Gérer les risques dans un nouveau monde

Malgré toute la rhétorique et les millions d’euros investis par les organismes privés ou publics, la gestion des risques consiste bien souvent à répondre à des exigences de conformité, en élaborant un grand nombre de procédures / règles à appliquer. Et lorsque celles-ci ne suffissent pas, on en réécrit d’autres [1] Certes, on ne peut nullement nier que ces règles aient réduits les risques pouvant « endommager » l’homme et l’organisme. Mais on ne peut pas nier également que celles-ci n’ont nullement empêchées : un problème de marché (les subprimes) de se transformer en une crise financière, puis en une crise bancaire mondiale, ni l’explosion de la plate-forme pétrolière Deepwater dans le golfe du Mexique, ni les pertes considérables (4,9 milliards d’euros) de la Société Générale suite à l’affaire Kerviel, ni même celles de JP Morgan Chase et son opérateur Londonien, Bruno Iksil (la baleine de Londres) qui a fait perdre 2 Milliard de dollars à la banque, ni le krach financier éclair du 6 mai 2010 (Wall Street a plongé de 9% pendant 20 minutes) largement imputable aux robots

Et, malheureusement la liste n’est pas exhaustive. Inutile donc de s’étendre sur le séisme du dépôt de bilan de Lehman Brothers le 7 septembre 2008 et les dégâts générés dans le monde ou sur l’affaire Bernard Madoff avec une fraude estimée à 50 milliards de dollars, ni même sur la Grèce, l’Espagne, l’Irlande, l’Italie, le Portugal. Ne vous méprenez point, je n’ai nullement écrit que nous devions supprimer les procédures / règles. Au contraire, elles vous diront souvent combien vous avez été trop confiants, mais elles doivent évoluer en simplicité et efficacité. Les déclarations de Jamie Dimon, le CEO de JP Morgan Chase, justifient à elles seules l’urgente nécessité de redéfinir un nouveau cadre de gestion des risques : « Nous savons que nous avons été négligents - Nous savons que nous étions stupides - Nous savons qu’il y a eu un mauvais jugement » - « Nous avions une mauvaise stratégie, mal exécutée. »

Retour sur quelques définition de base

1. Qu’est-ce qu’un risque ?

De nombreux experts se sont exercés depuis de nombreuses années à définir les termes « risques » et « risque management », afin de mieux cerner l’esprit et le concept. Curieusement, aucune de ces définitions n’a pu obtenir un consensus général. Voici quelques définitions, sans ordre particulier :
 Félix Klownam : « L’art de faire les bons choix, un art fondé d’avantage sur l’anticipation d’événements futurs que sur une réaction à ceux déjà arrivés »
 Georges Head : « Le risque management est simplement du bon sens »
 W. Lorance : « Le risque management est une discipline pour accepter de vivre avec la possibilité que des événements dans l’avenir pourront être dangereux  »
 Frank Knight a proposé une distinction qui fait référence entre le risque et l’incertitude : à un risque peut-être assigné des probabilités mathématiques – on ne peut pas le faire à une incertitude.

Les institutions financières et les agences de notation ont adopté des modèles mathématiques comme indicateurs fiables du risque, au détriment du jugement dans de nombreux cas. Trop souvent, la gestion des risques est devenue la justification des risques

Financial Crisis Inquiry Report

Le flou apparent de ces définitions fut toutefois salutaire, car il a évité de figer trop rapidement le concept et permis son évolution. On observe cependant deux écoles de pensée : une école américaine, très orientée sur la problématique de financement des risques, et une école européenne (française, en particulier) plus technique et préoccupée par les méthodes d’identification et surtout de quantification des risques. Pour ma part (et comme il faut bien prendre des risques) je dirai que le risque est l’indicateur d’un danger. Il est fonction de deux paramètres : la probabilité que l’événement redouté se réalise, et les dommages ou les conséquences qui en résulteraient. J’ajouterai que nous avons, nous français, un gros défaut : celui de vouloir parfois tout mesurer à l’aide d’indicateurs en oubliant parfois le bon sens paysan. A ce propos, voici l’une des conclusions du Financial Crisis Inquiry Report « Les institutions financières et les agences de notation ont adopté des modèles mathématiques comme indicateurs fiables du risque, au détriment du jugement dans de nombreux cas. Trop souvent, la gestion des risques est devenue la justification des risques » [2]

2. Pourquoi classifier les risques autrement ?

Depuis que les organismes s’intéressent aux risques, ils ont essayé de les classifier. Différentes approches existent avec souvent pour conséquence de compartimenter ceux-ci alors qu’il faut au contraire les analyser de manière globale. En effet, les silos organisationnels dispersent, d’une part, l’information, et d’autre part la responsabilisation. Les silos inhibent la discussion sur la façon de traiter les risques. Car bien souvent, c’est une combinaison de petits événements qui dépassent les frontières du silo en se renforçant les uns par rapport aux autres de manière inattendue, avec parfois des conséquences fâcheuses pour l’organisme. Nul besoin de catégoriser les risques par famille. C’est sans doute intellectuellement intéressant, par exemple, de classer les risques en : risques industriels, risques naturels, risques d’éthique, risque social, risque opératoire, risque de management, risque réglementaire et contractuel, risques technologique, risques humains, etc. Mais franchement soyons honnête, qu’apporte ce type de classification ?

Un nouveau cadre d’analyse

Framework 2.0 est en réalité la suite logique d’une approche (Framework 1.0) élaborée il y a plus de 15 ans à partir du modèle « Triple Impact » [3]. Avec le Framework 2.0, les risques sont uniquement classés en trois catégories en fonction de leur traitement (et non de la famille), car on ne traite pas de la même manière : les risques endogènes surmontables, les risques stratégiques concevables (intrinsèquement non indésirables) et les risques exogènes inévitables [4]. Mais le Framework 2.0 n’est pas seulement une histoire de classification orientée traitement, c’est aussi une analyse de notre jugement et notre comportement face aux risques, lorsqu’il s’agit, par exemple, de fixer une probabilité à un risque. En effet, diverses études montrent que nous avons une hypersensibilité à de petites évolutions de la probabilité aux deux extrémités du spectre de probabilité. Ainsi, nous avons tendance à réagir de manière excessive à de petits changements dans les probabilités extrêmes et sous-réagir à des changements dans les probabilités intermédiaires. Le Framework 2.0 c’est également l’identification et la formalisation de la « chaîne des risques » héritée du Framework 1.0. Ainsi :

1. Les risques endogènes surmontables

Ces risques concernent, par exemple, les pannes dans les processus opérationnels, les actions non-autorisées, illégales ou contraires à l’éthique, les sinistres (incendie, inondation, vols), la sécurité des systèmes informatiques, la mauvaise déclinaison opérationnelle des décisions stratégiques relatives aux opérations de marché, la mauvaise gestion des compétences, etc. Pour cette première catégorie de risques endogènes évitables, l’organisme doit chercher à les éliminer voire les réduire, car il n’y a aucun avantage à « vivre » avec ces derniers. L’objectif de l’organisme est donc de disposer d’un pourcentage de couverture globale des risques endogènes acceptables. Le principal outil utilisé par les organismes pour traiter ce type de risques semble être la carte de chaleur [5]

2. Les risques stratégiques concevables

Rappelez-vous Alexandre le Grand et ses 30.000 soldats grecs face aux Perses avec son infanterie de 1.000.000 hommes, plus sa cavalerie. Pensez au prophète David face à Goliath. En termes de stratégie d’entreprise, son leader doit faire des choix. Un choix stratégique est entaché des risques potentiels. Lorsque le leader choisit, par exemple, une stratégie de rentabilité, l’entreprise peut être amenée à prendre des risques extrêmes pour réaliser sa stratégie

Pour traiter les risques stratégiques concevables, de nombreux organismes utilisent la carte stratégique comme point de départ à un dialogue sur les chaînes de risques A chaque objectif de la carte stratégique (exemple : renforcer l’activité commerciale auprès des PME/PMI du secteur X) le groupe en charge des risques stratégiques :

 Identifie les événements à risque à l’aide d’indicateurs de type alerte avancée (risque de défaut de paiement - indicateurs d’alertes : nombre de litiges client – taux de forclusions – nombre de relances client – nombre de dossiers en cotentieux,..) ;
 Formalise la chaîne des risques (risque de défaut de paiement client -> risque de défaut de liquidité, risque de diminution de la trésorerie d’investissement, risque…).
 Identifie la probabilité d’occurrence en tenant compte des particularités citées ci-dessus concernant le comportement humain ;
 Identifie les actions susceptibles de réduire le risque (création d’un outil de pilotage de la liquidité : quels sont les risques de cette initiative stratégique ?)
 Budgétise les actions : coût de la création d’un outil de pilotage de la liquidité
 Identifie les ressources (1 comptable – 1 crédit manager – 1 responsable de services – SAP - Abonnement bases de données ORT et ODC, prestataire ACREF)
 Présente à la direction générale, la carte des objectifs stratégiques, la carte des risques, les actions de réductions des risques, le budget associé, la liste des différents responsables ainsi que l’impact sur l’organisation existante (quel est l’impact sur l’organisation de la mise en place d’un outil de pilotage de la liquidité ?)

3. Les risques exogènes inévitables

Ces risques peuvent être classés selon leur impact.
 Impact immédiat. Les catastrophes naturelles et économiques sont prévisibles bien que leur date exacte ne le soit pas (inondation de Paris, tremblement de terre en Californie, etc.) Nous avons en mémoire de multiples exemples comme l’éruption en 2010 du volcan islandais Eyjafjallajoekull, avec pour impact immédiat l’annulation de 90.000 vols en Europe, ou les diverses bulles financières (celle de l’industrie du bâtiment en Espagne.) A propos de ce type de risques exogènes inévitables à effet immédiat, J’ai lu que les morts, suite à l’ouragan Katrina le 29 août 2005 (le bilan, toujours non définitif fait état de 1 209 morts), n’étaient pas à blâmer. Ceci est totalement faux. Les conséquences de cet ouragan provenaient en grande partie de la défaillance des digues, combinée à un affaiblissement des défenses naturelles suite au développement réalisé par l’homme.
 Impact à moyen terme. Il s’agit principalement des risques liés notamment à l’émergence des technologies de rupture (Internet, Smartphones, codes-barres,..) ou à des évolutions stratégiques de grands acteurs (Amazone avec le livre, Apple dans la téléphonie mobile et la tablette,…)
 Impact à long terme. Nous trouvons les changements géopolitiques (Egypte, Tunisie, Lybie, Corée du Nord,..) et environnementaux comme par exemple le réchauffement de la planète ou l’épuisement des certaines ressources comme le pétrole ou l’eau.

Puisque l’organisme ne peut nullement empêcher les risques exogènes, il doit donc se concentrer principalement sur leur indentification et la réduction de leur impact. Rappelez-vous, la seule manière de célébrer un échec (une catastrophe) est d’avoir appris quelque chose sur lui.

Sans vouloir trop rentrer dans le détail, le suivi des trois catégories de risques que sont les risques endogènes surmontables (noté EN), les risques stratégiques concevables (ST) et les risques exogènes inévitables (noté EX) s’effectue à l’aide d’une chaîne d’indicateurs, de type alerte avancée simples (leading), et de constat, de type synthétiques (lagging) tel que celui représenté ci-dessous. Ne rajoutons pas de risque dans la manière de les traiter : celui de la complexité. Faisons simple mais avec rigueur !

Le monde est plus risqué aujourd’hui pour l’entreprise qu’il ne l’a été dans le passé : incertitude politique, réglementaire, etc. En termes de management des risques, vous devez les minimiser le mieux que vous pouvez, voire les éliminer. Mais vous devez surtout penser en termes de résilience organisationnelle et humaine et non uniquement en termes de procédure. Nous aurons l’occasion d’y revenir