//img.uscri.be/pth/38753ceb2b3f1e12b4a9de575741e3951b62a7dc
Cet ouvrage fait partie de la bibliothèque YouScribe
Obtenez un accès à la bibliothèque pour le lire en ligne
En savoir plus

La gestion des risques, un objet frontière

De
242 pages
La gestion des risques est un enjeu stratégique contribuant à la sauvegarde de la valeur pour les organisations. Il s'agit d'un "objet frontière" car gérer le risque consiste à faire le lien entre les différentes parties prenantes au sein des entreprises. Une partie met en exergue les notions et enjeux liés à la gestion des risques, une autre vise à apporter un éclairage complémentaire sur des enjeux précis auxquels la gestion des risques peut apporter des solutions.
Voir plus Voir moins

LA GESTION DES RISQUES, Gilles Teneau & Nicolas Dufour
UN OBJET FRONTIÈRE
La gestion des risques se présente comme un enjeu stratégique contribuant à la
sauvegarde de la valeur pour les organisations. Il s’agit également d’un « objet
frontière » car gérer le risque consiste à faire le lien entre les différentes parties
prenantes au sein des entreprises, notamment en vue d’identifer, d’évaluer et
LA GESTION DES RISQUES,de prévenir ou de réduire les nombreux risques pouvant survenir.
L’ouvrage se structure en deux parties. Une première partie, « Approche UN OBJET FRONTIÈRE
conceptuelle de la gestion des risques », a pour objectif de mettre en exergue
les notions et principaux enjeux liés à la gestion des risques (notions et concepts
clés de gestion des risques, évolution de la gestion des risques dans les
organisations, liens avec la gestion de crise, liens entre risques et assurances).
La seconde partie intitulée « Approche thématique de la gestion des risques »
vise quant à elle à apporter un éclairage complémentaire sur des enjeux précis
auxquels la gestion des risques peut apporter des solutions (risques émergents,
humains, technologiques, environnementaux, opérationnels, risques projets,
risques SI).
L’apport de cet ouvrage est de faire le lien entre les nombreuses recherches
académiques et professionnelles existantes en gestion des risques. Les auteurs
démontrent ainsi que s’il existe de nombreuses techniques, normes, outils et
méthodes permettant de cerner le risque, ce dernier reste intimement lié au
facteur humain et à la composante organisationnelle.
Gilles Teneau est un universitaire et chercheur français. Docteur en
sciences de gestion, il est chargé de cours au CNAM, à l’ISEE, aux
universités Paris XIII et Cergy-Pontoise et à l’ISC. Il est intervenu
pendant plus de vingt ans en tant que consultant dans les secteurs
banque et assurance notamment et développe une expertise dans le champ de la
théorie des organisations, de la gestion de projet et des systèmes d’information.
Préface de Bernard Guillon
Nicolas Dufour est enseignant à l’École nationale d’assurance et à
l’Institut de formation de la profession d’assurance (ENASS-IFPASS) où
il anime notamment le cours de stratégie des acteurs de l’assurance.
Il est également chargé de cours au CNAM en master Comptabilité
Contrôle Audit (contrôle des risques et contrôle de gestion). Ses recherches (doctorat)
portent sur les politiques de maîtrise des risques des sociétés d’assurance et des
établissements bancaires.
PERSPECTIVES
ISBN : 978-2-343-00318-4
23 euros ORGANISATIONNELLES
PERSPECTIVES-ORGANISATIONNELLES_GF_TENEAU-DUFOUR_GESTION-RISQUES-OBJET-FRONTIERE.indd 1 16/04/13 17:42
LA GESTION DES RISQUES, UN OBJET FRONTIÈRE
Gilles Teneau & Nicolas Dufour





LA GESTION DES RISQUES,
UN OBJET FRONTIÈRE





Des mêmes auteurs :


Gilles Teneau, La résistance au changement organisationnel, Préface Yvon
ePesqueux, 2 édition, L’Harmattan, 2012.
Gilles Teneau et All, Le conseil en organisation, évolutions et perspectives,
L’Harmattan, 2011.
Gilles Teneau et Guy Koninckx, Résilience Organisationnelle, rebondir face
aux turbulences, éd. Deboeck, 2010.
Gilles Teneau et Jean-Guy Ahanda, Le guide commenté des normes et
référentiels, éd. Organisation, 2009.



























© L’Harmattan, 2013
5-7, rue de l’École-polytechnique ; 75005 Paris

http://www.librairieharmattan.com
diffusion.harmattan@wanadoo.fr
harmattan1@wanadoo.fr

ISBN : 978-2-343-00318-4
EAN : 9782343003184Gilles Teneau & Nicolas Dufour








LA GESTION DES RISQUES,
UN OBJET FRONTIÈRE






Préface de Bernard Guillon
















Perspectives organisationnelles
Collection dirigée par Yvon Pesqueux et Gilles Teneau


C’est depuis l’apparition de la grande organisation comme phénomène
social suffisamment important que se pose la question de la
construction d’un champ de savoir qui lui soit spécifique, celui des
sciences des organisations, la grande entreprise en étant la
manifestation concrète majeure. C’est l’action organisée dans cet
endroit spécifique qui constitue le matériau empirique et conceptuel et
l’enjeu de la création de savoir, ceci venant justifier l’existence de la
collection « Perspectives organisationnelles ».

L’organisation est à la fois organisée et organisante c’est-à-dire
qu’elle cherche à maintenir la socialisation qui lui est inhérente ce qui
lui permet en même temps de se maintenir ; elle cherche à relier les
agents organisationnels et à se relier, c’est-à-dire à relier les agents
organisationnels avec les autres ; elle cherche à produire des biens et
des liens ce qui lui vaut d’assurer sa pérennité. L’organisation
matérialise l’existence d’un « équilibre » entre des logiques
structurelles et celles des agents qui les animent. L’organisation est
donc une construction sociale contingente qui prend en compte des
objectifs, des conditions d’environnement et la mentalité des agents
qui s’y trouvent.

Dernières parutions

Emmanuel CASTILLE (coord.), Une autre image de l’organisation.
Mises en perspective analytiques, 2013
Isabelle PLOND-MORAND, L’employabilité. Ambiguïtés d’un concept,
2012.
Lucile MAERTENS, Le Haut-Commissariat des Nations unies pour les
Réfugiés (HCR) face aux catastrophes naturelles, Ce que le tsunami a
changé, 2012.
Andrée PIECQ, De la pensée systémique à la pratique de
l’organisation. Le giroscope, 2011.
Jean BRINGER, Denis MEERT, Michel RAQUIN et Gilles TENEAU, Le
conseil en organisation. Evolutions et perspectives, 2011.


Préface

Après l’ouvrage de Jérôme Méric, Yvon Pesqueux et André Solé en 2009
(La société du risque : analyse et critique, Paris, Economica, coll. Gestion)
et celui de Seddik Larkèche en 2011 (Epistémologie du risque, Paris,
l’Harmattan, coll. Défense, stratégie et relations internationales), le livre de
Gilles Teneau et de Nicolas Dufour sur : La gestion des risques : un objet
frontière est donc le troisième ouvrage spécifiquement consacré au risque et
réalisé par des congressistes du colloque francophone sur le risque Oriane.

Ils proposent une articulation en deux parties permettant d’aborder
successivement une approche conceptuelle de la gestion des risques, puis
une ventilation thématique portant sur ce domaine.

Après avoir développé des notions de base portant sur la réduction des
risques et ses enjeux, sur l’historique du risque (via le secteur de l’assurance)
et la prise en compte progressive du phénomène à la fin du siècle dernier à la
lumière des différents accidents industriels, Gilles Teneau et Nicolas Dufour
s’attardent, dans le second volet de cet écrit, sur la « palette » des risques qui
semblent être l’actualité du moment.

Leur apport concerne d’abord les risques jugés émergents à
l’image de ce que l’on a observé en matière de biologie, de
nanotechnologies, de logistique, de politique sans oublier les
risques financiers.
Ils procèdent ensuite à une étude du risque humain, des biais
motivationnels et de la santé mentale avant de porter leur
attention sur le stress, les effets de groupe et les normes actuelles
et en cours d’évolution.
Les risques industriels font l’objet d’une analyse particulière vu
l’importance de la technologie et de ses interrelations avec le
genre humain. Les accidents sont mis en exergue en parallèle
avec les outils que sont les arbres de défaillances, de causes et
d’événements… ou les méthodes probabilistes. L’influence du
concept de résilience est également de la partie.
Ce qui permet de s’intéresser aux conséquences
environnementales et donc naturelles avec des notions comme les
inégalités et les difficultés de réparation des atteintes à
l’environnement, ou la cyndinique et ses liens avec les plans de
réduction des risques.
L’univers de l’informatique et des systèmes d’information est un
domaine ou le traitement du risque est par définition récent : ce
7

xxxxxqui n’empêche pas l’élaboration de méthodes et de normes
spécifiques.
Parler de « Risques projet » peut paraître étrange, mais c’est ici
aussi l’occasion d’identifier des méthodes liées aux projets et des
normes adéquates en vue de la prévention comme de la
correction.
Enfin les risques, qualifiés par ces auteurs, d’opérationnels
permettent de conclure sur les liens entre risque et incertitude.
Leur objectivation, la réponse collaborative, la vigilance, le
contrôle et la limite des risques opérationnels sont alors
approfondis.

L’éventail pour le moins étendu des notions évoquées ici est propice à
l’enrichissement des travaux déjà diffusés. Il est source de débats et plus
encore de questionnements avec le lecteur qui peut lui aussi se positionner
sur le sujet : autant d’interrogations qui peuvent, elles aussi, déboucher sur
de nouveaux écrits à la lumière d’applications récentes ou de refus d’une
réelle prise en considération de la gestion des risques.

Bernard GUILLON
Co-créateur et administrateur du colloque francophone sur le risque
Oriane (colloque pluridisciplinaire soutenu par 13 associations et ayant
permis l’édition de seize publications collectives à ce jour).











8

xxIntroduction

Les risques au centre des attentions

Notre époque dite moderne est décrite, notamment depuis U. Beck
(1986), comme celle d’une société où peur et danger se cristallisent pour
accorder au risque une place prépondérante. Ce monde où l’erreur et la
défaillance humaine ne sont désormais plus exclues fait face à une modernité
technique prégnante et a fait de son corollaire le risque une variable clé, lui
attribuant une valeur normative.
Le risque apparaît alors comme la formulation d’une nouvelle pensée du
social. D’aucuns parlent à cet égard d’ère de la vulnérabilité, de société du
risque voire de société assurantielle (Kessler, 2006). Le risque prend sa
source dans une dimension sociologique clairement marquée (la sociologie
de Giddens et de Beck). Cela correspond à l’entrée dans la sphère publique
d’enjeux technico-scientifiques. Il s’agit encore de mettre au centre des
attentions le rapport entre risque et société. A cet égard Luhmann (1993)
appelait à distinguer entre le décideur, le preneur de risque et ceux qui dans
la société subissent les conséquences de cette prise de risque. La question de
la manière dont est pris ce risque apparaît très rapidement comme centrale.
L’actualité de ces dernières années en atteste : Seveso, Three Miles Island,
Tchernobyl, AZF, plus récemment British Petroleum, Enron, Worldcom,
Société Générale, AIG, JP Morgan, UBS. Ces différents exemples ont de
commun qu’une prise de risque mal gérée s’est traduite par un potentiel
d’accumulation catastrophique allant au-delà du simple cadre des
organisations concernées. Cette complexité peut être qualifiée de hors cadre
à deux égards : l’évènement sort du cadre habituel de survenance de risque
(débordement), des risques jusqu’alors invraisemblables (hors échelle) se
matérialisent et ces derniers dépassent leur simple lieu de survenance pour
affecter des biens ou personnes hors de l’organisation ou de leur cadre
d’apparition.
Comme le relèvent certains auteurs, « le risque zéro n’existe pas » et
malgré l’importance de notre savoir technique, il persiste toujours une part
d’incertitude pour les individus et les organisations (Guilhou, Lagadec,
2002, p.7).
Cette impossibilité de mettre le monde en équation, cette limite de la
technè au sens de Jonas, se retrouve particulièrement dans la thématique des
risques où la combinatoire de menaces externes et de défaillances internes à
l’organisation engendre un nombre exponentiel de risques potentiels ; faisant
évoluer l’individu dans un axiome de vulnérabilité dont il n’a pas forcément
toujours conscience ex ante (Jonas, 1979).

9
Toutefois, la prise en compte du risque suppose de surmonter la faculté
des individus à rejeter ce dernier (l’aversion au risque), faisant de
l’aspiration au contrôle de l’environnement par les organisations une sorte de
« vœu pieux ». Power parle alors « d’illusion du contrôle » pour caractériser
cette volonté à saisir l’étendue des risques pouvant affecter les organisations
(Power, 2005, p.585).

La notion de risque : entre lieu de nulle part et objet frontière

Simon (2000) définit le risque comme un évènement imprévu ou un
ensemble de conditions réduisant de manière importante l’habileté des
gestionnaires dans la conduite de la stratégie d’affaires envisagée. Cette
approche rassurante pour certains (les managers) ne l’est pas forcément pour
tous. Ainsi, les enjeux d’audit et de contrôle du risque participent « d’une
politique plus large de l’angoisse et de la peur » (Power, 2005, p.254) et ont
une dimension quasi prophétique (Pesqueux, 2011).

La notion de risque, bien qu’ayant fait fortune ces dernières années, est
ambiguë et bien souvent, plusieurs collaborateurs d’une entreprise traitant du
sujet croient parler de risque alors qu’ils abordent en fait des notions
distinctes (évènements redoutés, menaces, vulnérabilités, pertes…).

Les risques sont des évènements définis par une distribution de
probabilités objectives (c'est-à-dire des probabilités établies à partir
d’informations statistiques). Le risque est donc une incertitude
objectivement probabilisable, mais aussi une incertitude mesurable (Cleary,
Malleret, 2006). Il est alors question de risque avéré. L’incertitude quant à
elle ne peut être cernée par une distribution de probabilité objective, il s’agit
du hasard avec des probabilités inconnues. On parle alors de risque potentiel.

Comme le relève Patrick Peretti-Watel (2002, p.48), les nombreuses
activités de la vie courante font l’objet d’une « mise en risque » : soit des
constats chiffrés sur les probabilités de survenance de pathologies liées à la
consommation alimentaire, aux activités sportives, aux pratiques courantes
des individus.
Parallèlement à cela, et c’est là différence entre risque et incertitude,
l’essor de certaines activités humaines engendre un accroissement de
l’incertitude (soit des évènements à survenance non probabilisable et aux
conséquences difficilement mesurables).
Le risque peut cependant se résumer de manière assez simple, selon une
approche juridique notoire, comme un événement dont la
survenance, aléatoire, est susceptible de causer un dommage aux personnes
ou aux biens voire aux deux à la fois. Cette approche est souvent complétée
par une vision duale séparant les risques avérés et probabilisables des risques
10
potentiels (latents) et non probabilisables. Une autre manière de résumer le
risque dans l’organisation consiste à l’appréhender comme la convergence
d’une menace, le plus souvent externe à l’organisation, laquelle exploite une
vulnérabilité interne à celle-ci, en vue de causer un dommage aux actifs ou
aux personnels de ladite organisation.
La question des risques est souvent sujette à difficulté, elle suppose
l’expertise en même temps que la rationalité instrumentale, mais est source
d’ambiguïté, de controverse (Beck, Kropp, 2011). Le risque se situe
clairement entre ce sentiment public qui veut que l’organisation adopte une
perspective gestionnaire et ce vice privé qui implique que l’individu soit par
nature averse à adhérer à une telle approche (Cingolani, 2001). Cette
controverse rend difficile une réponse organisée face aux nombreux risques
entourant une organisation au quotidien (Darsa, 2011).

Le risque est une notion complexe recouvrant des réalités différentes
1selon les individus et les sujets auxquels il s’applique. Cet objet frontière
qu’est le risque permet « de satisfaire au besoin de compréhension de
différentes communautés, conservant le même nom sans pour autant
recouvrir les mêmes réalités » (Pesqueux, 2011, p.461). Le risque permet en
effet à différentes communautés de parler de la même chose, mais ces
derniers ne parlent pas forcément le même langage, faisant référence à
d’autres notions voisines telles que les évènements dommageables, les
menaces, les vulnérabilités, les défaillances. L’absence de langage commun
dans une organisation sur cet ensemble de notions rend la question des
risques complexe et contribue à créer de la technicité là où il importe de
simplifier la réalité.

Pour ces raisons, la nécessité d’une politique dédiée aux risques s’est peu
à peu fait sentir dans les organisations au même titre qu’il existe des
politiques financières, RH, marketing, etc. La tendance dans la société du
risque est donc à une institutionnalisation des organisations soucieuses
d’assumer plus que jamais leurs risques afin de réduire l’incertitude tout en
développant leur activité. Ce rôle institutionnel de l’entreprise moderne face
au risque correspond à l’émergence d’une perspective où hommes, nature,
économie et société sont intimement liés et dans lesquels l’importance de
principes tels que la précaution ou la responsabilité est croissante. Ces
principes se traduisent dans les faits par l’obligation de rendre des comptes
pour un dirigeant d’entreprise au sens foucaldien de pouvoir issu du savoir.


1 Les objets frontières sont des enjeux de communication permettant à des parties prenantes
distinctes et issues de métiers différents de parler dans un langage commun dans le but de
répondre à un objectif similaire. Il s’agit de moyen d’évoquer un sujet complexe et de faciliter
l’action par rapport à ce dernier.
11
Le risque, vers une réponse organisée

Le risque est un combat incessant dont on ne connaît pas l’adversaire. Il
suppose une attention de tous, chaque jour que connaît l’organisation. Ce
dernier n’a pas fini de surprendre par la diversité de ses matérialisations
(risques financiers ou non, risques techniques, risques humains, risques
politiques, etc.) et par son caractère parfois invraisemblable, rendant difficile
son anticipation (Guillon, 2009, 2010).
Outre la prise de conscience de son importance, c’est d’une réponse
organisée dont il est question dans les entreprises modernes. Ce sujet
suppose un accompagnement des parties prenantes de l’organisation. Au
centre de cette question de la gestion des risques figure notamment le Risk
Manager, ce copilote essentiel des risques de l’entreprise dont le but est
d’appuyer les différents membres de l’entreprise dans l’identification,
l’évaluation, le traitement et le suivi de leurs risques.

Tout type de management comporte une dimension Risk Management
(All management is Risk Management). Follett (1941, p.42) nous enseignait
déjà que « les meilleurs dirigeants ne se contentent pas de tirer des
conclusions logiques de la masse des données sur le passé que leur
fournissent leurs experts, ils ont une vision du futur ».
Il n’existe cependant pas de solution miracle en gestion des risques, de
boîte à outils apportant une solution satisfaisante dans tous les cas. Comme
le rappellent Véret et Mékouar (2005, p.15), « même armé, le risque n’a pas
fini de nous surprendre », même avec des dispositifs construits et aboutis de
gestion des risques, les risques futurs ne peuvent être complètement
appréhendés. Saint-Thomas-D’Aquin nous apprend que l’expérience est une
lanterne qui éclaire le passé. L’expérience que l’organisation a du risque est
fondée sur le passé. Une approche uniquement basée sur le retour
d’expérience et la remontée d’information en interne s’avère donc limitée.
Elle peut permettre de cibler les risques connus, mais n’est pas suffisante
pour les risques futurs.
La gestion des risques, en accompagnement de l’activité, permet non pas
de prévoir dans tous les cas l’imprévisible, mais de se préparer au risque et
d’en réduire les effets lorsque sa prévention n’est pas possible. L’objectif de
cet ouvrage est donc d’appréhender les enjeux majeurs de cette gestion des
risques.

Deux parties structurent cet ouvrage :

- Une première partie « Approche conceptuelle de la gestion des
risques » se structure en quatre chapitres et a pour objectif de mettre en
exergue les notions et principaux enjeux liés à la gestion des risques.
12
Le premier chapitre (De quoi la gestion des risques est-elle le nom ?)
vise à expliquer pourquoi les entreprises souhaitent-elles réduire leur
risque ? Au-delà de la connaissance du risque, ce qu’il peut advenir, mais
aussi les enjeux relatifs à l’acceptabilité du risque, aux démarches et étapes
clés de sa gestion. Les enjeux d’organisation et les différentes fonctions liés
au risque sont également explicités.
Le second chapitre (L’essor progre ssif de la gestion des risques) traite
de la manière dont le Risk Management a évolué durant les dernières
décennies tout en resituant ce cadre actuel de gestion du risque dans une
perspective socio-historique. Est ainsi abordé le passage d’une approche
purement assurantielle à une vision stratégique de la gestion des risques.
Certaines critiques actuelles de la gestion des risques sont encore mises en
avant.
Le troisième chapitre (Gestion des risques et assurance) vise à établir le
lien entre les enjeux de couverture et de transfert de risque (notamment par
le biais des polices d’assurance) et l’enjeu plus global de la gestion des
risques.
Le quatrième chapitre (L’architecture gestion des risques-gestion de
crise) évoque la comparaison entre risque et crise, le lien entre les méthodes
et comment la gestion des risques se doit d’intégrer les nouveaux enjeux liés
notamment aux crises hors cadre.

- La seconde partie intitulée « Approche thématique de la gestion des
risques » vise quant à elle à apporter un éclairage complémentaire à la
première partie sur des enjeux précis auxquels la gestion des risques a
vocation à apporter des solutions. Cette partie se structure en sept chapitres.
Le premier chapitre (Les risques émergents, la gestion des risques aux
frontières des possibles) met en avant les nouveaux horizons liés à
l’apparition de nouveaux risques tels que le risque d’image, le biorisque, le
risque de la supply chain, le risque politique, l’importance nouvelle accordée
au risque économique et financier, etc.
Le second chapitre (La gestion des risques au croisement du facteur
humain) aborde les enjeux de gestion liés aux risques psychosociaux, au
stress et à la motivation au travail. Ce chapitre apporte en outre un éclairage
sur les outils de gestion des risques humains.
Le troisième chapitre (Les risques technologiques) précise l’importance
des systèmes sociotechniques comme facteur de multiplication des risques.
Les risques liés aux technologies (notamment risques industriels) sont alors
abordés de même que les méthodes et normes y ayant trait (arbres de
défaillances, méthodes probabilistes, résilience ingénierie, apport de la
résilience, maîtrise des processus, etc.).
Le quatrième chapitre (Les risques environnementaux) développe les
enjeux de gestion que sont les risques naturels et environnementaux. Le
classement et l’importance des catastrophes, les risques géologiques, les
13
inégalités face au danger, les sciences du danger, les plans de prévention des
risques (PPR) y sont notamment abordés.
Le cinquième chapitre (Risques et SI) a trait aux risques issus des
technologies de l’information et de la communication. Ce chapitre développe
les processus de traitement et de communication sur le risque des systèmes
d’information, la surveillance de ce type de risque ainsi que les principales
méthodes et normes dans ce domaine (EBIOS, MEHARI, Octave, 27005).
Le sixième chapitre (Risques projet) met en avant l’importance
croissante des risques liés au développement de nombreux projets
transverses au sein des organisations. La gestion des trois piliers : coût, délai,
qualité ; la durée de vie des projets, les actions préventives, les risques
principaux au sein des projets (financement, aspects contrats, pénalités,
concurrents, assurance, planning, incertitude managériale et décision, etc.),
la carte des risques projets, les méthodes, normes, modèles et outils y sont
synthétisés (RMP, plan de gestion des risques, FHWA, CEVP, ISO 10006,
ISO 31010).
Le septième et dernier chapitre (Risques opérationnels) traite d’une
catégorie de risque présente dans chaque organisation et dont la prise en
compte va croissante. Il s’agit des risques opérationnels, catégorie frontière
de risque touchant à de nombreuses problématiques et concernant tant le
secteur industriel que le secteur financier. Les manières d’appréhender ce
risque et les limites de la connaissance actuelle dans ce domaine y sont
abordées.

Enfin, la conclusion de cet ouvrage vise à revenir sur l’importance du
facteur humain et d’une approche comportementale comme facteur clé de
réussite d’une gestion des risques au sein des organisations ; ce au-delà des
simples outils et normes.







14

Partie 1

Approche conceptuelle de la
gestion des risques


Chapitre 1
De quoi la gestion des risques
est-elle le nom ?

Plusieurs définitions peuvent être données pour caractériser la gestion des
risques :

2La Federation of European Risk Management Associations (FERMA)
identifie la gestion des risques comme « un processus continu
d’amélioration qui commence avec la définition de la stratégie et se
poursuit avec l’exécution de celle-ci. Elle devrait traiter systématiquement
de tous les risques qui entourent les activités de l’organisation, que celles-
ci soient passées, présentes et surtout futures. »
La gestion des risques peut encore être définie comme « l’ensemble des
politiques, des stratégies, des dispositifs de maîtrise, de contrôle et de suivi
ainsi que des moyens humains, financiers et matériels mis en œuvre par une
organisation afin d’identifier, de détecter, limiter et maîtriser les risques
liés directement ou indirectement à ses activités » (Darsa, 2010, p.15 et s.).
L’Institut Français de l’Audit et du Contrôle Interne (IFACI) et
PriceWaterhouseCoopers (PWC), reprenant le référentiel COSO II,
définissent le management des risques comme un processus mis en œuvre
par le Conseil d’Administration, la Direction Générale, le management et
les opérationnels. Ce processus est pris en compte dans l’élaboration de la
stratégie et dans toute l’organisation et vise à éviter les évènements
potentiels dommageables à l’organisation et à fournir une assurance
raisonnable quant à l’atteinte des objectifs. Dans un contexte de flou des
frontières de l’entreprise et de ses sous-traitants, notre période fait évoluer
l’entreprise dans un monde de plus en plus incertain, un environnement de
plus en plus agressif, de moins en moins prévisible. Face à cela, la gestion
des risques vise l’atteinte des objectifs en répondant aux risques
organisationnels et non seulement au risque pris de manière isolée (Ebondo,
Zéghal, 2009).
La gestion des risques suppose une compréhension globale des risques
de l’entreprise (Guillon, 2009). Laquelle se veut d’appréhender une pluralité
de risques faisant interagir des domaines divers (droit, économie, gestion,
ingénierie…) et mobilisant une multitude de compétences dans le cadre de
ce qui peut être appelé le « total Risk Management ». En matière de

2
FERMA. Fédération regroupant les associations traitant des problématiques de
gestion des risques, à l’instar de l’AMRAE, de l’Institute of Risk Management. Elle
identifie les différentes pratiques en termes de risk management et organise des
séminaires et conférences sur les actualités de ce domaine. Site officiel.
17
risque, l’interdisciplinarité est nécessaire. Le Risk Management suppose
l’intervention dans des domaines stratégiques, organisationnels et
techniques, par le Risk Manager, homme de terrain, « touche-à-tout »
(Véret, Mékouar, 2005, p.52) participant à la transformation de son
3entreprise (sécurité des personnes et des installations, problèmes
environnementaux, contrats avec les sous-traitants, dimension informatique,
gestion de crise…).
La dimension de la gestion des risques est donc également stratégique de
par la prise en compte des impacts en termes de risques sur l’activité et la
place de l’entreprise dans son environnement. Ainsi, l’image de l’entreprise,
les marchés sur lesquels elle veut s’engager sont soumis à l’incertitude et
aux risques, lesquels revêtent plusieurs formes et peuvent également être
appréhendés sous la dimension stratégique. La dimension stratégique du
risque sera concrétisée par l’incertitude liée au lancement d’une activité
donnée. Cette dimension suppose l’anticipation des évènements futurs ; il
en va de même pour la gestion des risques, liée à la stratégie. En procédant
ainsi, en permettant un bon déroulement des activités stratégiques pour
l’entreprise, le Risk Manager répond aux besoins de la direction générale
quant aux impacts des décisions managériales de même qu’aux demandes
d’informations des analystes financiers.
En ce sens, le Risk Management revêt donc une dimension stratégique.
4
Ainsi, dans le cadre du référentiel COSO II , lequel vise à prendre en
compte les risques dans l’étude des options stratégiques (notamment appétit
au risque et degré d’aversion et de tolérance, seuil d’acceptabilité, Value at
Risk), une démarche d’anticipation est nécessaire pour identifier les
évènements pouvant potentiellement affecter les objectifs stratégiques. Les
prendre en compte par une visée anticipatrice permet donc de mieux les
intégrer dans les processus de fonctionnement de l’entreprise.
La gestion des risques comprend encore une dimension organisationnelle
et participative, incluant un ensemble de parties prenantes. Le Risk
Manager participe à l’évolution de l’organisation dans laquelle il évolue, il
analyse et gère le risque, non pas en tant que fonction déconnectée de
l’entreprise, mais en tant qu’activité transverse liée à toutes les branches
d’activités de l’entreprise. Le risque n’est pas géré en tant que tel, mais ce
sont les activités qui sont gérées et de ce fait le risque qui en découle. « La
gestion des risques est plus un art qu’une science, chacun comprend cette
fonction à sa façon. C’est ce qui fait la force et la faiblesse de cette

3 Entreprise, vue ici sous l’angle de l’organisation, entité soumise aux risques et émettrice de
risque de par son activité. De par son caractère technique et la nécessité d’un regard
transverse mais également d’une analyse approfondie, la fonction de Risk Manager s’est
professionnalisée depuis une trentaine d’années.
4 Le Référentiel COSO II est un cadre de référence pour le management des risques dans
l’entreprise. Il a été élaboré par PriceWaterhouse dans Enterprise Risk Management.
18
5fonction » précise encore Baron (2009) pour qui le Risk Management est
autant le fait de risques liés à chaque activité qui intéressent ceux qui les
exercent que de risques « orphelins » non rattachés à une activité précise,
que personne n’assume et qui incombent au Risk Manager en parallèle à sa
fonction de coordination dans la prise en compte des autres risques.
La gestion des risques concerne les organisations au sens large, soit les
6
entreprises et les collectivités territoriales . Les risques doivent donc être
appréhendés aussi bien pour les entités du secteur privé que dans le secteur
public.
La gestion des risques se caractérise encore par une dimension
temporelle. La prise en compte des risques liés aux activités passées et
présentes va de soi, mais il est plus difficile de tenir compte des risques
futurs liés aux activités en cours de développement, d’autant que ces derniers
sont souvent méconnus ou semblent peu vraisemblables quant à leur
survenance.

La norme ISO 31000 qui fixe les principes et lignes directrices du
management des risques définit le risque comme l’effet de l’incertitude sur
l’atteinte des objectifs. Cette définition, bien que non exhaustive, a le mérite
d’être suffisamment englobante pour tenir compte de la diversité des risques
que doivent traiter les fonctions dédiées à la gestion des risques. Elle est
ainsi proche dans la prise en compte des conséquences des approches de
risques financiers, de risques opérationnels ou encore de risques à caractère
technique. Cette approche présente encore le mérite de corréler la question
des risques à celle de la décision. Il y est clairement question de procéder à
des arbitrages (coûts-bénéfices d’une décision donnée dans un contexte
précis). Une telle vision située et relative du risque apparaît comme
fondamentale, car en pratique, pour une organisation soumise à des
contraintes de temps, un risque n’est pas à rejeter en soi. Un risque est à
prendre ou non si ce dernier peut être absorbé, transféré ou encore compensé
par la création de valeur occasionnée dans le même temps.

Le Risk Management peut être défini comme un processus transversal de
création de valeur (Morlaye, 2006, p.60) au centre du processus
organisationnel et impliquant toutes les fonctions de la chaîne de valeur au
sens de Michael Porter (1986). Cette approche globale aussi qualifiée
d’ERM (Enterprise Wide Risk Management) suppose de déterminer en
accord avec l’objet social de l’entreprise, ses valeurs et sa stratégie le profil

5 Frank Baron est Business Development Manager chez AXA Corporate Solutions Risk
Consulting, il est également administrateur à la FERMA. Propos tirés de l’article du
magazine RiskAssur-hebdo, article du 01/12/2009.
6 Régions, départements, communautés de communes, mairies, et, dans une large acception,
les organismes en charge de missions et de délégations de service public.
19
de risque que cette dernière souhaite adopter et mettre en œuvre dans la
conduite de son activité courante (voir schéma ci-après). Cette approche
suppose dans un second temps le transfert ou la prévention et la protection
contre les risques se situant hors de ce cadre et que l’entreprise n’entend pas
assumer en tant que tels. Cette notion d’acceptation du risque apparaît
comme fondamentale. Elle découle de l’appétit au risque des décideurs
d’une organisation (ou a contrario de leur aversion). Sitkin et Weingart
(1995) analysaient les comportements de prise de décision en univers risqué
pour démontrer que la variable risque devient un paramètre dont la prise en
compte va nécessairement croissante à notre époque, ce pour des raisons
liées au poids d’autres parties prenantes que le seul « Top Management »
(poids des actionnaires, dimension responsabilité environnementale, opinion
publique, rôle des médias, etc.).


Figure 1. Profil de risque et décision

1. Pourquoi réduire les risques ?

La gestion des risques ne vise pas uniquement à prévenir les risques, il
s’agit aussi de rendre effective cette thématique dans les attentions portées
au sein de chaque fonction, en une approche structurée et organisée. Il s’agit
de transposer la question du risque dans les problématiques courantes de
l’activité de l’entreprise au travers de différents scénarios de survenance. Il
s’agit encore, au-delà de la précaution, de construire une approche
permettant la prise de décision éclairée et réduisant ou évitant les dommages
pouvant résulter de la survenance de risques.

Pour quelles raisons les firmes souhaitent réduire leurs risques ?
20
1.1. Compréhension de l’entreprise et de son environnement

L’entreprise est soumise à une multitude de risques qui émanent de
nombreux environnements. Le processus de gestion des risques (notamment
lors de l’élaboration d’une cartographie des risques) permettra de mieux
comprendre l’organisation, non seulement en apportant une connaissance
sur l’étendue des risques pouvant affecter l’entreprise, mais en allant plus
loin en apportant une compréhension de l’origine de ces risques (de leurs
causes et conséquences potentielles).
Pour cette identification des risques, il devra être procédé à un
recensement des ressources de l’entreprise, à une analyse de ses points forts
et points faibles, une analyse critique des perturbations et sources de
défaillance devra encore être faite, de même qu’une analyse des interactions
entre parties prenantes et risques.
Par ces procédés, la gestion des risques permettra une compréhension à
la fois du fonctionnement interne de l’organisation et de l’environnement
dans lequel elle évolue.
Grâce au dispositif de Risk Management, l’entreprise est donc en
position d’organisation apprenante par le retour d’expériences émanant des
différentes compétences en interne. En outre, il est procédé à une meilleure
allocation des ressources eu égard aux risques prioritaires.
Effet d’expérience, optimisation des ressources et compétences se
conjuguent donc dans une démarche d’organisation apprenante grâce au
Risk Management.

Le risque est un danger éventuel plus ou moins prévisible, mais
également une condition du succès de l’action présente et future. Gérer les
risques implique donc nécessairement de se demander ce qu’il peut advenir.
Le risque est un événement aléatoire dont l’occurrence est incertaine, mais
pour lequel la question de son anticipation est indissociable de sa gestion.
Sans anticipation, la gestion des risques se résumera à une réponse par le
biais de contrats d’assurance et au traitement ex ante du risque.
La gestion des risques, dans sa dimension ERM (gestion globale),
comprend cette dimension anticipation et implique de se poser la question
de ce qu’il peut advenir dans le futur.
L’apport principal consiste à représenter les principaux risques et les
enjeux s’y rapportant afin de procéder aux décisions les plus pertinentes.

1.2. Se demander ce qu’il peut advenir

Probabilité d’occurrence (probabilité de survenance d’un
risque).
21

x Détectabilité des risques (dépend de la qualité de l’organisation
à détecter les risques, le Risk Management peut renforcer cette
capacité).
Sévérité (se demander quel sera le coût probable en cas de
survenance, coût immédiat et pertes à terme :pertes
d’opportunité, impossibilité d’activité pour l’entreprise,
paralysie (cf. risques de la chaîne logistique), perte
d’exploitation.

Les enjeux d’un regard prospectif pour la gestion des risques sont non
négligeables pour l’entreprise. Il est question de demander quelles sont les
possibilités d’actions à mettre en œuvre pour l’entreprise.

Les risques d’opportunité : que vais-je faire demain ?
La question des coûts d’opportunité est centrale pour appréhender les
risques.
En effet, se concentrer uniquement sur les risques comme menaces ne
permet pas de prendre en compte la totalité des risques.
Le plus grand risque étant celui consécutif à l’absence de
décision (Godet, 2007), une vision « globale » des risques de l’entreprise
consiste à prendre en compte non seulement les menaces, mais également
les risques d’opportunités : soit quelles actions à mener pour l’avenir ? Sur
quels marchés s’engager ? Est-il préjudiciable de ne pas intégrer un
marché ?
De telles questions renvoient davantage à la stratégie de l’entreprise,
mais comme il a pu être précisé (voir introduction), le Risk Management,
revêtira une dimension stratégique de par l’analyse des menaces ainsi que
des opportunités.
Dans cette optique, l’analyse SWOT (forces, faiblesses, menaces,
opportunités) comprend nécessairement une dimension « risque » : avec une
dichotomie entre risques comme dangers (menaces) et risques de la non-
intervention (opportunité) ainsi que la dialectique des forces et des
faiblesses : ce qui suppose de se demander si l’entreprise, compte tenu de
ses forces, est préparée au risque. De même, eu égard à ses faiblesses, peut-
elle surmonter un sinistre (résilience)?
Gérer les risques, c’est aussi arbitrer entre deux systèmes de
management, sur lesquels la gestion globale des risques (type ERM) peut se
greffer :
On distingue ainsi le management par réaction du management
anticipation.

- Management par réaction (dans une optique risque) correspond à des
situations de crise où l’entreprise, dans un laps de temps court, mettra à
disposition des moyens importants afin de résorber la crise. Cela correspond
22

xxà des situations où les signaux faibles sont en général peu pris en compte,
car la vraisemblance d’occurrence du risque est alors faible. Toutefois, cette
vraisemblance augmente de telle sorte qu’à un moment le risque n’est plus
acceptable, il faut alors réagir (franchissement du seuil d’acceptabilité du
risque alors fixé par l’entreprise, dans un tel cas, il y a souvent conscience
du risque).
Le Risk Management, en permettant de faire en sorte que chacun
développe une réactivité au risque (culture commune du risque), peut
s’inscrire dans cette démarche.

- Management par anticipation : il s’agit pour l’entreprise de mettre
en place une « vigie », soit un système de surveillance et de veille visant à
traiter par des actions curatives les écarts par rapport aux processus de
sécurité définis. Des actions préventives complémentaires sont également
mises en place pour anticiper des dégradations potentielles.
La gestion globale des risques de par sa dimension d’amélioration
continue correspond davantage au management par anticipation. Un
management par anticipation permet de prendre en compte tant les ruptures
brutales/critiques que les tendances lourdes et facteurs d’inertie.

1.3. La question de l’acceptabilité des risques

Comme nous l’avons vu, gérer le risque c’est l’accepter. La question des
risques acceptables pour l’entreprise suppose donc une politique
d’acceptabilité du risque. En découlera le processus de décision et de
traitement à l’égard des risques jugés non acceptables pour l’entreprise.
Il est donc question de mettre sur pied une politique d’acceptabilité du
risque, soit la détermination de l’appétence pour le risque de l’entité (poser
des limites de risques, des seuils de risques acceptables). Cela pose encore
la question des risques que l’entreprise est prête à prendre pour mener sa
stratégie. Jusqu’où l’entreprise peut-elle aller dans la prise de risque eu
égard à sa stratégie ?

Autre question, le niveau maximum de tolérance face au risque : en
tenant compte des valeurs éthiques, de la dimension RSE (Responsabilité
Sociétale de l’Entreprise) ou encore de la stratégie de l’entreprise. Ce
niveau de tolérance dépendra des types de risques (à fort impact sur la
réputation de l’entreprise ? Sur la sécurité des biens et des personnes ?)

À noter que pour les risques liés à la vie humaine, il n’est pas question
de déterminer des seuils d’acceptabilité, il incombe néanmoins aux
dirigeants de se préparer à des évènements inacceptables que sont des pertes
humaines ou des dommages corporels (notamment dans le cadre d’une
gestion de crise).
23