novembre 2007 — ÉDITION IMPRIMÉE    
 
Contenu
   
 

La gestion du risque d’entreprise

Par Yves Nadeau

Ce modèle offre une vision globale des risques, tout en favorisant une meilleure coordination entre les niveaux de l’entreprise

La notion de risque est inhérente aux affaires commerciales. Le financier en chacun de nous sait fort bien que sans risque, le rendement ne sera pas au rendez-vous. Mais compte tenu du grand éventail et de la complexité des risques auxquels les entreprises font face, il n'est pas étonnant que les dirigeants d’entreprise recherchent une infrastructure convenable et des outils pratiques pour parvenir à les gérer efficacement. Cette tâche peut leur sembler d’autant plus difficile qu’ils sont déjà aux prises avec de nombreuses préoccupations quotidiennes, souvent exacerbées par la mise en marché de nouveaux produits, une réorganisation ou l’implantation d’un nouveau système informatique par exemple, ou encore par les demandes accrues du comité de vérification ou des autorités réglementaires en matière de conformité.

En quoi consiste la GRE

Le COSO (Committee of Sponsoring Organizations) propose la définition suivante de la Gestion du risque d’entreprise (GRE) : «Un processus mis en œuvre par le conseil d’administration, la direction et d’autres membres du personnel d’une entité, appliqué lors de l'établissement des stratégies et à l’échelle de l’entreprise, qui vise à identifier les événements potentiels susceptibles d’affecter l’entité, et à gérer le risque pour qu’il demeure dans les limites de sa propension au risque, pour fournir une assurance raisonnable concernant l'atteinte des objectifs de l’entité.» Plus succinctement, on dira que les stratégies, les ressources humaines, les processus, la technologie et les connaissances sont alignés pour gérer les risques à l’échelle de l’entreprise.

Pourquoi effectuer la GRE?

La GRE offre une solution aux dirigeants d’entreprise en leur proposant un processus continu et la mise en place d’outils de gestion éprouvés. Grâce à une bonne GRE, ils sont bien informés de tous les risques de l’entreprise et de leur incidence, et peuvent ainsi établir les priorités d’action. La GRE permet en effet à l’entreprise de :

  • réduire les écarts de rendement inacceptables, en instaurant un processus d’évaluation de l’incidence et de la probabilité des risques et en proposant des réponses à ceux-ci;
  • supprimer le cloisonnement ou la «mentalité de silo» qui peut prévaloir au sein de l’organisation et de fournir à ses dirigeants une vision globale des risques;
  • réagir de façon adéquate à l’évolution du milieu des affaires, en favorisant la proactivité requise pour identifier les risques émergents, mieux les comprendre et s’y adapter convenablement;
  • bien aligner toutes ses ressources afin de gérer les risques, contrôler les coûts et assurer la conformité;
  • prendre des risques et les gérer efficacement, lui procurant un avantage concurrentiel et améliorant sa capacité de saisir des occasions d’affaires;
  • consolider la gouvernance d’entreprise tout en augmentant la confiance des parties prenantes et autorités de réglementation.

La GRE à l’heure actuelle

Les entreprises ont toujours géré leurs risques. Cependant, depuis environ dix ans, la GRE propose une structure plus formelle de cette fonction critique. La prolifération des scandales financiers, la multiplication des actes terroristes et la nécessité, pour les entreprises, de se conformer à la Loi Sarbanes-Oxley ou à son équivalent canadien, sont parmi les facteurs qui expliquent un intérêt accru pour cette discipline. Le Conference Board du Canada a d’ailleurs effectué un sondage auprès de 81 entités canadiennes et cinq américaines composées d’organismes gouvernementaux (25 %), de sociétés ouvertes (23 %), de sociétés d’État (21 %) et autres (31 %). Il a constaté que 87 % des entités disposaient d’un cadre de GRE et 61 % d’un groupe de gestion des risques, mais de l’ensemble, seulement 54 % disposaient d’un budget annuel à cet égard. Une donnée plus inquiétante révèle que seulement 38 % des entreprises se considéraient efficaces dans l’identification et la gestion de leurs risques.

Il n’y a pas de solution unique en ce qui concerne l’application d’un cadre de GRE au sein des entreprises, comme le démontre le graphique à la page 49. La moitié des entreprises appliquent un cadre de GRE développé sur mesure ou de type hybride. Plusieurs autres entreprises (37 %) utilisent des modèles reconnus comme celui du COSO, la norme australienne 4360 ou d’autres cadres formels. Les politiques, les processus, l’ensemble des compétences, les rapports, les méthodologies et les systèmes qui composent les éléments de la solution pour une entreprise donnée peuvent effectivement être différents de ceux d’une autre entreprise, car les objectifs, les stratégies, la structure, la culture, la propension aux risques et la solidité financière de chaque entreprise sont différents. Il s'avère toutefois que les approches de GRE les plus efficaces sont celles qui mettent l’accent sur une participation active de la haute direction, la mise en place d’une infrastructure de GRE, une analyse exhaustive des risques et l’amélioration continue des processus.

Mise en œuvre de la GRE

La mise en œuvre du processus décrit par le graphique ci-dessous peut s’échelonner sur trois à cinq ans. Elle comporte quatre étapes, soit l’appréciation des risques, l’analyse de la situation actuelle, la détermination de l’état désiré et l’élaboration d’un plan d’action. Pour réussir, ce processus doit être appliqué à l’échelle de l’entreprise, à chaque niveau et dans chaque unité opérationnelle. Cela nécessite une vue d’ensemble de tous les risques, et la haute direction choisira souvent d’attribuer au directeur financier un rôle de coordonnateur de la gestion des risques, dans l’attente du déploiement de l’infrastructure.

Appréciation des risques

L’entreprise doit d’abord identifier et prioriser les risques qui, s’ils se concrétisent, auront une incidence sur l’entreprise. Il s’agit de déterminer si ces risques représentent des occasions ou s’ils peuvent avoir un effet négatif sur la capacité de l’entreprise de mettre en œuvre sa stratégie et d’atteindre ses objectifs.

On peut avoir recours à de nombreuses techniques pour identifier les risques, notamment des entretiens avec des groupes d’employés, des ateliers facilités, des questionnaires et sondages, ainsi que l’analyse de l’enchaînement des opérations. Plusieurs logiciels disponibles sur le marché peuvent également être utiles pour identifier et calibrer les risques.

Les risques dont l’incidence et la probabilité sont les plus grandes recevront évidemment une attention prioritaire. La carte des risques à la page 51 illustre l’incidence des principaux risques auxquels les entreprises sont confrontées et la probabilité de leur occurrence. Il s,agit de l’outil le plus communément utilisé pour identifier et prioriser les risques.

Appréciation des risques – carte des risques

Notre expérience a démontré que les risques les plus importants sont ceux qui touchent la satisfaction des clients, la sécurité informatique, la concurrence, l’environnement réglementaire et le roulement du personnel.

Lors d’un récent petit déjeûner-conférence sur la gestion du risque d’entreprise, plus de 200 participants ont assisté à la présentation du président et chef de la direction de Transat A.T. inc., Jean-Marc Eustache, chef de file en matière de GRE.

Il a notamment mentionné que Transat avait répertorié une centaine de risques structurels et conjoncturels, regroupés selon plusieurs catégories, à savoir les risques stratégiques, opérationnels, financiers et de conformité. Afin d’identifier les dossiers prioritaires, Transat a cartographié tous ces risques pour leur attribuer des points, selon l’importance des conséquences potentielles et de la probabilité de leur occurrence. M. Eustache a indiqué que sur le plan stratégique, un des risques importants pour le voyagiste est de ne pas s’adapter à l’évolution du marché  : « …le tourisme international a fonctionné selon un modèle assez prévisible… Il y a 20 ans, c’étaient surtout des Nord-Américains, des Britanniques et des Allemands… pas de Russes, pas de Chinois… personne en provenance du Bloc de l’Est… Ça aussi, ça change rapidement.» Bref, Transat a su s’ajuster aux changements de son industrie.

Les autres étapes de la mise en œuvre

Une fois les risques inventoriés et priorisés, la situation actuelle de l’entreprise doit être évaluée afin de déterminer sa capacité à gérer les risques les plus significatifs. La situation future doit ensuite être précisée, c’est-à-dire là où l’entreprise voudrait se retrouver en matière de gestion des risques. L’analyse des écarts entre les situations actuelle et future permettra à l’entreprise d’élaborer un plan d'action ciblant les risques prioritaires sélectionnés. Notons que plus l’écart sera grand entre la situation actuelle et celle qui est visée, plus l’entreprise aura besoin d’une infrastructure de GRE solide. Au départ, il sera préférable de s’attaquer à un ou deux risques prioritaires seulement.

La définition de la vision de l’entreprise en matière de GRE et, subséquemment, la détermination des buts et objectifs pour chacune des unités d’affaires et pour l’ensemble de l’entreprise, ainsi que des mécanismes de surveillance et de présentation des rapports, devraient tous s’effectuer en même temps.

Faiblesses courantes

Nous avons relevé plusieurs faiblesses dans la stratégie de gestion des risques d’entreprise :

  • il est parfois difficile d’obtenir, à la fois l’acceptation et le soutien de la direction;
  • les risques sont souvent gérés en cloisonnement, ce qui donne lieu à des prises de décisions dont la coordination n’est pas toujours adéquate;
  • il y a parfois un manque de clarté en matière d’affectation et de responsabilité du personnel qui est chargé de la gestion de risques particuliers;
  • les risques potentiels peuvent être identifiés et gérés de façon ponctuelle, ce qui donne lieu à une approche réactive et à un risque de solutions à court terme;
  • la sensibilisation aux risques est souvent faible en raison de la communication restreinte entre les niveaux de la direction et parmi les groupes fonctionnels;
  • la gestion des risques est parfois axée uniquement sur les pertes matérielles ou la conformité avec les exigences réglementaires;
  • les activités de gestion des risques ne sont pas priorisées et ne sont pas liées à la stratégie ou aux sources de valeur de l'entreprise.

Le secret de la réussite

Beaucoup d’entreprises qui connaissent aujourd’hui le succès ont réussi à mettre sur pied une culture de gestion de risque et à en assurer la promotion. Une approche descendante garantira la réussite de la mise en œuvre de la GRE. Pour assurer la compétitivité de l'entreprise et améliorer sa capacité de saisir des occasions d’affaires, la haute direction doit donner le ton quant à la position de l'entreprise en matière de gestion des risques et promouvoir une culture de gestion des risques au sein de l’entreprise. Quant aux groupes fonctionnels individuels, ils doivent assumer la responsabilité et l’obligation de rendre des comptes en matière d’identification et de gestion des risques dans leur propre volet d’activités.

Dans un premier temps, le directeur financier assumera un rôle de coordonnateur de la gestion des risques et travaillera étroitement avec tous les groupes fonctionnels pour fournir à la haute direction une juste appréciation des risques. Lorsque l’infrastructure de la GRE sera déployée, on songera alors à créer une fonction distincte de coordonnateur de la gestion des risques. Elle pourrait devenir une fonction clé pour de nombreuses entreprises.

Yves Nadeau, CA, est associé, Certification et Services conseils en gestion des risques, au cabinet montréalais de RSM Richter S.E.N.C.R.L. M. Nadeau est également responsable de la rubrique Certification de CAmagazine.