Les entreprises mettent nécessairement en œuvre des dispositifs visant à assurer la pérennité de leurs activités. C’est en effet le sens de la gestion dite de bon père de famille, c’est-à-dire prudente et assurée. La gestion des risques est devenue la science de la sécurisation des activités, elle est désormais dotée de méthodes et d’outils gérés par des experts. Les associations professionnelles telles que FERMA ou l’AMRAE en France réunissent les meilleurs spécialistes du risque et formalisent les best practices d’une gestion des risques réussie et maîtrisée au sein de référentiels et autres outils de travail à destination des Risk Managers.
Les personnes chargées des risques ne sont pas placées sur un pied d’égalité pour assurer leurs missions. Les grandes entreprises ont développé le plus souvent une culture du risque en interne pour faciliter les actions des Risk Managers et justifier les demandes de ceux-ci en termes de moyens humains ou matériels pour développer leurs activités. Les entreprises de taille intermédiaire (ETI) tendent également vers une maîtrise efficace de leurs risques, avec des moyens plus modestes. Ces entités économiques font face à des difficultés significatives pour développer leur dispositif de gestion du risque.
Culture du risque
Les entreprises de taille intermédiaire, entités économiques dont nous traitons, développent un business model axé sur la croissance, notamment internationale, à partir d’un investissement important et récurrent en Recherche & Développement. Elles ont également des particularités de fonctionnement, et notamment, une organisation hiérarchique simplifiée au maximum (pas plus de trois niveaux) et la volonté de conserver un esprit start-up, c’est-à-dire une flexibilité qui leur permet de réagir rapidement aux sollicitations du marché (partenaires et clients). Cette définition montre que les risques de ces entreprises sont aussi spécifiques que le sont leurs activités et leur organisation. Il faut ajouter à ce caractère atypique le fait qu’elles ne sont pas toutes imprégnées de culture du risque. Or, cette culture est la clé de réussite de la gestion des risques dans les organisations notamment lorsque les flux de créativité sont autant de nature top down que bottom up. Enfin, la standardisation dans la formalisation des métiers liés au risk management peut aussi être un obstacle pour ces entités spécifiques.
Il s’agit ici de proposer une méthode pratique de déploiement d’un dispositif de maîtrise des risques dans ces entités en réinterprétant les acquis de la gestion des risques actuelle, de sorte qu’ils soient en adéquation avec les particularités des ETI.
Comment parler des risques dans les ETI fortement innovatrices ?
Instances dirigeantes
Le premier axe de réflexion porte sur la façon d’aborder les sujets « risques » dans ces entreprises de taille intermédiaire. Les projets menés en interne sont, le plus souvent, réalisés avec succès lorsque les organes de direction soutiennent leur mise en œuvre. Il en va de même pour les projets de gestion des risques. En effet, afin d’optimiser la mise en œuvre d’un dispositif de gestion des risques, les actions de sensibilisation des instances dirigeantes doivent être prioritairement assumées. Il s’agit de décrire précisément les missions des personnes qui seront en charge des risques en insistant sur les apports en termes de sécurisation des activités de l’entreprise, et donc sur les effets positifs à long terme (tant financiers qu’opérationnels), et d’impliquer les dirigeants autant que possible dans le dispositif cible présenté. Un exemple de matrice de cartographie des risques pourra être présenté afin d’illustrer le fait que la gestion des risques peut optimiser la prise de décision du top management en matérialisant les impacts des différentes natures de risques sur les activités de l’organisation.
Sensibilité à l’innovation
Ces ETI étant poussées par l’innovation, il est important que leur créativité ne soit pas freinée par une gestion des risques rigide. En effet, l’innovation constitue en elle-même une prise de risque quotidienne dans les activités de l’entreprise. C’est pourquoi, lors de la définition d’un projet de dispositif de gestion des risques, il convient de définir la cible au plus proche des cœurs de métiers, et non au plus près du risque zéro. Par exemple, lors de la définition des risques majeurs de l’entreprise, il faut se poser la question de la sensibilité de ces risques à l’innovation. Il s’agit concrètement de challenger les résultats critiques et quasi critiques de la cartographie des risques avec le critère de l’innovation. Le risque X est d’impact critique et très fréquent, il est donc à maîtriser en priorité selon le résultat de la cartographie des risques. Cependant, le risque X est couru par l’entreprise pour lui permettre de créer chaque année un nouveau procédé de fabrication, un nouveau produit ou une nouvelle application. Un équilibre est donc à trouver dans la définition des moyens de maîtrise, de sorte que l’innovation et donc la profitabilité des activités concernées par le risque X ne soient pas fragilisées et freinées par la gestion de ce risque.
Les sujets « risques » ne doivent donc pas être traités indépendamment des spécificités des activités de l’organisation pour laquelle ils sont mis en œuvre, sinon leur maîtrise sera inefficace.
Quelle feuille de route pour la mise en œuvre d’un dispositif de gestion des risques dans ces entreprises ?
Structuration du dispositif
La formalisation d’une feuille de route va permettre de construire le dispositif de gestion des risques de sorte qu’il soit cohérent avec l’organisation, c’est-à-dire en tenant compte du dimensionnement des équipes en place et de la maturité de l’entreprise sur les sujets « risques » à aborder. Il s’agit de répertorier l’ensemble des points clés du dispositif de gestion des risques (méthodes et outils) et de les décrire plus précisément dans les différentes phases de déploiement du projet de l’entreprise.
La première phase correspond à la structuration du dispositif sur le plan humain et organisationnel. En effet, il convient d’identifier les personnes qui seront en charge des risques. L’identification doit se faire de façon méthodique, c’est-à-dire en cohérence avec les attendus des différents métiers. Pour cela, la meilleure façon de procéder est de travailler en amont avec la direction des ressources humaines afin de définir une fiche de poste ou une lettre de mission (en fonction de l’organisation souhaitée : lien hiérarchique ou fonctionnel) qui servira de canevas d’évaluation des candidats ou des personnes identifiées en interne pour occuper ces postes.
Ensuite, l’effort de structuration est organisationnel, c’est-à-dire que le service/département/direction de gestion des risques doit être doté d’une politique écrite décrivant son fonctionnement et les missions et responsabilités des personnes qui lui sont rattachées. Cette politique devant elle-même être déclinée en procédures et processus, pour être rendue opérationnelle.
Sensibilisation des salariés
Cette structure organisationnelle comporte la mise en œuvre de comités ad hoc réunissant l’ensemble des personnes rattachées à la gestion des risques afin de piloter l’activité. Il convient de rédiger une charte de ce comité visant à définir les rôles et responsabilités de chacun des participants et des objectifs du comité.
La seconde phase est celle de la sensibilisation des salariés de l’entreprise. L’objectif est de mettre en phase les actions qui seront menées par la gestion des risques et la vision qu’en auront les opérationnels. Cette diffusion de la culture du risque doit être facilitée par la proximité des chargés de risques avec les opérationnels de l’entreprise, c’est-à-dire avec les experts métiers de l’organisation. En outre, les gestionnaires des risques ne peuvent pas faire exister leur dispositif sans des liens privilégiés noués avec les métiers puisque ces expertises sont indispensables à une bonne évaluation des risques et donc à leur bonne maîtrise. Contrairement à d’autres activités de l’entreprise destinées, par nature, à fonctionner en silo, la gestion des risques prône la transversalité et l’échange d’informations et de diagnostics.
Messages internes
Plusieurs méthodes sont concevables : visite des services, semaine d’étude de la documentation existante, etc. L’objectif est de communiquer sur les métiers liés aux risques en présentant les équipes aux différents services/départements de l’entreprise et en établissant un contact régulier avec eux au travers de messages internes sur les travaux de la gestion des risques ou sur les avancées en matière de maîtrise des risques liées à l’innovation. Ce lien est la phase la plus difficile à réaliser : la gestion des risques et le contrôle interne qui y est associé sont souvent perçus comme des charges administratives venant alourdir les tâches quotidiennes des acteurs des métiers opérationnels. Il s’agit de consentir un effort nécessaire en cas de résistance forte au changement. Dans ces situations, il importe de faire preuve de pédagogie afin de désamorcer les résistances et d’inclure autant que possible les opérationnels dans le dispositif, car, l’implication est un facteur clé de maîtrise des résistances.
La troisième phase de la feuille de route est le déploiement du dispositif. Il s’agit de jalonner les actions à mener dans le temps en prenant en considération les contraintes en termes de moyens humains et matériels et de définir une date de commencement effectif de l’activité du service/département/direction en charge de la gestion des risques de l’entreprise.
Comment couvrir les risques identifiés et évalués par la gestion des risques ?
La gestion des risques vise à identifier et à évaluer les risques de sorte que les plus critiques soient priorisés lors de la phase de traitement. Cette phase peut mener à trois décisions : l’acceptation du risque, la mise en œuvre de moyens de maîtrise en interne en vue de sa réduction ou de sa suppression, ou encore le transfert de ce risque à l’assurance.
Acceptation du risque
Pour une ETI, l’acceptation du risque est une notion importante puisque son business model est porté par l’innovation, et donc par la prise de risque. Accepter un risque ne signifie pas que l’on ne met pas en place une action. Il s’agit au contraire de suivre l’évolution de sa criticité pour l’organisation au regard des apports de l’innovation sous-jacente. En ce sens, l’acceptation fait aussi partie de la maîtrise des risques et ne revient en aucun cas à être passif, mais à mesurer la probabilité de son occurrence et ses coûts (financiers, d’image/de réputation, etc.) pour l’organisation.
Choisir de mettre en œuvre des moyens de maîtrise, ou de renforcer les moyens existants, consiste à faire l’état des lieux de leur gestion actuelle par les métiers et de proposer des mesures d’optimisation des existants. Si rien n’est mis en place pour certains risques il faut alors définir, avec les métiers impactés, les actions à mettre en œuvre. Il peut s’agir de moyens pour renforcer leur détection, pour renforcer leur identification, leur probabilité d’occurrence et leur évaluation, ou encore la définition de moyens de prévention pour en réduire la fréquence et l’impact.
Transfert à l’assurance
Enfin, la solution du transfert à l’assurance peut revêtir plusieurs formes. En effet, de multiples couvertures d’assurance existent pour accompagner les ETI dans la garantie de leurs activités. Les cabinets de courtage et les sociétés d’assurance proposent de plus en plus de prestations d’accompagnement des dirigeants d’ETI dans la couverture de leur risque. Les particularités de fonctionnement de ces entreprises nécessitent de la part des assureurs un suivi régulier et des conseils ajustés. Avec les ETI, le devoir de conseil qui incombe aux professionnels de l’assurance prend toute sa dimension et tout son intérêt notamment du fait qu’elles sont en perpétuelle évolution. La connaissance du client et le suivi des contrats sont donc autant de critères appréciés par les dirigeants qui cherchent à développer, avec leurs intermédiaires d’assurance, un véritable partenariat, au-delà de la simple relation commerciale.
Transférer les risques à l’assurance sans passer par un prestataire extérieur peut être réalisé par la création d’une captive d’assurance. La captive est un outil utilisé par les grandes entreprises, et permettant d’internaliser les activités d’assurance. Il s’agit de créer une société d’assurance dédiée à l’ETI. Dans un souci d’optimisation des coûts de création de cette structure, plusieurs ETI peuvent décider de s’associer. Cette captive mutuelle d’assurance devrait alors couvrir les risques de plusieurs ETI différentes. L’enjeu de cette optimisation résidera alors dans les critères de choix des partenaires afin de créer la captive la plus homogène possible, lui permettant de conserver son équilibre financier et de mutualiser les risques souscrits.
Les captives sont des outils efficaces pour l’optimisation des coûts. Mais elles ouvrent également de nouvelles contraintes réglementaires de solvabilité, de gouvernance et de contrôle interne qui peuvent se révéler difficiles à gérer pour les ETI. L’activité d’assurance est de plus en plus soumise à des renforcements réglementaires (cf. Solvabilité 2) qui alourdissent leur gestion et poussent certaines entreprises à fermer leur captive (Schneider Electric a par exemple fermé son Institution de Prévoyance le 1er juillet 2015). La décision de mettre en œuvre une captive doit donc être prise en tenant compte des coûts engendrés par la mise en conformité permanente des activités d’assurances avec les dispositions réglementaires.
