Le risk management – littéralement traduit de l’anglais signifie “gestion du risque” – est un processus d’entreprise structuré qui identifie, évalue et gère les risques associés à une entreprise, afin de lui assurer une bonne santé et une continuité de l’activité. Un bon risk management aide donc l’entreprise à atteindre ses objectifs.
Ces dernières années, la vision étroite et traditionnelle de risk management qui considérait le risque comme une entité extérieure à l’entreprise, souvent sans responsables et uniquement dans un sens négatif, a été progressivement abandonnée. La signification moderne de risk management est plus large : elle connote les conséquences des risques tant dans le sens négatif de menace que dans le sens positif d’opportunité liée à un événement inattendu (par exemple, dans le cas de la prise d’un risque financier).
Le risk management est donc de plus en plus étroitement lié à la stratégie et à la culture d’entreprise.
Risk management : exemples de risques d’entreprise
Mais quelles sont les sources à partir desquelles peut dériver un risque d’entreprise à gérer via le risk management ? Voici quelques types de risques et des exemples concrets :
- Accidents, désastres naturels, erreurs humaines ou techniques. Ces risques sont appelés risques opérationnels et concernent des facteurs internes ou externes qui interrompent la continuité de l’activité d’une entreprise.
- Incertitude financière, micro et macro événements économiques tels que les fluctuations du marché, les crises ou les cycles économiques. Dans ce cas, nous parlons de risques économiques et financiers qui conduisent à une perte de capital.
- Responsabilités légales, non-respect de la réglementation : ces risques liés à la dite compliance conduisent l’entreprise à devoir payer des pénalités et des amendes.
- Risques informatiques. La sécurité informatique est de plus en plus importante et les failles dans ce domaine, notamment le vol de données, peuvent entraîner des conséquences économiques, l’interruption de l’activité et des atteintes à la réputation de l’entreprise.
- Les risques liés à la réputation de la marque – une couverture médiatique négative ou de mauvais avis – sont des risques qui ont toujours existé, mais qui sont de plus en plus amplifiés par les réseaux sociaux ces dernières années.
- Des erreurs dans la stratégie d’entreprise mettent en péril l’entreprise et sa capacité à être compétitive sur le marché : ce sont les risques dits stratégiques.
- [….]
Les types de risques sont ceux-ci et bien d’autres encore : en effet, ils dépendent beaucoup des objectifs de l’entreprise et du secteur dans lequel elle opère.
Comment le risk management fonctionne-t-il ?
Alors, qu’est-ce que le risk management ? Il s’agit d’un processus – mis en œuvre par les dirigeants, par un expert ou une équipe désignée – qui considère l’impact des risques sur la santé de l’entreprise : sur les services, sur le fonctionnement, sur le patrimoine et sur la productivité.
Pour ce faire, le processus de risk management est mis en place en plusieurs étapes. Pour simplifier, nous pouvons les regrouper ainsi :
- Identification et analyse des risques: on procède à identifier les risques potentiels qui peuvent affecter négativement (mais aussi positivement) la santé de l’entreprise et la poursuite des objectifs. Ces risques doivent être analysés : c’est-à-dire que l’on mesure la probabilité qu’ils se produisent et l’impact sur l’entreprise.
- Évaluation des risques. Une fois la carte des risques réalisée, on passe à l’évaluation. La valeur du risque est donnée par la probabilité qu’il se produise multiplié par son impact : un risque à l’impact catastrophique mais à la très faible probabilité de se produire aura une valeur plus basse d’un risque plus probable mais à l’impact moins destructeur. L’évaluation est l’outil qui permet à l’entreprise de reconnaître les risques et d’en prendre conscience.
- Gestion des risques. Une fois les risques potentiels et leur impact clarifiés, des stratégies doivent être élaborées pour les gérer. Certains risques peuvent être limités, prévenus et réduits : c’est-à-dire qu’il est possible de baisser la probabilité qu’ils se produisent ou de diminuer l’étendue de leur impact. Par exemple, des mises à jour logicielles fréquentes pouvant rendre les cyberattaques plus difficiles, des sauvegardes régulières réduiront leur impact. D’autres risques peuvent être transférés – à une compagnie d’assurance par exemple ou à un partenaire –, et d’autres encore peuvent être assumés en connaissance de cause, en tout ou en partie.
- Contrôle des risques : bien entendu les risques et les objectifs de l’entreprise évoluent dans le temps. Par conséquent, il est essentiel de mettre en place une surveillance continue de l’évolution des risques et du processus de risk management.
Signification du risk management : les avantages de la gestion des risques pour les entreprises
Toutes les entreprises, à leur manière, pratiquent une sorte de risk management. Les entreprises plus grandes et plus structurées ont une équipe et du personnel spécialement dédiés. Les entreprises plus petites, souvent sans le savoir, gèrent les risques de manière informelle et peu intégrée avec le reste des dynamiques de l’entreprise.
Pourquoi les entreprises devraient-elles utiliser le risk management et le faire de manière consciente et structurée ? Parce qu’en fin de compte, le risk management d’entreprise protège et améliore la valeur de l’entreprise. En particulier :
- il aide l’entreprise à atteindre ses objectifs
- il améliore les performances, en réduisant la variabilité
- il augmente la confiance des investisseurs à l’égard de l’entreprise
- il rend l’entreprise plus compétitive sur le marché car elle est en mesure de mieux répondre et plus rapidement aux changements.
Pour cette raison, le risk management devrait faire partie de la culture de l’entreprise, être intégré dans la stratégie et, le cas échéant, modifier la structure et les processus de l’entreprise.
Chief Risk Officer : fonctions et rôle dans l’entreprise
Le Risk Management est un processus décidé par le conseil d’administration et la direction, et est mis en place par eux et par d’autres figures professionnelles de l’entreprise. La figure principale est le Chief Risk Officer.
En résumé, le Chief Risk Officer (CRO) est le dirigeant chargé d’évaluer et de limiter les risques – opérationnels, économiques, réglementaires, technologiques et réputationnels – jugés significatifs pour la santé de l’entreprise, le capital et la performance.
Les responsabilités du Chief Risk Officer peuvent changer selon la typologie de l’entreprise, le secteur et la taille. Dans tous les cas, le Chief Risk Officer devra :
- élaborer un plan de risk management et le mettre en œuvre
- s’assurer de la mise en œuvre des différentes phases du risk management : identification, évaluation, gestion et contrôle des risques
- allouer les bonnes ressources financières aux différentes activités du risk management
- communiquer les évaluations du risque au conseil d’administration et à toutes les parties concernées de l’entreprise.
Comment créer le profil pour la gestion des risques d’entreprise ?
Le risk management est un outil précieux pour les entreprises pour commencer à gérer les risques de manière structurée, en assurant davantage de stabilité et de continuité. La création d’un Chief Risk Officer ne suffit pas à elle seule pour garantir l’efficacité du processus de risk management de l’entreprise, il faut également :
- de l’engagement de la part des dirigeants de l’entreprise dans la gestion des risques
- l’allocation de ressources adéquates au risk management
- intégrer le risk management dans la culture d’entreprise par le biais d’événements de formation.
Enfin, les dirigeants doivent attribuer les responsabilités concernant le risk management au sein de l’organisation. Comment doit-on choisir une ressource qui devra devenir le Chief Risk Officer ?
Le profil de Chief Risk Officer a certainement des compétences transversales : il doit bien sûr connaître les principes du risk management et les outils d’analyse et d’évaluation des risques. Mais cela ne suffit pas. Il doit également avoir une connaissance approfondie du secteur dans lequel l’entreprise opère, de l’organisation de l’entreprise et des processus désormais consolidés au sein de l’entreprise. Enfin, le Chief Risk Officer doit avoir d’excellentes qualités relationnelles, savoir dialoguer avec les différents acteurs impliqués et avoir une bonne connaissance du secteur de l’assurance et de la gestion d’entreprise.
Ressources utiles pour le risk management
FERMA (Federation of European Risk Management Associations) est la fédération des associations européennes de gestion des risques et propose des outils utiles tant pour les entreprises que pour les professionnels du Risk Management. Elle propose notamment des événements de formation – également en ligne -, des rapports et des mises à jour sur le cadre réglementaire en Europe et des parcours de certification pour les professionnels du secteur.
AMRAE, l’Association pour le Management des Risques et des Assurances de l’Entreprise est en revanche l’association française. Sur son site, vous trouverez du matériel utile notamment pour la formation continue.
Les normes ISO 31000 et ISO 31010 fournissent des principes et des lignes directrices pour la gestion des risques et l’évaluation des risques. Ils ne sont spécifiques à aucun secteur et peuvent donc être utilisés par n’importe quelle entreprise ou organisation publique. Les normes peuvent être appliquées à tout type de risque (avec des conséquences positives ou négatives) dans différents types d’activités commerciales ou organisationnelles. La norme ISO 31000 peut être consultée gratuitement ici, la norme ISO 31010 ici.