Depuis longtemps, le concept de gestion des risques opérationnels existe dans tous les secteurs de l’économie selon des approches différentes. En effet, suivant les organisations, la gestion est suivie par des fonctions de sécurité, d’assurances ou morcelée dans plusieurs fonctions au sein des entreprises.
Que sont les risques opérationnels ?
Les risques opérationnels se définissent comme des défaillances ou des dysfonctionnements liés aux processus, aux personnes, au système d’information ou aux événements extérieurs. Quel que soit le secteur économique, ceux-ci concernent toutes les activités d’une entreprise, d’un organisme, d’une collectivité, d’une organisation au sens général. Les risques opérationnels ne sont pas à proprement parler les risques principaux dans une organisation. En revanche, les risques principaux sont tributaires des risques opérationnels. Prenons l’exemple d’une entreprise du secteur automobile. Si le risque principal est le risque industriel (maîtrise de l’exploitation d’une chaîne de montage, d’un outil de production, de l’approvisionnement en matière première…), un risque opérationnel peut annuler la maîtrise du risque industriel (manque de formation des opérateurs, erreur de montage, panne). Appliqué au secteur bancaire, le risque principal concerne le risque de crédit. Parfaitement maîtrisé – notamment les risques de contrepartie et de non-remboursement –, il peut être annulé par un risque opérationnel si l’emprunteur est défaillant (garantie non enregistrée, documents justificatifs faux ou erronés, erreur dans les données initiales).
La volonté du régulateur
La particularité du secteur bancaire tient du fait de l’exploitation de sa « matière première » : l’argent, qui plus est, de ses clients. Suite à des événements significatifs comme la faillite de la Barings, les événements de septembre 2001 aux États-Unis ou encore l’affaire Société Générale plus récemment, le législateur a imposé une gestion des risques opérationnels dans l’objectif de protéger les clients et éviter des situations de faiblesses qui pourraient mettre en péril les activités d’un établissement bancaire. L’évolution du règlement 97-02 depuis quelques années montre parfaitement l’intérêt du régulateur à obliger les établissements bancaires à renforcer ce dispositif de gestion.
Impliquer tous les acteurs
Au sein des établissements bancaires, lors de la mise en place de la gestion des risques opérationnels, la gestion de risques a quelque peu été considérée comme une contrainte. La gestion est souvent associée à une notion de « contrôle » ou « d’audit » alors qu’elle est « partenaire » et « contributive » à l’optimisation des moyens et des résultats. Pour convaincre du bien fondé de cette démarche, un modèle s’impose de façon naturelle : impliquer tous les acteurs de l’entreprise dans la gestion de leurs propres risques opérationnels. Quel que soit l’acteur, celui-ci doit gérer, organiser, manager ses activités. Même s’il détient tous les moyens à sa disposition, il ne peut prétendre maîtriser l’ensemble de ses risques. En effet, la survenance d’un incident trouve souvent son origine dans la concaténation de plusieurs éléments et la vulnérabilité ne se constate que lorsque celui-ci est avéré. Il faut que chaque acteur puisse prendre conscience de la vulnérabilité de ses actes de gestion. En d’autres termes, il doit pouvoir réfléchir sur les dangers éventuels dans l’exécution de ses tâches. Cette démarche passe obligatoirement par une sensibilisation des risques.
Sensibiliser et inculquer une culture risques
Pour sensibiliser et inculquer une culture risques, la création d’une cellule risques opérationnels, communément appelée risk management, est essentielle. Elle doit trouver son positionnement proche des dirigeants de l’entreprise afin d’assurer sa crédibilité. Elle travaille dans un champ d’application illimité réunissant toutes les activités, mais également sur les interactions avec les intervenants externes (partenaires, prestataires, sous traitants). Son rôle se situe sur plusieurs niveaux.
Analyser les risques avérés et potentiels
Il consiste tout d’abord à analyser les risques avérés et potentiels de l’entreprise, en se fondant sur trois composants.
- Tout d’abord, la cellule doit s’appuyer sur une base de données qui recense l’historique des incidents avérés au sein de l’entreprise. Son analyse permet d’agir sur deux points :
– de manière décalée, les incidents (en statut non clos) permettent de se projeter dans un avenir proche par le biais de scénarios afin de renforcer les dispositifs de maîtrise des risques et de réduire les conséquences futures ou, en tout cas, les décaler dans le temps.
- La cellule assure ensuite le suivi des activités fragiles et dangereuses : ces activités récurrentes potentiellement risquées sont suivies par des indicateurs mis en place par les experts métiers de l’entreprise. La mise en place de seuils d’alerte permet une réactivité en cas de dérapage excessif.
- Enfin, la cellule assure une évaluation des événements de risques issus du référentiel : c’est le composant le plus important puisqu’il reprend l’ensemble des événements de risque des activités de l’entreprise. Chaque expert métier doit s’appuyer sur la partie de ce référentiel qui est propre à ses activités. De ce fait, il doit pouvoir effectuer une cartographie de ses risques en priorisant les situations à impacts forts.
Animer transversalement une équipe d’experts métiers
La deuxième tâche de la cellule est l’animation de la gestion des risques opérationnels qui repose sur un réseau d’experts métiers. Outre le regard sur la fiabilité des informations transmises par les experts métiers, la cellule risques opérationnels doit accorder une grande partie de ses activités à la sensibilisation, aux interventions pédagogiques, aux alertes, à l’optimisation et à la mise en place des mesures correctrices décidées, mais surtout, au quotidien, diffuser une culture risques.
Investiguer dans la recherche de réduction et de financement des risques
De par sa fonction, ses connaissances, ses compétences, le risk manager se doit d’être force de proposition dans la maîtrise de la réduction des risques, mais également pour le financement des risques. En fait, les résultats de son analyse doivent contribuer à une remise en cause des solutions existantes vers une optimisation des moyens tout en restant dans les critères de l’équation « coût de l’investissement/coût potentiel du risque < 1 ». Le financement des risques influe directement sur le résultat de l’entreprise. Plusieurs solutions sont répertoriées comme l’autofinancement ou le transfert de responsabilité. Pour ce dernier point, l’optimisation des contrats d’assurances passe par une maîtrise exhaustive des indemnisations, mais aussi par une maîtrise des sinistres peu élevés individuellement cependant onéreux en cumul.
Assurer un rôle de consultant
Enfin, la cellule risques opérationnels est une cellule d’experts en gestion de risques. À ce titre, elle doit être consultée systématiquement lors de lancement de nouveaux produits ou lors de changements structurels et fonctionnels au sein de l’entreprise. Son expertise peut également être mise à profit lors de thématiques spécifiques. En tout état de cause, elle peut être interrogée quel que soit le sujet porteur de risques. Son éclairage par rapport à une vision neutre doit apporter une plus-value.
Le rôle des opérationnels
Face à la cellule risques opérationnels, et quels que soient les secteurs de l’entreprise, les experts métiers doivent intégrer la notion de gestion des risques dans leurs activités. Aussi, sans pour autant que cela devienne une contrainte, ils alimentent la base
de données des incidents, du suivi des indicateurs et de l’actualisation des événements de risques significatifs. Cette gestion devient donc dans un premier temps une sorte de « main courante » des dysfonctionnements recensés et, dans un second temps, elle devient une base d’analyse qui permet de leur fournir et d’enrichir une vision « cartographique » de leurs risques.
Le lien avec le résultat de l’entreprise
Calculer le coût global des risques opérationnels pour l’entreprise est indispensable puisque c’est un préalable à une sensibilisation efficace. Pour les dirigeants, prendre connaissance du coût global des risques opérationnels et des points de faiblesse recensés, en d’autres termes, le profil de risques, permet à ceux-ci de piloter une partie du résultat, mais également d’optimiser l’allocation des fonds propres. Un autre indicateur est exploité pour avoir une vision factuelle du coût des risques opérationnels : l’impact sur le coefficient d’exploitation. Pour les responsables et les experts métiers, connaître le coût de ses dysfonctionnements ne doit pas produire un sentiment de pénalité ou de sanctions potentielles, mais bien une opportunité à se développer et optimiser ses activités. Aussi, qu’ils soient avérés ou potentiels, qu’ils aient un impact financier faible avec une fréquence forte, les incidents doivent faire l’objet d’une analyse afin de déterminer l’origine et le fait générateur du dysfonctionnement. Le coût de l’investissement des mesures correctrices ne peut être engagé que s’il est inférieur au coût potentiel des survenances futures. Enfin, pour les opérationnels, être informé sur les actes de gestion les plus sensibles, donc les plus risqués, reste un préalable indiscutable pour toute formation initiale. L’objectif n’est pas de mettre en place une formation spécifique sur la gestion au quotidien et les risques associés, mais de prévoir des interventions de sensibilisation afin d’apporter un autre regard sur les activités au quotidien et ainsi prendre conscience que tout acte de gestion ne s’exécute pas avec la même attention. Enfin, la cellule risques opérationnels est au coeur de ce dispositif d’une part pour le calcul du coût, ses compétences en la matière permettent d’affiner les composantes du coût et ainsi faire ressortir les points de faiblesses, et d’autre part pour la sensibilisation,
les résultats obtenus seront un sousjacent pédagogique important dans la diffusion de la culture risques. Un événement concret ou une illustration réelle est un excellent support et moyen mnémonique pour constituer une culture risques.
Se projeter dans un univers inconnu
Tout individu, lorsqu’il veut traverser un chemin, instinctivement, regarde de chaque côté de la route, chaque acteur d’une entreprise, lorsqu’il effectue un acte de gestion, doit pouvoir, instinctivement, estimer le degré de risque qu’il prend. C’est sur cette notion que les risques opérationnels se dirigent vers une gestion anticipative des risques. Anticiper, c’est se projeter dans un univers inconnu mais lorsque celui-ci est balisé, cela devient un contributeur au profit de l’entreprise.
