Tribune : Back to basics (1)

Solvabilité 2, Bâle 2 et les directives de l'Autorité des marchés financiers (AMF) ont été les détonateurs de la mise en place des premiers dispositifs de gestion des risques. L'approche alors privilégiée, impulsée par la cohorte des cabinets de conseil, fut très rapidement réglementaire, au sens de la mise en conformité de leur organisation. Cherchant l'exemplarité à tout prix dans ce domaine, nombreux ont été les dispositifs déployés qui ont oublié les fondements même de la réalité économique des organisations concernées, jusqu'à faire naître un hiatus entre la sphère des affaires et la sphère réglementaire. Dès lors le be compliant (être conforme) l'emportait ou s'opposait au be efficient (être performant).

Business or not business (2)...

Dans ces projets placés sous l'angle réglementaire, les directions business [opérationnelles] ont souvent été peu associées, favorisant le cloisonnement entre gestion des risques et stratégie. Or, l'un des risques majeurs pour une organisation n'est-il pas le risque de ne pas atteindre ses objectifs stratégiques ? Se focaliser sur la seule mise en conformité réglementaire n'est-il pas réducteur ?

L'approche du tout-réglementaire a fait perdre de vue l'essentiel : le business [l'activité]. Il est aisé de comprendre pourquoi, aujourd'hui, les dirigeants d'entreprise sont réceptifs à un discours sur la gestion des risques simple, pragmatique, en cohérence avec leur taille et leurs valeurs, à l'inverse des « méthodologies sur étagère » qu'on leur servait jusqu'alors.

Un gadget de consultants ?

La plupart des cartographies des risques, réalisées le plus souvent avec des cabinets de conseil, offrent une vue des risques liée aux opérations. Le plus souvent, leur niveau de granularité est tel qu'en faire l'analyse, le pilotage, ou même simplement l'actualisation devient un vrai casse-tête. De plus, ces mêmes cabinets n'ont souvent pas veillé à l'importance de transmettre leur savoir-faire aux équipes internes, créant ainsi un phénomène de dépendance et faisant de la cartographie des risques un outil intimiste, mal maîtrisé et assez rapidement obsolète. Si ces projets ont permis d'acquérir un premier niveau de modélisation des risques, ils n'ont pas su proposer aux décideurs une vision globale et stratégique du profil de risque de leur entreprise.

À l'écoute des dirigeants

Préoccupons-nous de l'essentiel, revenons aux fondamentaux, back to basics, tel est notre parti pris. Identifions les risques qui mettent en péril la réalisation de la stratégie de l'entreprise ou qui hypothèquent son avenir. Ces risques peuvent être aussi appelés « risques d'insomnie » comme l'a suggéré un client, en ce sens qu'ils sont au coeur des préoccupations de la direction générale et les « empêchent de dormir ». L'identification des risques d'insomnie est une démarche résolument top-down [descendante], qui n'a pas, cette fois, pour objectif de lister les centaines de risques de non-qualité logés au plus profond de chacun des processus de l'organisation.

L'approche par les risques d'insomnie, en totale adéquation avec l'identité de l'entreprise et la vision de ses dirigeants, apporte la dimension qui manquait jusqu'ici. Les décideurs disposent alors d'un outil simple autour duquel les membres du « comex » [comité exécutif] peuvent bâtir une réflexion stratégique en lien avec le business, au regard de laquelle pourra alors être définie une stratégie de contrôle interne efficace et efficiente. Par cette approche innovante, il devient désormais possible d'aborder avec la direction générale ses vraies préoccupations.

De l'efficacité à la rentabilité

La maturité relative acquise par les dispositifs de gestion des risques et les hommes qui les font vivre fait naître la question de la rentabilité des dispositifs en place. Nombreux sont ceux qui se sont aventurés, en vain, à vouloir démontrer le retour sur investissement de tels projets de place. D'autres ont tenté de démontrer ce que ces dispositifs avaient permis d'éviter, mais, là encore, l'exercice de style s'est montré peu probant. La rentabilité des dispositifs réside simplement dans leur efficience et leur efficacité. Ces dispositifs ne sont rentables que s'ils se recentrent sur leur fonction majeure : assurer la continuité de l'activité et accompagner le processus de création de valeur.

Si les outils sont multiples sur le marché, il n'en demeure pas moins que leur couverture fonctionnelle est sensiblement équivalente. Le choix d'un outil dépend avant tout de la méthodologie. Certaines entreprises vont privilégier la vision « process » (outils orientés modélisation de processus), d'autres la vision « risques » (outils orientés gestion des risques). Il est important de façonner ces outils plutôt que d'attendre que les outils façonnent l'organisation et les méthodologies.

Le défi n'est définitivement pas seulement réglementaire, il est résolument business et fondamentalement organisationnel. Il réside dans la capacité de chacun à trouver ce juste équilibre entre la vision stratégique, sa déclinaison opérationnelle et son industrialisation, donc, son outillage.

1. Retour aux fondamentaux.

2. Ce qui concerne les affaires et le reste.

FRÉDÉRIC BERNARD, DIRECTEUR GÉNÉRAL ADJOINT DE LA MUTUELLE SANTÉ UMC

« Faire converger les préoccupations opérationnelles et stratégiques »

• Utilisez-vous la cartographie des risques opérationnels comme outil de pilotage stratégique du profil de risque de votre entreprise ?

« Il ne fait aucun doute que le contexte économique de concurrence accrue et de renforcement permanent des dispositifs réglementaires comme Solvabilité 2 rend nécessaire l'adaptation continue de notre mutuelle à l'environnement. Dans ce contexte, maîtriser les risques devient une dimension indispensable du management et un enjeu majeur de développement. C'est pourquoi nous nous sommes dotés de dispositifs destinés à maîtriser les risques afin d'assurer l'atteinte de nos objectifs, d'améliorer notre performance et de satisfaire aux exigences réglementaires. Pour être efficace, cette approche se doit d'être progressive et intégrée, afin de couvrir l'ensemble du périmètre de la mutuelle. Elle se doit aussi de faire converger les préoccupations du top management [direction générale NDLR] et celles des opérationnels. En ce sens, faire converger l'approche traditionnelle de cartographie des risques des opérationnels et un mapping [cartographie ou représentation] plus stratégique, comme celle des "risques d'insomnie", me semble être le bon moyen de disposer d'un dispositif complet et efficace. »

ISABELLE PECOU, DG DU GROUPE DE PROTECTION SOCIALE B2V

« L'approche "risques d'insomnie" renforce la diffusion de la culture de contrôle »

• En quoi l'approche risques d'insomnie vous semble-t-elle en adéquation avec vos besoins de pilotage stratégique ?

« Nous avons récemment finalisé la structuration de notre plan stratégique 2011-2015. Adopter l'approche "par le haut" pour l'identification des risques me semble être le bon moment pour notre organisation, puisqu'elle va nous permettre de mieux suivre la réalisation de notre stratégie. Nous avons déjà mis en place une démarche "risque" fondée sur les processus, qui nous permet, au quotidien, de piloter leur performance opérationnelle et de tendre vers l'amélioration continue de la qualité de nos services. Néanmoins, il convient aujourd'hui, au regard de notre nouvelle feuille de route stratégique, de revisiter cette démarche et de compléter nos acquis par une réflexion plus stratégique, centrée sur les risques qui sont au coeur des préoccupations de mes directeurs. En ce sens, l'approche "risques d'insomnie" qui m'a été proposée m'a semblé intéressante et opportune. Je vois également dans cette approche, qui "vise à l'essentiel", l'occasion de renforcer la diffusion de la culture risque et contrôle auprès de mes directeurs, qui y sont plus sensibles qu'à une approche risque trop opérationnelle. »