News
La gestion des risques doit être un acte managérial du CoDir
Quand on parle de gestion des risques en entreprise, on arrive tout de suite à des termes spécialisés comme compliance (conformité) ou mitigation. Les règles les plus avancées de la gouvernance d’entreprise ont érigé ce sujet en exercice formel et contraint entre la Direction générale de l’entreprise et le Conseil d’Administration ; dans le secteur bancaire on va même jusqu’à rattacher le Directeur des Risques au Président du Comité d’Audit, by-passant plus ou moins le Directeur Général ! S’ensuit une formalisation qui parfois, à tort, se déconnecte de la vie quotidienne de l’entreprise et de son CoDir.
Or le risque fait partie de la vie courante de l’entreprise. Les causes en sont multiples et méritent d’être objectivées car rien n’est pire que de se voiler la face ; la politique de l’autruche n’a pas droit de cité et peut conduire à des crises majeures lorsqu’un de ces risques se traduit en fait réel. Ne pas non plus tomber dans la superstition que l’identification d’un risque va le faire arriver !
Les conséquences de ces risques sont globalement de quatre natures : pertes physiques (atteinte à la sécurité des personnes, accidents industriels et pertes de production, pertes de données, conséquences sur l’environnement, …) ; pertes financières (pertes pures, chute du cours de l’action ou dégradation des notations financières, …) ; pertes de parts de marché ou de positionnement (agressivité commerciale des concurrents, disparition de marchés par mutation économique ou technologique, droits de douane, « uberisation », …) ; atteinte à la réputation, a fortiori avec les réseaux sociaux … Et bien sûr toutes se combinent ! Enfin la responsabilité personnelle des dirigeants, voire des administrateurs, s’ils ont fait preuve de légèreté, peut être appelée. C’est donc l’essence même de l’entreprise qui est en jeu. Le Conseil d’Administration a une responsabilité de contrôle, c’est incontournable et inscrit dans son rôle. Mais la place de la Direction générale est prépondérante car la survie de l’entreprise est en jeu !
La dimension risque est très émotionnelle, il importe donc d’éviter de tomber dans l’affrontement des membres du CoDir sur leurs domaines respectifs mais, au contraire, de privilégier la responsabilité partagée et la cohésion pour cette gestion des risques. Or, trop souvent, l’élaboration de la cartographie des risques est déléguée au Directeur des risques ou au Directeur juridique ou au Directeur de l’audit, au risque (encore !) d’en faire un exercice formel et non complètement approprié, au moins par le CoDir. Comme pour toutes les questions transversales, le rôle et la qualité de la personne en charge de cette cartographie sont déterminants car la classification et l’exhaustivité sont importantes ; elles conditionnent le plan d’action destiné à minimiser les éléments de classement sur les trois dimensions de la probabilité d’occurrence, de la fréquence et de l’impact ; ce qu’on appelle le plan de remèdes ou de mitigation.
L’élaboration de la cartographie des risques doit être un travail de cohésion du CoDir, avec l’appui de spécialistes ad hoc, internes, lorsque la structure est suffisamment grande, ou externes (consultants). J’ai mené de tels exercices de façon participative, à la fois dans une grande organisation (le secteur Inox d’Arcelor/ArcelorMittal avec plus de 15.000 personnes) et dans une structure plus petite, le Fonds Stratégique d’Investissement (environ 50-60 personnes, mais 20 milliards d’Euros sous gestion et une forte visibilité publique). Un exercice en cinq étapes. Première étape, un séminaire du CoDir pour identifier les 15-20 risques majeurs et les 15-20 risques secondaires, avec l’aide d’un consultant indépendant ou une petite structure de conseil qui apporte la méthodologie et remplit le rôle de scribe (les grands cabinets font un travail remarquable avec de gros rapports qui « font bien » mais n’assurent pas toujours l’appropriation et l’engagement ; je préfère privilégier le participatif et la spontanéité). Deuxième étape, une consultation des N-2 et d’un groupe de hauts potentiels avec la même élaboration partant d’une page blanche. Troisième étape, une séance de mise en commun pour confronter les deux approches descendante et montante ; dans les deux cas cités, il y avait une concordance à plus de 80-90 % des postes identifiés, permettant ainsi l’élaboration d’une cartographie partagée et appropriée ; c’est bien la preuve que l’appréciation des risques potentiels est inscrite dans les gênes de l’entreprise. Quatrième étape d’approfondissement et de détail sur la base de ce cadre établi ; là on fait bien sûr plus appel aux spécialistes tant des risques que des secteurs directement concernés ; le produit de cette étape est l’élaboration du plan d’action. Enfin, cinquième étape à ne pas oublier : le suivi régulier intégré dans le cycle de gestion de l’entreprise avec la mise à jour permanente de cette cartographie documentée dans un référentiel éminemment évolutif.
C’est sur ce suivi et les actions menées en conséquence qu’est aujourd’hui attaqué le géant minier brésilien Vale pour la tragédie de Brumadinho en janvier 2019 avec la rupture d’un barrage de stockage des boues de lavage du minerai de fer, qui a entrainé 350-400 morts ou disparus. Le risque était identifié, a fortiori après la rupture d’un autre barrage en 2015, celui de Samarco, qui n’avait fait « que » 20 morts et autant de disparus. Mais sa probabilité était faible, sa fréquence limitée à un évènement et son impact énorme (nombre de victimes et désastre écologique majeur). La tenue des barrages était certifiée, par des audits externes, conforme aux normes brésiliennes, néanmoins moins contraignantes que dans d’autres pays. Comme quoi la conformité n’est pas une assurance et il faut toujours s’interroger sur les best available technologies. Risque identifié, certes, - aujourd’hui il y a beaucoup de voix « je l’avais dit » -, mais surtout insuffisance des mesures pour réduire l’impact (bureaux et cantine en aval du barrage !). Donc au-delà, des accusations sur la sécurité des personnes et la détérioration environnementale, c’est sur une faille de gouvernance (suivi du plan et remontée d’information) que portent les mises en cause. Et une partie du Directoire, dont le Président, a dû se mettre en retrait sur injonction gouvernementale …. Le Conseil d’Administration est aussi attaqué.
Un autre type de risque rare, c’est-à-dire avec probabilité faible dans la vie courante et à fréquence 1, mais avec un impact majeur, est une acquisition plus ou moins hostile. Dans le cas d’une acquisition consentie, il faut veiller à ce que le plan d’intégration ne détruise pas la valeur du bien acquis ; là encore un accompagnement externe est souvent nécessaire. La situation est très différente pour une acquisition hostile (OPA non sollicitée). Arcelor avait identifié le risque d’une attaque par Mittal en raison d’un flottant très large et d’une capitalisation boursière inférieure à la valeur intrinsèque …. et d’une volonté de conquête sans limite, propre d’un vrai entrepreneur ; ce qu’un Corporate « traditionnel » avec les contraintes de coté a du mal à saisir ! Deux temps : celui du risque pressenti où la Direction financière avec forces sociétés de conseil et banques a voulu développer un plan de « rerating » pour faire remonter le cours de Bourse et rendre l’objet moins attractif ; mais avec la lenteur de ce genre de processus et surtout sans s’appuyer sur les patrons opérationnels (car finalement un enjeu collectif de survie !) : « c’est un sujet de spécialistes ». On aurait peut-être dû s’inspirer de la phrase de Clémenceau que « la guerre est une chose trop grave pour être la confier à des militaires » et rechercher la contribution et la cohésion du Directoire ! Peut-être que cela n’aurait servi à rien car pris trop tard ; on ne le saura jamais ! Deuxième temps, lorsque le risque est devenu avéré, l’OPA, on est entré dans un processus de crise : une cellule de crise, d’une part, et, d’autre part, le focus des opérationnels sur leur business car, finalement, la meilleure défense est de privilégier la performance des activités. Mais là, c’est une autre histoire !
On peut néanmoins en tirer une leçon : la gestion du risque doit s’accompagner d’un processus préétabli de gestion de crise à adapter aux situations. En effet, la vitesse de réaction est déterminante tant pour mesurer et gérer les conséquences que pour maintenir le leadership interne et externe : le risque de réputation ne peut que s’accroitre lors d’une période de flottement.
La gestion des risques et l’anticipation des conséquences font partie de l’ADN normal de toute entreprise. C’est un exercice d’exigence, qui doit être participatif et communiqué, et pas un exercice en chambre ! Le rôle des CoDir est là aussi central.
Jean-Yves Gilet
LinkedIn : https://www.linkedin.com/in/jygilet/
Consulter les autres articles parus dans la Lettre XMP-CONSULT n°3 (avril 2019)
Télécharger le PDF |
Aucun commentaire
Vous devez être connecté pour laisser un commentaire. Connectez-vous.