Même si les risques peuvent concerner, au premier abord, untel la réputation, un autre les ressources humaines, un autre encore la technologie, ils sont toujours, en dernier lieu, des menaces pour la compétitivité de l’entreprise. Pourtant, il est encore fréquent que le management des risques soit considéré comme une fonction secondaire, alors qu’il est indispensable qu’il soit au cœur du pilotage stratégique : ce n’est pas parce qu’on envisage le pire qu’il survient, c’est exactement le contraire.
Le management des risques nécessite un soutien actif des plus hautes instances, une communication soutenue entre les différents acteurs ainsi qu’un travail de mise à jour permanent.
Quelles sont les différentes facettes du management de risques ? Comment transférer un maximum de risques, et comment réguler ceux qui ne sont pas transférables ?
Faire l’énumération des risques revient à un inventaire à la Prévert, mais le premier geste d’un manager spécialisé consiste à les classer, selon qu’ils soient internes : infrastructure, personnel, technologies… ou externes : économique, écologique, politique ; selon qu’ils concernent des actifs non financiers ou financiers, etc.
Cette réflexion globale sur les risques amène ainsi à rassembler des questions (les taux de crédit, la qualité, les litiges contractuels, les accidents de travail, le contexte concurrentiel,…) qui gagnent à être gérées de manière centralisée et formalisée.
Il est notamment crucial de déterminer comment les interactions avec tous les partenaires : clients, fournisseurs, banques, sociétés civiles, administrations…, structurent l’activité et sont donc des zones de fragilité à protéger.
Pour construire cette connaissance, le responsable des risques utilise bien sûr l’historique de la sinistralité, mais aussi tout le savoir existant dont disposent les services de l’entreprise – financier, juridique, RH, hygiène et sécurité, audit interne – afin d’estimer le potentiel impact des différents risques ainsi que leur probabilité de survenance. La cartographie qui en ressort va permettre de diriger l’attention et les moyens vers les risques qui en valent vraiment la peine et d’élaborer la ou les stratégies adaptées à chacun de ces risques.
Le manager des risques doit alors convaincre la direction générale de réaliser les investissements pluriannuels pour financer une politique susceptible d’ aboutir à un niveau de sécurité optimum. Il est l’ordonnateur de la gouvernance générale et coordonnée de l’ensemble des risques.
Pour le suivi de ces politiques, la gestion de l’information est un enjeu central. Un travail important consiste à mettre en place des outils de collecte et de partage de l’information, en interne comme avec les clients et les fournisseurs. Parmi les moyens les plus efficaces, on trouve : des tableaux de bord de la sinistralité, l’analyse des litiges contractuels, la formation et l’animation d’un réseau de correspondants qui répandent la culture de prévention du risque tout en informant des problèmes rencontrés sur le terrain. « Un élément-clé de notre travail, explique Wilfrid Robbiano, responsable juridique de COFLEC Groupe DEF, consiste à communiquer de la manière la plus concrète et pédagogique avec les opérationnels. Nous leur parlons contrats, couvertures, et engagements pour les sensibiliser aux enjeux juridiques de leurs activités. Petit à petit, ils nous considèrent comme des alliés et plus comme des théoriciens du Droit ayant pour vocation de bloquer les dossiers ou les affaires. Ils comprennent notamment qu’il n’y a pas de « petits » contrats avec des « petits » risques, surtout dans notre domaine de la détection incendie, où un contrat à 500 € peut se terminer avec un sinistre à plusieurs millions d’euros voire du pénal ».
« Nous constatons que la sensibilisation fonctionne et qu’elle nous amène en retour un flux d’informations de la part des opérationnels qui viennent nous voir pour anticiper, pour des conseils. C’est toute l’entreprise qui gagne en sécurité sur ce qui est fait ».
Éviter le risque :
Le moyen le plus sûr et le plus radical de ne pas courir un risque est de l’éviter. Lorsque le risque est trop grand, on peut décider d’abandonner un segment d’activité, de se retirer d’un pays, de ne pas développer tel projet. Une telle décision demande beaucoup de détermination, mais elle est également un frein au développement de l’entreprise, et il convient donc de ne l’envisager qu’en dernier ressort. Les autres options sont moins radicales et visent à ramener les risques à un seuil acceptable de tolérance.
Réduire le risque :
Un des instruments privilégiés du management des risques tient à la mise en place de mesures de protection et de prévention. Celles-ci visent à réduire l’impact d’un comportement inadapté – sur une chaîne de production par exemple – ou d’un dysfonctionnement. Les plus évidentes concernent la protection contre la cybercriminalité ou les risques incendies, mais il en existe bien d’autres : « nous avons une procédure, explique Georges Filleau-Laporte, chef de service Risk Management à Bureau Veritas, qui détermine, selon le montant en jeu, le rang de la personne qui devra signer chaque contrat ».
Chargé de faire évoluer les mentalités et les comportements au sein d’une entreprise, le manager des risques doit être capable d’expliquer le bien-fondé de sa démarche et de trouver les arguments qui convaincront l’ensemble des salariés de la nécessité de modifier leurs habitudes.
« Nous sensibilisons tous les collaborateurs aux impératifs de la gestion des risques, continue Georges Filleau-Laporte, et plus nous avançons, plus nous découvrons l’utilité d’une telle démarche. Nous mettons un accent tout particulier sur les contraintes de nos agréments ministériels en matière de conflits d’intérêts, ainsi que sur le cadre de la sous-traitance : savoir choisir la co-traitance quand c’est nécessaire, éviter la dépendance économique de nos sous-traitants ».
Il faut donc faire preuve de conviction et se montrer pédagogue de manière à ce que chacun ait conscience de ses responsabilités et de ce qui est attendu de lui. Pour cela, le manager des risques se rend sur les différents sites pour des visites, des conférences, des actions de formation, et contribue à développer une culture du risque auprès de tous les collaborateurs de l’entreprise sans distinction de hiérarchie.
Transférer les risques :
1) L’assurance :
La première méthode de transfert concerne les risques financiers et passe bien sûr par l’assurance. Bien que ces deux domaines sont encore parfois gérés séparément, la gestion des assurances constitue le cœur historique du management des risques. La formation des managers de risques les prépare tout autant au déploiement des appels d’offre, à l’audit des contrats existants, à la gestion des contrats – budgétisation, suivi des garanties et des couvertures – qu’à la gestion des sinistres : comment déclarer ? Comment gérer les mesures conservatoires ? Comment connaître les clauses d’annulation ? Quand recourir à un expert ? Quand lancer un contentieux ?
2) La sous-traitance :
Le transfert des risques passe également par la sous-traitance ou l’externalisation. Cela se justifie lorsqu’un sous-traitant est en mesure de mieux gérer un risque parce que, temporairement, son unité de production respecte des normes que les vôtres ne respectent pas encore, ou que son contexte socio-politique comporte moins d’incertitudes que le vôtre. Par contre, le recours à un sous-traitant non qualifié vous ferait courir un risque encore plus grand.
3) Les délégations de pouvoirs :
Dès lors que l’entreprise atteint une certaine taille ou bien que les normes deviennent très techniques, la délégation est un outil performant pour organiser la structure de pouvoir au sein de l’entreprise. Pour qu’il soit valide devant la justice, ce transfert doit respecter un certain nombre de principes : le responsable opérationnel doit avoir les compétences nécessaires, ainsi que l’autorité et l’autonomie pour prendre en charge des missions, qui doivent être, de surcroît, précises et circonscrites ; concrètement, il doit être capable, à tous points de vue, de prendre les décisions propres à faire respecter les réglementations existantes.
Si la délégation est conforme, le chef d’entreprise se retrouve effectivement exonéré de la responsabilité pénale, mais ce n’est pas le cas, néanmoins, de l’entreprise comme personne morale.
Garantir la continuité de l’activité :
L’ensemble de ces stratégies s’inscrit dans un même objectif, qui est celui de la continuité de l’activité. Parce qu’il est inévitable qu’un problème survienne, le manager des risques trouve avantage à développer, pour chaque risque potentiel, des Plans de Continuité d’Activité (PCA), qui doivent permettre à l’entreprise de continuer à fonctionner, même en mode dégradé, et d’entrevoir une reprise graduelle des activités, en commençant par les plus critiques d’entre elles.
Témoignage d’Audrey Compagnon, responsable juridique de M&M Militzer et Münch.
"Dans mon entreprise, les questions de Risk Management sont des considérations de plus en plus quotidiennes, notamment avec la progressive prise en compte des critères de la norme de 2015 sur la maîtrise des risques. Quand je suis arrivée, je travaillais exclusivement sur les litiges, puis ma fonction s’est étendue à la gestion qualité, donc aux causes des litiges. J’analyse notamment les sinistres, qu’ils soient constatés en interne, sur nos process ou du fait de nos fournisseurs, ou que les clients nous en informent, et je travaille à en faire diminuer la fréquence. Concrètement, avoir moins de clients mécontents ne peut qu’être bénéfique à l’entreprise.
Ma hiérarchie comme les autres services sont de plus en plus sensibles à cette démarche, dont ils savent apprécier le rapport coût/bénéfice et la vision de long terme."
Jordan Belgrave.
Article initialement publié dans le Journal du Management Juridique n°56.