50 ans de gestion interdisciplinaire des risques

Nous sommes en 2015, et les sauts technologiques se multiplient rapidement, les produits et les lignes de production semblent plus complexes, les réseaux numériques se multiplient, et par conséquent, les concentrations de valeur et une législation plus stricte dominent également les entreprises suisses. On pourrait penser que la société actuelle considère les risques comme une menace constante. Il serait bien préférable de créer une culture d'entreprise non informée qui permette de gérer les risques et leurs changements, les normes et les mesures de protection de manière claire et transparente, voire continue.

Afin d'évaluer et de contrôler les risques de manière plus uniforme, les scientifiques de l'économie travaillant en Suisse ont également développé les premières structures et lois concernant la gestion des risques. Bruno Brühwiler, expert ayant beaucoup voyagé et directeur général d'Euro Risk Ltd., qui a joué un rôle clé dans le développement de normes nationales et internationales, a déclaré à Management & Quality : "Les entreprises ont rencontré ce sujet des deux côtés du Pacifique. Cependant, il y a 50 ans, il n'y avait pas de gestion des risques à grande échelle - sauf pour les études sur l'espace, les catastrophes ou les réacteurs. La science elle-même n'a pris de l'ampleur que grâce aux grandes multinationales, dont la plupart ont dû gérer un département d'assurance et de gestion des risques.

Lors de cette première vague dans les années 1970, des entreprises telles que Swiss RE, Zurich ou Winterthur Assurance ont défini les premières approches de gestion des risques qui "résonnent" encore aujourd'hui. Entre-temps, tous les économistes ont appris que le besoin d'aversion pour le risque ne peut pas être simplement externalisé au moyen d'un contrat d'assurance. Brühwiler : "L'assurance contre les risques a du sens tant que les facteurs de coût ne sont pas dépassés et que les relations de cause à effet sont ignorées".

Cependant, de nombreux cadres et employés ne sont toujours pas conscients des potentiels perturbateurs essentiellement dynamiques ou d'une approche méthodique de la gestion des risques.

Gestion professionnelle des risques

La gestion des risques (RM), qui fait parfois partie d'un ensemble plus large de règles, constitue un garde-fou constant à tout moment - de sorte que, par exemple, la gestion de crise selon la norme ISO 22301 (Gestion de la continuité des activités) ne se concentre pas seulement sur les événements de perte réels, mais identifie également les processus et les lacunes dans les chaînes de sauvetage en amont et en aval. En fait, la gestion des ressources humaines - notamment en raison des nouveaux développements techniques et des tâches de gestion de grande envergure - organise des mondes de travail et de produits de plus en plus complexes et sensibles.

"Cependant", dit le professeur Dr. Brühwiler, "la gestion des risques n'est malheureusement revenue sur le devant de la scène qu'à cause des crises financières".

Cependant, la définition même de la norme à appliquer pour la mise en danger (et aussi pour le sauvetage) de l'existence de l'entreprise est et reste problématique et vague. Depuis le 1. 5. 1998, la loi allemande sur les sociétés anonymes (AktG) stipule seulement au paragraphe 91 (2) que "le conseil d'administration doit mettre en place un système de contrôle afin d'identifier à un stade précoce les risques qui pourraient mettre en péril l'existence de la société". En Suisse, l'article 663b du Code des obligations exige "des informations sur la réalisation d'une évaluation des risques" (voir Infobox).

Dans la pratique, les gestionnaires devraient admettre une maxime au plus tard : "La responsabilité ne peut jamais être déléguée".

D'une part, de telles lois peuvent entraîner des tâches d'archivage massives, même pour les plus petites entreprises. D'autre part, un chef d'entreprise qui n'a pas une vue d'ensemble rigoureuse des dangers de son entreprise prendra presque certainement des décisions désastreuses. Par conséquent, hier, aujourd'hui et demain, les spécialistes de la GR doivent être en mesure d'étudier et d'évaluer les situations qui sont moins dangereuses pour la réalisation des objectifs d'un projet, mais qui peuvent également diminuer les résultats positifs.

Au plus tard depuis que des événements graves tels que l'immobilisation au sol de Swissair ont affecté l'économie suisse, des directives ad hoc de gestion des risques sont également enseignées dans les universités. Dans la pratique, les dirigeants doivent admettre une maxime au plus tard : "La responsabilité ne peut jamais être déléguée". Les phrases d'entreprise deviennent peu à peu obsolètes, même si de nombreuses décisions semblent si abscons à un gestionnaire et que les événements possibles semblent si lointains.

Exigences pour les entreprises

La SAQ (Association suisse pour la qualité) a été fondée en 1965. L'association, qui compte aujourd'hui environ 1 800 membres, dont 80 % sont des entreprises, est plus qu'un simple catalyseur pour l'équivalence des normes ISO appliquées au niveau international. Depuis 50 ans, la SAQ s'occupe de la certification et de l'audit des entreprises gérées professionnellement. Cela a donné naissance à la SQS (Association suisse pour les systèmes de qualité et de management) en 1983.

"Dans le passé, la gestion des risques était peut-être souvent confondue avec la gestion de la qualité, l'optimisation des processus et la tarification", explique le professeur Brühwiler, professeur et président d'Euro Risk Ltd, mais ces dernières années, la tendance est clairement à l'évaluation intégrale des risques. Les formations et les événements de la SAQ aident les gestionnaires à rendre justice à leur tâche de coordonner la sécurité de l'entreprise avec les attentes des employés (et éventuellement des actionnaires) par le biais de normes et de lignes directrices optimales.

La planification spécifique à l'entreprise intègre d'autres départements autour du domaine financier proprement dit. "Il n'exploite pas la RM simplement par le biais de modèles", déclare le Prof. C'est également l'avis de Bettina Hübscher, maître de conférences et chef de projet pour la RM à la Haute école spécialisée de Lucerne, HSLU. Pour le développement de l'entreprise, il est plus important de pouvoir évaluer, peser et amortir les risques et les opportunités qui se présentent réellement - malgré toutes les déclarations de conformité, les directives sur la sécurité des produits, les règlements sur les incidents, les systèmes de gestion des urgences, des crises et de la continuité qui ont été conçus.

Bettina Hübscher : "Le HSLU s'appuie donc toujours sur des mesures ad hoc à court terme en plus des mesures stratégiques durables. Cependant, ils ne fonctionnent que si le RM est coordonné avec le CC, il est vécu du sommet de l'entreprise à chaque employé et pratiqué régulièrement (combiner l'analyse avec la synthèse, les exercices/formations) ".

Une bonne gouvernance d'entreprise s'accompagne de mesures de risque et de conformité. Pour Bettina Hübscher, chargée de cours à la HSLU, elle comporte au moins six aspects importants. L'élément central est "une vision holistique de l'entreprise et l'inclusion de la culture d'entreprise".

• Sauvegarder les intérêts des différents groupes
• gestion fonctionnelle
• une coopération ciblée de la direction et de la surveillance de l'entreprise
• Transparence dans la communication des entreprises
• une gestion appropriée des risques
• Les décisions de gestion sont orientées vers la création de valeur à long terme

Si une "culture d'entreprise" fonctionnelle n'est pas créée, d'autres risques apparaîtront certainement. Afin de ne pas réagir aux événements uniquement de manière réactive, hâtive ou improvisée, les processus de GR doivent être intégrés à la gestion de l'entreprise. Dans ce contexte, les normes co-définies par le Prof. Dr. Brühwiler, telles que ISO 31000 (Gestion du risque - Principes et lignes directrices) et ONR 49000, Gestion du risque pour les organisations et les systèmes, Application de l'ISO 31000 dans la pratique, peuvent servir de métiers importants dans la professionnalisation. Cette dernière norme figure actuellement parmi les cinq premières normes ISO appliquées professionnellement.

L'OCDE a déclaré qu'il s'agissait d'une "norme mondiale de facto". En tout état de cause, elle correspond à un élargissement et à une mise à niveau de la gestion classique des risques dans la gestion des risques de l'entreprise. Sur cette base, les entreprises créent de plus en plus de postes de Chief Risk Officer.

Pour en savoir plus sur les étapes, respectivement les normes, sur la voie de la gestion intégrée des risques, lisez la deuxième partie du prochain numéro de Management & Quality, qui sera publié en juin 2015.