Mettez du confort dans votre zone de risque Neuf principes pour devenir une Risk Intelligent Enterprise TM Consulting & Risk Services Sommaire 3 4 5 6 7 8 9 10 11 12 13 14 15 Introduction L’inconfort du risque Un référentiel comme point d’ancrage Une gestion symphonique des risques Lire la même carte Un traitement réservé aux champignons « Nous gérons les risques tous les vendredis » Qui est le propriétaire du risque ? Les fonctions support et le risque Les garants du dispositif Restez vigilant en matière de risques Les neuf principes fondamentaux de la « Risk Intelligence » Contacts Avertissement légal Ce support et les informations qu’il contient sont fournis par Deloitte Touche Tohmatsu. Ils sont destinés à la diffusion d’informations d’ordre général sur un ou plusieurs sujets particuliers et ne prétendent pas en faire un traitement exhaustif. Par conséquent, l’information contenue dans ce document n’est pas destinée à constituer un conseil ni un service de comptabilité, de fiscalité, de droit, d’investissement, de consultation ou d’un autre domaine professionnel. Elle ne doit pas constituer le seul fondement de décisions appelées à avoir un impact sur vous-même ou sur votre entreprise. Nous vous conseillons, avant de prendre quelque décision ou de poser quelqu’acte qu’il soit qui puisse avoir des répercussions sur vos finances personnelles ou sur votre entreprise, de consulter un conseiller professionnel compétent. Ce document et l’information qu’il contient sont présentés « tels quels » et Deloitte Touche Tohmatsu ne fait aucune déclaration ni n’accorde aucune garantie, expressément ou implicitement, à leur égard. Sans limiter la portée de ce qui précède, Deloitte Touche Tohmatsu ne garantit pas que ce document ou que l’information qu’il contient soient sans erreur ni qu’ils respectent quelque critère de rendement ou de qualité que ce soit. Deloitte Touche Tohmatsu ne se reconnaît responsable d’aucune garantie implicite, y compris, sans s’y restreindre, les garanties sur la qualité marchande, le titre, l’aptitude à une fonction particulière, l’absence de contrefaçon, la compatibilité, la sécurité et l’exactitude. Vous utilisez ce document et l’information qu’il contient à vos propres risques. Vous assumez l’entière responsabilité et tous les risques de dommage résultant de leur utilisation. Deloitte Touche Tohmatsu n’est responsable d’aucun dommage spécial, indirect, accessoire, consécutif ou punitif, ni d’aucun autre dommage quel qu’il soit, que ce soit dans une action recherchant sa responsabilité contractuelle, juridique ou délictuelle (y compris, sans s’y restreindre, la négligence) ou autrement, relativement à l’utilisation de ce document ou de l’information qu’il contient. Si l’une des dispositions précitées ne peut être appliquée intégralement pour quelque raison que ce soit, les autres dispositions continuent de s’appliquer. Introduction Cette publication fait partie d’un ensemble de communications que Deloitte consacre aux principes fondamentaux de l’intelligence du risque. Notre ambition est de présenter, dans un langage simple, les composantes indispensables à tout dispositif de « Risk Intelligence », et de proposer des pistes de réflexion et des éléments pratiques utiles à la mise en place d’un tel dispositif. Au bas de chacune des pages suivantes est énoncé un des neuf principes du dispositif d’intelligence du risque, précédé d’un éclairage sur le thème concerné. L’application de l’ensemble des ces principes permet la mise en place d’un dispositif dynamique et pérenne de gestion des risques, désigné sous l’appellation The Risk Intelligent Enterprise. La mise en œuvre de ces principes peut, bien entendu, varier selon vos pratiques professionnelles, le cadre réglementaire et le degré de maturité de votre entreprise. Dans certains secteurs économiques, ces principes sont, pour la plupart, débattus depuis plus de dix ans et peuvent donc sembler élémentaires mais, dans bien d’autres, ils commencent seulement à être adoptés. Quel que soit votre secteur d’activité, les principes fondamentaux restent valables. Si cette publication est la première de notre série « Principes fondamentaux », ce n’est pas la première fois que nous prenons la parole sur la « Risk Intelligence ». Nous avons en effet publié plus d’une douzaine de titres sur le sujet et réalisé de nombreux podcasts et webcasts. Vous pouvez consulter gratuitement tous ces supports sur www.deloitte.com/RiskIntelligence. Une Risk Intelligent Enterprise se distingue avant tout par une communication sans entrave. Nous vous recommandons donc de partager le contenu du présent document avec les autres dirigeants de votre entreprise, les membres de son conseil d’administration et ses principaux cadres. Les questions soulevées et les concepts présentés dans cette publication constitueront un excellent point de départ au dialogue qui doit impérativement s’instaurer en matière d’amélioration de la « Risk Intelligence » au sein de votre organisation. 3 L’inconfort du risque Tout comme la politique ou la religion, le risque est souvent un sujet polémique qui met les interlocuteurs dans une situation d’inconfort. Rien d’étonnant à cela dans la mesure où bon nombre de personnes mettent plus ou moins consciemment des limites à ce type de sujet. Le risque peut être pour vous synonyme de menace ou signe de mauvais augure pour vos affaires. Ce qui en fait un sujet de conversation délicat. La discussion peut cependant prendre une tournure plus libre si vous envisagez l’autre facette du risque, celle qui favorise la création de valeur. Autrement dit, une prise de risques calculée, génératrice de valeur. Le lancement de nouveaux produits, la conquête de marchés étrangers, le rachat de concurrents, tous ces projets constituent de véritables défis. Si vous ne gérez pas correctement les risques qui y sont associés, vous ne pourrez pas en retirer les bénéfices potentiels. Envisagez donc une définition plus large du risque, une définition qui donnerait la même importance à la gestion des risques, qu’ils soient liés à la croissance ou à la rentabilité. Principe n°1 : dans une entreprise « Risk Intelligent �, une définition globale de l’« appétit � pour le risque, qui couvre à la fois la création et la conservation de valeur, est utilisée de façon uniforme dans l’ensemble de l’organisation. 4 Un référentiel comme point d’ancrage A quoi suspendez-vous votre imperméable en rentrant chez vous si ce n’est au crochet d’un porte-manteau ? Sa résistance varie selon la charge qu’il est supposé supporter (vêtements lourds d’hiver ou légers comme un imperméable d’été). Envisagez votre référentiel de gestion des risques selon le même principe : un point d’ancrage qui soutient votre programme de gestion des risques, adapté à votre « appétit » pour le risque. Les référentiels de gestion des risques – tels que COSO ERM, Turnbull et ISO – sont autant d’outils qui permettent d’identifier les opportunités à exploiter et les dangers à éviter. Mais votre référentiel doit se montrer suffisamment solide pour soutenir les objectifs de votre gestion des risques. Il doit considérer vos propres stratégies, vos initiatives et votre structure organisationnelle, et pouvoir s’adapter à votre secteur d’activité comme à vos obligations réglementaires. Inutile de pousser trop loin l’analyse. N’accordez pas plus de temps que nécessaire au choix de votre référentiel. Assurez-vous seulement qu’il supportera le poids de votre « chapeau ». Principe n° 2 : dans une entreprise « Risk Intelligent �, un référentiel de gestion des risques commun, soutenu par un corpus de normes adapté, est utilisé par l’ensemble de l’organisation pour gérer les risques. Mettez du confort dans votre zone de risque 5 Une gestion symphonique des risques Lorsqu’elle est bien menée, la gestion des risques est un effort coordonné, aussi précisément accordé qu’un orchestre symphonique. Qu’il s’agisse de risque ou de musique, les intervenants agissent de concert au fil de compositions souvent complexes. Dans votre entreprise, certaines personnes peuvent même ignorer qu’elles font partie de l’orchestre. Le chef de produit, le superviseur informatique ou l’adjoint du directeur des fusions/acquisitions, par exemple, estiment peut-être que la gestion des risques n’est pas de leur ressort. Changer cette mentalité est un préalable au déploiement de l’intelligence du risque. Vous devez adresser des messages clairs à chaque niveau de l’organisation pour expliquer ce qu’est l’intelligence du risque, quelle est son importance pour l’entreprise en général et les collaborateurs en particulier, et ce qui est réellement attendu au quotidien de la part de chacun d’eux. Ceci suppose une communication lisible, une culture du risque solide, des plans incitatifs comportant des objectifs liés aux risques, et des programmes de formation pour une gestion clairvoyante des risques. En résumé, la collaboration doit être harmonieuse et l’ensemble s’organiser comme suit : • Le conseil d’administration donne le ton (page 8). • La direction tient la baguette (page 9). • Les unités opérationnelles jouent de leur instrument (page 10). • Certaines fonctions (RH, services financiers, informatiques, juridiques, fiscaux) jouent leur rôle d’assistance en coulisses (page 11). • D’autres fonctions (audit interne, gestion des risques et compliance) sont les régisseurs du spectacle (page 12). Principe n°3 : dans une entreprise « Risk Intelligent �, les rôles clés, responsabilités et autorités de tutelle en matière de gestion des risques sont clairement définis et délimités. 6 Lire la même carte Les spécialistes du risque tendent à se comporter comme les membres d’une même communauté : ils restent ensemble, partagent les mêmes croyances, rituels et habitudes et développent leur propre dialecte. Mais les pratiques dont se nourrissent ces populations « indigènes » ne sont pas idéalement adaptées à tous les gestionnaires du risque que l’on trouve dans l’organisation d’une multinationale. Cela ne veut pas dire que toute spécialisation est inutile, bien au contraire. Sans cela, une gestion efficace des risques serait impossible. Les spécialistes du risque ont juste besoin de sortir de temps en temps de l’espace dans lequel ils sont confinés. Le risque n’existant pas de façon isolée, il en va de même pour ses gestionnaires. Pour gérer efficacement les risques et en tirer avantage, la distance entre les différents silos organisationnels doit être comblée. Pour ce faire, une infrastructure commune doit être créée, de sorte que toutes les fonctions et unités opérationnelles aient recours, autant que possible, aux mêmes processus et supports technologiques. Ceci implique une synchronisation (assurer une coordination par-delà les frontières institutionnelles), une harmonisation (veiller à ce que les gestionnaires du risque parlent tous le même langage et définissent le risque de la même façon) et une rationalisation (éliminer les tâches dupliquées inutilement). Utilisez des outils tel que The Risk Intelligence Map ™ 1 (cartographie de la « Risk Intelligence ») pour faciliter vos discussions. Vos réflexions et échanges sur les risques pourraient alors prendre des directions que vous n’auriez jamais envisagées. Reportez-vous à votre référentiel de risques pour formaliser votre approche. Dressez l’inventaire de vos risques majeurs. Une terminologie, des technologies, des indicateurs et des processus communs vous permettront de transcender votre organisation en silos. Un tableau de bord « Risk Intelligent » vous permettra de piloter vos risques de façon dynamique. 1 Pour de plus amples informations sur The Risk Intelligence Map ™, contactez votre interlocuteur chez Deloitte (voir page 15). Principe n°4 : une entreprise « Risk Intelligent � est dotée d’un dispositif de gestion des risques partagé, qui permet aux fonctions et unités opérationnelles d’assumer avec professionnalisme leurs responsabilités dans le domaine des risques. Mettez du confort dans votre zone de risque 7 Un traitement réservé aux champignons Les conseils d’administration sont parfois soumis à un traitement que l’on réserve habituellement à certains champignons, et qui pourrait se résumer comme suit : « Gardons-les dans le noir… » Il va sans dire que ce genre de traitement devrait être proscrit. Le conseil d’administration ou de surveillance a la responsabilité de veiller à ce que la direction de l’entreprise dispose de processus appropriés pour gérer les risques. Et cette responsabilité ne peut s’exercer en l’absence d’éclairage. Pour satisfaire à leurs obligations et créer de la valeur, les administrateurs doivent : • Mettre le risque à l’ordre du jour de leurs réunions. Lui consacrer du temps avant qu’il n’en exige. Discuter du risque à chaque réunion ne saurait épuiser le sujet. • Evaluer la structure de gestion des risques en place. Comment les risques sont-ils gérés ? Les silos organisationnels sont-ils comblés ? • Mobiliser l’équipe dirigeante. Entretenir un dialogue permanent sur les risques. Identifier les risques susceptibles d’empêcher l’entreprise de mettre en œuvre ses principales stratégies. • Discuter les différents scénarios de risques. Où les meilleures opportunités se trouvent-elles ? Qu’est-ce qui pourrait contrarier les objectifs stratégiques de l’entreprise ? • Vérifier l’appétence (ou l’aversion) de la structure organisationnelle pour le risque. Déterminer dans quelle mesure l’entreprise a la capacité d’assumer le niveau de risque choisi. Et dans quelle mesure elle peut réellement l’assumer. Le niveau de risque choisi est-il en cohérence avec l’organisation de gestion des risques mise en œuvre ? • Disposer d’un tableau de bord de suivi dynamique des risques de l’entreprise. • Obtenir une assurance raisonnable. Quel est le niveau de confiance de la direction ? Pour quelles raisons ? • Obtenir une revue indépendante. Faire évaluer par la direction de l’audit interne ou par un consultant extérieur l’efficacité de l’ensemble du dispositif de gestion des risques. L’assurance donnée par la direction est-elle fiable ? Principe n°5 : dans une entreprise « Risk Intelligent �, les organes de gouvernance (conseil d’administration, comité d’audit, etc.) bénéficient, pour remplir leurs obligations, d’une transparence et d’une visibilité suffisantes sur les pratiques de gestion des risques. 8 « Nous gérons les risques tous les vendredis � Ne riez pas, ce sont là les propos fidèlement reproduits d’un chef d’entreprise bien réel. Et voici une autre vérité qui donne à réfléchir : si vous considérez la gestion des risques comme un travail à temps partiel, vous risquez fort de devoir rapidement en trouver un vous-même. Nous avons vu précédemment que le risque était l’affaire de tous dans l’entreprise. Si vous êtes membre de la direction, cette obligation s’impose d’autant plus fortement à vous : vous êtes chargé de donner le ton, de diriger, de concevoir et de mesurer. age Man k Ris Votre rôle de dirigeant implique un leadership et une autorité que vous devez exercer : sensibiliser vos équipes à la prise de risques comme source d’avantages, imposer la gestion des risques à tous les échelons de la hiérarchie, faire connaître vos attentes, responsabiliser, impliquer votre conseil d’administration ou de surveillance, initier le changement et établir une culture de l’intelligence du risque. Programme ambitieux, certes. Alors comment parvenir à tout faire ? Pour commencer, constituez une cellule d’intelligence du risque (un comité de gestion des risques composé de membres de la direction générale) dont le rôle sera de faire des commentaires pertinents sur le risque à la direction de votre entreprise et de contribuer à l’élaboration d’un programme d’intelligence du risque. Le plus souvent, la cellule d’intelligence du risque au niveau de la direction générale est incarnée par le Chief Risk Officer – CRO (directeur des risques). Aux côtés des autres dirigeants, le CRO coordonne les travaux d’élaboration d’une politique et d’une approche communes qui sont ensuite déployées dans les unités opérationnelles. Il communique sur l’appétence de l’entreprise pour le risque et en assure le suivi. Il soumet des rapports sur les risques à la direction et aux organes de surveillance du conseil. Certaines entreprises peuvent opter pour un rôle plus étendu. Le style du CRO varie considérablement d’une organisation à l’autre et doit être en phase avec la philosophie du risque que l’entreprise cultive. Certaines entreprises peuvent faire le choix d’un collaborateur orienté « business », d’autres d’un animateur de groupe, d’autres enfin d’un simple « agent de police ». Quels que soient les contours du rôle assigné, une chose est sûre : aucun ne travaille que le vendredi. Principe n°6 : dans une entreprise « Risk Intelligent �, la direction générale détient la responsabilité principale de la conception, de la mise en œuvre et du maintien d’un programme efficace de gestion des risques. Mettez du confort dans votre zone de risque 9 Qui est le propriétaire du risque ? S’il est entendu que le risque est l’affaire de tous dans l’entreprise, qui est le propriétaire du risque (le « risk owner ») ? Pour nous, ce sont les unités opérationnelles qui sont les propriétaires des risques, aussi bien en titre que dans les actes. Cette question de l’hébergement peut être source de grande confusion dans les organisations. On peut résumer la situation simplement : Le responsable de l’entité opérationnelle est le propriétaire du risque. En d’autres termes, si vous répondez de la réussite de cette unité, vous êtes le principal responsable de la gestion quotidienne des risques. Ce qui n’exonère en rien les autres membres de l’unité de leurs propres responsabilités en matière de risques. Quelles sont les conséquences de cette « propriété » ? Les propriétaires de risques détiennent notamment la responsabilité d’identifier, de mesurer, de surveiller, de contrôler et de faire des rapports sur les risques à la direction générale, d’encourager la sensibilisation au risque et de réorganiser les priorités en fonction d’analyses de risques efficaces. Comme tout propriétaire d’immeuble soumis au respect d’un plan d’urbanisation, les responsables d’unités opérationnelles opèrent sous certaines contraintes et ne peuvent, par exemple, choisir leur référentiel – ils doivent s’y conformer. Ils ne déterminent pas l’« appétit » de l’entreprise pour le risque – ils s’en tiennent au « menu » qui leur est servi. Et s’ils ont la possibilité de miser sur des objectifs comme au casino, sans surveillance ni limite, c’est que le dispositif de gestion des risques de l’entreprise doit être revu. Principe n°7 : dans une entreprise « Risk Intelligent �, les unités opérationnelles sont responsables des performances de leur activité et de la gestion des risques qu’elle génère dans le cadre du référentiel des risques établi par la direction générale. 10