Résumé Depuis quelques années, la gestion des risques est devenu un enjeu majeur du fait des évolutions sociologique et technologique de nos sociétés.
télécharger 176.96 Kb.
|
A)Quelle place pour un pilotage de gestion du risque dans l’entreprise ?Une fois l’analyse des risques effectuée, le risk manager évalue une marge de manœuvre afin que les dirigeants puissent décider d’une politique d’entreprise en toute connaissance de cause. Pour cela, le risk manager pilote le dispositif permanent de gestion du risque dans l’entreprise et en collaboration avec la direction, manage les actions de maîtrise et la gestion des crises.
Le risk manager pilote une structure d’ajustement permanent chargée de gérer le dispositif au quotidien, de le surveiller au bon niveau (audit et gouvernance), et d’agir en cas de crise. Cinq étapes rythment la gestion du dispositif : le diagnostic, la conception, la mise en oeuvre, le management et l’audit. Concernant ce dernier point, le risk manager est chargé de définir le programme en termes de régularité, d’efficacité, de management et de stratégie. En outre, il conduit les missions d’audit, c’est-à-dire qu’il prépare, réalise, restitue les résultats, et met en place un plan d’action. Il élabore enfin un bilan annuel d’audit. Enfin, le risk manager doit non seulement piloter le projet, mais également communiquer afin de favoriser une appropriation de la démarche au sein de l’entreprise. Il entretient des liens privilégiés avec le Conseil d’administration, le Comité de Direction mais également avec des acteurs opérationnels comme des auditeurs et des consultants extérieurs. Il conseille mais ne prend aucune décision stratégique lui-même ; il a un rôle de sensibilisation et d’information des acteurs confrontés au risque à travers une double tâche de conseil aux dirigeants : quant aux risques auxquels est soumise l’entreprise du fait de son activité, et quant aux risques auxquels elle s’expose du fait de ses décisions stratégiques. Cette mission de communication et de sensibilisation ne concerne pas uniquement les dirigeants, mais tous les acteurs de l’entreprise.
L’élaboration d’une stratégie de gestion des risques est un exercice complexe qui nécessite de tenir compte de risques externes à l’entreprise, liés notamment à la globalisation de l’économie et aux risques majeurs hors de portée de l’entreprise ; de comprendre le cycle de gestion qui intègre les partenaires amont et aval (clients et fournisseurs), dans un environnement complexe en interaction avec l’entreprise et les autres parties prenantes ; et enfin d’analyser le cycle de vie des produits Cette démarche se rapproche de l’analyse traditionnelle dans le monde industriel mais est plus récente dans le domaine de la gestion et de l’économie. Elle doit intégrer les nouvelles exigences en matière d’attentes du marché et de corporate gouvernance, le risk management devenant un élément constitutif du « capital confiance » dans les entreprises, au même titre que les certifications qualité. Il existe différentes stratégies de gestion du risque, présentées ici par ordre croissant de coût :
Si le transfert par la conclusion d’un contrat d’assurance est aujourd’hui un passage obligé pour les entrepreneurs, la stratégie de la réduction n’est pas encore pratiquée par tous. On peut cependant voir à travers cette classification qu’elle présente un rapport qualité / prix plus que satisfaisant. Pour être efficace, cette stratégie doit s’inscrire pleinement dans la stratégie de l’entreprise. Or, la perception du risque est très liée à la culture d’entreprise mais aussi du pays. Il semble ainsi que dans les pays anglo-saxons, les chefs d’entreprise adoptent une attitude très sécuritaire dictée par la crainte de poursuites pénales liées à leur responsabilité. En revanche, l’humanisme français accorde une plus grande place à la négociation notamment en matière sociale. Afin de faire vivre cette nouvelle culture au sein de l’entreprise, le risk manager doit faire preuve d’importantes qualités psychologiques. La consultante senior qu’assistait la personne que nous avons interrogée avait ainsi une formation initiale en psychologie complétée par une formation en management technologique, dominante finances. Elle nous confie que même sur un audit très technique dans le domaine informatique, cette mission a plus fait appel au contact humain et à l’intelligence qu’aux connaissances informatiques. La psychologie sert en premier lieu à savoir questionner les gens et à dresser la cartographie des acteurs en présence. En effet, si le risk manager rencontre en général le soutien de la direction qui a choisi de le missionner pour améliorer la rentabilité de l’entreprise, l’accueil des audits est plus mitigé auprès des employés et des cadres qui voient en lui un contremaître qui traque les dysfonctionnements de leur travail, une source de pression. Craignant pour leur poste, ils ont tendance à vouloir résoudre des difficultés éventuelles seuls, sans lui en faire part. Ainsi, selon le risk manager interrogé, ils auraient tendance à mentir lors des audits pour masquer ces dysfonctionnements et il est nécessaire de vérifier la véracité de leurs propos. Pour cela, l’auditeur doit posséder une bonne maîtrise des processus et dans son cas des systèmes d’information boursiers. Sur une technologie, une plateforme, il doit connaître les caractéristiques, les risques ou les problèmes induits. C’est pour cette raison que les risk managers ont en général 15 ans d’expérience. Il existe également un risque de biais de l’audit du fait des relations entre le risk manager et l’audité. C’est pourquoi quand la fonction est intégrée en interne, elle est transversale, le risk manager ne dépendant pas hiérarchiquement des personnes qu’il audite. Quand elle est confiée à un prestataire externe, on peut craindre que l’auditeur essaye de ne pas trop critiquer l’entreprise pour être sûr de conserver son marché d’audit. Dans ce cas, c’est le risk manager qui risque son poste, ou la crédibilité du cabinet d’audit qui est en jeu, en cas de concrétisation d’un risque qu’il n’aura pas été capable de détecter. |
