Mettre en œuvre une politique de maîtrise des risques
La politique de maîtrise des risques est un document formalisé fixant les grandes orientations de l’entreprise en matière de maîtrise des risques. Il est le plus souvent validé par la direction générale de l’entreprise et/ou son conseil d’administration. Comment élaborer ce document et comment prioriser les risques ? Voici des éléments de réponse.
Définition et contours
La politique de maîtrise des risques se définit comme le document encadrant l’organisation et les objectifs de la fonction en charge de la gestion des risques et intègre les priorités de cette dernière ainsi que les moyens de faire face aux risques prioritaires[1].
Les points clés composant cette politique sont les suivants :
- définition de l’organisation de la gestion des risques dans l’entreprise, en tant que dispositif : organisation de type filière transverse de gestion des risques, organisation avec un comité des risques dédié, moyens définis y compris en termes d’équipe assurant la gestion des risques dans l’organisation ;
- définition d’un cadre d’appétence aux risques.
Il s’agit de suivre des risques plus spécifiques et de déterminer des seuils qualitatifs ou quantitatifs constituant des limites à ne pas franchir ou devant alerter en cas de franchissement. À titre d’exemple, un cadre d’appétence aux risques peut porter sur les risques financiers, sur les risques de conformité ou même encore sur certains risques opérationnels (risques de sécurité, risque logistique).
Des limites de risques formalisées et justifiées (au regard d’études de risque, de crise, d’incidents, de comparaison à d’autres entreprises) seront également proposées. La fixation d’un cadre d’appétence aux risques suppose une révision annuelle en vue de rester en cohérence avec les choix stratégiques, financiers et opérationnels de l’entreprise ;
- définition d’indicateurs clés de risques.
Ils permettent de suivre dans le temps l’évolution favorable ou défavorable de l’exposition aux risques (dégradation de la solvabilité de l’entreprise, augmentation du risque de trésorerie…) ;
- définition d’un processus d’escalade auprès de la gouvernance d’entreprise en cas d’exposition à un risque élevé ou réputé non acceptable, ou en cas de non-respect du cadre d’appétence au risque précité.
Le rôle d’une telle démarche est alors de prioriser un nombre restreint de risques, sans rechercher nécessairement l’exhaustivité dans l’identification des risques, mais en s’assurant que les risques incontournables pour l’organisation sont bien identifiés et que ceux réellement intolérables figurent dans le top 10 des risques[2].
La suite d’une telle démarche permet d’aboutir à un ensemble de questionnements portés auprès des organes de gouvernance tel qu’illustré dans le tableau 1.
Principe de proportionnalité
L’application d’une politique de maîtrise des risques est aussi une question de priorisation et de moyens.
Comme l’évoque un directeur général adjoint rencontré dans le cadre d’une mission en entreprise, « la gestion des risques n’a pas de ressources illimitées. En tant que responsable des risques, vous devez aller sur les sujets prioritaires et admettre que vous ne pourrez pas tout traiter. Il faut faire le deuil des sujets secondaires même si cela peut sembler frustrant car les métiers vous sollicitent. On préfère voir la gestion des risques sur ce qui peut coûter le plus cher à l’entreprise ou sur ce qui constitue une obligation réglementaire forte ! »
En tant que responsable des risques, vous devez aller sur les sujets prioritaires et admettre que vous ne pourrez pas tout traiter.
Cette logique suppose alors que la gestion des risques soit adaptée dans ses moyens (en effectifs équivalents temps plein, en outil, en budget des risques) aux périmètres à couvrir. Cela suppose aussi d’avoir les moyens de traiter les risques complexes, chronophages, variés auxquels la gestion des risques est confrontée.
Illustration d’une politique de maîtrise des risques face au risque de conformité
La prise de décision adaptée face au risque, formalisée dans une politique de maîtrise des risques de conformité, suppose également un système d’arbre de décision adapté à chaque risque.
Pour les risques de conformité, nous suggérons, à titre illustratif, une matrice de décision dédiée. Le tableau 2 est un exemple de matrice décisionnelle face au risque de conformité. Il détaille différents niveaux de risque :
- les risques majeurs sont ceux avec une forte probabilité de contrôle et de sanction en cas de contrôle ;
- les risques forts impliquent une plus faible probabilité d’être contrôlé mais un risque probable de sanction en cas de contrôle ;
- les risques modérés impliquent une probabilité moyenne d’être contrôlé et une sanction moins dissuasive en cas d’infraction ;
- les risques faibles portent sur des cas de figure où l’entreprise n’a que peu de chance d’être contrôlée et sanctionnée.
Comme l’évoquent certains auteurs[3], ce type de politique suppose de choisir ses priorités, y compris en matière de risque réglementaire où une entreprise peut avoir une appétence précise. Il suffit de choisir son infraction préférée : celle pour laquelle l’entreprise estime la probabilité de contrôle faible et la probabilité de sanction en cas de contrôle également faible, avec en prime certaines sanctions peu dissuasives.
Une appétence aux risques visera donc à traiter ces non-conformités à faible probabilité et à faible impact dans un second temps, en gardant les budgets de maîtrise des risques pour les réglementations avec fort risque de sanction, d’amende élevée voire de médiatisation de la sanction (infraction au RGPD, infraction aux lois sur le contrôle des concentrations par exemple).
Tableau 1. Exemple de questionnements clés associés à l’appétence aux risques
| Questions | Contribution à l’appétence aux risques |
|---|---|
| Qu’ai-je appris de mon risk manager en tant que directeur général ? | Informer la direction de l’entreprise sur des risques sous-estimés peut permettre de réviser l’appétence aux risques et ainsi éviter la propagation d’incidents non connus. Cette démarche suppose une révision dynamique de la cartographie des risques et le repérage de signaux faibles. |
| Les principales craintes de la direction générale face aux risques sont-elles justifiées ? | Les analyses de risques, audits et contrôles réalisés doivent permettre d’éviter de surestimer certains risques et donc de réviser l’appétence aux risques en conséquence. Cela permet de ne pas dévier dans une approche de type principe de précaution pour des risques de moindre importance. |
| La gouvernance d’entreprise est-elle informée suffisamment rapidement sur ce qui dysfonctionne dans l’entreprise ? | L’appétence aux risques doit pouvoir être fiable et actualisée. Le rôle de la démarche de gestion des risques est de pouvoir alerter rapidement la gouvernance en cas de dérive de certains risques. L’appétence aux risques s’appuie sur un dispositif d’informations régulières sur les risques, allant au-delà d’une révision annuelle de la cartographie des risques. Elle suggère un pilotage dynamique et des comités dédiés à la thématique « gestion des risques ». |
| L’entreprise est-elle capable de réagir suffisamment vite en cas de dérive du profil de risque ? | L’appétence aux risques a-t-elle conduit à préparer des actions du management de l’entreprise ? Les mesures face à différents scénarios de risques majeurs sont-elles définies, organisées et financées ? |
| L’entreprise a-t-elle une compréhension des risques associés au facteur humain ? | Définir les erreurs admises, les défauts de qualité de données admis, ou par exemple les décisions devant être collégiales ou non afin de limiter les impacts majeurs voire stratégiques issus d’une mauvaise décision ou absence de décision consécutive à l’intervention du jugement humain. Mise en place d’une gouvernance des risques (comité d’audit, comité des risques). |
Tableau 2. Exemple de matrice de décision face au risque de conformité
| Probabilité de sanction | ||||
|---|---|---|---|---|
| Majeure | ||||
| Forte | Infraction à la réglementation RGPD | |||
| Modérée | Infraction en matière de protection de la clientèle | Infraction à la réglementation en matière de concurrence | ||
| Faible | ||||
| Faible | Modérée | Forte | Majeure | |
| Probabilité de contrôle | ||||
[1] Le coût du risque, un enjeu majeur pour l’entreprise, J.-D. Darsa et N. Dufour, Gereso, 2014
[2] Norme ISO 31000 : 2018 – Management du risque – Lignes directrices – Mise en œuvre opérationnelle, Revue Techniques de l’Ingénieur, Réf : SE1022 v1, N. Dufour, 2020
[3] Dynamique normative. Arbitrer et négocier la place de la norme dans l’organisation, Laurent Cappelletti, Benoît Pige, Véronique Zardet, EMS Éditions, 2015
Article extrait du n° 594 de Face au Risque : « Éviter les chutes » (juillet-août 2023).
Les plus lus…
Publiée au JO le 23 avril 2024, la loi 2024-364 vise à transposer un grand nombre de dispositions adoptées…
Près de 600 000 accidents du travail et 789 décès ont été déclarés en 2022 en France. Devant l’importance…
L’Agence nationale de la sécurité des systèmes d'information (Anssi) a sollicité l’expertise du Cesin dans le cadre de la transposition…
Devant être transposée au plus tard en octobre 2024 en France, la directive européenne NIS 2 marque un changement…
L’absentéisme pour maladie diminue dans les grandes entreprises mais augmente dans les TPE. C’est le constat du baromètre Malakoff Humanis…
Un avis sur les méthodes normalisées de référence pour les mesures de l'air, l'eau et les sols dans les…
