La gestion des risques en entreprise

Pourquoi la gestion des risques en entreprise ?

Améliorer l'anticipation

La gestion des risques en entreprise, aussi appelée ERM (Enterprise Risk Management), est un système de management destiné à disposer de suffisamment d’informations pertinentes pour s’assurer que les objectifs implicites (respect des lois, pérennité de l’entreprise) et explicites (Stratégie, KPI… etc.) seront atteints. Elle a pour finalité de s’assurer que les risques auxquels l’entreprise est exposée sont acceptables pour le management.

La gestion des risques en entreprise permet d’anticiper les événements, d’identifier et d’optimiser les moyens de prévention ainsi que les actions correctives ayant pour finalité de diminuer l’effet du risque s’ il intervient, tout en cernant les opportunités qui pourraient se présenter.

Le management des risques s’appuie sur ce que l’on nomme usuellement 3 lignes de maîtrise :

  • l’opérationnel.
  • le contrôle interne.
  • l’audit .

Pour qu’un risque, qui est un événement futur qui pourrait empêcher l’atteinte des objectifs de l’entreprise, soit maintenu à un niveau acceptable par le management, il est indispensable de mener les actions suivantes.

Identifier les risques.

L’identification des risques consiste à recenser les événements potentiels qui pourraient empêcher l’atteinte des objectifs de l’entreprise. Ceci implique que les objectifs explicites et implicites de l’entreprise soient identifiés et quantifiés.

La principale difficulté à surmonter concerne le fait que le risque est un événement futur, ce qui n’est pas toujours du goût du management qui affectionne le réel, le concret et le présent. La mise en place d’une méthode professionnelle de recensement des risques permet de mettre en place un dialogue constructif et fédérateur au sein de l’entreprise.

Evaluer les risques.

L’évaluation des risques permet de hiérarchiser chaque risque selon deux axes : l’impact et la probabilité. La hiérarchisation nécessite la définition préalable d’une grille d’impact et d’une grille de probabilité permettant de quantifier chacun des deux axes. Certains risques peuvent se calculer sur la base d’un historique, ce que font les assureurs avant d’accepter d’assurer un risque. D’autres événements pour lesquels il n’existe pas de données historiques sont simplement appréciés de la manière la plus objective possible.

Le lien entre l’évaluation du risque et le ou les objectifs dont il pourrait empêcher l’atteinte ne doit jamais être perdu de vue, d’autant plus que les impacts d’un événement peuvent être multiples.

Mettre en place les dispositions de réduction des risques.

La gestion des risques en entreprise s’assure de la mise en place des dispositions de réduction des risques peuvent prendre des formes diverses. Nous nous appuierons sur les 4T qui sont le traitement du risque (Treat), l’acceptation du risque (Take), le transfert du risque (Transfer) ou l’arrêt de l’activité génératrice du risque (Terminate).

Traiter.

Le traitement du risque est destiné à réduire l’impact et/ou la probabilité du risque. Les moyens de traitement du risque généralement mis en œuvre relèvent du renforcement de la gouvernance, de la mise en place d’un dispositif de contrôle interne et du pilotage de l’activité et des processus.

L’assurance est souvent considérée comme un moyen de transfert du risque alors qu’il est préférable de la considérer comme un moyen de réduction de l’impact du risque, c’est à dire comme un moyen de traitement du risque.

Accepter.

L’acceptation du risque consiste pour le management à accepter le risque en l’état. Certains risques directement liés à l’activité de l’entreprise dont le niveau de probabilité est réduit au strict minimum mais dont l’impact est catastrophique sont à ranger dans la catégorie des risques acceptés. Ceci s’applique par exemple aux risques d’accident dans le transport aérien ou ferroviaire ou au risque d’accident nucléaire.

Transferer.

Le transfert du risque consiste à le transférer à un tiers. Ceci est le cas par exemple pour une créance client qui peut être vendue à un tiers, charge à lui de recouvrer cette créance. Le transfert du risque vers les fournisseurs, qui est souvent invoqué, se révèle de plus en plus incertain compte tenu des évolutions des législations liées à la responsabilité du donneur d’ordre.

Terminer.

L’arrêt de l’activité génératrice du risque peut être abordé de deux manières. Soit l’entreprise décide d’arrêter purement et simplement l’activité, par exemple en se retirant d’un pays où elle ne serait pas en mesure de réaliser son “business model“, ou elle décide de réduire le niveau de ses objectifs, ce qui permet de faire diminuer très rapidement le niveau d’exposition à un risque.

Toutes ces actions de réduction des risques font généralement l’objet de plans d’action ou de relevés de décision.

Vérifier l’efficacité des dispositions de réduction des risques.

La gestion des risques en entreprise s’assure de la vérification de l’efficacité des dispositions de réduction des risques qui se traduisent par les actions suivantes :

  • S’assurer de l’avancement et de l’efficacité des plans d’action.
  • Pilotage effectif de l’activité de l’entreprise en termes d’efficacité et d’efficience.
  • Auto-évaluation par le management des dispositifs de maîtrise des risques.
  • Audit interne et/ou audit externe.
  • Certifications.

Ces moyens de vérification de l’efficacité des dispositions de réduction des risques impliquent les trois lignes de défense, promues par l’IFACI, que sont :

  1. L’opérationnel.

  2. Le contrôle interne au sens du modèle COSO.

  3. L’audit.

Partagez cette page

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.