Management des risques de l'entreprise : Ne prenez pas le
risque de ne pas le faire !
Eustache Ebondo Wa Mandzila, Daniel Zéghal
Dans La Revue des Sciences de GestionLa Revue des Sciences de Gestion 2009/3 (n° 237-238)2009/3 (n° 237-238), pages 5 à 14
Éditions Direction et GestionDirection et Gestion
ISSN 1160-7742
DOI 10.3917/rsg.237.0005
Distribution électronique Cairn.info pour Direction et Gestion.Distribution électronique Cairn.info pour Direction et Gestion.
La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les limites des conditions générales d'utilisation du site ou, le
cas échéant, des conditions générales de la licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie, sous quelque
forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est
précisé que son stockage dans une base de données est également interdit.
Article disponible en ligne à l’adresseArticle disponible en ligne à l’adresse
https://www.cairn.info/revue-des-sciences-de-gestion-2009-3-page-5.htm
Découvrir le sommaire de ce numéro, suivre la revue par email, s’abonner...
Flashez ce QR Code pour accéder à la page de ce numéro sur Cairn.info.
© Direction et Gestion | Téléchargé le 29/07/2024 sur www.cairn.info (IP: 193.48.143.174)
© Direction et Gestion | Téléchargé le 29/07/2024 sur www.cairn.info (IP: 193.48.143.174)
La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie
mai-août 2009
17
Dossier
Innovations managériales
Management des risques de l’entreprise :
Ne prenez pas le risque de ne pas le faire !
par Eustache Ebondo Wa Mandzila et Daniel Zéghal
Eustache EBONDO WA MANDZILA
Professeur,
Euromed Marseille Ecole de Management
(France)
Daniel ZÉGHAL
Professeur titulaire, École de gestion, Université
d’Ottawa, Directeur exécutif, CGA, centre de
recherche en comptabilité, Université d’Ottawa
(Canada)
Tout le monde s’accorde pour affirmer que les entreprises
évoluent dans un environnement de plus en plus incertain, de
plus en plus mouvant. En effet, la mondialisation, avec son
corollaire, la complexification des activités et des réglementations,
a rendu floues les frontières entre l’entreprise et ses sous-traitants.
Les fusions-acquisitions-cessions ont accentué cette impression
d’instabilité quasi générale. Les anciens modèles organisation-
nels ne correspondent plus aux enjeux actuels. L’entreprise doit
faire face à l’émergence des risques de plus en plus nombreux
et diversifiés. Selon U. Beck (2001 ; 1986) U. Beck, A. Giddens
et S. Lash (1994) nous sommes rentrés dans la société ou dans
l’ère du risque. Face à cet environnement de « moins en moins
prévisible et de plus en plus agressif », susceptible de compro-
mettre l’atteinte des objectifs des entreprises, il devient urgent
pour toutes les organisations de mettre en place un dispositif
de management des risques1 consistant à identifier, évaluer et
gérer les risques aussi bien réels que potentiels.
L’objectif de cet article est de présenter le concept et la pratique du
management des risques de l’entreprise avec pour souci d’attirer
l’attention du lecteur, plus précisément du dirigeant, quant aux
avantages et bénéfices qu’il peut en tirer. Les concepts, la trame
et sa mise en œuvre seront expliqués. Les raisons de l’introduc-
tion de l’approche du Management des risques de l’entreprise
ou la gestion intégrée des risques seront abordées dans la
première partie. Les bénéfices associés à cette approche seront
énumérés. De même, les liens entre le management des risques
et la gouvernance de l’entreprise seront eux aussi présentés.
1. Le management des risques de l’entreprise est la traduction faite en France
par le cabinet PriceWatrerhouseCoopers et Landewell & Associés de l’«
Enterprise
Risk Management- Integrated Framework
» (ERM) plus connu sous le COSO II
Report qui est le prolongement de l’
« Internal Control-Integrated Framework
»
plus connu sous le nom de COSO I Report, publié en aux Etats-Unis en 1992 par
le
Committee of Sponsoring Organizations of the Treadway Commission
(COSO).
© Direction et Gestion | Téléchargé le 29/07/2024 sur www.cairn.info (IP: 193.48.143.174)
© Direction et Gestion | Téléchargé le 29/07/2024 sur www.cairn.info (IP: 193.48.143.174)
La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie18
Dossier
Innovations managériales
mai-août 2009
1. Approche théorique et pratique
du management des risques.
Les entreprises ont toujours été exposées à des risques. Il est
important, avant de situer ces risques dans leur nature et dans
une perspective historique, de dégager une définition du manage-
ment des risques.
1.1. Définition du management
des risques de l’entreprise
Le Management des risques est synonyme de management des
risques des Affaires, du management holiste des risques ou du
management stratégique des risques (Simons 2000)1.
Selon le
Committee of Sponsoring organizations of the Treadway
Commission
(
COSO II report
, 2004) prolongement du
COSO
Report I
(1992), « The enterprise Risk Management- Integrated
Framework » traduit en français par : « Le management des risques
de l’entreprise » (IFACI et PriceWaterhouse Coopers Landwell, 2005,
p. 5) est défini comme étant « un processus mis en œuvre par le
conseil d’administration, la direction générale, le management
et l’ensemble des collaborateurs de l’organisation. Il est pris en
compte dans l’élaboration de la stratégie ainsi que dans toutes
les activités de l’organisation. Il est conçu pour identifier les
évènements potentiels susceptibles d’affecter l’organisation et
pour gérer les risques dans les limites de son appétence pour le
risque. Il vise à fournir une assurance raisonnable quant à l’atteinte
des objectifs de l’organisation ». Il s’agit donc d’une approche
rigoureuse de l’évaluation et du repérage de tous les risques
menaçant l’atteinte des objectifs stratégiques d’une organisation
et implique tous les membres de l’organisation et ce, à tous les
niveaux. Cette approche globale des risques est perceptible à
travers les catégories d’objectifs que poursuit le management
des risques d’entreprise à savoir : les objectifs stratégiques2,
opérationnels,
reporting
et de conformité. Elle vise également à
rattacher les objectifs aux différentes catégories permettant ainsi
au mangement de se concentrer sur les différents aspects des
risques organisationnels et non plus sur une seule catégorie des
risques comme dans l’approche traditionnelle.
1.2. La nature du risque
et l’approche traditionnelle
Pendant longtemps, l’entrepreneur a été défini comme celui qui
prenait le risque d’entreprendre, celui qui risquait son capital et
qui était rémunéré pour cela. P. Drucker (1973, p. 512), met en
1. Simons définit le risque stratégique comme « un événement imprévu ou un
ensemble de conditions qui réduit de façon importante l’habileté des gestion-
naires à mettre en œuvre la stratégie d’affaires projetée ». Il divise lerisque
stratégique en trois composantes : risque opérationnel, risque d’évaluation
d’actifs et le risque de concurrence
2. Le COSOII report se distingue du COSO I report au niveau des objectifs par la
prise en compte dans le COSO II, des objectifs stratégiques.
garde contre toute tentative d’élimination des risques. Selon lui,
« essayer d’éliminer les risques, tenter même de les diminuer…
peut aboutir au plus grand de tous les risques : la rigidité ». Il
définit les décisions managériales comme des décisions de prise
de risques et suggère même qu’une stratégie pour l’innovation
soit basée sur une acceptation claire des risques d’échec. Il s’agit
d’une prise de conscience selon laquelle les risques sont inhérents
à toute entreprise. C’est ce qui justifie également la souscription
des polices d’assurance par les entreprises visant à les couvrir
contre des pertes qui pouvaient être causées par des incendies,
vols, inondations, tremblements de terre notamment. De même,
des contrats d’assurance étaient souscrits pour se protéger contre
la perte d’un associé ou d’un dirigeant important. Certains risques
liés à l’investissement ou à un prêt étaient transférés à d‘autres
parties. Sur le plan budgétaire, l’approche traditionnelle reconnaît
l’incertitude qui entoure toute prévision de coûts et de revenus et
a préconisé, à ce titre, la rationalisation des choix budgétaires.
Dans le cas d’un projet d’investissement, pour tenir compte du
facteur temps et donc du niveau de risque pesant sur les flux de
trésorerie, il est souvent fait appel à un taux d’actualisation des
revenus futurs. Une autre technique consiste à faire appel à une
analyse de la sensibilité afin d’aboutir à une échelle de valeurs
variant d’optimiste à pessimiste. Les probabilités et la simulation
de Monte-Carlo ont aussi été utilisées comme méthodes d’ana-
lyse de risques dans les décisions d’investissement de capital.
Depuis de nombreuses années, des méthodes de production,
de conditionnement et de distribution ont abouti à des change-
ments significatifs dans la protection face à des risques tels
que des pertes durant le transit, le sabotage par les employés
et la contrefaçon. R.N. Anthony, J. Dearden et V. Govindarajan
(1992) considèrent, eux aussi, que la poursuite du profit d’une
organisation peut être limitée par la volonté du management de ne
pas prendre des risques. En effet, il est possible que la politique
managériale vise à préserver les actifs de l’entreprise et que
l’objectif du profit y soit subordonné. L’appétence pour le risque
dépend de la personnalité même des managers. L’environnement
dans lequel évoluent les entreprises est porteur de risques. Par
conséquent, le développement, la survie de l’entreprise passe
aussi par l’acceptation par l’entreprise d’une prise de risques. Les
approches traditionnelles du management des risques, malgré
leur mérite, avaient pour caractéristique, d’être fragmentées. Elles
ne semblent donc plus correspondre aux enjeux et aux risques
associés au nouvel environnement économique. En effet, Les
clients exigent des produits et services de qualité supérieure et à
des prix très compétitifs. Les investisseurs attendent des dirigeants
de plus en plus de performances financières exceptionnelles. La
faillite de certains organismes américains d’épargne et de prêt
dans les années 1980 est largement imputable à une mauvaise
approche des risques encourus par les dirigeants des mêmes
organismes. De même, l’effondrement financier en Asie durant
la dernière décennie dans le secteur des hautes technologies,
est la conséquence d’une politique inadaptée de management de
risques. La dérégulation gouvernementale a créé un climat universel
favorable à l’investissement et aux échanges internationaux. Les
© Direction et Gestion | Téléchargé le 29/07/2024 sur www.cairn.info (IP: 193.48.143.174)
© Direction et Gestion | Téléchargé le 29/07/2024 sur www.cairn.info (IP: 193.48.143.174)
La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie 19
Dossier
Innovations managériales
mai-août 2009
entreprises ne peuvent plus appréhender le management des
risques sous le seul prisme national. Aujourd’hui une société qui
ne parvient pas à manager efficacement les risques et qui éprouve
des difficultés financières va ébranler la confiance accordée par
les investisseurs nationaux et internationaux. La conjugaison de
tous ces facteurs invite à une approche systémique, intégrée et
structurée du management des risques de l’entreprise.
1.3. Le management des risques
de l’entreprise : les enjeux
L’objectif principal du Management des risques de l’entreprise
est d’accroître la confiance et de contribuer à créer de la valeur
pour les actionnaires. Tout l’édifice repose fondamentalement
sur ce principe. Mais, satisfaire les actionnaires passe d’abord
par une meilleure utilisation des ressources de l’entreprise. Le
management des risques de l’entreprise aide également à la
prise de décision en identifiant les zones porteuses des risques
majeurs et en suggérant des plans d’actions pour y remédier. Il
est attendu aussi du management des risques de l’entreprise
qu’il contribue à instaurer la confiance auprès des investisseurs
grâce à la mise à plat des processus métier de l’entreprise afin
d’identifier les éventuels dysfonctionnements ou les activités
sensibles au regard des objectifs clés de l’entreprise.
Une véritable politique de management des risques offre à l’entre-
prise plusieurs avantages. En effet, selon le
COSO II Report (2005,
p. 42),
l’adoption d’un management des risques de l’entreprise
peut procurer plusieurs avantages. En effet le management des
risques permet de distinguer « le niveau de risque global qu’une
entreprise accepte de prendre pour répondre à son objectif de
création de valeur ». Cette appétence1 pour le risque est également
prise en compte dans la définition de la stratégie dans la mesure où
les résultats de la stratégie doivent être en ligne avec l’appétence
de l’organisation pour le risque. Le dispositif de management des
risques de l’entreprise aide ainsi la direction à déterminer une
stratégie correspondant à l’appétence de l’organisation pour le
risque. Un lien est alors établi entre la croissance, le risque et
le résultat et permet à une entité d’identifier, d’évaluer le risque
et d’en établir des niveaux acceptables compatibles avec les
objectifs fixés par l’entreprise. Cela suppose que le management
des risques passe non seulement par une phase d’identification
mais aussi d’évaluation des risques. Les risques peuvent être
classés en plusieurs catégories. On peut distinguer les risques
stratégiques, opérationnels, informationnels et réglementaires.
K. Lajili et D. Zéghal (2005) distinguent quant à eux plusieurs
catégories de risques que nous reproduisons dans le tableau 1.
Si les risques sont identifiés, Il convient de les qualifier selon
deux critères : la probabilité de survenance et l’impact en cas
de survenance. L’impact pourra être apprécié selon plusieurs
paramètres : impact financier, humain, impact sur l’image de
l’entreprise. Généralement, il est souvent fait appel à la cotation
selon une échelle de type : faible/moyen/élevé. La combinaison
du critère 1 (probabilité d’occurrence) et du critère 2 (impact)
permet d’attribuer au risque considéré une cotation globale. Ainsi
le management des risques permet une meilleure connaissance
1. L’appétence pour le risque fait référence au degré de risque qu’une organisa-
tion est capable d’accepter.
Tableau n° 1. Catégories de risques auxquels l’entreprise fait face
Catégories de risques Nature du risque
Risque financier (de change, opérationnel, de
marché, de crédit, de taux d’intérêt)
Risque financier : changements dans le taux d’intérêt, le change, le crédit, la valeur de
l’instrument financier et la liquidité.
Risque opérationnel : défauts techniques, accidents, erreurs humaines, perte d’employés
clés.
Risque du marché : changements dans la concurrence, dans le nombre de produits
vendus par client, perte de parts de marché.
Risque lié à la réglementation gouvernementale Changement dans le contrôle, la réglementation, les législations nationales et internatio-
nales
Risque économique Changements dans les facteurs macroéconomiques.
Risque de matières premières Changements dans les prix des matières premières
Risque environnemental Incidents dans l’environnement, lois et règlements environnementaux
Risque politique Conduite des affaires dans un contexte international
Risque d’illiquidité Les difficultés de faire face à ses engagements, à ses échéances
Risque de technologie Changement rapide de technologie
Risque lié aux conditions climatiques Conditions climatiques graves, défavorables à l’activité de l’entreprise
Risque fournisseur Dépendance à l’égard de fournisseurs clés, fournisseurs peu sûrs
Risque lié au cycle Tendance cyclique naturelle
Risque de saisonnalité Modèles saisonniers
Risque de valeur de l’instrument financier
Risque de distribution Changements dans les canaux de distribution
Risque de ressources naturelles Quantités insuffisantes de réserves, faible qualité des réserves.
Source : Adapté de : K. Lajili et D. Zéghal (2005) « Gérer le risque à l’échelle de l’entreprise : l’autre facette de la gouvernance de l’entreprise »
© Direction et Gestion | Téléchargé le 29/07/2024 sur www.cairn.info (IP: 193.48.143.174)
© Direction et Gestion | Téléchargé le 29/07/2024 sur www.cairn.info (IP: 193.48.143.174)
La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie20
Dossier
Innovations managériales
mai-août 2009
et une bonne compréhension de l’impact du risque en cas de
survenance. Après l’identification et l’évaluation des risques, la
direction peut alors adopter une stratégie appropriée parmi les
cinq stratégies de gestion de risques suivantes : l’évitement, la
prévention, la réduction de l’impact, le partage et l’acceptation
du risque. Le choix d’une stratégie nécessite de chiffrer le rapport
coût/bénéfice de chacune des stratégies possibles. Ainsi une
entreprise qui aura pour objectif de se développer à l’interna-
tional, ne pourra pas mettre en œuvre une stratégie d’évitement
du risque d’échange. Par ailleurs, le management des risques,
grâce à la qualité des informations qu’il produit, oriente mieux
les besoins en capitaux et leur meilleure allocation. Toutes ces
raisons militent en faveur de l’adoption d’un management intégré
des risques de l’entreprise.
2. Pour une adoption
du management intégré
des risques de l’entreprise
Selon une enquête réalisée par Tillingast-Towers Perrin (2002,
p. 4), 5 à 10 % des entreprises d’Amérique du Nord utilisaient
une approche intégrée du management des risques. La même
enquête indiquait que les postes de Risk Managers étaient en
augmentation constante. Une autre enquête réalisée par le même
auteur, Perrin Tillingast-Towers (2002) a montré que c’est surtout
dans le secteur des assurances que se développait une politique
de management intégré des risques. Une étude réalisée par A.A.
Gramling et P.M. Myers (2006) sur l’adoption du management
intégrée des risques par les organisations, a fourni les résultats
que nous reproduisons dans le tableau n° 2
Tableau n° 2. Le statut du management des risques intégrés.
L’organisation n’a pas adopté le management des risques
de l’entreprise
13 %
L’organisation a adopté le management des risques de
l’entreprise il ya plusieurs années et sa mise en place est
terminée
6,1 %
L’organisation a récemment adopté le management des
risques de l’entreprise et sa mise en place est relative-
ment terminée
5,5 %
L’organisation a récemment adopté le management des
risques de l’entreprise mais sa mise en place n’est pas
parfaitement terminée
14,7 %
L’organisation s’est engagée dans un processus de mise
en oeuvre du management des risques de l’entreprise
21,9 %
Actuellement, l’organisation est en train d’apprécier la
pertinence du management des risques pour leur entre-
prise
31,8 %
L’organisation a rejeté le concept du management des
risques de l’entreprise
1,4 %
Autres réponses 5 %
Ne se prononce pas 0,6 %
Source : A.A. Gramling, P.M. Myers (2006) « Internal Auditing’s role in
ERM »,
Internal auditor
, april, p. 54.
Le
COSO II Report
est actuellement relayé par des pressions
externes, notamment les investisseurs institutionnels. Ceux-ci,
notamment les fonds de pension incitent les gouvernements
d’entreprises à adopter une approche intégrée du management
des risques. En Grande-Bretagne, par exemple, la London Stock
Exchange recommande vivement cette stratégie. En Australie et
en Nouvelle-Zélande, un ensemble de standards communs au
management des risques est mis en place. Pour le moment, il n’y
a aucune obligation. En Allemagne, des dispositions législatives
ont été votées en 1998. Aux Pays-Bas, un rapport a été également
publié. Ces lois et rapport militent en faveur de l’adoption d’un
management intégré des risques. De même, aux Etats-Unis, la
Securities and Exchange Commission, l’AICPA (rapport Jenkin) et
le rapport du COSO font du management de risques une priorité
pour les entreprises. On peut, toutefois, regretter le caractère
non obligatoire de l’application de ces rapports. Au Canada, le
CICA a publié un guide à destination des directeurs dans lequel
il est précisé, avec force, que le contrôle fait partie du processus
de gouvernance, et, à ce titre, nécessite que les risques soient
convenablement gérés. Le guide parle aussi du fait que « les
risques contrôlables existent au travers de l’organisation, de par
sa vocation, sa stratégie, son personnel et ses autres ressources,
communication et pratiques opérationnelles générales. » Dans
ce contexte, le contrôle inclut non seulement le problème des
valeurs éthiques mais également l’identification et la réduction
des risques. Si le management a tendance à parler du risque
relatif à l’atteinte de ses objectifs, une partie du risque réside
également dans le fait de ne pas réussir à maintenir la capacité
de l’organisation à identifier et à exploiter les opportunités.
2.1. Le processus de management
des risques
L’efficacité du management des risques de l’entreprise passe
par la distinction de trois niveaux reliés entre eux.
Le premier niveau concerne les relations qui doivent exister entre
les différentes structures composant l’organisation. L’organisation
peut être centralisée ou décentralisée. Ce qui importe c’est de
mettre en place une organisation efficace qui passe par la défini-
tion formelle des responsabilités, des pouvoirs et des procédures
d’exécution et de contrôle sans toutefois perdre de vue le système
de délégation qui doit exister à tous les niveaux de responsabilité.
Cette organisation ne peut ignorer l’environnement à l’intérieur de
laquelle elle évolue. C’est l’environnement interne qui constitue
la base de la structure organisationnelle de l’entité et dicte la
manière selon laquelle les tâches de fixation d’objectifs devront
être menées. L’environnement interne englobe la totalité de la
philosophie managériale en matière de risques de l’organisation,
l’appétence pour le risque, l’intégrité et les valeurs éthiques des
dirigeants de l’organisation. En effet, la culture de l’entité peut
être influencée par la personnalité du dirigeant. Privilégier les
résultats à tout prix au mépris des règles éthiques est préjudi-
ciable à l’organisation. Les relations établies entre la structure de
© Direction et Gestion | Téléchargé le 29/07/2024 sur www.cairn.info (IP: 193.48.143.174)
© Direction et Gestion | Téléchargé le 29/07/2024 sur www.cairn.info (IP: 193.48.143.174)
6
7
8
9
10
11
1
/
11
100%
