La gestion des risques est une démarche essentielle qui implique tous les acteurs de l’entreprise. Elle demande une connaissance approfondie de la nature et du volume de l’activité, de la diversité des opérations et des zones géographiques, du contexte socio-économique et réglementaire, des objectifs stratégiques et opérationnels et du marché sur lequel l’entreprise opère.

Quelles que soient la taille et la structure de l’organisation, il est important que les pouvoirs et les responsabilités pour les rôles pertinents en matière de management du risque soient définis, bien repartis et communiqués à tous les niveaux de l’organisation. L’engagement et le soutient fort de l’instance dirigeante est un préalable à la définition et à la mise en œuvre d’un dispositif de gouvernance des risques, clair et adapté, à la structure et à l’activité de l’entreprise.

Cet engagement se concrétise par la prise de décision clés concernant l’organisation interne, la définition de la stratégie et de la politique de gestion des risques (notamment l’appétit pour le risque et les seuils de tolérance), et la supervision du management du risque. L’organe de gouvernance doit, en particulier, s’assurer que la fonction chargée d’animer et de coordonner les différentes actions du processus global de gestion des risques ait pris en compte les objectifs stratégiques, tels que définis par l’organe lui-même.

Or la première étape – pour la mise en œuvre d’un dispositif de gouvernance des risques – consiste à établir une cartographie des risques. Celle-ci est un outil de gestion qui permet d’identifier, d’évaluer, de hiérarchiser et de gérer les risques et les incertitudes pouvant potentiellement affecter la vie et l’activité de l’entreprise.

En cartographiant les risques, l’entreprise crée les conditions pour analyser les processus et les métiers de façon à obtenir une vision globale du fonctionnement de l’organisation. Ce qui aide les dirigeants à développer un langage commun, à améliorer la prise de décision et à renforcer la culture de la maitrise des risques et du contrôle interne à tous les niveaux de l’organisation et dans les relations avec les parties prenantes. Les résultats de cette analyse doivent se décliner dans l’établissement d’un Plan d’action prévoyant la mise en place de procédures spécifiques pour réduire, contrôler, et traiter les risques les plus critiques afin de les contourner ou de s’assurer contre les conséquences possibles.

La cartographie des risques doit donc être conçue comme un levier d’amélioration du dispositif de gouvernance des risques. De fait, son élaboration est un processus dynamique, multidisciplinaire et transversale, qui exige une méthodologie systématique et rigoureuse qui se déroule en quatre étapes :

  1. Identification des risques

L’identification des risques a pour but d’analyser, détecter et décrire les évènements qui peuvent avoir une incidence négative sur les objectifs stratégiques et les résultats attendus par l’entreprise. Le management peut utiliser un éventail de techniques pour identifier les évènements, les dangers ou les situations à risques. Les outils qui sont utilisés prennent en compte : les sources de risque, les probabilités de menaces et d’opportunités, la fréquence de survenance du risque, les changements intervenus au niveau du contexte externe et interne, les personnes et les fonctions potentiellement exposées, les indicateurs de risques émergents, les pressions sociales et économiques etc.

Ce processus ne vise pas à recenser tous les risques auxquels l’entreprise peut être exposée au cours de son activité, mais son but est de procéder à l’analyse, identification et hiérarchisation des évènements majeurs générateurs de risques.

La carte des risques ainsi établie ne peut être jamais exhaustive. Elle est un tableau de pilotage qui permet au mangement de définir et mettre en place les procédures et protocoles internes, de prévention et de contrôle, pour traiter et limiter les risques ainsi détectés.

  1. Evaluation des risques

L’évaluation du risque a pour but de déboucher sur des décisions plus judicieuses. Les critères d’évaluation doivent être établis et adaptés à l’organisation et à ses activités. Ces critères doivent permettre de déterminer si l’entreprise doit adopter et mettre en place des actions supplémentaires pour prévenir et limiter les risques (comme par exemple : réexaminer les objectifs stratégiques ou effectuer une analyse plus approfondie afin de mieux comprendre le risque …).

La méthode de calcul et les résultats de l’évaluation du risque doivent être enregistrés, communiqués et validés par l’organe de gouvernance.

  1. Traitement des risques

Le traitement du risque a pour but de choisir et de mettre en œuvre des options pour aborder et éventuellement corriger les lacunes du dispositif de gouvernance des risques. Le traitement du risque, même s’il est soigneusement conçu et mis en œuvre, peut ne pas produire les résultats escomptés et avoir des conséquences inattendues. Pour s’assurer que les différentes formes de traitement sont et restent efficaces, le suivi et la revue doivent faire partie intégrante de la mise en œuvre du traitement du risque.

Pour faciliter le suivi, l’entreprise doit établir un Plan d’action de façon à préciser la manière dont les options de traitement choisies seront mises en œuvre de sorte que les dispositions soient comprises par les salariés, les parties prenantes, ainsi que par les dirigeants et les managers impliqués dans la gestion des risques.

  1. Suivi et actualisation de la carte des risques.

Le suivi et l’actualisation de la cartographie des risques ont pour but d’améliorer la qualité et l’efficacité de la stratégie de gestion des risques. Pour cela, il convient d’assurer un suivi continu et une actualisation périodique de la carte des risques en fonction de l’évolution de l’activité de l’entreprise et du contexte réglementaire et socio-économique dans lequel elle opère.

gp@giovannellapolidoro.com