L’environnement complexe de la gestion des risques: quelle approche adopter ?

L’approche traditionnelle est centrée sur une gestion des risques historiquement assurables (assurance maritime, assurance incendie, assurance vie…). Elle est également caractérisée par une gestion fragmentée et décentralisée des différents scénarios susceptibles de se produire au sein d’une organisation, d’où l’importance de se former à la gestion de crise. Cependant, cette vision a été confrontée à une évolution relativement rapide de la société. En effet, bien que les risques historiquement assurables demeurent dans le champ de compétence du Risk Manager, il n’en demeure pas moins que ces derniers ne représentent qu’un des nombreux aspects de cette discipline. De plus, la mondialisation de la société a favorisé la complexification de l’environnement de cette profession. L’augmentation des interconnections et des corrélations qui peuvent être établies entre différents risques (opérationnels, financiers, stratégiques et naturels) et entités susceptibles d’impacter une même organisation peuvent expliquer cette complexification. Cette évolution de l’environnement économique a amené le Risk Manager à adopter une nouvelle approche.

Une rupture avec l’approche traditionnelle ? 

Les différents scandales financiers (Worldcom1, Enron2 …) qui ont vu le jour aux Etats Unis au début des années 2000, ainsi que la crise financière mondiale de 2008 (marquée par la faillite de Lehman Brothers3, par les révélations des affaires Kerviel4 et Madoff) ont incité le législateur et les autorités de régulation à améliorer leurs exigences envers les institutions financières (augmentation du seuil minimum de solvabilité, mise en place d’examens qualitatifs sur les procédures internes de contrôles du dispositif de gestion des risques, renforcement des obligations de transparence et de fiabilité des informations financières communiquées au grand public…). C’est dans ce contexte qu’ont été promulguées en 2002 aux Etats-Unis les lois Sarbanes – Oxley, qui en plus de répondre à ces exigences, interdisent à une société d’audit de combiner des fonctions de prestation et de conseil pour un même client.
En France, la Loi de Sécurité Financière (inspirée par les lois Sarbanes – Oxley) est entrée en vigueur en 2003 après son adoption par le Parlement. De son côté, l’Union Européenne a adopté en 2009 la Directive 2009/138/CE du Parlement Européen et du Conseil du 25 novembre 2009 sur l’accès aux activités de l’assurance, de la réassurance et leur exercice (Solvabilité I) avant de mettre en place Solvabilité II en 2016. L’U.E. a également fait mettre en vigueur dès 2014 la Directive sur les fonds propres réglementaires IV (qui est la mise en œuvre de Bale III).

Force est de constater que les différentes réglementations ont toute contribuées à l’essor d’une nouvelle approche.

Quel intérêt d’adopter l’approche Entreprise Risk Management ?

Comme nous l’avons vu précedemment, la gestion des risques (GDR) a historiquement été liée aux risques assurables ainsi qu’à une approche des risques dite par « silo ». Cette approche traditionnelle présente comme principaux inconvénients, de ne pas couvrir l’ensemble des Risk Quadrants et d’avoir une vision de ces derniers uniquement par le prisme des différents services et directions qui composent une entité (limitant ainsi la compréhension des interactions entre ces derniers).

A la différence de l’approche traditionnelle, l’approche Enterprise Risk Management (ERM) inclue dans son fonctionnement le concept d’une vision holistique, elle intègre dans son analyse l’ensemble des différentes natures de risques et possède l’avantage d’offrir une approche par les risques en gérant ces derniers tout au long de leur processus. L’approche ERM permet aux responsables d’une organisation d’avoir une vue à 360 degrés des menaces et opportunités susceptibles de survenir et cela quels que soient les services, les directions ou la nature de ces risques (managériaux, sécurité, naturelles, sureté…). En adoptant cette méthode, les responsables d’organisations optimisent la bonne gouvernance de leurs structures tout en contribuant à adopter une culture proactive.

Afin de maximiser leurs profits, les organisations sont de plus en plus amenées à intervenir dans des contextes protéiformes (terrorisme, inondation, récession économique, fluctuation des taux d’intérêt, cyberattaques, atteinte à l’image et à la réputation…), cela amène les Risk Managers à tenir compte à de multiples facteurs comme:

  • Les interactions entre les aléas d’origine interne ou externe et plus précisément les fortes corrélations qui
    peuvent exister entre les risques financiers (pouvant être à l’origine de crises systémiques).
  • Les évènements naturels pouvant avoir une ampleur considérable comme le séisme qui a eu lieu dans l’océan Indien en 2004 ainsi que le tsunami survenu au Japon en 2011. Cela a permis de mettre en évidence l’importance et le besoin de ne pas sous-estimer la gestion des risques à mettre en place sur l’ensemble du processus de la supply chain (afin d’éviter tout risque de rupture d’approvisionnement).
  • L’impact de certains incidents qui peuvent sembler insignifiants avant l’étude de leurs conséquences (une microcoupure de courant sur un réseau national peut en fonction de la nature d’un équipement provoquer d’importantes dégradations à l’échelle d’une organisation).

La prise en compte de ces facteurs dans la cartographie des risques a pour but d’aider le Risk Manager à relever
de nouveaux défis.

Répondre aux nouveaux enjeux

L’approche traditionnelle a échoué à prévenir les scandales à l’origine de crises financières mondiale. Le principal défi de la GDR réside dans le fait que, pour créer ou développer des opportunités, les organisations sont amenées à augmenter inéluctablement leurs expositions aux risques sur des secteurs et marchés, des environnements règlementaires en constante évolution. Le seul moyen pour les professionnels du métier d’y parvenir est d’accompagner et tenir compte de ces changements.

Cependant, l’approche ERM reste perfectible, elle s’inscrit d’ailleurs dans une démarche d’amélioration continu. En effet, elle n’est pas parvenue à prévenir tous les récents scandales financiers (Volkswagen, Spangero…) mais elle se révèle être celle qui soit la mieux adaptée jusqu’à ce jour. La question que beaucoup d’experts se posent est de savoir non pas si une nouvelle crise mondiale aura lieu, mais plutôt à quel moment. Lorsque ce scénério surviendra, l’ERM sera-t-elle à même de répondre aux exigences des différentes parties prenantes ? Ou alors sera-t-elle elle aussi dépassée comme le fut l’approche traditionnelles ?

1 « Le deuxième opérateur longue distance américain a reconnu avoir gonflé ses résultats de plus de 3,8 milliards de dollars au cours des 5 derniers trimestres. Selon la SEC, il s’agit d’un cas de manipulation comptable d’une magnitude sans précédent »… (Source : l’expansion.lexpress.fr)
2 « Il y a un peu plus de quatre ans, le 2 décembre 2001, Enron faisait faillite. La septième société américaine (101 milliards de dollars de chiffre d’affaires) venait de s’effondrer en quelques semaines »… (Source : lemonde.fr)
3 « Désormais, la date du 15 septembre 2008 et la chute de la banque Lehman Brothers sont le symbole du commencement de la crise économique mondiale la plus grave depuis la Grande Dépression ». (Source : lemonde.fr)
4 « En janvier 2008, Daniel Bouton alors président de la Société Générale annonce une fraude à hauteur de 4,80 milliards imputable selon lui, à un seul homme : Jérôme Kerviel. Débute alors ce qui deviendra l’affaire Kerviel »… (Source : Le Figaro).
5 « Bernard Madoff est sans conteste l’escroc du siècle. Ce financier respecté de Wall Street aura pendant plus de quinze ans détourné des milliards de dollars, soixante-cinq exactement, soit le produit intérieur brut d’un pays comme la Croatie »… (Source : lemonde.fr)

Vous souhaitez en savoir plus la gestion des risques ? Découvrez l’offre cybersécurité de Devoteam

devoteam

Contact

Harold Covi

Consultant Operations Security Manager