Le pilotage des Risques - Episode 2

Un article de Decision Performance Conseil, développeur de performance.
Alexis Missoffe – Senior Manager @Décision Performance Conseil (DPC)
Alexis Missoffe

Dans mon précédent article, j’ai posé les bases d’une réflexion se voulant en rupture avec les schémas classiques de recherche de relais de croissance.

« Intégrer le pilotage des risques dans les stratégies de recherche de relais de croissance »

Autrement dit : transformer le pilotage pour permettre à l’ensemble des acteurs de savoir où il en est dans la prise de risque au regard des objectifs que s’est fixée la société. Chacun pouvant ainsi agir sur son périmètre de responsabilité en se projetant dans une vision d’ensemble

pilotage des risques

Il s’agit donc maintenant de voir concrètement à quoi nous faisons allusion. La première action consiste à identifier le degré de maturité de la société afin de pouvoir définir une démarche d’amélioration continue globale pour atteindre l’objectif que s’est fixé la société.

pilotage

Cette courbe de maturité part en toute logique du minimum réglementaire attendu pour arriver à une évolution de la stratégie et du pilotage global de l’entreprise.

1. Mise aux normes

Prenons l’exemple d’une société agroalimentaire :

La réglementation impose d’être en mesure de  tracer précisément l’origine des aliments et l’absence de rupture de la chaîne du froid.

Pour autant, les technologies évoluent, les règles changent et les contraintes réglementaires subies ne sont pas uniquement issues de son cœur d’activité (transport, sanitaire et droit du travail par exemple).

Il convient donc d’être en mesure de capter toutes évolutions en provenance des régulateurs pour être certain de rester au bon niveau.

Cette action de veille s’accompagne par la mise en place de processus robustes et de points de contrôle réguliers et fiables.

Ces points de contrôle seront les catalyseurs de plans d’actions réalistes pour permettre à la société de se mettre à jour et pourront servir les besoins du marketing dans le cadre d’une communication commerciale ou institutionnelle

D’un point de vue pratique, toute société agissant sur un secteur d’activité précis devra s’assurer d’être en cohérence avec la réglementation s’y afférant.

Ce premier niveau est pour ainsi dire le « niveau 0 » du pilotage des risques. Il consiste à mettre en œuvre les processus et les contrôles qui permettront de justifier, auprès des régulateurs, que la société respecte les règles qui régissent son activité.

Cette étape, bien que cruciale, n’apporte finalement que très peu de gain et est souvent plus à prendre comme une charge nécessaire que comme une opportunité de croissance… Quoiqu’il reste très intéressant d’en étudier l’impact sur l’activité et la communication qui pourrait être faite pour en tirer un avantage marketing, voir commercial.

certifie

Pour répondre à cette première étape, la principale préoccupation d’un dirigeant d’entreprise sera donc de s’assurer que sa société a bien mis en œuvre les processus adéquats de vérification et de suivi de la qualité qui veilleront à la bonne conformité des actions réalisées par les salariés et les chaînes de production.

Par ailleurs, il devra s’assurer que les contrôles de conformité sont effectués de façon périodique et qu’ils sont régulièrement alignés avec les évolutions réglementaires.

Les conclusions de ces contrôles devront pouvoir être remontées de façon régulière au Comité Exécutif, ou à son équivalent, afin de pouvoir rapidement prendre les décisions nécessaires si des écarts structurels avec les normes devaient être constatés.

Pour autant qu’elle soit importante, cette étape reste bien au niveau « 0 » de cette analyse et ne permet pas de dégager de réelles sources d’économies ou de gains.

6

2. Identification et mesure

Formaliser la connaissance des risques de son activité pour envisager par la suite de les traiter. La connaissance de ses risques est un prérequis nécessaire, mais insuffisant. L’estimation du coût du risque ne permet ni de s’en prémunir, ni de le réduire.

A ce stade, il convient de comprendre où sont les risques dans l’entreprise et quelles activités les génèrent. La cartographie des risques est le moyen le plus simple de mettre en pratique cette analyse.

Cette cartographie ne doit pas seulement être menée au niveau global, mais bien par grandes fonctions et/ou principales activités. Ce n’est qu’après avoir réalisé cette étude au niveau fin de l’organisation qu’il sera possible de les concaténer au niveau central. Quelques prérequis sont évidemment nécessaires.

Avant tout, pour s’assurer que chacun puisse s’y retrouver dans ces analyses, il convient de faire en sorte que tous les acteurs aient adopté un langage commun et que les référentiels d’analyse soient partagés. Cet alignement est le seul moyen de permettre une analyse cohérente et unifiée à tous les niveaux de décision de l’entreprise.

Le deuxième prérequis est de s’assurer que le processus de mesure est fiable et indépendant des personnes qui en ont la charge. Autrement dit, il doit être documenté et normé. Par ailleurs, il conviendra de définir un cadre formel dans lequel seront organisés les moyens à mettre en œuvre pour en permettre d’une part son exécution, mais d’autre part son analyse et ses restitutions.

pilotage

Ce cadre normé devra être constitué de façon à garantir son indépendance et son impartialité. Soit qu’il soit intégré à une direction fonctionnelle avec un mandat clair qui s’imposera à tous (type audit interne), soit qu’il soit directement rattaché à la direction générale (type contrôle interne), soit que la taille de la structure n’impose de se doter de ces deux composantes. Son champ d’action évoluera en fonction du choix d’organisation qui sera retenu.
En tout état de cause, les analyses et les conclusions qui en découleront devront permettre d’établir de façon précise les sources des risques et leurs localisations dans la société.  Elles permettront ainsi de spécifier les risques et de les répartir de façon précise entre :

  • Ceux résultant du quotidien inhérent à  l’activité même de l’entreprise (couvert par le business model) pour lesquels il ne convient pas de s’inquiéter en priorité,
  • Ceux considérés comme spécifiques ou exceptionnels, liés aux activités de l’entreprise, pour lesquels il conviendra de prendre différents types d’actions,
  • Ceux qui seront logés dans les risques extrêmes pour lesquels aucune action réaliste ne peut être mise en place si ce ne sont des études de prospectives économiques complexes à mettre en œuvre et à alimenter.

3. "Pour en garantir la qualité, ce processus devra être répétitif et itératif"

risque

La deuxième étape de cette phase d’identification et de mesure consiste à matérialiser concrètement le coût que pèsent ces risques pour la structure. Il s’agit donc de les financiariser.

pilotage

En effet, si la connaissance des risques portés par l’entreprise est nécessaire ce n’est pas une fin en soi. L’information fondamentale dans le cadre de l’analyse que nous portons est le coût du risque. Autrement dit son poids relatif dans le business model et a fortiori dans l’EBITDA.

Cette mesure ne doit bien sûr être effectuée  qu’après avoir terminé la première étape d’identification. L’identification des risques et leur hiérarchisation permettront de prioriser l’investissement à mettre en œuvre pour effectuer leurs valorisations.

Nous disions précédemment qu’il existait 3 catégories de risques :

  • Les risques du quotidien,
  • Les risques spécifiques ou exceptionnels,
  • Les risques extrêmes.

La priorité d’action est à donner à la deuxième catégorie sur laquelle nous pourrons trouver les plus gros leviers.

tableau

La première catégorie relève des règles internes et des usages que les process d’amélioration continue doivent pouvoir contenir et maîtriser. Ils sont très fréquents et à impacts financiers faibles.

Il sera malgré tout intéressant d’en contrôler la valorisation régulièrement. Il s’agit par exemple :

  • de la perte ou de la casse de matériels sur un chantier de BTP,
  • de crevaisons ou de pannes de véhicules d’une flotte automobile,
  • d’arrêts maladie ou de maternités plus fréquents engendrant des
    déséquilibres d’effectifs ponctuels
pilot

La troisième catégorie porte sa définition par son nom. Il s’agit de risques très peu fréquents mais à impacts financiers majeurs. C’est le cas des impacts du Tsunami ou de l’affaire Kerviel pour la Société Générale par exemple. Si des mesures peuvent être prises a posteriori, il reste qu’il est quasiment impossible de s’en prémunir. Les sources sont souvent la corrélation de plusieurs facteurs aggravants qui pris unitairement ne seraient pas nécessairement catastrophiques.  Il convient donc de mener les réflexions nécessaires pour tenter d’identifier les possibilités d’enchaînement et de trouver les axes d’améliorations qui permettront de les limiter. Pour autant, ils n’interviendront pas dans les mesures portées par notre analyse.

Enfin, reste l’analyse des risques spécifiques ou exceptionnels, celle que nous priorisons.

Ces risques ont l’avantage d’être identifiables et mesurables « simplement ».  Leur valorisation peut se faire :

  • soit sur la base d’études quantitatives par récupération de coûts précédemment identifiés ou de retours d’expérience,
  • soit à dire d’expert.

Cette valorisation des coûts du risque permettra, d’une part, d’identifier les poches de risques et de leur gravité probable et de déterminer les actions à entreprendre et, d’autre part, de pouvoir calculer le coût du risque moyen de l’entreprise. Ces deux informations sont donc essentielles à la conduite des opérations et à la définition de la stratégie de la société.

riri

Maintenant que les constats sont posés, que nous avons identifié et mesuré les risques, nous aborderons dans la prochaine newsletter les méthodes de suivi et de réduction possible et l’imbrication nécessaire du management des risques dans le pilotage de la performance de l’entreprise :

Suivi et réduction

Réduire et maîtriser ses risques. La capacité à agir sur ses risques améliore de façon sensible le résultat opérationnel et diminue les impacts non maîtrisés sur l’activité.

Pilotage de la performance de l’entreprise

Considérer les risques assumés comme un levier de performance. La convergence des pilotages Risques / Finance / Métiers permet d’intégrer la culture risque dès la définition de la stratégie de l’entreprise. Le coût du risque n’est plus une composante déstabilisatrice mais un levier de croissance.

pilotage des risques
tbcmagazine.com

Alexis Missoffe
Senior Manager @Décision Performance Conseil
Mobile : +33 6 09 43 00 20
E-mail : alexis.missoffe@conseil-dpc.com

Suite : Le pilotage des Risques - Episode 3

Article précédent : Le pilotage des Risques, bien sûr!
Une évidence pas toujours si claire