Mettre en œuvre une politique de maîtrise des risques
La politique de maîtrise des risques est un document formalisé fixant les grandes orientations de l’entreprise en matière de maîtrise des risques. Il est le plus souvent validé par la direction générale de l’entreprise et/ou son conseil d’administration. Comment élaborer ce document et comment prioriser les risques ? Voici des éléments de réponse.
Définition et contours
La politique de maîtrise des risques se définit comme le document encadrant l’organisation et les objectifs de la fonction en charge de la gestion des risques et intègre les priorités de cette dernière ainsi que les moyens de faire face aux risques prioritaires[1].
Les points clés composant cette politique sont les suivants :
- définition de l’organisation de la gestion des risques dans l’entreprise, en tant que dispositif : organisation de type filière transverse de gestion des risques, organisation avec un comité des risques dédié, moyens définis y compris en termes d’équipe assurant la gestion des risques dans l’organisation ;
- définition d’un cadre d’appétence aux risques.
Il s’agit de suivre des risques plus spécifiques et de déterminer des seuils qualitatifs ou quantitatifs constituant des limites à ne pas franchir ou devant alerter en cas de franchissement. À titre d’exemple, un cadre d’appétence aux risques peut porter sur les risques financiers, sur les risques de conformité ou même encore sur certains risques opérationnels (risques de sécurité, risque logistique).
Des limites de risques formalisées et justifiées (au regard d’études de risque, de crise, d’incidents, de comparaison à d’autres entreprises) seront également proposées. La fixation d’un cadre d’appétence aux risques suppose une révision annuelle en vue de rester en cohérence avec les choix stratégiques, financiers et opérationnels de l’entreprise ;
- définition d’indicateurs clés de risques.
Ils permettent de suivre dans le temps l’évolution favorable ou défavorable de l’exposition aux risques (dégradation de la solvabilité de l’entreprise, augmentation du risque de trésorerie…) ;
- définition d’un processus d’escalade auprès de la gouvernance d’entreprise en cas d’exposition à un risque élevé ou réputé non acceptable, ou en cas de non-respect du cadre d’appétence au risque précité.
Le rôle d’une telle démarche est alors de prioriser un nombre restreint de risques, sans rechercher nécessairement l’exhaustivité dans l’identification des risques, mais en s’assurant que les risques incontournables pour l’organisation sont bien identifiés et que ceux réellement intolérables figurent dans le top 10 des risques[2].
La suite d’une telle démarche permet d’aboutir à un ensemble de questionnements portés auprès des organes de gouvernance tel qu’illustré dans le tableau 1.
Principe de proportionnalité
L’application d’une politique de maîtrise des risques est aussi une question de priorisation et de moyens.
Comme l’évoque un directeur général adjoint rencontré dans le cadre d’une mission en entreprise, « la gestion des risques n’a pas de ressources illimitées. En tant que responsable des risques, vous devez aller sur les sujets prioritaires et admettre que vous ne pourrez pas tout traiter. Il faut faire le deuil des sujets secondaires même si cela peut sembler frustrant car les métiers vous sollicitent. On préfère voir la gestion des risques sur ce qui peut coûter le plus cher à l’entreprise ou sur ce qui constitue une obligation réglementaire forte ! »
« En tant que responsable des risques, vous devez aller sur les sujets prioritaires et admettre que vous ne pourrez pas tout traiter. »
Cette logique suppose alors que la gestion des risques soit adaptée dans ses moyens (en effectifs équivalents temps plein, en outil, en budget des risques) aux périmètres à couvrir. Cela suppose aussi d’avoir les moyens de traiter les risques complexes, chronophages, variés auxquels la gestion des risques est confrontée.
Illustration d’une politique de maîtrise des risques face au risque de conformité
La prise de décision adaptée face au risque, formalisée dans une politique de maîtrise des risques de conformité, suppose également un système d’arbre de décision adapté à chaque risque.
Pour les risques de conformité, nous suggérons, à titre illustratif, une matrice de décision dédiée. Le tableau 2 est un exemple de matrice décisionnelle face au risque de conformité. Il détaille différents niveaux de risque :
- les risques majeurs sont ceux avec une forte probabilité de contrôle et de sanction en cas de contrôle ;
- les risques forts impliquent une plus faible probabilité d’être contrôlé mais un risque probable de sanction en cas de contrôle ;
- les risques modérés impliquent une probabilité moyenne d’être contrôlé et une sanction moins dissuasive en cas d’infraction ;
- les risques faibles portent sur des cas de figure où l’entreprise n’a que peu de chance d’être contrôlée et sanctionnée.
Comme l’évoquent certains auteurs[3], ce type de politique suppose de choisir ses priorités, y compris en matière de risque réglementaire où une entreprise peut avoir une appétence précise. Il suffit de choisir son infraction préférée : celle pour laquelle l’entreprise estime la probabilité de contrôle faible et la probabilité de sanction en cas de contrôle également faible, avec en prime certaines sanctions peu dissuasives.
Une appétence aux risques visera donc à traiter ces non-conformités à faible probabilité et à faible impact dans un second temps, en gardant les budgets de maîtrise des risques pour les réglementations avec fort risque de sanction, d’amende élevée voire de médiatisation de la sanction (infraction au RGPD, infraction aux lois sur le contrôle des concentrations par exemple).
Tableau 1. Exemple de questionnements clés associés à l’appétence aux risques
Questions | Contribution à l’appétence aux risques |
---|---|
Qu’ai-je appris de mon risk manager en tant que directeur général ? | Informer la direction de l’entreprise sur des risques sous-estimés peut permettre de réviser l’appétence aux risques et ainsi éviter la propagation d’incidents non connus. Cette démarche suppose une révision dynamique de la cartographie des risques et le repérage de signaux faibles. |
Les principales craintes de la direction générale face aux risques sont-elles justifiées ? | Les analyses de risques, audits et contrôles réalisés doivent permettre d’éviter de surestimer certains risques et donc de réviser l’appétence aux risques en conséquence. Cela permet de ne pas dévier dans une approche de type principe de précaution pour des risques de moindre importance. |
La gouvernance d’entreprise est-elle informée suffisamment rapidement sur ce qui dysfonctionne dans l’entreprise ? | L’appétence aux risques doit pouvoir être fiable et actualisée. Le rôle de la démarche de gestion des risques est de pouvoir alerter rapidement la gouvernance en cas de dérive de certains risques. L’appétence aux risques s’appuie sur un dispositif d’informations régulières sur les risques, allant au-delà d’une révision annuelle de la cartographie des risques. Elle suggère un pilotage dynamique et des comités dédiés à la thématique « gestion des risques ». |
L’entreprise est-elle capable de réagir suffisamment vite en cas de dérive du profil de risque ? | L’appétence aux risques a-t-elle conduit à préparer des actions du management de l’entreprise ? Les mesures face à différents scénarios de risques majeurs sont-elles définies, organisées et financées ? |
L’entreprise a-t-elle une compréhension des risques associés au facteur humain ? | Définir les erreurs admises, les défauts de qualité de données admis, ou par exemple les décisions devant être collégiales ou non afin de limiter les impacts majeurs voire stratégiques issus d’une mauvaise décision ou absence de décision consécutive à l’intervention du jugement humain. Mise en place d’une gouvernance des risques (comité d’audit, comité des risques). |
Tableau 2. Exemple de matrice de décision face au risque de conformité
Probabilité de sanction | ||||
---|---|---|---|---|
Majeure | ||||
Forte | Infraction à la réglementation RGPD | |||
Modérée | Infraction en matière de protection de la clientèle | Infraction à la réglementation en matière de concurrence | ||
Faible | ||||
Faible | Modérée | Forte | Majeure | |
Probabilité de contrôle |
[1] Le coût du risque, un enjeu majeur pour l’entreprise, J.-D. Darsa et N. Dufour, Gereso, 2014
[2] Norme ISO 31000 : 2018 – Management du risque – Lignes directrices – Mise en œuvre opérationnelle, Revue Techniques de l’Ingénieur, Réf : SE1022 v1, N. Dufour, 2020
[3] Dynamique normative. Arbitrer et négocier la place de la norme dans l’organisation, Laurent Cappelletti, Benoît Pige, Véronique Zardet, EMS Éditions, 2015
Article extrait du n° 594 de Face au Risque : « Éviter les chutes » (juillet-août 2023).
Nicolas Dufour
Docteur en sciences de gestion, professeur des universités associé au CNAM et Risk Manager dans le secteur de l’assurance
Les plus lus…
Le BEA-RI ouvre deux enquêtes en cette fin d'année 2024. La première concerne un incendie survenu le mardi 3…
Le rapport annuel 2023 de l'Assurance maladie - Risques professionnels a été dévoilé le vendredi 13 décembre 2024. Voici…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…