Toute entreprise est confrontée à des risques qui peuvent être liés à la nature de ses activités, à son mode de fonctionnement, à son marché, aux interactions avec son environnement, etc. Pour demeurer compétitive et gagner en performance, chaque entreprise doit donc, au-delà de ses objectifs en termes d’optimisation des coûts, maîtriser ses différents risques stratégiques et opérationnels et en centraliser le suivi et la gestion, notamment en s’appuyant sur le risk manager. En effet, si la prévention et le suivi de ces risques est indispensable, elle peut aussi s’avérer être un véritable levier de performance pour l’entreprise.
Identifier et évaluer les risques
Gilles Maindrault, directeur des risques groupe La Poste : Chacune de nos activités subit des risques stratégiques externes. Notre branche traditionnelle courrier et colis postal est actuellement confrontée à la dématérialisation et la rationalisation des envois. Comme il s’agit de notre activité principale et historique en termes de chiffre d’affaires et d’emplois, son changement de modèle économique représente un risque important. Dans le domaine de l’express, notre risque stratégique externe porte sur la banalisation de prestations à valeur ajoutée. Cette activité nécessite un certain niveau de sophistication notamment en matière de logistique et de système d’information, ce qui représente un coût que nous devons couvrir par un prix de vente adéquat. Or, dans ce domaine, la concurrence ne cesse de se développer, entraînant une érosion de nos marges en la matière, et donc un risque stratégique. De même, actuellement confrontée à des taux bas et des obligations réglementaires renforcées (Bâle III, Solvency II, etc.), notre activité bancaire est aussi confrontée à un risque stratégique externe important.
Arnaud Tardif, managing director, Fiabilis GEIE : Le contexte réglementaire, notamment en matière de législation sociale, est complexe et changeant : le formalisme demandé ou le décalage entre une loi et son décret d’application en sont deux illustrations. Cela peut représenter pour les entreprises de véritables risques dont elles n’ont pas conscience même si celles-ci maîtrisent leurs processus internes en termes de conformité de paie. En effet, les entreprises sous-évaluent systématiquement les impacts financiers liés à certains risques de redressement. Prenons l’exemple de la généralisation des mutuelles obligatoires : il suffit d’un défaut de formalisme dans les déclarations aux différents organismes pour certains collaborateurs pour être redressées par l’Urssaf sur l’ensemble des salariés. De même pour une politique d’intéressement dont toutes les étapes de formalisme n’auraient pas été respectées en toute bonne foi. En outre, avec la mise en place de la DSN (déclaration sociale nominative), les organismes de recouvrement auront une vision encore plus précise des déclarations, les contrôles seront alors plus ciblés. En Belgique où ce système déclaratif est déjà en place depuis quelques années, les redressements se font à 97 % (contre 65 % en France aujourd’hui). Cela ne veut pas dire qu’il y aura plus d’entreprises redressées, mais que celles-ci seront davantage ciblées grâce à la digitalisation et la déclaration individualisée.
Patrick Lacroix, risk manager Idex : Il est également important que les entreprises se penchent sur leurs risques opérationnels. Chez Idex, nous sommes par exemple confrontés aux risques routiers qui représentent en France la première cause de mortalité liée aux accidents du travail. Nous sommes également exposés à des risques de dommages aux biens. En effet, nous exploitons des installations, sur lesquelles nous pouvons avoir un incendie ou encore des casses de machines ayant des conséquences financières importantes en termes de niveaux de franchises ou de primes d’assurance. Enfin, nous sommes confrontés à des risques en matière de responsabilité civile. Nous pouvons en effet causer des dommages de toute nature à des clients ou à des tiers, générant des coûts à notre charge.
Jean-Philippe Isemann, associé RSM : Les risques opérationnels sont de natures très variées et dépendent du métier de l’entreprise. Nous sommes amenés à intervenir sur les risques liés tant au retail et à la fonction commerciale qu’à la gestion des stocks, au paiement par carte bancaire, etc. Dans le cadre de projets de transformation, un des risques significatifs est clairement la dégradation de la qualité de service ou son interruption. Mais la problématique est bien en amont, sur la mise à disposition de données de qualité. Dans une autre perspective, une insatisfaction des clients qui utiliseront la solution digitale offerte, ou celle des utilisateurs métiers de l’entreprise qui sont au contact de ces mêmes clients constitue un risque opérationnel fondamental.
Arnaud Tardif : Fiabilis en France et en Europe a pour vocation d’évaluer au plus près les risques de ses clients. A cet effet, nos équipes ont une parfaite connaissance de l’environnement réglementaire propre à chaque pays où nous sommes implantés et ont, pour la plupart d’entre elles, déjà eu un parcours professionnel dans les organismes de contrôle et de recouvrement (ex-inspecteurs Urssaf/Acoss). Il est capital de les former à l’évolution législative et à la connaissance de nouveaux outils ainsi que de recruter de nouveaux «transfuges» de l’administration. Si nous ne faisions pas ces efforts permanents sur l’employabilité de nos équipes, nous serions en risque sur notre expertise.
Gilles Maindrault : Comme beaucoup d’entreprises, La Poste se transforme. Nous sommes par exemple passés des centres de tri peu mécanisés avec beaucoup de main-d’œuvre à des centres de tri très mécanisés et informatisés, avec peu de main-d’œuvre. De même, nous sommes passés d’un service financier classique à une activité de banque complète. Il s’agit de transformations majeures de nos activités et des métiers des personnes qui y travaillent. Ne pas faire évoluer leurs compétences représenterait un risque majeur pour nous.
Patrick Lacroix : Pour identifier nos différents risques, nous nous sommes en premier lieu penchés sur les retours d’expérience et l’analyse des causes des sinistres, puis avons mis en place des indicateurs. Nous avons ainsi un suivi des sinistres et de leurs conséquences, notamment financières. Cela nous permet de provisionner chaque année le montant des coûts qui ne sont pas couverts par nos assurances.
Gilles Maindrault : A La Poste, pour identifier et évaluer les risques, nous nous appuyons sur une organisation par niveaux. Pour appuyer la direction générale, le comex et le conseil d’administration de la maison mère, c’est la direction des risques du groupe qui coordonne le fonctionnement global de la filière et l’élaboration de la cartographie des risques majeurs du groupe. La direction des risques travaille avec des correspondants dans chacune de nos branches d’activités, afin d’identifier les risques majeurs au regard de notre modèle économique et de nos enjeux financiers et extra-financiers, et la cartographie des risques du groupe est élaborée de façon remontante et descendante. En effet, nous retenons au niveau du groupe les risques dont nous estimons que leurs différents impacts pourraient être majeurs au niveau consolidé. Nous pouvons aussi avoir des risques identifiés à la demande du comité exécutif, du président, du comité d’audit dans notre cartographie des risques majeurs que nous faisons redescendre au niveau de la cartographie des risques de branches. Chaque branche d’activité dispose aussi de sa propre cartographie de risques relatifs à son activité, qu’elle décline au niveau de des subdivisions et établissements.
Arnaud Tardif : Au niveau du payroll (ensemble des éléments de rémunération, de compensations et de “benefits”), il est essentiel de dresser également une cartographie des risques en analysant les processus, les motifs et les remarques de redressement lors des contrôles Urssaf précédents et en évaluant les politiques de rémunération mises en place dans l’entreprise. La vision doit être la plus exhaustive possible, car les organismes de recouvrement ont également une démarche globale. Nous identifions ensuite les risques sur lesquels l’entreprise souhaite ou peut agir. Cette cartographie prend la forme d’un «contrôle blanc» qui constitue une démarche vertueuse et essentielle à une première maîtrise de son risque social.
Jean-Philippe Isemann : De mon point de vue, deux approches s’opposent mais elles sont en réalité profondément complémentaires et offrent un véritable effet ciseau, garantissant d’être le plus exhaustif possible. Il s’agit de celle du référentiel de risques et de l’approche par scénario de type «what-if». Le référentiel, fondé sur un texte normatif ou réglementaire et/ou sur l’un de nos référentiels de risque sectoriels si le client n’en dispose pas encore, constitue une première «checklist» garantissant un spectre large et sécurisant, évidemment obligatoire lorsqu’il est réglementaire. L’approche par scénario doit quant à elle se fonder là encore sur l’expérience de nos consultants et de nos clients afin de garantir une lecture approfondie du terrain. Il faut donc comprendre les enjeux stratégiques et opérationnels de l’entreprise et pour cela s’investir dans des phases d’immersion terrain. C’est la raison pour laquelle nous demandons à nos clients un véritable parcours initiatique même si nous disposons d’experts dans tel ou tel secteur d’activité. Cette combinaison permet d’identifier au mieux les risques opérationnels.
Mettre en place des plans d’action
Gilles Maindrault : Pour chaque risque majeur identifié, nous avons un propriétaire du risque au sein du comité exécutif responsable de son suivi et de la mise en œuvre des plans d’action. Nous avons ensuite un ou plusieurs porteurs du risque. S’il s’agit d’un risque lié à l’activité d’une branche, le porteur sera un N – 1 du responsable de la branche. Il agit alors à un niveau plus opérationnel, parfois avec d’autres correspondants. Par exemple, s’il s’agit d’un risque transverse sur l’employabilité, nous avons un porteur au niveau de la DRH centrale qui coordonne la définition et la mise en œuvre du plan de maîtrise du risque en lien avec des correspondants RH au niveau de chaque branche d’activité. Les propriétaires et porteurs de risques sont chargés de s’assurer qu’il y a bien un plan de maîtrise du risque, qu’il est bien décrit dans notre cartographie et que, derrière, il existe bien des actions opérationnelles, en phase avec la mise en œuvre de la stratégie du groupe.
Patrick Lacroix : Les plans d’action ne fonctionneront que s’ils sont soutenus par la direction générale et les managers. Chez Idex, l’ensemble de notre flotte de 2 500 véhicules est assuré au tiers. Or, en 2010, nous avons constaté un pic des coûts des sinistres automobiles à notre charge. Nous avons donc mis en place deux procédures en interne. D’une part, le collaborateur concerné passe un entretien post-accident avec son N + 2, pour tout sinistre responsable avec ou sans tiers, afin de débanaliser l’accident, d’en comprendre les causes et de faire en sorte qu’il ne se reproduise pas. D’autre part, les N + 1 réalisent deux fois par an avec les conducteurs un audit préventif des véhicules, pour vérifier si le véhicule est propre, les pneus bien gonflés, les papiers en règles et pour responsabiliser et sécuriser le conducteur, protéger la responsabilité de l’employeur et préserver l’image de marque de l’entreprise. Parallèlement, nous menons d’autres actions de sensibilisation. Nous communiquons ainsi régulièrement sur les coûts des sinistres auprès des directions régionales et des agences. Par ailleurs, nous transmettons régulièrement des fiches de bonnes pratiques sur, par exemple, le respect des distances de sécurité ou les bons gestes d’écoconduite. Nous mettons également en place des formations à l’écoconduite. Grâce à ces différentes actions, nous avons réduit la fréquence des sinistres ainsi que le coût des sinistres à notre charge. Pour les dommages aux biens, nos assureurs visitent régulièrement nos usines de valorisation énergétique et nos principales chaufferies, ils nous font ensuite un rapport avec un certain nombre de recommandations que nous suivons dans le temps.
Jean-Philippe Isemann : La gouvernance des risques opérationnels doit trouver un sponsor au plus haut niveau. Cette préoccupation doit en outre être relayée par chaque étage du mangement. Mais le plus important est sans doute que chaque acteur soit clairement sensibilisé et que les actions soient véritablement déclinées au niveau le plus fin. L’outil de déclaration, de qualification et de management des risques est structurant évidemment. Mais il ne doit pas se substituer à l’intelligence intrinsèque des parties prenantes et leur capacité à identifier, réagir et mettre en œuvre les bonnes pratiques.
Arnaud Tardif : La réalisation de la cartographie globale donne à l’entreprise la vision de ses risques mais aussi celle des indus de cotisations ou trop-versés, qu’elle peut alors réclamer sur trois ans auprès des Urssaf. C’est là où notre démarche se différencie des pratiques d’optimisation courantes, car nous mettons systématiquement face à face les risques et les indus. En effet, une réclamation, surtout si celle-ci est importante, expose les entreprises à des contrôles Urssaf : il est contre-productif voire dangereux de réclamer des indus si l’analyse de risques de redressement sur d’autres postes n’a pas été faite. Un de nos clients dans le conseil nous a contactés pour optimiser son «versement transport». Il avait en effet un trop-versé depuis trois ans auprès de l’Urssaf. En parallèle, nous avons réalisé sa cartographie des risques et avons identifié plusieurs motifs et montants de redressement liés à d’autres charges que l’entreprise n’avait pas appréhendées. Avec notre client nous avons fait les ajustements nécessaires avant la réclamation, formé les équipes et conçu des outils sur mesure pour limiter les «anomalies» dans les futures déclarations. Gérer le risque social, c’est appréhender l’environnement social de l’entreprise dans son ensemble pour améliorer de manière pérenne l’efficacité de ses processus, et ce que le point de vue soit court-termiste ou non, orienté seulement trésorerie ou non.
Maîtriser les risques pour gagner en performance
Patrick Lacroix : Grâce à la maîtrise de nos risques, notre entreprise a gagné en performance. Par exemple, lorsque nous répondons à des appels d’offres, certains de nos clients sont sensibles à nos démarches de gestion et de prévention des risques, ou nos montants de garanties et de franchises de nos assurances. D’autre part, réduire des sinistres importants conduit à terme à réduire le montant de nos primes d’assurances et de nos niveaux de franchises, ce qui impacte notre marge et donc, en bout de chaîne, le prix de nos prestations. Ces démarches participent donc à notre performance commerciale et à notre compétitivité. De même, nos procédures de gestion de crise rassurent nos clients et représentent aussi un levier de performance.
Gilles Maindrault : Dans le groupe La Poste, la maîtrise des risques nous permet de gagner en performance à différents niveaux. Cette performance peut être économique et se mesurer à travers les taux de marge, la trésorerie dégagée par l’exploitation et la rentabilité des fonds propres. Elle peut aussi être extra-financière et en lien avec la qualité des services ou des produits, qui participe à la satisfaction client. La performance peut également être environnementale ou sociétale. Elle se mesure alors via la perception des agences de notation extra-financière. Cette dernière est importante en termes d’image mais aussi en termes de compétitivité car certains grands groupes regardent ces notations avant d’accepter nos réponses aux appels d’offres. Enfin, nous avons aussi une performance sociale vue par nos salariés.
Jean-Philippe Isemann : Maîtriser les risques, c’est mieux maîtriser l’activité. Ce prisme particulier permet de mieux comprendre l’activité et d’identifier les leviers de performance. Il est clair qu’une approche risk management est souvent assimilée à un levier d’alourdissement avec comme seul enjeu la sécurisation fondée sur un empilement de tâches de contrôle. Or, c’est au contraire souvent l’occasion de mettre en place des dispositifs qui permettent d’anticiper des erreurs qui pourraient coûter beaucoup en temps de remédiation ou plus directement en argent. Prévenir, c’est éviter les écueils et les coûts qui vont avec. Une meilleure anticipation des problèmes n’est pas le seul levier de performance. A titre d’exemple, le travail sur les risques humains, la conduite du changement en particulier, permet d’obtenir une meilleure performance des équipes.
Arnaud Tardif : Nous avons donc décidé au sein du groupe Fiabilis, quel que soit le pays, de mettre en place et d’appliquer la norme ISO 27001, pour protéger davantage nos processus et nos outils d’analyse et générer un environnement de sécurité pour nos clients. La mise en place de ces protocoles à finalité interne, nous a permis de travailler avec des clients qui étaient très vigilants quant à la sécurité de gestion des données. Ce qui était à la base une procédure interne de qualité et de protection des risques s’est transformé en atout commercial, en outil de performance externe.
Dans leur recherche de performance financière, les entreprises peuvent également prendre des risques. Nous le voyons par exemple dans le mouvement massif et généralisé de l’externalisation de la paie. C’est aujourd’hui le sens de l’histoire, d’autant plus accéléré par la dématérialisation qu’induit la digitalisation. Il existe cependant un revers à la médaille : en gagnant en performance économique à court terme, les entreprises perdent en autonomie, en contrôle sur la gestion des données et donc en maîtrise du risque. Il semble essentiel de préserver des compétences capables de transmettre en temps et en heure les informations nécessaires et en mesure de détecter des anomalies dans les déclarations transmises aux organismes de recouvrement (Urssaf, Agirc-Arcco, etc.). Ainsi, le responsable paie, accompagné d’auditeurs voire d’experts, est l’interlocuteur pour répondre à l’Urssaf et gérer les relations avec l’organisme, notamment en cours de contrôle. La disparition du responsable de paie ou payroll manager peut avoir des conséquences désastreuses en termes de gestion des risques liés à la rémunération, et des coûts sociaux à moyen terme.
Mesurer la performance liée à la maîtrise des risques
Gilles Maindrault : Pour mesurer cette performance, nous nous appuyons sur différents indicateurs relatifs par exemple aux taux de retour sur fonds propres, aux taux de marge opérationnels, à la capacité à dégager de la trésorerie de l’exploitation, et aux taux d’absentéisme ou de formation. Sur les risques environnementaux, ces indicateurs peuvent porter sur les évolutions d’émission de taux de CO2 ou des notations extra-financières. Ces indicateurs sont très corrélés avec nos objectifs stratégiques, financiers, extra-financiers et opérationnels.
Patrick Lacroix : Chez Idex, nous avons par exemple mis en place des indicateurs sur le taux de fréquence des sinistres automobiles responsables avec tiers. Ce dernier est passé de 12 % en 2010 à 8 % en 2015, grâce aux politiques de prévention et de sensibilisation. Nous communiquons également sur le retour sur investissement des formations à l’écoconduite que nous mettons en place. A cet effet, nous regardons, un an avant la formation et un an après, sur une population donnée, quels types de sinistres automobiles ils avaient eu, combien ils en avaient eu, ainsi que leur coût. Cela nous a permis de constater que nous avions par exemple réduit de moitié le nombre de sinistres responsables avec tiers ainsi que leur coût.
Jean-Philippe Isemann : Il y a évidemment la mesure du ROI. Mais il y a également des aspects beaucoup plus subjectifs qui apportent des clés essentielles aux managers et sont donc les gages d’une aide à la décision de qualité. La satisfaction client interne ou externe, la performance d’un processus ou plus largement d’un logiciel, le respect des délais de conception, de production et de livraison d’un produit. Les bénéfices des plans d’action se mesurent avant tout par rapport à leur propre objectif ! Notre travail consiste à construire les KPI les plus pertinents par rapport aux besoins et au métier de nos clients.
Arnaud Tardif : Il s’agit de définir avec l’entreprise des indicateurs qui ont un lien avec leurs propres risques ou leurs zones de valorisation. L’impact financier est directement mesurable, sur le volet valorisation, par exemple grâce à des indicateurs sur l’évolution des taux de cotisation ou d’accidents du travail. Sur la partie risque, la démarche consiste à arriver à un niveau de granularité en lien avec ce que le client souhaite et ce qu’il est capable de gérer directement. Par exemple, nous avons des clients qui chaque année ont une vingtaine de contrôles Urssaf sur différentes thématiques. Notre démarche consiste alors à analyser les motifs des redressements. Nos indicateurs de suivi vont ensuite permettre d’observer et d’analyser les évolutions des contrôles, les motifs de redressements et rendre compte des améliorations suite aux actions mises en place. L’idée ne consiste pas uniquement à prendre une photo d’une situation à un moment donné mais d’en suivre l’évolution à court, moyen et long termes.