MODULE :

LA GESTION DES RISQUES BANCAIRES

Lacina OUATTARA
MBA Risk Management & Insurance
INTRODUCTION

Le risque bancaire fait partie de notre paysage quotidien. La baisse des taux d'intérêt nominaux, l'effondrement du marché
immobilier, les faillites retentissantes grands groupes bancaires et de quelques emprunteurs médiatisés ont provoqué des dégâts
massifs dans le système financier mondial. Il est inutile de citer les principales victimes ; malheureusement, ce sont généralement
les clients (petits épargnants) et les petits actionnaires et trop souvent ignorés car moins médiatisés pour être présents dans nos
esprits.

Plus intéressant est le rôle de révélateur qu'a joué la crise. Nous avons redécouvert une réalité qui n'aurait jamais dû être oubliée
: les activités bancaires sont parmi les plus risquées des activités commerciales, dans lesquelles les pires catastrophes sont
possibles, avec les plus graves conséquences potentielles. Et où, paradoxalement, la prudence ne va pas toujours de soi ; ce qui
explique d'ailleurs l'importance de la réglementation prudentielle du secteur bancaire, beaucoup plus lourde que dans tout autre
secteur de l'économie. Qui plus est, le risque bancaire est multiple.

La tradition y distingue une légion de sous-catégories de risques : le risque de taux, risque de change, le risque de transformation,
le risque de contrepartie, etc. Il est parfois difficile de se retrouver dans tous ces risques et leurs démembrements ; d'autant que
les frontières sont souvent floues entre les différentes catégories de risques (le risque de transformation est souvent un risque de
taux, mais pas toujours, etc.). La typologie des risques bancaires est donc une entreprise hasardeuse, mais et surtout une activité
de longue haleine. Notre intention dans ce cours est plus limitée. Elle consiste simplement à esquisser quelques éléments de
classification, à indiquer quelques points de repère permettant de cadrer la réflexion et si retrouver aisément.

En la matière, un détour par la théorie est probablement bienvenu. Pour comprendre les différents aspects du risque bancaire, et
le cas échéant sa spécificité, il est utile de revenir aux fondements : Quels sont les rôles d’intermédiation financière ? Et à quels
dangers spécifiques correspondent-ils ? Pour structurer notre approche, nous reprendrons une démarche désormais classique, nous
nous familiariserons avec la notion de risque et sa gestion, puis en étudiant tout d'abord les risques liés à la structure de l'actif,
puis ceux qui proviennent de la nature et des spécificités du passif. Un point, cependant, doit immédiatement être souligné. Cette
distinction, commode, reste largement formelle, et ne doit surtout pas être prise au pied de la lettre.

Par ailleurs, nous analyserons la spécificité du risque bancaire, pour autant qu'il y en ait une, qui réside précisément dans les
interactions entre les deux types de risques ; c'est en tous cas ce que nous tenterons de montrer tout au long de ce cours. En
particulier, nous conclurons par deux aspects caractéristiques du risque bancaire, en mettant en jeu simultanément les deux côtés
du bilan : le fonctionnement de la concurrence interbancaire, et les comportements de prise de risque par les banques.
CHAPITRE 1 : INTRODUCTION A LA GESTION DES RISQUES

La gestion du risque s'attache à identifier les risques qui pèsent sur les actifs d’une entreprise (c'est-à-dire ce qu'elle possède pour
sa pérennité, ses moyens, ses biens.), ses valeurs au sens large, y compris, et peut être même avant tout, sur son personnel. On
distingue généralement deux catégories d'actifs : les financiers et les non financiers.

Les dirigeants d'entreprises ont pour mission de rendre leur exploitation viable (équilibrer les charges avec les ressources) voire de
la développer (ressources supérieures aux charges = production de richesse). Le résultat obtenu leur permettra de survivre (résultat
nul) voire d'en assurer la pérennité en la développant (résultat positif).

Au-delà de la gestion financière des risques et du clivage risques financiers/non financiers, l'analyse approfondie des risques de
l'entreprise impose une veille étendue qui peut s'assimiler à de l'intelligence économique. Cette prévention des risques pesant sur
les actifs aboutit à établir une grille des risques avec à chaque fois des veilles ciblées adaptées à chaque type de risques (politique,
juridique, social, environnemental, etc.).

Le phénomène de cause à effet est de plus en plus délicat à analyser avec l'effet systémique que peut présenter désormais
la mondialisation financière et l'économie ouverte ou globalisée.

I. LA NOTION DE RISQUE ET SA GESTION

A- Le risque : Définition et particularités

1. Définition du terme « risque »

Selon le référentiel ISO Guide 73 – Vocabulaire du management du risque 1 qui a été revu lors du développement de la norme ISO
31000 :2009 – Management du risque — Principes et lignes directrices 2, la nouvelle définition abandonne la vision de l’ingénieur
(« le risque est la combinaison de probabilité d’évènement et de sa conséquence ») pour coupler les risques aux objectifs de
l’organisation : « le risque est l’effet de l’incertitude sur les objectifs »

2. Le risque dans l'industrie et en gestion

Toute activité économique entraîne des risques, que les dirigeants doivent gérer et avant tout évaluer. Pour cela, il faut les identifier
puis les minimiser, assumer financièrement la charge de ceux qu'ils jugeront acceptables (en fonction de la taille et des capacités
financières de l'entreprise), traiter par des tiers selon des processus d'externalisation (ex. assurance-crédit) les risques liés à
certaines activités, et enfin transférer certains risques auprès de professionnels de l'assurance qui assureront une garantie
financière.

L'identification des risques passe aujourd'hui par la compréhension du cycle de gestion, qui intègre les partenaires amont et aval
(clients et fournisseurs), mais aussi, dans un environnement en interaction complexe avec l'entreprise, les autres parties prenantes
(banques, société civile). Dans cette optique, l'évaluation des risques passe également par une analyse du cycle de vie des produits.

Cette démarche d'analyse et d'identification systématique est assez traditionnelle dans le monde industriel : maritime, aviation,
nucléaire, pétrolier, industrie chimique… mais cela n'élimine pas totalement le risque (voir l'explosion de l'usine AZF à Toulouse).
Elle se développe également dans le domaine de la santé, et plus précisément dans les établissements de santé, publics ou privés,
où la gestion des risques et des vigilances sanitaires est devenue indissociable de la démarche qualité.

En revanche, l'analyse de risque est beaucoup plus récente dans le domaine de la gestion et de l'économie, qui en était relativement
écarté du fait de l'absence (apparente) de risques directs sur la vie humaine.

3. Le risque de la grande entreprise à la PME

Dans les grandes entreprises, on trouve des équipes spécialisées à la tête desquelles œuvre un gestionnaire du risque ou risk
manager. Il a donc vocation à gérer les risques de l'entreprise qui l'emploie.

Pour les PME, « Les entreprises de taille moyenne sont encore peu préoccupées par la gestion de leurs risques. Selon une étude
du cabinet d'audit Mazars, qui a interrogé environ 200 entreprises affichant des chiffres d'affaires de 100 millions à quelques
milliards d'euros, les risques qui les inquiètent le plus sont ceux qui peuvent entraîner une sanction du client, suivis des risques
techniques ou opérationnels. Viennent ensuite les risques industriels, juridiques, fiscaux et informatiques." (Les Échos 09/05/2007 »
Mais, la gestion des risques s'installe de plus en plus dans les entreprises de taille moyenne").

Quelle que soit la taille de l'entreprise, chaque type de risque nécessite une réponse appropriée avec des ressources humaines
dédiées externes et/ou internes. On a vu, avec le passage informatique à l'an 2000, qu'il était nécessaire de mettre en place dans
les entreprises des équipes spécialisées dans la gestion du risque sous l'angle du management du système d'information.
Aujourd'hui, les questions de responsabilité sociétale des entreprises nécessitent, de la même manière, la prise en compte d'un
risque global, vis-à-vis de la société civile (impacts de l'activité, risques liés aux produits défectueux, etc.), la dématérialisation
impose un traitement attentif des dirigeants.

La gestion en continu de la grille de risques d'une entreprise suppose vision et vigilance du dirigeant et de ses conseils et cadres,
pour la réadapter aux réalités du terrain et des systèmes régulatoires qui s'y appliquent.

4. Les différents risques

Les principaux risques liés à la détention d'actifs financiers peuvent être listés et couvrent généralement quatre risques principaux,
à savoir :

• Le risque de contrepartie ou actions : C’est le risque que la partie avec laquelle un contrat a été conclu ne tienne
pas ses engagements. (Livraison, paiement, remboursement, etc.) ;

• Le risque de taux : C'est le risque des prêts-emprunts. C'est le risque que les taux de crédit évoluent défavorablement.
Ainsi si vous êtes emprunteur à taux variable, vous êtes en risque de taux lorsque les taux augmentent car vous payerez
plus cher. À l'inverse, si vous êtes prêteur, vous êtes en risque de taux lorsque les taux baissent car vous perdez des
revenus ;

• Le risque de change : C'est le risque sur les variations des cours des monnaies entre elles. Risque sensiblement lié
au facteur temps ;

• Le risque de liquidité : C'est le risque sur la facilité à acheter ou à revendre un actif. Si un marché n'est pas liquide,
vous risquez de ne pas trouver d'acheteur quand vous le voulez ou de ne pas trouver de vendeur quand vous en avez
absolument besoin. C'est un risque lié à la nature du sous-jacent (de la marchandise) mais aussi à la crédibilité de
l'acheteur-Vendeur. En effet, il est facile d'acheter ou de vendre un produit courant à une contrepartie de confiance, mais
plus difficile avec un produit très spécialisé. C'est la liquidité de ce produit. De plus, si l'acheteur/vendeur n'est pas
crédible, le risque de contrepartie pour les éventuels fournisseurs/clients, les dissuade de traiter. L'acheteur/vendeur est
en risque d’approvisionnement ; en risque de "Liquidité".

• Le risque météo : C'est le risque de perte potentielle de chiffre d’affaires ou de profit due aux variations de la météo.
Il concerne les quatre grandes familles climatiques que sont la température, les précipitations, l’ensoleillement et le vent.
Le risque météo ne concerne que les variations ordinaires de la météo. Il s’agit de l’impact potentiel sur la performance
d’une entreprise, d’une anomalie météo, c’est-à-dire de la fluctuation autour de sa valeur moyenne. En météorologie, la
moyenne (appelée aussi la normale) est en général calculée sur 30 ans.

Il y a d'autres risques mais la plupart se rapprochent de ceux-ci. Par exemple, on parle de risque pays. Si un pays connaît une crise
très grave (guerre, coup d’état, révolution, faillite en cascade, etc.) alors même les entreprises de confiance, malgré leur crédibilité,
vont se retrouver en difficultés. C'est un risque de contrepartie lié à l'environnement.

B- La notion de gestion du risque

1. Stratégies de gestion du risque

On distingue quatre (4) manières de gérer le risque, par ordre croissant de coût :

a) La prévention

Des mesures peuvent être prises pour limiter l'apparition de l'événement redouté. Cette stratégie est le plus souvent appliquée en
premier lieu et surtout lorsque le danger est dramatique (brûlure grave, chute de grande hauteur, coupure, pouvant entrainer la
mort ou des effets subléthaux). La prévention peut aussi se faire par "évitement", c'est-à-dire, l'activité présentant unrisque peut
être suspendue. Du point de vue des décideurs, cette stratégie est la moins risquée et la moins chère, mais elle est un frein au
développement de l'entreprise. De plus, la plupart du temps, elle reporte le risque sur d'autres entreprises, ou bien elle le remet à
plus tard.
 b) L'acceptation

L'acceptation d'un risque fait suite à une étude de danger. Cette étude permet d'évaluer les dommages pouvant être causés à des
personnes exposées si l'événement redouté a lieu. Ainsi, un risque sans gravité conséquente peut être accepté par les travailleurs
au compte de l'entreprise. Par exemple "certains électriciens refusent de porter de gros gants en caoutchouc lorsqu'ils travaillent
hors-tension, et de devoir les retirer toutes les 10 minutes pour dénuder un fil". L'acceptation est aussi valable lorsque le moyen
de protection coûte trop cher ou gêne énormément l'ouvrier dans sa tâche. Cette approche ne permet pas de protéger les
personnels ni l'outil de production tant qu'aucune volonté de réduction du risque ne se manifeste.

c) La réduction du risque

Veille, identification des risques par l'audit, analyse par la recherche des facteurs de risques et des vulnérabilités, maîtrise des
risques par les mesures de prévention et de protection : c'est la démarche classique de gestion des risques.

d) Le transfert :

A titre financier, le transfert de risque s'établit lorsque qu'une assurance ou toute autre forme de couverture de risque financier ou
garantie financière est contractée par le dirigeant confronté au risque (ex. assurance-crédit). Ces garanties ne sont pas exhaustives
pour couvrir le risque économique et financier. En cas de risque pénal pris par le dirigeant, ce transfert peut être réduit à néant.

A titre opérationnel et économique, ce transfert s'effectue lorsque l'entreprise sous-traite l'activité à risque sous une forme ou une
autre (sous-traitance directe, en cascade, co-traitance, externalisation ou outsourcing en anglais) ; un sous-traitant sérieux et
qualifié pourra faire payer très cher sa prestation mais aussi démontrer qu'il gère mieux le risque pour un prix équivalent voire
inférieur, et le recours à un sous-traitant non qualifié ou dédaigneux du risque fera courir un risque encore plus grand.

Il manque une stratégie, démystifier le risque qui n'est qu'un calcul d'incertitude dans la plupart des cas, en se posant la question
de son mode de calcul. On commence alors à parler de danger.

2. Le processus de la gestion de risque

Pour enclencher une action, il faut identifier des signaux d’alarme face aux dangers, c'est une question d’information. Mais pour
penser stratégie, la question est bien plus celle du tri comme des prises de responsabilité autour des informations jugées
pertinentes. C'est une question de gestion intelligente de l’information, donc de gestion des savoirs (Jean-Yves Mercier, 2002).

Parfois, les risques sont identifiés par des lanceurs d'alerte qui agissent à titre individuel. Comme il n'existe pas toujours de
dispositif public de traitement des alertes (comme c'est le cas en Côte d’Ivoire par exemple), les lanceurs d'alerte peuvent s'exposer
aux représailles de leur hiérarchie lorsque leurs outils et méthodes ne sont pas scientifiques, où ils ne sont pas rigoureusement
vérifiables, ou encore lorsque d’énormes intérêts financiers sont en jeu.

De ce fait, si la création d’une cellule d’observatoire des risques, ou un service de gestion des risques, est utile, mais elle ne sera
pas suffisante. Il faut activer les réseaux de compétences disponibles. On parle alors d’espaces de gestion au sein desquels les
éléments du réseau ou différentes compétences de l’entreprise peuvent interagir. Ces espaces sont au nombre de cinq (5) :

• Un espace de réflexion et d’orientation

• Des espaces de tri individuel de l’information potentielle
• Un espace de recensement de l’information
• Un espace de traitement collectif des signaux
• Et un espace de décision collective

a) Espace de réflexion et d’orientation

L’espace de réflexion et d’orientation est celui représenté par un observatoire du risque qui conduit l’ensemble de la démarche. Cet
observatoire se veut un organe transversal, chargé dans un premier temps de diagnostiquer les risques éventuels vus depuis
l’institution, puis de les organiser en grandes familles de préoccupations. À titre d’exemple, l’Observatoire du risque de Catalogne
ou la Direction des Risques de la Société Générale de Côte d’Ivoire, a choisi de concentrer son travail sur différents risques
opérationnels plus impactant : les risques du système de gestion informatique ou de l’information, les risques et accidents de
travail, les risques environnementaux, risques de santé publique, risques liés au capital humain ou de rupture sociale, … Une fois
ces orientations validées par la Direction générale ou le pouvoir politique, l’observatoire devient un organe pilote.

b) Espace de recensement de l’information

Autour de chaque axe de travail, des équipes de recensement de l’information peuvent être constituées. Celles-ci sont idéalement
liées aux départements touchés par les risques qu’elles ont à détecter, telle que le risque de cyberattaques, risques de santé
publique. Leur travail s’effectue pas à pas par une suite de questionnements typiques de la gestion des connaissances (Gilber t
Probst), questions que ces équipes approfondissent par diagnostic avec les spécialistes gravitant au sein comme autour de
l’institution : ainsi, par exemple, quels signaux nous informent de la progression des dommages psychosociaux dans les entreprises
? comment les recenser alors que les liens entre travail et troubles psychosomatiques ne sont pas clairs? comment en analyser la
pertinence ? comment en évaluer le coût ? À chaque étape, les résultats sont croisés entre équipes sous l’égide de l’Observatoire
du risque ou de la Direction des Risque, ou encore de la Direction Générale, pour favoriser l’apprentissage mutuel autour de ces
questions nouvelles.

c) Espace de traitement collectif des signaux

Parallèlement, des groupes de projets transversaux entre thèmes et départements sont créés pour organiser le traitement collectif
de l’information collectée par ces différentes équipes. Quels outils statistiques communs sont nécessaires ? Quel instrument
informatique peut permettre d’accéder aux données et de les enrichir ? Et comment structurer la base générale des connaissances
? Des enseignements récents prouvent que l’instrument informatique est extrêmement structurant pour les échanges de savoir et
d’informations. Comme l’information est difficile à cerner, l’idée principale consiste à bâtir un outil a posteriori, en fonction des
situations rencontrées dans l’approfondissement des différents types de risque.

d) Espaces de tri individuel de l’information potentielle

La question est ensuite de nourrir cet ensemble qui s’institutionnalise peu à peu. C’est donc le rôle d’animateurs de forums du
risque de soutenir le tri individuel de l’information potentielle en structurant des espaces de dialogue, que ce soit via Intranet ou
via workshops par exemple. Comme nous créons ou percevons régulièrement de nouveaux risques (Michel Serres), le but en est à
la fois de repérer les récurrences de signaux non encore connus – c’est la dimension de fréquence, comme dans le cas des risques
psychosociaux – comme ceux plus épars qui semblent toucher un sujet à l’impact potentiel important – c’est le critère de gravité.
Il ne s’agit pas de créer un filtre à l’information, mais au contraire de lui donner un canal qui ôte toute validité à la
déresponsabilisation individuelle. Ces animateurs de réseau sont répartis dans l’organisation autour des familles de risques mises
en évidence.

e) Espace de décision

Équipes thématiques, groupes de projets de traitement de l’information, animateurs de forums du risque, tous ces outils ne
fonctionnent que de concert, sous l’égide de l’Observatoire ou sous la supervision de la Direction Générale. Mais encore une fois,
celui-ci n’est pas un organe responsable. Il est simplement un facilitateur du réseau d’informations. Il a donc aussi pour rôle de
centraliser les questions ou informations susceptibles de nécessiter un traitement du risque, et d’identifier le niveau de
responsabilité adéquat.

Le problème avec les risques émergents est finalement de créer les espaces de décision et de responsabilité collective (Anthony
Giddens). C’est à l’Observatoire de proposer les bonnes constellations aux dirigeants d’entreprise ou de l'institution. Et c’est là que
se situe la vraie responsabilité de ces derniers, non dans le fait d’assumer tout le poids de l’inconnu, mais de structurer et d’octroyer
un budget à une cellule de gestion d’un nouveau risque encore flou mais identifié.

3. Actifs non financiers

Ce sont les actifs « non circulant » ou immobilisés de l'entreprise : bâtiments, véhicules, machines, … auxquels s'ajoute le personnel
employé dans le cadre de l'activité y compris les sous-traitants (voir la responsabilité des mandataires sociaux). Les outils de gestion
du risque sont :
• La prévention (ce qui suppose l'évaluation préalable du risque),
• La diversification des risques,
• L'assurance, qui ne couvre que le risque assurable.

Et en matière financière, certains outils permettant de transférer les risques à des professionnels disposés à le prendre et capables
de les gérer (soit dans une optique de spéculation, soit pour couvrir un risque inverse) :
• La couverture du risque (aussi appelée « hedging ») par l'utilisation de contrats dérivés
• La titrisation, c’est-à-dire la transformation de l'élément risqué (par exemple en une créance) en titre négociable. La
titrisation permet de se débarrasser du risque en le transformant en « papier » et de le revendre.

4. Communication des entreprises en matière de risques

Pour les entreprises cotées en bourse, soumises à des obligations de communication financière de plus en plus lourdes, les experts
estiment avec les autorités boursières que cette communication est effective et elle est arrivée à « maturité ». Ce thème est
systématiquement abordé dans les documents de référence, témoin d'une gestion globale des risques en interne (Enterprise Risk
Management).
Si la trame varie en fonction du droit applicable à l'entreprise, les entreprises françaises cotées suivant la grille de l'Autorité des
Marchés Financiers qui définit cinq rubriques :
• Risques financiers ;
• Risques juridiques ;
• Risques industriels et risques environnementaux ;
• Autres risques ;
• Assurances et couvertures de risques

Le degré d'information peut, dans tous les cas, varier suivant la famille de risques considérée, le profil sectoriel de l'entreprise, le
caractère typique de ses métiers, produits, et services et de ses implantations géographiques. Pour les entreprises non cotées, leur
capacité financière sera déterminée souvent à la lumière de leur profil de risque dont la trame plus simplifiée est assez proche de
celle des entreprises cotées.

C- Les Processus d'implantation du management des risques d'entreprise

Le management des risques contient trois grands processus :

• L'évaluation des risques,
• La formalisation des risques
• L'exploitation des risques

Ces processus permettent d'estimer et de transférer des risques dans le but d'atteindre les objectifs d'une organisation. Ainsi, «
cette approche présente des opportunités qui permettent d'exploiter des éventuels avantages concurrentiels.». Si ces processus
identifient les risques, ils sont utiles aussi pour les évaluer.

1. Évaluation des risques

L’évaluation des risques a comme fonction « d’examiner et de déterminer la probabilité d’occurrence ou de survenance d’un
évènement. ». C’est un processus primordial lors de la prise de décision dans une entreprise. Pour évaluer correctement un risque,
il faut également mesurer l'importance des effets des événements probables. Ainsi, on catégorisera le risque d'un événement en
fonction de sa probabilité d’occurrence et de son niveau d'importance. Les risques peuvent être dus à des facteurs externes o u
internes.

Les facteurs externes sont les suivants :

• Facteurs d’ordre économique : changement du niveau de compétition, des forces du marché, de l’économie ;
• Facteurs d’ordre naturel et environnemental : catastrophes naturelles
• Facteurs d’ordre politique : changement de gouvernement, de législation
• Facteurs d’ordre social : changements démographiques, de priorités sociales
• Facteurs d’ordre technologique : virage technologique
• Les facteurs internes sont les suivants peuvent être :
L’infrastructure : réparations inattendues, problèmes
Le personnel : accidents de travail, grèves
Les processus : problèmes de qualité, technologie)

Pour être capable de bien évaluer un risque, le gestionnaire doit être capable de bien comprendre ce qu’est une décision. Une
décision est un choix important à effectuer lorsqu’on fait partie d’une entreprise. Tous les gestionnaires doivent savoir comment
bien prendre une décision afin de porter fruit à l'entreprise. Un gestionnaire qui prend toujours de bonnes décisions peut êt re
considéré comme un excellent gestionnaire. Dans le processus de décision, il faut toujours analyser les avantages et désavantages
du choix à faire ou de l’option à privilégier.

De plus, il est aussi important pour le gestionnaire de bien comprendre ce qu’est un risque. Un risque est une action entreprise par
une personne en espérant avoir un gain mais aussi avec une possibilité de perte. Les risques sont importants dans les entreprises
puisqu’ils permettent aux gestionnaires de surmonter des défis. Sans des risques, une entreprise ne peut croître correctement dans
ce monde qui est constamment en évolution.

Par conséquent, il faut être capable de bien intégrer la notion de risque ainsi que la notion de décision pour être capable de bien
évaluer les risques dans une entreprise.

2. La fonction de l’évaluation des risques

L’évaluation des risques a comme fonction « d’examiner et de déterminer la probabilité d’occurrence ou de survenance d’un
évènement. ». C’est un processus primordial lors de la prise de décision dans une entreprise. Pour évaluer correctement un risque,
il faut également mesurer l'importance des effets des événements probables. Ainsi, on catégorisera le risque d'un événement en
fonction de sa probabilité d’occurrence et de son niveau d'importance. Les risques peuvent être dus à des facteurs externes o u
internes.

Comme facteurs externes, on a :

• Facteurs d’ordre économique : changement du niveau de compétition, des menaces et opportunités du marché, de
l’économie, … ;
• Facteurs d’ordre naturel et environnemental : catastrophes naturelles, changements climatiques, … ;
• Facteurs d’ordre politique : changement de gouvernement, de législation, … ;
• Facteurs d’ordre social : changements démographiques, de priorités sociales, … ;
• Facteurs d’ordre technologique : virage technologique, …

Comme facteurs internes, on peut citer :

• L’infrastructure : réparations inattendues, problèmes liés à une inadéquation technologique, un défaut technique, … ;
• Le personnel : accidents de travail, grèves, mauvais climat social, mauvaises conditions de travail, … ;
• Les processus : problèmes de qualité, inadéquation compétences/exigences du poste, manque de contrôle, …) ;
• Etc.

Pour être capable de bien évaluer un risque, le gestionnaire doit être capable de bien comprendre ce qu’est une décision. Une
décision est un choix important à effectuer lorsqu’on fait partie d’une entreprise. Tous les gestionnaires doivent savoir comment
bien prendre une décision afin de porter fruit à l'entreprise. Un gestionnaire qui prend toujours de bonnes décisions peut êt re
considéré comme un excellent gestionnaire. Dans le processus de décision, il faut toujours analyser les avantages et désavantages
du choix à entreprendre.

De plus, il est aussi important pour le gestionnaire de bien comprendre ce qu’est un risque. Un risque est une action entreprise par
une personne en espérant d’avoir un gain mais aussi possibilité de perte. Les risques sont importants dans les entreprises puisqu’ils
permettent aux gestionnaires de surmonter des défis. Sans des risques, une entreprise ne peut croître correctement dans ce monde
qui est constamment en évolution.

Il faut être capable de bien intégrer la notion de risque ainsi que la notion de décision pour être capable de bien évaluer les risques
dans une entreprise.

3. Les principales étapes de l’évaluation des risques

Il y a trois étapes qui sont comprises dans l’évaluation des risques :

• L’identification des facteurs ;

• Le classement par priorité ;
• La classification.

La première étape de l’évaluation des risques, soit l’identification des facteurs, permet de se familiariser avec les facteurs qui
pourraient causer un problème à l’entreprise. C'est dans cette étape que le gestionnaire doit collecter toute information pertinente.

La deuxième étape consiste à bien classer les informations pertinentes de chaque facteur et les regrouper avec les facteurs de
risques concernés.

La troisième et dernière étape de l’évaluation des risques consiste en classifier l’information dans un schéma de classification afin
de pouvoir mieux comprendre et analyser les risques de l’entreprise. Ce schéma va permettre de mieux reconnaître les facteurs de
risques dans l’entreprise.

4. La formalisation des risques

La formalisation des risques consiste en la deuxième étape du management des risques. Elle permet d'utiliser les méthodes
scientifiques comme les méthodes techniques de recherche opérationnelle. Ce processus contient quatre étapes :

• Modéliser les différentes sources de risques ;

• Lier les sources à des mesures financières ;
• Développer un portfolio des stratégies pour remédier à ces risques ;
• Optimiser les investissements avec ce portfolio des stratégies.
 II. DE LA GESTION DES RISQUES AU MANAGEMENT DES RISQUES

Le contexte ou l’environnement actuel

Tout le monde s’accorde pour affirmer que les entreprises évoluent dans un environnement de plus en plus incertain, de plus en
plus mouvant. En effet, la mondialisation, avec son corollaire, la complexification des activités et des réglementations, a rendu
floues les frontières entre l’entreprise et ses sous-traitants. Les fusions-acquisitions-cessions ont accentué cette impression
d’instabilité quasi générale. Les anciens modèles organisationnels ne correspondent plus aux enjeux actuels. L’entreprise doit faire
face à l’émergence des risques de plus en plus nombreux et diversifiés. nous sommes rentrés dans la société ou dans l’ère du
risque. Face à cet environnement de « moins en moins prévisible et de plus en plus agressif », susceptible de compromettre
l’atteinte des objectifs des entreprises, il devient urgent pour toutes les organisations de mettre en place un dispositif de
management des risques. On parle donc du management des risques au lieu de la gestion des risques

Le management des risques de l’entreprise est la traduction consistant à identifier, évaluer et gérer les risques aussi bien réels que
potentiels. L’objectif du concept et la pratique du management des risques de l’entreprise, avec pour souci d’attirer l’attention, plus
précisément du dirigeant, quant aux avantages et bénéfices qu’il peut en tirer. Les concepts, la trame et sa mise en œuvre. Passer
de la gestion des risques à l’approche du Management des risques de l’entreprise ou la gestion intégrée des risques permet donc
de mettre en évidence les bénéfices associés à cette approche. Mieux, les liens entre le management des risques et la gouvernance
de l’entreprise seront présentés.

A. Approche théorique et pratique du management des risques

Les entreprises ont toujours été exposées à des risques. Il est important, avant de situer ces risques dans leur nature et dans une
perspective historique, de dégager une définition du management des risques.

1. Définition du management des risques de l’entreprise

Le Management des risques est synonyme de management des risques des Affaires, du management holiste des risques ou du
management stratégique des risques.

Selon le « Committee of Sponsoring organizations of the Treadway Commission (COSO II report, 2004) prolongement du COSO
Report I (1992), « The enterprise Risk Management-Integrated Framework », traduit en français par : « Le management des
risques de l’entreprise » (IFACI et PriceWaterhouse Coopers Landwell, 2005, p. 5) », le management des risques est défini comme
étant « un processus mis en œuvre par le conseil d’administration, la direction générale, le management et l’ensemble des
collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de
l’organisation. Il est conçu pour identifier les évènements potentiels susceptibles d’affecter l’organisation et pour gérer les risques
dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de
l’organisation.

Il s’agit donc d’une approche rigoureuse de l’évaluation et du repérage de tous les risques menaçant l’atteinte des objectifs
stratégiques d’une organisation et implique tous les membres de l’organisation et ce, à tous les niveaux. Cette approche globale
des risques est perceptible à travers les catégories d’objectifs que poursuit le management des risques d’entreprise à savoir : les
objectifs stratégiques, opérationnels, de reporting et de conformité. Elle vise également à rattacher les objectifs aux différentes
catégories permettant ainsi au mangement de se concentrer sur les différents aspects des risques organisationnels et non plus sur
une seule catégorie des risques comme dans l’approche traditionnelle.

2. La nature du risque et l’approche traditionnelle

Pendant longtemps, l’entrepreneur a été défini comme celui qui prenait le risque d’entreprendre, celui qui risquait son capital et
qui était rémunéré pour cela. Le célèbre expert en management, P. Drucker (1973, p. 512), met en garde contre toute tentative
d’élimination des risques. Selon lui, « essayer d’éliminer les risques, tenter même de les diminuer … peut aboutir au plus grand de
tous les risques : la rigidité ». Il définit les décisions managériales comme des décisions de prise de risques et suggère même
qu’une stratégie pour l’innovation soit basée sur une acceptation claire des risques d’échec. Il s’agit d’une prise de conscience selon
laquelle les risques sont inhérents à toute entreprise. C’est ce qui justifie également la souscription des polices d’assurance par les
entreprises visant à les couvrir contre des pertes qui pouvaient être causées par des incendies, vols, inondations, tremblements de
terre notamment. De même, des contrats d’assurance étaient souscrits pour se protéger contre la perte d’un associé ou d’un
dirigeant important. Certains risques liés à l’investissement, ou à un prêt, étaient transférés à d‘autres parties. Sur le plan
budgétaire, l’approche traditionnelle reconnaît l’incertitude qui entoure toute prévision de coûts et de revenus tout en préconisant,
à ce titre, la rationalisation des choix budgétaires. Dans le cas d’un projet d’investissement, pour tenir compte du facteur temps et
donc du niveau de risque pesant sur les flux de trésorerie, il est souvent fait appel à un taux d’actualisation des revenus futurs.

Une autre technique consiste à faire appel à une analyse de la sensibilité afin d’aboutir à une échelle de valeurs variant d’optimiste
à pessimiste. Les probabilités et la simulation de « Monte-Carlo » ont aussi été utilisées comme méthodes d’analyse de risques
dans les décisions d’investissement de capital. Depuis de nombreuses années, des méthodes de production, de conditionnement
et de distribution ont abouti à des changements significatifs dans la protection face à des risques tels que des pertes durant le
transit, le sabotage par les employés et la contrefaçon. D’autres experts et théoriciens considèrent, eux aussi, que la poursuite du
profit d’une organisation peut être limitée par la volonté du management de ne pas prendre des risques. En effet, il est possible
que la politique managériale vise à préserver les actifs de l’entreprise et que l’objectif du profit y soit subordonné. Ainsi, l’appétence
pour le risque dépendrait de la personnalité même des managers. L’environnement dans lequel évoluent les entreprises est porteur
de risques. Par conséquent, le développement, la survie de l’entreprise passe aussi par l’acceptation par l’entreprise d’une prise de
risques.

Les approches traditionnelles du management des risques, malgré leur mérite, avaient pour caractéristique, d’être fragmentées.
Elles ne semblent donc plus correspondre aux enjeux et aux risques associés au nouvel environnement économique actuel. En
effet, Les clients exigent des produits et services de qualité supérieure et à des prix très compétitifs. Les investisseurs attendent
des dirigeants de plus en plus de performances financières exceptionnelles. La faillite de certains organismes américains d’épargne
et de prêt dans les années 1980 est largement imputable à une mauvaise approche des risques encourus par les dirigeants des
mêmes organismes. De même, l’effondrement financier en Asie, durant la dernière décennie dans le secteur des hautes
technologies, est la conséquence d’une politique inadaptée de management de risques.

La dérégulation gouvernementale a créé un climat universel favorable à l’investissement et aux échanges internationaux. Les
entreprises ne peuvent plus appréhender le management des risques sous le seul prisme national. Aujourd’hui une société qui ne
parvient pas à manager efficacement les risques et qui éprouve des difficultés financières va ébranler la confiance accordée par les
investisseurs nationaux et internationaux. La conjugaison de tous ces facteurs invite à une approche systémique, intégrée et
structurée du management des risques de l’entreprise.

3. Le management des risques de l’entreprise : les enjeux

L’objectif principal du Management des risques de l’entreprise est d’accroître la confiance et de contribuer à créer de la valeur pour
les actionnaires. Tout l’édifice repose fondamentalement sur ce principe. Mais, satisfaire les actionnaires passe d’abord par une
meilleure utilisation des ressources de l’entreprise. Le management des risques de l’entreprise aide également à la prise de décision
en identifiant les zones porteuses des risques majeurs et en suggérant des plans d’actions pour y remédier. Il est attendu aussi du
management des risques de l’entreprise qu’il contribue à instaurer la confiance auprès des investisseurs grâce à la mise à plat des
processus métier de l’entreprise afin d’identifier les éventuels dysfonctionnements ou les activités sensibles au regard des objectifs
clés de l’entreprise.

Une véritable politique de management des risques offre à l’entreprise plusieurs avantages. En effet, selon le COSO II Report
(2005, p. 42), l’adoption d’un management des risques de l’entreprise peut procurer plusieurs avantages. En effet le management
des risques permet de distinguer « le niveau de risque global qu’une entreprise accepte de prendre pour répondre à son objectif
de création de valeur ».

« L’appétence pour le risque fait référence au degré de risque »

Cette appétence pour le risque est également prise en compte dans la définition de la stratégie dans la mesure où les résultats de
la stratégie doivent être en ligne avec l’appétence de l’organisation pour le risque. Le dispositif de management des risques de
l’entreprise aide ainsi la direction à déterminer une stratégie correspondant à l’appétence de l’organisation pour le risque. Un lien
est alors établi entre la croissance, le risque et le résultat, puis elle permet à une entité d’identifier, d’évaluer le risque et d’en
établir des niveaux acceptables compatibles avec les objectifs fixés par l’entreprise ; d’où l’importance des phases d’identification
et d’évaluation des risques. Les risques peuvent être classés en plusieurs catégories :

On peut distinguer les risques stratégiques, opérationnels, informationnels et réglementaires. K. Lajili et D. Zéghal (2005)
distinguent quant à eux plusieurs catégories de risques que nous reproduisons dans le tableau 1 ci-dessous :

Tableau n° 1
Catégories de risques auxquels l’entreprise fait face

Catégories de risques Nature du risque

Risque financier : changements dans le taux d’intérêt, le
change, le crédit, la valeur de l’instrument financier et la
liquidité.
Risque financier (de change, Risque opérationnel : défauts techniques, accidents, erreurs
opérationnel, de marché, de crédit, de taux humaines, perte d’employés clés.
d’intérêt) Risque du marché : changements dans la concurrence, dans
 le nombre de produits vendus par client, perte de parts de
marché.

Risque lié à la réglementation Changement dans le contrôle, la réglementation, les

gouvernementale législations nationales et internationales
Risque économique Changements dans les facteurs macroéconomiques.
Risque de matières premières Changements dans les prix des matières premières
Incidents dans l’environnement, lois et règlements
Risque environnemental
environnementaux
Risque politique Conduite des affaires dans un contexte international
Les difficultés de faire face à ses engagements, à ses
Risque d’illiquidité
échéances
Risque de technologie Changement rapide de technologie
Conditions climatiques graves, défavorables à l’activité de
Risque lié aux conditions climatiques
l’entreprise
Dépendance à l’égard de fournisseurs clés, fournisseurs peu
Risque fournisseur
sûrs
Risque lié au cycle Tendance cyclique naturelle
Risque de saisonnalité Modèles saisonniers
Risque de valeur de l’instrument financier
Risque de distribution Changements dans les canaux de distribution
Quantités insuffisantes de réserves, faible qualité des
Risque de ressources naturelles
réserves.
Si les risques sont identifiés, il convient de les qualifier selon deux critères :

• La probabilité de survenance : Il s’agit de savoir si le risque à plus de chance de se réaliser ou à quelles fréquences
se réalisent-ils.

• L’impact en cas de survenance : L’impact ou la gravité pourra être apprécié selon plusieurs paramètres : impact
financier, impact humain, impact sur l’image de l’entreprise, … Généralement, il est souvent fait appel à la cotation selon
une échelle de type : faible/moyen/élevé.

La combinaison du critère 1 (probabilité d’occurrence) et du critère 2 (impact) permet d’attribuer au risque considéré une cotation
globale. Ainsi le management des risques permet une meilleure connaissance et une bonne compréhension de l’impact du risque
en cas de survenance.

Après l’identification et l’évaluation des risques, la direction peut alors adopter une stratégie appropriée parmi les cinq stratégies
de gestion de risques suivantes :
• L’évitements
• La prévention,
• La réduction de l’impact,
• Le partage
• L’acceptation du risque.

Le choix d’une stratégie nécessite de chiffrer le rapport coût/bénéfice de chacune des stratégies possibles. Ainsi une entreprise qui
aura pour objectif de se développer à l’international, ne pourra pas mettre en œuvre une stratégie d’évitement du risque d’échange.
Par ailleurs, le management des risques, grâce à la qualité des informations qu’il produit, oriente mieux les besoins en capitaux et
leur meilleure allocation. Toutes ces raisons militent en faveur de l’adoption d’un management des risques de l’entreprise.
 4. Pour une adoption du management intégré des risques de l’entreprise

Selon de récentes études, 40 à 60 % des entreprises d’Amérique du Nord utilisaient une approche intégrée du management des
risques. La même enquête indiquait que les postes de Risk Managers étaient en augmentation constante. Une autre enquête
réalisée par Mr Perrin Tillingast-Towers a montré que c’est surtout dans le secteur des assurances et des banques que se
développent une politique de management intégré des risques. D’autres études réalisées sur l’adoption du management intégrée
des risques par les organisations, a fourni les résultats suivants :

Tableau n° 2
Le statut du management des risques intégrés

L’organisation n’a pas adopté le management des risques de l’entreprise 13 %

L’organisation a adopté le management des risques de l’entreprise il ya plusieurs années et sa
6,1 %
mise en place est terminée
L’organisation a récemment adopté le management des risques de l’entreprise et sa mise en place
5,5 %
est relativement terminée
L’organisation a récemment adopté le management des risques de l’entreprise mais sa mise en
14,7 %
place n’est pas parfaitement terminée
L’organisation s’est engagée dans un processus de mise en oeuvre du management des risques de
21,9 %
l’entreprise
Actuellement, l’organisation est en train d’apprécier la pertinence du management des risques
31,8 %
pour leur entreprise
L’organisation a rejeté le concept du management des risques de l’entreprise 1,4 %
Autres réponses 5%
Ne se prononce pas 0,6 %
Le COSO II Report est actuellement relayé par des pressions externes, notamment les investisseurs institutionnels. Ceux-ci,
notamment les fonds de pension incitent les gouvernements d’entreprises à adopter une approche intégrée du management des
risques. En Grande-Bretagne, par exemple, la London Stock Exchange recommande vivement cette stratégie. En Australie et en
Nouvelle-Zélande, un ensemble de standards communs au management des risques est mis en place. Pour le moment, il n’y a
aucune obligation. En Allemagne, des dispositions législatives ont été votées en 1998. Aux Pays-Bas, un rapport a été également
publié. Ces lois et rapport militent en faveur de l’adoption d’un management intégré des risques. De même, aux Etats-Unis, la
Securities and Exchange Commission, l’AICPA (rapport Jenkin) et le rapport du COSO font du management de risques une priorité
pour les entreprises.

On peut, toutefois, regretter le caractère non obligatoire de l’application de ces rapports. Au Canada, le CICA a publié un guide à
destination des directeurs dans lequel il est précisé, avec force, que le contrôle fait partie du processus de gouvernance, et, à ce
titre, nécessite que les risques soient convenablement gérés. Le guide parle aussi du fait que « les risques contrôlables existent au
travers de l’organisation, de par sa vocation, sa stratégie, son personnel et ses autres ressources, communication et pratiques
opérationnelles générales.

Dans ce contexte, le contrôle inclut non seulement le problème des valeurs éthiques mais également l’identification et la réduction
des risques. Si le management a tendance à parler du risque relatif à l’atteinte de ses objectifs, une partie du risque réside
également dans le fait de ne pas réussir à maintenir la capacité de l’organisation à identifier et à exploiter les opportunités.

5. Le processus de management des risques

a) L’efficacité du management des risques de l’entreprise passe par la distinction de trois

niveaux reliés entre eux

Le premier niveau concerne les relations qui doivent exister entre les différentes structures composant l’organisation.
L’organisation peut être centralisée ou décentralisée. Ce qui importe c’est de mettre en place une organisation efficace qui passe
par la définition formelle des responsabilités, des pouvoirs et des procédures d’exécution et de contrôle, sans toutefois perdre de
vue le système de délégation qui doit exister à tous les niveaux de responsabilité.
Cette organisation ne peut ignorer l’environnement à l’intérieur de laquelle elle évolue. C’est l’environnement interne qui constitue
la base de la structure organisationnelle de l’entité et dicte la manière selon laquelle les tâches de fixation d’objectifs devront être
menées. L’environnement interne englobe la totalité de la philosophie managériale en matière de risques de l’organisation,
l’appétence pour le risque, l’intégrité et les valeurs éthiques des dirigeants de l’organisation. En effet, la culture de l’entité peut
être influencée par la personnalité du dirigeant. Privilégier les résultats à tout prix au mépris des règles éthiques est préjudiciable
à l’organisation.

Les relations établies entre la structure de l’organisation et l’environnement interne déterminent la fixation d’objectifs. En effet, les
personnes souhaitant contribuer à un programme efficace de management des risques devront maîtriser non seulement les objectifs
de leur unité mais aussi les objectifs généraux de l’entreprise. C’est la troisième relation nécessaire devant exister entre l’activité
et la fixation des objectifs de l’organisation. Ces objectifs devront être définis en tenant compte de l’appétence pour le risque de
l‘organisation. ^

Les processus constituent le deuxième niveau de l’ossature du management des risques d’entreprise. Il s’agit des processus
d’estimation, de formalisation et d’exploitation des risques qui doivent nécessairement être décrits. Le troisième niveau de l’ossature
du management des risques d’entreprise concerne les actions, c’est-à-dire, les activités de contrôle, le système de surveillance,
d’information et de communication. Si ces trois niveaux sont établis, la mise en place d’un programme de management des risques
se trouve facilitée. L’ossature d’un management des risques d’entreprise est schématisée dans la figure 1.

Figure 1

Il appartient donc à la direction générale d’assurer un suivi régulier des politiques de gestion des risques et à en approuver les
limites. Elle doit également approuver l’approche globale de la prise de risques. Le programme de management des risques doit
fonctionner conjointement avec le « Service Audit Interne » ou la « Direction Financière » de l’entreprise en raison de leur
connaissance des circuits de l’entreprise. De nombreux auteurs préconisent la création d’un Risk Manager (Chief Risk Officer : CRO)
– gestionnaire des risques — qui agirait comme un leader et le catalyseur du programme de management des risques. IL apparaît
comme un « leader, un évangéliste, un intendant et un consultant » dans le processus d’implantation et de mise en œuvre d’un
management des risques d’entreprise. Il doit faire remonter l’information directement à la « Direction Générale » et au « Comité
de Direction ».
 b) Les Processus d’implantation du management des risques d’entreprise

Un management de risques comporte trois processus : l’évaluation des risques, leur formalisation et leur exploitation. C’est ce
qu’illustre la figure. 2 ci-dessous :

Figure 2

Ces processus constituent une partie de l’ossature pour une approche rigoureuse d’estimation et de reporting des risques
susceptibles de compromettre la réalisation des objectifs de l’organisation. Cette approche présente des opportunités qui
permettent d’exploiter des éventuels avantages concurrentiels. Si les processus permettent d’identifier les risques, il convient alors
de les évaluer.

c) L’évaluation des risques

L’évaluation des risques comporte trois étapes : l’identification des facteurs, leur classement par priorité et leur classification. C’est
ce qu’illustre la figure 3.

Figure 3

Si cela est fait correctement, l’évaluation des risques peut corréler tout risque qui pourrait dépendre les uns des autres et éviter
ainsi les pertes de temps ou des doublons. L’attention et les moyens pourraient donc être utilisés pour les risques qui en valent
vraiment la peine.

C’est à la fonction de l’évaluation des risques d’examiner et de déterminer la probabilité d’occurrence ou de survenance d’un
évènement. La première étape consiste à identifier les évènements. Un évènement est simplement un incident ou un fait
qui pourrait affecter la mise en œuvre d’une stratégie ou la poursuite d’un objectif. Il peut exister plusieurs évènements. Certains
peuvent avoir un impact négatif et d’autres, un impact positif.

Les risques peuvent être dus à des facteurs externes :

• Facteurs d’ordre économique : changement du niveau de compétition, des forces du marché, de l’économie, … ;
• Facteurs d’ordre naturel et environnemental : catastrophes naturelles, intempéries et changements climatiques, …
• Facteurs d’ordre politique : changement de gouvernement, de législation, … ;
• Facteurs d’ordre social : changements démographiques, de priorités sociales, … ;
• Facteurs d’ordre technologique : virage technologique, adéquation technique ou technologique,
Ou à des facteurs internes :
• L’infrastructure : réparations inattendues, problèmes techniques, … ;
• Le personnel : accidents de travail, grèves, … ;
• Les processus : problèmes de qualité, technologie, …).

Cette phase constitue le premier pas vers l’identification et l’évaluation des risques. Les facteurs de risques sont des évènements
ou des variables pouvant aggraver un risque. Perdre des parts de marchés est un risque. Mais ne pas y être préparé est un facteur
de risque. Une revue des stratégies de l’organisation, des plans de financement et des opérations donnera des indices quant aux
facteurs de risques qui peuvent être associés.

Une approche « Top-Down » (allant des supérieurs hiérarchiques aux subordonnés) est utile dans ce contexte. Une analyse
qualitative utilisant des données passées et récentes peut être aussi utile pour identifier ces facteurs qui pourraient affec ter la
réalisation des objectifs fixés par l’entreprise. Le rapport sur les opinions des cadres est fréquemment utilisé à cette étape au même
titre que des analyses prévisionnelles.

La deuxième étape de l’évaluation des risques privilégie les facteurs de risques. Cette étape suppose le regroupement et le
détail de l’information relative à chaque facteur de risque. Le processus doit prévoir la probabilité, la fréquence, la prédictibilité et
les effets potentiels sur les indicateurs clés de performance de ces facteurs. Un jugement subjectif combiné à un modèle
mathématique comme l’actualisation est utile pour rechercher l’impact potentiel du risque sur la stratégie de l’entreprise, sa
croissance, sa réputation, ses ressources humaines ou ses systèmes.

La dernière étape dans l’évaluation est la classification des risques. Elle suppose que l’action d’identification nécessaire
soit bien définie. Ainsi un schéma de classification relatif aux actions prévues serait d’une grande utilité. Le plan de classification
analyserait les facteurs de risques tant du point de vue opérationnel que stratégique (ou bien en termes de contrôle et de stratégie).

Les facteurs de risques gérables sont ceux qui découlent d’un environnement dans lequel l’entreprise est déjà habituée. Les
compétences et les savoir-faire qui sont requis pour résoudre les problèmes sont déjà disponibles au sein de l’organisation. Des
exemples de ce type de risque peuvent être le « Département Recherche & Développement » qui ne parvient pas à élaborer de
nouveaux produits ou à résoudre un problème technique avec des clients insatisfaits.

Les facteurs de risques stratégiques sont ceux qui découlent de l’environnement peu familier à l’entreprise. Les ressources et les
capacités à résoudre ce genre de problème peuvent ne pas être en place. La prise en mains de ce genre de situation peut nécessiter
un changement dans la direction de la stratégie ou une nouvelle orientation dans l’allocation des ressources en capital.

d) La formalisation des risques

L’étape suivante du processus de management des risques d’entreprise implique la formalisation des risques ; d’où l’utilisation des
méthodes scientifiques telles que les techniques de recherche opérationnelle. Il est nécessaire de quantifier les différents facteurs
de risques qui ont été identifiés dans les analyses précédentes.

La formalisation des risques comporte quatre étapes. Il s’agit de :

- modéliser les différentes sources de risques ;
- les lier à des mesures financières ;
- développer un portfolio des stratégies pour remédier à ces risques ; et
- optimiser les investissements avec ce portfolio des stratégies.

La première étape nécessite différentes approches qui seront fonction de la nature des facteurs de risques. Pour certains, une
action banale peut être tentée. Pour les risques assurés ou des risques qui peuvent être facilement réduits sur les marchés
financiers, ils peuvent être modélisés en utilisant des méthodes statistiques basées sur des données historiques. Pour des risques
d’entreprise dans son ensemble, une évaluation probabiliste basée sur les avis des cadres et d’experts peuvent être élaborées.
Finalement, cette partie de l’analyse, encore basée sur les avis d’experts doit déterminer et modéliser les relations entre les sources
de risques.

La deuxième étape dans la formalisation des risques consiste à lier les facteurs de risques à des indicateurs financiers comme le
« cash flow ». La distribution probabiliste de la deuxième étape est ajoutée au modèle financier pour qu’une mesure de la volatilité
et de la rentabilité financière soit obtenue. Cela permet aussi l’analyse de l’impact de la gestion à travers une série de scénarii
hypothétiques.

La troisième étape implique la réalisation d’un portfolio de stratégies de traitement de risques. Il s’agit de déterminer les manières
de réduire les risques. A travers des séances de brainstorming entre experts, il est possible de trouver des moyens de réduire ou
d’éliminer certains risques sur les marchés financiers notamment. Tout choix stratégique doit s’appuyer sur une analyse coût/
bénéfice. La littérature utilise l’exemple du « cash-flow ». L’allure de la distribution probabiliste du « cash-flow » peut être modifiée
en augmentant la valeur prédéterminée de « cash-flow », ou en abaissant les variations attendues de la valeur de la variable ou
en utilisant des mesures pour réduire l’impact des risques lors des plus pessimistes scénarii. A partir de cette analyse, des
simulations peuvent être réalisées pour chaque combinaison de stratégie.
La quatrième et dernière étape dans le processus de formalisation est l’« optimisation de l’investissement à travers des
stratégies correctives ». Il en résultera un management des risques orienté « Budgets » qui reflètera une allocation efficace des
ressources du Management des risques d’entreprise selon le niveau des risques identifiés précédemment. Les contraintes
budgétaires et les objectifs de l’entreprise peuvent s’opposer aux modèles probabilistes développés dans le processus de
formalisation des risques.

e) L’exploitation du risque

La phase finale du processus de management des risques est l’exploitation des risques. Ce titre suppose que le risque peut être
considéré à la fois comme une menace et une opportunité. Pour vraiment exploiter le risque, le management doit mettre sous
tension les sources de risques. La connaissance ou l’identification des risques constitue en soi, pour l’entreprise, un avantage
comparatif. En effet, le risque peut représenter une menace pour la compétitivité de la firme. Ensuite, une entreprise peut être
capable de manager les risques mieux que les concurrents. A tous les niveaux, l’exploitation des risques entraine une réponse. Il
n’y a pas une mais plusieurs réponses aux risques comme l’illustre la figure 4.

Figure 4

La stratégie d’évitement consiste pour le management de stopper ou de réduire l’activité qui favorise le risque. Par exemple,
l’entreprise refusera d’entrer sur un marché ou de fermer une usine. Une autre stratégie peut être adoptée consistant à se partager
le risque.

Le partage du risque : Il y a plusieurs façons de partager le risque relatif au management. L’assurance, la mutualisation sont des
exemples d’une telle approche. Par ailleurs, la probabilité ou l’impact du risque peut être partagé ou transféré.

La réduction du risque consiste à prendre des dispositions ou des mesures, entreprendre des actions et poser des actes visant
à réduire la probabilité de réalisation d’un risque ou l’étendu des dommages.

L’acceptation du risque : Le management a le choix d’accepter la probabilité ou l’impact d’un risque donné. Il est bon de préciser
que l’évaluation des réponses à apporter au risque est un processus. Les risques découlant de chaque réponse doivent être évalués
à leur tour. Mais toute politique de management de risque suppose un système d’information et de communication adapté et le
pilotage par l’organisation.

Une politique ou un programme de management de risques d’entreprise exige que l’entreprise dispose à la fois d’informations
pertinentes et d’un système de communication. L’information pertinente pour les besoins de l’organisation doit être relevée et
identifiée et doit être transmise aux acteurs internes de l’organisation pour qu’ils puissent faire face à leurs responsabilités. Ainsi,
les décideurs prendront des bonnes décisions par rapport aux risques et aux objectifs de l’organisation. Pour y parvenir, le système
d’information doit traiter à la fois des données externes et internes. En plus, le système doit contenir à la fois des données
historiques et des données actuelles.

Les informations fournies par le système d’information doivent être adaptées aux besoins de l’organisation afin d’identifier, d’évaluer
et de répondre aux risques.

La prise en compte des données historiques est nécessaire pour des tâches telles que l’évaluation des risques. L’information
transmise doit être aussi à jour et bien sûr, précise. L’information doit être aussi communiquée. Les tâches et responsabilit és des
employés doivent leur être communiquées pour qu’ils sachent ce qu’ils doivent faire. La communication doit être établie de manière
à ce que chacun ait conscience de ses responsabilités et de ce qui est attendu de lui. Cela s’applique, bien entendu, aux employés
agissant au niveau individuel ou comme membre d’un groupe de travail.

Ce qui est important, c’est que la communication soit capable de transmettre un résumé clair de la philosophie de gestion des
risques pour l’entreprise et pour chaque membre de l’organisation dans le cadre du programme de management des risques. Cela
peut être accompli avec l’utilisation de divers médias. L’entreprise peut choisir d’utiliser des manuels, des notes de service, de s
vidéos, conférences ou des présentations. Tout cela doit faire partie de la communication interne mais aussi de la communication
externe à double sens entre l’entreprise, ses clients, ses fournisseurs et l’ensemble des acteurs pouvant avoir un rôle à jouer dans
l’atteinte des objectifs de l’organisation.
Etablir un programme de gestion des risques est une chose, s’assurer qu’il fonctionne en est une autre. C’est le devoir (rôle) du
monitoring. Il doit y avoir des procédures en place dans l’organisation pour évaluer de façon continue la présence et le
fonctionnement de tous les composants du management de risques d’entreprise. Le monitoring peut être réalisé soit avec l’emploi
d’activités récurrentes soit à travers l’utilisation d’évaluations périodiques de différentes activités. Ces deux approches peuvent,
bien entendu, être judicieusement combinées. Aucun nombre d’activités de monitoring n’est précisé pour assurer le fonctionnement
du programme du management des risques d’entreprise. Néanmoins, le rapport du COSO suggère une série d’activités qui suppose
:
- que les variances entre résultats réels et budgétés soient vérifiés par des managers compétents pour voir s’il y a des
lacunes dans l’anticipation des risques ;

- que des modèles de « value-at-Risk » soient utilisés pour déterminer si les centres de responsabilité ou départements
fonctionnent en utilisant des tolérances de risques précédemment planifiées et identifiées. ;

- que des informations externes générées par des clients ou des fournisseurs peuvent aussi être utilisées pour confirmer
ou infirmer d’autres informations externes ;

- que des informations sur les processus de management des risques et leur fonctionnement peuvent aussi être obtenues
par des dispositifs qui peuvent avoir des répercussions sur le respect de l’organisation avec ses statuts et ses règlements
;

- une revue continue des processus par les auditeurs internes et externes de l’entreprise ;

- que des séminaires de formation et des entretiens de groupe ou individuels peuvent créer un certain intérêt pour les
travaux du management des risques d’entreprise et constituer un catalyseur pour le processus et son fonctionnement.

L’autre approche du monitoring induit des évaluations séparées. Ces évaluations ou revues peuvent être réalisées par le
département d’audit interne ou par une bonne auto- évaluation des services. Dans ce dernier scénario, le manager d’une division
ordonne une évaluation sur son management des risques d’entreprise. Il évalue personnellement l’efficacité du processus de son
unité. La tâche d’évaluation est davantage confiée à l’audit interne. Le processus d’évaluation va insister sur la structure et le
fonctionnement du processus de management des risques d’entreprise dans une division particulière.

L’évaluation va essayer de déterminer comment le système fonctionne. Le processus, à la fois au niveau de la structure et du
fonctionnement peut être déterminé par l’utilisation de moyens comme les check-lists ou des flow charts. Les écarts entre ce qui
devrait arriver et ce qui est arrivé, en réalité, doivent être identifiés. Les résultats de ces évaluations sont remontés par les moyens
normaux de l’entreprise.

Il peut exister une confusion entre le contrôle et le monitoring. Pour le COSO, le contrôle des activités du management des risques
d’entreprise sont les politiques et les procédures qui aident à assurer que les procédures visant à contrecarrer les risques sont
appliquées. Par contre, le monitoring concerne le processus entier du management des risques d’entreprise et son fonctionnement.
Ainsi, le contrôle des activités liées au management des risques d’entreprise ne traite que de la partie relative à la réaction au
risque du processus.

C’est la fonction de ce contrôle particulier de l’activité que de déterminer si les objectifs par le processus « réponse au risque » ont
été bien réalisés. Le contrôle devient alors une partie intégrante du processus lorsque l’organisation tente d’atteindre cet objectif.
Il existe une très grande variété de contrôles pouvant être utilisés pour vérifier la conformité des plans d’action établis et maintenir
l’organisation dans le sens des objectifs préalablement définis. Les principales activités de contrôle peuvent comprendre :
• Le contrôle qui s’exerce sur la revue des rapports de performance des managers à divers niveaux de l’organisation. Le
contrôle est effectué en rapprochant les rapports des managers avec d’autres informations. Certaines d’entre elles peuvent
provenir des sources externes ;
• Un certain nombre de contrôles peuvent être faits pour vérifier l’exactitude et l’exhaustivité des transactions aussi bien
que l’organisation de ces transactions. Cela peut inclure la vérification de la comptabilisation des transactions aussi bien
que la revue des nouveaux systèmes d’information ;
• Une vérification de contrôle physique peut être menée pour s’assurer que les actifs sont bien protégés et que les stocks
théoriques sont périodiquement comparés aux stocks réels.

Un contrôle très efficace de l’activité peut conduire à une comparaison et une corrélation des différentes données. Une comparaison
entre les données opérationnelles et financières peut révéler certaines anomalies. L’ensemble du processus de management des
risques et en particulier la partie consacrée à la réponse au risque dépend en grande partie du système d’information de l’entité.
Ainsi, tous les contrôles liés à la réponse au risque de l’entité doivent accorder une grande importance au système d’information.

Les décisions qui sont prises, les actions sur le point d’être réalisées, la performance qui est évaluée et l’atteinte ou non des objectifs
annoncés par rapport aux informations données par le système d’informations de l’entité doivent être intégrés au système
d’information. L’activité de contrôle va inclure à la fois des contrôles généraux et des contrôles particuliers. Des contrôles généraux
incluent ceux qui relèvent du management et de l’infrastructure du système d’information, de la sécurité, du développement et de
la maintenance des programmes.
Pour réaliser ce genre de test, il convient de se munir de la documentation disponible afin de contrôler la fiabilité du nouveau
système. Les modifications sur le système de sécurité peuvent être appréciées en s’assurant de l’existence des procédures d’accès
mises en place. L’assurance quant à l’exhaustivité, l’autorisation et la validité des informations lors de la saisie et du traitement est
l’objectif du contrôle du système d’information. Quelques contrôles utilisables par l’entreprise concernent notamment l’utilisation
des techniques de comparaison et le rapprochement des données nouvelles avec des données informatiques, le contrôle de
vraisemblance, les tests de logique sont autant de contrôles qui peuvent être utilisés pour vérifier les données informatiques.

D’autres contrôles, plus spécifiques, devront être mis en place, en rapport avec les stratégies, les objectifs et les secteurs d’activité
de l’entreprise. Les contrôles doivent refléter et correspondre à l’environnement dans lequel l’entreprise évolue. Variées ou
hautement pointues, les diverses activités peuvent nécessiter des contrôles plus élaborés que ceux qui pourraient correspondr e à
des activités plus générales et moins complexes. Les risques auxquels l’organisation pourrait être exposée vont aussi définir la
nature et la complexité du contrôle à mettre en place ou requis. Davantage d’informations au sujet du contrôle de l’information et
des comptes peuvent être obtenues par de nombreux tests. Le management des risques doit s’inscrire dans le cadre plus global
de la gouvernance de l’entreprise.

B. Management des risques et gouvernance de l’entreprise

Le management des risques et la gouvernance d’entreprise sont deux concepts indissociables. Leur approche globale ou intégrée
du risque est une réponse à l’ère du risque dans lequel évoluent les organisations.

1. Le management des risques et gouvernance de l’entreprise : deux concepts

indissociables.

Le management des risques, et Gouvernance de l’entreprise, sont indissociables. En effet, selon l’IFACI / PriceWaterhouseCoopers
(COSO II report 2005, p. 5) le management des risques est « un processus mis en œuvre par le conseil d’administration, la direction
générale, le management et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie
ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les évènements potentiels susceptibles d’affecter
l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable
quant à l’atteinte des objectifs de l’organisation ».

Or, le débat sur la gouvernance d’entreprise, aux Etats-Unis, au Canada, en Asie et en Europe fait suite aux nombreux scandales
qui ont éclaboussé les grandes entreprises. L’enjeu pour la gouvernance est justement de se prémunir contre les risques internes
et externes, opérationnels et stratégiques susceptibles de compromettre l’atteinte des objectifs fixés par l’organisation. Des appels
à un renforcement de la gouvernance d’entreprise et de la gestion des risques ont été lancés. La loi Sarbanes-Oxley aux USA et la
loi sur la sécurité financière en France constituent des éléments de réponse à ces appels répétés et s’intègrent dans le dispositif
d’une bonne gouvernance d’entreprise.

Dans le même cadre, E. Ebondo Wa Mandzila (2006) considère l’audit et le contrôle interne comme deux mécanismes de
gouvernance de l’entreprise, sensés réduire les risques auxquels l’entreprise est exposée. Déjà, la commission Treadway, dans son
premier rapport : Internal Control-Integrated Framework (COSO I Report, 1992, 1994) « dépassait les définitions traditionnelles
du contrôle interne qui le réduisaient à des procédures administratives de protection du patrimoine et de fiabilisation des
informations financières et de gestion » pour présenter une architecture radicalement nouvelle du contrôle interne permettant
d’atteindre les trois objectifs (optimisations et efficacité des opérations, qualité des informations financières, conformité à la
réglementation).

Le management des risques de l’entreprise, s’approprie les trois objectifs et les cinq composantes du contrôle interne
(environnement de contrôle, évaluation des risques, activités de contrôle, information et communication, pilotage) qu’il complète
respectivement par un quatrième objectif (la stratégie) et trois autres éléments du dispositif de management des risques (fixation
des objectifs, identification des événements et le traitement des risques). Le management des risques étant le prolongement du
contrôle interne au thème central de la gestion des risques constitue une composante majeure du dispositif de gouvernance
d’entreprise.

En effet, la demande de la gouvernance d’entreprise croît en même temps que s’intensifie le débat sur l’intégration du gestionnaire
de risques au conseil d’administration. K. Lajili et D. Zéghal (2005, p. 106), identifient deux relations entre gestion des risques et
gouvernance d’entreprise. Pour ces deux auteurs, la première relation, de loin la plus importante, « est la relation entre l’information
et la surveillance, où les gestionnaires ont l’obligation de fournir une information à jour et pertinente au conseil d’administration et
aux contrôleurs financiers, sur les risques les plus importants auxquels l’entreprise fait face et sur l’efficacité des processus de
gestion des risques adoptés une fois que les incertitudes sont révélées ».

La deuxième relation entre la gestion ou le management des risques et la gouvernance d’entreprise concerne le lien entre
l’information et l’incitation. Dans ce cas de figure, le conseil d’administration propose aux cadres dirigeants une rémunération visant
à les inciter à agir au mieux des intérêts des actionnaires. C’est le conseil d’administration qui détermine le niveau de rémunération
des dirigeants en fonction du risque encouru et dont le dirigeant est censé contenir ou réduire. C’est aussi lui qui a le pou voir de
les révoquer. Pour « une meilleure direction, un processus efficace de gestion du risque à l’échelle de l’entreprise devrait être
élaboré avec soin, contrôlé et révisé de façon continue aux besoins ».
On peut admettre que la maîtrise ou la gestion des risques fait partie des obligations de la gouvernance d’entreprise même si les
principaux rapports sur la gouvernance d’entreprise en France ne contiennent pas de recommandations en matière de contrôle des
risques. Néanmoins, les lois sur la sécurité financière en France et la Sarbanes-Oxley act aux Etats-Unis, prévoient la création de
comités d’audit pour porter la responsabilité des risques purement comptables. La création de comités spécialisés : d’audit, de
rémunérations et de nomination est une réponse aux exigences liées à la gouvernance d’entreprise pour faire face aux risques
comptables et financiers, aux risques sur les rémunérations et à ceux que fait courir la nomination d’un dirigeant incompétent.

En effet, il est attendu des conseils d’administration une bonne compréhension et une gestion efficace des risques pour rassu rer
toutes les parties prenantes.

2. Management des risques et gouvernance d’entreprise : une approche intégrée des

risques et de l’entreprise.

Il ne fait nul doute que nous sommes entrés dans l’ère du risque. Ce contexte a une influence sur notre vision de penser le risque.

a) Management des risques et gouvernance d’entreprise : des approches intégrées

des risques

Les gestionnaires de risques ont eu souvent tendance à se focaliser sur certains risques notamment opérationnels. La gestion du
risque était rarement appliquée de façon systématique et intégrée à l’ensemble de la société. Cette approche de la gestion de
risque consistant à se protéger contre certains risques a pour inconvénient majeur l’absence d’une stratégie active de gestion des
risques à travers toutes les activités. L’environnement, et par conséquent, la forte sensibilisation aux risques a fait évoluer les
mentalités des gestionnaires des risques vers une approche plus intégrée de la gestion des risques qui semble correspondre aussi
à la vision partenariale de la gouvernance de l’entreprise. En effet, pendant longtemps les études sur la gouvernance de l’entreprise
ont toujours privilégié l’approche financière ou actionnariale de l’entreprise.

L’entreprise se retrouve donc réduite aux deux seuls acteurs que sont les actionnaires et les dirigeants. Cette approche a montré
ses limites au niveau de la performance des entreprises. Ainsi, tout le monde s’accorde aujourd’hui à privilégier l’approche
partenariale de l’entreprise englobant toutes les parties prenantes. Le management des risques d’entreprise comme une bonne
gouvernance de l’entreprise conduisent à élargir le champ d’action à la fois des acteurs et des processus étudiés et par conséquent
à associer toutes les parties prenantes au choix d’une politique de couverture de risques. C’est la condition de l’efficacité.

b) Management des risques et gouvernance d’entreprise : des approches intégrées de

la gouvernance de l’entreprise.

Deux conceptions de la gouvernance sont souvent présentées : l’approche financière et partenariale. L’approche financière privilégie
la relation entre les actionnaires et le dirigeant dans le cadre d’une relation d’agence. Dans cette aventure personnelle, les
actionnaires prennent le risque d’engager leur capital. Ils en attendent un retour sur investissement. Le rôle du système de
gouvernance d’entreprise consistera donc à se focaliser sur la rentabilité de l’investissement financier. Dans ce cas de figure, les
actionnaires transfèrent leurs risques moyennant rémunération aux agents (dirigeants). Il incombe à ces derniers, de mettre les
principaux acteurs financiers à l’abri des risques financiers, informationnels, de détournement, de sur-rémunération, de dévaluation
des actifs, de marché, de perte en capital, de faillite et de grève notamment.

Mais face à la complexification de l’environnement des entreprises et l’irruption de plusieurs acteurs dans la sphère de l‘entreprise,
celle-ci doit faire face à une diversité de risques qui dépassent le strict cadre financier. D’où la nécessité de recourir à une autre
approche partenariale de l’entreprise. Dans ce modèle, l’entreprise ne se résume plus seulement à la satisfaction des intérêts des
actionnaires. La valeur créée par l’entreprise est aussi le fait des apporteurs du capital humain, organisationnel, commercial. Cette
vision élargie des acteurs de l’entreprise est porteuse de beaucoup de risques (y compris environnementaux, sociétaux, politiques,
stratégiques, informationnels, …) en raison de la diversité des intérêts. La gouvernance d’entreprise doit donc s’assurer d’une
satisfaction d’équilibre entre les différentes parties prenantes.

Cette approche partenariale intégrée, est celle qui est aussi privilégiée par le management des risques. En effet, face au
développement des principes de bonne gouvernance, les investisseurs institutionnels manifestent un intérêt particulier pour la
gestion des risques. Les entreprises qui disposeront d’une infrastructure intégrée de la gestion des risques identifient mieux les
facteurs de risques et les réponses à y apporter, puis elles seront capables de réduire le risque opérationnel, de dévaluation d’actifs
et le risque de concurrence (R. Simons, 2000, cité par K. Lajili et D. Zéghal, 2005). Cette gestion intégrée des risques a po ur
avantage de réduire la volatilité des performances financières et devrait pouvoir permettre aux entreprises de lever des fonds à un
moindre coût. La confiance des actionnaires serait accrue.

Une meilleure gestion des risques crée donc de la valeur de diverses façons : elle réduit d’abord la probabilité de rencontrer des
difficultés ; ensuite, elle réduit les risques pour les dirigeants qui ont investi une certaine quantité de leurs actifs dans des parts de
l’entreprise ; enfin, elle peut faire baisser la charge fiscale pesant sur elle et la prime d’assurance associée. Il convient de noter la
capacité d’endettement permise à l’entreprise grâce à une gestion intégrée des risques.