Qu’est-ce que la gestion des risques de l’entreprise (ERM) ?
La gestion des risques de l’entreprise (GRE) est une stratégie commerciale basée sur un plan qui vise à identifier, évaluer et se préparer à tout danger, risque et autre potentiel de catastrophe – physique et figuré – qui pourrait interférer avec les opérations et les objectifs d’une organisation.
Cette discipline exige non seulement que les entreprises identifient tous les risques auxquels elles sont confrontées et décident quels risques gérer activement, mais elle implique également de mettre ce plan d’action à la disposition de toutes les parties prenantes, actionnaires et investisseurs potentiels, dans le cadre de leurs rapports annuels. Des secteurs aussi variés que l’aviation, la construction, la santé publique, le développement international, l’énergie, la finance et les assurances utilisent tous la GRE.
Les entreprises gèrent les risques depuis des années. Historiquement, elles le font en souscrivant des assurances : une assurance de biens pour les pertes littérales et préjudiciables dues aux incendies, aux vols et aux catastrophes naturelles ; une assurance responsabilité civile et une assurance contre la faute professionnelle pour faire face aux poursuites et aux réclamations pour dommages, pertes ou blessures. Mais un autre élément clé de la GRE est le risque commercial, c’est-à-dire les obstacles liés à la technologie (en particulier les défaillances technologiques), aux chaînes d’approvisionnement et à l’expansion des entreprises, ainsi que les coûts et le financement de ces derniers.
Plus récemment, les entreprises ont géré ces risques par le biais des marchés de capitaux en recourant à des instruments dérivés qui les aident à gérer les hauts et les bas des mouvements instantanés des devises, des taux d’intérêt, des prix des matières premières et des actions. D’un point de vue mathématique, tous ces risques ou « expositions » ont été raisonnablement faciles à mesurer, les profits et les pertes qui en résultent allant directement à .
Points clés à retenir
- La stratégie commerciale de gestion des risques de l’entreprise identifie les dangers et s’y prépare en fonction des activités et des objectifs de l’entreprise.
- La GRE est une discipline de gestion nouvelle et évolutive qui a changé en même temps que le paysage des entreprises et de la réglementation au cours de la dernière décennie.
- Il reste à définir ce qui constitue les « meilleures pratiques » en matière de GRE.
- Les entreprises favorables à la GRE peuvent être trouvées en effectuant une recherche sur les sites web consacrés à la GRE.
Comprendre la gestion des risques de l’entreprise
Les entreprises modernes sont toutefois confrontées à un ensemble d’obstacles et de dangers potentiels beaucoup plus variés. La manière dont les entreprises gèrent les risques qui défient toute mesure facile ou tout cadre de gestion relève également du MCE. Ces risques potentiels comprennent des risques cruciaux tels que la réputation, les procédures opérationnelles quotidiennes, la gestion des ressources juridiques et humaines, les finances, le risque de défaillance des systèmes de contrôle interne liés à la loi Sarbanes-Oxley de 2002 (SOX) et la gouvernance globale.
Les chefs de projet et les autres professionnels qui travaillent avec la GRE s’attachent à évaluer les risques qui concernent leur entreprise ou leur secteur, à hiérarchiser ces risques et à prendre des décisions éclairées sur la manière de les gérer. Les plans de gestion des risques qu’ils élaborent permettent d’estimer l’impact de diverses catastrophes et de définir les réponses possibles si l’une de ces catastrophes se produit. Par exemple, l’Agence de protection de l’environnement (EPA) exige des installations qui traitent des substances extrêmement dangereuses qu’elles élaborent des plans de gestion des risques afin de déterminer ce qu’elles font pour atténuer le danger et ce qu’elles feront si un accident se produit.
Outre les plans et produits « juste-à-temps », tels qu’une liste de fournisseurs alternatifs ou une police d’assurance, les entreprises qui gèrent avec succès leurs risques adoptent également des pratiques de routine pour gérer les dangers potentiels qu’elles ont identifiés. Dans de nombreux cas, de nouveaux postes sont créés, tels que des gestionnaires de risques d’entreprise, ou de nouveaux services sont créés pour intégrer la gestion des risques dans les opérations quotidiennes, notamment des équipes de maintenance des équipements et de contrôle ou d’assurance qualité.
Avantages du MCE
En créant des initiatives de GRE, les entreprises doivent se concentrer non seulement sur les aspects négatifs du risque, mais aussi sur ses aspects positifs. L’approche traditionnelle consistait à se concentrer sur les aspects négatifs – les pertes dues aux opérations sur les devises ou les taux d’intérêt sur les marchés financiers, par exemple, ou les pertes financières qui pourraient être causées par une perturbation de la chaîne d’approvisionnement ou une cyber-attaque qui porte atteinte à la technologie de l’information d’une entreprise.
En pensant au côté positif, les entreprises sont désormais censées prendre en considération les opportunités concurrentielles et les avantages stratégiques qui pourraient découler d’une gestion habile des risques. Certaines de ces « meilleures décisions » concernent des éléments tels que l’emplacement d’une usine ou d’un bureau à l’étranger, sur la base d’une analyse des risques qui examinerait l’environnement politique d’un pays.
Le « côté positif » consiste également à mettre l’accent sur les mesures préventives qui aident une entreprise à éviter les catastrophes potentielles à l’avenir. Par exemple, certaines de ces mesures peuvent consister à déterminer quand et comment les actifs physiques doivent être entretenus et remplacés.
Ainsi, l’entreprise peut éviter des pannes d’usines et d’équipements inattendues et coûteuses qui pourraient entraîner des arrêts, des explosions ou d’autres événements mettant en danger les employés, les communautés et le profil public de l’entreprise. Conscientes que leur atout le plus important et le plus précieux est leur image, certaines entreprises travaillent de manière proactive lorsqu’elles sont confrontées à des catastrophes naturelles ou provoquées par l’homme.
Comme il s’agit d’une nouvelle discipline de gestion, les « meilleures pratiques » de la GRE sont encore en évolution.
La GRE et l’investissement
L’étude de la manière dont les entreprises gèrent le nombre incroyablement varié de risques auxquels elles sont confrontées peut jouer un rôle extrêmement important dans la prise de décision en matière d’investissement. La connaissance des « profils de risque » de chaque entreprise peut amener les investisseurs à identifier les entreprises prometteuses, en investissant avec la certitude qu’elles pourront atteindre les objectifs de l’entreprise et répondre aux attentes des investisseurs (non seulement en période de prospérité, mais aussi en période de crise).
Il peut également aider à mieux comprendre quelles entreprises doivent être autorisées à pénétrer dans votre communauté par le biais d’une nouvelle usine ou d’un nouveau bureau, en ayant la conviction qu’elles feraient tout leur possible pour éviter les dommages environnementaux et pour bien traiter leurs employés.
Jusqu’à présent, en particulier aux États-Unis, la grande majorité des entreprises ont mis à la disposition des parties prenantes très peu d’informations sur leur profil de risque global. Les entreprises de nombreux autres pays industrialisés, comme le Canada, le Royaume-Uni et l’Australie, sont beaucoup plus ouvertes aux risques et aux activités de GRE.
Toutefois, la situation est sur le point de changer, car les agences de notation commencent à prendre en compte la capacité d’une entreprise à gérer la gestion des risques. Les parties prenantes commenceront à voir une pléthore de nouvelles données et informations liées au risque à leur disposition. Cette histoire de la gestion des risques est susceptible de se développer considérablement au cours de la prochaine décennie.
Une bonne indication qu’une entreprise travaille à une GRE efficace est la présence d’un chef de la gestion des risques (CRO) ou d’un responsable désigné pour coordonner les efforts de GRE.
Trouver des entreprises favorables à la GRE
Il est difficile pour les investisseurs de découvrir quelles sont les entreprises qui s’efforcent de gérer les risques à l’échelle de l’entreprise, et encore plus difficile de découvrir qui le fait efficacement. De nombreux membres de conseils d’administration d’entreprises ne comprennent pas l’ERM, estimant qu’il s’agit simplement d’un autre fiat réglementaire de Washington, potentiellement coûteux et difficile à mesurer.
Beaucoup d’autres pensent qu’une GRE efficace peut être obtenue simplement en développant leurs efforts en matière de rapports et de contrôles liés à la SOX, ce qui n’est pas le cas.
Actuellement, il est délimité industrie par industrie, mais peu d’entreprises, voire aucune, se présentent comme étant les « meilleurs des meilleurs » en matière de GRE ou de gestion des risques. Alors comment savoir qui travaille dur à une GRE efficace ? L’un des moyens consiste à vérifier la liste des dirigeants pour trouver un directeur de la gestion des risques (CRO).
Si les ORC se trouvent le plus souvent dans les secteurs de l’énergie, de la banque et de l’assurance, des entreprises manufacturières plus agressives s’orientent également dans cette direction. Un autre indice se trouve dans une petite noix d’entreprises qui ont des directeurs spécifiquement chargés de coordonner leurs efforts de GRE. Ces directeurs portent la mention « risque d’entreprise » dans leur titre. Des investigations supplémentaires intensives de la part des investisseurs peuvent offrir des dividendes intéressants.
Une simple recherche en ligne sur la « gestion des risques d’entreprise » permettra aux investisseurs d’accéder à de nombreux programmes de conférences récentes sur le sujet. Les investisseurs devraient ensuite prendre note des entreprises dont les dirigeants donnent des conférences sur la gestion des risques d’entreprise. Consultez également les sites web des quelques associations dédiées à la promotion de la MCE, comme la Risk & Insurance Management Society à New York ou le Committee of Chief Risk Officers.
Le Conference Board de New York a également un cabinet spécialisé dans l’examen des entreprises et de leurs efforts en matière de gestion des risques, et la National Association of Corporate Directors a rédigé un rapport quelque peu dépassé mais d’une valeur inestimable sur la manière dont les membres des conseils d’administration des entreprises pensent au risque et sur la manière dont cela doit changer.
Considérations particulières
Par prudence, ce n’est pas parce qu’une entreprise a un ORC – ou se vante de ce qu’elle fait dans le cadre de l’ERM – qu’il faut la prendre au mot. Vous devrez examiner la situation de plus près et poser des questions détaillées aux responsables des relations avec les investisseurs.
Depuis des années, le secteur bancaire se targue d’avoir les meilleurs programmes de gestion des risques et de GRE de tous les secteurs. Mais rien de tout cela n’a empêché le resserrement du crédit et l’effondrement du marché hypothécaire en 2007.
Exemple de gestion des risques d’entreprise
L’une des histoires les plus exemplaires de gestion des risques de réputation dans l’histoire des entreprises concerne Johnson & Johnson. Le géant pharmaceutique a vu sa réputation et son cours de bourse sévèrement entachés en 1982 à la suite de révélations selon lesquelles quelqu’un avait trafiqué et empoisonné des flacons de son analgésique Tylenol, ce qui a entraîné plusieurs décès.
L’entreprise a réagi rapidement, en retirant et en remplaçant ses produits dans les points de vente, en coopérant pleinement avec les autorités chargées de l’application des lois et en tenant les médias (et donc le public) informés tout au long du processus. Ses actions décisives et sa communication ouverte et honnête pendant la crise ont contribué à la reprise de la valeur de l’action en quelques mois.
De 2006 à 2008, les entreprises doivent prouver qu’elles « passent au vert », en espérant qu’une gestion agressive des risques environnementaux positionnera leurs produits, usines, chaîne d’approvisionnement et autres opérations de manière positive auprès de leurs clients actuels et futurs.