Vous êtes sur la page 1sur 11

MANAGEMENT DES RISQUES DE L'ENTREPRISE : NE PRENEZ PAS LE

RISQUE DE NE PAS LE FAIRE !

Eustache Ebondo Wa Mandzila et Daniel Zéghal

Direction et Gestion | « La Revue des Sciences de Gestion »

2009/3 n° 237-238 | pages 5 à 14


ISSN 1160-7742
Article disponible en ligne à l'adresse :
--------------------------------------------------------------------------------------------------------------------
https://www.cairn.info/revue-des-sciences-de-gestion-2009-3-page-5.htm
--------------------------------------------------------------------------------------------------------------------
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion

Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion


Distribution électronique Cairn.info pour Direction et Gestion.
© Direction et Gestion. Tous droits réservés pour tous pays.

La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les
limites des conditions générales d'utilisation du site ou, le cas échéant, des conditions générales de la
licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie,
sous quelque forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de
l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est précisé que son stockage
dans une base de données est également interdit.

Powered by TCPDF (www.tcpdf.org)


La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie 17

Management des risques de l’entreprise :

Innovations managériales
Ne prenez pas le risque de ne pas le faire !
par Eustache Ebondo Wa Mandzila et Daniel Zéghal

T
out le monde s’accorde pour affirmer que les entreprises
évoluent dans un environnement de plus en plus incertain, de
plus en plus mouvant. En effet, la mondialisation, avec son
corollaire, la complexification des activités et des réglementations,
a rendu floues les frontières entre l’entreprise et ses sous-traitants.
Les fusions-acquisitions-cessions ont accentué cette impression
d’instabilité quasi générale. Les anciens modèles organisation-
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion

Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion


nels ne correspondent plus aux enjeux actuels. L’entreprise doit
faire face à l’émergence des risques de plus en plus nombreux
et diversifiés. Selon U. Beck (2001 ; 1986) U. Beck, A. Giddens
et S. Lash (1994) nous sommes rentrés dans la société ou dans
Eustache EBONDO WA MANDZILA l’ère du risque. Face à cet environnement de « moins en moins
Professeur, prévisible et de plus en plus agressif », susceptible de compro-
mettre l’atteinte des objectifs des entreprises, il devient urgent
Euromed Marseille Ecole de Management pour toutes les organisations de mettre en place un dispositif
(France) de management des risques1 consistant à identifier, évaluer et
gérer les risques aussi bien réels que potentiels.
L’objectif de cet article est de présenter le concept et la pratique du
management des risques de l’entreprise avec pour souci d’attirer
l’attention du lecteur, plus précisément du dirigeant, quant aux
avantages et bénéfices qu’il peut en tirer. Les concepts, la trame
et sa mise en œuvre seront expliqués. Les raisons de l’introduc-
tion de l’approche du Management des risques de l’entreprise
ou la gestion intégrée des risques seront abordées dans la
première partie. Les bénéfices associés à cette approche seront
énumérés. De même, les liens entre le management des risques
et la gouvernance de l’entreprise seront eux aussi présentés.

Daniel ZÉGHAL
Professeur titulaire, École de gestion, Université
d’Ottawa, Directeur exécutif, CGA, centre de 1. Le management des risques de l’entreprise est la traduction faite en France
par le cabinet PriceWatrerhouseCoopers et Landewell & Associés de l’« Enterprise
recherche en comptabilité, Université d’Ottawa Risk Management- Integrated Framework » (ERM) plus connu sous le COSO II
(Canada) Report qui est le prolongement de l’« Internal Control-Integrated Framework  »
plus connu sous le nom de COSO I Report, publié en aux Etats-Unis en 1992 par
le Committee of Sponsoring Organizations of the Treadway Commission (COSO).

mai-août 2009
Dossier
18 La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie

1. A
 pproche théorique et pratique garde contre toute tentative d’élimination des risques. Selon lui,

du management des risques. « essayer d’éliminer les risques, tenter même de les diminuer…
peut aboutir au plus grand de tous les risques : la rigidité ». Il
Les entreprises ont toujours été exposées à des risques. Il est définit les décisions managériales comme des décisions de prise
important, avant de situer ces risques dans leur nature et dans de risques et suggère même qu’une stratégie pour l’innovation
Innovations managériales

une perspective historique, de dégager une définition du manage- soit basée sur une acceptation claire des risques d’échec. Il s’agit
ment des risques. d’une prise de conscience selon laquelle les risques sont inhérents
à toute entreprise. C’est ce qui justifie également la souscription
des polices d’assurance par les entreprises visant à les couvrir
1.1. Définition du management contre des pertes qui pouvaient être causées par des incendies,
des risques de l’entreprise vols, inondations, tremblements de terre notamment. De même,
des contrats d’assurance étaient souscrits pour se protéger contre
Le Management des risques est synonyme de management des la perte d’un associé ou d’un dirigeant important. Certains risques
risques des Affaires, du management holiste des risques ou du liés à l’investissement ou à un prêt étaient transférés à d‘autres
management stratégique des risques (Simons 2000)1. parties. Sur le plan budgétaire, l’approche traditionnelle reconnaît
Selon le Committee of Sponsoring organizations of the Treadway l’incertitude qui entoure toute prévision de coûts et de revenus et
Commission (COSO II report, 2004) prolongement du COSO a préconisé, à ce titre, la rationalisation des choix budgétaires.
Report I (1992), « The enterprise Risk Management- Integrated Dans le cas d’un projet d’investissement, pour tenir compte du
Framework » traduit en français par : « Le management des risques facteur temps et donc du niveau de risque pesant sur les flux de
de l’entreprise » (IFACI et PriceWaterhouse Coopers Landwell, 2005, trésorerie, il est souvent fait appel à un taux d’actualisation des
p. 5) est défini comme étant « un processus mis en œuvre par le revenus futurs. Une autre technique consiste à faire appel à une
conseil d’administration, la direction générale, le management analyse de la sensibilité afin d’aboutir à une échelle de valeurs
et l’ensemble des collaborateurs de l’organisation. Il est pris en variant d’optimiste à pessimiste. Les probabilités et la simulation
compte dans l’élaboration de la stratégie ainsi que dans toutes de Monte-Carlo ont aussi été utilisées comme méthodes d’ana-
les activités de l’organisation. Il est conçu pour identifier les lyse de risques dans les décisions d’investissement de capital.
évènements potentiels susceptibles d’affecter l’organisation et Depuis de nombreuses années, des méthodes de production,
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion

Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion


pour gérer les risques dans les limites de son appétence pour le de conditionnement et de distribution ont abouti à des change-
risque. Il vise à fournir une assurance raisonnable quant à l’atteinte ments significatifs dans la protection face à des risques tels
des objectifs de l’organisation ». Il s’agit donc d’une approche que des pertes durant le transit, le sabotage par les employés
rigoureuse de l’évaluation et du repérage de tous les risques et la contrefaçon. R.N. Anthony, J. Dearden et V. Govindarajan
menaçant l’atteinte des objectifs stratégiques d’une organisation (1992) considèrent, eux aussi, que la poursuite du profit d’une
et implique tous les membres de l’organisation et ce, à tous les organisation peut être limitée par la volonté du management de ne
niveaux. Cette approche globale des risques est perceptible à pas prendre des risques. En effet, il est possible que la politique
travers les catégories d’objectifs que poursuit le management managériale vise à préserver les actifs de l’entreprise et que
des risques d’entreprise à savoir : les objectifs stratégiques2, l’objectif du profit y soit subordonné. L’appétence pour le risque
opérationnels, reporting et de conformité. Elle vise également à dépend de la personnalité même des managers. L’environnement
rattacher les objectifs aux différentes catégories permettant ainsi dans lequel évoluent les entreprises est porteur de risques. Par
au mangement de se concentrer sur les différents aspects des conséquent, le développement, la survie de l’entreprise passe
risques organisationnels et non plus sur une seule catégorie des aussi par l’acceptation par l’entreprise d’une prise de risques. Les
risques comme dans l’approche traditionnelle. approches traditionnelles du management des risques, malgré
leur mérite, avaient pour caractéristique, d’être fragmentées. Elles
ne semblent donc plus correspondre aux enjeux et aux risques
1.2. La nature du risque associés au nouvel environnement économique. En effet, Les
et l’approche traditionnelle clients exigent des produits et services de qualité supérieure et à
des prix très compétitifs. Les investisseurs attendent des dirigeants
Pendant longtemps, l’entrepreneur a été défini comme celui qui de plus en plus de performances financières exceptionnelles. La
prenait le risque d’entreprendre, celui qui risquait son capital et faillite de certains organismes américains d’épargne et de prêt
qui était rémunéré pour cela. P. Drucker (1973, p. 512), met en dans les années 1980 est largement imputable à une mauvaise
approche des risques encourus par les dirigeants des mêmes
1. Simons définit le risque stratégique comme « un événement imprévu ou un organismes. De même, l’effondrement financier en Asie durant
ensemble de conditions qui réduit de façon importante l’habileté des gestion-
naires à mettre en œuvre la stratégie d’affaires projetée ». Il divise lerisque
la dernière décennie dans le secteur des hautes technologies,
stratégique en trois composantes : risque opérationnel, risque d’évaluation est la conséquence d’une politique inadaptée de management de
d’actifs et le risque de concurrence risques. La dérégulation gouvernementale a créé un climat universel
2. Le COSOII report se distingue du COSO I report au niveau des objectifs par la
prise en compte dans le COSO II, des objectifs stratégiques. favorable à l’investissement et aux échanges internationaux. Les

mai-août 2009
Dossier
La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie 19

entreprises ne peuvent plus appréhender le management des risques permet de distinguer « le niveau de risque global qu’une
risques sous le seul prisme national. Aujourd’hui une société qui entreprise accepte de prendre pour répondre à son objectif de
ne parvient pas à manager efficacement les risques et qui éprouve création de valeur ». Cette appétence1 pour le risque est également
des difficultés financières va ébranler la confiance accordée par prise en compte dans la définition de la stratégie dans la mesure où
les investisseurs nationaux et internationaux. La conjugaison de les résultats de la stratégie doivent être en ligne avec l’appétence

Innovations managériales
tous ces facteurs invite à une approche systémique, intégrée et de l’organisation pour le risque. Le dispositif de management des
structurée du management des risques de l’entreprise. risques de l’entreprise aide ainsi la direction à déterminer une
stratégie correspondant à l’appétence de l’organisation pour le
risque. Un lien est alors établi entre la croissance, le risque et
1.3. Le management des risques le résultat et permet à une entité d’identifier, d’évaluer le risque
de l’entreprise : les enjeux et d’en établir des niveaux acceptables compatibles avec les
objectifs fixés par l’entreprise. Cela suppose que le management
L’objectif principal du Management des risques de l’entreprise des risques passe non seulement par une phase d’identification
est d’accroître la confiance et de contribuer à créer de la valeur mais aussi d’évaluation des risques. Les risques peuvent être
pour les actionnaires. Tout l’édifice repose fondamentalement classés en plusieurs catégories. On peut distinguer les risques
sur ce principe. Mais, satisfaire les actionnaires passe d’abord stratégiques, opérationnels, informationnels et réglementaires.
par une meilleure utilisation des ressources de l’entreprise. Le K. Lajili et D. Zéghal (2005) distinguent quant à eux plusieurs
management des risques de l’entreprise aide également à la catégories de risques que nous reproduisons dans le tableau 1.
prise de décision en identifiant les zones porteuses des risques Si les risques sont identifiés, Il convient de les qualifier selon
majeurs et en suggérant des plans d’actions pour y remédier. Il deux critères : la probabilité de survenance et l’impact en cas
est attendu aussi du management des risques de l’entreprise de survenance. L’impact pourra être apprécié selon plusieurs
qu’il contribue à instaurer la confiance auprès des investisseurs paramètres : impact financier, humain, impact sur l’image de
grâce à la mise à plat des processus métier de l’entreprise afin l’entreprise. Généralement, il est souvent fait appel à la cotation
d’identifier les éventuels dysfonctionnements ou les activités selon une échelle de type : faible/moyen/élevé. La combinaison
sensibles au regard des objectifs clés de l’entreprise. du critère 1 (probabilité d’occurrence) et du critère 2 (impact)
Une véritable politique de management des risques offre à l’entre- permet d’attribuer au risque considéré une cotation globale. Ainsi
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion

Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion


prise plusieurs avantages. En effet, selon le COSO II Report (2005, le management des risques permet une meilleure connaissance
p. 42), l’adoption d’un management des risques de l’entreprise
1. L’appétence pour le risque fait référence au degré de risque qu’une organisa-
peut procurer plusieurs avantages. En effet le management des tion est capable d’accepter.

Tableau n° 1. Catégories de risques auxquels l’entreprise fait face

Catégories de risques Nature du risque


Risque financier (de change, opérationnel, de Risque financier : changements dans le taux d’intérêt, le change, le crédit, la valeur de
marché, de crédit, de taux d’intérêt) l’instrument financier et la liquidité.
Risque opérationnel : défauts techniques, accidents, erreurs humaines, perte d’employés
clés.
Risque du marché : changements dans la concurrence, dans le nombre de produits
vendus par client, perte de parts de marché.
Risque lié à la réglementation gouvernementale Changement dans le contrôle, la réglementation, les législations nationales et internatio-
nales
Risque économique Changements dans les facteurs macroéconomiques.
Risque de matières premières Changements dans les prix des matières premières
Risque environnemental Incidents dans l’environnement, lois et règlements environnementaux
Risque politique Conduite des affaires dans un contexte international
Risque d’illiquidité Les difficultés de faire face à ses engagements, à ses échéances
Risque de technologie Changement rapide de technologie
Risque lié aux conditions climatiques Conditions climatiques graves, défavorables à l’activité de l’entreprise
Risque fournisseur Dépendance à l’égard de fournisseurs clés, fournisseurs peu sûrs
Risque lié au cycle Tendance cyclique naturelle
Risque de saisonnalité Modèles saisonniers
Risque de valeur de l’instrument financier
Risque de distribution Changements dans les canaux de distribution
Risque de ressources naturelles Quantités insuffisantes de réserves, faible qualité des réserves.
Source : Adapté de : K. Lajili et D. Zéghal (2005) « Gérer le risque à l’échelle de l’entreprise : l’autre facette de la gouvernance de l’entreprise »

mai-août 2009
Dossier
20 La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie

et une bonne compréhension de l’impact du risque en cas de Le COSO II Report est actuellement relayé par des pressions
survenance. Après l’identification et l’évaluation des risques, la externes, notamment les investisseurs institutionnels. Ceux-ci,
direction peut alors adopter une stratégie appropriée parmi les notamment les fonds de pension incitent les gouvernements
cinq stratégies de gestion de risques suivantes : l’évitement, la d’entreprises à adopter une approche intégrée du management
prévention, la réduction de l’impact, le partage et l’acceptation des risques. En Grande-Bretagne, par exemple, la London Stock
Innovations managériales

du risque. Le choix d’une stratégie nécessite de chiffrer le rapport Exchange recommande vivement cette stratégie. En Australie et
coût/bénéfice de chacune des stratégies possibles. Ainsi une en Nouvelle-Zélande, un ensemble de standards communs au
entreprise qui aura pour objectif de se développer à l’interna- management des risques est mis en place. Pour le moment, il n’y
tional, ne pourra pas mettre en œuvre une stratégie d’évitement a aucune obligation. En Allemagne, des dispositions législatives
du risque d’échange. Par ailleurs, le management des risques, ont été votées en 1998. Aux Pays-Bas, un rapport a été également
grâce à la qualité des informations qu’il produit, oriente mieux publié. Ces lois et rapport militent en faveur de l’adoption d’un
les besoins en capitaux et leur meilleure allocation. Toutes ces management intégré des risques. De même, aux Etats-Unis, la
raisons militent en faveur de l’adoption d’un management intégré Securities and Exchange Commission, l’AICPA (rapport Jenkin) et
des risques de l’entreprise. le rapport du COSO font du management de risques une priorité
pour les entreprises. On peut, toutefois, regretter le caractère
non obligatoire de l’application de ces rapports. Au Canada, le
2. P
 our une adoption CICA a publié un guide à destination des directeurs dans lequel
du management intégré il est précisé, avec force, que le contrôle fait partie du processus
de gouvernance, et, à ce titre, nécessite que les risques soient
des risques de l’entreprise convenablement gérés. Le guide parle aussi du fait que « les
risques contrôlables existent au travers de l’organisation, de par
Selon une enquête réalisée par Tillingast-Towers Perrin (2002, sa vocation, sa stratégie, son personnel et ses autres ressources,
p. 4), 5 à 10 % des entreprises d’Amérique du Nord utilisaient communication et pratiques opérationnelles générales. » Dans
une approche intégrée du management des risques. La même ce contexte, le contrôle inclut non seulement le problème des
enquête indiquait que les postes de Risk Managers étaient en valeurs éthiques mais également l’identification et la réduction
augmentation constante. Une autre enquête réalisée par le même des risques. Si le management a tendance à parler du risque
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion

Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion


auteur, Perrin Tillingast-Towers (2002) a montré que c’est surtout relatif à l’atteinte de ses objectifs, une partie du risque réside
dans le secteur des assurances que se développait une politique également dans le fait de ne pas réussir à maintenir la capacité
de management intégré des risques. Une étude réalisée par A.A. de l’organisation à identifier et à exploiter les opportunités.
Gramling et P.M. Myers (2006) sur l’adoption du management
intégrée des risques par les organisations, a fourni les résultats
que nous reproduisons dans le tableau n° 2 2.1. Le processus de management
Tableau n° 2. Le statut du management des risques intégrés. des risques
L’organisation n’a pas adopté le management des risques 13 %
de l’entreprise L’efficacité du management des risques de l’entreprise passe
L’organisation a adopté le management des risques de 6,1 % par la distinction de trois niveaux reliés entre eux.
l’entreprise il ya plusieurs années et sa mise en place est Le premier niveau concerne les relations qui doivent exister entre
terminée les différentes structures composant l’organisation. L’organisation
L’organisation a récemment adopté le management des 5,5 % peut être centralisée ou décentralisée. Ce qui importe c’est de
risques de l’entreprise et sa mise en place est relative-
mettre en place une organisation efficace qui passe par la défini-
ment terminée
tion formelle des responsabilités, des pouvoirs et des procédures
L’organisation a récemment adopté le management des 14,7 %
risques de l’entreprise mais sa mise en place n’est pas d’exécution et de contrôle sans toutefois perdre de vue le système
parfaitement terminée de délégation qui doit exister à tous les niveaux de responsabilité.
L’organisation s’est engagée dans un processus de mise 21,9 % Cette organisation ne peut ignorer l’environnement à l’intérieur de
en oeuvre du management des risques de l’entreprise laquelle elle évolue. C’est l’environnement interne qui constitue
Actuellement, l’organisation est en train d’apprécier la 31,8 % la base de la structure organisationnelle de l’entité et dicte la
pertinence du management des risques pour leur entre-
manière selon laquelle les tâches de fixation d’objectifs devront
prise
être menées. L’environnement interne englobe la totalité de la
L’organisation a rejeté le concept du management des 1,4 %
risques de l’entreprise philosophie managériale en matière de risques de l’organisation,
Autres réponses 5 % l’appétence pour le risque, l’intégrité et les valeurs éthiques des
Ne se prononce pas 0,6 % dirigeants de l’organisation. En effet, la culture de l’entité peut
Source : A.A. Gramling, P.M. Myers (2006) « Internal Auditing’s role in
être influencée par la personnalité du dirigeant. Privilégier les
ERM », Internal auditor, april, p. 54. résultats à tout prix au mépris des règles éthiques est préjudi-
ciable à l’organisation. Les relations établies entre la structure de

mai-août 2009
Dossier
La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie 21

l’organisation et l’environnement interne déterminent la fixation


d’objectifs. En effet, les personnes souhaitant contribuer à un
programme efficace de management intégré des risques devront
maîtriser non seulement les objectifs de leur unité mais aussi les
objectifs généraux de l’entreprise. C’est la troisième relation néces-

Innovations managériales
saire devant exister entre l’activité et la fixation des objectifs de
l’organisation. Ces objectifs devront être définis en tenant compte
de l’appétence pour le risque de l‘organisation. Les processus
constituent le deuxième niveau de l’ossature du management des Figure 2. Processus de management des risques d’entreprise (problème du scéma
risques d’entreprise. Il s’agit des processus d’estimation, de forma- à revoir)
lisation et d’exploitation des risques qui doivent nécessairement
être décrits. Le troisième niveau de l’ossature du management Ces processus constituent une partie de l’ossature pour une
des risques d’entreprise concerne les actions, c’est-à-dire, les approche rigoureuse d’estimation et de reporting des risques
activités de contrôle, le système de surveillance, d’information susceptibles de compromettre la réalisation des objectifs de
et de communication. Si ces trois niveaux sont établis, la mise l’organisation. Cette approche présente des opportunités qui
en place d’un programme de management des risques se trouve permettent d’exploiter des éventuels avantages concurrentiels.
facilitée. L’ossature d’un management des risques d’entreprise Si les processus permettent d’identifier les risques, il convient
est schématisée dans la figure 1. alors de les évaluer.

2.2.1. L’évaluation des risques


L’évaluation des risques comporte trois étapes : l’identification
des facteurs, leur classement par priorité et leur classification.
C’est ce qu’illustre la figure 3.
Si cela est fait correctement, l’évaluation des risques peut
corréler tout risque qui pourrait dépendre les uns des autres et
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion

Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion


éviter ainsi les pertes de temps ou des doublons. L’attention et
les moyens pourraient donc être utilisés pour les risques qui en
valent vraiment la peine.

Figure 1. Ossature du management des risques d’entreprise

Il appartient à la direction générale d’assurer un suivi régulier


des politiques de gestion des risques et à en approuver les
limites. Elle doit également approuver l’approche globale de la
prise de risques. Le programme de management des risques doit
fonctionner conjointement avec le service d’audit interne ou la
direction financière de l’entreprise en raison de leur connaissance
des circuits de l’entreprise. De nombreux auteurs préconisent la
création d’un Risk Manager (Chief Risk Officer : CRO) – gestionnaire Figure 3. Evaluation des risques
des risques — qui agirait comme un leader et le catalyseur du
programme de management des risques. IL apparaît comme un C’est à la fonction de l’évaluation des risques d’examiner et de
« leader, un évangéliste, un intendant et un consultant » dans le déterminer la probabilité d’occurrence ou de survenance d’un
processus d’implantation d’un management des risques d’entre- évènement. La première étape consiste à identifier les évène-
prise Il doit faire remonter l’information directement à la direction ments. Un évènement est simplement un incident ou un fait qui
générale et au comité de direction. pourrait affecter la mise en œuvre d’une stratégie ou la poursuite
d’un objectif. Il peut exister plusieurs évènements. Certains
peuvent avoir un impact négatif et d’autres, un impact positif.
2.2. Les Processus d’implantation du Les risques peuvent être dus à des facteurs externes (facteurs
management des risques d’entreprise d’ordre économique : changement du niveau de compétition, des
forces du marché, de l’économie ; d’ordre naturel et environne-
Un management de risques comporte trois processus : l’évalua- mental : catastrophes naturelles ; d’ordre politique : changement
tion des risques, leur formalisation et leur exploitation. C’est ce de gouvernement, de législation ; d’ordre social : changements
qu’illustre la figure. 2 ci-dessous : démographiques, de priorités sociales ; d’ordre technologique :

mai-août 2009
Dossier
22 La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie

virage technologique) ou internes (l’infrastructure : réparations différents facteurs de risques qui ont été identifiés dans les
inattendues, problèmes ; le personnel : accidents de travail, grèves ; analyses précédentes.
les processus : problèmes de qualité, technologie). La formalisation des risques comporte quatre étapes. Il s’agit de :
Cette phase constitue le premier pas vers l’identification et l’éva- – modéliser les différentes sources de risques ;
luation des risques. Les facteurs de risques sont des évènements – les lier à des mesures financières ;
Innovations managériales

ou des variables pouvant aggraver un risque. Perdre des parts de – développer un portfolio des stratégies pour remédier à ces
marchés est un risque. Mais ne pas y être préparé est un facteur risques ; et
de risque. Une revue des stratégies de l’organisation, des plans – optimiser les investissements avec ce portfolio des stratégies.
de financement et des opérations donnera des indices quant La première étape nécessite différentes approches qui seront
aux facteurs de risques qui peuvent être associés. Une approche fonction de la nature des facteurs de risques. Pour certains,
top-down (allant des supérieurs hiérarchiques aux subordonnés) une action banale peut être tentée. Pour les risques assurés ou
est utile dans ce contexte. Une analyse qualitative utilisant des des risques qui peuvent être facilement réduire sur les marchés
données passées et récentes peut être aussi utile pour identifier financiers, ils peuvent être modélisés en utilisant des méthodes
ces facteurs qui pourraient affecter la réalisation des objectifs statistiques basées sur des données historiques. Pour des
fixés par l’entreprise. Le rapport sur les opinions des cadres risques d’entreprise dans son ensemble, une évaluation proba-
est fréquemment utilisé à cette étape au même titre que des biliste basée sur les avis des cadres et d’experts peuvent être
analyses prévisionnelles. élaborées. Finalement, cette partie de l’analyse, encore basée
La deuxième étape de l’évaluation des risques privilégie les sur les avis d’experts doit déterminer et modéliser les relations
facteurs de risques. Cette étape suppose le regroupement et entre les sources de risques.
le détail de l’information relative à chaque facteur de risque. Le La deuxième étape dans la formalisation des risques consiste à
processus doit prévoir la probabilité, la fréquence, la prédictibilité lier les facteurs de risques à des indicateurs financiers comme le
et les effets potentiels sur les indicateurs clés de performance de cash flow. La distribution probabiliste de la deuxième étape est
ces facteurs. Un jugement subjectif combiné à un modèle mathé- ajoutée au modèle financier pour qu’une mesure de la volatilité
matique comme l’actualisation est utile pour rechercher l’impact et de la rentabilité financière soit obtenue. Cela permet aussi
potentiel du risque sur la stratégie de l’entreprise, sa croissance, l’analyse de l’impact de la gestion à travers une série de scénarii
sa réputation, ses ressources humaines ou ses systèmes. hypothétiques.
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion

Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion


La dernière étape dans l’évaluation est la classification des La troisième étape implique la réalisation d’un portfolio de straté-
risques. Elle suppose que l’action d’identification nécessaire gies de traitement de risques. Il s’agit de déterminer les manières
soit bien définie. de réduire les risques. A travers des séances de brainstorming
Ainsi un schéma de classification relatif aux actions prévues entre experts, il est possible de trouver des moyens de réduire
serait d’une grande utilité. Le plan de classification analyserait les ou d’éliminer certains risques sur les marchés financiers notam-
facteurs de risques tant du point vue opérationnel que stratégique ment. Tout choix stratégique doit s’appuyer sur une analyse coût/
(ou bien en termes de contrôle et de stratégie). bénéfice. La littérature utilise l’exemple du cash flow. L’allure de
Les facteurs de risques gérables sont ceux qui découlent d’un la distribution probabiliste du cash flow peut être modifiée en
environnement dans lequel l’entreprise est déjà habituée. Les augmentant la valeur prédéterminée de cash flow, ou en abaissant
compétences et les savoir-faire qui sont requis pour résoudre les les variations attendues de la valeur de la variable ou en utilisant
problèmes sont déjà disponibles au sein de l’organisation. Des des mesures pour réduire l’impact des risques lors des plus
exemplaires de ce type de risque peuvent être le département pessimistes scénarii. A partir de cette analyse, des simulations
Recherche & Développement qui ne parvient pas à élaborer de peuvent être réalisées pour chaque combinaison de stratégie.
nouveaux produits ou à résoudre un problème avec des clients La quatrième et dernière étape dans le processus de formalisation
insatisfaits. est l’« optimisation de l’investissement à travers des stratégies
Les facteurs de risques stratégiques sont ceux qui découlent de correctives ». Il en résultera un management des risques orienté
l’environnement peu familier à l’entreprise. Les ressources et les budget qui reflètera une allocation efficace des ressources du
capacités à résoudre ce genre de problème peuvent ne pas être en Management des risques d’entreprise selon le niveau des risques
place. La prise en mains de ce genre de situation peut nécessiter identifiés précédemment. Les contraintes budgétaires et les objec-
un changement dans la direction de la stratégie ou une nouvelle tifs de l’entreprise peuvent s’opposer aux modèles probabilistes
orientation dans l’allocation des ressources en capital. développés dans le processus de formalisation des risques.

2.2.2. La formalisation des risques 2.2.3. L’exploitation du risque


L’étape suivante du processus de management des risques La phase finale du processus de management des risques est
d’entreprise implique la formalisation des risques. Cela implique l’exploitation des risques. Ce titre suppose que le risque peut
l’utilisation des méthodes scientifiques telles que les techniques être considéré à la fois comme une menace et une opportunité.
de recherche opérationnelle. Il est nécessaire de quantifier les Pour vraiment exploiter le risque, le management doit mettre sous

mai-août 2009
Dossier
La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie 23

tension les sources de risques. La connaissance ou l’identifica- employés agissant au niveau individuel ou comme membre d’un
tion des risques constitue en soi, pour l’entreprise, un avantage groupe de travail. Ce qui est important, c’est que la communication
comparatif. En effet, le risque peut représenter une menace pour soit capable de transmettre un résumé clair de la philosophie
la compétitivité de la firme. Ensuite, une entreprise peut être de gestion des risques pour l’entreprise et pour chaque membre
capable de manager les risques mieux que les concurrents. A de l’organisation dans le cadre du programme de management

Innovations managériales
tous les niveaux, l’exploitation des risques entraine une réponse. des risques. Cela peut être accompli avec l’utilisation de divers
Il n’y a pas une mais plusieurs réponses aux risques comme médias. L’entreprise peut choisir d’utiliser des manuels, des notes
l’illustre la figure 4. de service, des vidéos, conférences ou des présentations. Tout
cela doit faire partie de la communication interne mais aussi de
la communication externe à double sens entre l’entreprise, ses
clients, ses fournisseurs et l’ensemble des acteurs pouvant avoir
un rôle à jouer dans l’atteinte des objectifs de l’organisation.
Etablir un programme de gestion des risques est une chose ;
s’assurer qu’il fonctionne en est une autre. C’est le devoir (rôle)
Figure 4. Les possibles réponses au risque du monotoring. Il doit y avoir des procédures en place dans
l’organisation pour évaluer de façon continue la présence et le
La stratégie d’évitement consiste pour le management de stopper fonctionnement de tous les composants du management de
ou de réduire l’activité qui favorise le risque. Par exemple, l’entre- risques d’entreprise. Le monotoring peut être réalisé soit avec
prise refusera d’entrer sur un marché ou de fermer une usine. l’emploi d’activités récurrentes soit à travers l’utilisation d’éva-
Une autre stratégie peut être adoptée consistant à se partager luations périodiques de différentes activités. Ces deux approches
le risque. peuvent, bien entendu, être judicieusement combinées. Aucun
Le partage du risque : Il y a plusieurs façons de partager le risque nombre d’activités de monotoring n’est précisé pour assurer
relatif au management. L’assurance, la mutualisation sont des le fonctionnement du programme du management des risques
exemples d’une telle approche. Par ailleurs, la probabilité ou d’entreprise. Néanmoins, le rapport du COSO suggère une série
l’impact du risque peut être ou transférer. d’activités qui suppose :
L’acceptation du risque : le management a le choix d’accepter la – que les variances entre résultats réels et budgétés soient vérifiés
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion

Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion


probabilité ou l’impact d’un risque donné. Il est bon de préciser que par des managers compétents pour voir s’il y a des lacunes
l’évaluation des réponses à apporter au risque est un processus. dans l’anticipation des risques ;
Les risques découlant de chaque réponse doivent être évalués à – que des modèles de « value-at-Risk » soient utilisés pour
leur tour. Mais toute politique de management de risque suppose déterminer si les centres de responsabilité ou départements
un système d’information et de communication adapté et le fonctionnent en utilisant des tolérances de risques précédem-
pilotage par l’organisation. ment planifiées et identifiées. ;
Une politique ou un programme de management de risques – que des informations externes générées par des clients ou des
d’entreprise exige que l’entreprise dispose à la fois d’informations fournisseurs peuvent aussi utilisées pour confirmer ou infirmer
pertinentes et d’un système de communication. L’information d’autres informations externes ;
pertinente pour les besoins de l’organisation doit être relevée et – que des informations sur les processus de management des
identifiée et doit être transmise aux acteurs internes de l’orga- risques et leur fonctionnement peuvent aussi être obtenues
nisation pour qu’ils puissent faire face à leurs responsabilités. par des dispositifs qui peuvent avoir des répercussions sur le
Ainsi, les décideurs prendront des bonnes décisions par rapport respect de l’organisation avec ses statuts et ses règlements ;
aux risques et aux objectifs de l’organisation. Pour y parvenir, le – une revue continue des processus par les auditeurs internes
système d’information doit traiter à la fois des données externes et externes de l’entreprise ;
et internes. En plus, le système doit contenir à la fois des données – que des séminaires de formation et des entretiens de groupe
historiques et des données actuelles. ou individuels peuvent créer un certain intérêt pour les travaux
Les informations fournies par le système d’information doivent du management des risques d’entreprise et constituer un
être adaptées aux besoins de l’organisation afin d’identifier, catalyseur pour le processus et son fonctionnement.
d’évaluer et de répondre aux risques. L’autre approche du monotoring induit des évaluations séparées.
La prise en compte des données historiques est nécessaire pour Ces évaluations ou revues peuvent être réalisées par le dépar-
des tâches telles que l’évaluation des risques. L’information tement d’audit interne ou par une bonne auto- évaluation des
transmise doit être aussi à jour et bien sûr, précise. L’information services. Dans ce dernier scénario, le manager d’une division
doit être aussi communiquée. Les tâches et responsabilités des ordonne une évaluation sur son management des risques d’entre-
employés doivent leur être communiquées pour qu’ils sachent prise. Il évalue personnellement l’efficacité du processus de son
ce qu’ils doivent faire. La communication doit être établie de unité. La tâche d’évaluation est davantage confiée à l’audit interne.
manière à ce que chacun ait conscience de ses responsabilités Le processus d’évaluation va insister sur la structure et le fonction-
et de ce qui est attendu de lui. Cela s’applique, bien entendu, aux nement du processus de management des risques d’entreprise

mai-août 2009
Dossier
24 La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie

dans une division particulière. L’évaluation va essayer de déter- il convient de se munir de la documentation disponible afin de
miner comment le système fonctionne. Le processus, à la fois au contrôler la fiabilité du nouveau système. Les modifications sur
niveau de la structure et du fonctionnement peut être déterminé le système de sécurité peuvent être appréciées en s’assurant de
par l’utilisation de moyens comme les check-lists ou des flow l’existence des procédures d’accès mises en place. L’assurance
charts. Les écarts entre ce qui devrait arriver et ce qui est arrivé, quant à l’exhaustivité, l’autorisation et la validité des informa-
Innovations managériales

en réalité, doivent être identifiés. Les résultats de ces évaluations tions lors de la saisie et du traitement est l’objectif du contrôle
sont remontés par les moyens normaux de l’entreprise. du système d’information. Quelques contrôles utilisables par
Il peut exister une confusion entre le contrôle et le monotoring. l’entreprise concernent notamment l’utilisation des techniques
Pour le COSO, le contrôle des activités du management des risques de comparaison et le rapprochement des données nouvelles
d’entreprise sont les politiques et les procédures qui aident à avec des données informatiques, le contrôle de vraisemblance,
assurer que les procédures visant à contrecarrer les risques sont les tests de logique sont autant de contrôles qui peuvent être
appliquées. Par contre, le monotoring concerne le processus entier utilisés pour vérifier les données informatiques. D’autres contrôles,
du management des risques d’entreprise et son fonctionnement. plus spécifiques, devront être mis en place, en rapport avec les
Ainsi, le contrôle des activités liées au management des risques stratégies, les objectifs et les secteurs d’activité de l’entreprise.
d’entreprise ne traite que de la partie relative à la réaction au Les contrôles doivent refléter et correspondre à l’environnement
risque du processus. C’est la fonction de ce contrôle particulier dans lequel l’entreprise évolue. Variées ou hautement pointues, les
de l’activité que de déterminer si les objectifs par le processus diverses activités peuvent nécessiter des contrôles plus élaborés
« réponse au risque » ont été bien réalisés. Le contrôle devient que ceux qui pourraient correspondre à des activités plus générales
alors une partie intégrante du processus lorsque l’organisation et moins complexes. Les risques auxquels l’organisation pourrait
tente d’atteindre cet objectif. Il existe une très grande variété être exposée vont aussi définir la nature et la complexité du contrôle
de contrôles pouvant être utilisés pour vérifier la conformité des à mettre en place ou requis. Davantage d’informations au sujet du
plans d’action établis et maintenir l’organisation dans le sens contrôle de l’information et des comptes peuvent être obtenues
des objectifs préalablement définis. Les principales activités de par de nombreux tests. Le management des risques doit s’inscrire
contrôle peuvent comprendre : dans le cadre plus global de la gouvernance de l’entreprise.
– le contrôle qui s’exerce sur la revue des rapports de performance
des managers à divers niveaux de l’organisation. Le contrôle
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion

Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion


est effectué en rapprochant les rapports des managers avec 3. M
 anagement des risques
d’autres informations. Certaines d’entre elles peuvent provenir et gouvernance de l’entreprise
des sources externes ;
– un certain nombre de contrôles peuvent être faits pour vérifier Le management des risques et la gouvernance d’entreprise sont
l’exactitude et l’exhaustivité des transactions aussi bien que deux concepts indissociables. Leur approche globale ou intégrée
l’organisation de ces transactions. Cela peut inclure la vérifi- du risque est une réponse à l’ère du risque dans lequel évoluent
cation de la comptabilisation des transactions aussi bien que les organisations.
la revue des nouveaux systèmes d’information ;
– une vérification de contrôle physique peut être menée pour
s’assurer que les actifs sont bien protégés et que les stocks 3.1. Le management des risques
théoriques sont périodiquement comparés aux stocks réels ; et gouvernance de l’entreprise :
Un contrôle très efficace de l’activité peut conduire à une compa-
raison et une corrélation des différentes données. Une comparaison deux concepts indissociables.
entre les données opérationnelles et financières peut révéler
certaines anomalies. L’ensemble du processus de management des Le management des risques, et Gouvernance de l’entreprise, sont
risques et en particulier la partie consacrée à la réponse au risque indissociables. En effet, selon l’IFACI/Price WaterhouseCoopers
dépend en grande partie du système d’information de l’entité. Ainsi, (COSO II report 2005, p. 5) le management des risques est « un
tous les contrôles liés à la réponse au risque de l’entité doivent processus mis en œuvre par le conseil d’administration, la direc-
accorder une grande importance au système d’information. Les tion générale, le management et l’ensemble des collaborateurs
décisions qui sont prises, les actions sur le point d’être réalisées, de l’organisation. Il est pris en compte dans l’élaboration de la
la performance qui est évaluée et l’atteinte ou non des objectifs stratégie ainsi que dans toutes les activités de l’organisation. Il
annoncés par rapport aux informations données par le système est conçu pour identifier les évènements potentiels susceptibles
d’information de l’entité doivent être intégrés au système d’infor- d’affecter l’organisation et pour gérer les risques dans les limites
mation. L’activité de contrôle va inclure à la fois des contrôles de son appétence pour le risque. Il vise à fournir une assurance
généraux et des contrôles particuliers. Des contrôles généraux raisonnable quant à l’atteinte des objectifs de l’organisation ».
incluent ceux qui relèvent du management et de l’infrastructure Or, le débat sur la gouvernance d’entreprise, aux Etats-Unis, au
du système d’information, de la sécurité, du développement et de Canada, en Asie et en Europe fait suite aux nombreux scandales
la maintenance des programmes. Pour réaliser ce genre de test, qui ont éclaboussé les grandes entreprises. L’enjeu pour la

mai-août 2009
Dossier
La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie 25

gouvernance est justement de se prémunir contre les risques de la gouvernance d’entreprise même si les principaux rapports
internes et externes, opérationnels et stratégiques susceptibles sur la gouvernance d’entreprise en France ne contiennent pas de
de compromettre l’atteinte des objectifs fixés par l’organisation. recommandations en matière de contrôle des risques. Néanmoins,
Des appels à un renforcement de la gouvernance d’entreprise et les lois sur la sécurité financière en France et la Sarbanes-Oxley
de la gestion des risques ont été lancés. La loi Sarbanes-Oxley aux act aux Etats-Unis, prévoient la création de comités d’audit pour

Innovations managériales
USA et la loi sur la sécurité financière en France constituent des porter la responsabilité des risques purement comptables. La
éléments de réponse à ces appels répétés et s’intègrent dans le création de comités spécialisés : d’audit, de rémunérations et de
dispositif d’une bonne gouvernance d’entreprise. Dans le même nomination est une réponse aux exigences liées à la gouvernance
cadre, E. Ebondo Wa Mandzila (2006) considère l’audit et le contrôle d’entreprise pour faire face aux risques comptables et financiers,
interne comme deux mécanismes de gouvernance de l’entreprise, aux risques de sur-rémunérations et à ceux que fait courir la
sensés réduire les risques auxquels l’entreprise est exposée. Déjà, nomination d’un dirigeant incompétent.
la commission Treadway, dans son premier rapport : Internal Control- En effet, il est attendu des conseils d’administration une bonne
Integrated Framework (COSO I Report, 1992, 1994) « dépassait compréhension et une gestion efficace des risques pour rassurer
les définitions traditionnelles du contrôle interne qui le réduisaient toutes les parties prenantes.
à des procédures administratives de protection du patrimoine et
de fiabilisation des informations financières et de gestion » pour
présenter une architecture radicalement nouvelle du contrôle 3.2. Management des risques
interne permettant d’atteindre les trois objectifs (optimisations et gouvernance d’entreprise :
et efficacité des opérations, qualité des informations financières,
conformité à la réglementation). Le management des risques de une approche intégrée des risques
l’entreprise, s’approprie les trois objectifs et les cinq composantes et de l’entreprise.
du contrôle interne (environnement de contrôle, évaluation des
risques, activités de contrôle, information et communication, Il ne fait nul doute que nous sommes entrés dans l’ère du risque.
pilotage) qu’il complète respectivement par un quatrième objectif Ce contexte a une influence sur notre vision de penser le risque.
(la stratégie) et trois autres éléments du dispositif de management
des risques (fixation des objectifs, identification des événements
3.2.1. Management des risques et gouvernance
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion

Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion


et le traitement des risques). Le management des risques étant le
prolongement du contrôle interne au thème central de la gestion d’entreprise : des approches intégrées
des risques constitue une composante majeure du dispositif de
gouvernance d’entreprise.
des risques
En effet, la demande de la gouvernance d’entreprise croît en même Les gestionnaires de risques ont eu souvent tendance à se
temps que s’intensifie le débat sur l’intégration du gestionnaire de focaliser sur certains risques notamment opérationnels. La gestion
risques au conseil d’administration. K. Lajili et D. Zéghal (2005, du risque était rarement appliquée de façon systématique et
p. 106), identifient deux relations entre gestion des risques et intégrée à l’ensemble de la société. Cette approche de la gestion
gouvernance d’entreprise. Pour ces deux auteurs, la première de risque consistant à se protéger contre certains risques a pour
relation, de loin la plus importante, « est la relation entre l’informa- inconvénient majeur l’absence d’une stratégie active de gestion
tion et la surveillance, où les gestionnaires ont l’obligation de fournir des risques à travers toutes les activités. L’environnement et
une information à jour et pertinente au conseil d’administration par conséquent la forte sensibilisation aux risques a fait évoluer
et aux contrôleurs financiers sur les risques les plus importants les mentalités des gestionnaires des risques vers une approche
auxquels l’entreprise fait face et sur l’efficacité des processus de plus intégrée de la gestion des risques qui semble correspondre
gestion des risques adoptés une fois que les incertitudes sont aussi à la vision partenariale de la gouvernance de l’entreprise.
révélées ». La deuxième relation entre la gestion ou le management En effet, pendant longtemps les études sur la gouvernance de
des risques et la gouvernance d’entreprise concerne le lien entre l’entreprise ont toujours privilégié l’approche financière ou action-
l’information et l’incitation. nariale de l’entreprise.
Dans ce cas de figure, le conseil d’administration propose aux L’entreprise est réduite aux deux seuls acteurs que sont les
cadres dirigeants une rémunération visant à les inciter à agir au actionnaires et les dirigeants. Cette approche a montré ses
mieux des intérêts des actionnaires. C’est le conseil d’adminis- limites au niveau de la performance des entreprises. Ainsi, tout
tration qui détermine le niveau de rémunération des dirigeants en le monde s’accorde aujourd’hui à privilégier l’approche partena-
fonction du risque encouru et dont le dirigeant est censé contenir ou riale de l’entreprise englobant toutes les parties prenantes. Le
réduire. C’est aussi lui qui a le pouvoir de les révoquer. Pour « une management des risques d’entreprise comme une bonne gouver-
meilleure direction, un processus efficace de gestion du risque à nance de l’entreprise conduisent à élargir le champ d’action à la
l’échelle de l’entreprise devrait être élaboré avec soin, contrôlé fois des acteurs et des processus étudiés et par conséquent à
et révisé de façon continue aux besoins ». On peut admettre que associer toutes les parties prenantes au choix d’une politique de
la maîtrise ou la gestion des risques fait partie des obligations couverture de risques. C’est la condition de l’efficacité.

mai-août 2009
Dossier
26 La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie

3.2.2. Management des risques et gouvernance Conclusion


d’entreprise : des approches intégrées Il y a toujours eu des risques dans le monde des affaires. En
de la gouvernance de l’entreprise. effet, pendant longtemps, l’entrepreneur a toujours été consi-
Deux conceptions de la gouvernance sont souvent présentées : déré comme celui qui prend le risque d’entreprendre, celui qui
Innovations managériales

l’approche financière et partenariale. L’approche financière risque son capital matériel et financier par opposition au capital
privilégie la relation entre les actionnaires et le dirigeant dans le humain. Cependant, les managers et les actionnaires en ont
cadre d’une relation d’agence. Dans cette aventure personnelle, toujours accepté les avantages et les inconvénients et ont tenté
les actionnaires prennent le risque d’engager leur capital. Ils en de gérer et de réussir ces paris risqués. Leur approche du risque
attendent un retour sur investissement. Le rôle du système de était peu organisée et trop souvent inefficace. Les temps ont
gouvernance d’entreprise consistera donc à se focaliser sur la changé et les faits ont montré que la vieille approche des silos
rentabilité de l’investissement financier. Dans ce cas de figure, hiérarchiques (fabrication, études, ventes, marketing, adminis-
les actionnaires transfèrent leurs risques moyennant rémunération tration…) en management des risques n’était plus suffisante.
aux agents (dirigeants). Il incombe à ces derniers, de mettre les Ainsi, une nouvelle approche du management des risques a été
principaux acteurs financiers à l’abri des risques financiers, infor- développée. Elle s’appelle le Management des risques d’entreprise
mationnels, de détournement, de sur-rémunération, de dévaluation qui prône une approche intégrée et rigoureuse des risques en
des actifs, de marché, de perte en capital, de faillite et de grève évaluant et en localisant les risques dans toutes les zones qui
notamment. Mais face à la complexification de l’environnement pourraient avoir un impact sur la stratégie de l’organisation et
des entreprises et l’irruption de plusieurs acteurs dans la sphère ses différents objectifs. Bien qu’il y ait de nombreux avantages
de l‘entreprise, l’entreprise doit faire face à une diversité des à retirer du Management des risques d’entreprise, le principal
risques qui dépassent le strict cadre financier. D’où la nécessité avantage demeure sa capacité à éviter de grosses pertes. Si le
de recourir à une autre approche partenariale de l’entreprise. risque peut être pris en compte et bien géré, des pertes lourdes
Dans ce modèle, l’entreprise ne se résume plus seulement à la peuvent être évitées. Les concepts du management des risques
satisfaction des intérêts des actionnaires. La valeur créée par d’entreprise sont définis par l’environnement de l’organisation.
l’entreprise est aussi le fait des apporteurs du capital humain, Cette philosophie du management des risques est la clé de voûte
organisationnel, commercial. Cette vision élargie des acteurs autour de laquelle toute l’architecture d’un programme de manage-
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion

Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion


de l’entreprise est porteuse de beaucoup de risques (y compris ment de risques doit être construite. La littérature à ce sujet
environnementaux, sociétaux, politiques, stratégiques, informa- définit un programme qui implique les processus d’identification,
tionnels…) en raison de la diversité des intérêts. La gouvernance dévaluation et de réponse au risque. Ces étapes nécessaires
d’entreprise doit s’assurer d’une satisfaction d’équilibre entre pour une bonne gestion des risques doivent être complétées par
les différentes parties prenantes. des processus d’information et de communication, de monotoring
Cette approche partenariale intégrée, est celle qui est aussi et de contrôle. Des programmes de management des risques
privilégiée par le management des risques. En effet, face au d’entreprise sont de plus en plus acceptés et introduits dans les
développement des principes de bonne gouvernance, les inves- organisations à la demande des parties prenantes. Les bénéfices
tisseurs institutionnels manifestent un intérêt particulier pour qui en découlent sont trop importants pour être ignorés. Aucune
la gestion des risques. Les entreprises qui disposeront d’une organisation ne peut risquer de ne pas adopter le management
infrastructure intégrée de la gestion des risques1 seront capables des risques d’entreprise.
de réduire le risque opérationnel, de dévaluation d’actifs et le
risque de concurrence (R. Simons, 2000, cité par K. Lajili et
D. Zéghal, 2005). Cette gestion intégrée des risques a pour Bibliographie
avantage de réduire la volatilité des performances financières Anthony R. N., Dearden J., Govindarajan V. (1992)., « Management control systems »,
Homewood, Irwin.
et devrait pouvoir permettre aux entreprises de lever des fonds Beck U (1986, 2001), « La société du risqué. Sur la voie d’une autre modernité », Paris, Aubier
à un moindre coût. La confiance des actionnaires serait accrue. Beck U, Giddens A. et Lash S. (1994), « Reflexive Modernization. Politics, Tradition and
Aesthetics in the Modern Social Order », Polity Press.
Une meilleure gestion des risques crée de la valeur de diverses Drucker P. (1957), « La pratique de la direction des entreprises », Editions d’organisation ; et
façons : elle réduit d’abord la probabilité de rencontrer des diffi- « Management tasks Responsibilities and Practices », harper& Row 1973.
Ebondo Wa Mandzila E. (2006), « La gouvernance de l’entreprise : une approche par l’audit
cultés ; ensuite, elle réduit les risques pour les dirigeants qui et le contrôle interne », L’harmattan
ont investi une certaine quantité de leurs actifs dans des parts Gramling A.A., Myers P. M. (2006) « Internal Auditing’s role in ERM », Internal auditor,
april, p. 54.
de l’entreprise ; enfin, elle peut faire baisser la charge fiscale Institut Canadien des Comptables Agrées (ICCA) (1995), « Guidance for Directors :
pesant sur elle et la prime d’assurance associée. Il convient de Governance Processes for Control », décembre.
IFACI/PricewaterhouseCoopers, Landwell &associés (2005), « Le management des risques
noter la capacité d’endettement permise à l’entreprise grâce à de l’entreprise » ; (traduction de « Enterprise Risk Management- Integrated Framework » du
rapport COSO report II ; Editions d’Organisation.
une gestion intégrée des risques. Lajili K. et Zéghal D. (2005), « Gérer le risque à l’échelle de l’entreprise : l’autre facette de la
gouvernance d’entreprise », Revue Gestion, vol.30, automne, pp.104-114.
Simons, R. (2000), « Performance Measurement and Control Systems for Implementary
1. K. Lajili et D. Zéghal dans leur article op. cit., identifient dans un tableau les Strategy : Text and Cases » Prentice Hall, 2000.
principaux risques et les modalités de les gérer. Tillingast-Towers Perrin, enquête de 2002, page 4.

mai-août 2009
Dossier