La gestion des risques n’est pas à prendre à la légère

Christine Lam Simon

Christine Lam-Simon, Risk manager chez Sage

Le risque en entreprise concerne tout le monde. Comme monsieur Jourdain faisait de la prose sans le savoir, chacun en fait intuitivement. Mais il reste préférable de les verbaliser pour les connaître avec précision. C’est pourquoi l’Autorité des marchés financiers (AMF) a mis en ligne un guide sur le sujet. Toutefois, le périmètre de la gestion des risques en entreprise s’avère étendu. Il faut donc faire le tri. « Il faut avoir au préalable avoir défini la stratégie de l’entreprise et les objectifs visés car le risque représente ce qui peut entraver ces objectifs », précise Christine Lam-Simon, risk manager de Sage.

Connaître la stratégie de l’entreprise

Ainsi, la croissance du chiffre d’affaires, la part de marché, le personnel, le niveau de marge, la qualité de la relation client ou sa position sur son marché sont soumis au tamis du risque. De cette manière, l’analyse de la gestion des risques peut s’opérer tout domaine confondu ou par grand domaine (RH, IT, produits, juridiques, financiers…). Mais toujours relier l’opération à l’objectif stratégique de l’entreprise. « Par exemple, si le risque porte sur l’augmentation des marges, il faut prendre en compte le risque de crise économique, l’augmentation du pétrole voire la masse salariale avec augmentation du smic », poursuit Christine Lam-Simon.

Evaluer les risques ne nécessite pas de mettre en œuvre une usine gaz. « On peut le réaliser avec peu de moyens en comité de direction », confirme Christine Lam-Simon. « Cela peut être également une mission ponctuelle conduite par un élément extérieur comme un directeur financier ou juridique à condition qu’il soit ouvert à l’ensemble des segments de l’entreprise comme le marketing ou les services généraux. » Si l’opération est effectuée en interne via un coordinateur, celui-ci doit rencontrer un par un, les membres du comité de direction puis les responsables de division, tant pour la partie interne de l’entreprise qu’externe, du support au business. « Il doit alors les aider à identifier les risques et quel est leur niveau acceptable », souligne Christine Lam-Simon.

Le risque zéro n’existe pas

Ensuite, la personne en charge du risque, le risk manager, doit faire la synthèse de ces entretiens en vue de demander au comité de direction de revaloriser les risques. « Lors du comité de direction, il demande à chacun d’évaluer les risques selon une probabilité d’occurrence et d’impact évaluées entre 1 à 4* », décrit Christine Lam-Simon. « Si cela est fait de manière collégiale, le coordinateur fait parler celui qui a mis la plus forte note et celui qui a mis la plus faible. Cela permet également d’orchestrer une réelle communication et interaction sur le sujet. » Après, on garde les risques les plus importants en établissant un plan d’action et responsable idoine. On peut également inclure le risque ultime à savoir la continuité d’activité en cas d’accident grave comme un incendie.

Chose importante, il faut garder en tête que le risque zéro n’existe pas. « Le risque permet d’avancer, créer une entreprise et la développer est risqué : sans prise de risque il n’y a pas de croissance ni de création de valeur », remarque la risk manager. Ensuite, il faut se garder d’en faire trop, ne pas créer comme une sorte de catalogues de risques au risque justement de noyer les vrais risques avec des problèmes mineurs, donc, au final, de les ignorer. L’exercice peut se réaliser chaque année. Mais il est conseillé de s’y consacrer chaque semestre, ou, en version allégée, chaque trimestre. « Cela permet de bien garder en tête les risques », note Christine Lam-Simon. « Au trimestre, on rencontre deux ou trois personnes et au semestre tous les membres du comité de direction. Il est également important de renouveler la méthodologie pour ne pas garder les mêmes risques et s’ouvrir aux nouveaux. »

La gestion du risque est déclinable

Il existe deux types d’approche pour le risque en entreprise : top down (la direction donne ses risques ou la maison-mère décide pour les filiales) et bottom up (les managers ou les filiales décident). De même, les responsables du risques s’appuient sur la théorie des quatre T : terminé (le risque est résolu), transféré (on externalise la responsabilité du risque à un sous-traitant par contrat), toléré (on prend le risque) et traité (on minore la probabilité ou l’impact du risque). Ces aides ne doivent pas faire oublier que la gestion du risque intègre la bonne gouvernance de l’entreprise selon la méthode Coso, le référentiel de contrôle interne défini par le Committee Of Sponsoring Organizations of the Treadway Commission pour le contrôle interne.

Aussi, pour les sociétés cotées, les risques globaux sont-ils inclus dans le rapport annuel. C’est pourquoi, « on essaie de sensibiliser les managers sur ce sujet et de les former à effectuer une démarche de gestion des risques sur chaque projet », confie Christine Lam-Simon. « On peut améliorer la vision des collaborateurs dans ce domaine, il est capital que cela sorte du comité de direction, c’est un véritable enjeu qui peut se décliner. » En effet, cette démarche est déclinable jusqu’à l’entretien annuel avec le collaborateur qui établit sa stratégie et voit ce qui pourrait l’empêcher d’y parvenir. Sans oublier d’avoir un plan de succession afin de palier le risque de perte des personnes clés de l’entreprise (direction, experts…). Il demeure crucial que l’audit relatif aux risques ne s’opère pas seul dans son coin mais serve au contraire à établir une cartographie au service de l’entreprise. Enfin, « il existe des logiciels facilitateurs qui font de la consolidation voire qui intègre le contrôle interne et les processus face à chaque risque pour les grands comptes », conclut Christine Lam-Simon. « Pour les PME et les TPE, l’outil de base reste Excel. »

*Matrice des risques

Guide pratique

L’évaluation des risques, répartis en 4 catégories, s’obtient en multipliant l’impact par la probabilité d’occurrence. 

Risque limité : Vert (score < ou = à 3)
Risque considéré comme acceptable
- Aucune action requise
Risque modéré: Jaune (score entre 4 et 6)
Risque considéré comme acceptable, néanmoins un traitement du risque peut être nécessaire à long terme (d’ici 1 an)
- Aucune autre action requise en dehors de s’assurer que les contrôles
pertinents sont efficaces et opérationnels
Risque significatif : Orange (score entre 8 et 9)
Risque inacceptable nécessitant d’être traité dans des délais raisonnables (entre 3 à 6 mois)
- Définir un traitement du risque approprié (slide suivant), le faire valider et le
mettre en oeuvre sauf si le Comité Exécutif est d’accord pour accepter ce
niveau de risque
- Escalade juqu’au Comité Exécutif si le risque n’est pas traité de manière
appropriée dans les 3 à 6 mois
Risque critique: Rouge (score entre 12 et 16)
Risque inacceptable nécessitant d’être traité dès que possible (entre 1 à 3 mois)
- Définir un traitement du risque approprié (slide suivant), le faire valider et le
mettre en oeuvre sauf si le Comité Exécutif est d’accord pour accepter ce
niveau de risque
- Escalade juqu’au Comité Exécutif si le risque n’est pas traité de manière
appropriée dans les 1 à 3 mois

Donnez votre avis sur cet article !

Vous avez envie de contribuer à la rédaction ? Soumettre un article