« Plus faibles sont les risques meilleure est l’entreprise ». Si avec Sophocle nous mettons le risque au centre de la philosophie de l’action, il apparaît évident et nécessaire pour toute entreprise moderne d’adapter ses stratégies de développement aux différents risques qu’elle peut être amenée à rencontrer au cours de son activité. Pour ce faire elle se doit de prendre en compte un certain nombre d’éléments dont l’éventuelle concrétisation aurait des conséquences des plus néfastes pour elle. Dans ce cadre le rôle du risk manager apparaît essentiel en ce qu’il a pour mission de mettre en garde l’entreprise, par le biais de ses organes sociaux (conseil d’administration, conseil de surveillance), des risques par elle encourus tout au long de son activité. Pour ce faire il va généralement procéder par étapes successives, ces dernières se déclinant selon la société concernée. Nous en retiendrons quatre dans un souci de clarification :
– l’identification des risques ;
– la quantification des risques ;
– la réduction des risques ;
– l’impact financier de cette réduction.
Avant de déterminer plus précisément ces quatre étapes il nous faut, à titre liminaire, tenter de définir ce qu’est le risque. « Un risque correspond à l’occurrence d’un fait imprévisible – ou à tout le moins certain – susceptible d’affecter les membres, le patrimoine, l’activité de l’entreprise et de modifier son patrimoine et ses résultats. » (Elie Cohen) . Dès lors ce dernier peut se caractériser comme la prise en compte par une personne de la possibilité de réalisation d’un événement contraire à ses attentes ou à son intérêt. Lorsque la personne concernée agit malgré cette possibilité et s’expose ainsi à cette réalisation, on dit qu’elle prend un risque. Appliquée au monde de l’entreprise on peut le spécifier ainsi :Il s’agit de l’action qui affecte la capacité de l’entreprise à atteindre ses objectifs ou à assurer sa pérennité. Dès lors on comprend toute l’importance primordiale, dans ce cadre, de la mise en place d’une stratégie de gestion des risques efficace.
A la lecture de cette définition il nous faut tenter d’établir une distinction entre le risque et des notions voisines afin d’éviter tout abus de langage dans nos développements futurs. Tout d’abord il se distingue de l’incertitude qui est le caractère imprécis, vague d’une perception, d’une image. Cette dernière constitue une notion plus générale. Il faut le dissocier également du danger , forme de risque pour lequel l’intégrité physique est menacée. Au-delà de ces considérations le risque est une notion protéiforme en ce qu’il peut désigner à la fois l’événement considéré et la probabilité de sa survenance. Il est alors une perte potentielle, identifiée et quantifiable. En parallèle à la prise de décision, la gestion du risque consiste en l’évaluation et l’anticipation des facteurs de danger, et à la mise en place d’un système de surveillance et de collecte systématique des données afin de déclencher des alertes qui permettront à l’entreprise de réagir au mieux de ses intérêts. Cette étude scientifique du risque est appelée cindynique.
Elle répond à une logique qui lui est propre et repose sur toute une série d’outils scientifiques élaborés au fil des siècles par d’éminents scientifiques au titre desquels on peut citer, notamment, Blaise Pascal ou encore Pierre de Fermat auxquels nous devons la résolution de l’énigme du chevalier de Méré qui constitue la base mathématique formelle à la théorie des probabilités.
Une rétrospective historique semble, dès lors, toute indiquée afin de comprendre l’évolution des techniques qui nous a amenés à mettre en place les outils modernes de quantifications du risque. La question d’alors, posée par le chevalier de Méré, était de savoir comment diviser des mises entre deux personnes dans un jeu de hasard lorsqu’elles s’arrêtent de jouer avant la fin et que l’une d’entre elles possède de l’avance sur l’autre. Ils ont suggéré que les deux joueurs se partagent les enjeux sur la base de la probabilité respective que chacun gagne, et ont décrit, pour la première fois, comment calculer celle-ci.
Partant de là, les mathématiques et la finance devaient alors progresser à une vitesse phénoménale. L’assurance dont l’activité entière repose sur le calcul de probabilité en tira une grande force et dans un mouvement sans précédent un petit groupe de mathématiciens a développé les composants de tous les outils d’évaluation des risques que l’on utilise encore aujourd’hui : inférence statistique, application des probabilités et premières tentatives de définition de la distribution normale et de l’écart type. Cependant la révolution copernicienne , en la matière, vint d’un mathématicien suisse Jacob Bernoulli qui, en 1713, publie « la loi des grands nombres » selon laquelle on peut déterminer les probabilités et la signification statistique à partir d’un nombre limité d’informations . Son neveu David Bernoulli apportera également sa pierre à l’édifice en enrichissant de façon significative la théorie de la probabilité par la découverte du concept d’utilité. Ce principe montrant que dans la prise de décision les conséquences des diverses possibilités l’emportent souvent sur les probabilités que chacune ne se produise. Francis Galton complètera cette analyse en dégageant le principe de retour à la moyenne qui veut que tout, à long terme, revienne à la normale. Soit avec le temps, les extrêmes retournent toujours à la moyenne.
Le champ d’application de cette règle dépasse de beaucoup le domaine traditionnel des statistiques mathématiques pures et s’étend à des domaines aussi variés que les prévisions météorologiques, les jeux de hasard, les marchés boursiers et les cycles économiques. Les premières règles statistiques sont, dès lors, posées et on peut désormais quantifier de façon raisonnable le risque.
Au XXème siècle les recherches vont évoluer vers le monde de la finance. Les universitaires américains John von Neumann et Oskar Morgenstern appliquent la théorie des jeux de stratégie en opposition aux jeux de hasard à la prise de décision dans les affaires et les placements . L’économiste Harry Markowitz démontre que le risque et le retour sur investissement sont directement liés, mais que l’on peut réduire la variance de ce retour par la diversification. Ainsi il démontre qu’investisseurs et décideurs peuvent minimiser la variance du retour sur investissement en diversifiant de manière réfléchie leurs placements.
Enfin en 1970 les universitaires américains Fischer Black et Miron Scholes publient un modèle mathématique permettant de calculer la valeur d’un option. Ces différentes idées ont posé la base théorique du noble édifice qu’est la gestion des risques modernes.
Tout ce qui vient d’être énoncé précédemment ne constitue que l’outil qui va permettre de mieux appréhender le risque. Il constitue le point de départ de la réflexion sur le risque cependant il est indispensable de savoir quand et comment l’utiliser pour qu’il offre son meilleur rendement. L’outil, à lui seul, ne suffisant pas à pouvoir établir une bonne stratégie pour l’entreprise.
C’est Pascal qui poussera cette idée avec le plus de force dans sa réflexion sur l’opportunité de croire ou de ne pas croire en Dieu. Il établit pour ce faire un postulat selon lequel on peut choisir d’agir comme si Dieu existait ou comme si il n’existait pas et ce indépendamment de toute croyance. Dès lors l’homme se trouve face à un choix. Soit il décide de vivre comme si Dieu existait et va mener une vie vertueuse et d’abstinence, alors qu’en réalité il n’existe pas. Il y’aura alors eu renoncement au plaisir de l’existence sans « compensation » spirituelle. Soit il va profiter pleinement de sa vie terrestre commettant les actes les plus extravaguant, en se comportant de façon hédoniste et licencieuse considérant que Dieu n’existe pas en prenant le risque qu’in fine il existe. Ce dernier selon Pascal serait alors voué aux gémonies et à la damnation éternelle. Pascal conclut son raisonnement en disant que tout homme doit décider d’agir comme si Dieu existait indépendamment de la probabilité qu’il existe. La décision d’agir comme si Dieu n’existait pas faisant courir des risques intolérables à la personne.
Cette réflexion métaphysique de Pascal n’est en rien superfétatoire, et est encore utilisée, aujourd’hui, par les entreprises quand elles élaborent leur matrice de criticité des risques . Pour conclure sur cette théorie il faut voir que les conséquences d’un mauvais choix doivent toujours primer sur la probabilité d’occurrence.
Ces rappels effectués, il nous faut maintenant en revenir à notre objet premier qui était de définir le processus de gestion des risques dans l’entreprise. Pour ce faire il nous faut procéder par étapes en identifiant clairement toute les phases de celui-ci. Quelle que soit la taille de l’entreprise, chaque type de risque nécessite une réponse appropriée avec des ressources humaines dédiées externes et/ou internes. On a vu, par exemple, avec le passage informatique à l’an 2000, qu’il était nécessaire de mettre en place dans les entreprises des équipes spécialisées dans la gestion du risque sous l’angle de l’informatique de gestion. Aujourd’hui, les questions de responsabilité sociétale des entreprises nécessitent, de la même manière, la prise en compte d’un risque global, vis-à-vis de la société civile (impacts de l’activité, risques liés aux produits défectueux), la dématérialisation impose un traitement attentif des dirigeants. La gestion en continu de la grille de risques d’une entreprise suppose vision et vigilance du dirigeant et de ses conseils et cadres, pour la réadapter aux réalités du terrain et des systèmes régulateurs qui s’y appliquent.
Entreprendre c’est accepter des risques au quotidien. Les « risk manager » doivent donc surmonter ces risques pour que l’entreprise puisse développer de façon optimale son activité. Les objectifs de l’entrepreneur sont donc de deux ordres :Maximiser le profit sur le long terme et assurer le développement de l’entreprise, sa pérennité. La gestion des risques s’analyse en une évolution de la recherche de la qualité vers la recherche de la pérennité. Elle permet de remplacer une appréhension diffuse du risque en une connaissance rationnelle donc quantifiable et maîtrisable.
Machiavel stigmatisait cet état de fait ainsi : « Ce que l’on a prévu est presque toujours sans danger » . La prévention va permettre de diminuer les risques. Le processus de gestion des risques va fédérer les hommes autour d’un projet commun et donc va créer une émulation au sein de l’entreprise. Son coût est souvent très important et peut représenter, selon les entreprises, entre 0,5% et 5% du chiffre d’affaire.
Traditionnellement les risques peuvent affecter :
– la production,
– les ressources humaines,
– la base d’information,
– les finances de l’entreprise.
Au sein même des risques on va distinguer, d’une part, entre les risques purs qui ont toujours un effet négatif sur l’entreprise tels l’incendie, les catastrophes naturelles, la malveillance (prise en compte des comportements malveillants de certains salariés ou collaborateurs qui mettent en péril l’activité de l’entreprise), le vol. D’autre part il y a les risques dits spéculatifs dont les effets peuvent être soit positifs soit négatifs car ils reposent sur des critères qui évoluent dans le temps. C’est le cas du risque de fluctuations monétaires (le prix de revient des entreprise est touché par ces fluctuations) mais aussi de l’aléa climatique ou encore des évolutions de la mode ou des évolutions des marchés.
Nous avons vu précédemment que la gestion des risques reposait sur un certain nombre d’étapes . Il nous faut maintenant tenter de les analyser.
Toute étude de risque débute par la phase d’identification des risques. Cette étape consiste à déterminer quels sont les objectifs fondamentaux de l’entreprise et quelles sont les ressources clés qui lui permettent d’atteindre ses objectifs (moyens financiers, matériel, système d’info). Parfois cette recherche peut s’avérer compliquée, l’entreprise va alors décomposer ses processus opérationnels et fonctionnels en sous-processus élémentaires. Elle va donc procéder poste par poste et se poser la question de savoir quel sera l’impact sur le processus de production du défaut de la ressource.
Pour ce faire elle va se demander quels sont les évènements qui peuvent provoquer ce défaut et quels sont les risques qui peuvent affecter ses ressources névralgiques. Cette phase permet d’identifier les ressources essentielles et vulnérables dont l’indisponibilité temporaire serait incompatible avec l’atteinte des objectifs fondamentaux. Le « risk manager » est, à cet effet, un maïeuticien qui va s’appuyer sur un existant et va rechercher de nouveaux risques qui pourraient impacter l’entreprise.
Dès lors, il va avoir recours à toute une série d’outils pour procéder à cette phase d’identification. Ces derniers peuvent être très divers :on a les questionnaires, les analyses des comptes et bilan, les visites de sites, les simulations de sinistres (recherche des effets domino), le retour d’expérience (gestion des bases d’expérience), l’avis d’experts extérieurs ou encore l’avis des organisations (syndicats, fédérations). On ne pourrait tous les citer tant ils sont nombreux mais il faut bien prendre conscience de l’importance de cette étape dans le processus de gestion des risques. On le comprend aisément car un risque mal identifié est un risque qui sera forcément mal pris en compte par l’entreprise. La première étape étant le corollaire nécessaire à toutes les autres il faut y procéder avec tout le soin et l’attention nécessaire afin de ne laisser passer aucune situation à risque.
Cette étape achevée il faut procéder à la quantification du risque qui va s’opérer par le biais de l’étude de la fréquence du risque. Cette variable peut s’approcher par retour d’expérience, par consultation des statistiques professionnelles ou par interrogation auprès d’un assureur.
Ce calcul étant fait il faut l’analyser et alors l’entreprise se trouvera devant un choix selon l’intensité du risque découvert. Soit la fréquence est élevée et la gravité faible et alors elle cherchera principalement des solutions en interne, notamment, par la mise en place de mesures de prévention adaptées. Soit, dans le cas contraire, elle devra recourir à des systèmes qui vont lui permettre de se prémunir contre le risque tel le recours aux techniques de l’assurance, de la coassurance ou de la réassurance. Dans la majorité des cas les deux solutions seront mises en place dans l’entreprise et pour ce faire on va prendre en compte le montant du sinistre maximum possible et le comparer au montant des fonds propres. Si celui-ci dépasse le montant des fonds propres, on estimera traditionnellement que l’entreprise ne doit pas accepter le risque au risque de voir sa pérennité engagée.
Une fois la quantification réalisée il faut passer à la phase de réduction des risques. Cette dernière se caractérise principalement par la recherche des éléments de maîtrise des risques précédemment identifiés et quantifiés. On va pouvoir agir sur les deux éléments caractérisant le risque à savoir sa gravité ou son intensité. On va rechercher ainsi à réduire les écarts à la moyenne c’est à dire influer sur la volatilité du risque. Un risque volatile constitue un danger pour l’entreprise il faut donc agir sur cet élément.
Cette opération est, le plus souvent, de la compétence exclusive de la direction des affaires opérationnelles, le « risk manager » n’ayant qu’un pouvoir de conviction et non de décision. A partir de là, les organes de direction vont choisir les moyens de protection les plus appropriés à la situation de l’entreprise.
Ils vont pouvoir choisir de déployer des moyens organisationnels tels l’affichage de consignes de sécurité ou la mise en place, auprès des salariés de l’entreprise, de journées de formation ou encore la création de fonctions de contrôle au sein même de leur société.
A ces moyens organisationnels s’ajoutent le recours à des moyens juridiques comme la limitation contractuelle de la responsabilité de l’entreprise , le transfert d’une partie de la responsabilité aux entreprises sous-traitantes par le biais de clauses contractuelles. Elle peut aussi, dans ce cadre juridique, utiliser la technique de l’abandon de recours qui est une clause par laquelle un partenaire (en général le client) renonce à son produit ou à son service et accepte de payer une partie du prix si celui-ci survient. C’est une forme d’auto assurance avec la participation du partenaire.
Elles peuvent également, tout simplement, refuser le risque par renoncement à pratiquer l’activité considérée comme dangereuse et ce, notamment, en matière de risques jugés inacceptables en raison de leur très importante intensité et de leur forte gravité. Dans les cas ou elles ne peuvent se résigner à le refuser elles peuvent tout au moins tenter d’en atténuer les conséquences en mettant en place des systèmes de sécurité performants comme, par exemple, dans le cadre d’un risque incendie, l’installation d’extincteurs mobiles, de sprinklers, d’exutoires de fumée ou encore par l’élaboration de plan d’évacuation ou de redéploiement temporaire.
Ces étapes effectuées il reste ce que l’on appelle le risque résiduel. Ce risque, l’entreprise peut choisir de la traiter différemment selon son importance.
A ce titre elle peut opérer :
– un traitement du risque par l’assurance
– un traitement du risque par le biais d’outils financiers.
En choisissant la première option elle va lisser les conséquences financières du risque dans le temps. On va appliquer la loi des grands nombres et transférer la volatilité du risque sur un tiers qu’est l’assureur. Pour être assurable le risque doit être aléatoire (fréquence inconnue) et quantifiable (gravité déterminée ou au moins déterminable).
En optant pour la seconde plusieurs possibilités s’offrent à elle. Elle va pouvoir décider d’agir sur ses fonds propres par le biais de mise en réserve ou la constitution de provisions. Elle peut choisir de recourir à l’emprunt qui constitue un moyen de financement constitué avant sinistre et qui sera mis en place après sinistre. Cela s’analyse en une garantie d’offre de prêt et constitue un engagement du banquier en cas de difficulté de l’entreprise. Cela permet à l’entreprise de pouvoir négocier plus sereinement l’offre de prêt avec son banquier.
Toujours au titre des outils financiers mis à sa disposition l’entreprise va pouvoir créer sa propre société captive d’assurance ou de réassurance. Par ce procédé l’entreprise va créer une filiale qui va avoir pour mission d’assurer les risques qui sont propres à l’entreprise mère. On a donc une prise en charge d’une partie du risque avec une possibilité de déductibilité des charges afférentes.
Enfin elle aura souvent recours à la titrisation qui consiste en l’émission de titres dont le rendement, voire le remboursement va dépendre de la survenance ou non du risque.
L’entreprise va, donc, devoir choisir parmi tous ces outils ceux qui répondent le mieux aux risques auxquels elle doit faire face en les combinant afin de s’assurer la plus grande couverture. C’est en cela que consiste la dernière étape à savoir choisir le traitement optimum en fonction de l’impact financier que ce processus de gestion et de réduction des risques va avoir sur l’entreprise. Dès lors il faudra prendre en compte les différentes réponses possibles apportées au risque à couvrir et voir le coût potentiel qu’elles constituent pour l’entreprise. Si ce coût est trop élevé et met en cause la pérennité de la société il faudra mieux abandonner le projet. Ce travail passe par la réalisation d’un processus en cinq étapes :
– l’actualisation ;
– la probabilisation ;
– la sommation ;
– la comparaison ;
– la quantification du scénario de perte maximum.
Nous venons, au titre de ses remarques liminaires, d’étudier les différentes étapes de la gestion du risque dans le cadre d’une entreprise et il apparaît que ce processus est vital pour tout organisme qui souhaite se développer dans la durée et qui cherche à maximiser ses profits. En outre une bonne gestion des risques peut constituer un bon outil de motivation et de fédération des équipes au sein d’une société en ce qu’il transforme des situations à risque subies en des positions stables et assumées. Elle dénote une bonne coopération à tous les échelons de la chaîne de production depuis l’équipe décisionnelle, qui va décider d’appliquer ou non les conseils du risk manager, jusqu’aux différentes équipes opérationnelles sur le terrain.
Une fois la politique de gestion des risques adoptée encore faut-il s’assurer qu’un suivi du type de traitement du risque choisi a été mis en place sans quoi tout ce qui a été vu ci-dessus risque de s’avérer très vite inopérant. Cette opération se caractérise par la mise en place, a priori, d’un outil de contrôle et de suivi qui va définir les critères de satisfaction, la périodicité du contrôle, l’examen des sommes budgétées pour mettre en œuvre la solution. De plus il faut nommer un responsable en interne du suivi qui aura pour mission de s’assurer du bon déroulement du plan de gestion et qui assurera un maquettage cohérent de l’outil de reporting tout en prenant soin de préciser ses destinataires. Il aura pour mission également de fixer la date de remise en cause de la décision et, à ce jour, de valider ou de critiquer, a posteriori, le choix effectué.
Ces remarques introductives étant faites, il nous apparaît, dès lors, opportun de nous demander :Comment appréhender au mieux le risque dans l’entreprise afin d’en assurer une gestion pérenne ? Pour ce faire nous tenterons de montrer que les risques pouvant toucher une société commerciale ou industrielle peuvent être scindés en deux catégories. La première vise les risques qui sont endogènes au développement de la société et qui peuvent affecter de façon significative son image de marque et sa réputation ( I ). La seconde concerne, quant à elle, la famille des risques qui vont découler de l’activité même de l’entreprise et peuvent avoir des conséquences sur ses stratégies de développement et d’expansion ( II ).