(BFI) – Ainsi, dans le cadre de son activité, toute entreprise doit faire face à des risques qu’on peut classer en plusieurs catégories : risque stratégique, risque de crédit, risque de taux, risque de liquidité, risque de contrepartie, risque opérationnel, risque de change… Dans ce contexte d’exposition, les Risk Managers s’accordent à dire qu’une bonne gestion des risques ne s’improvise pas. Elle nécessite la mise en place d’une démarche méthodique à la base de laquelle on trouve la cartographie des risques. De façon schématique, on peut résumer la démarche de maîtrise des risques en 4 grandes actions : connaître – gérer – piloter – optimiser.
« Connaître les risques »
Repose sur l’élaboration d’une cartographie des risques. Celle-ci regroupe les principales menaces auxquelles une entreprise est exposée dans le cadre de son activité et sur l’ensemble de sa chaine de valeur. Elles sont déterminées par une approche combinée d’écoute des craintes de la direction (top-down) et de diagnostic des menaces inhérentes à chaque processus opérationnel par entretien des équipes (bottom-up). Chacune de ces menaces, ou risques, sont hiérarchisés en termes de gravité (probabilité d’occurrence x impact) qui traduit l’exposition au risque en fonction de l’ensemble des éléments de maîtrise mis en place ou non, eux-mêmes évalués selon un niveau d’efficacité. À noter qu’une cartographie des risques utile comprend un nombre limité de risques (importance de la capacité de suivi) et est très régulièrement mise à jour afin de pouvoir suivre et anticiper l’évolution de l’exposition de l’entreprise. Elle est notamment enrichie à l’appui du dispositif de collecte des incidents en place et sur l’exploitation du résultat des contrôles permanents, des audits (internes et externes), et des éléments à enjeu issus d’indispensables exercices de veille réglementaire et concurrentielle.
« Gérer les risques »
C’est définir l’attitude à adopter face aux différents risques au regard de l’appétence au risque du management de l’entreprise et ses priorités stratégiques. Cette attitude met en jeu différentes techniques de traitement :
• la suppression ou l’évitement, par la sortie d’un marché, d’une branche d’activité (cessation de l’activité à l’origine du risque) ;
• la réduction, par la revue des processus internes et la mise en place d’un dispositif de maîtrise des risques faisant passer le risque brut à un risque net en rapport avec l’appétence au risque (on prend les mesures destinées à réduire la fréquence d’apparition ou l’impact du risque) ;
• le transfert, par la souscription d’un contrat d’assurance ou même le recours à la sous-traitance (on réduit la fréquence ou l’impact du risque en le transférant ou en le partageant);
• l’acceptation, dans le cas où le risque évalué n’a pas franchi le seuil fixé par l’appétence au risque (le risque est identifié et accepté sans autre mesure en raison de sa fréquence et son impact jugés faibles).
À noter que toutes ces techniques d’atténuation des risques sont mises en œuvre par les entreprises. S’agissant des éléments de maîtrise, ils peuvent être préventifs (habilitations), curatifs, ou prédictifs (KPI, KRI) selon qu’ils agissent sur les causes du risque (réduction de la fréquence de survenance), sur ses conséquences (réduction de l’impact), ou sur la capacité de l’entreprise à anticiper sa survenance.
« Piloter les risques »
C’est suivre l’évolution de l’exposition et mesurer la qualité des éléments de maitrise des risques au moyen d’indicateurs, de contrôles, d’une supervision de l’avancement des plans d’actions et d’un processus normé de collecte des incidents opérationnels. Ici encore, la régularité de l’exercice et la priorisation sur les risques dits « critiques », i.e. les risques présentant la plus grande gravité et probabilité d’occurrence.
« Optimiser les risques »
C’est inscrire le processus de gestion des risques dans une courbe d’apprentissage qui permet via les itérations et les retours d’expérience d’adapter et améliorer en continu les dispositifs de maitrise et focaliser ses efforts sur les enjeux clés. Optimiser c’est également apprécier les décisions de déploiement de plans d’actions destinés à sécuriser l’activité à la lumière d’une évaluation systématique « coûts-bénéfices ». Cette démarche est gage d’efficacité car à défaut, les mesures décidées pourraient être contre-productives en générant des dépenses supplémentaires à l’entreprise. Enfin, soulignons que la gestion des risques n’est pas une opération ponctuelle ou un projet mais une démarche continue qui est efficace quand elle se traduit par des réflexes et pratiques que chaque collaborateur doit acquérir et déployer dans ses activités quotidiennes. Le top management devant donner le ton et faire preuve d’exemplarité en la matière.
Relayée à tous les niveaux de l’organisation, la maîtrise des risques dépasse alors le simple cadre réglementaire, pour devenir un instrument de pilotage de la performance. Elle devient ainsi un véritable levier concurrentiel en contribuant à améliorer la gouvernance de l’entreprise, à assurer la conformité des opérations, à optimiser la qualité d’exécution des services fournis aux clients et à accroitre la capacité de résistance des entreprises à des crises futures.
L’année 2020 nous a rappelé que la gestion de sa résilience par l’entreprise est devenue cruciale.
Notre environnement est VICA, à savoir : Volatile, Incertain, Complexe et Ambigu.
À regarder rétrospectivement l’année 2020, il apparait que cette expression n’a jamais été aussi vraie ! Le monde a été « volatile », à commencer par l’évolution des contaminations (logique de vague), des marchés financiers (chahutés entre l’espoir des vaccins et la crainte des confinements) ou encore le prix de certaines matières premières depuis 1 an. L’année a livré son lot d’incertitudes avec des questions pas forcément résolues sur les causes et origines du covid-19, l’efficacité réelle des vaccins, les modalités et l’échéance d’un retour à une vie normale… La crise sanitaire est marquée par une immense complexité où il faut composer avec les mutations du virus, sa présupposée saisonnalité, des différentiels de vulnérabilité au sein des populations et arbitrer entre les enjeux économiques, sanitaires et sociétaux. Enfin, l’ambigüité de la situation est notamment à relever dans le fait que pour combattre le virus avec les mêmes armes, les différents pays ont été amenés à adopter des stratégies différentes avec plus ou moins de succès car il n’y a pas de précédent. Cela dit, il apparait que dans un tel monde et à la lumière des conséquences et bouleversements majeurs induits par la crise sanitaire de la covid-19, l’enjeu de résilience devient clé.
MAIS QU’ENTEND-ON PAR RÉSILIENCE ?
La résilience est un terme emprunté à la physique qui définit la capacité de résistance d’un corps ou d’un matériau à un choc ou à une déformation. Par analogie, et adapté à l’entreprise, la résilience traduit la capacité d’une organisation à s’adapter après la survenance d’un incident ou d’une crise majeure. Louis Pasteur, savant français connu pour avoir inventé le vaccin, disait : « le hasard ne favorise que les esprits préparés ». Cette affirmation a pris tout son sens en 2020 dans un monde déjà incertain et bouleversé par la crise sanitaire et les mesures gouvernementales de confinement pour y faire face. Dans ce contexte, les entreprises qui ont le mieux résisté à la crise sont celles qui soit avaient une culture de télétravail préexistante (et avaient anticipé sur l’importance de la digitalisation), soit disposaient de plans de continuité d’activité suffisamment robustes et déjà testés pour pouvoir être adaptés. Le passage en télétravail ayant par ailleurs accru le risque cyber, le niveau d’acculturation à la sécurité des systèmes d’information et le dispositif de monitoring des risques SSI se sont également révélés être un facteur de succès des mesures de continuité. Ce sont donc des entreprises qui avaient établi les fondamentaux d’un dispositif de résilience organisationnelle. Ajoutons comme autre enseignement de la crise que la résilience ne se construit pas seule. L’entreprise évolue dans un écosystème dont elle en constitue l’un des maillons plus ou moins fort. Elle doit donc étendre son dispositif de Risk Management à ses parties prenantes (partenaires, fournisseurs, sous-traitants) afin de correctement appréhender et monitorer leur qualité de service, leur niveau de conformité, l’efficacité de leur dispositif de gestion des risques ainsi que l’adéquation de leur plan de continuité d’activité. Dans cette approche holistique du Risk Management, la résilience se construit en lien avec ses partenaires. C’est là un investissement au service du développement et la pérennité des activités de l’entreprise.
L’expansion à l’international et en Afrique requiert une gestion extrêmement rigoureuse des risques.
« Entreprendre c’est prendre des risques ».
Aujourd’hui, il est aisé de compléter cette célèbre formule du Risk Management en soulignant que plus les stratégies s’accompagneront de prises de risques, plus le sujet de la maîtrise des risques s’élèvera au rang des enjeux stratégiques. La décision de dépasser son marché domestique pour s’implanter à l’international et qui plus est en Afrique, relève d’une stratégie de conquête et d’opportunité qui s’accompagne nécessairement de nouveaux risques. Ainsi, dans le cadre de l’internationalisation de leurs activités, les entreprises ont généralement à composer avec plusieurs risques tels que le risque de change, le risque de crédit, les risques liés à la propriété intellectuelle, les risques de transport, les risques liés à l’éthique, etc. En Afrique, en complément de ces risques qu’on pourrait qualifier de classiques, il convient d’intégrer d’autres menaces à correctement mesurer et appréhender. On peut citer :
• Les risques politiques (guerre, instabilité sociale, coup d’état, faillite de l’état…etc.)
• Les risques d’instabilités réglementaires et fiscales
• Les risques sociétaux (divergences culturelles, corruptions, pratique des affaires avec les conséquences en termes d’image et de réputation)
• Les risques liés au transport et à la logistique
• Le risque terroriste dans certaines régions
Plus concrètement, si on s’intéresse à la vision des parties prenantes des entreprises opérant en Afrique et au Moyen-Orient (cf. baromètre AGCS), arrivent en premières positions des menaces les plus redoutées en 2021 : les pandémies, l’interruption d’activité, les incidents cyber, les incendies et explosions, les évolutions macroéconomiques. À noter, que figurent hors de ce top 5, deux risques communément envisagés par des investisseurs étrangers décidant de s’implanter en Afrique, à savoir le risque politique (6e du classement) et le risque réglementaire (8e). En Afrique, les entreprises, et notamment celles qui sont implantées dans plusieurs pays, exercent dans un environnement où la volatilité, l’incertitude, la complexité et l’ambiguïté semblent décuplés et stressent en permanence leurs business models. La mise en place d’une démarche de gestion des risques adaptée et rigoureuse y est indispensable pour se développer, créer de la valeur et assurer sa pérennité. De même, et aux mêmes fins, le déploiement de dispositifs de résilience (gestion de crises, PCA-PCI, SSI) robustes paraissent être des éléments « indispensables » au succès durable des entreprises qui opèrent en Afrique. À ce titre, il est intéressant de voir que dans le top 3 susmentionnés des risques d’entreprise en Afrique en 2021, n’apparaissent que des situations de nature à challenger, bien plus que leur dispositif de gestion des risques, leur capacité de résilience.
« Résilience, agilité et efficacité » sont les drivers d’un dispositif de gouvernance des risques optimisé.
Dans ce contexte où les entreprises sont constamment confrontées à des risques, il apparait évident qu’il n’y a point de salut sans gouvernance globale des risques. Mais cette gouvernance des risques doit être adaptée et déclinée selon le contexte de chaque entreprise. Pour ASCOMA, elle doit fondamentalement reposer sur les principes de résilience, agilité et efficacité.
Résilience car il s’agit de construire et garantir la continuité d’activité de l’entreprise ainsi que sa capacité à faire face à des crises et chocs extrêmes en continuant à assurer un minimum de service client et réussir à se transformer ou retrouver rapidement son niveau de performance initial.
Par agilité, on entend à la fois une gestion des risques en mode « agile » (i.e itérative, pluridisciplinaire et basée sur l’amélioration continue), souple et adaptative ainsi qu’une gestion des risques proactive parce qu’elle s’attache également à la gestion des risques positifs ou opportunités.
Enfin, l’efficacité dans la gestion des risques renvoie à la nécessité de faire simple, de cibler les risques majeurs et de focaliser l’attention sur les éléments sécurisant les principaux enjeux business de l’entreprise. Il s’agit aussi d’adopter une approche « bénéfice/risques » systématique dans l’évaluation des plans de maitrise à déployer.
Chez Ascoma nous sommes convaincus que c’est une approche de gestion des risques cumulant ces 3 principes qui permet de faire la différence, et notamment dépasser les enjeux de conformité réglementaire pour permettre à l’entreprise de créer de la valeur et accroitre durablement sa performance.
Par Mohamed Khalifeh – Directeur Général et Tchanqué Fred – Directeur Audit, Risques et Conformité du Groupe Ascoma
