François Beaume : Cadre général de la gestion du risque en entreprise (épisode 1)

Pour chacun de nous, la vie se présente comme une succession de choix et de décisions à prendre à partir d’un point de départ non choisi dans la société. Ce sont ces décisions qui construisent l’existence de toute personne, c’est-à-dire bâtissent ses réalisations et aussi la représentation qu’elle donne d’elle-même aux autres.

Ces prises de décision sont à chaque fois des prises de risques (risque d’échouer, de voir sa décision mal interprétée, etc.). Mais il est toujours possible de se prémunir contre ces risques, soit en les anticipant, et en accompagnant ainsi sa décision de précautions et de garanties, soit en réagissant à la survenance du risque, et donc en prenant une autre décision. Ne rien faire, et abdiquer devant l’adversité, reste également du domaine des possibles. Chacune de ces décisions traduit et renvoie un certain caractère : le prudent, le battant, l’audacieux, etc. Mais elles sont aussi largement influencées par des normes morales et sociales, et s’inscrivent aussi dans le monde économique.

Il en est aussi de même pour l’Entreprise qui caractérise le monde économique. C’est par ses activités qu’elle existe et se développe. Et c’est par ses décisions, et les risques qu’elle prend et assume, qu’elle se construit un patrimoine et se forge une image. C’est en effet la manière dont elle conduit ses activités, et gère les risques qui y sont afférents, qui fera que l’Entreprise réussit à grandir, et ainsi à rémunérer les investisseurs qui ont pris le risque initial d’y apporter du capital, à savoir une partie de leurs propres ressources. Le premier risque est bien de ne pas disparaitre dans cette aventure !  Mais aujourd’hui la manière de réussir et de gérer les risques influence la perception que ses employés, ses actionnaires et les tiers au sens large (concurrents, fournisseurs, clients, analystes, etc.) ont d’elle, de son présent et de ses potentialités futures, d’autant plus que nous découvrons les limites de notre planète.

La gestion des risques est ainsi une activité quotidienne pour l’Entreprise et ses acteurs. Il s’agit d’une activité presque banale, faite de manière parfois instinctive, consubstantielle de l’existence même de l’Entreprise (il peut s’agir par exemple du lancement d’un nouveau produit ou service, de l’implantation dans un nouveau pays, etc.). Avec les révolutions industrielles et technologiques successives, les risques auxquels l’Entreprise doit faire face se sont développés et diversifiés. Ils ne sont plus seulement économiques et financiers, ou humains, ils sont devenus sociétaux, environnementaux, éthiques, technologiques, cyber, géopolitiques, sanitaires, etc.

Sous des formes diverses, le management du Risque, des risques, existe donc depuis les débuts de l’humanité. D’abord peu formalisé, réalisé par tout un chacun pour son propre bénéfice, puis progressivement rémunéré par les taux des préteurs au temps des débuts de la marine à voile, le management du Risque s'est depuis lors imposé comme une discipline à part entière pour les entreprises en lien avec les crises politiques, économiques, environnementales et sociales majeures qui ont jalonné l’histoire moderne. L’Entreprise ne peut en effet exister sans prendre des risques, via une prise de risques qui doit être raisonnée et raisonnable pour pouvoir assurer à l’Entreprise une existence durable, conforme aux valeurs qu’elle désire se donner et développer, à même de lui permettre d’atteindre ses objectifs.

Une prise de risques raisonnée et raisonnable sous-entend de laisser une part la plus faible possible à l’aléa en traitant ce dernier pour qu’il reste à un niveau tolérable. Pour ce faire, la gestion du Risque est désormais souvent formalisée par les Entreprises au sein d’un cadre stratégique structuré.

L’organisation de la gestion du Risque à l’épreuve du Covid-19

Pour faire face aux incertitudes et aux chocs, comme ceux nés de la crise pétrolière de 1973, de l’affaire Enron ou de la crise des subprimes de 2008, mais aussi et plus couramment ceux induits par la concurrence, des accidents financiers ou industriels retentissants, etc. les entreprises se sont dotées d’outils méthodologiques à même de leur permettre d’anticiper ces évènements et de mieux y faire face en définissant des plans d’actions et de réaction. Dans les plus matures d’entre elles, des fonctions de Risk Manager[1] existent depuis plusieurs années.

Le rôle est complexe, encore protéiforme, et exige un large éventail de compétences. Les Risk managers doivent disposer de la capacité d'analyse nécessaire pour contribuer à l’évaluation des risques ainsi qu’à leur gestion, que ce soit sur des sujets Cyber, supply-chain, liés aux Ressources Humaines ou à la stratégie, ou comme aujourd’hui à la gestion d’une crise liée à une pandémie.

Ils doivent également développer une force de persuasion nécessaire pour influencer le management et le reste de l’organisation pour mobiliser sur ces sujets complexes.

Enfin la capacité d'entretenir de nombreuses relations en interne de l’entreprise comme en externe (avec des cabinets d'avocats, assureurs et courtiers d'assurance, spécialistes ou experts, etc.) leur est précieuse pour mener à bien les analyses et les actions sur ces sujets divers.

La pandémie due au virus Covid-19 qui provoque une crise sanitaire et économique mondiale sans précédent met cette discipline, la gestion des risques et son chef d’orchestre, le Risk Manager, plus que jamais en lumière.

Cette crise était-elle anticipée ?

Pour appréhender cette question il est nécessaire de revenir sur un des outils fondamentaux de l’entreprise d’aujourd’hui : la cartographie des risques. Loin d’être un outil de reporting ou un inventaire des risques de l’entreprise, la cartographie des risques est un outil managérial dynamique permettant d’établir une photographie des actions et dispositifs de gestion, et une appréciation du niveau de maîtrise des risques dans un cadre de prise de risques défini par l’appétence et sous tendu par des objectifs de performance et de bonne résilience. On peut définir l’appétence au risque comme le niveau de risques qu’une entreprise est prête à assumer pour mener à bien ses développements en lien avec ses valeurs et sa raison d’être. La résilience, quant à elle, concerne la capacité de cette même entreprise à résister aux chocs et à revenir le plus rapidement à un niveau d’activité équivalent à celui d’avant la crise.

Avec ces points cardinaux en tête, les entreprises, du top management au opérationnels, aidés par les Risk managers quand ils existent au sein des structures, analysent l’environnement de l’entreprise pour en tirer, à date, une cartographie des risques.

La cartographie des risques ne peut matériellement refléter toute la complexité d’une entreprise - a fortiori s’il s’agit d’un grand groupe international multi-activité - mais elle permet néanmoins d’identifier les principales zones de risque par grand domaine, branche d’activité, ou géographie.

Au niveau de l’entreprise dans son ensemble, comme au niveau de chaque filiale ou entité, la cartographie doit répondre au principe de « juste nécessaire » par rapport au contexte. Elle ne doit pas se transformer en un lourd exercice bureaucratique qui occulterait son objectif ultime : identifier les risques majeurs ou critiques afin de les traiter. Elle perdrait alors sa crédibilité aux yeux des services ou filiales qui sont chargés de l’alimenter et de la Direction Générale pour qui elle est un outil de pilotage.

La cartographie des risques participe à la prise de conscience collective des risques et des enjeux au sein de l’organisation. Elle permet de nommer et évaluer les risques mais également d’améliorer le dispositif d’alerte et les capacités de réaction de l’organisation. Pour être efficace, cette cartographie doit s’efforcer de simplifier des situations, des enjeux qui parfois semblent complexe de prime abord.

En effet c’est sa déclinaison sur le terrain qui doit refléter la diversité des organisations, de leurs niveaux de maturité et des milieux dans lesquels elles évoluent.

Le risque d’épidémie ou pandémie est présent dans de nombreux univers de risques utilisés pour conduire les cartographies des risques, et de facto dans diverses cartographies des risques, même s’il ne l’est probablement pas dans toutes. Cela veut-il dire que la gestion des risques se révèle défaillante ou inopérante ? La question mérite probablement d’être posée, mais au-delà de la présence ou non du risque pandémie dans la cartographie des risques 2019 d’une entreprise, ce qu’il faut retenir est que les entreprises qui conduisent ce type d’exercice seront plus à même de faire face à la réalisation d’un risque imprévu, voire même impensé dans sa magnitude comme celui auquel nous faisons face aujourd’hui. En effet, leur culture du risque, leur niveau de préparation face à d’autres risques (crue centennale en Ile-de-France, attaque cyber, etc.) seront autant d’atouts leur permettant de renforcer leur capacité d’anticipation, de réaction face à un événement imprévu, et in fine leur résilience.

Comment gérer la crise ?

C’est dans ce contexte provoqué par la crise actuelle de l’économie réelle, que les entreprises qui en disposent ont activé leur Plan de Continuité d’Activité (PCA)[2], et que toutes ont mis en place un dispositif de gestion de crise afin de surmonter le choc de la pandémie, de pérenniser leur existence, voire pour les plus performantes de sortir renforcées de cette crise. Partenaires, fournisseurs, clients, sites de productions ou de distribution, personnels : chaque entité ou personne impliquée dans l’écosystème de l’entreprise est concernée. De même les décisions et actions des pouvoirs publics devront être suivies, analysées et prises en compte par l’entreprise, dans le respect de la non-exposition des salariés au risque sanitaire.

Chaque grande crise ressemble un peu à un scénario catastrophe hollywoodien. Mais dans le réel de l'action, pas d'effets spéciaux ni de solution miracle. Il faut être préparé comme le sont les militaires, les pompiers, les urgentistes : le scénario tel qu’il se déroule en réel diffère de l’entraînement, mais on s’adapte et on s’organise, le Risk manager au premier chef.

Pour approfondir :

Cellule de crise Covid-19 de l’AMRAE (Association pour le Management des Risques et Assurances de l’Entreprise) : https://www.amrae.fr/covid-19-votre-cellule-de-crise-online

A suivre :

- #2 : Visite au cœur d’une gestion de crise Covid-19 

- #3 : Des clefs pour une reprise d’activité