Les risques sont inhérents au fonctionnement de toute entreprise. Ceux-ci peuvent être de différentes natures (opérationnels, financiers, stratégiques…), mais ont tous un point commun : ils représentent une menace sérieuse pour la rentabilité, voire la pérennité, de la société. Il est donc indispensable de mettre en place un plan de prévention des risques visant à les identifier, à en évaluer la probabilité et la gravité, et à choisir les bonnes méthodes pour les maîtriser efficacement. Cette démarche est cruciale pour limiter leur impact et permettre à l’entreprise de poursuivre ses activités en toute quiétude.
C’est d’ailleurs ce que nous rappelle la norme ISO 31000 – Management du risque.
Qu’est-ce que la gestion des risques en entreprise ?
Un « risque », pour une entreprise, désigne un événement ayant une certaine probabilité de survenir et d’avoir un impact sur l’activité de la structure. Cela va d’une simple erreur de gestion à des menaces opérationnelles qui, en se réalisant, mettent la structure en danger.
Ce risque doit être mesuré en fonction de son degré de probabilité, mais aussi en tenant compte des conséquences (humaines et financières) qui pourraient en découler. C’est tout l’objet de la gestion – ou prévention – des risques : une démarche qui consiste à identifier les menaces qui pèsent sur l’entité, à les cartographier, puis à mettre en œuvre une stratégie de management pour les maîtriser. Cela, avec le concours de plusieurs acteurs : direction générale et directions opérationnelles, auditeurs internes et risk managers.
Une politique efficiente de prévention des risques contribue à améliorer la prise de décision et la planification de la lutte contre les menaces, à allouer les ressources avec pertinence, et à anticiper les conséquences les plus sérieuses dans le but de les atténuer ou de les supprimer.
De quels risques parle-t-on ?
La notion de « prévention des risques » s’applique aux périls et incertitudes auxquels une entreprise est confrontée. Mais plus précisément, de quoi parle-t-on ? Ces risques peuvent être classés en deux catégories, selon qu’ils sont internes ou externes.
Les risques internes
Ces menaces sont liées à la gestion de l’entreprise sur le plan humain et/ou opérationnel :
- Les risques associés au capital humain: problèmes de sécurité et de santé au travail, formation insuffisante du personnel, difficultés à recruter de nouveaux talents (de sorte que cela met en danger la pérennité de l’organisation), conflits sociaux…
- Les risques informatiques: cyber-attaques, actes de malveillance, négligences du personnel, panne du système d’information, etc.
- Les risques liés à l’interruption de l’activité: défaut sur la chaîne d’approvisionnement, destruction des équipements, etc.
- Les risques financiers: hausse du coût des matières premières, manque de liquidités, sommes importantes à recouvrer, risque de défaut de crédit…
- Les risques liés au marché: changement dans la demande ou dans l’industrie.
- Les risques liés à la perte d’image de l’entreprise: atteinte à la santé ou à la sécurité des utilisateurs (suite au dysfonctionnement d’un produit, par exemple), atteinte à l’environnement ou à la santé publique, etc.
- Les risques stratégiques: choix d’une nouvelle technologie ou d’un nouvel investissement, risque lié au positionnement de la marque…
Les risques externes
Les menaces externes sont celles qui ne relèvent pas directement de la gestion interne, notamment :
- Les événements climatiques et météorologiques (comme les catastrophes naturelles).
- Les événements géopolitiques: instabilité politique dans un pays étranger (où se trouve un client ou un fournisseur de l’entreprise), guerres, actes de terrorisme…
- La fluctuation des marchés financiers.
- La non-conformité de l’entreprise avec les exigences réglementaires (RGPD, loi Sapin 2, normes comptables…).
Comment prévenir les risques en entreprise ?
Une démarche de prévention des risques en entreprise s’applique à identifier ces risques pour mieux les prendre en charge. En fonction de leur degré d’éventualité et de leur criticité, ces risques peuvent être acceptés (intégrés à la politique interne de l’organisation), transférés (vers une compagnie d’assurance, en particulier), diminués, ou éliminés.
La méthodologie de prévention est la suivante :
- L’identification et la hiérarchisation des risques dans votre entreprise.
- L’évaluation de la probabilité de survenance de chaque événement, et son impact potentiel.
- La définition d’un « niveau de risque acceptable », qui permet de déterminer jusqu’à quel point une menace peut être simplement acceptée, et à partir de quand elle doit être transférée, diminuée et ou éliminée.
- La mise en place d’un plan de gestion des risques, avec les réponses appropriées à apporter et le budget à affecter (au contrôle interne comme au transfert vers un acteur externe).
- L’élaboration de processus permettant de faire face aux conséquences des risques effectifs, lorsque les événements en question adviennent.
- La surveillance de l’efficacité des critères et des méthodes de contrôle.
Les stratégies de traitement des risques peuvent être classées en 4 groupes :
- Acceptation
- Évitement
- Réduction
- Transfert/Partage
Concrètement, l’entreprise peut décider d’accepter un risque eu égard au coût trop élevé de sa suppression complète, le refuser purement et simplement en abandonnant l’activité à risque, introduire de nouvelles normes de sécurité pour l’atténuer ou souscrire un contrat d’assurance, ou en transférer la gestion à un prestataire (ex : déléguer des risques à un cabinet d’expertise comptable).
Toutefois, ce n’est pas un exercice ponctuel : cette cartographie doit être mise à jour avec régularité, et adaptée à l’évolution d’une menace ou à la complexité grandissante d’un risque (pensez à la survenue d’un nouveau virus informatique ou à un changement de situation politique dans un pays tiers). Cette approche de la gestion des risques est donc nécessairement dynamique et nécessite un travail de veille.