Elle est loin, l'époque où la gestion des risques se résumait à des mesures de prévention minimales et au magasinage d'assurance. Depuis quelques années, elle constitue plutôt un véritable levier pour atteindre des objectifs d'affaires. À condition, bien sûr, de savoir comment s'y prendre.
De nos jours, la tendance est à la gestion intégrée des risques, lance Marc-André Lapointe, professeur et directeur du Département de finance de l'Université de Sherbrooke. Plutôt que de traiter les risques purs, financiers ou opérationnels de manière cloisonnée, plusieurs entreprises tendent à les gérer tous ensemble, et à intégrer cette gestion des risques à leur plan stratégique.»
Toute une évolution, pour une discipline qui a vu le jour il n'y a pas si longtemps. «Avant les années 1970, on en parlait assez peu, notamment parce que les taux de change et les taux d'intérêt variaient peu, ce qui réduisait les risques financiers», explique le professeur.
Durant la première moitié du 20e siècle, gérer les risques se limitait souvent à souscrire des polices d'assurance contre les accidents, les catastrophes naturelles, etc. Dans les années 1950, face à des polices d'assurance perçues comme très coûteuses et incomplètes (plusieurs risques n'étant pas assurables), les grandes entreprises ont été nombreuses à se rebeller. Elles se sont tournées vers l'auto-assurance, tentant de limiter leurs risques et accumulant des liquidités suffisantes pour couvrir elles-mêmes les dommages en cas de problème.
Au début des années 1970, la fin de la convertibilité du dollar américain en or et l'adoption des taux de change flottants ont augmenté les fluctuations financières, contribuant à faire de la gestion des risques un outil incontournable pour les grandes entreprises. Elle n'a cessé de prendre du galon depuis.
Éliminer le cloisonnement
La gestion intégrée des risques, ou gestion des risques d'entreprise (GRE), est apparue dans les années 1990. C'est aussi à cette époque que les premiers postes de gestionnaire des risques ont été créés.
Pour Martin Leblanc, associé, services-conseils management et gestion des risques chez KPMG, la gestion intégrée des risques présente plusieurs avantages par rapport à l'approche traditionnelle.
«Tous les risques sont traités dans un cadre de référence commun, ce qui aide à en faire un système durable, explique-t-il. De plus, cela remet à l'avant-plan les risques stratégiques comme l'échec du lancement d'un nouveau produit ou d'une acquisition, souvent moins bien maîtrisés par les entreprises que les risques financiers ou opérationnels.»
On passe ainsi d'une fonction uniquement axée sur le contrôle à une fonction de gouvernance et de soutien à la prise de décision. L'objectif est clair, à défaut d'être facile à atteindre : permettre à l'entreprise de maintenir l'équilibre entre ses risques et son rendement. «C'est vraiment un outil stratégique que l'on se donne pour être en mesure d'atteindre nos objectifs», dit Martin Leblanc.
Cette vision globale est d'autant plus cruciale que les risques peuvent être liés entre eux ou avoir des conséquences sur plusieurs plans. «Si le prix des matériaux que vous utilisez [pour la production]grimpe fortement au cours de l'année où l'une de vos usines subit un incendie majeur, l'effet sera décuplé», illustre Claude Denys Fluet, professeur associé au Département des sciences économiques de l'Université Laval. Vous devrez affronter en même temps la réalisation d'un aléa de marché et celle d'un autre événement imprévisible, plus classique. «Il faut une bonne gestion des risques pour passer à travers sans trop de dommages.»
Quelques chiffres clés à avoir à l'esprit
Mettre en oeuvre une démarche structurée
L'entreprise se lançant dans une gestion intégrée des risques commencera par cerner ces derniers. Chacun d'eux sera ensuite évalué en fonction de la probabilité qu'il se produise, puis de l'impact ou du coût que cela occasionnerait. «Souvent, les risques dont la probabilité est la plus grande sont les moins dangereux, alors que les risques les plus rares ont les impacts les plus graves», prévient le professeur.
Les rencontres ou les ateliers qui s'inscrivent dans un tel exercice doivent générer des discussions d'affaires qui dépassent la simple recension des risques. Tout doit être mis en relation avec les objectifs de l'entreprise et ce qui pourrait les compromettre. Ces échanges ne sont pas réservés aux administrateurs et à la haute direction. Les responsables des divers services (TI, RH, approvisionnement, etc.), les présidents des divisions et les travailleurs eux-mêmes doivent être consultés. «Plus on descend dans l'organisation, plus la gestion des risques prendra forme, lance Yves Nadeau, associé responsable de la pratique certification et des services-conseils en gestion des risques chez Richter. En étant associés à l'exercice, les gens vont s'approprier cette volonté de gérer les risques de manière stratégique.»
Une fois les risques cernés et évalués, il faut les gérer. C'est-à-dire déterminer ceux qui peuvent être limités par de la formation, de la prévention et l'achat d'équipements comme des détecteurs d'incendie et des gicleurs. Puis, décider quelle part du risque doit être transférée à une compagnie d'assurance. «C'est toujours une analyse coût/bénéfices entre ce type d'investissement ou de mesures et les coûts qu'entraînerait la réalisation d'un risque», poursuit Claude Denys Fluet.
La structure étant en place, il est primordial de la suivre et de l'évaluer en continu, et d'intervenir si certains aspects sont inadéquats. Les entreprises ont avantage à élaborer une réelle politique de gestion des risques qui clarifie les stratégies, et surtout, les rôles et responsabilités de chacun.
Une partie intégrante de la culture
Voilà pour la structure. Mais dans les faits, elle ne suffit pas. Elle peut même se révéler faussement rassurante si tous les dirigeants n'ont pas à coeur la gestion des risques. Ce qui est encore le cas dans bien des entreprises, selon Martin Leblanc. «Dans beaucoup d'organisations, il y a encore une appréhension à parler de risque, car c'est perçu négativement, dit-il. Par exemple, à la présentation d'un projet important, son promoteur ne fera pas le tour de l'ensemble des risques qu'il pose ni de son impact sur les principaux risques de l'entreprise, car il souhaite le montrer sous son jour le plus positif.»
Pour contrer ce type de réflexe et développer une réelle culture de la gestion des risques, la haute direction doit signifier clairement qu'il s'agit d'une priorité, et donner l'exemple. «Quelqu'un doit s'en faire le "champion", et plus il est haut placé, mieux c'est», croit Yves Nadeau.
Stéphane Cossette préside l'Association des gestionnaires de risques et d'assurances du Québec, la section québécoise de RIMS Canada, dont la conférence annuelle aura d'ailleurs lieu à Québec en septembre 2015. Pour lui, l'idéal est que le directeur ou le responsable de la gestion des risques relève du chef de la direction financière (CFO). «Il est responsable de l'argent et tous les risques se ramènent à ça», dit-il.
Cependant, la présence d'un «champion» ne doit pas permettre aux autres dirigeants de se soustraire à leurs responsabilités. «Le risque n'appartient pas au gestionnaire de risque, lance Stéphane Cossette. Celui-ci est là pour alimenter la discussion, apporter des données et un regard global, mais la gestion des risques est la responsabilité de tous les dirigeants, à tous les paliers.»
C'est aussi ce que pense Véronick Marcotte, vice-présidente, gestion des risques et assurance chez Tembec depuis 2007. «Il ne faut pas déresponsabiliser les "propriétaires" du risque comme les ingénieurs et les experts d'usines, dit-elle. Mon rôle est de contribuer à bien quantifier les risques, à assurer une bonne communication, et à développer des outils et des programmes qui vont encadrer les usines et y prévenir les pertes.»
En huit ans, Tembec a littéralement révolutionné son approche de la gestion des risques. «Je sais qu'ils m'ont embauchée parce que j'avais une spécialisation en assurance, mais la gestion de risque, c'est tellement plus que gérer l'assurance. Je contribue maintenant à générer du rendement et j'aide à prendre des décisions d'affaires éclairées. J'ai beaucoup concentré mon attention sur les opérations, car c'est là que l'on peut créer du rendement.»
Et le CA dans tout ça ?
En 2001, le Rapport Saucier sur la gouvernance d'entreprise enjoignait les conseils d'administration à jouer un rôle plus important dans la détermination des risques et dans le choix des stratégies permettant de les éviter ou les gérer. Depuis quelques années, les administrateurs s'y intéressent effectivement de plus en plus.
«En raison de l'évolution des règles de gouvernance, on peut dire que les administrateurs ont deux responsabilités majeures : l'évaluation et l'approbation des choix stratégiques, ainsi que la gestion et le suivi des risques, note Marc-André Lapointe. Or, ces deux responsabilités vont de pair.» Choisir une stratégie, c'est aussi déterminer les risques que l'on accepte de prendre. La communication entre les administrateurs et la haute direction est cruciale pour prendre des décisions judicieuses.
De son côté, Martin Leblanc souligne que le rôle du CA ne se limite pas à s'informer de l'existence d'un processus de gestion des risques. «Il faut examiner les résultats de ce processus et les mettre en lien avec les plans stratégiques ou avec certains projets majeurs dans l'organisation», dit-il.
La gestion des risques est donc un exercice qui doit être effectué en continu et être réévalué sans cesse, surtout à cause de l'émergence de nouveaux risques comme les cyberattaques et la recrudescence du terrorisme. Mais en la transformant d'une simple structure de protection en un outil stratégique, on peut à la fois limiter les dégâts potentiels et créer de la valeur.
1. Sommaire du dossier
2. Douter, analyser, puis foncer
3. Comment transformer un danger en occasion
4. La gestion des risques, un outil stratégique
5. 10 questions à poser à la direction
6. Douter... pour frapper encore plus fort
7. Conquérir le monde avec audace et rigueur
8. Utiliser le risque comme carburant
9. La géopolitique, cette négligée
10. Tout faire pour éviter la panne sèche
11. Votre entreprise est-elle assurée contre les pirates
12. Cyberattaques: L'ABC des bonnes pratiques
13. Toutes les brèves des 500