La vie de l'ESA

Cartographie des risques

Pour protéger l’activité d’une entreprise, l’une des premières opérations qu’il est nécessaire de mener est d’établir un diagnostic des risques auxquels cette entreprise est soumise, afin de les identifier, et ensuite mettre en place un plan d’action visant ou bien à les prévenir ou bien à protéger l’entreprise des effets de leur réalisation éventuelle. Etablir ce diagnostic et orchestrer l’élaboration d’un tel plan d’action, telle est la tâche du Risk Manager.

Dans cet article datant de 2003, Pierre-Alexandre Bapst (Associé chez Ernst & Young, Risk Services à l’époque où fut écrit cet article, aujourd’hui Directeur de l’audit et des risques d’Hermès International) pose les grands principes de la manière dont doit être établi ce qu’il nomme la « cartographie des risques ». L’auteur, soutenant que la notion de « risque » ne doit pas se limiter à désigner ce qui fait peser une menace sur « des actifs corporels », mais doit se définir comme « tout élément de nature à empêcher l’entreprise d’atteindre ses objectifs » (le « risque » devant donc inclure également les éléments incorporels), défend une approche globale d’identification des risques, et non plus fragmentée par secteur, comme cela a été longtemps le cas dans le domaine de l’entreprise, en France du moins.

La compréhension des enjeux et l’élaboration d’une cartographie des risques est l’un des enseignements délivrés aux étudiants et/ou aux participants par l’Ecole Supérieure d’Assurances dans un module intégré au sein du cursus de MBA Risk Management.

Cartographie des Risques : point de départ d’une gestion globale des riques

La gestion globale des risques doit d’appuyer sur un diagnostic précis de l’ensemble des risques de l’organisation. Ce diagnostic peut se formaliser sous la forme d’une cartographie des risques, exercice simple dans son principe, mais complexe dans l’exécution. Fort de très nombreuses expériences dans ce domaine, l’auteur présente non seulement les axes fondateurs d’une telle démarche, mais livre également quelques facteurs-clés de succès.

Le contexte

Notre monde complexe et imprévisible ne laisse plus de droit à l’erreur, et les dirigeants des organisations (entreprises, collectivités, Etat, . . .) ont bien compris qu’ils doivent se donner davantage de moyens pour gérer leurs risques. Cette évolution est difficile en raison des attentes équivalentes formulées à l’égard des managers. En effet, il leur est demandé d’agir plus vite, de prendre des risques et des initiatives (souvent avec moins de moyens), mais on leur recommande de le faire avec prudence. Force est de constater que la tolérance aux risques s’est affaiblie avec l’apparition d’une tendance molle et dangereuse au « principe de précaution » qui vient renforcer une aversion traditionnelle et culturelle française à l’égard du risque, souvent uniquement compris sous sa connotation négative.

S’il appartient aux dirigeants de clarifier les messages sur la gestion des risques et de donner l’impulsion en communiquant positivement et en allouant les moyens nécessaires, la bonne gestion des risques est l’affaire de tous, et peut toucher à l’identité même des organisations. Une culture axée sur une démarche positive de gestion des risques encourage la responsabilité collective vis-à-vis de ce qui est considéré comme une menace. Elle permet de prendre plus de risques – sous contrôle – et vise à accroître la rentabilité apportée par cette prise de risque. Cette gestion proactive autorise une information de qualité sur les risques inhérents à l’activité, témoin de la lucidité de l’entreprise, et de son honnêteté interne et à l’égard de son environnement (investisseurs, actionnaires, collaborateurs, clients, fournisseurs, partenaires,. . .).

Si le risque sous-entend tout élément de nature à empêcher l’entreprise d’atteindre ses objectifs, nous sortons de la notion classique de protection des actifs corporels. Bien comprendre les risques, c’est bien comprendre le « business model » de l’entreprise, ses pôles de création de valeur. Si l’investisseur achète du risque et le chef d’entreprise vend sa capacité à en prendre (et à générer du profit), cela repose autant sur des éléments incorporels que sur les actifs corporels traditionnels. En ce sens, certains managers considèrent que la gestion des risques et la gestion tout court sont intimement liées…

Les entreprises ayant tiré le plus de bénéfices de leurs travaux sur les risques sont celles qui non seulement ont développé une vision complète des risques, mais qui ont réussi à sortir d’une approche fragmentée, par spécialistes ou silos (par exemple risques environnementaux, risques fiscaux, risques produit,…) pour adopter une approche progressivement plus globale.

Sans doute, les responsables des organisations ont- ils une bonne perception intuitive des risques essentiels, mais cette perception est souvent trop floue, incomplète, parcellaire et mal partagée au sein de l’organisation.

La première pierre d’un travail efficace sur les risques est un diagnostic présentant les vulnérabilités de l’organisation, souvent résumé sous l’appellation de cartographie des risques. Les travaux de cartographie des risques ont pour objectif d’aider les organisations à identifier et hiérarchiser les risques majeurs auxquels elles sont confrontées, afin de mettre en place les actions correctives indispensables qui s’imposent. Cet exercice fait écho à celui autrefois mené par les directions de la stratégie et de la planification.

Construire une cartographie des risques consiste à positionner les risques et les opportunités majeurs selon différents axes : par exemple impact potentiel, probabilité, ou niveau de maîtrise actuel de ces risques. En conduisant une analyse sans restriction, et en faisant travailler toutes les fonctions horizontales et verticales, les entreprises apprennent beaucoup sur leurs risques et opportunités.

Les applications d’une cartographie sont nombreuses : état des lieux pour le Conseil d’administration, la direction générale ct les responsables opérationnels, assistance aux directions des risques ct aux gestionnaires des risques pour la mise en œuvre des politiques adaptées, travaux sur le contrôle interne, support à l’audit interne pour la préparation du plan d’audit, et plus récemment support à des actions de communication externe. Bien conduite, elle provoque une prise de conscience de la part des opérationnels, et permet de focaliser les efforts sur les risques essentiels (et les opportunités associées) et de se tourner vers l’action : toute cartographie doit être un point de départ et non une fin en soi. Dans le contexte législatif actuel (loi de sécurité financière [-(LSF)-], Sardanes Oxley pour les sociétés concernées), ces travaux deviennent en outre désormais quasiment incontournables.

Les méthodologies de cartographie des risques doivent prendre en compte le contexte culturel de l’organisation et les objectifs spécifiques alloués à la démarche mais, néanmoins, des réflexes de bases et communs à tous les projets peuvent être intégrés.

Les réflexes de bases

L’exercice est simple dans son principe, mais présente une exécution complexe, car le matériau de base est difficile à cerner ; l’analyse se prête imparfaitement à une modélisation mécanique et intègre le facteur humain sur des sujets clés, et parfois politiques. Le chef de projet en charge du dossier doit par son expérience et sa position hiérarchique élevée être en mesure de piloter un programme d’actions impliquant les principaux responsables de l’organisation. Même si de fortes connaissances en gestion des risques management ne sont pas obligatoires, elles seront cependant utiles. C’est notamment par le biais de ces missions globales que le risk manager gestionnaire des risques peut se donner les prérogatives d’un « Chief Risk Officer »… L’expérience de nombreux projets conduits en France permet de formuler quelques recommandations pratiques.

Premier réflexe : définir correctement le périmètre

S’il peut paraître aisé de délimiter géographiquement, juridiquement ou fonctionnellement les champs d’investigations, il est plus délicat de limiter la sphère des risques considérés, compte tenu des fortes interrelations existant entre tous les risques de l’entreprise. Le risque est « malin », et se glisse souvent aux interfaces entre des responsabilités géographiques et fonctionnelles. En pratique, « risque » est généralement pris dans une acception large comme toute « incertitude, menace ou opportunité que l’entreprise doit anticiper, comprendre et gérer pour protéger ses actifs et sa valeur, et atteindre les objectifs définis dans le cadre de sa stratégie ». Etant donné qu’il existe rarement des définitions normalisées, communiquées et comprises au sein des organisations sur ces risques, dans un contexte où chaque entreprise reste assez spécifique, il est souvent nécessaire d’avoir au préalable une approche large, puis de recentrer ensuite l’analyse selon les nécessités.

Deuxième réflexe : vendre le projet en interne

Les objectifs de l’exercice seront déterminés, compte tenu de la culture de l’organisation, de ses besoins explicites ou implicites. Ils seront ensuite présentés aux décideurs et aux principaux acteurs, en expliquant de quelle façon la démarche va apporter de la valeur à l’organisation et à chaque participant. Une partie du challenge est de mettre d’accord les différentes parties concernées, d’où ce qui explique la nécessité d’un « sponsor » avec une forte personnalité afin de clarifier rapidement les synergies indispensables.

En profitant le cas échéant des obligations légales de reporting sur les risques, le discours peut intégrer les idées suivantes : comment s’améliorer sur ce que l’on ne maîtrise pas bien, comment faire travailler une équipe efficacement malgré une vision différente des risques ? L’accent sera également mis sur l’aspect concret : il s’agit de travailler sur les sujets majeurs, avec une approche de hiérarchisation qui ne conduit pas à construire une « usine à gaz », mais à mettre en exergue quelques points à traiter en priorité. Il est question aussi d’un angle d’attaque nouveau, plus transversal, non qui n’est pas redondant avec les autres initiatives internes – même si des synergies peuvent être décelées avec les analyses stratégiques et les actions accomplies au titre de la qualité. C’est un travail collectif, donnant l’occasion de traiter des sujets non évoqués dans les comités de direction : les échanges d’informations, la confrontation des points de vue (opérationnels, fonctions transverses) sont l’un des aspects majeurs de la démarche. Enfin, les travaux de cartographie sont tournés vers l’action : il ne s’agit pas uniquement de produire un « beau » diagnostic, mais il s’agit d’apporter un outil d’aide à la décision complémentaire, de support pour des actions de progrès et de communication interne ou externe.

Troisième réflexe : assurer l’appropriation des opérationnels

Le chef de projet doit se dessaisir progressivement en aidant les opérationnels à s’emparer de la démarche et de ses conclusions. Pour cela, il convient d’apporter un soin tout particulier à la communication tout au long du projet : ce travail de marketing est nécessaire pour pérenniser l’ensemble de la démarche.

La méthodologie choisie devra favoriser cette appropriation. Elle doit donc être lisible, aisément explicable, perçue comme facilement déclinable dans le temps et dans l’espace, et porteuse de ferments d’actions ultérieures. Elle doit impliquer les opérationnels dès le départ ; c’est pourquoi de nombreuses expériences sont conduites selon des principes d’auto-évaluation, en faisant participer individuellement et collectivement ceux qui devront faire vivre les plans d’actions issus de la cartographie.

Quatrième réflexe : s’armer de courage

Les projets de cartographie sont difficiles à mener car ce sont des exercices nouveaux, impliquant un grand nombre d’acteurs aux attentes souvent différentes, avec une matière première (« le risque ») complexe… Il génère souvent des attentes fortes en matière de résultats et de délais, parfois teintées de scepticisme. Le chef de projet doit garder sa sérénité, savoir préférer l’action à la précision, et mesurer les résultats obtenus tout au long du projet, de façon à pouvoir communiquer sur des « quick wins » le plus régulièrement possible. « Rome ne s’est pas faite en un jour », et des travaux de cartographie des risques ne résoudront pas tous les soucis de gestion des risques de l’organisation, malgré certaines attentes ou la pression du législateur. . .

Mettre en place une méthode robuste

Pratiquement un projet peut consister à faire travailler plusieurs catégories de collaborateurs : des experts, qui seront consultés en raison de leurs connaissances de risques spécifiques, et des managers, choisis en fonction de leur capacité à avoir une vue globale des choses, représentatifs des principaux processus de l’entreprise. Leur travail commun permettra la constitution d’une liste de tous les risques (externes, liés aux processus opérationnels, financiers,…), puis l’élaboration d’une synthèse des vingt-cinq à trente risques majeurs par exemple.

La démarche de cartographie s’articule généralement en quatre temps décrits ci-après.

Cartographie des risques : Schéma du processus

Cartographie des risques : Schéma du processus

Les différentes étapes

Une étape d’organisation du projet identifie les acteurs, leurs rôles, met en place les outils propres au projet, et valide les référentiels (objectifs de l’organisation, pôles de valeur,…). En précisant la méthodologie, une communication efficace s’instaure autour du projet.

Une étape d’identification des risques consiste en une large collecte d’informations, mettant bien en perspective les risques par rapport aux objectifs sources de création de valeur. Cette étape permet d’établir le modèle des risques (liste de risques avec définitions précises et exemples).

Une étape de hiérarchisation permet une classification de ces risques en fonction par exemple de leur impact sur les éléments clés de la valeur, de leur fréquence d’apparition, de leur niveau de maîtrise, etc.

Une étape de synthèse détermine les risques les plus importants dont l’analyse doit être approfondie et qui nécessitent de ce fait une mise en place rapide et effective des plans d’actions nécessaires.

Comme déjà évoqué, les méthodologies d’auto- évaluation sont fréquemment appliquées dans de nombreux groupes car les opérationnels, en contact quotidien avec les risques, sont certainement les mieux placés pour, d’une part, identifier les menaces et, d’autre part, les classer les unes par rapport aux autres. Cette méthode assure aussi une bonne appropriation des résultats. A l’évidence, le travail de ces opérationnels est facilité par une préparation minutieuse d’un groupe projet et des analyses de benchmark. Ces méthodes d’auto-évaluation sont les plus employées pour plusieurs raisons :

- les responsables opérationnels disposent d’une vision globale de l’organisation ;
- ils peuvent mettre en perspective les différents objectifs stratégiques du Groupe à l’aune desquels les risques devront être identifiés ;
- ils donnent à l’analyse une tonalité plus proche de la réalité du business que si elle résultait de travaux de spécialistes ;
- ils peuvent intégrer un grand nombre de paramètres ce qui permet de gérer la complexité d’une hiérarchisation des risques ;
- leurs conclusions sur l’analyse des risques s’apparentent à leurs décisions en matière de gestion, s’inscrivent dans le continuum du business, et confèrent une forte crédibilité à l’étude.

Zoom sur des étages clés

Identification

Les travaux d’identification des risques doivent assurer au projet une bonne exhaustivité dans l’analyse (1a véritable crainte est de « manquer quelque chose » qui va surgir un jour). Cette identification se fait en combinant plusieurs approches :

- en compilant des analyses existant sur les risques : analyses stratégiques, travaux de la cellule de gestion des risques, rapports d’audit, études des courtiers ou des assureurs, analyse de la sinistralité. . . Il serait évidemment dommage de partir d’une « page blanche ».
- en intégrant les analyses d’experts et de spécialistes des secteurs d’activité, et celles de risques ou de processus. Ils apportent une valeur ajoutée supplémentaire et un regard « intérieur » sur l’organisation, la culture… ou « extérieur » sur des expériences ou pratiques de marché. Des analyses externes permettent souvent une approche intéressante, par exemple vis-à-vis des situations « crisogènes », où la vision de l’interne sera souvent différente de celle de « stakeholders » externes.
- par auto-évaluation des responsables opérationnels de l’entreprise, dans un premier temps à l’appui d’une approche individuelle (questionnaires préalables et/ou entretien individuel) et, dans un second temps, par une approche collective, afin d’insuffler une dynamique de groupe, d’instaurer un débat contradictoire, d’obtenir une validation du groupe et de permettre ainsi aux participants de s’approprier les résultats.
- enfin, une approche par analyse de « check-lists » des risques qui permet de se rassurer sur le caractère complet de l’étude. Ces « check lists » sont souvent l’apanage de consultants spécialisés et issues de nombreux benchmarks.

Ces différents travaux doivent s’articuler selon une trame commune de la définition des risques, et fonder leur analyse sur des bases solides :

- Le risque est défini comme une menace par rapport aux objectifs ; il importe donc de préciser et de valider ces objectifs, souvent déclinés en sous- objectifs, à l’aune desquels les risques seront appréciés.

- Le risque peut également s’exercer sur les actifs soit tangibles, soit intangibles de l’entreprise ; en l’occurrence, un travail préliminaire de définition s’impose dans ce domaine.

Une mise en place correcte de ces bases est nécessaire afin de hiérarchiser valablement les risques, car l’impact réel d’un risque 1 agissant sur un objectif A par rapport à un autre risque 2 agissant sur un objectif B est en fait une double analyse de l’importance de A par rapport B, puis de 1 par rapport à 2.

Ces travaux doivent permettre de créer un « risk model », c’est-à-dire un catalogue des risques potentiels. Une normalisation du vocabulaire utilisé est nécessaire au bon déroulement de toute démarche de gestion globale des risques, et la cartographie permet de formaliser l’ensemble. Idéalement, ces risques seront reliés aux objectifs, avec des exemples et des éléments préliminaires d’analyse sur leur impact, leur fréquence, et une évaluation du niveau de maîtrise. Un modèle de risques génériques est donné en annexe.

Hiérarchisation

La hiérarchisation des risques peut être également conduite de différentes manières, soit par l’équipe projet et des experts ou, par exemple, par un groupe de validation composé des membres de la direction de l’entreprise.

La hiérarchisation menée par l’équipe projet et des experts est l’approche la plus facile à conduire. Elle est souvent choisie en raison de la difficulté de mobiliser des dirigeants ensemble pour des séances de travail longues. Elle doit se fonder sur l’analyse la plus rationnelle possible des risques. Dans la pratique, elle est difficile à mettre en œuvre pour des cartographies stratégiques et « macro » (les vingt-cinq plus gros risques de l’organisation) en raison de l’interpénétration dynamique des objectifs entre eux et de la transversalité entre les différents risques. En revanche, pour des travaux plus « fins », cette approche est mieux adaptée.

L’approche qui semble recueillir un consensus en France est celle reposant sur des ateliers de travail avec la direction générale qui, sur la base de travaux d’identification auxquels elle aura participé, assumera pleinement son rôle en validant les risques possibles et en les hiérarchisant. L’expérience a montré que, pour une meilleure appropriation de la démarche par les dirigeants et un meilleur suivi des plans d’actions, la hiérarchisation des risques est bien plus efficace lorsqu’elle est menée en atelier.

La préparation et l’animation de ces ateliers peuvent varier significativement d’un projet à l’autre en fonction de la méthode et des outils utilisés (ils peuvent durer une seule journée). Ces ateliers sont animés par des spécialistes, qui utilisent la dynamique de groupe, et vont concentrer les discussions sur les sujets majeurs de façon concrète, en assurant une homogénéité aux débats. Les discussions menées dans ces ateliers sont l’occasion d’échanges riches et constructifs, et également de choix sur les priorités du management. Ce travail en groupe permet une validation directe des résultats. Ces travaux de hiérarchisation prennent en compte les options suivantes décrites ci-après :

♦ Le degré de finesse de l’analyse résulte des objectifs donnés par la direction.

Les travaux consistent à filtrer et hiérarchiser successivement des listes de risques plus ou moins détaillées. Ce tri s’accompagne souvent d’un regroupement des risques de même nature, le degré de finesse étant in fine déterminé par le nombre de risques désiré en globalité.

♦ Les axes de mesure et de hiérarchisation dépendent à la fois des objectifs choisis et des méthodes retenues.

Les critères les plus utilisés sont :

- « importance par rapport à l’atteinte des objectifs » en se positionnant – ce qui n’est pas aisé -, sur l’analyse des risques inhérents, c’est-à-dire dans un scénario où le risque se réalise totalement. Cette importance peut s’apprécier en fonction de critères financiers, d’impact sur l’image ou sur les employés, . . .
- « appréciation du niveau actuel de maîtrise », permettant de mettre en avant les risques que l’on pense ne pas bien traiter dans l’organisation, que ce soit en anticipation, contrôle a priori ou gestion de crise le cas échéant. Ce critère permet de se projeter directement dans l’action.
- « fréquence d’apparition ». S’il faut rejeter absolument toute notion de probabilité (qui, d’une part, est difficile à apprécier pour un grand nombre de risques, d’autre part, peut conduire à ne pas surveiller des risques rares), il peut être utile de s’interroger sur la fréquence (tous les jours, tous les ans, une fois à l’échelle du plan, tous les dix ans…) pour aider à la hiérarchisation de plans d’actions.

Les critères de mesure sur ces axes sont, selon notre expérience, le plus souvent subjectifs, surtout dans une approche de risques majeurs. Certains risques majeurs peuvent être plus objectivement quantifiés, ceux « assurables » par exemple, mais la comparaison globale reste relativement subjective.

Une cartographie peut présenter un nuage de points comme illustré ci-dessous :

Cartographie des risques : Schéma

Cartographie des risques : Schéma

Eléments du succès

La clé du succès est la reconnaissance par chaque membre de l’organisation de la validité de l’analyse. Si le projet est conduit sous forme d’ateliers avec la direction, elle sera de facto convaincue. Par ailleurs, si les travaux ont su garder un caractère opérationnel et concret, la matrice devrait être reconnue par tous, et les objectifs alloués à l’exercice de cartographie devraient être atteints (à savoir la création d’un référentiel commun, connu et compris, la promotion du contrôle interne et la meilleure gestion des risques).

Parmi les conclusions de l’équipe projet figurent des propositions de plans d’actions, afin de profiter de la dynamique créée et de répondre aux attentes des participants. L’examen des bonnes pratiques et l’accès à des benchmarks permettent de renforcer la pertinence des propositions d’actions et de mieux les défendre.

Conduire un tel projet de cartographie des risques est une expérience passionnante, qui entraîne l’équipe au cœur des éléments les plus sensibles et les plus intimes de l’organisation, qui permet de jauger des hommes et des organisations, et de faire travailler les principaux acteurs de l’entreprise en leur apportant un axe d’analyse nouveau, pragmatique et pertinent.

Un projet sera in fine gagnant si :

- les résultats sont validés par l’entreprise ;
- des actions de maîtrise des risques sont décidées ;
- la méthode est reprise au-delà du projet et peut « vivre » dans le temps ;
- enfin, un peu sous forme de boutade, si des dirigeants se battent pour récupérer la paternité des travaux réalisés !

Cartographie des risques : Annexe

Cartographie des risques : Annexe

Pierre-Alexandre Bapst
Associé, Ernst & Young, Risk Services

Les commentaires de cet article sont fermés.