50 ans de gestion interdisciplinaire des risques

Il semble complexe d'atténuer les risques - de trouver la bonne approche de gestion entre des structures données et des situations nouvelles. Par exemple, un rapport du WEF ("Global Risks 2015") met en garde contre les catastrophes et les conflits à plusieurs niveaux. Il existe des probabilités comme les inondations du siècle d'une part, les constructions interétatiques d'autre part. La plupart des dirigeants sont moins alarmés par les catastrophes d'origine humaine internes tant qu'ils peuvent assurer leur entreprise contre les dommages.

Toutefois, certains événements entraînent également des pertes de revenus importantes pour la direction. Lorsque le nuage de cendres du volcan Eyjafjallajökull a temporairement bloqué les vols européens en 2010, les compagnies aériennes ont dû supporter elles-mêmes le poids de l'interruption de leurs activités. En plus de ces sinistres, d'autres risques ont également un impact presque inassurable.

"La confidentialité des informations sur les risques est justifiée dans certains cas pour protéger la sécurité nationale ou éviter la panique du public".

Qu'il s'agisse de la crise de l'euro, des lacunes en matière de sécurité informatique, de l'espionnage industriel ou de l'instabilité des services : Une majorité d'entreprises suisses (de plus de 50 employés) appliquent un système de gestion intégrale des risques afin de "créer une transparence sur la situation des risques", selon une enquête récente. Toutefois, selon Funk Insurance Brokers AG, la gestion des risques n'apporte aucune valeur ajoutée visible pour environ un tiers des entreprises suisses interrogées.

Outre les paramètres économiques, il existe certainement aussi des vues et des définitions régionales différentes de l'interaction des potentiels de risque pour les entreprises suisses.

Modification de la confidentialité

Dans le "Manuel fédéral de gestion des risques" accessible au public (version du 29.04.2013), l'annexe 9, sous la rubrique "Obstacles à la gestion des risques", indique : "La confidentialité (et donc le manque de communication) des informations sur les risques est justifiée dans certains cas pour protéger la sécurité nationale ou pour éviter la panique du public. En revanche, le manque de transparence concernant les risques peut réduire la confiance dans la gestion des risques et, en raison d'un manque d'information, peut faire que certains risques ne reçoivent pas l'urgence nécessaire pour y faire face. »

(Note de l'éditeur : la particularité de la phrase "too big to fail" brièvement présentée ici est développée dans le rapport de l'IRGC "Risk governance deficits").

Le fait est que même les entreprises suisses ne peuvent éviter de mettre en place des systèmes de contrôle et de normalisation qui deviennent progressivement plus technologiques. Les avantages de gestion tels que la sauvegarde, voire l'augmentation des capacités de productivité sont évidents ; néanmoins, les adaptations du système entraînent généralement aussi une pression extérieure accrue.

Des organisations indépendantes telles que l'International Risk Council IRGC soulignent depuis des années que les communications des entreprises pourraient être affectées par les messages des médias sociaux.

La réalité économique, voir les ajustements de prix, et les lois réglementaires plus strictes peuvent exercer une telle pression que la direction de l'entreprise, du moins ses départements de contrôle et juridiques affiliés, le ressentent directement. Si les "affaires courantes" sont toujours prises au dépourvu par des crises non calculées, il se peut que les responsables n'entendent parler que de pannes choquantes et de pertes importantes par le biais des médias sociaux.

Ainsi, la gestion des risques intègre, outre le certificat du personnel ONR 49003 et l'application ISO 31000, le traitement concret adapté dans la gestion des urgences, des crises et de la continuité.

Événements marquants

La plupart du temps, un gestionnaire de risques certifié par la SAQ (Association suisse pour la qualité) est en mesure d'identifier les pires potentiels, de définir des spécifications et des principes pour les processus, de respecter les lois, de calculer et de signaler les événements de perte. Faire face à des obstacles imprévus ou à des événements dits "du cygne noir" est et reste un exercice d'équilibre exigeant entre les domaines interdisciplinaires de la "gouvernance", du "contrôle" et du "risque" et, plus récemment, de la "résilience". Jens Meissner, professeur et chef de projet pour l'organisation et l'innovation et co-directeur du Master of Advanced Studies in Risk Management à la Haute école spécialisée de Lucerne, explique : "Il faut imaginer qu'un cadre supérieur aurait des centaines de problèmes à résoudre chaque jour. Les problèmes qui deviennent réellement à l'ordre du jour sont une sélection très ciblée et dépendent de ce dont l'organisation est en partie responsable".

Jens Meissner de la HSLU poursuit : "Dans le domaine des résultats d'exploitation, c'est généralement "clair comme de l'eau de roche". Cependant, lorsqu'il s'agit de questions normatives et surtout éthiques, les petites entreprises atteignent rapidement leurs limites, voir aussi les scandales des fondations. Une fois que les dommages sont connus du public, comme dans le cas du naufrage de la plate-forme pétrolière Deepwater Horizon de BP dans le golfe du Mexique en 2010, les pertes de réputation, d'image et de marché ne pourront jamais être remboursées ou blanchies. Du point de vue actuel, confirment les gestionnaires financiers et les gestionnaires de risques suisses, les nouvelles menaces résident dans les actifs incorporels tels que les connaissances (ainsi que les marques), dans les domaines de l'informatique et de la communication. Le professeur Meissner de la HSLU : "Aujourd'hui, l'identification et la gestion des risques doivent de plus en plus porter sur les risques commerciaux (= risques spéculatifs et risques stratégiques de marché et financiers) et pas seulement sur les risques opérationnels traditionnellement les plus assurables. "Enfin, il s'agit de déterminer ce qui appartient encore à l'entreprise et "ce qui n'appartient pas". De nos jours, la gestion interdisciplinaire des risques est moins liée à des modèles et des processus individuels qu'à une délimitation correcte de l'entreprise et à une modération entre l'interne et l'externe.

La SAQ s'est beaucoup impliquée dans la formation à la gestion des risques. Avec la révision de la norme (ISO 9001:2015) en septembre de cette année, par exemple, les exigences en matière de gestion des risques et des opportunités augmentent. Vous trouverez un bref aperçu des étapes et des normes importantes sur la voie de la gestion intégrée des risques à la page 32.