Régulièrement, a minima une fois par an, il importe d’identifier et d’évaluer les risques auxquels peut être soumis l’entreprise. Si elle n’a pas été initiée, la démarche d’identification est la même. Ce travail est le préalable d’une démarche de gestion des risques.

D’abord, il est bon de rappeler qu’un risque est l’effet de l’incertitude sur l’atteinte des objectifs. De ce fait, le risque est associé aux objectifs de l’organisation.

Selon l’importance du risque (stratégique, majeur ou opérationnel), les techniques et outils pourront être différents. J’évoquerai dans cette note les risques stratégiques, puis dans de prochaines notes les risques majeurs et enfin les risques opérationnels.

Les risques stratégiques sont dans la hiérarchie des risques d’entreprise parmi les plus critiques. Au-dessus, on considère les risques extérieurs à l’entreprise que sont les risques géopolitiques ou économiques. Ces derniers sont des risques où l’entreprise n’a que peu de leviers de maîtrise, si ce n’est abandonner une activité ou quitter un pays où elle est implantée.

hierarchie-types-de-risque

Source : Jean-David DARSA, Risques stratégiques et financier de l’entreprise, GERESO Editions.

Ainsi, pour identifier les risques stratégiques, il faut se documenter. La première étape est d’obtenir la stratégie de l’entreprise et sa déclinaison en objectifs principaux. Pour chacun des axes stratégiques, vous pouvez réaliser une étude SWOT (Strengths/forces, Weaknesses/faiblesses, Opportunities/opportunités, Threats/menaces) répertoriant et analysant les forces et faiblesses (internes) de l’entreprise pour atteindre ces objectifs et les opportunités et menaces (extérieures) qui peuvent favoriser ou défavoriser cette atteinte. N’hésitez pas à déceler si des objectifs sont contradictoires les uns par rapport aux autres, ou s’ils ne sont pas SMART (Spécifique, Mesurable, Acceptable, Réaliste ou Pertinent, Temporellement défini).
Aussi, réalisez ou récupérer une étude qui recense les éléments environnementaux à l’entreprise en termes sociaux, économique, réglementaire, concurrentiel, technologique… Une fois que vous avez l’ensemble de ces informations, vous pouvez apporter votre plus-value en identifiant les risques pouvant porter atteinte à la stratégie et à la réussite des objectifs. Ils pourront être internes comme externes à l’entreprise.

Ensuite, les risques identifiés doivent être évalués. On considère les impacts financiers, légaux et réglementaire, clients et image-réputation. Des échelles de 3 à 6 niveaux d’impact peuvent être définis, par exemple : faibles, modérés, significatifs, sérieux, critiques ou catastrophiques. L’objectif est d’en avoir le moins en catastrophiques, sinon l’entreprise a peut de chance de passer l’année. Cette mesure des impacts est à corréler à la fréquence de survenance ou de probabilité de survenance, de 3 à 6 niveaux, par exemple : plus d’une fois par mois, par an, une fois tous les 5 ans, tous les 10 ans). Ces échelles doivent être validées par la Direction générale ou le Conseil d’administration. Ces seuils font partie de l’appétence au risque.
En croisant la synthèse des impacts et la fréquence mesurés, vous obtenez la criticité. Cette criticité peut être le résultat de l’impact par la fréquence (IxF), ou de l’impact par le double de la fréquence (Ix2F), à déterminer et valider par la gouvernance.

Ces risques sont bruts, c’est-à-dire qu’ils sont évalués sans mesurer la dispositif de maîtrise des risques mis en place par l’entreprise. Un risque net, c’est-à-dire un risque qu’il faudra gérer par la suite, sera déterminé par le croisement entre le risque brut et le dispositif de maîtrise des risques (DMR). Vous pourrez ainsi construire une cartographie des risques ou une matrice des risques, sujet que nous verrons dans une prochaine note.

L’évaluation du dispositif de maîtrise des risques stratégiques peut porter sur les critères suivants : la gouvernance, l’organisation, la documentation, les systèmes d’informations, la conformité/réglementaire, le contrôle et l’audit, les indicateurs.
La gouvernance s’entend en termes notamment de comitologie, c’est-à-dire l’existence, la tenue et l’intégration des sujets en question dans les ordres du jour et les comptes-rendus d’assemblée générale, de conseils d’administration, de comités ou de commissions dédiés. Ainsi, un risque stratégique peut nécessiter d’être régulièrement évoqué en conseil d’administration en ce sens qu’il complète l’indicateur d’atteinte de l’objectif. Si l’objectif est de prendre 2 points de part de marché sur un an, il importe qu’au-delà de la donnée, des éléments de compréhension sont apportés aux administrateurs pour expliquer en quoi, l’entreprise n’a pas pris ces 2 points. L’organisation est comprise dans le sens où des directions ou des services sont dédiés à une activité, une partie du process et qu’ils sont suffisamment staffés pour cela en termes d’ETP, d’experts ou de managers.
La documentation comprend les politiques validées par le Conseil d’administration, leurs déclinaisons en processus, procédures, modes opératoires. Les systèmes d’informations, lorsqu’ils sont nécessaires, sont à appréhender en termes d’efficacité, d’efficience, d’adaptabilité ou encore d’obsolescence. En effet, si vous avez pour objectif de développer une activité, mais le SI n’est plus maintenu et n’est donc plus évolutif, cela peut porter préjudice à l’objectif.La conformité rejoint un peu la documentation, mais elles s’attache à l’absence d’écarts avec les dispositions réglementaires ou administratives et aux actions de mises en conformité. Le contrôle correspond, s’il y en a, aux résultats du plan de contrôle de 2nd niveau menés par le contrôle interne et aux missions d’audit menées en interne ou par des cabinets extérieurs. Enfin, les indicateurs permettent de voir s’ils existent pour mesurer l’objectif. Eux aussi, doivent être SMART.

Pour l’ensemble de ces critères, vous pouvez définir ici aussi des seuils à faire valider par la gouvernance. Pour l’ensemble des critères, ils peuvent être de 3 à 6 niveaux. Néanmoins, il faut que cette échelle soit cohérente avec l’évaluation du risque brut. En effet, il vaut éviter d’avoir 3 niveaux de criticité et 6 niveaux de maîtrise. Ainsi, vous pourrez avoir des dispositifs de maîtrise cible, incomplet, limité, faible, inexistant.

En croisant la criticité et l’évaluation du DMR, vous obtenez des risques nets, et surtout les différents niveaux de priorisation. Il y a des risques prioritaires qui ont des criticités élevées et un DMR faible, des risques à surveiller avec des criticités peu élevées et un DMR faible, des risques à rendre plus efficients et moins coûteux avec des criticités peu élevées et un DMR cible ou incomplet, et enfin des risques à auditer avec des criticités élevées et un DMR cible ou incomplet. Les risques prioritaires seront ceux qui nécessiteront des plans d’actions ou des projets pour soit réduire leur criticité, soit renforcer leur DMR.

Une fois ce travail d’identification et d’évaluation accompli, vous pourrez construire une cartographie ou matrice des risques stratégiques à présenter au Directeur des risques et au Directeur général pour valider votre analyse. Aussi, vous pouvez être amené à présenter ce travail aux membres du Directoire, Comité exécutif ou Comité de direction de l’entreprise. Ce n’est qu’une fois cette identification et évaluation validée que vous pourrez participer à l’élaboration du plan d’action pour les risques qui le nécessite et au suivi régulier des autres risques.

Jérôme Charré

Share This