Le management des risques

Le management des risques est une composante de la stratégie d’entreprise qui vise à réduire la probabilité d’échec ou d’incertitude de tous les facteurs. Certes, le risque zéro n’existe pas, mais la raison d’être d’une gestion des risques, c’est surtout d’anticiper, de prévoir et de pérenniser l’entreprise. Le management des risques contribue de façon tangible à l'atteinte des objectifs et à l'amélioration des performances de l’entreprise, par la réduction des risques aussi bien internes qu’externes. Il crée donc de la valeur.

Qu’est-ce qu’un risque ?

La norme ISO 31000 définit un risque comme l’effet de l’incertitude sur l’atteinte des objectifs. C’est pourquoi le management des risques vise à réduire et contrôler la probabilité des évènements redoutés, et leur impact éventuel.

Le risque est l’association de 4 facteurs :

• Un danger.
• Une probabilité d’occurrence : à quelle fréquence il est probable de subir le dommage.
• Sa gravité (son impact) : ampleur des dommages potentiels.
• Son acceptabilité.

La criticité d’un risque résulte de la combinaison de la probabilité d’un risque et de son impact (ou gravité). 

Il ne faut pas confondre la cause du risque (un danger) et les conséquences du risque (son impact). Par exemple, la grève est un risque dont les causes sont le mécontentement social. Les conséquences sont l’arrêt du travail.

Les catégories de risques

Il y a deux grandes catégories de risques :

1. Les risques stratégiques : ce sont ceux qui affectent la stratégie et les objectifs stratégiques de l’entreprise. Ils peuvent être liés à la gouvernance, aux aspects financiers, juridiques, légaux, fiscaux, sociaux, environnementaux, ou concerner les clients.
2. Les risques opérationnels : ils résultent de carences ou défaillances internes sur les procédures, des systèmes internes ou des personnels. Ils concernent le cycle de vie du produit et des fonctions supports : santé et sécurité des biens et des personnes, fournisseurs, système d’information.

La démarche risques

Le management des risques relève de la direction et est un acte fort de management. Il est intégré aux processus de l’entreprise. Sa mise en œuvre nécessite une démarche organisée en 5 étapes :

1. Établir la politique de management des risques et préciser les objectifs, les responsabilités, les ressources allouées, le système de mesure. Il convient de communiquer cette politique en interne.
2. Identifier les risques : cette phase consiste à imaginer les risques qui peuvent survenir, dans chacun des domaines, en distinguant les risques stratégiques des risques opérationnels. Cette identification est constamment mise à jour.
3. Évaluer les risques : une fois les risques identifiés, il est indispensable de les évaluer et d’attribuer un niveau à chaque risque, en fonction de sa probabilité et de sa gravité. C’est un risque brut.
4. Traiter les risques : pour les risques bruts élevés, il est nécessaire de définir toutes les actions mises en œuvre pour réduire ces risques. Ce plan d’actions est le DMR, Dispositif de Maîtrise des Risques. Idéalement, les risques sont rarement éliminés mais réduits en agissant sur la probabilité et/ou la gravité. Les risques sont à nouveau évalués après l’application du DMR. Ce sont les risques nets. Les risques nets élevés doivent faire l’objet d’une attention particulière.
5. Surveiller l’évolution des risques : l’établissement d’une cartographie donne une vue d’ensemble et permet de suivre la mise en œuvre des DMR et de leurs effets. Souvent, un comité des risques assure ce pilotage.