Le management des risques liés à l’activité

Communication et Information | 13 minutes of reading

L’Audit interne et le management des risques

Le management des risques liés à l’activité

3.4) Le management des risques liés à l’activité

Le processus de management des risques comprend deux parties :

  • L’analyse ou l’évaluation des risques, qui inclut l’identification, l’estimation et l’évaluation des risques
  • Le management des risques proprement dit, qui englobe l’élaboration des plans prévisionnels ainsi que les opérations de suivi et de contrôle fondées sur les informations obtenues dans le cadre de l’analyse des risques.

Une distinction peut être établie entre la maîtrise ou le management des risques (Management of Risks), qui couvre l’ensemble du processus d’analyse et de management des risques, et le management des risques proprement dit (Risk Management) qui correspond à une étape distincte du processus et qui consiste à gérer les risques préalablement identifiés.

Dans le monde d’aujourd’hui, en constante évolution, le changement est endémique et il s’accompagne d’incertitudes et de risques inhérents à l’inconnu. Les opportunités aussi se produisent avec le changement.

En fait, les risques et les opportunités sont liés. Il appartient aux dirigeants de décider si les avantages potentiels que présentent les opportunités sont suffisants pour justifier l’acceptation des risques correspondants.

Les dirigeants efficaces s’interrogent sur l’origine des risques et sur leur impact éventuel pour l’entreprise, puis ils s’efforcent de les réduire grâce à une gestion dynamique. Ils savent que la réduction des risques ou de leur impact a pour effet d’accroître le potentiel de rentabilité et les chances de réussite.

Le risque est perçu comme un facteur qui, sous réserve d’un management et d’un contrôle efficaces, permet aux profits latents liés aux opportunités de se concrétiser.

Le management des risques suit un processus similaire, par exemple, à la gestion financière. On peut l’utiliser de façon dynamique afin de diminuer les risques (au lieu des coûts) en cherchant à anticiper les événements défavorables et en s’efforçant activement de minimiser les chances qu’ils se produisent, ou de réduire leur impact.

L’élaboration d’un plan prévisionnel est l’une des pierres angulaires du processus de management. On admet habituellement, par hypothèse, que le plan reflète ce que les gens vont faire et que si le plan est bien conçu, si l’on s’y conforme et s’il est exécuté avec efficacité, les objectifs seront atteints.

Le vrai management des risques commence par la reconnaissance des incertitudes que comporte le plan lui-même. Les vraies raisons d’être d’un plan prévisionnel sont les suivantes :

  • Il sert de support aux prises de décisions ultérieures et aux correctifs apportés aux activités concernées
  • L’élaboration d’un plan prévisionnel est le meilleur moyen de s’assurer que, selon toute vraisemblance, les activités seront exercées selon les modalités les plus efficaces.
  • Il facilite l’identification des risques.

Le plan prévisionnel permet aux dirigeants d’identifier et de contrôler certains des éléments retenus, et notamment ceux qui risquent de mal se dérouler ou d’empêcher la réalisation des prévisions. Les dirigeants ne doivent pas chercher à tout prix à se conformer au plan alors que c’est impossible.

Ils doivent plutôt s’efforcer d’anticiper et de contrôler les éléments de nature à compromettre la réalisation des objectifs.

En fait, le processus d’élaboration des prévisions est plus important que le strict respect du plan. Car le rôle de ce dernier est de servir en permanence de point de repère, ou de référence, à travers les fluctuations et les aléas de l’activité.

Le plan, et c’est en ce sens qu’il est important, décrit le « projet de l’entreprise ». Il constitue la référence qu’il conviendra d’utiliser pour évaluer les résultats réels et comparer les situations dont on pouvait raisonnablement prévoir la réalisation, à celles qui se sont effectivement réalisées.

Ce principe est fondamental dans le cadre de toute approche fondée sur les risques.

  • La mise en place d’un processus de management des risques

Le management des risques ne peut être efficace que s’il s’inscrit dans le cadre d’une infrastructure ou d’un dispositif mis en place au niveau de l’entreprise. A défaut, les risques ne peuvent être analysés, divulgués, comparés et gérés d’une façon cohérente et efficace à tous les niveaux de l’entreprise prise dans son ensemble.

Les éléments clés d’un dispositif de management des risques sont les suivants :

  • Des procédures et des normes claires et cohérentes en matière de management des risques, comprenant une définition claire des types et des niveaux de risques qui sont considérés comme étant inacceptables.

Pour qu’une approche dynamique et fondée sur le risque puisse être adoptée de façon cohérente à travers l’entreprise, il faut que le conseil d’administration et les cadres dirigeants définissent une procédure de management des risques claire et cohérente.

  • Des forums adaptés à la diffusion d’informations sur les risques et à leur analyse. Au plus haut niveau de l’entreprise, les comités d’audit peuvent, le cas échéant, constituer des centres de rencontre essentiels pour ce type de débat. Mais il est tout aussi important que le risque figure à l’ordre du jour des réunions de la direction.

Dans les domaines qui comportent des risques et des incertitudes considérables, tels que la gestion stratégique ou la gestion de projets, le risque doit être traité comme une question d’importance majeure et doit figurer en tête de l’ordre du jour. Dans les autres domaines, le risque ne doit pas être oublié.

  • Une définition claire des responsabilités et des pouvoirs en matière d’acceptation et de management des risques, et leur attribution à des personnes clés. Les procédures de délégation des responsabilités et des pouvoirs liés au management des risques doivent être clairement définies au sein de l’entreprise.

Elles doivent reposer sur le concept de « propriété » ou de responsabilité liée aux risques (« risk ownership ») .

  • Des procédures et des programmes de management des risques adéquats, tenant compte de la culture de l’entreprise, des modes de gestion et du niveau d’expérience du management des risques acquis au sein de l’entreprise.

Ces programmes et ces procédures peuvent comporter des mesures visant à renforcer la sensibilisation et la formation aux risques, à modifier les systèmes de gestion afin de créer une culture propice à la mise en place d’un management fondé sur les risques, ou simplement à dispenser une formation sur les techniques et les outils standard destinés à être utilisés dans toute l’entreprise.

Un dispositif adéquat de suivi et de revue des processus de management des risques, permettant notamment de tirer en permanence les enseignements de l’expérience acquise au sein de l’entreprise.

Il convient d’établir une documentation appropriée sur les risques, et en particulier sur le raisonnement et les hypothèses qui sous-tendent les décisions clés, ainsi que sur les risques significatifs qui se sont réellement produits.

Cette documentation, qui est indispensable, proviendra dans bien des cas des livres ou registres habituellement tenus dans l’entreprise. Les décisions et les événements importants concernant les risques doivent, si nécessaire, être communiqués jusqu’au sommet de la hiérarchie.

L’application des procédures de management des risques doit être vérifiée dans le cadre du processus de gestion proprement dit, et elle doit en outre faire l’objet d’un suivi effectué par des personnes indépendantes de ce processus.

Enfin, l’entreprise doit s’assurer qu’elle tire en permanence les enseignements des expériences acquises.

Le management des risques doit être pratiqué dans toute l’entreprise, du haut en bas de la hiérarchie. On rencontre différents types de risques, à des degrés divers, à différents niveaux de l’entreprise. Ces risques varient selon les fonctions assumées :

  • Au niveau du siège social, les principales préoccupations concernent l’évolution et les objectifs de l’entreprise ainsi que la stratégie adoptée pour y parvenir. A ce niveau, les prises de décision ont lieu dans un contexte d’incertitudes majeures.
  • Au niveau des services commerciaux ou des services responsables de la mise en place de programmes, l’activité, qui consiste à transformer la stratégie en plans d’actions tactiques, entraîne des conflits d’intérêts, des problèmes liés à l’octroi d’avantages et à des changements non demandés, etc.
  • Au niveau de la gestion de projets, les plans tactiques sont mis en place par le biais d’activités de développement. Les risques résultent du caractère unique de chaque nouveau projet et des incertitudes qui l’entourent.
  • La gestion opérationnelle consiste notamment à exécuter quotidiennement les plans des dirigeants, grâce à l’exploitation continue des systèmes et des services en place, et à livrer les produits et les services requis. Les facteurs qui influent sur la qualité et sur les dates de livraison sont souvent critiques et les défaillances fréquentes.

Les risques interagissent les uns sur les autres, tant sur le plan vertical que sur le plan horizontal, au sein des entreprises.

Des réactions en chaîne peuvent se déclencher, souvent à travers tout le processus de gestion, et les risques provenant d’une activité ou d’un domaine donnés peuvent alors avoir une incidence sur une autre activité apparemment sans rapport avec la précédente.

Des risques relativement peu importants peuvent avoir des conséquences bien plus grandes soit en raison de leurs effets cumulés à long terme soit en raison de phénomènes d’interdépendance (« effet de dominos ») .

Pour que les risques puissent être gérés correctement dans toute l’entreprise, il est indispensable que les flux d’informations et de communication soient efficaces.

Il est nécessaire d’adopter une approche commune pour permettre un management cohérent du large éventail des risques auxquels les entreprises sont exposées, à divers niveaux, et une communication efficace entre les membres du personnel provenant de différents horizons.

Pour déterminer si les risques sont acceptables, il existe principalement trois approches différentes. Une première approche est fondée sur le rapport coûts / avantages, qui consiste à comparer les avantages obtenus, en termes de réduction des risques, aux coûts des mesures à mettre en place.

Une seconde approche est fondée sur l’équité, qui repose sur le principe de l’existence d’un droit absolu à certains seuils de protection.

Le management des risques liés à l’activité

Il peut s’agir, à titre d’exemple, de seuils maxima d’exposition aux radiations ou à d’autres substances dangereuses. La troisième approche est mixte, c’est-à-dire on cherche à maximiser les points forts et à minimiser les points faibles des deux approches ci-dessus.

Le meilleur exemple connu est celui de l’approche retenue par les cadres des organismes de santé et de sécurité en matière de tolérance des risques, dont les grands principes sont résumés succinctement à l’annexe 3.

Pour l’IFACI, il convient de se rapprocher des quatre composantes du risque qui sont :

  • L’existence d’un risque potentiel, d’un danger ou d’une menace
  • La probabilité qu’un ou plusieurs événement(s) ou condition(s) non voulus se réalisent
  • Les conséquences ou l’impact de ces événements ou conditions sur l’entreprise
  • L’exposition aux risques qui est généralement définie comme une fonction de la probabilité que ces événements ou conditions se réalisent et de leur impact potentiel (c’est-à-dire comme le produit impact x probabilité) .

L’évaluation de l’impact sur une échelle d’impact indiquant le niveau de gravité des conséquences d’un risque multipliée par la probabilité d’occurrence de ce risque détermine si le risque est acceptable ou non.

En règle générale, l’évaluation de l’impact des risques liés à l’activité repose sur l’un des critères suivants, ou sur plusieurs d’entre eux : les coûts, les délais, la qualité, les questions de santé et de sécurité, la confidentialité et le caractère sensible des informations, l’impact sur l’environnement, l’image de marque et les répercussions « politiques », l’éthique.

  • Le cycle de management des risques

Le management des risques suit un processus continu et répétitif. Il doit être intégré dans le processus de gestion dont il constitue un élément à part entière, et non un élément complémentaire qui vient s’y greffer et que l’on peut oublier.

Le cycle de management des risques comprend :

  • L’analyse du contexte et des perspectives
  • L’identification des risques et la constitution d’une documentation sur les risques
  • L’analyse des risques, leur quantification et leur classement par nature
  • L’évaluation des risques et la mise en œuvre de modèles
  • La mise au point de stratégies permettent d’atténuer ou de maîtriser les risques
  • L’obtention de ressources et la désignation de responsables
  • La réduction, la compensation et / ou l’optimisation des risques
  • Le suivi et la revue des risques.

Le cycle comprend deux phases principales qui consistent à bien identifier les risques les plus importants et à s’assurer que des stratégies sont bien en place pour les gérer, ce qui implique de bien comprendre qui peut agir, et comment, sur chaque risque.

L’analyse et le management des risques sont donc, par nature, interdépendants, et constituent deux aspects distincts du même processus.

L’analyse des risques correspond aux quatre premières étapes du cycle. En pratique, les processus d’identification, d’analyse et d’évaluation des risques se chevauchent et comportent généralement un grand nombre de tâches répétitives.

L’éventail des méthodes et des techniques qui peuvent être utilisées est large. Il est important que les méthodes et les techniques d’analyse retenues soient parfaitement adaptées à la situation.

En matière de management des risques, il est primordial d’adopter les stratégies les mieux appropriées afin d’atténuer ou de maîtriser les risques par divers moyens. Afin d’illustrer chacun des moyens proposés, partons d’une situation empruntée à la vie courante.

Imaginons un cadre d’une entreprise qui se rend au travail en voiture, l’entreprise se trouvant à plusieurs kilomètres de son domicile. Se déplacer en voiture présente bien entendu des risques d’accident que l’on peut chercher à maîtriser par l’un des moyens suivants :

  • Eviter le risque en suggérant des mesures alternatives (prendre le train plutôt que la voiture)
  • Eliminer la ou les cause(s) du risque (déménager afin d’habiter en face de son lieu de travail)
  • Réduire les chances que le risque se matérialise (brider sa voiture, c’est-à-dire en réduire la vitesse)
  • Réduire les conséquences directes du risque (en mettant sa ceinture de sécurité, en se munissant d’une roue de secours)
  • Minimiser son impact sur l’activité de l’entreprise (en ayant prévu son remplacement par un collègue tenu en permanence au courant des dossiers et des missions du cadre)
  • Transférer le risque (par le télétravail, ce qui permet au cadre de travailler sans se déplacer)
  • Lancer de nouvelles recherches afin de recueillir des informations complémentaires avant de prendre une décision définitive (prise d’informations sur la météo, l’état du trafic avant de partir, révision régulière de la voiture)
  • Ou accepter le risque s’il s’avère incontournable (le cadre risque son licenciement s’il ne se rend pas au bureau) .

La sensibilisation aux risques et la communication constituent des éléments clés de l’ensemble du processus, car elles permettent de faire circuler l’information et d’agir à chaque étape.

Il faut que tous les dirigeants et tous les membres du personnel soient informés des risques potentiels et qu’ils soient en mesure de communiquer entre eux, d’une manière efficace, à ce sujet.

Il est primordial de tirer les enseignements de l’expérience acquise et d’apporter en permanence des améliorations durant tout le processus.

A cet effet, il convient d’analyser les documents de la société relatifs aux risques et d’en tirer les enseignements, de valider les hypothèses qui sous-tendent l’analyse et le management des risques et de s’assurer qu’elles demeurent valables, d’actualiser constamment les modèles et les analyses de l’entreprise, afin de tenir compte de l’expérience acquise, des progrès accomplis sur le plan des connaissances et de la technologie, et de toute autre évolution ainsi que de former le personnel aux meilleures pratiques et aux techniques les plus modernes.

Les principaux effets positifs du management des risques sont les suivants :

  • Il crée un environnement dans lequel les risques liés à l’activité sont acceptés sciemment et en connaissance de cause.
  • Il entraîne une amélioration du processus décisionnel, et ce à tous les niveaux de l’entreprise.
  • Il favorise l’instauration d’une culture d’entreprise propice à l’amélioration continue des processus, à l’ouverture d’esprit et à l’utilisation efficace des connaissances et des compétences.
  • Il accroît la rentabilité grâce à un meilleur management des risques et à la réduction des dépenses relatives aux risques.
  • Il permet de bien comprendre la relation qui existe entre les risques, les coûts, les délais et le prix et, par conséquent, d’introduire un certain réalisme dans l’analyse et l’arbitrage des avantages et des inconvénients respectifs de ces éléments.
  • Il permet de s’assurer que les responsabilités sont définies (concept de « ownership of risks ») et que, par conséquent, les risques font l’objet d’un suivi et d’un management dynamique.
  • Il rend les risques, et les mesures prises pour y faire face, transparents pour les dirigeants.
  • Il favorise le traitement adéquat des risques, plutôt que la gestion des situations de crise.

Il est important d’admettre également les limites du management des risques. Il n’existe pas de solution idéale permettant de résoudre tous les problèmes. Le management des risques n’est pas seulement une technique qui peut s’acquérir de façon mécanique.

C’est aussi une attitude d’esprit qui repose sur l’acquisition de connaissances et d’une expérience pratique, et qui consiste à avoir conscience des limites de ces deux paramètres et de la nécessité d’engager une réflexion critique à leur sujet en tenant compte de l’expérience acquise.

Pour citer ce mémoire (mémoire de master, thèse, PFE,...) :
📌 La première page du mémoire (avec le fichier pdf) - Thème 📜:
L’Audit interne et le management des risques
Université 🏫: ESC Lille (École supérieure de commerce de Lille)
Auteur·trice·s 🎓:
Bouchiouane Mohamed

Bouchiouane Mohamed
Année de soutenance 📅: Mastère / 3ème cycle Audit-Contrôle de Gestion & Systèmes d’Information - 2002
Rechercher
Télécharger ce mémoire en ligne PDF (gratuit)
Lire aussi :
  1. L’audit interne et le management des risques
  2. L’anthropologisation de l’entreprise 
  3. Décryptage du succès en communication des églises post-confessionnelles
  4. Le management des risques chez Flunch, le rôle de l’audit interne
  5. Flunch : mise en évidence des faiblesses du management des risques
  6. Attentes et besoins des étudiants et enseignants _les TICs
Télécharger le mémoire L’Audit interne et le management des risques pdf

Si le bouton de téléchargement ne répond pas, vous pouvez télécharger ce mémoire en PDF à partir cette formule ici.

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to Top