Traditionnellement approchée en mode défensif, la gestion des risques en entreprise est de plus en plus appréhendée comme un moyen de gagner en performance. Une démarche qui reste cependant complexe à mettre en œuvre au regard de l’évolution et du développement des différentes typologies de risques.
Sur fond de contexte économique mondial en mutation, les entreprises cherchent continuellement de nouveaux relais de croissance. Dans le cadre de cette démarche, certaines mènent des projets de transformation tandis que d’autres investissent dans l’innovation ou font le choix de se développer à l’international. Quelle que soit leur stratégie, les entreprises s’exposent alors à de nombreux risques. «Les projets de transformation sont certes indispensables aux entreprises pour se différencier dans un environnement de plus en plus concurrentiel, mais nécessitent souvent de leur part qu’elles réalisent de grands investissements,explique ainsi Sébastien Rimbert, directeur associé Ernst & Young. Une démarche qui induit des risques stratégiques pouvant par exemple être liés au choix d’un pays d’implantation ou de l’activité à développer.»
Les risques technologiques inquiètent
Parmi les risques jugés préoccupants par les entreprises qui s’engagent dans ces démarches, ceux liés aux technologies arrivent en tête de liste. Les technologies jouent en effet un rôle essentiel dans la planification stratégique de l’immense majorité des entreprises, que ce soit pour le développement de nouveaux produits et services ou pour gagner en efficacité opérationnelle. Selon l’édition 2015 des risques émergents réalisée par Chubb (anciennement ACE), le risque technologique est ainsi devenu celui qui mobilise le plus le temps et les ressources du risk manager. Il est également celui qui pourrait avoir le plus grand impact financier sur leur activité.
«En France, le risque technologique (cyber-risque, perte de données, interruption d’activité du système d’information, etc.) représente la principale préoccupation des entreprises réalisant plus d’un milliard d’euros de chiffre d’affaires et la seconde pour les ETI réalisant entre 500 millions et un milliard d’euros de chiffres d’affaires, après la responsabilité des dirigeants», explique Nadia Côté, directrice générale de Chubb en France (ex-DG de ACE en France). Un risque qui, comparé au baromètre 2013 de la société, a globalement progressé de 11 points. «La montée en puissance de cette préoccupation s’inscrit dans l’évolution rapide du paysage économique mondial qui implique, pour les entreprises, le recours à des fournisseurs lointains créant ainsi des interdépendances ou à des systèmes d’information plus sophistiqués, les exposant davantage aux risques technologiques, ajoute Nadia Côté. En effet, une interruption du système d’information peut par exemple générer une perte de données et entraîner ainsi des conséquences importantes sur la chaîne d’approvisionnement et de production.»
Les risques réglementaires et les risques de conformité difficiles à appréhender
Le développement à l’international des entreprises n’est également pas sans conséquence sur leur exposition aux risques réglementaires et aux risques de conformité. Même si les secteurs hautement réglementés, comme les services financiers ou l’énergie, font face à des enjeux extrêmes en matière de réglementation, aucune entreprise n’est à l’abri face à ces risques. Selon le baromètre Chubb, les risques de régulation et les risques de conformité sont en effet une préoccupation pour 32 % des dirigeants d’entreprises françaises. «A mesure que les entreprises se développent à l’international, le juridique et le réglementaire représentent un risque majeur, poursuit Nadia Côté. 54 % des entreprises interrogées estiment en effet que les dirigeants ne maîtrisent pas entièrement la gouvernance et la conformité de tous les pays où ils exercent une responsabilité.» Enfin, les entreprises françaises sont aussi de plus en plus sensibles aux risques géopolitiques, aux risques de changements de régime, de confiscations de bien ou encore de protectionnismes. En matière de risques géopolitiques, elles sont davantage préoccupées par la résiliation des licences d’exploitation, de concessions ou de contrats par des gouvernements étrangers.
Les risques liés aux ressources humaines se développent
Parallèlement, les entreprises sont aussi de plus en plus préoccupées par les risques «humains», comprenant les risques causés aux personnes, ceux causés par des personnes et les risques liés aux talents. «Les entreprises accordent de plus en plus d’attention à la protection de leurs collaborateurs face, par exemple, aux risques terroristes, poursuit Nadia Côté. 84 % des entreprises françaises interrogées dans le cadre de notre baromètre affirment ainsi que les récents événements (tels que les attaques terroristes, les violences politiques et les pandémies) les obligent à revoir leur politique en matière de voyage et de sécurité.»
Quand le risque devient une opportunité de gagner en performance
Souvent appréhendé dans une approche défensive, le risque management sert pourtant aussi le développement et la performance de l’entreprise. Selon une étude Ernst & Young (réalisée en 2012), 20 % des entreprises les plus matures en matière de gestion de risque ont en effet généré un Ebitda trois fois supérieur sur les cinq dernières années au 20 % des entreprises les moins matures en la matière. Pour gagner ainsi en performance, les entreprises se doivent néanmoins de transformer certains risques en opportunités. «Aujourd’hui, beaucoup d’entreprises doivent relever de nouveaux défis, liés par exemple aux data ou à la digitalisation, ou saisir de nouvelles opportunités pour éviter de se trouver face à de nouveaux risques, ajoute Sébastien Rimbert. En ne relevant pas certains défis, tels que, par exemple, celui de la transformation digitale, elles peuvent notamment perdre des marchés face à des concurrents qui eux auront engagé cette démarche.» Le digital client représente en effet l’opportunité pour les entreprises d’utiliser des données clients pour mieux comprendre leurs besoins et adapter leur offre en conséquence. De même pour le digital manufacturing. Beaucoup d’entreprises réfléchissent par exemple actuellement à la manière de développer au mieux la maintenance prédictive. Cette réflexion peut également être menée sur des sujets RH, la fonction RH se faisant actuellement de plus en plus challenger par le digital RH, l’e-learning, l’intrapreneuriat, etc. «Ces sujets représentent pour les entreprises un risque sur le long terme s’ils ne sont pas appréhendés assez rapidement, ajoute Sébastien Rimbert. Ils sont également, pour l’entreprise, une opportunité de se différencier de ses concurrents et d’attirer une nouvelle génération de talents. Il est donc important que les entreprises saisissent certaines opportunités pour ne pas subir les risques en restant uniquement sur une position défensive.»
Les risk managers, pivot des stratégies de gestion des risques
Pour conduire à la performance financière et extra-financière de l’entreprise, la gestion des risques doit faire partie intégrante de sa gouvernance et se faire dans la transparence. C’est la raison pour laquelle, le risk manager devient le chef d’orchestre des politiques de gestion des risques mises en place au sein de son organisation.
En effet, pour appréhender correctement ces différents risques, il est important que l’entreprise en ait une vision globale. «Il s’agit là du rôle du risk manager, souligne Marc Duchevet, associé risk advisory chez Deloitte. Le risk manager est en effet la personne qui, dans l’entreprise, doit réaliser une veille sur les risques et en avoir une vision transverse. Il définit les grands risques à piloter, puis les personnes en charge de la mise en place des plans d’actions sont désignées.»
Le DAF en soutien du risk manager
Le risk manager peut aussi compter sur le soutien du DAF qui, en matière de gestion des risques a également un rôle à jouer. «Même si une entreprise connaît les risques auxquels elle est ou peut être exposée, elle peut en sous-estimer les impacts financiers, explique ainsi Marc Duchevet. Sur un risque tel que, par exemple, l’évolution du cours des matières premières, il faut que l’entreprise soit en capacité d’en mesurer les impacts en fonction de sa variabilité. Cette démarche, qui s’apparente de fait à un «stress test», et généralement opérée par la direction financière, permet notamment de savoir à partir de quel niveau d’impact ce risque est susceptible de remettre en cause la continuité de l’entreprise.» Par ailleurs, le DAF a un rôle de suivi et d’alerte. «Par exemple, si l’entreprise fait un investissement en fonction du cours des matières premières et que, durant la mise en œuvre du projet, son cours dérape, la rentabilité du projet sera impactée et ceci peut être anticipé avant le démarrage opérationnel, ajoute Marc Duchevet. Le rôle du DAF consiste alors à repartir des premières hypothèses et à alerter en amont sur le fait que la rentabilité du projet risque d’être plus tardive.» En matière de risk management, le DAF occupe ainsi une fonction de «lanceur d’alertes».