Spécial catastrophe ou simple malheur ! Ce ne sont pas les exemples d’évènements inusités qui manquent. Quelles que soient les causes, il existe des situations incontrôlables qui viendront probablement vous hanter un jour et ce, au moment ou vous vous en attendrez le moins. Les crises du H1N1 et du SRAS, ou encore celles causées lors d’un verglas, d’une panne informatique ou d’une marée noire, n’en sont que des exemples. Imaginez les impacts sur votre organisation si par malheur, vous œuvrez dans l’un des secteurs touchés par ces situations.
Les attentes vis-à-vis de votre organisation sont d’être en mesure d’expliquer comment vous gérez vos risques face à ces situations et ce, à un niveau acceptable. Bien que la gestion traditionnelle des risques a pour objectif de réduire l’écart entre les résultats prévus et les résultats réels, une mesure des risques plus étendue s’impose; que ce soit pour satisfaire aux nouvelles exigences réglementaires ou pour améliorer la performance de vos gestionnaires et la confiance des parties prenantes envers vous.
2. L’APPÉTIT POUR LE RISQUE
La gestion intégrée des risques organisationnels (« GIR ») est un outil qui va de pair avec le processus de planification stratégique; elle est en support au processus de prise des décisions dans le but d’obtenir une meilleure performance. En plus de permettre au CA de mieux hiérarchiser ses décisions d'affaires, elle aidera à :
• Comprendre les problèmes opérationnels
• Optimiser l’utilisation des ressources et améliorer le rendement
• Prendre des risques pour les bonnes opportunités d’affaires
• Intégrer les risques sociaux et politiques dans la prise de décision
• Allouer les ressources et le capital pour faire face aux risques et gérer la continuité
Pour ma part, j’estime que le CA devrait d’abord être en mesure de comprendre et de déterminer l’appétit pour le risque de leurs actionnaires (pris dans un ensemble) et de déterminer ce qui est « acceptable en moyenne » pour eux. Cette mesure, bien qu’imparfaite du niveau de risque acceptable, agirait comme un filtre dans le processus décisionnel utilisé pour établir les objectifs stratégiques de l’organisation et la profitabilité espérée des initiatives et projets.
Mais mon expérience personnelle indique que très peu de CA et d’administrateurs procèdent à une telle démarche, et que de tenter de les convaincre d’en initier une, s’avèrera une tâche ardue.
De façon générale, les administrateurs se servent plutôt de leurs expériences personnelles pour baliser et établir le niveau de confort de l’organisation qu’ils considèrent devoir respecter. Ils y arriveront généralement en procédant à un exercice avec la direction visant l’établissement pour l’entreprise des :
• Compétences à l’interne
• Avantages concurrentiels
• Culture et niveau d’agressivité de l’équipe
• Environnement commercial
Une fois les réponses obtenues et analysées, on doit composer l’équation « risque vs rendement » applicable à l’entreprise et établir le :
• Rendement visé (par projet, actifs, capital,…)
• Niveau de capital que l’on peut risquer (par an, projet,..)
• Plan d’action en GIR
La direction pourra ensuite compléter son plan stratégique et mettre en place des orientations et initiatives qui permettront d’éviter la prise de risques indus, tout en maximisant les opportunités de création de valeur.
3. LA GESTION DES RISQUES
Le but du système de GIR est de protéger, créer ou améliorer la valeur pour l’actionnaire notamment en gérant les incertitudes qui pourraient avoir une incidence négative sur l’atteinte des objectifs. Conséquemment, l’ensemble des sources de risque doit être identifié, évalué et géré. Pour y arriver, on utilisera un processus de GIR qui comporte les étapes suivantes :
1. Détermination des événements
2. Évaluation des risques
3. Réaction aux risques
4. Activité de contrôles
5. Information, communication et suivi
Si un risque est défini comme un événement interne ou externe, des actions ou des inactions qui peuvent affecter de manière défavorable l’atteinte des objectifs d’un secteur, d’un projet ou d’un programme, il se caractérise par :
• sa source (le comportement inadéquat d’un concurrent) ;
• ce qu’il affecte dans l’organisation (actifs financiers ou matériels); et
• sa sévérité (coûts en $).
Ces trois éléments mesurant la vulnérabilité de l’organisation au risque en question et ce, de façon qualitative et quantitative. La majorité des organisations qui optent pour une saine gestion de risques, identifient leurs risques en dressant une liste complète des risques les plus pertinents et les classent par catégories de risques préétablies. Il existe plusieurs référentiels reconnus qui sont mis en œuvre dans les organisations. Ceux-ci possèdent les mêmes grandes composantes mais leur approche et méthodologie diffèrent. Les cadres de référence ERM de COSO, ISO 31000, Cobit sont les plus utilisés dans l’industrie et permettent de classer les risques selon quelques grandes catégories, notamment :
• stratégiques : liés aux choix de stratégies et objectifs
• opérationnels : liés à la réduction de valeur d’actifs ou la création de passifs
• informationnels : liés à la fiabilité des systèmes et l’exactitude des données
• de non-conformité : liés à la communication des lois, des règlements, des codes internes de comportement et des exigences contractuelles
4. COMMENT ANTICIPER
Lorsqu’on procède a un diagnostic de la situation, on devra s’interroger à savoir si :
• La haute direction et le personnel connaissent les risques importants de l’entreprise
• Le CA en est conscient et saisi (via une étude, analyse, rapport)
• L’information disponible permet de prendre des décisions judicieuses sur la GIR
Pour déterminer à quoi s’attaquer en premier, on mesurera généralement chacun des risques répertoriés en évaluant à la fois la probabilité d’un écart par rapport aux objectifs d’affaires et la gravité d’un tel impact, si l’écart se produit.
Mesure du risque = Probabilité X Impact
On utilisera des outils disponibles pour relativiser chacun des risques d’affaires identifiés (ex : de très faible à très élevé) en analysant et quantifiant les causes. Basé sur ces réponses, on identifiera le type de réponse appropriée à la situation et les ressources à y consacrer (en fonction de la cote du risque).
5. COMMENT MITIGER CES RISQUES
Au-delà des gestes réactifs en réponse à son environnement, le gestionnaire proactif voudra, après avoir anticipé les situations à risque, analyser les options qui s’offrent à lui et planifier des actions pour les mitiger. La direction dispose généralement des options suivantes :
1. les transférer par contrat à un tiers qui dispose de ressources financières suffisantes (assureur, client, fournisseur, partenaire,...). Il n’en demeure pas moins que l’organisation est toujours responsable des risques qu’elle transfère.
2. les assumer, mais les gérer, via des techniques de contrôle de pertes, telles :
• Acceptation (on ne fait rien pour réduire la probabilité et les conséquences)
• Évitement (on abandonne ce secteur d’activités)
• Prévention (on empêche le risque de survenir)
• Réduction ou atténuation (on s’améliore pour réduire le risque)
• Ségrégation (on opère ce secteur sur un site distinct)
• Partage (on sépare une portion du risque)
Pour y arriver, on utilisera des activités de contrôle, manuelles ou automatisées, pour atténuer les risques telles que :
• des examens en profondeur
• une gestion opérationnelle et des activités directes
• la séparation des tâches
• l’application de contrôles physiques
• le traitement de l’information, et
• l’élaboration d’indicateurs de performance
Par la suite, il devra accorder suffisamment d’attention au suivi des risques identifiés (et à leur évolution) en mettant en place un processus de suivi récurrent.
EN CONCLUSION, QUELQUES CONSEILS
Est-ce qu’une approche structurée de GIR est requise pour assurer votre succès ? Il est clair que l’importance d’avoir un cadre de gestion des risques d’affaires s’est considérablement accrue au fil des années. La prise en compte des risques au plus haut niveau est devenue essentielle et ce, quelle que soit la taille de votre entreprise. Les PDG font face à une pression accrue de leurs CA pour identifier tous les risques d’affaires importants et expliquer comment ils gèrent ces risques, pour les maintenir à un niveau acceptable (ou établi).
En tant qu’administrateur, la question à vous poser est la suivante : « A t’on fait tout en notre pouvoir pour identifier, évaluer et contrôler les risques auxquels l’organisation fait face dans ses opérations? ». Dans la mesure du possible, il vous faut favoriser le développement d’une culture organisationnelle en mode « prévention » plutôt que de « détection », une approche qui visera à protéger les actifs, la réputation et l’image de l’organisation. Une fois opérationnel et efficace, le processus de GIR accroîtra votre niveau de confiance et pourrait aider à tempérer certaines ardeurs basées sur une vision parfois très court-terme.
Une organisation qui comprend clairement tous les risques auxquels elle est exposée peut prendre les mesures appropriées pour réduire ses pertes (ou risques) et saisir les opportunités d’affaires existantes. Elle peut ainsi s’assurer de rester dans la zone de confort établie (ou calculée) pour ses actionnaires dans le déploiement et l’accomplissement de son plan stratégique. À contrario, certains diront qu’on a déjà trop de contrôles en place et que l’exercice contribue à la réduction de l’efficacité et génère parfois une aversion aux risques d’affaires… Un collègue m’a confié qu’à son avis « les efforts mis sur la conformité et le contrôle font manquer des opportunités d’affaires... ».
Alors comme pour toute bonne chose, tout est dans l’équilibre, dans le cas présent, de l’équation risque versus rendement.
- 30 -
#51 - Bulletin AMBAQ de Mars 2011
Articles
Aucun commentaire:
Enregistrer un commentaire