Contrôle de gestion et risk management, même combat ? Pour le chercheur Fabien De Gueuser, les deux professionnels présentent bien des similitudes : efforts de modélisation, nécessité de communication avec les experts de l’entreprise, influence du Board sur les choix retenus… Avec dans les deux cas une même recherche de l’équilibre entre croissance, prise de risques, et profitabilité.

Enseignant-chercheur, directeur académique du Master in Management d’ESCP Europe, intervenant régulier dans les plus grandes entreprises, Fabien De Gueuser* se décrit comme un spécialiste du contrôle de gestion et de son pilotage. « Le management du risque entre dans ce périmètre. La définition que donne le référentiel COSO des systèmes de management du risque, à savoir des processus gérés et décidés par un board, qui visent à la réalisation d’une stratégie en minimisant les risques, ressemble d’ailleurs beaucoup à celle que l’on peut donner du contrôle de gestion ».

Au-delà de cette définition simple, la mise en œuvre s’avère complexe. « C’est l’essence même du management que de devoir équilibrer par des choix organisationnels les tensions inévitables entre l’objectif de profitabilité, la nécessité de croissance et le contrôle des risques ». L’équation est d’autant plus délicate à résoudre qu’il n’y a pas de dosage idéal entre les trois variables, ni en fonction d’une organisation, ni d’un moment, ni même d’une stratégie d’entreprise donnés. « Les équilibres restent toujours instables, et leur questionnement permanent. Nous sommes dans le registre du tragique, voire du mythe de Sisyphe ».

Prendre des risques pour créer de la croissance

Nul ne doute qu’il faille prendre des risques pour soutenir la croissance. Le défi est de distinguer, parmi leur multitude, les risques stratégiques dont la maîtrise va produire de la croissance, les risques à éviter parce qu’ils ne créent pas de valeur (risques opérationnels, risques de fraude) et enfin des risques externes, difficilement contrôlables, dont les impacts potentiels doivent cependant être anticipés.

Les assurances permettent de prendre les bons risques : les risques stratégiques

« Les assurances permettent de prendre les bons risques, les riques stratégiques » estime le chercheur, qui s’appuie sur les travaux de Kaplan pour définir un cheminement idéal :

  1. bien comprendre le rôle du management et de ses trois tensions à équilibrer,
  2. typer les risques,
  3. en déduire un système de management des risques.

Communiquer les risques, les détecter, les réviser… en plus de les manager

Ce système ne peut se réduire à la seule – et indispensable – modélisation des risques, mais doit aussi comprendre un volet communication, un système de détection des risques, et même une fréquence de sa mise à jour. Le résultat obtenu ne découlera pas d’une équation. Car, précise Fabien De Gueuser, les facteurs habituels de contingence – taille de l’entreprise, secteur d’activités, composition du capital, choix des outils de suivi – ne jouent pas de rôle déterminant sur les choix en matière de management des risques. « Les seules variables déterminantes identifiées par les chercheurs sont la composition du board, et le parcours du spécialiste du risque en place ».

Faudrait-il en conclure avec lui que le risque n’est pas toujours traité de manière très rationnelle dans nos entreprises ? « C’est effectivement un sujet d’angoisse de voir peu de théorie et de résultats démontrables… et finalement de justification des décisions prises ».

Le management du risque est un stimulant

L’antidote demeure vraisemblablement dans le comportement de l’expert en charge du management des risques. Il doit d’abord éviter certains écueils, puisqu’il met en place des processus intrusifs : « Il y a certainement une forme de violence à interpeller les sachants sur leurs processus, à les sortir de leurs habitudes et de leur zone de confort » convient le chercheur.

En même temps, le management du risque est un stimulant, qui incite à une salutaire prise de recul. Car si une partie du résultat va s’incarner sous forme d’un mapping et d’un modèle de performances, sa construction repose avant sur le dialogue.

Nombre de chercheurs démontrent aujourd’hui que la richesse de l’entreprise nait de la multiplication des points de vue et même des conflits : « Le manager du risque doit donc porter son point de vue, et accepter de le confronter à d’autres experts, ceux qui connaissent mieux que lui les risques associés à leurs périmètres de responsabilité respectifs ».

Objectiver le coût du risque et de sa couverture

D’apèrs Fabien De Geuser, le risque n’est pas la propriété du risk manager. Ce qui lui appartient, c’est l’enjeu de la sensibilisation de tous aux risques. « On ne peut rendre responsable un acteur qui n’a pas toutes les clés d’un processus. Par exemple, imputer au seul directeur financier la bonne tenue du cash, alors qu’il ne maîtrise ni les ventes, ni la totalité des dépenses, n’est pas logique ».

Malgré cette règle, il existe trop souvent une confusion entre la responsabilité de la mesure des risques et celle de leurs contrôles. D’autant que la mesure de la performance du risk management s’avère délicate. « Comment calculer la valeur d’un risque que je n’ai pas subi, comment savoir si j’ai payé trop cher pour me prémunir d’un risque identifié ? » C’est tout l’intérêt de disposer de benchmarks, et d’importantes bases de données qui rééquilibrent la situation en donnant, via le recours à des assureurs, le moyen d’objectiver le coût d’un risque et de sa couverture.

webconf-impayes

* Fabien De Geuser est Professeur et Directeur académique du Master in Management, ESCP Europe. Il est titulaire d’un Doctorat ès Sciences de gestion obtenu en 2006 à HEC Paris sur le sujet « Travail du manager et ergonomie des instruments de gestion ». Il est également diplômé de HEC Paris, titulaire d’un DEA de sociologie de l’université Paris IX Dauphine et d’un DESS d’ergonomie de l’Université Paris I La Sorbonne.
Propos recueillis par François Jeanne pour ToutsurleRisqueClient.com.