La vie de l'ESA

Gestion globale des risques

Selon Jean-Michel Gey, auteur de cet article, publié en 2003 dans la revue « Risques- Les cahiers de l’assurance », l’organisation d’une entreprise peut être divisée en deux grands corps, à savoir un corps opérationnel et un corps financier. Ces deux corps de l’entreprise sont interdépendants, dans la mesure où les décisions prises par un secteur ou un département se rattachant à l’un d’eux ont un impact sur l’activité des secteurs ou départements rattachés à l’autre corps.

Comme la technique dite de « gestion globale des risques » vise à mesurer l’impact que des risques pourraient avoir sur l’ensemble des secteurs de l’entreprise dans le cas où ils se réaliseraient, et que l’identification et la probabilité de survenance de ces risques dépend en grande partie des décisions prises au sein de l’entreprise, il convient, d’une part, de sortir d’une approche exclusivement « de type portefeuille », discriminant les risques en les fragmentant par spécialistes ou silos (approche toutefois utile pour évaluer l’intérêt et l’efficacité de mesures prises dans un domaine spécifique par rapport a des objectifs préétablis) pour adopter une approche plus globale, et d’autre part, de mettre en place une méthode qui puisse permettre d’évaluer les impacts qu’une décision au sein d’un secteur de l’entreprise peut avoir sur les autres secteurs (puisque les différents corps de l’entreprise sont interdépendants).

Cet article met bien en valeur la manière dont doivent s’articuler harmonieusement approche généraliste et approche spécialisée des risques, afin de permettre au Risk Manager d’exceller dans « l’art de gérer l’ensemble des incertitudes générées par de multiples décisions ». Cette méthode combinant harmonieusement approche globale et approche spécialisée des risques est la méthode privilégiée de gestion des risques enseignée par l’Ecole Supérieure d’Assurances, dans le cadre de son « MBA Assurance : Audit et Management des Risques et des Assurances de l’Entreprise » et de son « MBA Risk Management ».

La démarche « gestion globale des risques » : sa raison d’être

La pratique de la gestion des risques évolue. Elle doit s’adapter à la complexité accrue des environnements internes et externes de l’entreprise et faire face à une demande sociétale et économique impatiente, peu encline à accepter les fatalités. Elle devient l’art de gérer l’ensemble des incertitudes générées par de multiples décisions. Pour y parvenir, il impose de disposer d’une démarche et d’une méthode.

Qu’une entreprise crée de la valeur au rythme prévu ou maintienne celle qu’elle a déjà créée dépend des décisions prises et des combinaisons de résultats qui en découlent.

Les résultats de la plupart des décisions restent incertains. Une fois constatés, ils apparaissent généralement supérieurs ou inférieurs à ceux prévus, dans une fourchette plus ou moins large, et se révèlent parfois surprenants. Certains résultats sont indépendants, d’autres se corrèlent positivement ou négativement ; d’autres encore prédominent ou entraînent des réactions en chaîne, ou exercent des effets de levier, ou bien initient des mécanismes en boucle entre décision et résultat.

L’incertitude des résultats et leurs interconnections impliquent que les organisations puissent comprendre à la fois l’intérêt et l’efficacité de chaque mesure prise dans un domaine spécifique, mais aussi l’effet qu’elle induit sur l’ensemble des décisions prises dans d’autres domaines. Une approche discriminante – de type portefeuille – des mesures influant l’entreprise dans sa globalité est un moyen d’accroître l’assurance d’obtenir des résultats en adéquation avec les prévisions.

La démarche « gestion globale des risques » aide les entreprises à adapter leur système de prises de décisions en appliquant les techniques de raisonnement en portefeuille à l’évaluation et à la gestion des risques pris – en les considérant comme des déviations potentielles (positives ou négatives) entre résultats escomptés et résultats réels.

Un groupe se confronte à un nombre assez limité de prises de risques (incluant à la fois des menaces et des opportunités) ; cependant, chacune d’entre elles se manifeste de manière multiple dans divers domaines de l’organisation au sein desquels elles se démultiplient en risques spécifiques (sous-jacents), offrant une variété de résultats possibles, donc d’incertitudes. De ce fait, et par nécessité, l’organisation pratique la gestion de ses risques en la déclinant jusqu’au niveau des responsabilités individuelles.

Une approche plus coordonnée ou de type portefeuille peut alors devenir un problème intraitable, plus particulièrement si l’environnement est dynamique et changeant.

C’est ici que la démarche prend toute son importance : on peut résoudre la question en se dotant d’un cadre conceptuel permettant de raisonner sur les risques, sur leurs méthodes de gestion et en respectant un ensemble d’étapes pratiques.

Le cadre

En considérant l’organisation comme un système ouvert, c’est-à-dire dans lequel tous les participants s’influencent les uns les autres, directement ou indirectement, à des degrés divers, l’organisation proprement dite peut être envisagée comme étant constituée de deux corps principaux – l’un opérationnel et l’autre financier. Les éléments de ces deux corps interagissent entre eux et sous l’influence de deux environnements externes : l’un agissant directement (par exemple, les clients, les fournisseurs, les régulateurs…), l’autre agissant indirectement (les forces de marché, les activistes, les changements démographiques, les modes de consommation, les changements technologiques, etc.).

Les risques globaux de l’entreprise proviennent des dimensions internes et/ou externes de ce modèle de système ouvert. Ces risques et leurs manifestations concrètes sont gérés dans l’entreprise aux niveaux opérationnels, financiers et organisationnels.

Au niveau opérationnel, des décisions stratégiques sont prises pour garder, réduire, diversifier, agréger ou transférer des risques, et des actions sont déclenchées pour prévenir, amoindrir ou se rétablir des conséquences d’un résultat adverse, et pour capitaliser sur les résultats favorables. Des décisions sont également adoptées afin d’ajuster les ratios de coûts fixes aux variations de revenus.

Au niveau financier, les décisions de gestion des risques concernent par exemple la structure du capital et des fonds propres, les allocations de ressources, les structures de prix, les protections financières…

Le risque est aussi géré au niveau organisationnel pour, entre autres, séparer ou combiner divers segments de métiers, gérer des conflits d’inférés, imposer des contrôles ou fixer des équilibres, encourager les synergies, clarifier des responsabilités, établir la fixation de coûts, offrir une plus grande transparence aux parties prenantes de l’entreprise etc.

Le résultat final de la plupart de ces décisions peut être envisagé comme l’échange d’un ensemble de risques contre un autre ensemble de risques, donc comme une transformation et non une élimination ou un transfert de la globalité des risques. Les risques changent de forme et réapparaissent sous d’autres aspects, en d’autres endroits et/ou à d’autres moments. Pour ces raisons, il est important que la méthode de gestion des risques puisse appréhender et englober les initiatives prises dans les domaines organisationnels, opérationnels et financiers qui agissent de concert et dans le temps.

Les décisions prises à ces trois niveaux reposent sur la compréhension qu’ont les décideurs des relations existantes ou non, entre les risques qu’ils prennent et les indicateurs de performance qu’ils utilisent pour actionner la création de valeur de l’entreprise. Cette compréhension est d’autant plus précise que la création de valeur est clairement identifiée, et que l’information sur les facteurs de risques qui l’influencent est disponible. Cette information doit provenir de la surveillance permanente des environnements internes et externes de l’entreprise.

L’interprétation de cette information est déterminée et influencée par les attitudes culturelles individuelles et collectives vis-à-vis des risques, y compris par les moyens informels de communication.

En appliquant ce cadre destiné à comprendre la nature et la gestion des risques – au sens le plus large du terme – des grandes organisations, il apparaît que les décisions qui s’y rapportent sont extrêmement nombreuses. Par conséquent, ce sont autant de raisons pour lesquelles la situation peut mal évoluer ou pas aussi bien que prévu. Les raisons fondamentales sont moins nombreuses ; citons-en quelques-unes des plus critiques :

- l’organisation manque de clarté sur la façon dont la valeur est créée, référencée ou enregistrée (de manière tangible ou intangible), et mesurée ;

- la mesure des performances à haut niveau n’est pas relayée par des mesures de performance à des niveaux inférieurs de l’organisation ;

- les mesures de performance ne sont pas cohérentes avec les objectifs de gestion des risques ;

- la surveillance et l’analyse des informations relatives aux risques internes et externes sont inadéquates ;

- la culture de l’entreprise et les barrières organisationnelles inhibent la circulation d’informations pertinentes vers les décideurs ou font que les signaux d’alertes sont ignorés ou rejetés ;

- la confiance est basée de façon excessive sur la mesure quantitative des risques ;

- il n’y a pas de coordination entre gestion des risques financiers et opérationnels ;

- le besoin en capital n’est pas ajusté au risque ;

- l’organisation est moins diversifiée (risques moins divisés, corrélations) qu’elle ne le croît ;

- le management a du mal à faire la différence entre bonnes et mauvaises décisions et les bonnes et mauvaises conséquences de ces décisions ;

- l’organisation manque de transparence ;

- le degré d’incertitude résultant de l’interaction entre environnement interne et externe n’est pas analysé ou mal compris ;

- il manque à l’organisation le degré de diversité nécessaire pour comprendre et s’adapter à son environnement externe, particulièrement quand ce dernier évolue de façon rapide ou imprévisible ou accroît ses connexions (jeux d’alliances, groupes de pressions interdépendants…).

Trop souvent, les entreprises découvrent ces raisons quand se révèlent leurs symptômes : les résultats ne sont pas ceux attendus, des opportunités sont manquées, les stocks s’accumulent, les gains sont mal évaluas, les actifs sont sur ou sous-appréciés au regard de leurs prix de marché, le coût du capital croît, les parts de marché s’érodent, les rapports clients se transforment peu à peu en litiges, la croissance stagne, une nouvelle stratégie devient impérative, l’image de marque se détériore, et les problèmes s’agrègent ou un désastre survient.

L’objectif de la démarche « gestion globale des risques » est d’identifier ces raisons afin d’anticiper des mesures correctives. Cette prévoyance profite à toutes les parties prenantes de l’entreprise.

Opportunités

Les entreprises soucieuses d’atteindre cet objectif devraient saisir les opportunités d’actions pour améliorer leur risk-management dans trois domaines :

Surveillance des risques

La fonction de risk-management peut être envisagée comme un processus qui assure qu’une information pertinente et fiable soit étudiée au moment opportun, par des personnes idoines, afin de prendre les bonnes décisions rapidement.
L’information transforme l’inconnu en incertitude puis en risque, défini alors comme l’association d’un résultat possible avec sa probabilité de survenance.

Lorsque l’environnement externe évolue, il émet de l’information qui – si elle est analysée – procure un aperçu nécessaire à l’adaptation de l’environnement interne ou à l’influence sur l’environnement externe, permettant d’obtenir un résultat plus favorable.

L’absence d’une information continue se traduit par une surprise – c’est-à-dire le passage instantané de l’inconnu au connu ou de l’incertitude à la certitude.

La surveillance des risques nécessite donc de déterminer quelles informations provenant de l’environnement interne et externe sont susceptibles de renseigner sur les risques (individuels ou en portefeuille), et comment les acheminer à temps sous le bon format. Cette collecte d’informations doit avoir une finesse suffisante pour empêcher les problèmes mineurs de devenir majeurs (signaux d’alerte précoces), mais aussi pour repérer et exploiter des schémas ou des situations favorables à l’entreprise. De la même façon, l’environnement externe indirect doit être activement observé sur une échelle et un horizon temps assez larges afin d’identifier des signaux d’alerte (bons ou mauvais) à l’avance et réagir à temps.

Réussir le système de surveillance des risques garantit la mise en place de beaucoup d’éléments dans la gestion des risques par la suite.

Coordination de la gestion des risques

Les risques sont gérés soit fonctionnellement, pour manager un type particulier de risque, soit comme partie intégrante – parfois sous-estimée ou méconnue – de nombreux autres processus de l’entreprise. Là est le problème, et là réside aussi la solution.

La segmentation de la gestion des risques signifie que les corrélations entre risques peuvent être ignorées et n’être jamais reconnues à temps. Une action rationnelle, entreprise par une division opérationnelle, peut se traduire par un effet qui annihile une action toute aussi rationnelle, mise en œuvre par le secteur financier.

Le point positif est que, en général, toutes les composantes d’une gestion globale des risques existent, chacune possédant sa propre vision sur les risques et leur gestion. Il faut pouvoir encourager la communication et la coordination des efforts de ces éléments aux points de vue différents, et les lier étroitement à une perspective d’ensemble bénéficiant à toute l’organisation. Pour y parvenir, une simple redéfinition ou un ajustement de l’organisation des fonctions de risk-management peut s’avérer suffisante. Dans d’autres cas, il peut être nécessaire de revoir entièrement la structure afin de modifier les procédés utilisés pour réaliser cet objectif.

Initiatives : risques opérationnels et financiers

Des opportunités pour renforcer la gestion des risques opérationnels et financiers peuvent apparaître en repensant la relation « risque – valeur ». Par exemple, il peut être utile d’envisager de prendre des décisions (tactiques, stratégiques) en considérant les risques une fois combinés, plutôt qu’en les analysant individuellement ; ou encore d’utiliser des scénarios au lieu de se baser sur les expériences passées (approche probabiliste plutôt que statistique) pour planifier les efforts de prévention et de réduction des risques. En matière de gestion du capital, on peut chercher à concevoir le risque en le subdivisant en éléments avec des caractéristiques différentes, plus ou moins susceptibles d’attirer plusieurs segments des marchés d’assurance ou de capitaux (de nombreux éléments de risques, intégrés dans la dette et les fonds propres, devraient être décomposés, extraits et placés dans des marchés d’assurance adéquats).

Etapes

Des opportunités d’amélioration de gestion des risques apparaissent (avant de devenir évidentes) aux organisations qui font initialement l’effort d’identifier leurs risques à l’échelle de l’entreprise dans sa globalité, puis, ensuite, d’examiner de façon critique comment ces risques identifiés se manifestent et peuvent être utilisés à la fois comme des menaces et des opportunités. Il s’ensuit les étapes suivantes :

Comprendre : valeur et environnement

Il faut commencer par comprendre, avec précision, comment l’organisation et ses diverses parties opérationnelles et financières créent et enregistrent de la valeur aussi bien sous une forme tangible (actifs physiques ou financiers) qu’intangible (savoir-faire, capacités d’actions, relations. . .). Il est aussi crucial de comprendre comment cette valeur est mesurée au travers de l’organisation, à partir d’indicateurs clés de performance. En complément, il est important d’avoir accès à un niveau élevé de compréhension des environnements internes et externes (directs et indirects) et savoir comment ces éléments interagissent.

La valeur détermine ce qui est en risque ; les environnements indiquent les sources des risques. Ensemble, ils fournissent le contexte de l’identification globale des risques, de leurs mesures et de la base nécessaire pour coordonner et équilibrer les initiatives prises dans les domaines organisationnels, opérationnels et financiers.

Identifier et évaluer

On peut identifier les thèmes majeurs de risques en s’appuyant sur des méthodes basées sur l’expérience et sur l’analyse des environnements. L’ensemble des thèmes devrait être exhaustif (c’est-à-dire couvrant l’ensemble des façons dont le risque peut se manifester) sans être nécessairement mutuellement exclusifs (par exemple la même manifestation peut survenir à partir de thèmes multiples ou par une convergence de thèmes). La méthode basée sur l’expérience utilise le savoir acquis sur les risques et examine les effets de ceux-ci sur l’organisation ; la méthode basée sur l’analyse de l’environnement se fonde sur la connaissance de l’organisation et de son environnement, puis explore ce qui devrait arriver pour que les choses se passent mal (ou bien) et posent un problème (ou créent une une opportunité). Ces deux méthodes sont enrichies par une mise en perspective, moins dépendante des implications journalières de la conduite des affaires.

Des menaces et des opportunités peuvent simplement ne pas être visibles de l’intérieur de l’organisation. L’estimation des thèmes de risques doit rester à un niveau élevé et se concentrer sur la compréhension des facteurs principaux qui influencent ces thèmes. A ce niveau, une modélisation quantitative rigoureuse des risques n’est généralement pas nécessaire. Il est aussi important de ne pas chercher à attribuer les risques à des catégories traditionnelles, car ceci pourrait avoir tendance à inhiber de nouveaux raisonnements.

Examiner au travers de l’organisation

Cette étape nécessite de poser un certain nombre de questions au niveau des unités opérationnelles et domaines fonctionnels de l’organisation (dans les deux cas jusqu’au niveau le plus bas où sont effectués la planification et le budget).

l . Manifestation : quels domaines opérationnels et financiers sont affectés par chacun des thèmes de risques et comment sont-ils affectés ? D’autres problèmes de risques se manifestent-ils ? Quelles relations entre les résultats de ces risques et les mesures des performances ?

2. Surveillance : quels sont les facteurs qui actionnent les diverses manifestations des thèmes de risques ? Quelles informations sur les environnements internes et externes sont collectées et analysées en vue de surveiller ces facteurs ? Comment cette information est-elle partagée avec le reste de l’organisation ?

3. Modélisation : quels sont les risques quantifiés/modélisés ? Comment le sont-ils ? A quel horizon temps ? Quelles sont les hypothèses utilisées ? A quelle fréquence les prévisions sont-elles revues ? Comment ces modèles sont-ils utilisés pour prendre des décisions ?

4. Management : comment les manifestations des thèmes de risques sont-ils managés aux niveaux organisationnel, opérationnel et financier ? Quelles mesures de performance sont entreprises ? Comment la gestion des risques est-elle coordonnée au sein de l’organisation, entre les différents thèmes de risques et à travers le temps ?

Conclusion

Répondre à ces questions rend la gestion des risques explicite, et, de ce fait, produit la connaissance nécessaire à l’organisation, lui permettant d’ajuster la surveillance et la gestion de ses risques en fonction de menaces et d’opportunités changeantes.

Avant d’engager ces étapes, la démarche générale « gestion globale des risques » doit être managée par la direction. Un support élargi se matérialisera lorsque les personnes établiront le lien avec la création de valeur et dès lors que les opportunités d’améliorer la gestion des risques se réaliseront. La démarche s’ « auto » portera quand elle sera perçue comme un moyen permettant de prendre et de gérer des risques pour créer et protéger de la valeur. A terme, elle doit devenir une partie intégrante des processus de l’entreprise.

Le but ultime de cette démarche est de servir simultanément de système immunitaire du « groupe », identifiant et neutralisant les menaces, et de processus par lequel une organisation s’adapte continuellement aux changements de son environnement afin d’assurer la continuité de sa création de valeur.

Cela n’est pas vraiment un concept nouveau ! C’est simplement une façon supplémentaire de pratiquer l’art du bon management.

Jean-Michel Gey
Responsable Consulting risques stratégiques, Marsh SA

Les commentaires de cet article sont fermés.