Alors que dans les conversations d’affaires, le risque est souvent associé à un sacrifice nécessaire pour réussir, la gestion des risques d’entreprise s'impose comme une discipline essentielle à toute organisation qui souhaite pérenniser la valeur qu’elle crée. Explications.

Loin d'être un simple exercice théorique, la gestion des risques constitue en effet une démarche pragmatique (avec des méthodologies et des outils) et accessible qui permet de cibler, évaluer et traiter les menaces auxquelles une entreprise peut faire face.

Mais qu'est-ce qu'un risque, exactement? C'est d'abord une perte potentielle de valeur. La valeur en question peut être économique (dans le cas d'une entreprise) ou sociétale (en rapport, par exemple, à un organisme gouvernemental). Cette définition, simple en apparence, comporte deux dimensions essentielles.

- La probabilité que cette perte se matérialise, c'est-à-dire que l'événement qui provoque cette dernière arrive bel et bien.

- L'incidence de cette perte : les conséquences négatives – chiffrées, de préférence – si l'événement menant à la perte survient.

Il y a aussi une troisième dimension, parfois utilisée, qu'on appelle la vélocité, c'est-à-dire la vitesse de l'événement lorsqu'il se produit. Un exemple éminemment réel ici :  la COVID-19 avait une probabilité moindre, une incidence très élevée ainsi qu'une vitesse qui l’était tout autant, comparativement à d'autres événements de perte.

Le processus de gestion des risques s'articule généralement autour de cinq étapes précises :

1 - L'identification des risques. Qu'est-ce qui peut provoquer une perte? Qu'est-ce qui la cause? Quelles en sont les conséquences?

2 - L'analyse et l'évaluation des risques. Il s’agit ici d’établir les dimensions décrites plus tôt, à savoir la probabilité et l'incidence.

3 - La réponse à chaque risque. On peut accepter le risque pour un certain temps, sinon l'atténuer, c'est-à-dire appliquer des remèdes qui en réduisent soit la probabilité, soit l'incidence, soit les deux, tout cela en prenant soin de s'assurer que ces remèdes sont durables et efficaces tout du long.

4 - Le suivi des risques. Cela consiste à surveiller, par le biais d’indicateurs adéquats, l'évolution du risque. Parfois, ce dernier peut se réduire, voire disparaître complètement… ou tout le contraire!

5 - La communication sur les risques. Il est essentiel d'éduquer, de manière claire et régulière, l'organisation et tous ses membres qui s'exposent au risque.

L'appétence au risque constitue un autre concept fondamental. Elle définit le niveau de risque qu'une organisation est prête à accepter pour atteindre ses objectifs. Cette notion varie considérablement en fonction des secteurs d'activité, de la culture d'entreprise et de la stratégie adoptée.

Les types de risques

En pratique, les risques auxquels une organisation fait face peuvent être classés en plusieurs catégories; c’est ce qu’on appelle la taxonomie des risques. Cette répartition facilite la distribution des responsabilités tout en structurant les discussions selon le thème et l’enjeu.

Risques stratégiques

Ces risques concernent les décisions qui affectent la mission et les objectifs globaux de l'organisation. Ils peuvent inclure :

- L'entrée de nouveaux concurrents sur le marché

- Les changements dans les comportements des consommateurs

- Les innovations technologiques disruptives

- Les évolutions réglementaires majeures

Un exemple concret : une chaîne de librairies traditionnelles qui doit faire face à la montée en puissance des plateformes de vente en ligne et des livres électroniques. Ne rien faire de son côté serait s’exposer à un risque stratégique majeur, qui serait le dépôt de bilan au bout de plusieurs années de pertes.

Risques financiers

Ces risques concernent la gestion des actifs financiers de l'organisation :

- Le risque de crédit (défaut de paiement)

- Le risque de liquidité (incapacité à honorer ses engagements à court terme)

- Le risque de marché (fluctuations défavorables des prix, des taux d'intérêt, etc.)

- Le risque de change (pour les entreprises qui exercent leurs activités à l'international; un sujet on ne peut plus d’actualité pour les entreprises canadiennes en ce moment même)

Dans la pratique, une petite ou moyenne entreprise (PME) risque de se retrouver en difficulté majeure si son principal client, qui représenterait 40 % de son chiffre d'affaires, fait faillite. Il s’agit non seulement d’un risque financier, mais aussi d’un risque stratégique subséquent.

Risques opérationnels

Ces risques sont liés aux processus internes, aux systèmes, aux personnes et aux chocs externes :

- Les défaillances des systèmes informatiques

- Les erreurs humaines ou fraudes

- Les problèmes des chaînes d'approvisionnement

- Les catastrophes naturelles ou les pandémies

Voici un exemple simple : une usine qui subirait une panne électrique majeure, paralysant la production pendant plusieurs jours.

D'autres catégories importantes incluent les risques de conformité (liés au non-respect des lois et règlements) et les risques de confiance de marché, communément appelés «risques de réputation» (atteinte à l'image de l'entreprise).

Standards et cadres référentiels internationaux

Pour rendre la gestion des risques concrète et applicable, les gestionnaires peuvent s'appuyer sur divers standards internationaux qui offrent des approches structurées et éprouvées.

Pourquoi utiliser des standards internationaux?

Pour un gestionnaire, ceux-ci ne constituent pas que de simples documents théoriques, mais bien de véritables boîtes à outils opérationnelles qui permettent notamment :

- d’éviter de «réinventer la roue», en s'appuyant sur des décennies d'expérience collective;

- de parler un langage commun avec toutes les parties prenantes, ainsi qu’avec des collaborateurs externes;

- de faire preuve d’une diligence raisonnable auprès des auditeurs et régulateurs;

- de structurer méthodiquement l'approche des risques dans l'organisation.

Les principaux référentiels utilisés par les gestionnaires

Il existe plusieurs cadres reconnus, chacun ayant ses spécificités.

ISO 31000 propose une approche pragmatique et adaptable à toute organisation. Pour un gestionnaire, son intérêt réside dans sa flexibilité et sa facilité d'intégration aux processus existants. Par exemple, un responsable d'usine pourrait utiliser cette norme pour déterminer systématiquement les risques liés à la mise en place d'une nouvelle ligne de production en impliquant les opérateurs de terrain.

De son côté, COSO ERM offre une vision plus orientée vers la gouvernance et le contrôle interne. Prenons un directeur financier; il serait possible pour lui de s'en servir pour dresser une carte claire des risques financiers et de leurs répercussions potentielles sur les objectifs stratégiques de l'entreprise, puis d’assigner des responsabilités précises pour chaque risque établi.

D'autres référentiels propres à certains secteurs donnés apportent une valeur spécifique, pointue. En voici des exemples.

- BASEL, pour le secteur bancaire, traduit concrètement les risques en exigences de capital pour les institutions financières. Pensez ici : si crise financière il y a, de quel montant de fonds disposons-nous pour y faire face?

- NIST, pour la cybersécurité, permet d'évaluer et gérer les vulnérabilités informatiques. Cela aide à mesurer la maturité des protections existantes et à guider les améliorations nécessaires.

- PMI Risk Framework, pour la gestion de projets, facilite l’intégration des risques dans la planification et le budget. En général, les risques liés à un projet ont à voir avec ses paramètres clés, à savoir : ce qu'on doit livrer, quand il faut le faire, et combien cela coûtera.

Étapes pratiques pour les gestionnaires

 

En pratique, un gestionnaire efficace ne suit pas un seul standard de manière rigide et précise; il adopte plutôt une approche hybride et pragmatique.

1 - Cartographie visuelle des risques : créer un visuel simple et qualitatif accessible à tous les collaborateurs. Le compléter par un ratio probabilité-incidence lorsque les risques sont tous identifiés et les relations, établies.

2 - Responsabilisation claire : désigner un «propriétaire» pour chaque risque important.

3 - Indicateurs d'alerte précoce : définir des seuils concrets qui déclenchent une action (par exemple si le délai de paiement moyen dépasse 60 jours).

4 - Intégration de l’évaluation des risques aux interactions régulières : consacrer systématiquement 10 minutes dans chaque réunion d'équipe aux risques émergents. Cela ouvre la discussion et permet aussi de lier l’actualité à l’entreprise, car après tout, les choses n’arrivent pas qu’aux autres.

5 - Documentation simple : maintenir un registre des risques dans un format clair pour tout le monde. La qualité est toujours supérieure à la quantité.

Imaginons ici que vous êtes un responsable d'usine. Vous pourriez afficher sur le site intranet, ou à certains endroits dans l’usine, un tableau simple et visuel des principaux risques opérationnels qui seraient expliqués en langage courant, avec leur statut actuel et les mesures de réponse en cours.

Développer une culture du risque

En résumé, la gestion des risques n'est pas une science exacte, mais bien une discipline d’affaires pragmatique qu’il est possible d’adapter aux spécificités de chaque organisation. Les entreprises qui réussiront le mieux dans ce domaine sont celles qui parviendront à l’intégrer au sein même de leur culture et de leurs processus de prise de décision quotidiens, faisant de cette pratique non pas un exercice de conformité, mais plutôt un véritable levier naturel de performance et de résilience.