Le risque dans l’entreprise
La cartographie que nous venons de présenter met en évidence l’importance des différents risques qui menacent les entreprises.
La maitrise des risques est donc pour les dirigeants un axe de priorité majeure, afin de protéger l’entreprise de sa vulnérabilité tout en lui assurant sa longévité ; elle est aussi le garant de la protection du système de production. On peut donc dire que le risque représente une menace qui affaiblit l’entreprise si son impact négatif n’est pas canalisé et maîtrisé.
En interne, il a des répercussions au niveau :
des ressources de l’entreprise,
de ses produits et/ou services,
de ses clients,
de sa durée de vie.
Si l’impact est trop important ou selon la nature du risque (confère la cartographie présentée ci-dessus), les répercussions peuvent être aussi externes à l’entreprise et toucher :
le marché,
l’activité
ou encore, l’environnement.
Ce sont les raisons pour lesquelles, la majorité des moyennes et grandes entreprises, créent aujourd’hui de nouvelles fonctions au sein d’une structure dédiée à la gestion des risques : il s’agit d’équipes spécialisées dans le domaine de la maitrise des risques, qui sont dirigées par un gestionnaire du risque appelé aussi « risk manager ».
La finalité de ces nouvelles structures est d’anticiper ou de corriger les risques internes et externes afin de diminuer au mieux les aléas qui pourraient entraver le développement de l’entreprise ou nuire à son image de marque et à sa pérennité.
2.2.3 Les composantes de la gestion des risques
Il est donc du ressort de chaque entreprise d’instaurer un dispositif de gestion des risques qui corresponde à ses besoins propres.
Néanmoins, ce dispositif qui doit répondre à au moins trois exigences fondamentales :
précision des fonctions et des responsabilités de chacun d’un point de vue organisationnel,
élaboration d’un processus de gestion des risques en trois points :
identification,
analyse,
et traitement des risques,
et le pilotage permanent de la gestion des risques.
Ce dispositif doit faire l’objet de révisions continues puisqu’il est par essence établi en fonction de risques survenus, lesquels ont fait l’objet d’actions correctives ou de plans de redressement ou d’amélioration.
2.2.4 Les étapes de la gestion des risques
L’identification des risques
Dans un premier temps, il conviendra d’observer et de repérer le contexte dans lequel s’inscrit le risque afin de prévoir et planifier l’activité concernée, puis de déterminer sa finalité, ses objectifs et les moyens qui y sont rattachés. Il faudra en amont prévoir des dispositifs de contrôle et des reportings. Les risques surviennent souvent de façon inattendue et leurs conséquences peuvent nuire à la réalisation de l’activité et au développement de l’entreprise comme nous l’avons déjà expliqué.
La phase d’identification du risque nécessite donc une analyse de la nature du risque et de ses raisons de survenance : on parle alors des « facteurs de risques ».
Ce procédé est aujourd’hui, celui qui est le plus utilisé en matière de gestion des risques, car il présente un point fort non négligeable : il permet d’anticiper les risques tout en se focalisant sur l’optimisation maximale de leur traitement.
Les cinq risques majeurs pour une entreprise sont :
le marché et ses évolutions (tendances, globalisation, délocalisation),
les marchés financiers (investisseurs, actionnaires),
les risques de change, taux, matières premières,
les concurrents,
les risques de crédit et de contreparties.
Ces risques prennent une importance différente selon la sensibilité des secteurs d’activité : à titre d’exemple, les secteurs bancaire et assurantiel s’intéressent davantage aux risques financiers, liés à la distribution ou à la concurrence tandis que le secteur de l’industrie sera plus sensible aux risques liés aux matières premières par exemple.
L’analyse des risques
Une fois les risques identifiés, ces derniers doivent être évalués en fonction de l’importance des pertes potentielles et de leur probabilité de survenance.
Cependant les causes des risques et de leur survenance ainsi que les conséquences de leurs répercussions sont parfois difficilement identifiables en raison du manque de données sur la fréquence de certains risques ou de données non quantifiables.
La finalité de cette seconde étape est d’évaluer au mieux les risques identifiés afin de mettre en place des actions prioritaires et d’établir ainsi, un plan de gestion des risques. Il faudra donc en premier lieu repérer et identifier les risques fondamentaux en vue d’organiser des plans d’actions efficaces dans le cadre de l’optimisation de la gestion des risques.
Le risque est évalué grâce à la formule suivante :
Probabilité de survenance X gravité
On pourra en conclure que le risque est « maximum » quand la probabilité de survenance sera élevée et que la perte estimée sera importante pour l’entreprise.
À ce niveau d’analyse, il est généralement fait référence à la cartographie des risques qui renseigne sur les caractéristiques spatiales des risques, laquelle apporte des précisions sur les différents critères qui caractérisent risques et leur vulnérabilité.
Le traitement des risques
Cette troisième phase de l’élaboration du processus de gestion des risques permet d’envisager et de déterminer les plans d’action les plus appropriés pour traiter les risques repérés.
Il existe plusieurs méthodes de gestion des risques qui présentent des points communs avec les catégories de DORFMAN regroupées sous la dénomination des « 4T » :
Présentation des 4 « t »
Figure 7
La méthode de l’atténuation a pour finalité de traiter directement le risque et donc de diminuer l’importance du sinistre, comme le sprinkler en matière d’incendies : son utilisation permet de diminuer la fréquence des incendies et d’amoindrir la gravité du risque en alertant directement les secours et en éteignant les feux.
Le principe de rétention est d’accepter les conséquences du risque sans chercher à les supprimer ni à les amoindrir. La rétention est utilisée dans les cas où une couverture d’assurance des risques serait trop coûteuse et sans bénéfice réel à long terme. Il s’agit là d’une décision d’entreprise.
Les risques non évités ou non transférés sont donc considérés comme acceptés ; seront donc considérés comme acceptés les risques issus de faits inassurables ou trop onéreux comme certaines catastrophes naturelles ou les faits de guerre par exemple.
L’évitement, du latin evitare qui signifie « éviter, fuir »23, consiste à « fuir » une activité à risques ou plus précisément à y renoncer.
Cela implique un renoncement aux bénéfices éventuels qui auraient pu être obtenus en exerçant cette activité. Il s’agit là encore d’un choix d’entreprise dans sa stratégie de développement.
On peut donner en exemple le cas d’une entreprise qui renonce à conquérir un nouveau marché afin d’éviter de possibles pertes ; a contrario cette entreprise renonce aussi aux gains qu’elle aurait pu réaliser par la pénétration de ce nouveau marché.
Enfin, cette dernière méthode consiste à assurer le risque par la souscription d’un contrat d’assurance. L’entreprise transfère le risque à l’assureur qui l’assumera s’il survient, en contrepartie du paiement d’une prime d’assurance par l’entreprise. Le principe du transfert est couramment utilisé par les « risk managers » : cette technique est pour eux sécurisante et facilement applicable.
Le reporting
Pour être totalement efficace, le processus de la maitrise des risques s’appuie sur la technique du reporting qui donne une traçabilité de la gestion des risques et plus précisément de l’identification des risques et du suivi du dispositif de gestion.
Le reporting intègre une auto-évaluation des risques et des contrôles effectués par les équipes opérationnelles.
Les données informatives du reporting constituent une richesse pour mener à bien la gestion des risques ; il s’agit d’un élément primordial dans la réussite et l’optimisation du dispositif de maitrise des risques, et ce, quels que soient la taille et le secteur d’activité de l’entreprise concernée.
Un système d’information pour la gestion des risques (SIGR) permet de gérer l’intégralité de l’activité de gestion des risques et joue un rôle de centralisation et de consolidation des données.
Le Système d’ Information pour la Gestion des Risques permet également d’assurer un suivi de l’activité et simplifie la communication avec les différentes parties prenantes du projet.
SYNTHÈSE :
Nous venons dans le cadre de cette deuxième partie de mettre en lumière le fonctionnement d’un dispositif de contrôle interne et de maîtrise des risques dans l’entreprise.
Il est essentiel de comprendre que ce dispositif doit impliquer l’ensemble de la structure et non les professionnels du contrôle interne, de l’audit interne ou du risk management.
Il est également important de retenir que les risques ont de nombreuses origines et sont partout présents dans l’entreprise. Des outils et méthodes existent pour les traiter et en suivre l’évolution.
Nous allons maintenant passer à la troisième partie de ce mémoire qui va, s’attacher à démontrer que le contrôle interne ne se limite pas à aider l’entreprise à se mettre en conformité avec la loi, mais qu’il s’avère est un outil de pilotage essentiel pour le management de l’entreprise ainsi qu’une activité pouvant créer de la valeur.
|
