Cartographier l’ensemble des risques qui menacent l’entreprise devient essentiel dans un contexte réglementaire de plus en plus strict et un environnement technologique et économique ouvert. L’occasion de développer une culture du risque à tous les échelons de l’entreprise ? Entretien avec Philippe Noirot, administrateur de l’AMRAE.

Comment identifier et hiérarchiser les risques qui pèsent sur l’entreprise – afin de mieux les gérer ? C’est tout l’objet des dispositifs de cartographie des risques qui tendent à se développer, en particulier sous la contrainte réglementaire. « En matière de risques, le renforcement légal et règlementaire est indéniable depuis le début des années 2000 », commence ainsi Philippe Noirot, administrateur de l’AMRAE, l’Association pour le Management des Risques et des Assurances de l’Entreprise.

Avec les lois de sécurité financière puis, un peu plus tard, la transposition de la 8ème directive européenne en droit français, les entreprises ont accompagné cette évolution de l’environnement. En commençant par les plus grandes, elles ont organisé leur gouvernance statutaire et exécutive, de manière à permettre à leurs instances d’être pleinement informées des sujets de risques identifiés, dans une culture d’échange et non plus de secret. Elles ont aussi développé leur communication interne et externe sur le sujet, et appris à mieux intégrer le thème des risques dans la prise de décisions et l’élaboration de leur stratégie. « Aujourd’hui le législateur pose même la cartographie des risques comme un élément constitutif de la loi, à l’exemple des lois Sapin 2 ou devoir de vigilance. »

Un véritable outil de management

À cela s’ajoute l’environnement technologique et dématérialisé dans lequel évolue l’entreprise ainsi que le contexte géopolitique largement instable. Pour Philippe Noirot, « il semble que nous devons encore plus qu’hier nous préparer à l’inattendu, voire à l’inimaginable. Cela rend indispensable la mise en place d’approches de gestion de crise encore mieux organisées et encore plus réactives, couvrant les aspects organisationnels et les moyens techniques de cellule de crise, mais aussi le besoin en compétences de direction de crise de plus en plus pointues ».

Ce travail est réalisé, processus par processus, en consultant la hiérarchie de manière descendante, depuis le top management jusqu’aux opérationnels. Solliciter des experts qui n’appartiennent pas à la direction générale peut également être utile pour identifier des risques à la frontière de différents processus, ou méconnus de la hiérarchie.

Développer une culture du risque positive

Chacun des risques est évalué pour déterminer s’il est majeur ou pas, suivant deux critères : la probabilité et l’impact. On distingue quatre types d’impacts différents : financier, opérationnel, humain et image/réputation. « Évaluer les risques en privilégiant les impacts est le signe d’une extrême vigilance aux dangers dont la probabilité est très faible, estime Philippe Noirot. Dès lors, ceux-ci ne sont pas passés sous silence lors des revues globales et des prises de décision. »

Impliquer les collaborateurs dans la démarche de cartographie constitue un bon moyen de développer une « culture du risque positive », selon l’expression de Philippe Noirot. Il faut encourager les collaborateurs à partager les risques plutôt qu’à les cacher. Les risques sont l’essence même de l’entreprise. Ils se prennent au moment où les décisions se forment, par exemple lors des comités d’investissement, des comités stratégiques, ou lors du lancement opérationnel d’un projet. Il est crucial d’avoir, à ce moment-là, à la fois la conscience des risques et la mesure des enjeux.

D’où l’importance de sensibiliser les collaborateurs à cette question. C’est d’ailleurs l’une des principales difficultés de la cartographie. En effet, elle nécessite de mobiliser nombre d’opérationnels qui n’en voient pas toujours l’utilité. D’autant que la confusion est souvent grande entre dysfonctionnements et risques.

Des plans d’actions associés

« Le plus important reste ce que l’on fait de la cartographie, et comment l’entreprise se positionne face à ses risques, indique Philippe Noirot. Si le risque ne se situe pas à un niveau acceptable, que l’on ne peut ni le transférer ni stopper l’activité qui le génère, l’entreprise va alors le traiter en essayant de réduire son impact et/ou sa probabilité. » Toute cartographie doit donc s’accompagner de plans d’actions pour les réduire. Par exemple, créer des fiches de postes précises face au risque de perte d’une compétence clé, renforcer la sécurité des systèmes d’information pour contrer la cyberfraude, rechercher une couverture de change, etc.

Parmi les moyens classiques de traitement : le contrôle interne, la gestion des habilitations et des accès au système d’information, la réorganisation des délégations de pouvoir ou encore un dispositif de lutte contre la fraude. Sans oublier l’intégration du risque par la souscription d’une assurance, une assurance-crédit par exemple.