Gestion des risques utiles pour les PME : là où elle échoue

La gestion des risques est un sujet que les conseils d'administration et les membres de la direction générale doivent aborder de toute urgence. Dans de nombreuses entreprises, la gestion des risques est considérée comme un moyen nécessaire, mais finalement inutile, de satisfaire aux exigences légales. Mais au plus tard depuis que les risques qui menacent l'économie mondiale ont également été discutés au WEF de Davos, les dirigeants et les médias en parlent plus ou moins intensément. Il s'agit d'un réseau complexe de dangers et de menaces tels que la pénurie de compétences, les changements démographiques, le déséquilibre des capitaux, la volatilité financière, la transition énergétique, les pénuries d'énergie, les pénuries d'eau, le réchauffement climatique et les migrations [1, 2], pour n'en citer que quelques-uns. Il est compréhensible que les dirigeants veuillent savoir comment ces tendances affectent leurs activités commerciales.

Réglementation juridique et industrielle

La loi stipule (art. 961 CO) que la gestion des risques doit être mise en place pour certaines formes juridiques (SA cotée en bourse) au-delà d'une certaine taille d'entreprise (40 millions de CHF de chiffre d'affaires/> 250 employés). 3] L'existence et le fonctionnement doivent maintenant être confirmés dans le rapport de gestion du rapport annuel. Plusieurs réglementations sectorielles sont appelées normes comptables reconnues (IFRS pour les PME/Swiss GAAP RPC/IPSAS), mais les recommandations pour le gouvernement d'entreprise précisent également la manière dont les rapports doivent être établis.

Le conseil d'administration peut donc également être tenu par la loi de mettre en œuvre un système de gestion des risques qui fonctionne et d'en faire la preuve.

La mise en œuvre se fait généralement par l'application d'une norme de gestion des risques généralement acceptée (COSO ERM, ISO 31 000, ONR 49 000ff) et des processus correspondants. Ces processus sont ensuite contrôlés une fois par an par une société d'audit et l'existence de ces processus est confirmée dans le rapport d'audit. Dans le cadre de ces processus, le comité des risques du conseil d'administration et de la direction générale reçoit généralement un rapport 1 à 4 fois par an maximum sur les risques les plus importants pour l'entreprise.

Tout le monde parle de gestion des risques...

Diverses études mondiales et à grande échelle réalisées par les Big 4, dont Deloitte [4] et PwC [5], mais aussi par des compagnies d'assurance [6], montrent qu'une nette majorité des dirigeants interrogés considèrent la gestion des risques comme importante. En outre, la quasi-totalité d'entre eux souhaitent investir dans l'optimisation de la gestion des risques à l'avenir. Il est toutefois intéressant de noter que seul un tiers environ des gestionnaires incluent encore des informations concrètes sur la gestion des risques dans leurs décisions. Ils continuent à prendre des décisions à l'instinct.

...mais peu l'utilisent !

Quels sont donc les principaux problèmes qui empêchent une PME de faire le meilleur usage possible de la gestion des risques. Il y a certainement trois raisons principales [7] :

1. trop peu de ressources ("notre main-d'œuvre est plus importante ailleurs").

2. trop peu de connaissances ("La gestion des risques nécessite des spécialistes")

3. trop peu d'attente de bénéfices ("Rien ne change si je connais les risques").

À notre avis, ce sont précisément les approches couramment appliquées pour résoudre ces trois problèmes aigus qui conduisent à de nombreux petits problèmes, qui font alors obstacle à une solution optimale pour une PME. Les problèmes les plus importants identifiés sont brièvement abordés ci-dessous. Ils comprennent (voir également la présentation des problèmes généraux pour les PME, ci-contre) :

• Trop d'experts : Il existe de nombreux spécialistes sur le marché, chacun étant un génie dans son domaine. Mais il existe de nombreux domaines d'expertise en matière de gestion des risques (voir encadré). Comme les ressources financières sont souvent limitées et que les problèmes aigus exigent une solution rapide et experte, les mauvaises priorités sont fixées.
• Penser en siloIl existe de nombreux domaines, départements et fonctions au sein de l'organisation. Chacun d'eux a des exigences différentes et individuelles en matière de gestion des risques. En l'absence de coordination, le plus fort prévaudra [8] (voir encadré).
•  Trop de normes : Il existe de nombreuses normes qui ne sont appliquées que dans des sous-domaines individuels de la gestion des risques et qui sont utilisées par les experts concernés. En outre, il existe des normes et des ensembles de règles qui sont prescrites ou habituelles dans les domaines organisationnels et qui sont donc préférables (voir encadré). L'ignorance de leur nécessité ou des ensembles de règles et des options alternatives de niveau supérieur entraîne une dispersion des ressources disponibles. En outre, une évaluation coûts-avantages fait trop souvent défaut avant leur mise en œuvre.
•  Trop de procès : En fonction des besoins des différentes fonctions et des différents domaines, ainsi que de l'utilisation de normes très spécialisées par les experts appelés à aider, plusieurs processus de gestion des risques indépendants et parallèles sont introduits, nota bene pour des processus identiques ou très similaires. Cela conduit inévitablement à un effort de documentation important et donc à une immobilisation des ressources. Un autre aspect négatif est que cela peut aussi inhiber massivement l'innovation.
• Trop d'outils : Il existe aujourd'hui un nombre déroutant d'outils de gestion des risques, allant de simples listes de contrôle à des logiciels spécifiques. Ceux-ci génèrent à leur tour diverses formes de rapports. D'une part, les experts recommandent et mettent souvent en œuvre des méthodes toutes faites qu'ils connaissent bien et qu'ils utilisent partout. Les fonctions et les divisions, en revanche, ne connaissent généralement que les outils couramment utilisés dans leur domaine de compétence ; ceux-ci couvrent alors aussi principalement leurs besoins immédiats. Cette circonstance conduit à un important flot d'informations et est donc responsable d'une vue d'ensemble très limitée. Bien que les outils de gestion des risques actuellement utilisés répondent aux exigences du domaine spécifique pour lequel ils ont été développés, on peut souvent se demander s'ils peuvent être utilisés de manière optimale pour une gestion efficace des risques de l'entreprise. Souvent, ils ne répondent pas aux critères d'efficacité, de diversité et aussi de communication dans la mesure où cela serait nécessaire pour une PME. [8]

Une situation insatisfaisante

L'expérience a montré que ces nombreux domaines problématiques qui se chevauchent et, malgré tout, sont interdépendants, font que la gestion des risques est poursuivie à grands frais, mais n'est pas évaluée comme étant bénéfique. Cela signifie que les avantages réels qui résulteraient d'une gestion des risques appropriée, efficace et intégrale ne sont pas exploités [9]. Toutefois, cela devrait être dans l'intérêt d'une PME dotée d'une bonne gouvernance d'entreprise.