Gestion moderne des risques

Par Diana Del Bel Belluz IL EST POSSIBLE DE MAÎTRISER LE PROFIL DE RISQUE D'UNE ORGANISATION ET DE DÉTERMINER COMMENT ELLE DOIT AMÉLIORER SA PERFORMANCE EN MATIÈRE DE GESTION DES RISQUES Enron, Barings, la Croix-Rouge canadienne, Exxon… Tous ces chefs de file ont fait la manchette en raison des spectaculaires défaillances de leur système de gestion des risques, qui ont entraîné des pertes financières, des incidents touchant l'environnement et la sécurité, des préjudices à la réputation et à la marque et même, pour certains, l'effondrement. Chaque jour, les journaux regorgent de mauvaises nouvelles du genre; qui vous dit que votre entreprise ne sera pas la prochaine à faire la manchette? Toutes les mesures raisonnables ont-elles été prises pour assurer qu'aucune défaillance majeure ne vienne dérégler le processus de gestion des risques? Connaissez-vous les sources de risque pour vos activités? Gérez-vous certains risques avec excès, en y consacrant des ressources et des capitaux qui pourraient contribuer à une meilleure valeur pour les actionnaires? Il existe des façons de maîtriser le profil de risque de votre entreprise et de déterminer si et comment vous devez améliorer sa performance en matière de gestion des risques. On définit généralement le risque comme les inconvénients potentiels d'une décision ou d'une action, et la probabilité d'une perte ou d'un sinistre, ou encore d'un événement et de ses conséquences. Toutefois, l'essence de la gestion moderne des risques vise autant à profiter des opportunités de prospérer qu'à éviter des pertes potentielles. Chaque action mise en œuvre ou omise comporte des risques, positifs par la possibilité de tirer un avantage, négatifs par la menace d'un échec. Ainsi, une fusion ou une acquisition peut être envisagée pour diverses raisons, dont l'avantage concurrentiel que confère une plus grande part du marché ou l'accès à une technologie qui nécessiterait autrement des années de développement. Lors d'une fusion ou d'une acquisition, le rajustement de l'effectif et la gestion des différences de culture d'entreprise peuvent entraîner des coûts monstres, et mener à une diminution du prix des actions ou, dans le pire des cas, à la faillite. La gestion des risques permet d'encadrer l'analyse décisionnelle; elle vise à minimiser la probabilité d'une perte et à maximiser les bienfaits de vos décisions. Pas de décision à prendre, donc probablement pas de risque. L'analyse des risques comporte deux dimensions : l'une, quantitative (ampleur des risques associés à une décision, habituellement exprimée comme la probabilité et l'importance de ses avantages potentiels et de ses conséquences) et l'autre, qualitative (ce que la décision et l'éventail des résultats possibles signifient pour l'entreprise et ses parties prenantes, selon les valeurs, objectifs, besoins et préoccupations de chaque partie). Les domaines traditionnels de la gestion des risques, comme l'assurance et les risques financiers, tendent à se focaliser sur les éléments quantitatifs. Or, si l'on ignore les aspects qualitatifs des risques et la charge de valeur de ces derniers, le résultat peut être désastreux. L'incapacité du secteur de la biotechnologie à rassurer le public au sujet des OGM, par exemple, a mené à leur rejet par un important segment de la population et a entraîné un resserrement des exigences d'étiquetage dans certains pays. Ce domaine suscite de plus en plus l'intérêt du public et des dirigeants du secteur privé — un engouement nourri par les exigences du public et des actionnaires recherchant des entreprises bien gérées qui atteignent leurs objectifs et évitent les pertes. Il y a 20 ans, le gestionnaire des risques était le responsable de l'achat des assurances. De nos jours, les professionnels de la gestion des risques s'occupent de nombreuses questions, notamment des atteintes à la réputation, des exigences de contrôle préalable et des communications avec les parties prenantes au sujet des risques et des avantages associés aux activités de l'entreprise. Un nombre croissant d'organisations se convertissent à la gestion des risques, ce qui les oblige à s'assurer que tous les risques sont gérés d'une manière constante et disciplinée. Cette approche holistique tient compte des aspects stratégiques (quels produits ou services devons-nous offrir pour atteindre nos objectifs?), financiers (comment protéger l'entreprise contre le risque de change?) et opérationnels (quels sont les programmes de prévention des sinistres et les plans d'urgence?). La gestion des risques opérationnels vise l'excellence de l'exploitation et s'appuie sur le processus planification-action-évaluation-ajustement utilisé en gestion de la qualité et de l'environnement. Le processus d'amélioration continue appliqué à la gestion des risques opérationnels compte quatre volets : Planification : nécessite une analyse visant à identifier les risques et leurs répercussions possibles sur les résultats, de même qu'une évaluation du niveau des contrôles des risques existants et l'établissement des actions nécessaires pour colmater les brèches du programme de gestion des risques qui pourraient empêcher l'organisation d'atteindre ses objectifs (s'assurer que l'on fait les bonnes choses). Action : mise en œuvre des contrôles des risques et activités de gestion des risques. Évaluation : recours au contrôle et à la vérification afin de s'assurer que les contrôles des risques sont mis en œuvre comme prévu (s'assurer que les choses sont faites correctement). Ajustement : il est essentiel que la direction générale effectue des examens périodiques pour s'assurer que le programme de gestion des risques continue de répondre aux besoins de l'entreprise et que les modifications nécessaires y sont apportées. Le volet de la planification comporte généralement les étapes suivantes : Identification des dangers. Divers dangers et sources de risque sont cernés, et un inventaire en est dressé. Évaluation des risques. Évaluer la probabilité et la gravité potentielle des conséquences des risques identifiés. Déterminer aussi les niveaux de tolérance, qui reflètent la propension à prendre des risques. Analyse des lacunes. L'efficacité des contrôles de gestion existants pour des risques significatifs est évaluée. Les forces et les faiblesses du cycle d'amélioration continue de l'entreprise en matière de gestion des risques opérationnels sont relevées. Évaluation des options en matière de contrôles des risques. Ces options sont générées et évaluées en fonction de leur potentiel de réduction des risques, des ressources qu'elles requièrent et d'autres avantages liés aux coûts et aux affaires. L'évaluation porte en premier sur les risques les plus importants dont la gestion est jugée médiocre à la suite de l'analyse des lacunes. Le processus commence par la détermination des risques (ou dangers) auxquels l'entreprise est exposée. Cela peut comprendre toutes les sources de sinistres potentiels : pertes d'exploitation, atteintes à la santé, aux biens, à l'environnement, à la réputation de l'entreprise et à d'autres actifs ou objets de valeur. La plupart des méthodes d'identification des dangers sont de nature qualitative et sont bien adaptées au travail d'une équipe de représentants qui connaissent tous les aspects de l'exploitation de l'entreprise. Les listes de contrôle constituent un bon moyen de s'assurer que les risques bien connus sont relevés, et une série de questions de simulation peut aider à déceler les risques cachés. Quelle que soit la méthode, l'équipe d'analyse des risques devrait commencer par examiner les activités de l'entreprise en visitant les installations puis en procédant à un examen de la documentation, notamment de la politique de gestion des risques, des procédures opérationnelles et de toute information disponible concernant les risques (sommaire des déclarations de sinistres, des incidents touchant la santé et la sécurité, des arrêts-machines et des sondages sur la satisfaction des employés). À la fin du processus d'identification des risques, on obtient une liste des sources de risques opérationnels. Exemple de liste des dangers Danger Sinistres potentiels directs et indirects Chargements non arrimés Blessures pouvant entraîner des souffrances humaines, des absences, des amendes et une augmentation du temps de gestion. Manques à produire et pertes de temps attribuables aux articles endommagés ou perdus (recherche des articles égarés ou rechargement sur une nouvelle palette). Palettes endommagées Blessures pouvant entraîner des souffrances humaines, des absences, des amendes et une augmentation du temps de gestion. Manques à produire et pertes de temps attribuables aux articles endommagés ou perdus (recherche des articles égarés ou rechargement sur une nouvelle palette). Congestion des allées Blessures et incidents liés aux tracteurs de manutention. Peut être un obstacle en cas d'évacuation, et entraîner des blessures et des amendes. Absence de protection contre les vols à main armée Blessures, décès, pertes financières, augmentation des primes d'assurance. Véhicules non verrouillés Dommages, perte de véhicule, blessures, décès, augmentation des primes d'assurance. Chutes d'une hauteur importante Blessures pouvant entraîner des souffrances humaines, des absences, des amendes, et une augmentation du temps de gestion et des primes d'assurance. Mauvais service à la clientèle Perte de clients, diminution de la part de marché, profit moindre. Émissions d'oxyde de carbone Problèmes de santé et de qualité de l'air. Dangers relatifs aux déplacements Blessures, augmentation du temps de gestion et des primes d'assurance. Inaptitude à la tâche Utilisation inappropriée de l'équipement, entraînant des incidents qui peuvent porter atteinte aux personnes, aux biens, à l'environnement ou à la production. Articles lourds non palettisés Blessures liées au soulèvement des articles. Fuites provenant d'un appareil de chauffage au gaz Incendie/explosion, blessures, dommages à l'équipement ou à l'immeuble. Absences, amendes, augmentation du temps de gestion et des primes d'assurance. Acides d'accumulateurs Rejet/dégradation dans l'environnement. Amendes. Outils à main Microtraumatismes répétés causés par une mauvaise ergonomie. Pression attribuable aux échéanciers Tendance à aller au plus vite, pouvant réduire la qualité du produit ou causer des incidents. Enchevêtrement dans des équipements comportant des pièces mobiles, p.ex., un convoyeur Blessures, absences. Amendes, augmentation du temps de gestion et des primes d'assurance. L'étape suivante consiste à quantifier le risque associé à chaque danger, ce qui permet de hiérarchiser les risques selon leur acceptabilité, c.-à-d. de cibler ceux qui nécessitent une attention immédiate ou dont la priorité est moindre. L'élaboration d'une matrice de risque est utile pour mesurer le risque posé par divers dangers. Voir l'Encadré «Exemple de matrice de risque» où un axe représente la probabilité des conséquences (ou leur fréquence prévue), et l'autre, la gravité de ces conséquences. Quatre catégories permettent de classer la fréquence : improbable, rare, occasionnelle et fréquente. L'axe des conséquences peut refléter une vaste gamme de conséquences potentielles. Exemple de matrice de classement de la gravité des conséquences Catégorie SANTÉ SÉCURITÉ ENVIRONNEMENT ENTREPRISE Catastrophique   • Maladie mortelle • Responsabilité • Blessure mortelle • Responsabilité • Émission brute de produits chimiques toxiques ou contrôlés • Procès, pénalités et amendes • Fermeture de l'installation pendant une semaine ou plus • Perte financière ou dommages de 1 000 000 $ ou plus Critique   • Maladie chronique permanente • Invalidité de longue durée • Responsabilité • Absence de plus d'une journée pour cause de blessure • Responsabilité • Rejet externe contenu • Amendes, ordonnance de réglementation du ministère • Arrêt d'une chaîne de montage ou plus, jusqu'à la fermeture complète de l'usine, de une journée à une semaine • Perte de 100 000 $ à 1 000 000 $ Modéré   • Maladie curable de longue durée • Aucune responsabilité • Soins médicaux d'une journée ou moins • Responsabilité minimale • Rejet interne contenu • Arrêt d'une chaîne de montage pendant une journée ou moins • Perte de 10 000 $ à 100 000 $ Mineur   • Maladie curable de courte durée • Aucune responsabilité • Premiers soins, aucune absence • Aucune responsabilité • Rejet interne de moins de un gallon, pouvant être contenu et nettoyé • Fermeture d'une chaîne de montage pendant une heure ou moins • Perte de moins de 10 000 $ La tolérance d'une entreprise à l'égard des risques se trouve codifiée lorsque le niveau de risque qu'elle attribue à chaque cellule de la matrice de risque est établi. L'Encadré «Exemple de matrice de risque» définit cinq niveaux de risque, allant de très faible à très élevé. Chaque organisation a sa propre tolérance à l'égard du risque et son propre profil de risque. La propension d'une entreprise à prendre des risques est liée à ses valeurs, à ses objectifs et à sa culture. Il est essentiel que l'équipe de leadership de l'organisation établisse les critères de tolérance à l'égard du risque et fournisse l'engagement, le soutien et les ressources nécessaires aux dirigeants pour qu'ils puissent élaborer et mettre en œuvre des activités de gestion des risques. Lorsque l'entreprise a une solide maîtrise de son profil de risque, elle doit déterminer si sa gestion des risques est excessive ou insuffisante. L'analyse des lacunes appliquée à un système de gestion a pour but de déterminer avec quelle efficacité (selon les meilleures pratiques) l'entreprise gère ses risques. L'analyse est menée à deux niveaux : celui de l'efficacité des contrôles de risque existants pour les dangers et les scénarios définis (conception et mise en œuvre du système, rôles et responsabilités, et communications) et celui de l'efficacité du système de gestion dans son ensemble (planification-action-évaluation-ajustement). Le processus d'analyse des lacunes est plutôt simple : pour chaque risque significatif, l'équipe relève les contrôles des risques existants et attribue une cote (élevée, moyenne ou faible) à sa façon de gérer les risques, selon les critères suivants : qualité de la conception et de la mise en œuvre des politiques et procédures de gestion des risques qui permettra d'atteindre l'excellence opérationnelle; compréhension et adoption de rôles et responsabilités à l'égard de la gestion des risques, tant par les dirigeants que les employés; efficacité de la communication à l'égard des risques opérationnels. Ce classement de l'efficacité de la gestion est utilisé de pair avec le classement des risques dans le but de produire une matrice d'analyse des lacunes (voir l'Encadré «Exemple d'analyse des lacunes») qui contribuera à clarifier les priorités à respecter dans le processus d'amélioration. Lorsque l'entreprise maîtrise ses risques et connaît les forces et faiblesses de son système de gestion des risques, elle peut mieux répartir les ressources correspondantes. L'Encadré «Exemple d'analyse des lacunes» montre quatre niveaux de priorité d'action; le premier touche les risques très élevés combinés à une faible efficacité du système de gestion, et le quatrième touche les risques très faibles assortis d'une efficacité élevée du système de gestion. Il est important de préciser qu'une analyse des lacunes n'est pas une vérification du respect des exigences réglementaires. Toutefois, il est prudent de profiter de l'occasion pour relever les exigences réglementaires et les lacunes propres aux scénarios de risque à l'étude. Les lacunes typiques des systèmes de gestion des risques comprennent une piètre communication des politiques et procédures, l'échec du suivi de la performance en la matière, une mauvaise tenue de dossiers, la non-consignation des incidents évités de peu, et le manque de planification d'urgence, y compris les plans en cas de sinistre et les plans d'évacuation. L'étape finale de la planification d'un système de gestion des risques consiste à générer, évaluer et sélectionner les contrôles des risques. L'évaluation doit tenir compte de la réduction prévue des risques (par la réduction soit de la fréquence, soit de la gravité des conséquences), des avantages (meilleur moral, réduction des déchets) et des coûts (ressources requises en argent, en temps et en espace). Il convient également de tenir compte des effets secondaires (nouveaux dangers découlant des contrôles choisis) et de l'acceptabilité des contrôles. Par exemple, les tests de dépistage de la consommation d'alcool ou de drogues peuvent sembler une solution évidente pour réduire les accidents liés à l'aptitude à la tâche, mais ils peuvent aussi nuire au moral et, selon le territoire, peuvent faire l'objet de restrictions. Après avoir établi le profil de risque de votre entreprise et effectué l'analyse des lacunes, vous ne regarderez plus jamais vos activités d'exploitation du même œil. Vous aurez une conscience aiguë de l'accroissement potentiel de vos risques et de ce que vous devez faire pour gérer de façon efficace et efficiente vos risques opérationnels, afin que votre entreprise puisse poursuivre sa croissance et prospérer. Diana Del Bel Belluz, M.A.Sc., P.Eng., est présidente de Risk Wise Inc. Cette chronique est dirigée par Peter Jackson, CA, consultant de Toronto en performance organisationnelle et gouvernement d'entreprise.