Toutes les fonctions de l’entreprise sont des sources de risques. Ces risques affectent tout ou partie des ressources humaines, matérielles ou financières de l’entreprise. Ils naissent du caractère aléatoire des facteurs internes et externes qui régissent la vie de l’entreprise.
Table de matières
Le risque : De quoi parle-t-on ?
Le risque est un concept bien mal défini et encore plus galvaudé ! On utilise – et ce n’est pas le seul fait des médias – ce même mot pour désigner une situation dommageable, tout ou partie des causes de cette situation, ses conséquences, voire la victime potentielle.
On dira ainsi :
- Il y a un risque d’orage (situation) ;
- La machine risque une surcharge électrique (cause) ;
- Je risque la perte de mon investissement (conséquence) ;
- Cette usine est un risque majeur pour ses assureurs (victime).
Il importe donc d’adopter une définition précise, qui se démarque des différentes acceptions du langage courant. Nous dirons qu’un risque est une situation (ensemble d’événements simultanés ou consécutifs) dont l’occurrence est incertaine et dont la réalisation affecte les objectifs de l’entité (individu, famille, entreprise, collectivité) qui le subit.
Lire Aussi: La production à la demande : Avantages et défis
Certains risques pourront avoir des effets positifs. Ce sont ceux que l’on recherche, et que l’on appelle « chance » ou « opportunités ». D’autres auront assurément des effets négatifs. Ce sont ceux que l’on craint.
Nos activités génèrent directement certains risques. On les qualifiera d’endogènes. D’autres naissent dans notre environnement et nous affectent par contrecoup. On les appellera exogènes.
Un risque se caractérise donc par deux grandeurs :
Lire Aussi: Comment gérer une négociation complexe en entreprise
- Sa probabilité d’occurrence, ou fréquence f.
- Ses effets, ou gravité G.
Un risque se mesure par le produit de ces deux grandeurs, sa criticité C :
C = f x G
La connaissance d’une seule de ces deux grandeurs est évidemment insuffisante pour complètement caractériser un risque. Cette évidence est cependant peu partagée, y compris dans la réglementation qui adopte souvent une approche déterministe.
Lire Aussi: Les soldes intermédiaires de gestion (ESG)
L’existence d’un danger, quelle que soit sa probabilité, suffit à déclencher des exigences de prévention parfois disproportionnées.
Présentons maintenant de manière succincte les principales classes de risques en présence.
La classification des risques de l’entreprise
Risques géopolitiques
Fondamentalement, il s’agit des risques liés à l’environnement global de l’entreprise hors de ses frontières. À partir du moment où une organisation évolue à l’extérieur de son pays d’origine (localisation du siège social), pour quelque raison que ce soit (présence de clients, de fournisseurs, de sous-traitants, de franchisés, de prospects, de partenaires industriels ou commerciaux, d’équipes dédiées, d’actifs, d’investissements, d’engagements…), elle est par nature exposée au « risque pays » où sont localisées ses activités et/ou ses actifs, et à ses composantes de déstabilisation potentielle liée à son exposition géographique hors frontière.
Blocus économique, attentats, guerres, climat insurrectionnel, catastrophes naturelles, mouvements sociaux, instabilité économique, politique ou sociale, tels sont les risques majeurs à appréhender et à traiter, pays par pays, zones géographiques par zones géographiques.
Ces zones de fragilité seront bien évidemment et également à appréhender au niveau du pays d’origine et d’implantation initiale de l’entreprise, mais elles seront considérées a priori comme mieux connues et maîtrisées par les dirigeants, les fondateurs et/ou les actionnaires impliqués. La notion de « risque pays » amène un point d’intérêt spécifique à ne pas négliger.
Ces risques sont donc regroupés sous une appellation un peu pompeuse (« risques géopolitiques »), mais qui demeure toutefois appropriée.
Traiter un « risque pays » consiste bien à analyser un contexte donc des risques géopolitiques. Il s’agit donc de l’analyse du cadre initial d’évolution de l’entreprise en dehors de ses frontières, dont les risques sous-jacents géopolitiques associés doivent être maîtrisés au mieux.
Les risques géopolitiques constituent donc la première brique de stabilité de l’édifice entreprise.
C’est la première classe de risques à appréhender de manière dédiée, dans le cheminement macroéconomique de la maîtrise de l’environnement d’intervention de l’entreprise.
Risques économiques
Une fois l’environnement géopolitique de l’entreprise connu – et, si possible, maîtrisé – la compréhension, l’analyse et la prise en compte efficace de l’environnement économique de l’entreprise s’imposent (au sens macroéconomique du terme).
Inflation, conjoncture, évolution des conditions de financement et de refinancement, évolution de la cherté, de la disponibilité et de la rareté des ressources de l’entreprise nécessaires à son bon fonctionnement (ressources financières, matières premières, marchandises), situation conjoncturelle locale, régionale, nationale et internationale, perspectives macroéconomiques constituent autant de risques économiques majeurs pouvant durablement et profondément remettre en cause la pérennité des organisations et de leurs activités.
Il s’agit, conjointement avec les risques géopolitiques, d’une classe de risques essentielle et primordiale à identifier, comprendre et maîtriser. Ce qui ne sera pas forcément des plus simples.
Les deux classes de risques, risques géopolitiques et risques (macro)économiques constituent le cadre de stabilité, d’instabilité – ou d’environnement initial – de l’entreprise.
La maîtrise de leurs risques associés demeure la priorité essentielle à la survie de toutes les entreprises, quel que soit le secteur d’activité considéré. Notamment, les enjeux stratégiques et financiers des organisations seront étroitement corrélés aux risques économiques.
Risques stratégiques
Une fois maîtrisé l’environnement macroéconomique de l’entreprise, nous abordons le cœur de la problématique, ce qui constitue, à nos yeux, le risque essentiel pour chaque entreprise : la qualité de son modèle stratégique.
Quelle que soit sa taille, chaque entreprise, artisan, commerçant, TPE, PME, PMI, grand groupe national, multinationale, tous bâtissent et proposent un modèle stratégique, en constante évolution et en adaptation permanente.
Seules la complexité, la disparité et la densité de ses composantes (les segments stratégiques) et de ses interactions différencieront le modèle stratégique d’une boulangerie de celui d’une multinationale.
Mais les fondamentaux de cette notion clé que constitue un modèle stratégique sont les mêmes.
Composés de multiples segments stratégiques, le modèle stratégique est exposé à de multiples risques, et notamment le risque d’incohérence entre les différents éléments constitutifs dudit modèle.
Sa constitution, sa validité, sa robustesse, la capacité d’ajustement et de réponse des processus cibles le composant seront le cœur de la réussite de toute entreprise.
Risques financiers
La mise en œuvre du modèle stratégique engendre, par essence, la création d’une multitude de risques financiers.
Du risque d’illiquidité au risque de taux de change, du risque de crédit au risque de dilution du capital, du risque de financement aux risques comptables et fiscaux, les risques financiers constituent l’étape suivante dans notre présentation structurée des différents risques de l’entreprise.
Multiples, complexes, directement impactants, pouvant remettre en cause en une journée la pérennité complète de l’organisation, les risques financiers constituent une famille de risques spécifiques..
Tout risque, toute classe de risques, toute décision d’entreprise aura une incidence financière sur l’entreprise, donc favorisera l’émergence potentielle d’un risque financier. Son positionnement central traduit également cette dimension :
les 14 classes de risques, en se concrétisant, engendreront par nature et systématiquement, un risque financier, plus ou moins difficile à assumer par l’entreprise.
Causés directement par la mise en œuvre du modèle stratégique de l’entreprise, directement ou indirectement, les risques financiers complètent le cœur de notre réflexion présente.
Leur diversité, leur gravité potentielle, leur intime relation avec les enjeux stratégiques de l’entreprise nous conduits à leur dédier cet article ici.
Risques opérationnels
La notion de risques opérationnels est extrêmement large : elle exprime tous les risques pouvant engendrer un dommage, une perte, un coût, créés ou subis lors de la réalisation de l’activité courante de l’entreprise : infrastructures, cycles de production, de distribution, processus logistique, gestion documentaire, etc.
En résumé, les risques opérationnels matérialiseront tous les impacts directs ou indirects engendrés par l’entreprise dans son activité quotidienne.
Ils figurent immédiatement après les risques financiers, résultant du « cœur opérationnel » de l’entreprise. Leur analyse devra être réalisée par grandes familles de processus opérationnels.
Trois types de risques opérationnels spécifiques, particulièrement importants, seront à considérer de manière dédiée et à traiter de façon
particulière dans l’entreprise : les risques juridiques, les risques informatiques, et les risques sociaux et psychosociaux (plus simplement dénommés les risques « ressources humaines »).
Risques industriels
Les risques industriels couvrent, comme leur nom l’indique, une catégorie particulière de risques opérationnels, rencontrés exclusivement dans les activités de fabrication, de transformation, donc de production de biens.
Qu’il s’agisse d’emboutissage de pièces simples, de construction mécaniques complexes (avions, voitures, bateaux, machines-outils, gros œuvre…), de chaînes de montage ou d’assemblage, d’activités de finition légère ou de transformation, les cycles industriels sont à considérer de manière exclusive et leurs risques associés, multiples et complexes, nécessitent un traitement et une approche spécifiques.
Un certain nombre de démarches méthodologiques exclusivement dédiées à la maîtrise des risques industriels existent, et le savoir-faire des grands groupes industriels, réputés pour la maîtrise des cycles techniques de production, participe à la maîtrise des risques industriels, particulièrement critiques pour les entreprises concernées.
Les lecteurs passionnés ou particulièrement concernés par la maîtrise des risques industriels se référeront aux standards et référentiels existants de procédures, processus et méthodes de contrôle industriel des risques spécifiques par secteur, par métier, voire par processus
industriel.
Risques juridiques
Les risques juridiques constituent la première classe de risques opérationnels à traiter selon notre approche de manière différenciée.
Ils couvrent pour l’essentiel les problématiques contractuelles des relations d’affaires, des obligations de respect de la conformité des lois et des règles en vigueur (notion de conformité juridique), les problématiques liées à la contrefaçon, ainsi qu’un approfondissement d’un risque juridique particulier : la responsabilité pénale du dirigeant.
Compte tenu de la pénalisation croissante du monde des affaires, de la tendance générale observée d’une certaine dérive du nombre des actions à l’encontre des personnes morales et de leurs représentants mandataires sociaux, de la médiatisation marquée des abus toutefois marginaux de la fonction de direction d’entreprise en contexte social tendu, et de la multiplication des dérives « sociales » actuellement observées (séquestration, conflits sociaux délicats, conjoncture difficile…), les risques juridiques deviennent désormais un véritable piège pour les entreprises à court, moyen et long terme.
Facteur aggravant de la bonne maîtrise des risques juridiques, l’inflation législative et la multiplication effarante des textes et des décrets rendent désormais pratiquement illisibles et/ou inapplicables la connaissance et donc le bon respect des lois en vigueur, sans l’aide permanente d’un juriste spécialisé par domaine de compétences : droit social, fiscal, pénal, civil, droit des contrats, droit des assurances, etc.
Risques informatiques
Seconde famille de risques opérationnels spécifiques, les risques informatiques sont une source permanente, récurrente et coûteuse de risques critiques pour les entreprises de nos jours, compte tenu de l’usage intensif, permanent et structurel des outils informatiques (matériels, logiciels, applications, infrastructures réseaux, etc.) et de la multitude des risques associés au périmètre informatique.
Vulnérabilité, sécurité physique et logique, qualité des couvertures applicatives, gestion des coûts associés, perte de données, disponibilité des outils et des réseaux, fiabilité/confidentialité/intégrité/disponibilité des données, performance des applications et des traitements, autant de risques informatiques à traiter et à maîtriser impérativement, compte tenu de la permanence et de la prégnance de l’outil IT dans le monde de l’entreprise aujourd’hui.
Quelle que soit la dimension de la structure, l’outil informatique est désormais essentiel à l’activité quotidienne, et la pérennité de l’infrastructure informatique – et de communication associée – devient critique.
Ses risques associés, multiples et lourdement impactants, constituent un gisement de risques majeurs à identifier, comprendre et maîtriser.
Risques Marketing
Le marketing s’intéresse aux secteurs économiques, marchés, zones géographiques, produits et clients. Le développement, voire la pérennité, de certains secteurs économiques clés de la firme n’est peut-être pas assuré.
Il y a souvent un risque de récession conjoncturelle sur un marché ou sur un autre, difficile à prévoir et vis-à-vis duquel les moyens d’action sont limités essentiellement à la baisse des charges.
Lorsqu’on opère dans différents pays il faut s’adapter à des problèmes divers et à des cultures spécifiques. On répartit les risques en recherchant un équilibre entre les zones.
On n’investit pas dans les endroits les plus dangereux, ce qui donne une stabilité, mais au détriment de la croissance. On offre de plus en plus de produits, de services. Mais la nouveauté est parfois cause d’échec.
Les clients sont volatils et l’on a du mal à les fidéliser.
Il faut identifier les marchés existants ou à créer et évaluer l’évolution de la demande. L’élaboration de prévisions est forcément aléatoire, car elle s’applique au futur. On s’aide grâce à des fourchettes d’incertitude ou des probabilités.
Plus on approfondit l’étude, plus son coût est élevé. Il y a donc un bilan à faire entre la dépense et le gain éventuel lié à la limitation du risque.
Il y a une distinction des risques entre :
- des produits déjà vendus sur les marchés, occupés par l’entreprise ;
- des produits existants déjà sur de nouveaux marchés, voire de nouveaux pays ;
- des nouveaux produits sur les marchés actuels ;
- des nouveaux produits sur de nouveaux marchés.
Des incohérences dangereuses apparaissent parfois entre :
- prix de l’offre, prix de marché et prix des concurrents directs ;
- le prix et les prévisions budgétaires qui définissent la marge ;
- la différenciation des produits et leurs prix respectifs ;
- le niveau de prix et la psychologie de l’acheteur ou de l’utilisateur ;
- le prix et les prétentions des distributeurs.
Il y a parfois des défauts dans le domaine de la connaissance.
Exemple :
- ne pas bien connaître les savoir-faire de l’entreprise et s’engager dans des voies impossibles ;
- ne pas réussir à détecter l’évolution des segments, des modes et réseaux de distribution ;
- ne pas savoir évaluer correctement les dépenses de publicité, promotion et communication.
Les choix en publicité sont parfois erronés en ce qui concerne agences, contrats, objectifs de campagne, thèmes et messages, planning, budget.
Le marketing définit normalement des objectifs de quantités vendues, de chiffre d’affaires, de marge. Il y aura des écarts entre la réalité et les prévisions, d’où la nécessité d’un contrôle de gestion à ce niveau afin d’identifier les causes des écarts, de détecter la non-fiabilité des données, de s’assurer que l’ensemble du système commercial est correctement adapté pour suivre les livraisons, les facturations, les stocks.
Risques « ressources humaines »
Derrière cette dénomination peu valorisante, les risques « ressources humaines » sont constitués en fait de deux grands types de risques distincts : les risques sociaux (climat social, maîtrise du turn-over, gestion de la compétence, perte homme clé…) et les risques psychosociaux (mal-être, stress, harcèlement sexuel et/ou moral, suicide, conduites additives…).
Cette classe de risques, également rattachée indirectement aux risques opérationnels, nécessitera un traitement particulier et délicat, compte tenu du périmètre et de la sensibilité du domaine abordé.
« Il n’est de richesse que d’hommes » : au-delà de l’adage fameux de Jean Bodin, nous serons tentés de dire « qu’il n’est de risques que d’hommes ».
Clé de voûte de tout projet de création et de développement d’entreprise, la gestion du risque humain sera primordiale, complexe, passionnante, mais source de nombreuses fragilités à appréhender puis à maîtriser.
Également, les enjeux du management intergénérationnel (et la prise en compte de la fameuse « génération Y », de ses désirs, de ses contraintes, de ses codes, de ses valeurs et de ses apports), la question de l’encadrement interculturel pour les entreprises internationales, le développement et la pérennisation des connaissances, des compétences et des savoirs des acteurs, la création et le maintien d’un lien social efficace et serein, autant d’enjeux RH à traiter au titre de ce risque générique.
Risque d’image et/ou de réputation
Le risque d’image ou le risque de réputation peut être considéré, à tort, comme des problématiques de haut niveau dont l’intérêt et/ou la portée, en cas d’émergence, ne concernent que les grandes entreprises, médiatisées, significatives en dimensionnement ou en respectabilité.
Bien au contraire…
Connaître l’image de son entreprise et la maîtriser vis-à-vis de ses salariés, de ses clients, de ses fournisseurs, de ses partenaires, de ses tiers de confiance, ne constitue pas l’apanage des stars du CAC ou des entreprises intégrées aux indices phares des places boursières internationales.
Autant la construction d’une image interne et externe va s’avérer complexe, difficile, longue, autant sa destruction – ou sa dégradation – constituera des risques extrêmement rapides en concrétisation, difficilement maîtrisables, dont les impacts en termes de gravité seront très lourds, voire impossibles à surmonter.
Contrefaçon, rumeurs, guerre économique, diffamation, contrebande, concurrence déloyale, autant de vecteurs de risques que l’entreprise devra contrôler afin de maîtriser son image.
Gérer un risque image ne s’improvise pas, et chaque entreprise devra garder en permanence un œil sur sa réputation, dont les dommages seront lourds de sens.
Un risque à ne pas négliger, même pour une toute petite entreprise…
Risque « knowledge management »/gestion de la connaissance
Principal actif de l’entreprise, la connaissance et les savoir-faire de l’organisation, des équipes, des salariés, son évolution et sa capitalisation exposent toutes les entreprises aux risques liés à ce que la terminologie anglo-saxonne appelle le « knowledge management », autrement dit la gestion de la connaissance.
Documentation des procédures et des processus, actualisation des modes opératoires, gestion de la donnée et de l’information en interne et en externe, veille prudentielle, autant de sources de risques que la gestion de la connaissance devra encadrer, afin de sanctuariser l’actif essentiel de toute entreprise : son savoir.
Vecteur de transmission, de formation, de capitalisation et de différenciation de l’entreprise, la maîtrise de la connaissance et de ses risques associés constitue un risque particulièrement sensible à gérer.
Il permettra également d’optimiser l’efficacité de l’activité. Souvent perçue comme contraignante, la maîtrise de ce risque demeurera critique, à bien des égards.
Autres risques : de multiples sources de risques à ne pas négliger
Avant-dernière famille des risques identifiés dans l’entreprise, la classe des « autres risques », comme son nom l’indique, regroupe toute une série de risques à traiter de manière individuelle dans le temps et dans l’espace, mais qui ne constitue pas de classes de risques dédiées, ne pouvant proposer au lecteur une multitude infinie de thématiques différenciées.
Il nous a semblé que, bien que significatifs pour la plupart d’entre eux, ces types de risques pouvaient être trop spécifiquement marqués de complexité d’un secteur d’activité à l’autre, ce qui nuisait à la présentation homogène et graduelle souhaitée de la pyramide initiale retenue.
D’où le choix méthodologique de créer une « classe élargie » de risques, à ne pas oublier toutefois.
Parmi les grands risques constitutifs de cette classe no 13, nous trouverons notamment les problématiques de surqualité, de risque environnemental et de maîtrise du développement durable, de défaillance des dispositifs de contrôle interne, de défaillance de pilotage, de gouvernance de l’entreprise, etc.
Ces risques ne font toutefois pas partie d’une classe de risques transversale dédiée, compte tenu de la spécificité de chacun de ces risques, et de leur non-applicabilité dans un certain nombre de situations.
Risque d’intégrité
Le risque d’intégrité sera à percevoir et analyser tant d’un point de vue individuel (démarche, comportement ou action inappropriée, réalisés par un acteur individuel : discrimination, injure, non-respect des règles d’entreprise, vol, fraude…) que d’un point de vue de conformité/déontologie (respect par les acteurs de l’entreprise et l’entreprise elle-même – des règles, lois et décrets en vigueur).
Fondamentalement, l’intégrité individuelle d’un dirigeant, d’un collaborateur, d’une organisation pourra potentiellement remettre en cause la pérennité même de l’entreprise. Ce risque d’intégrité est positionné en haut de la pyramide, représentant le sommet de l’action individuelle – et du risque éventuel associé.
De cette culture de l’intégrité individuelle et/ou collective, du respect ou non – des règles établies (internes et/ou externes à l’entreprise) découle une vision d’entreprise, de mise en œuvre du modèle stratégique, appliqué à chaque acteur.
Il s’agit du risque individuel ultime, potentiellement dommageable et pouvant impacter ou engendrer tous les risques précédents : risque d’image, risque financier, juridique, opérationnel, jusqu’au socle primal.
Conclusion
Ces quatorze classes de risques spécifiques permettent d’appréhender de manière simple les principaux enjeux conceptuels à traiter en entreprise. Mais cette article ne couvre malheureusement pas tous les risques à appréhender.