Un renversement de tendance est annoncé dans la 6ème édition du Baromètre du Risk Management réalisé par le cabinet de conseil Protiviti en mars 2009. Cette enquête auprès de 100 directeurs financiers des grandes entreprises françaises cotées et non cotées révèle la suprématie des risques externes par rapport aux risques internes.

Quels sont réellement les risques externes ?

« Si l’abeille disparaissait de la surface du globe, l’homme n’aurait plus que quelques années à vivre » aurait prophétisé Albert Einstein. D’ailleurs, les experts de l’industrie agroalimentaire évaluent à 153 milliards d’euros le chiffre d’affaires réalisé grâce à ces hyménoptères.
Quels sont ici les risques identifiés ? Comment piloter les causes en amont ? Et quelles sont les entreprises concernées ? Comment répondre à ces risques ?

Dans un autre registre, face à la crise financière actuelle, certains proposent un changement de cap radical, exceptionnel, loin des recettes classiques.
Guy Verhofstadt, ancien premier ministre de Belgique, et ex-candidat à la présidence européenne, prône des transformations audacieuses, profondes, qui tracent résolument les contours du champ politique mondialisé de demain et ouvrent la voie à une économie durable. Il explique la crise économique actuelle par l’absence de régulation européenne, par l’absence d’instance politique forte pilotant les risques financiers.
Faut-il imaginer une instance européenne capable de réguler la nouvelle économie à travers de nouvelles lois ?

Face à cette situation, les autorités renforcent les réglementations. Par exemple, la transposition dans le Droit français de la huitième Directive européenne relative au contrôle légal des comptes annuels et des comptes consolidés va accroître de façon très sensible l’environnement réglementaire autour du contrôle interne et de la gestion des risques pour les sociétés cotées. Le rapport du Président doit désormais décrire les procédures de contrôle interne et de gestion des risques.

Quel est le niveau de prise de conscience de ces évolutions dans les entreprises et comment les ont-elles intégrées dans leur organisation, et pour quelles conséquences ? Comment peuvent-elles adresser les nouveaux challenges liés à l’émergence de nouveaux risques et d’un écosystème élargi ? Que peuvent-elles tirer comme bénéfices de l’intégration de cette nouvelle donne dans leur organisation ? 

Risque et conformité : au-delà de la loi

Pour l’entreprise, la gestion du risque s'attache à identifier les risques qui pèsent sur sa pérennité, comme les actifs de l'entreprise, ses valeurs au sens large, y compris son personnel.
Le terme de conformité, ou encore de compliance, est utilisé pour désigner le respect des dispositions législatives et réglementaires propres aux activités financières, industrielles ou de service public. Il englobe aussi le respect des normes professionnelles et déontologiques, ainsi que des orientations de l’organe délibérant ou des instructions de l’organe exécutif.
Les normes applicables aux entreprises ne sont pas uniquement émises et écrites par des institutions officielles gouvernementales ou assimilées, mais aussi par des instances non gouvernementales. La « Loi » peut désormais ne pas être écrite, mais avoir un impact tout aussi important pour l’entreprise. 

À chaque division ses propres risques ?

Dans les années 90, les risques étaient gérés en silos, car ils restaient directement liés à l’activité de l’entreprise, elle-même organisée en conséquence. Ainsi, chaque activité ou service gérait ses propres processus et identifiait les risques et les plans d’action attenants.
Cette organisation se reflétait dans la composition du Comité Exécutif, où chacun portait les actions dédiées à sa fonction : un problème d’image était réglé par la communication, un problème de fabrication par le responsable industriel, etc. La notion de risque (délais de livraison par un fournisseur trop long, double facturation d’un client) était intimement intégrée à la gestion du processus appartenant à l’équipe métier dédiée.

La règlementation adoptait un schéma identique, et édictait des règles, normes et lois ad hoc, que chaque service reprenait à son compte. L’exemple bancaire, au travers de la règlementation Bâle I et II, reflète cette vision, en basant ses fondements sur les 3 typologies de risques liés à l’activité bancaire : les risques de crédit, les risques de marché et les risques opérationnels. Bien que la notion de risques opérationnels élargisse la ouverture à une vision plus transverse des risques et des processus opérationnels, 80 % d’entre eux s’apparentent de fait à du risque de crédit. Le règlementaire visant à réduire les risques liés à l’activité bancaire se focalise sur l’écosystème interne et les métiers spécifiques de la banque. Chaque typologie de risques est alors portée par des entités différentes, et les outils supportant cette initiative pour adresser chacune des typologies de risques sont souvent disparates.

L’objectif du règlementaire vise à obliger les institutions financières à couvrir leurs risques par un « capital at risk », calculé sur la base des pertes attendues et inattendues issues des 3 typologies de risques. L’intention adaptée dans la banque s’avère pourtant très difficile à mettre en œuvre, et des résultats probants se font encore attendre.