L’art délicat de la gestion des risques pour les entreprises

La gestion des risques pour une entreprise est un processus en trois étapes. Il s’agit d’abord d’identifier et de mesurer les risques auxquels l’organisation est confrontée afin de pouvoir les classifier et identifier ceux qui sont pour elle les plus dommageables. Ensuite, il faut élaborer des outils permettant de prévenir et d’éviter ces risques, mais aussi de les financer et les transférer. Enfin, il est nécessaire de contrôler que les mesures mises en place sont efficaces, cela en tentant en permanence de les améliorer et de les actualiser.

Au-delà de ce plan en trois étapes, revenons à une question première: pourquoi est-il si important pour une entreprise d’identifier puis de gérer les risques auxquels elle est confrontée? Avant de répondre à cette question, Christophe Courbage, professeur à la Haute école de gestion de Genève, où il dirige le Diploma of advanced studies de gestion des risques d'entreprise, revient sur la signification même du risque. «Diverses définitions du concept existent, mais retenons qu’un risque est un événement aléatoire qui conduit à plusieurs conséquences auxquelles sont attachées différentes probabilités. Si les conséquences sont des pertes, on parle alors de risques purs. Les conséquences peuvent aussi être des gains, on parle alors de risques spéculatifs. Ce sont les risques purs qui nous intéressent ici.» Pour Christophe Courbage, identifier les risques purs pour une entreprise permet de savoir quels sont ses actifs soumis à une possibilité de perte. «L’identification des risques constitue le premier élément de l’analyse de risque, qui elle-même constitue la première étape d’un processus de gestion des risques. Une fois que les risques ont été identifiés, il faut les mesurer afin de pouvoir les ordonner en fonction de leur gravité et de leur fréquence. On établit alors une cartographie des risques. 

Cette hiérarchisation permet de choisir quels risques seront gérés en priorité et quelles techniques seront utilisées pour les traiter. Tout cela se fait en fonction de la plus ou moins grande tolérance au risque de l’entreprise et des contraintes économiques et budgétaires auxquelles elle fait face.»

D’ABORD IDENTIFIER LES RISQUES

À noter que l’identification des risques et leur mesure sont deux étapes d’égale importance pour la bonne gestion des risques d’entreprise. Dans quelle mesure peut-on faire confiance aux outils chiffrés ou qualitatifs qui permettent de mener à bien ces deux étapes essentielles? Il faut comprendre que les critères d’identification ou de mesure sont valables dans une situation donnée, mais peut-être pas dans une autre. «Il convient de savoir si l’outil utilisé est adéquat pour fournir des résultats robustes et non biaisés», précise Christophe Courbage. «Les personnes en charge de l’identification et de la mesure des risques doivent en permanence évaluer la pertinence de l’instrument d’analyse quantitative ou qualitative choisi.» Imaginons qu’une erreur soit commise: un cercle vicieux se met alors en place. Un risque non identifié entraînera en effet une décision de gestion non optimale; dès lors, il ne sera pas possible de mettre en place la stratégie la plus appropriée pour gérer ce risque. Le plan de prévention ne sera pas le bon et les indicateurs d’efficacité ne fourniront pas de bonnes données.

Heureusement, pour éviter un scénario négatif comme celui qui vient d’être décrit, il existe différentes techniques qui permettent d’identifier avec précision les risques auxquels fait face une entreprise. L’idée étant toujours de définir la liste d’actifs, tangibles ou intangibles, soumis à une perte potentielle. Identifier les risques peut se faire tout simplement grâce à des questionnaires, des check-lists et des interviews qui permettent de collecter des informations. Des ateliers et des remue-méninges sont aussi susceptibles d’être organisés afin de recueillir et de partager des idées entre les personnes concernées par les risques de l’entreprise. L’identification des risques peut également se faire en passant par une inspection des locaux ou des chaînes de production. L’étude des processus de fonctionnement ou le recours à des audits financiers, à des analyses SWOT (strengths, weaknesses, opportunities and threats) ou à la méthode Hazop (HAZard and OPerability analysis) se présentent comme d’autres sources essentielles d’informations. Et pour la mesure et la hiérarchisation des risques? De nombreux outils mathématiques sont utilisés: ils font souvent appel au calcul de probabilités et aux statistiques.

Signalons que la gestion des risques ne se présente pas uniquement comme une série de bonnes pratiques de management. En effet, certaines obligations légales existent en fonction des organisations. Selon la loi suisse, les entreprises soumises au contrôle ordinaire sont tenues de donner des précisions sur la réalisation d’une évaluation des risques dans leur rapport annuel. Ces entreprises sont aussi tenues de montrer à l'organe de révision qu'il existe un système de contrôle interne. Concernant les établissements financiers, l’Autorité fédérale de surveillance des marchés financiers exige qu’ils identifient, mesurent, gèrent et surveillent leurs risques, y compris les risques juridiques et les risques de réputation.

Des contrôles internes efficaces doivent être mis sur pied. Les directives sur la sécurité au travail et sur la sécurité des produits imposent également des contraintes en termes de gestion des risques, par exemple l’obligation d’installer des dispositifs dans les entreprises pour protéger les travailleurs des accidents. Et si des PME ne sont soumises à aucune de ces obligations légales? «Il y a tout de même une prise de conscience depuis quelques années», assure Christophe Courbage. «Le passage par différentes crises financières, sociales, sanitaires et politiques a mis en lumière, dans le cas de nombreuses entreprises, les bénéfices tirés d’une bonne gestion des risques.» Toutefois, «avant de rendre opérationnelle une stratégie de gestion des risques, les entreprises doivent bien sûr effectuer un arbitrage entre les coûts et les bénéfices d’une telle politique».