Qu’est-ce que la gestion des risques en entreprise ? Le guide

La gestion des risques en entreprise, ou GRE, implique directement les dirigeants, tant sa réussite est stratégique pour les performances de la société. Les dangers qui menacent une entreprise sont cependant suffisamment nombreux pour qu’il faille adopter des méthodes précises d’identification et de solutionnage. Quelles sont-elles ? Comment définir précisément le risque en entreprise ? De quelles réalités se préoccupe-t-il ? Qui sont les responsables de la gestion des risques en entreprise ? Quels sont les bénéfices d’une GRE performante ?

Qu’est-ce que la gestion des risques en entreprise ?

La gestion des risques de l’entreprise (GRE) s’appelle en anglais l’Enterprise Risk Management, ou ERM. Elle consiste à identifier les dangers qui menacent potentiellement une société.

Définition de la GRE

Le DAF Magazine définit le risque comme “le danger que présente une activité, une organisation ou une situation” pouvant impliquer un “dommage” pour une entreprise. Le site précise que ces dangers impliquent les activités économiques de l’entreprise. Il en conclut que leur évaluation et l’organisation de la gestion des risques relèvent directement des chefs d’entreprise.

Il existe différentes catégories de risques en entreprise, lesquelles peuvent varier selon les sociétés :

• stratégiques : ces risques sont liés à l’apparition de nouveaux concurrents, ou aux agissements de concurrents peu scrupuleux ;
• financiers, quand un événement interne ou externe menace la valeur de l’entreprise sur les marchés boursiers, par exemple, ou qu’un client refuse de se soustraire à ses obligations de paiement ;
• de conformité aux réglementations ;
• liés aux ressources humaines, à la santé et à la sécurité des collaborateurs ;
• les risques opérationnels peuvent s’expliquer par des cyber attaques qui menacent le fonctionnement normal de l’entreprise, ou plus simplement par des pannes ;
• environnementaux ;
• sanitaires, comme la crise du COVID-19 l’a récemment prouvé.

Qui est concerné par la gestion des risques de l’entreprise ?

Parce que les risques qui menacent les sociétés impactent directement leurs performances, la GRE relève de la responsabilité de la direction générale et du conseil d’administration. Différents postes et départements peuvent en outre être directement concernés par la gestion des risques en entreprise, selon le type de risques concernés :

• quand il existe, le département de gestion des risques, ou GDR, a la charge d’anticiper, d’identifier et de gérer les risques qui menacent la société. C’est notamment le responsable de la gestion des risques, ou risk manager, qui assure la planification de la GRE et le choix des solutions pertinentes pour l’entreprise, dont les solutions de GRC (gouvernance, risque et conformité).
• Les ressources humaines gèrent plus spécifiquement les risques liés à la sécurité et à la santé des employés, parfois épaulées du responsable QHSE (Qualité, Hygiène, Sécurité, Environnement).
• la Direction des Systèmes d’Information est impliquée dans la gestion des cyberrisques ;
• L’auditeur interne propose différentes méthodes pour aider l’entreprise à mieux gérer ses risques.

À quoi sert la gestion des risques en entreprise ?

Le processus de GRE est une base indispensable pour s’assurer des performances de l’entreprise, tant en termes de gouvernance que de résultats commerciaux :

• La GRE permet de visualiser toutes les conséquences des actions de l’entreprise, pour aider à les prioriser et à allouer efficacement les ressources. C’est donc un outil de prise de décision.
• Les méthodes de gestion du risque en entreprise permettent d’anticiper certains dangers pour mieux les contourner, et éviter d’éventuelles pertes financières ;
• Vous gagnez en crédibilité et faites grandir la valeur de la société en montrant aux investisseurs toutes les mesures prises pour la protéger ;
• Vous anticipez les résultats du lancement de nouveaux projets, pour améliorer vos chances de performances commerciales.

Comment s’organise la gestion des risques en entreprise ?

Les risques que peut potentiellement rencontrer une entreprise sont nombreux, comme détaillé ci-dessus. C’est cette diversité qui réclame un processus méthodique de gestion des risques.

La méthode de GRE en 5 étapes

La plupart des sociétés françaises adoptent une démarche en 5 phases pour appréhender les dangers qui les menacent :

1 / L’identification des risques est une première étape longue et fastidieuse, mais indispensable. Elle consiste à lister tous les dangers qui menacent l’entreprise, pour chaque domaine d’action et pour chaque département. Un travail de groupe s’impose donc pour cette phase, puisqu’il ne faut omettre aucun risque potentiel.

2 / L’évaluation de la probabilité des risques peut s’effectuer via différentes méthodes. Il peut être utile, par exemple, de cartographier les risques, en croisant leur probabilité avec leurs impacts potentiels. Les risques se classent ainsi des moins graves aux plus graves, et l’entreprise à les outils pour prioriser ses efforts de GRE.

3 / Le choix des solutions de gestion des risques dépend évidemment des dangers identifiés. Il varie aussi selon que la société souhaite les éliminer tout à fait, ou seulement être en mesure d’en limiter les effets.

4 / La mise ne place des solutions et systèmes de gestion des risques

5 / Le contrôle de l’efficacité de la GRE, assuré par un suivi régulier

Comment gérer un risque quand il apparaît ?

Face à l’identification d’un certain nombre de risques plus ou moins graves, l’entreprise peut adopter plusieurs attitudes, qui correspondent elles-mêmes à différentes approches de GRE :

• Accepter le risque amène logiquement à adopter une méthode de “rétention du risque”. L’entreprise a mis le doigt sur un certains nombres de risques qu’elle estime suffisamment improbables et peu graves pour accepter de s’exposer. Elle prévoit dans ce cas simplement des mesures de réparation en cas d’événement effectif. Cette méthode est fréquemment choisie quand l’élimination du risque représente un coût trop important pour l’entreprise.
• transférer le danger amène généralement l’entreprise à des mesures dites de “partage du risque”. Elle peut par exemple externaliser l’activité risquée, ou recourir à une assurance.
• Choisir de diminuer le risque, c’est-à-dire de procéder à une « réduction du risque”, implique de prendre des mesures susceptibles d’en réduire soit la probabilité, soit la gravité.
• Éliminer le risque amène à des procédures dites d’”évitement”. Il s’agit là de l’approche à adopter pour faire face aux dangers les plus graves et les plus probables pour la société. L’entreprise peut dans ce cas stopper des activités qui représentent un danger.