventaire des risques).

À cette étape, chaque risque individuel doit être évalué sur le plan quantitatif au niveau de sa probabilité d’occurrence et de ses répercussions potentielles. Lors de l’évaluation, il faut non seulement tenir compte d’un risque pris individuellement, mais aussi des répercussions potentielles de l'interaction de plusieurs risques ou de leur cumul au fil du temps. Ce dernier point est également qualifié d’agrégation des risques.

Des distributions de probabilité ou des répartitions de fréquences entrent dans la quantification. La mesure concrète pour évaluer un risque est qualifiée de Value at Risk.

L’analyse des risques désigne également les étapes 1 et 2 regroupées. Elle est considérée être la phase la plus difficile du processus de gestion des risques car des dangers actuels, mais aussi futurs doivent être détectés et analysés. Après avoir évalué les résultats de l’analyse des risques, il est possible d’enrayer en priorité les risques présentant une probabilité d'occurrence particulièrement élevée et des dommages consécutifs importants.

Dans le cadre du contrôle des risques, l’efficience, la pertinence et l’efficacité des méthodes appliquées seront vérifiées. Il peut se faire de deux manières idéalement complémentaires : sous forme de contrôle continu en temps réel et de contrôle approfondi et périodique des risques. Les résultats sont rapidement communiqués aux responsables concernés.

La gestion des risques ne relève pas de la responsabilité d’une seule personne, mais elle concerne tous les employés de l’entreprise. La stratégie et l’orientation fondamentale de la gestion des risques sont certes définies par la direction de l’entreprise, mais d'autres instances sont concernées dans l’activité opérationnelle.

Pour répartir les responsabilités dans la gestion des risques, on utilise souvent le modèle des trois lignes de défense :

• Première ligne : les responsables et les employés réagissent aux risques sur le plan opérationnel suivant les stratégies définies. Ils sont aidés ici par un système de contrôle interne.
• Deuxième ligne : les collaborateurs auxquels sont confiés des tâches de gestion des risques soutiennent et surveillent la première ligne, par exemple en imposant des méthodes ou du coaching.
• Troisième ligne : une instance indépendante surveille la gestion des risques conformément à l’obligation d’audit légal.

L’identification et la maîtrise des risques font partie intégrante de la culture d’entreprise. La gestion des risques ne se fait pas dans la tour d'ivoire de la direction, mais elle concerne chaque employé dans ses activités quotidiennes.

Toute personne qui n'aurait pas calculé en amont les répercussions négatives potentielles de ses décisions met finalement en péril la stabilité économique de toute l’entreprise. Avec ses méthodes, la gestion des risques donne les outils nécessaires pour identifier clairement les dangers plutôt que de se fier à une intuition diffuse. L’entreprise peut ainsi prendre des risques calculés nécessaires pour sa croissance et sa réussite.