Risques: Comment réussir la gestion des risques dans l'entreprise
Christian Hafner
Christian Hafner est expert en finance et en gouvernance. Il met en œuvre des projets GR et SCI pour des PME et des communes.
Aides de travail appropriées
Introduction
De plus en plus de conseils d'administration et d'autorités reconnaissent
- que les risques les plus importants, tels que la perte de la réputation ou les cyber-risques, ne peuvent pas être assurés ou seulement de manière insuffisante, et
- qu’il est nécessaire de gérer les risques de manière démontrable afin de satisfaire à l'obligation légale de contrôle et d'action.
La prise de conscience est une chose. Passer à l'action en est une autre. Les explications qui suivent sont censées montrer que la gestion des risques est aujourd'hui un must pour les PME et les autorités et qu'elle peut être mise en œuvre de manière pragmatique. En fin de compte, l'utilité d'un SGR, s'il est adéquatement conçu et implémenté, dépasse la gestion des dangers et inclut les opportunités. Car, en effet, là où il y a des dangers, il y a toujours des opportunités.
Gérer les risques: une obligation légale
Suite à la révision du CO en 2013, seules les «grandes entreprises» doivent encore fournir des informations sur l’évaluation des risques dans le rapport de gestion. Cette obligation de rapporter est supprimée pour les PME qui ne doivent pas être soumises à un contrôle ordinaire.
Mais cela n'a pas supprimé l'obligation de contrôle1] de la gestion interne des risques pour les conseils d'administration des PME. Cette obligation légale est totalement indépendante de la taille de l'entreprise. Par ailleurs, la direction de l'entreprise et le conseil d'administration doivent faire face aux risques en étant proactifs.
En Suisse, les organes de direction sont implicitement tenus par la loi d'exploiter un système de gestion des risques, car
- seules les personnes qui identifient, analysent et évaluent les risques de l'entreprise sont en mesure d'effectuer un contrôle;
- seules les personnes qui conçoivent, mettent en œuvre et surveillent activement la gestion des risques et le système de contrôle interne peuvent agir en conséquence.
Remarque: Si le conseil d'administration ne remplit pas son obligation de gestion des risques, il risque, dans certaines circonstances, une action en responsabilité en vertu du droit des sociétés anonymes ou éventuellement des poursuites pénales.
Assurer les risques au lieu de les gérer
Assurer les risques peut paraître une solution élégante pour ne pas avoir à les gérer soi-même. Le hic, c'est que le transfert des risques n'est qu'une stratégie parmi d’autres. Et celle-ci n'est donc pas toujours la bonne ni la meilleure.
Prenons l'exemple du cyber-risque, qui, selon le baromètre des risques Allianz, sera le principal risque en 2022 en Suisse, avec 61% de mentions. Les «doubles tactiques d'extorsion» constituent un cyber-risque particulièrement préoccupant.
De plus en plus souvent, en effet, les cybercriminels ne se contentent pas d'extorquer une rançon après le cryptage des données. Ils menacent ensuite de publier des données sensibles si le paiement n'est pas renouvelé. Ainsi, la survenance d'un cyber-risque déclenche immédiatement un risque de réputation. Une perte de réputation ne peut toutefois pas être assurée. Il en va de même pour de nombreux autres risques, comme par exemple le non-respect des obligations de durabilité. Il ne reste donc plus qu'à se prémunir soi-même!
Même si vous souscrivez une cyber-assurance, celle-ci ne sera pas suffisante. Les conséquences en cas de survenance du risque sont en effet si graves que vous ne pourrez assumer votre responsabilité que si vous mettez en œuvre (en sus) d'autres stratégies de risque.
Le risque de réputation est considéré comme le risque le plus important et le plus difficile à gérer. Il est donc d'autant plus crucial d'analyser en détail les causes et les relations de cause à effet entre les risques de réputation et les autres types de risques. Ce n'est qu'ainsi que les risques d’image peuvent être identifiés et gérés avec le moins de redondances possibles.
Conseil: Pour chaque risque, il convient d'examiner s'il doit et peut être transféré, accepté, limité, évité ou réduit. Avec une assurance, le risque ne peut être que partiellement répercuté.
Pour une gestion aisée des risques
La meilleure façon d'aborder la gestion des risques est de procéder de manière pragmatique. Lorsqu'elle est bien menée, une approche de ce type ouvre des opportunités qui peuvent être exploitées à des fins commerciales.
La gestion des risques n'est ni compliquée ni coûteuse. De plus, elle n'est pas nouvelle. Elle a toujours été pratiquée. On parlait simplement de «mesures de prévention». Un risque (une erreur possible) a été identifié, la cause a été déterminée et des mesures ont été prises.
Cela fait partie du quotidien de chaque entrepreneur et de chaque directeur. Ce dernier arrive le matin dans l'entreprise et voit les risques et les opportunités. Il prend ensuite des décisions et des mesures pour éviter ces risques et saisir les opportunités qui en découlent.
Toutefois, ce qui a changé, c'est la prise de conscience et la transparence de ce comportement. Les décisions qui conduisent aux mesures de prévention sont prises consciemment dans le cadre de la gestion des risques et communiquées de manière transparente. De plus, l'efficacité des décisions fait l’objet d’un contrôle et les résultats servent à la révision des décisions – et le tout à une certaine fréquence.
Recommandations de produits
Conseil pratique 1: Identification des opportunités et des risques
La méthodologie classique pour déterminer les opportunités et les risques était trop abstraite pour l'un de mes clients.
C'est la raison pour laquelle nous avons commencé par lui demander de considérer simplement l'année écoulée et de relever ce qu'il avait changé dans l'entreprise. La raison des changements est souvent une opportunité ou un risque que l'on a perçu. Une telle rétrospective a rendu mon client plus sensible aux opportunités et aux risques, ainsi qu'aux mesures à prendre en la matière.
Conseil pratique 2: Évaluation des risques au regard de l'origine des profits
La carte des risques convient à la gestion des risques généraux. Mais comment maîtriser les éléments de risque qui menacent directement la rentabilité?
Cette approche consiste à prendre comme point de départ de l'analyse des risques le paysage économique - et non pas ses risques potentiels. Si 20% de votre clientèle et de vos produits génèrent 150% ou plus de vos bénéfices, l'aspect le plus important de la gestion des risques est la protection et la croissance de ces contributions aux bénéfices.
Le cœur du processus de gestion des risques est une analyse minutieuse des clients et des produits qui font partie du segment à forte contribution aux bénéfices et de ce qui pourrait compromettre ou augmenter leur rentabilité.
La principale mesure de gestion des risques est donc la surveillance précise et continue de la baisse ou de la hausse des bénéfices de chaque client et de chaque produit pendant les «pics de bénéfices». Cela implique un examen minutieux et régulier des menaces externes ou internes qui se rapportent spécifiquement à ce segment.
Même si la gestion des risques s'impose à toutes les PME et autorités, l’énergie qui y est mise n’en vaut pas la peine si les deux conditions suivantes ne sont pas remplies.
-
Engagement de la direction
La grande direction veut effectivement une gestion efficace des risques, afin que les «bons» risques soient pris. -
Rôles et responsabilités
Il existe une volonté de formuler clairement les responsabilités en matière de gestion des risques, et ce, à tous les niveaux. Les ressources humaines nécessaires pour assumer les rôles et les responsabilités sont disponibles ou sont prêtes à l'être.
Le SCI a besoin de la gestion des risques
Jusqu'à récemment, on pouvait penser que celui qui gère un SCI n'a pas besoin d'un système de gestion des risques. Dans la théorie et la pratique, on faisait clairement la distinction entre les deux sur le plan organisationnel. Cela a désormais changé. L'influent Institute of Internal Auditors (IIA) recommande en effet d'abandonner cette séparation et a publié à cet effet en juillet 2020 une mise à jour du modèle à trois niveaux.2]
L'organe de direction (suprême) détermine la tolérance au risque de l'organisation et supervise la gestion des risques (y compris les contrôles internes). Ces contrôles sont les processus qui permettent d'instaurer la confiance nécessaire à la réalisation des objectifs.
Remarque: Le SCI et la gestion des risques ne sont pas (plus) deux disciplines distinctes. L'organe de direction suprême est responsable des deux.
Le management
- met en place et maintient des structures et des processus appropriés pour la gestion des opérations et des risques (y compris les contrôles internes);
- développe, met en œuvre et améliore en permanence les pratiques de gestion des risques (y compris les contrôles internes) au niveau des processus, des systèmes et des entités;
- veille à la réalisation des objectifs de gestion des risques, tels que le respect des lois, des réglementations et d'un comportement éthique acceptable, les contrôles internes, la sécurité de l'information et de la technologie, la durabilité et l'assurance qualité;
- fournit des analyses et des rapports sur l'adéquation et l'efficacité de la gestion des risques (y compris les contrôles internes).
L'organe directeur (suprême), le conseil d'administration, l'autorité
- est responsable de la conception, de la mise en œuvre et du maintien d'une gestion et d'un contrôle internes appropriés et adéquats;
- veille à ce que la gestion des risques et le système de contrôle interne soient adaptés à l'entreprise.
La gestion des risques nécessite la protection des lanceurs d'alerte
Pour tous ceux qui ont déjà mis en place un système de gestion des risques, je recommande qu’ils poussent plus loin encore leurs réflexions. Des études et des expériences montrent qu'une grande partie des comportements fautifs de l'organisation concernée sont portés à sa connaissance par des signalements de personnes au sein ou à proximité de l'organisation. Bien que la loi ne le prescrive pas en Suisse, il vaut la peine d'exploiter un système de dénonciation dans la perspective de la gestion des risques. Dans les organisations disposant d'un système d’information anonyme, jusqu'à 80% des dysfonctionnements sont découverts par des informateurs. En octobre 2007 déjà, le Contrôle fédéral des finances écrivait dans sa brochure «Mise en place d'un système de contrôle interne (SCI)», à la page 11: «[...] ainsi que la mise en place d’une instance chargée de recueillir des informations sur d'éventuelles irrégularités (whistleblowing) peuvent permettre d’améliorer l’efficacité d’un SCI.»
Il n'est pas rare en effet que le whistleblowing conduise à la découverte de ce que l'on appelle les criminels maison. Comme les auteurs ne renoncent souvent pas à leurs activités délictueuses jusqu'à ce qu'ils soient découverts, les dommages sont d'autant plus importants qu'ils restent longtemps inaperçus. Et les auteurs trouvent sans cesse des moyens de déjouer les systèmes de contrôle traditionnels. C'est pourquoi, indépendamment d'une obligation légale, la valeur ajoutée des systèmes d'alerte pour les entreprises et les organisations est particulièrement patente ici. L'introduction d'un système d'alerte a un effet dissuasif. Les statistiques qui étayent cette thèse proviennent certes du secteur financier, mais les chercheurs s'accordent à dire que les effets identifiés du whistleblowing ne sont pas un phénomène spécifiquement confiné à ce domaine.
Conseil: Pour gérer efficacement les risques, il faut veiller à la protection des lanceurs d'alerte. Les contrôles internes ne suffisent pas.
En guise de conclusion
Si vous vous renseignez sur le thème de la gestion des risques et que vous parlez avec des experts, vous tomberez rapidement sur le terme GRC.
Les concepts GRC prétendent relier la «gouvernance», le «risque» et la «conformité» entre eux et permettre ainsi de gérer les risques de manière intégrée.
Conseil: Les concepts de GRC ne suffisent pas à la mise en œuvre d'une gestion des risques d'entreprise, car la notion de risque dans la GRC exclut les opportunités.
Malheureusement, dans la pratique, c'est souvent la «perspective de la conformité» qui domine lors de la mise en œuvre, le risque étant alors considéré comme un danger et l'objectif étant uniquement d'éviter ou de minimiser les risques. Les responsables de la conformité vont même plus loin et considèrent le risque comme une erreur (s'ils sont le bras armé de l'autorité de surveillance, ils sont obligés d'adopter ce point de vue). Une telle compréhension du risque et la culture du risque qui en découle sont diamétralement opposées à une vision entrepreneuriale du risque. Une culture entrepreneuriale du risque accepte que toute activité entrepreneuriale – et toute décision entrepreneuriale – soit toujours liée à des opportunités et des dangers (risques). Pour prendre des décisions, il faut considérer les dangers et les chances qui y sont liés. D'un point de vue entrepreneurial, risque = chance et danger. Il est donc clair que la prise de risques ne constitue pas une erreur fondamentale et que même la minimisation de ces derniers n'est pas toujours judicieuse. Décider en tant qu'entrepreneur signifie optimiser le rendement et le risque.
Remarque: Ne laissez pas la perspective de la conformité dominer. Si le risque doit être compris et minimisé uniquement comme un danger, l'évaluation des risques ne peut pas être prise en compte de manière adéquate dans les décisions de l'entreprise.
1] Obligation découlant de la responsabilité légale, intransmissible et inaliénable de la surveillance de l'entreprise de par la loi (art. 716a CO).
2] Source: Deutsches Institut für Interne Revision, IIA Positionspapier: Das DreiLinienModell. On peut supposer que le COSO* reprendra ce modèle à trois lignes de l'IIA comme jusqu'à présent. *Comité des organisations de parrainage de la Commission Treadway (plateforme créée en 1985 pour la Commission nationale américaine sur le reporting financier frauduleux).
