septembre 2000 — ÉDITION IMPRIMÉE       septembre 2000 Gérer les risques dans l'organisation Contenu       Gérer les risques dans l'organisation Par George N. Allport Un programme global de gestion des risques doit permettre de déterminer et de quantifier l'incidence de l'ensemble des risques dans l'organisation. Illustration : Sara Tyson La plupart des organisations sont exposées à trois types de risques : les risques stratégiques, financiers et opérationnels. Les risques stratégiques comprennent des éléments comme la désuétude des produits et les changements dans les systèmes de distribution, alors que les risques financiers comprennent la volatilité des taux d'intérêt, le risque de change et le risque de défaut. On définit souvent les risques opérationnels comme les risques qui ne sont ni stratégiques ni financiers. Il peut s'agir de risques assurables, comme l'incendie d'une usine, et de risques non assurables, comme la perte, au profit d'un concurrent, d'une équipe de conception pivot. Dans la plupart des organisations, la responsabilité des risques stratégiques, financiers et opérationnels incombe à différentes personnes de divers secteurs. Par exemple, il revient généralement au directeur général et aux directeurs sectoriels d'atténuer les risques stratégiques. Pour ce faire, ils mettent en oeuvre des programmes efficients de développement de produits, ils simplifient les systèmes de distribution et ils mettent continuellement à jour les stratégies de marketing. Pour leur part, le directeur financier et le trésorier ont la responsabilité de gérer les risques financiers en recourant à des opérations de couverture, à la diversification ou à d'autres techniques de réduction des risques. Par ailleurs, il appartient aux divers directeurs dans l'ensemble de l'organisation de gérer les risques opérationnels. Ainsi, la gestion de l'interruption des activités découlant de catastrophes naturelles ou humaines relève du gestionnaire de risques traditionnel, alors que la responsabilité d'atténuer les risques liés à l'emploi, en offrant des régimes d'avantages sociaux intéressants et en établissant un milieu de travail sécuritaire, appartient, du moins en partie, au directeur des ressources humaines. La responsabilité des autres risques opérationnels, comme la perte de clients en raison de retards de livraison, incombe aux autres directeurs. Bien que les risques stratégiques, financiers et opérationnels soient différents, la gestion des risques financiers et celle des risques opérationnels assurables est similaire : elle correspond à la gestion des coûts. Les risques financiers et les risques opérationnels assurables se traduisent par des pertes financières pour l'organisation, ce qui représente en définitive des coûts pour celle-ci. Les trésoriers et les gestionnaires de risques ont par conséquent recours aux produits dérivés et aux contrats d'assurance pour limiter ou transférer ces risques «de perte», ce qui permet de réduire les coûts que ces risques pourraient engendrer au bout du compte. Cependant, l'utilisation de produits dérivés et de contrats d'assurance pour limiter le coût ultime des risques sans examen de la corrélation entre les risques stratégiques, financiers et opérationnels peut donner lieu à des problèmes. Il peut arriver qu'une entreprise mette en place des programmes de gestion des risques qui ne prennent pas en compte l'effet multiple que peut avoir sur elle un risque donné. En conséquence, l'entreprise pourrait engager une dépense (le produit dérivé ou le contrat d'assurance) sans potentiel de «hausse» et n'offrant peut-être qu'une protection limitée contre les «pertes». De nombreux gestionnaires de différents échelons estiment à l'heure actuelle que, s'il leur est possible de déterminer et de quantifier l'incidence de l'ensemble des risques auxquels est exposée leur organisation, ils pourront trouver des moyens plus efficaces et efficients de financer et d'atténuer les risques en cause. C'est ce que permet la gestion des risques de l'entreprise (GRE), que l'on définit généralement comme une approche systématique et holistique de gestion des risques à l'échelle de l'organisation. Les partisans de la GRE croient qu'elle permet d'améliorer l'efficience opérationnelle et la gestion du fonds de roulement, et de réduire ou de stabiliser le coût global du capital pour l'entreprise. Grâce à la GRE, l'entreprise peut établir des relations plus efficaces avec ses partenaires au chapitre de la gestion du risque, dont les banques, les compagnies d'assurances, les consultants et même les autorités de réglementation. Les partisans de cette approche estiment également que la GRE permet aux entreprises d'obtenir une couverture d'assurance adaptée à leurs besoins particuliers, et de produire des comparaisons de la performance ajustées en fonction des risques afin de démontrer la valeur offerte aux actionnaires. Le problème - et le défi - consiste à déterminer comment mettre en oeuvre un processus global de collecte et de partage de l'information lorsque les organisations sont divisées en diverses sections, divisions ou filiales, et qu'elles sont réparties sur plusieurs continents ou dans le monde entier. Le défi peut être relevé, mais il faut que de nombreuses personnes prennent un grand nombre de mesures - et les appliquent de façon continue de sorte que la GRE devienne un processus continu plutôt que ponctuel. Pour élaborer et mettre en oeuvre un programme de GRE, il est nécessaire d'identifier et d'évaluer les risques auxquels est exposée l'organisation, puis de les analyser et de les classer par ordre de priorité. Ensuite, il faut quantifier l'ampleur de ces risques et leur incidence financière, puis concevoir et mettre en application au moins une stratégie d'atténuation. Enfin, la stratégie de gestion des risques à l'échelle de l'entreprise doit faire l'objet d'un suivi et d'améliorations. Pour gérer les risques, il faut connaître ceux auxquels l'organisation est exposée. Par conséquent, la première étape de l'élaboration d'un programme de GRE consiste à identifier l'ensemble des pertes (grandes et petites) que l'organisation a subies pendant un nombre d'années déterminé. Ces pertes ne constituent pas en soi des risques, mais elles en sont les signaux indicateurs : la preuve que des risques ont existé et qu'ils ont entraîné une perte financière pour l'organisation. Certaines pertes sont déjà connues, comme celles qui étaient assurées. Ce sont les autres pertes, comme les livraisons mal adressées de produits ou le gaspillage de matières brutes qui, bien que plus difficiles à mettre au jour, doivent néanmoins être retracées. À qui appartient la tâche d'identifier la multitude d'éléments susceptibles d'entraîner une perte financière pour l'organisation - aux employés ou à des consultants externes - et de quelle façon cette tâche doit-elle être menée à bien? La meilleure façon de procéder consiste à se rendre sur place et à interroger les employés, puisque les gens sont habituellement disposés à discuter des problèmes de travail qui ont un effet néfaste sur l'entreprise. Il est donc de la plus haute importance que la personne qui veut obtenir l'information nécessaire pose les bonnes questions et, peut-être plus important encore, soit à l'affût de signaux indicateurs de risque dans les réponses données. Il est aussi possible d'identifier les pertes en passant en revue, avec le chef du contentieux, les poursuites intentées ou les réclamations présentées contre l'entreprise. Cette démarche ne devrait jamais remplacer une enquête interne, mais elle peut contribuer à identifier les risques qui se sont transformés en problèmes relativement importants. Au bout du compte, il peut être nécessaire de passer en revue les dommages-intérêts légaux pour déterminer le coût potentiel de chaque risque. Ce processus peut impliquer l'examen de vieux dossiers ou d'anciennes opérations, en particulier ceux et celles qui se sont révélés problématiques, afin de voir ce qui s'est passé, la façon dont le problème a été réglé et ce qu'il en a coûté pour le résoudre. C'est un processus qui peut s'avérer long et coûteux. Les employés et les dirigeants de l'entreprise doivent inévitablement consacrer beaucoup de temps à ce processus d'identification, en particulier si les vieux dossiers doivent être récupérés, voire reconstitués. Les pertes ne diffèrent pas seulement quant à leur montant, mais aussi quant à l'importance qu'elles représentent pour l'organisation. Des livraisons en retard peuvent engendrer des pertes parce que les paiements connexes seront faits en retard, mais il est possible que de telles pertes soient moins importantes que la perte de lots entiers de produits découlant d'un contrôle inadéquat de la pureté des matières brutes. Par contre, le total des paiements tardifs rattachés aux envois en retard pourrait être bien supérieur au coût découlant de l'obligation de se défaire d'un lot complet de production. Quels sont les risques les plus importants? Lesquels peuvent être atténués rapidement et facilement, et lesquels mettent en péril l'existence de l'entreprise? Il est difficile de hiérarchiser la multitude de risques en cause, et les employés ne sont pas nécessairement en mesure de juger de la chose. Par exemple, des erreurs de traitement minimes peuvent paraître normales pour les employés, mais le client peut trouver, quant à lui, qu'il s'agit d'un motif suffisant pour se tourner vers un autre fournisseur. Pour obtenir un classement objectif des risques, il peut être nécessaire de faire appel à des experts de divers domaines, et ce coût supplémentaire doit être pris en compte dans l'évaluation globale. Une fois que les informations sur les risques ont été recueillies et classées par ordre de priorité, l'organisation peut alors quantifier son niveau de risque. Diverses méthodes doivent être utilisées, car les risques prennent diverses formes. La méthode de Monte Carlo (reposant sur des simulations) est presque toujours employée, mais les valeurs extrêmes doivent aussi faire l'objet de tests. Selon un auteur qui connaît le sujet, le choix des outils de modélisation offert à l'heure actuelle constitue un «véritable buffet de méthodes». (La méthode de Monte Carlo est une technique d'échantillonnage statistique utilisée pour estimer une gamme de résultats possibles pour un événement dont le résultat ne peut être prédit avec exactitude. Dans l'application de cette méthode, il faut avoir au départ une certaine idée des probabilités d'occurrence de l'événement, c'est-à-dire une distribution des probabilités, et mettre ensuite en marche un programme informatique qui «simulera» une gamme de résultats possibles au moyen d'un grand nombre d'opérations itératives. Cette technique permet d'avoir une idée du degré de probabilité de certains résultats négatifs.) Ironiquement, la modélisation des risques identifiés peut elle-même engendrer de nouveaux risques. Les modèles de risque sont à l'origine de certains échecs importants survenus au cours des 10 dernières années. C'est ainsi que les risques afférents aux modèles sont devenus une source de préoccupation importante pour les entreprises qui dépendent de la quantification de données financières. Si les stratégies d'atténuation des risques doivent dorénavant s'appuyer sur des modèles de risque, il importe que l'organisation se sente à l'aise avec le degré et la précision des modèles qu'elle utilise. Une fois que l'ensemble des risques sont identifiés et quantifiés, l'organisation peut commencer à utiliser l'information obtenue de diverses façons. Elle peut s'en servir pour mesurer la rentabilité ajustée à des valeurs de risque (pour l'entité, une filiale ou une division); pour élaborer des procédures, comme des programmes d'assurance de la qualité, visant à atténuer les risques; ou pour définir les types d'assurance à se procurer ainsi que leur montant. Le coût rattaché à l'obtention d'informations sur le risque et les complications qui en découlent, la difficulté de quantifier ces informations, ainsi que l'inexactitude potentielle de la modélisation du niveau de risque, ont empêché de nombreuses entreprises de mettre en place un programme de GRE. En outre, en raison de la concurrence qui existe dans le secteur de l'assurance, les entreprises ont moins besoin de mettre en oeuvre un programme de GRE coûteux. Au cours des cinq dernières années, les compagnies d'assurances ont élargi leur couverture tout en réduisant les primes et, même si le risque à l'échelle de l'entreprise n'est pas assuré, un plus grand nombre de risques individuels sont couverts à des tarifs concurrentiels. Malgré tout, l'intérêt pour la GRE croît rapidement, et de plus en plus de cabinets-conseils et de cabinets comptables offrent des services dans ce domaine. Les courtiers d'assurances fournissent également une assistance en matière d'élaboration de stratégies de GRE, et les compagnies d'assurances sont disposées à leur venir en aide en mettant au point des contrats d'assurance sur mesure. Les obstacles à l'élaboration réussie d'un projet de GRE demeurent importants, mais les buts visés en valent la peine. Il est possible que le monde des affaires en vienne à considérer la gestion des risques de l'entreprise comme étant simplement la combinaison d'un contrôle de la qualité, d'une gestion financière prudente et d'une planification d'entreprise éclairée. Chaque entreprise trouvera sa propre voie vers le succès.   George N. Allport est premier vice-président et directeur de la division des risques alternatifs chez Chubb & Son, à Warren, au New Jersey. Cette chronique est dirigée par Peter Jackson, CA, consultant de Toronto en performance organisationnelle et gouvernement d'entreprise.