Cours de management des risques complet
Cours de management des risques complet
La gestion des risques, ou management du risque (risk management), est la discipline qui s'attache à identifier, évaluer et prioriser les risques relatifs aux activités d'une organisation, quelles que soient la nature ou l'origine de ces risques, pour les traiter méthodiquement de manière coordonnée et économique, de manière à réduire et contrôler la probabilité des événements redoutés, et réduire l'impact éventuel de ces événements.
…
Pour être efficace, le management des risques doit être proactif et préventif, et ne pas se faire de manière cloisonnée par des professionnels du risque, ni d’ailleurs délégué à des fonctions du management intermédiaire. Le management des risques doit être réalisé de manière transverse, sous l’impulsion d’un leadership et évalué lors de revues régulières exclusivement consacrées à « traiter » les risques. Pour renforcer cette efficacité Nous suggérons de concevoir un système de management des risques, en classant ceux-ci en trois catégories : en fonction de leur niveau de prévisibilité, en fonction de leur contrôlabilité et en fonction de leurs conséquences potentielles pour l'organisation.
1 er niveau : Risques liés au non respect de la conformité réglementaire et aux processus opérationnels
Ce niveau de risque se concentre sur les risques résultant d'aléas dans :
les processus opérationnels qui exposent l’organisation à des pertes parfois importantes : - Perrier, en 1990, retire de la vente aux USA 3 millions de caisses de bouteilles à la suite d'un problème sur le taux de benzène contenu dans l'eau (erreur humaine : un retard dans le changement des filtres de l'usine de Vergèze entraîne une augmentation de la teneur de l’eau en benzène dans les bouteilles à destination des Etats-Unis. En se rappelant que cette élévation de taux n'était pas dangereuse pour la santé humaine)
la mise en oeuvre de la conformité réglementaire (Sarbanes – Oxley, Bâle II, Solvency 2,..).
Pour évaluer ce type de risque, les organisations utilisent différents outils comme la « carte de chaleur » (Heat Map) telle que celle présentée ci-dessous.
En multipliant la « probabilité » par « l’impact », les équipes transverses parviennent à évaluer sur la « carte de chaleur » un risque compris entre 1 et 25. Un score de 15 ou plus, représente un événement risqué susceptible de se produire avec de lourdes conséquences, et doit donc recevoir un financement prioritaire d’initiatives de prévention afin de l’atténuer.
Dans certaines circonstances, les entreprises ont suffisamment de données historiques pour estimer la probabilité de nombreux types d’événements à risque. Les compagnies d’assurances peuvent estimer les probabilités des événements qu’elles s’assurent : la mortalité, les catastrophes naturelles, la maladie, les accidents de voiture, etc. Les entreprises financières disposent de nombreuses données historiques sur les prix et les corrélations avec les instruments financiers comme les actions, les obligations et autres produits dérivés, qui leur donnent l’apparente capacité à prévoir la probabilité de pertes d’une ampleur donnée. Mais voilà, la crise est passée par là pour nous rappeler que les risques de nouveaux instruments financiers plus complexes tels que les titres hypothécaires et leurs dérivés, ont été estimés à partir des données historiques qui ne tenaient pas compte d’une baisse prolongée des prix des logements. Il faut avoir vécu aux USA pour comprendre l’importance de l’immobilier, en particulier sur la côte ouest et en Floride. Il est en effet fréquent d’observer que lorsqu’un américain a besoin d’argent, pour l’achat d’une voiture ou du dernier gadget à la mode, il prend contact avec sa banque pour emprunter en donnant pour garantie la hausse de la valeur de son logement. Lorsque les prix de l’immobilier ont commencé à décliner à l’échelle nationale en 2006 et 2007, le taux de défaut amplifié par les corrélations entre les titres hypothécaires et leurs dérivés s’est avéré être beaucoup plus élevé que ce qui avait été supposé dans les modèles VaR (Value-at-Risque), conduisant à l’effondrement de nombreuses institutions financières telles que Bear Stearns , Lehman Brothers, Wachovia Bank et Washington Mutual.
Notre point de vue sur la crise actuelle est que son épicentre est la baisse prolongée du prix de l’immobilier car elle est à la base de la perte de confiance des américains (et des banques !) en l’avenir. Nous avons ainsi observé qu’en l’absence de données historiques (disponibles et suffisantes) pour quantifier l’exposition au risque, les responsables des risques utilisent la « carte de chaleur », comme un cadre pour stimuler la discussion, en espérant obtenir un consensus sur les estimations subjectives des événements à risque. Mais avec ce type d’outil les risques sont évalués isolément les uns des autres. Or, c’est bien souvent un enchaînement d’événements parfois anodins qui sont à l’origine des plus grands catastrophe. Nous suggérons donc d’utiliser les principes illustrés par la figure en annexe 2.
Pour traiter ce niveau de risques, les organisation peuvent mettre en place différentes mesures préventives allant de la mise en œuvre de standards (ISO 31000, COSO, COBIT, HACCP,..), aux formations spécifiques du personnel, à la mise en œuvre de procédures de contrôles internes en passant par les audits internes qui ont un rôle clef dans la surveillance de ce niveau de risques, dont certains sont connus et évitables. L’objectif du management des risques est ici d'atteindre une conformité égale à 100% et un zéro défaut dans les processus opérationnels (zéro fraude, zéro pièce d’automobile critique non conforme issus d’un processus de production,…). L’architecture de ce niveau de risques pourrait ressembler à celle présentée en annexe 1.
2 e niveau : Risques stratégiques Les organisations, qu’elles évoluent ou non sur un marché concurrentiel, sont amenées à faire des choix stratégiques risqués. Lorsque le gouvernement décide de fixer le taux de la TVA sur la restauration à 5,5 % contre 19,6 %, il suppose que cette décision amènera cette profession à baisser les prix et à embaucher : il y a un risque que l’objectif stratégique ne soit pas atteint (mais ne rien faire est également porteur de risque). Lorsqu’une entreprise décide de développer un nouveau produit ou de pénétrer un nouveau marché géographique, il y a un risque stratégique spéculatif :
- Mattel en 2007, rappelle 18 millions de jouets fabriqués en Chine (non respect du cahier des charges par le sous traitant chinois)
Pour traiter les risques de cette 2e catégorie les organisations identifient et traitent généralement une liste de risques inhérents à la stratégie tels que : les risques financiers, les risques clients (solvabilité, image, réputation,..), les risques liés à la chaîne d’approvisionnement, les risques liés à l’innovation, à l’environnement, aux ressources humaines, à la technologique. Certes, éviter ce type de risques ne fait pas stricto sensu avancer la stratégie, mais réduit les obstacles susceptibles d’entraver ou de remettre en cause la progression de l’organisation vers sa destination stratégique.
Pour les adeptes de l’approche Balanced Scorecard, les risques stratégiques peuvent être identifiés sur la carte stratégique™.
Plusieurs scénarii sont envisageables :
1. Identifier un objectif de « maîtrise des risques » dans la perspective finance qui vient s’ajouter aux objectifs liés à la croissance et à la productivité.
2. Formaliser, dans la perspective « processus internes clés » un thème stratégique lié au « risk management » et y associer 2 à 3 objectifs comme le montre la figure ci-dessous.
…
3. Identifier une chaîne d’objectifs liés aux risques telle que celle présentée ci-dessous : améliorer les connaissances et les compétences en risk management & accélérer le déploiement des applications finances critiques contribuent à minimiser les risques d’entreprise. C’est du moins l’hypothèse formulée par le concepteur de cette carte.
4. Identifier les risques liés à un objectif associé à la perspective « capital immatériel » comme par exemple « Préparer les emplois stratégiques » dans lequel les employés ou des familles d’emplois stratégiques devront disposer des compétences, des connaissances et de l’expérience pour être affectés sur des processus stratégiques exigeant un niveau d’excellence élevé. Cet objectif pourrait être évalué à l’aide d’un pourcentage d’emplois stratégiques couverts, avec une cible de 90 % et des initiatives stratégiques pour atteindre cette cible (formation, plan d’intéressement, rotation planifiée de certaines tâches, ;.). Dès lors, en matière de management des risques, il conviendrait donc d’identifier les risques d’événements qui menaceraient l’atteinte de l’objectif (de la cible de 90 %) : un départ trop important d’employés expérimentés dans les familles d’emplois stratégiques, des programmes de formation inefficaces, un manque de mobilité.
5. Construire une carte des indicateurs de risques reliés entre-eux selon une chaîne de causalité afin de disposer d’un pilotage proactif des risques, comme les montrent la figure ci-dessous et celle en annexe 2.
L’entreprise XYZ conçoit et fabrique des générateurs d’oxygène pour son client AIRBUS selon des exigences spécifiées par contrat (débit, poids,..). Pour l’entreprise XYZ tout générateur livré en retard peut entraîner, des réclamations (cf. image de marque, fidélisation du client,..) un allongement du délai de paiement par le client AIRBUS, voire des pénalités de retard. Pour l’entreprise XYZ, le respect des livraisons des générateurs selon les exigences du contrat est principalement fonction de la qualité des cartes de régulation sous-traitées, de la disponibilité de l’atelier de montage (disponibilité humaine, structurelle,..) et du nombre de modifications demandées par le client en phase de conception. Pour un pilotage proactif du risque de retard, vous devez surveiller les trois causes et agir en conséquence. Vous noterez les trois niveaux d’impact, caractéristiques du Modèle Triple Impact : impact immédiat = le client réclame ; impact intermédiaire = le client traîne des pieds pour payer ; impact final = les résultats de l’entreprise XYZ en pâtissent.
3 e niveau : Risque global d’organisation Ce niveau porte sur les risques affectant l’organisation dans sa globalité. Il s’agit d’événements sans précédent qui créent le risque existentiel pour l’organisation. Ces manifestations sont souvent appelées « cygnes noirs » en référence au titre du livre de Nassim Taleb (cf. mon précédent article) qui se moque des entreprises mais également des agences de notation lorsqu’elles utilisent les modèles quantitatifs pour évaluer et gérer les risques. Pour Nassim Taleb la « carte de chaleur » utilisée pour évaluer les risques (probabilité et impact) ne permet pas d’évaluer un événement de type « cygne noir ».
- Or, c’est pourtant un événement de ce type qui est à l’origine des difficultés de General Motors et Chrysler : le triplement du prix du pétrole a rendu invendable les grands véhicules énergivores, entraînant des pertes massives et la faillite de certaines entreprises déjà en difficultés financières. Cet événement a été renforcé par la crise : les banques ne prêtaient plus. Rappelez-vous le message de Bob Nardelli, Chief Executive Officer de Chrysler le 12 septembre 2008, qui déclara lors d’une entrevue qu’il avait besoin de licencier « plus durement » et qu’il n’arrivait pas à trouver les 25 milliards de dollars de prêt pour le développement de nouveaux véhicules éco énergétiques.
Notre conviction est que les organisations publiques et privées doivent considérer ce cas improbable où la combinaison d’évènements peut conduire à leur disparition. Certes, on ne peut pas prédire un « cygne noir » mais ne devons-nous rien faire pour autant ? Les scientifiques pensent qu’un grave tremblement de terre est plausible le long de la faille de San Adreas mais ils ne peuvent en prédire ni l’année ni son ampleur. Néanmoins, les citoyens peuvent atténuer à l’avance les conséquences d’un tel séisme en construisant des bâtiments qui résistent aux tremblements de terre et en imaginant des plans de secours d’urgence. Aujourd’hui de nombreuses organisations, comme Goldman Sachs et JP Morgan Chase, discutent lors de revues appelées « tail-risk meetings » des conséquences d’événements externes improbables. De tels événements pourraient être le triplement du prix de l’énergie, une dévaluation du dollar américain, une insurrection civile en Chine, un terrible tremblement de terre ou un ouragan dans une région sensible, ou la guerre au Moyen-Orient. Qui peut affirmer aujourd’hui que ces événements ne se produiront jamais !
….
Pondération des éléments du scénario
Pour passer à une appréciation objective du risque, il est nécessaire de préciser les limites du scénario envisagé, dans le temps et dans l'espace. Dans le temps, l'unité d'analyse sera le plus souvent l'année, et les probabilités envisagées se mesurent en nombre d'événements par an. Il est clair que l'appréciation du risque varie avec cette limite : à l'échelle d'une année une crue centenaire est un événement rare ; mais à l'échelle d'un siècle, c'est un événement quasi certain. De même, un risque de sécurité au travail n'aura pas du tout la même fréquence, suivant que l'on s'intéresse à une petite équipe de dix personnes, ou à un groupe de dix mille salariés. Dans un cas comme dans l'autre, l'ordre de grandeur d'un risque varie en raison de l'ordre de grandeur du périmètre englobé, un périmètre dix fois plus large permettant au scénario redouté de se manifester en moyenne dix fois plus souvent.
D'une manière générale, la pondération du scénario conduira à répondre aux questions suivantes :
Périmètre réellement concerné : Un événement redouté est d'autant plus préoccupant que le scénario peut survenir sur de nombreux points propices. Quelle est la « taille » de la population concernée?
Fréquence du contexte : Un événement redouté ne peut généralement pas survenir n'importe quand, mais dans des circonstances particulières. Pour la population concernée, le contexte est-il fréquent? Dans quel contexte le problème se manifeste-t-il, est-ce une situation générique ou spécifique à une activité?
Facteurs de risque : En amont, qu'est-ce qui peut faciliter l'accident? En aval, quels sont les facteurs aggravants ? Ces facteurs de risque sont-ils fréquents ?
Déroulement du scénario : Comment les choses s'enchaînent-elles pour que le risque se manifeste? Le scénario suppose-t-il des dysfonctionnements dans l'organisation en place, des contrôles inefficaces…
Résultat typique : Quelle est la situation probable après déroulement du scénario et la mise en œuvre des actions correctives éventuelles ? Dans une approche quantitative, c'est le cas typique pour lequel la fréquence est évaluée.
Conséquences envisageables : quels sont les objectifs ou les valeurs que le résultat compromet ?
Cette étape de pondération est indispensable pour apprécier la gravité réelle d'un scénario redouté. La tendance naturelle est d'imaginer un scénario catastrophe où les conséquences sont maximales : si ce gymnase s'effondre sous le poids de la neige, on l'imagine nécessairement bondé pendant la finale d'un match disputé. En réalité, « le pire n'est pas toujours certain », comme le montre l'exemple de l'effondrement de la Cathédrale Saint-Pierre de Beauvais en 1573, en pleine fête de l'Ascension, au moment où la foule des fidèles... venait de sortir en procession, ne faisant de ce fait que deux blessés (!)9.
Dans la dialectique nécessaire à une gestion du risque, cette pondération est nécessaire pour dédramatiser les débats, et permettre un examen objectif et sans passion des scénarios. Elle permet d'exprimer et d'enregistrer sans censure des scénarios potentiellement tragiques ; mais elle justifie, par ailleurs, qu'ils soient remis à leur place réelle d'hypothèses finalement improbables.
Priorités dans la réduction des risques
Après que chaque risque a été évalué individuellement, il devient possible de les comparer les uns aux autres et de les trier pour gérer les priorités. De toute évidence, les risques qu'il faut réduire en priorité sont ceux qui apparaissent à la fois avec une probabilité élevée, et des conséquences importantes.
Lorsque les risques sont positionnés dans une matrice de type 3x3 ou 5x5, ces risques prioritaires apparaissent dans les cases situées en haut et à droite. Dans une approche quantitative, ces risques peuvent de même être positionnés dans un plan, leur coordonnée étant donnée par la probabilité et l'impact (il est préférable dans ce cas de représenter les risques en coordonnées logarithmiques), et les risques les plus préoccupants apparaissent de même en haut à gauche. Dans ces représentations, les risques situés en bas à gauche sont à l'inverse relativement acceptables.
Cette représentation en deux dimensions est surtout utile pour présenter au responsable de l'entreprise une vision d'ensemble des risques identifiés, et discuter des principaux risques identifiés, mais elle est par elle-même peu exploitable. Elle doit être réduite en un classement unidimensionnel pour déterminer les priorités dans le traitement. Dans un traitement qualitatif, les différentes cases de la matrice sont réparties en catégories de priorités, par exemple « inacceptable », « problématique », « à surveiller » et « négligeable ». Dans un traitement quantitatif, ce classement est directement donné par le produit de la probabilité par la mesure de l'impact, ou si ces éléments sont représentés par des coefficients suivant une échelle logarithmique, par la somme de ces coefficients.
Ce classement correspond à une première décision du responsable de l'entreprise, dans sa stratégie de gestion des risques. Les risques jugés inacceptables doivent impérativement être réduits, parce qu'ils mettent en péril l'entreprise même ; et les opérations nécessaires pour réaliser ces réductions sont normalement mandatées et suivies au plus haut niveau. Les risques de niveau intermédiaire peuvent être gérés de manière plus déléguée, et seront réduits ou pas en fonction des budgets et des opportunités. Afin de pouvoir faire ultérieurement des arbitrages coût-efficacité, ils peuvent si nécessaire faire l'objet d'une évaluation quantitative plus fine, qui est le plus souvent inutile dans les autres catégories. En queue de classement, les risques jugés négligeables seront acceptés en l'état, sans aller plus loin dans l'analyse.