La gestion des risques, un objet frontière

-

Français
242 pages
Lire un extrait
Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

Description

La gestion des risques est un enjeu stratégique contribuant à la sauvegarde de la valeur pour les organisations. Il s'agit d'un "objet frontière" car gérer le risque consiste à faire le lien entre les différentes parties prenantes au sein des entreprises. Une partie met en exergue les notions et enjeux liés à la gestion des risques, une autre vise à apporter un éclairage complémentaire sur des enjeux précis auxquels la gestion des risques peut apporter des solutions.

Sujets

Informations

Publié par
Date de parution 01 mai 2013
Nombre de lectures 259
EAN13 9782336665719
Langue Français
Poids de l'ouvrage 2 Mo

Informations légales : prix de location à la page 0,0005€. Cette information est donnée uniquement à titre indicatif conformément à la législation en vigueur.

Signaler un problème

Gilles Teneau & Nicolas Dufour

LA GESTION DES RISQUES,
UN OBJET FRONTIÈRE

PERSPECTIVES

ORGANISATIONNELLES

Préface de Bernard Guillon







LA GESTION DES RISQUES,
UN OBJET FRONTIÈRE





Des mêmes auteurs :


Gilles Teneau,La résistance au changement organisationnel, Préface Yvon
e
Pesqueux, 2édition, L’Harmattan, 2012.
Gilles Teneau et All,Le conseil en organisation, évolutions et perspectives,
L’Harmattan, 2011.
Gilles Teneau et Guy Koninckx,Résilience Organisationnelle, rebondir face
aux turbulences, éd. Deboeck, 2010.
Gilles Teneau et Jean-Guy Ahanda,Le guide commenté des normes et
référentiels, éd. Organisation, 2009.



























© L’Harmattan, 2013
5-7, rue de l’École-polytechnique ; 75005 Paris

http://www.librairieharmattan.com
diffusion.harmattan@wanadoo.fr
harmattan1@wanadoo.fr

ISBN : 978-2-343-00318-4
EAN : 9782343003184











Gilles Teneau & Nicolas Dufour



LA GESTION DES RISQUES,
UN OBJET FRONTIÈRE




Préface de Bernard Guillon








Perspectives organisationnelles
Collection dirigée par Yvon Pesqueux et Gilles Teneau


C’est depuis l’apparition de la grande organisation comme phénomène
social suffisamment important que se pose la question de la
construction d’un champ de savoir qui lui soit spécifique, celui des
sciences des organisations, la grande entreprise en étant la
manifestation concrète majeure. C’est l’action organisée dans cet
endroit spécifique qui constitue le matériau empirique et conceptuel et
l’enjeu de la création de savoir, ceci venant justifier l’existence de la
collection « Perspectives organisationnelles ».

L’organisation est à la fois organisée et organisante c’est-à-dire
qu’elle cherche à maintenir la socialisation qui lui est inhérente ce qui
lui permet en même temps de se maintenir; elle cherche à relier les
agents organisationnels et à se relier, c’est-à-dire à relier les agents
organisationnels avec les autres ; elle cherche à produire des biens et
des liens ce qui lui vaut d’assurer sa pérennité. L’organisation
matérialise l’existence d’un «équilibre »entre des logiques
structurelles et celles des agents qui les animent. L’organisation est
donc une construction sociale contingente qui prend en compte des
objectifs, des conditions d’environnement et la mentalité des agents
qui s’y trouvent.

Dernières parutions

Emmanuel CASTILLE (coord.),Une autre image de l’organisation.
Mises en perspective analytiques, 2013
Isabelle PLOND-MORAND, L’employabilité. Ambiguïtés d’un concept,
2012.
Lucile MAERTENS,Le Haut-Commissariat des Nations unies pour les
Réfugiés (HCR) face aux catastrophes naturelles, Ce que le tsunami a
changé, 2012.
Andrée PIECQ,De la pensée systémique à la pratique de
l’organisation. Le giroscope, 2011.
Jean BRINGER, Denis MEERT, Michel RAQUIN etGilles TENEAU,Le
conseil en organisation. Evolutions et perspectives, 2011.

Préface

Après l’ouvrage de Jérôme Méric, Yvon Pesqueux et André Solé en 2009
(La société du risque :analyse et critique, Paris, Economica, coll. Gestion)
et celuide Seddik Larkèche en 2011 (Epistémologie du risque, Paris,
l’Harmattan, coll. Défense, stratégie et relations internationales), le livre de
Gilles Teneau et de Nicolas Dufour sur :La gestion des risques :un objet
frontièreest donc le troisième ouvrage spécifiquement consacré au risque et
réalisé par des congressistes du colloque francophone sur le risque Oriane.

Ils proposent une articulation en deuxparties permettant d’aborder
successivement une approche conceptuelle de la gestion des risques,puis
une ventilationthématique portantsur ce domaine.

Après avoir développé des notions de base portant sur la réductiondes
risques et ses enjeux,sur l’historique du risque (via le secteur de l’assurance)
et la prise en compte progressive du phénomène à la fin du siècle dernier à la
lumière des différents accidents industriels, Gilles Teneau et Nicolas Dufour
s’attardent, dans le second volet de cet écrit, sur la « palette » des risques qui
semblent être l’actualité du moment.

x Leur apport concerne d’abord les risques jugés émergents à
l’image de ce que l’on aobservé en matière de biologie,de
nanotechnologies, de logistique, de politique sans oublier les
risques financiers.
x Ils procèdent ensuite à une étude durisque humain, des biais
motivationnels et de la santé mentale avant de porter leur
attention sur le stress, les effets de groupe et les normes actuelles
et en cours d’évolution.
x Les risques industriels font l’objet d’une analyse particulière vu
l’importance de la technologie etde ses interrelations avec le
genre humain. Les accidents sont mis en exergue en parallèle
avec les outils que sont les arbres de défaillances, de causes et
d’événements… ou les méthodes probabilistes. L’influence du
concept de résilience est également de la partie.
x Ce quipermet de s’intéresser aux conséquences
environnementales et donc naturelles avec des notions comme les
inégalités et les difficultés de réparationdes atteintes à
l’environnement, ou la cyndinique et ses liens avec les plans de
réduction des risques.
x est uL’univers de l’informatique et des systèmes d’informationn
domaine ou le traitement du risque est par définitionrécent : ce

7

qui n’empêchepas l’élaborationde méthodes et de normes
spécifiques.
x Parler de « Risques projet »peut paraître étrange, mais c’est ici
aussi l’occasion d’identifier des méthodes liées aux projets et des
normes adéquates en vue de la prévention comme de la
correction.
x Enfin les risques, qualifiés par ces auteurs, d’opérationnels
permettent de conclure sur les liens entre risque et incertitude.
Leur objectivation, la réponse collaborative, la vigilance,le
contrôle et la limite des risques opérationnels sontalors
approfondis.

L’éventail pour lemoins étendudes notions évoquées ici est propice à
l’enrichissement des travaux déjà diffusés. Ilest source de débats et plus
encore de questionnements avec le lecteur quipeut lui aussise positionner
sur le sujet : autant d’interrogations qui peuvent, elles aussi, déboucher sur
de nouveaux écrits à la lumière d’applications récentes oude refus d’une
réelle prise en considération de la gestion des risques.

B e rnardGUILLON
Co-créateur et administrateur du colloque francophone sur le risque
Oriane (colloque pluridisciplinaire soutenu par13 associations et ayant
permis l’éditionde seize publicationscollectives à ce jour).











8

Introduction

Le sris quesau centre des attentions

Notre époque dite moderne est décrite, notammentdepuis U. Beck
(1986),danger se cristallisent pourcomme celle d’une société où peur et
accorder au risque une place prépondérante. Ce monde où l’erreur et la
défaillance humaine ne sontdésormais plus exclues fait face à une modernité
technique prégnante et a faitde son corollaire le risque une variable clé, lui
attribuant une valeur normative.
Le risque apparaîtalors comme la formulation d’une nouvelle pensée du
social. D’aucuns parlent à cetégard d’ère de la vulnérabilité, de société du
risque voire de société assurantielle (Kessler,2006). Le risque prend sa
source dans une dimension sociologique clairementmarquée (la sociologie
de Giddens et de Beck). Cela correspond à l’entrée dans la sphère publique
d’enjeux technico-scientifiques. Ils’agit encore de mettre au centre des
attentions le rapport entre risque et société. A cet égardLuhmann (1993)
appelait à distinguer entre le décideur, le preneur de risque et ceux qui dans
la société subissentles conséquences de cette prise de risque. La question de
la manière dontest pris ce risque apparaît très rapidement comme centrale.
L’actualité de ces dernières années enatteste: Seveso, ThreeMiles Island,
Tchernobyl, AZF, plus récemment British Petroleum, Enron, Worldcom,
Société Générale, AIG,JP Morgan,UBS. Ces différents exemples ont de
commun qu’une prise de risque malgérée s’est traduite par un potentiel
d’accumulation catastrophique allant au-delà du simple cadre des
organisations concernées. Cette complexité peut être qualifiée de hors cadre
à deuxégardssurvenance de risquehabituel de: l’évènement sort du cadre
(débordement), des risques jusqu’alors invraisemblables (hors échelle) se
matérialisent et ces derniers dépassent leur simple lieu de survenance pour
affecterou de leur cadredes biens ou personnes hors de l’organisation
d’apparition.
Comme le relèvent certains auteurs,«le risque zéro n’existe pas» et
malgré l’importance de notre savoirtechnique, il persiste toujours une part
d’incertitudeLagadec,les individus et les organisations (Guilhou, pour
2002, p.7).
Cette impossibilité de mettre le monde enéquation, cette limite de la
technè au sens de Jonas,se retrouve particulièrement dans la thématique des
risques où la combinatoire de menaces externes et de défaillances internes à
l’organisation engendre un nombre exporisques potentiels ; faisantnentiel de
évoluer l’individu dans un axiome de vulnérabilité dont il n’a pas forcément
toujours conscienceex ante(Jonas, 1979).

9

Toutefois, la prise en compte du risque suppose de surmonter la faculté
des individus à rejeter ce dernier (l’aversionau risque), faisant de
l’aspiration au contrôle de l’environnement parles organisations une sorte de
«vœu pieux ».Power parle alors«d’illusion du contrôle»pour caractériser
cette volonté à saisir l’étendue des risques pouvantaffecter les organisations
(Power, 2005, p.585).

La notion deris que: entre lieu denulle parte tobje tfrontiè re

Simon (2000) définit le risque comme un évènement imprévu ou un
ensemble de conditions réduisant de manière importante l’habileté des
gestionnaires dans la conduite de la stratégie d’affaires envisagée. Cette
approche rassurante pour certains (les managers) ne l’est pas forcément pour
tous. Ainsi, les enjeuxd’audit et de contrôlerisque participent « dud’une
politique plus large de l’angoisse et de la peur» (Power, 2005, p.254) et ont
une dimensionquasi prophétique(Pesqueux, 2011).

La notion de risque, bien qu’ayantfait fortune ces dernières années, est
ambiguëet bien souvent, plusieurs collaborateurs d’une entreprise traitant du
sujet croient parler de risque alors qu’ils abordent en fait des notions
distinctes (évènements redoutés,menaces, vulnérabilités, pertes…).

Les risques sont des évènements définis par une distributionde
probabilités objectives (c'est-à-dire des probabilités établies à partir
d’informations statistiques). Le risque est doncune incertitude
objectivement probabilisable, mais aussiune incertitude mesurable (Cleary,
Malleret, 2006). Il est alors question de risque avéré. L’incertitude quant à
elle ne peutêtre cernée par une distribution de probabilité objective,il s’agit
du hasard avec des probabilités inconnues.On parle alors de risque potentiel.

Comme le relève PatrickPeretti-Watel (2002, p.48), les nombreuses
activités de la viecourante font l’objet d’une «mise en risque» : soitdes
constats chiffrés sur les probabilités de survenance de pathologies liées à la
consommation alimentaire, aux activités sportives, aux pratiques courantes
des individus.
Parallèlement à cela, et c’est là différence entre risque et incertitude,
l’essor de certaines activités humaines engendre unaccroissement de
l’incertitude (soit des évènements à survenance non probabilisable et aux
conséquences difficilementmesurables).
Le risque peut cependant se résumer de manière assez simple, selon une
approche juridique notoire, comme unévénement dont la
survenance, aléatoire,est susceptible de causer undommage aux personnes
ou aux biens voire aux deux à la fois. Cette approche est souvent complétée
par une visionduale séparant les risques avérés et probabilisables des risques
10

potentiels (latents) et non probabilisables. Une autre manière de résumer le
risque dans l’organisationconsiste à l’appréhender comme la convergence
d’une menace,le plus souvent externe à l’organisation, laquelle exploite une
vulnérabilité interne à celle-ci, en vue de causerun dommage aux actifs ou
aux personnels de laditeorganisation.
La questiondes risques est souvent sujette à difficulté, elle suppose
l’expertise en même temps que la rationalitéinstrumentale, mais est source
d’ambiguïté, de controverse (Beck, Kropp, 2011). Le risque se situe
clairement entre ce sentiment public qui veut que l’organisation adopte une
perspective gestionnaire et ce vice privé quiimplique que l’individu soit par
nature averse à adhérer à une telle approche (Cingolani,2001). Cette
controverse renddifficile une réponse organisée face aux nombreux risques
entourant une organisationau quotidien(Darsa, 2011).

Le risque est une notioncomplexe recouvrant des réalités différentes
1
selon les individus et les ss’applique. Cet objet frontièreujets auxquels il
qu’est le risque permet «de satisfaire aubesoin de compréhension de
différentes communautés, conservant le même nomsans pour autant
recouvrir les mêmes réalités » (Pesqueux, 2011, p.461). Le risque permet en
effet à différentes communautés de parler de la même chose,mais ces
derniers ne parlent pas forcément le même langage,faisant référence à
d’autres notions voisines telles que les évènements dommageables,les
menaces, les vulnérabilités, les défaillances. L’absence de langage commun
dans une organisation sur cet ensemble de notions rendla question des
risques complexe et contribue à créer de la technicité là oùil importede
simplifier laréalité.

Pour ces raisons, la nécessité d’une politique dédiée auxrisques s’est peu
à peu fait sentir dans les organisations aumême titre qu’ilexiste des
politiques financières, RH, marketing, etc. La tendance dans la société du
risque est donc à une institutionnalisationdes organisations soucieuses
d’assumer plus que jamais leurs risques afinde réduire l’incertitude touten
développant leur activité. Ce rôle institutionnelde l’entreprise moderne face
aurisque correspond à l’émergence d’une perspective où hommes,nature,
économie et société sont intimement liés et dans lesquelsl’importance de
principes tels que la précautionou la responsabilité est croissante. Ces
principes se traduisent dans les faits par l’obligation de rendre des comptes
pour undirigeant d’entrepriseau sens foucaldien de pouvoirissu du savoir.


1
Lesobjets frontières sont des enjeux de communication permettant à des parties prenantes
distinctes et issues de métiers différents de parler dans un langage commun dans le but de
rép ondreà un objectif similaire. Il s’agit de moyen d’évoquer un sujet complexe et de faciliter
l’action par rapp ortà ce dernier.

11

Le risque ,ve rsune répons eorganis é e

Le risque est un combat incessant dont on ne connaîtpas l’adversaire. Il
suppose une attention de tous, chaque jour que connaîtl’organisation. Ce
dernier n’a pas fini de surprendre par la diversité de ses matérialisations
(risques financiers ounon, risques techniques, risques humains, risques
politiques, etc.) et par son caractère parfois invraisemblable, rendant difficile
son anticipation(Guillon, 2009,2010).
Outre la prise de conscience de sonimportance, c’est d’une réponse
organisée dont ilest question dans les entreprises modernes. Ce sujet
suppose un accompagnement des parties prenantes de l’organisation. Au
centre de cette question de la gestiondes risques figure notamment le Risk
Manager, cedes risques de l’entreprise dont le but estcopilote essentiel
d’appuyer les différents membres de l’entreprise dans l’identification,
l’évaluation, le traitementet le suivi de leurs risques.

Tout type de management comporte une dimension Risk Management
(All management isRisk Management). Follett (1941, p.42) nous enseignait
déjà que« lesmeilleurs dirigeants ne se contentent pas de tirer des
conclusions logiques de la masse des données sur le passé que leur
fournissent leurs experts, ils ont une vision du futur».
Il n’existecependant pas de solution miracle en gestion des risques, de
boîte à outils apportant une solutionsatisfaisante dans tous les cas. Comme
le rappellentVéret et Mékouar (2005,p.15),«même armé, le risque n’a pas
fini de nous surprendre»,même avec des dispositifs construits et aboutis de
gestion des risques, les risques futurs ne peuvent être complètement
appréhendés. Saint-Thomas-D’Aquin nousapprend que l’expérience est une
lanterne quiéclaire le passé.L’expérience que l’organisation a durisque est
fondée sur le passé. Une approche uniquementbasée sur le retour
d’expérience etla remontée d’information en interne s’avère donc limitée.
Elle peut permettre de ciblerles risques connus, mais n’est pas suffisante
pour les risques futurs.
La gestion des risques, en accompagnement de l’activité, permet non pas
de prévoir dans tous les cas l’imprévisible, mais de se préparer au risque et
d’en réduire les effets lorsque sa prévention n’est pas possible. L’objectif de
cet ouvrage est donc d’appréhender les enjeux majeurs decette gestiondes
risques.

Deux parties structurent cet ouvrage :

- Une première partie«Approche conceptuelle de la gestion des
risques»a pour objectif de mettre ense structure en quatre chapitres et
exergue les notions et principaux enjeux liés à la gestion des risques.

12

Le premier chapitre (la geDe quois risstion dee s t-e lleque s?le nom)
vise à expliquer pourquoiles entreprises souhaitent-elles réduire leur
risque ?Au-delà de la connaissance durisque, ce qu’il peutadvenir, mais
aussi les enjeux relatifs à l’acceptabilité du risque, aux démarches et étapes
clés de sa gestion. Les enjeux d’organisation et les différentes fonctionsliés
au risque sont également explicités.
Le second chapitre (L’e s sor progreris que sla ge stion de sssif de) traite
de la manière dont le RiskManagement a évolué durant les dernières
décennies tout en resituant ce cadre actuelde gestion du risque dans une
perspective socio-historique. Est ainsiabordé le passage d’une approche
purement assurantielle à une vision stratégique de la gestion des risques.
Certaines critiques actuelles de la gestiondes risques sont encore mises en
avant.
Le troisièmechapitre (Ge s tiondes risques et assurance) vise à établir le
lien entre les enjeux de couverture et de transfert de risque(notamment par
le biais des polices d’assurance) etl’enjeu plus global de la gestion des
risques.
Le quatrième chapitre (ris que sde sge s tionL’archite cturede-ge s tion
cris e) évoque la comparaisonentre risque et crise, le lien entre les méthodes
et comment la gestion des risques se doit d’intégrer les nouveaux enjeux liés
notamment aux crises hors cadre.

- La seconde partie intitulée«Approche thématique de la gestion des
risques»quant à elle à apporter un éclairage complémentaire à la vise
première partie sur des enjeux précis auxquels la gestion des risques a
vocation à apporter des solutions. Cette partie se structure en sept chapitres.
Le premier chapitre (Le sémergents, la ge stion des ris que sris quesaux
frontiè re sde spos s ible s) met en avant les nouveauxhorizons liés à
l’apparition de nouveaux risques tels que le risque d’image, le biorisque, le
risque de la supplychain, le risque politique, l’importance nouvelle accordée
au risque économiqueet financier, etc.
Le second chapitre (urde ss tionLa gedu factee me ntau croisris que s
humain) aborde les enjeux de gestion liés aux risques psychosociaux,au
stress et à la motivation au travail. Ce chapitre apporte enoutre un éclairage
sur les outilsde gestion des risques humains.
Le troisièmechapitre (Le stechnologique sris ques) précise l’importance
des systèmes sociotechniques comme facteur de multiplication des risques.
Les risques liés aux technologies (notamment risques industriels) sont alors
abordés de même que les méthodes et normes yayant trait(arbres de
défaillances, méthodes probabilistes, résilienceingénierie, apport de la
résilience, maîtrise des processus,etc.).
Le quatrième chapitre (e nvironne me ntauxris que sLe s) développe les
enjeux de gestion que sont les risques naturels et environnementaux. Le
classement et l’importance des catastrophes, les risques géologiques, les
13

inégalités face au danger, les sciences dudanger, les plans de prévention des
risques (PPR) y sont notamment abordés.
Le cinquième chapitre (e tRis que sSI) a trait aux risques issus des
technologies de l’information et de la communication. Ce chapitre développe
les processus de traitement et de communicationsur le risque des systèmes
d’information, la surveillance de ce type de risque ainsique les principales
méthodes et normes dans ce domaine (EBIOS, MEHARI, Octave, 27005).
Le sixième chapitre (proje tRis que s) met en avant l’importance
croissante des risques liés au développementde nombreux projets
transverses au sein des organisations. La gestiondes trois piliers : coût, délai,
qualité ;la durée de vie des projets, les actions préventives, les risques
principaux au sein des projets (financement, aspects contrats, pénalités,
concurrents, assurance, planning, incertitude managériale et décision, etc.),
la carte des risques projets, les méthodes, normes, modèles etoutils y sont
synthétisés (RMP, plan de gestion des risques,FHWA, CEVP, ISO 10006,
ISO 31010).
Le septième et dernier chapitre (opé rationne lsRis que s) traite d’une
catégorie de risque présente dans chaque organisation etdont la prise en
compte va croissante. Ils’agit des risques opérationnels, catégorie frontière
de risque touchant à de nombreuses problématiques etconcernant tant le
secteur industrielque le secteur financier. Les manières d’appréhender ce
risque et les limites de la connaissance actuelle dans ce domaine ysont
abordées.

Enfin, la conclusion de cet ouvrage vise à revenir sur l’importance du
facteur humain et d’une approche comportementale comme facteur clé de
réussite d’une gestion des risques au sein des organisations; ce au-delà des
simples outils etnormes.






14


Partie 1

Approche conceptuelle de la
gestion des risques

Chapitre 1
De quoi la gestion des risques
est-elle le nom ?

Plusieurs définitionspeuvent être données pour caractériser la gestion des
risques :

2
La Federation of European Risk Management Associations (FERMA)
identifie la gestion des risques commeprocessus continu« un
d’amélioration qui commence avec la définition de la stratégie etse
poursuit avec l’exécution de celle-ci. Elledevrait traiter systématiquement
de tous les risques qui entourent les activités de l’organisation,que
cellesci soient passées, présentes et surtout futures. »
La gestion des risques peutencore être définie comme«l’ensemble des
politiques, des stratégies, des dispositifs de maîtrise, de contrôleet de suivi
ainsi que des moyens humains, financiers et matériels mis en œuvre par une
organisation afin d’identifier, de détecter, limiter et maîtriser les risques
liés directement ou indirectement à ses activités» (Darsa, 2010, p.15 et s.).
L’Institut Français de l’Audit et du Contrôle Interne (IFACI)et
PriceWaterhouseCoopers (PWC),reprenant le référentiel COSO II,
définissent le management des risques comme un processus mis en œuvre
par le Conseil d’Administration, la Direction Générale, le management et
les opérationnels. Ce processus est pris encompte dans l’élaboration de la
stratégie et dans toute l’organisationet vise à éviter les évènements
potentiels dommageables à l’organisation et à fournir une assurance
raisonnable quant à l’atteinte des objectifs. Dans uncontexte de flou des
frontières de l’entreprise et de ses sous-traitants, notre période fait évoluer
l’entreprise dans un monde de plus en plus incertain,environnement de un
plus en plus agressif, de moins enmoins prévisible. Face à cela, la gestion
des risques vise l’atteinte des objectifs enrépondant aux risques
organisationnels et non seulement au risque pris de manière isolée (Ebondo,
Zéghal, 2009).
La gestion des risques suppose une compréhension globale des risques
de l’entreprise (Guillon, 2009). Laquelle se veut d’appréhender une pluralité
de risques faisant interagir des domaines divers (droit,économie, gestion,
ingénierie…) et mobilisant une multitude de compétences dans le cadre de
ce quipeut être appelé le« total Risk Management».En matière de


2
FERMA.Fédération regroupant les associations traitant des problématiques de
gestion des risques, à l’instar de l’AMRAE, de l’Institute of Risk Management. Elle
identifie les différentes pratiques en termes de risk management et organise des
séminaires etconférences sur les actualités de ce domaine. Site officiel.
17

risque,l’interdisciplinarité est nécessaire. LeRisk Management suppose
l’intervention dans des domaines stratégiques, organisationnels et
techniques, par le Risk Manager, homme de terrain,« touche-à-tout »
(Véret, Mékouar, 2005, p.52) participant à la transformation de son
3
entreprise (sécuritédes personnes etdes installations, problèmes
environnementaux, contrats avec les sous-traitants, dimension informatique,
gestion de crise…).
La dimension de la gestiondes risques est donc également stratégique de
par la prise encomptedes impacts en termes de risques sur l’activité et la
place de l’entreprise dans son environnement. Ainsi,l’image de l’entreprise,
les marchés sur lesquels elle veut s’engager sont soumis à l’incertitude et
aux risques, lesquels revêtent plusieurs formes et peuvent également être
appréhendés sous la dimension stratégique. La dimensionstratégique du
risque sera concrétisée par l’incertitude liée aulancement d’une activité
donnée. Cette dimension suppose l’anticipation des évènementsfuturs ;il
en va de même pour la gestion des risques, liée à la stratégie. En procédant
ainsi, en permettant un bon déroulement des activités stratégiques pour
l’entreprise, le Risk Manageraux besoins de la direction générale répond
quant aux impacts des décisions managériales de même qu’aux demandes
d’informations desanalystes financiers.
En ce sens, le Risk Management revêt donc une dimension stratégique.
4
Ainsi, dans le cadre du référentiel COSOII , lequel viseà prendre en
compte les risques dans l’étude des options stratégiques (notammentappétit
au risque et degréd’aversion et de tolérance, seuil d’acceptabilité,Value at
Risk), une démarche d’anticipation est nécessaire pour identifier les
évènements pouvant potentiellement affecter les objectifs stratégiques. Les
prendre en compte par une visée anticipatrice permetdonc de mieux les
intégrer dans les processus de fonctionnement de l’entreprise.
La gestion des risques comprend encore une dimensionorganisationnelle
et participative, incluant un ensemble de parties prenantes. Le Risk
Manageréparticipe à l’évolutionde l’organisation dans laquelle ilvolue, il
analyse et gère le risque,non pas en tant que fonction déconnectée de
l’entreprise, mais en tant qu’activité transverse liée à toutes les branches
d’activités de l’entreprise.Le risque n’est pas géré en tant que tel, mais ce
sont les activités qui sont gérées et de ce fait le risque quien découle.« La
gestion des risques est plus un art qu’une science, chacun comprend cette
fonction à sa façon. C’est ce qui fait la force et la faiblesse de cette


3
risques et émettrice devue ici sous l’angle de l’organisation, entité soumise auxEntrep rise,
risque de par son activité. De par son caractère technique et la nécessité d’un regard
transverse mais également d’une analyse app rofondie,la fonction de RiskM anagers’est
p rofessionnaliséedep uisune trentaine d’années.
4
LeRéférentiel COSO II est un cadre de référence pour le management des risques dans
l’entrep rise.Il a été élaborép arPriceWaterhouse dansEnterprise Risk Management.
18

5
fonction »précise encore Baron(2009) pour qui le Risk Management est
autant le fait de risques liés à chaque activité qui intéressent ceux qui les
exercent que de risques« orphelins » nonrattachés à une activité précise,
que personne n’assume et quiincombent au Risk Manager en parallèle à sa
fonction de coordination dansla prise en compte des autres risques.
La gestion des risques concerne les organisations ausens large, soit les
6
entreprises et les collectivités territoriales. Les risques doiventdonc être
appréhendés aussi bien pour les entités du secteur privé que dans le secteur
public.
La gestiondes risques se caractérise encore par une dimension
temporelle. La prise en compte des risques liés auxactivités passées et
présentes va de soi, mais il est plus difficile de tenir compte des risques
futurs liés aux activités en cours de développement, d’autant que ces derniers
sont souvent méconnus ou semblent peu vraisemblables quant à leur
survenance.

La norme ISO 31000 quifixe les principes etlignes directrices du
management des risques définit le risque comme l’effet de l’incertitude sur
l’atteinte des objectifs. Cette définition, bien que non exhaustive, a le mérite
d’être suffisamment englobante pour tenir compte de la diversité des risques
que doivent traiter les fonctions dédiées à la gestiondes risques. Elle est
ainsi prochedans la prise encompte des conséquences des approches de
risques financiers, de risques opérationnels ou encore de risques à caractère
technique. Cette approche présente encore le mérite de corréler la question
des risques à celle de la décision. Il y est clairement question de procéder à
des arbitrages (coûts-bénéfices d’une décision donnée dans un contexte
précis). Une telle vision située et relative du risque apparaît comme
fondamentale, car en pratique, pour une organisation soumise à des
contraintes de temps, un risque n’est pas à rejeter en soi. Un risque est à
prendre ou non si ce dernier peut être absorbé, transféré ou encore compensé
par la création de valeur occasionnée dans le même temps.

Le Risk Managementpeut être défini comme un processus transversal de
création de valeur (Morlaye, 2006, p.60) au centre du processus
organisationnel et impliquant toutes les fonctions dela chaîne de valeur au
sens de MichaelPorter (1986). Cette approche globale aussi qualifiée
d’ERMManagement) suppose de déterminer enWide Risk (Enterprise
accord avec l’objet social de l’entreprise, ses valeurs et sa stratégie le profil


5
FrankBaron est Business Development Manager chez AXA Corporate Solutions Risk
Consulting, il est également administrateur à la FERMA. Propos tirés de l’article du
magazine RiskAssur-hebdo,article du 01/12/2009.
6
Régions,dép artements,communautés de communes, mairies, et, dans une large acception,
les organismesen chargede missions et de délégations de service public.
19

de risque que cette dernière souhaiteadopter et mettre en œuvre dans la
conduite de son activité courante (voir schéma ci-après). Cette approche
suppose dans un second temps le transfertou la prévention et la protection
contre les risques se situanthors de ce cadre et que l’entreprise n’entend pas
assumer entant que tels. Cette notion d’acceptation du risqueapparaît
comme fondamentale. Elle découle de l’appétitau risque desdécideurs
d’une organisation(ou a contrario de leur aversion). Sitkin etWeingart
(1995) analysaient les comportements de prise de décision en univers risqué
pour démontrer que la variable risque devient unparamètre dont la prise en
compte va nécessairement croissante à notre époque,ce pour des raisons
liées au poids d’autres parties prenantes que le seul« Top Management »
(poids des actionnaires, dimension responsabilité environnementale,opinion
publique, rôledes médias, etc.).


Figure 1. Profilde risque et décision

1. duire lePourquoi réque ss ris?

La gestion des risques ne vise pas uniquement à prévenir les risques,il
s’agit aussi de rendre effective cette thématique dans les attentions portées
au sein de chaque fonction, en une approche structurée et organisée. Ils’agit
de transposer la question du risque dans les problématiques courantes de
l’activité de l’entreprise au travers de différents scénarios de survenance. Il
s’agit encore,au-delà de la précaution, de construire une approche
permettant la prise de décision éclairée et réduisant ou évitant les dommages
pouvant résulter de la survenance de risques.

Pour quelles raisons les firmes souhaitent réduire leurs risques?

20

1.1. Compré he nsionde l’entreprise et de son environnement

L’entreprise est soumise à une multitude de risquesqui émanent de
nombreux environnements. Le processus de gestion des risques (notamment
lors de l’élaborationd’une cartographie des risques) permettra de mieux
comprendre l’organisation,non seulement en apportant une connaissance
sur l’étendue des risques pouvant affecter l’entreprise, mais en allant plus
loin en apportant une compréhension de l’origine de ces risques (de leurs
causes et conséquences potentielles).
Pour cette identification des risques, ildevra être procédé à un
recensement des ressources del’entreprise, à une analyse de ses points forts
et points faibles, une analyse critique des perturbations et sources de
défaillance devraencore être faite, de même qu’une analyse des interactions
entre parties prenantes et risques.
Par ces procédés, la gestion des risques permettra une compréhensionà
la fois du fonctionnement interne de l’organisation et de l’environnement
dans lequel elle évolue.
Grâce au dispositif de RiskManagement, l’entreprise est donc en
position d’organisation apprenante par le retour d’expériences émanant des
différentes compétences en interne. En outre, il est procédé à une meilleure
allocation desressources eu égard aux risques prioritaires.
Effet d’expérience, optimisation des ressources et compétences se
conjuguent donc dans une démarche d’organisation apprenante grâce au
Risk Management.

Le risque est undanger éventuel plus ou moins prévisible, mais
également une condition du succès de l’action présente et future. Gérer les
risques implique donc nécessairement de se demander ce qu’ilpeut advenir.
Le risqueest un événement aléatoire dont l’occurrenceest incertaine, mais
pour lequel la questionde son anticipation est indissociable de sa gestion.
Sans anticipation, la gestion des risques se résumera à une réponse par le
biais de contrats d’assurance et autraitementex antedu risque.
La gestion des risques,dans sa dimension ERM (gestion globale),
comprend cette dimension anticipation et implique de se poser la question
de ce qu’il peut advenir dans le futur.
L’apport principal consiste à représenter les principaux risques et les
enjeux s’y rapportant afin de procéder auxdécisions les plus pertinentes.

1.2. Se demande r cequ’ilpe utadvenir

x Probabilitéd’occurrence (probabilité de survenance d’un
risque).

21

x Détectabilité des risques (dépend de la qualitéde l’organisation
à détecter les risques, le Risk Management peut renforcer cette
capacité).
x sera le coût probable encas deSévérité (se demander quel
survenance, coût immédiat et pertes à terme: pertes
d’opportunité, impossibilité d’activité pour l’entreprise,
paralysie (cf. risques de la chaîne logistique),perte
d’exploitation.

Les enjeux d’un regard prospectif pour la gestion des risques sont non
négligeables pour l’entreprise. Il est question de demander quelles sont les
possibilités d’actionsà mettre en œuvre pour l’entreprise.

Le sris que sd’opportunité-je faire demain ?: que vais
La question des coûts d’opportunité estcentrale pour appréhender les
risques.
En effet, se concentrer uniquement sur les risques comme menaces ne
permet pas de prendre en compte la totalité des risques.
Le plus grand risqueétant celui consécutif à l’absence de
décision (Godet,2007), une vision« globale » des risques de l’entreprise
consiste à prendre en compte nonseulement les menaces, mais également
les risques d’opportunités : soit quelles actions à mener pour l’avenir? Sur
quels marchés s’engagerpréjudiciable de ne pas intégrer un? Est-il
marché ?
De telles questions renvoientdavantage à la stratégie de l’entreprise,
mais comme ila pu être précisé (voir introduction), le Risk Management,
revêtira une dimension stratégique de par l’analyse des menaces ainsique
des opportunités.
Dans cette optique,l’analyse SWOT(forces, faiblesses, menaces,
opportunités) comprend nécessairement une dimension« risque » : avec une
dichotomie entre risques comme dangers (menaces)et risques de la
nonintervention (opportunité) ainsi que la dialectique des forces et des
faiblessesl’entreprise, compte tenu dequi supposede se demander si: ce
ses forces, est préparée au risque. De même, eu égard à ses faiblesses,
peutelle surmonter unsinistre (résilience)?
Gérer les risques,c’est aussi arbitrer entre deux systèmes de
management, sur lesquels la gestion globale des risques (type ERM) peut se
greffer :
On distingue ainsi le management par réaction du management
anticipation.

-par réactionManage ment(dans une optique risque) correspond à des
situations de crise où l’entreprise, dans un laps de temps court,mettra à
disposition des moyens importants afin de résorber la crise. Cela correspond
22

à des situations où les signaux faibles sont engénéral peu pris en compte,
car la vraisemblance d’occurrence durisque est alors faible. Toutefois, cette
vraisemblance augmente de telle sorte qu’à unmoment le risque n’est plus
acceptable, il faut alors réagir (franchissement du seuild’acceptabilité du
risquealors fixé par l’entreprise,dans un tel cas, il y a souvent conscience
du risque).
Le Risk Management, en permettantde faire en sorte que chacun
développe une réactivité au risque(culture commune durisque), peut
s’inscrire dans cette démarche.

-Manage me ntpar anticipation : il s’agit pour l’entreprisede mettre
en place une «vigie », soitun système de surveillance et de veille visant à
traiter par des actions curatives les écarts par rapport auxprocessus de
sécurité définis. Des actions préventives complémentaires sontégalement
mises en place pour anticiper des dégradations potentielles.
La gestion globale des risques de parsa dimension d’amélioration
continue correspond davantage aumanagement par anticipation. Un
management par anticipation permet de prendre en compte tant les ruptures
brutales/critiques queles tendances lourdes et facteurs d’inertie.

1.3. s tionde l’acceptabilité des risLa queques

Comme nous l’avons vu,gérer le risque c’est l’accepter. La question des
risques acceptables pour l’entreprise suppose donc une politique
d’acceptabilité du risqueet de. En découlera le processus de décision
traitement à l’égard des risques jugés non acceptables pour l’entreprise.
Il est donc question de mettre sur piedune politique d’acceptabilité du
risque, soit la détermination de l’appétence pour le risque de l’entité (poser
des limites de risques, des seuils de risques acceptables). Cela pose encore
la question des risques que l’entreprise est prêteà prendre pour mener sa
stratégie. Jusqu’où l’entreprise peut-elle aller dans la prise de risque eu
égard à sa stratégie ?

Autre question,le niveau maximum de tolérance face au risque: en
tenant compte des valeurs éthiques, de la dimension RSE (Responsabilité
Sociétale de l’Entreprise) ou encore de la stratégie de l’entreprise. Ce
niveau de tolérance dépendra des types de risques (à fort impact sur la
réputation del’entreprise? Sur la sécurité des biens et des personnes ?)

À noter que pour les risques liés à la vie humaine,il n’est pas question
de déterminer des seuils d’acceptabilité, ilincombe néanmoins aux
dirigeants dese préparer à des évènements inacceptables que sontdes pertes
humaines ou des dommages corporels (notamment dans le cadre d’une
gestion de crise).
23