Transcript VBO-Feb.be
GESTION
DES RISQUES
GUIDE PRATIQUE POUR
UNE POLITIQUE DURABLE
AVEC LA COLLABORATION DE
NOVEMBRE 2015
Stefan Maes, rue Ravenstein 4, 1000
Stefan Maes
RÉDACTION Morgane Haid, Werner Lapage, Annemie Nolf, Dirk
Vandendaele, Johan Van Praet NOS REMERCIEMENTS À Steven
Cauwenberghs, Koen Claessens, Christine Darville, Laurent De
Coster, Simon Duerinckx, Bart Eekhaut, Linda Janssens, Kristof
Luycx, Anne Michiels, Frédéric Motte, Olivier Vanden Borre,
Stephan Vandewiele en Frédéric Wauters MISE EN PAGE ET PREPRESS Landmarks IMPRESSION Graphius Group
ÉDITEUR RESPONSABLE
Bruxelles
RESPONSABLE DES PUBLICATIONS
DÉPÔT LÉGAL D/0140/2015/6
Deze brochure is ook verkrijgbaar in het Nederlands
Le contenu de cette brochure est disponible sur le site
www.feb.be (Publications > Publications gratuites)
Les informations contenues dans la présente brochure ont été
rassemblées avec le plus grand soin possible par les experts
de BDO et d’ING. Ni BDO et ING, ni la FEB ne peuvent en
aucune manière être tenus pour responsables d’éventuelles
informations incomplètes ou erronées contenues dans la
brochure. Ni BDO et ING, ni la FEB ne peuvent en aucun
cas être tenus pour responsables d’éventuels dommages
directs, indirects, secondaires, économiques ou consécutifs
découlant de l’utilisation des informations ou données tirées
de la présente publication.
Toute reproduction et/ou publication d’un extrait quelconque
de cette publication, par des moyens électroniques ou autres,
en ce compris les systèmes d’information automatiques, sont
interdites sauf autorisation écrite préalable de l’éditeur, à
l’exception de brèves citations aux fins de recension.
GESTION
DES RISQUES
GUIDE PRATIQUE POUR
UNE POLITIQUE DURABLE
FEB
1
FAISONS DU RISQUE
UNE OPPORTUNITÉ !
Parler des risques des entreprises, c’est admettre que tout n’est pas toujours facile
ni prédictible dans la gestion de celles-ci. Quoi qu’elle fasse, une entreprise sera
toujours confrontée à certains risques. Parler des risques, c’est aussi montrer qu’on
peut réduire ceux-ci au maximum, et qu’on peut y faire face de manière proactive
afin de pouvoir les maîtriser et en tirer profit.
Les risques des entreprises sont en constante évolution, conséquence des progrès
technologiques, de l’intensification et de l’accélération de nos rapports avec le
reste du monde (échanges commerciaux, contacts, communications, partages
de connaissances). Les clients, les partenaires, les outils et l’environnement des
affaires sont aujourd’hui beaucoup plus variés que dans le passé. Certains risques
qui semblaient inéluctables il y a quelques décennies ont désormais disparu,
tandis que de nouveaux risques liés au monde économique actuel sont apparus.
Citons par exemple l’importance croissante de la cybercriminalité, tant pour les
entreprises développant de nouvelles plateformes ou business models que pour
les entreprises utilisant des outils numériques pour renforcer leur efficacité ou pour
atteindre de nouveaux clients et fournisseurs.
La Belgique s’adapte relativement bien à ces évolutions en matière
d‘internationalisation, de concurrence accrue et d’accélération du progrès
technologique. Sous la pression des coûts salariaux élevés – cela constitue
également un risque –, nos chefs d’entreprise ont été amenés, plus que leurs
homologues étrangers, à s’adapter rapidement aux évolutions des marchés et
à miser sur d’autres atouts compétitifs, tels que de nouvelles technologies et
des processus, services et produits de pointe. Cette recherche d’opportunités
liées aux risques est d’ailleurs un éternel recommencement. Les technologies et
la façon de faire des affaires évoluent constamment, la concurrence s’intensifie
en permanence. Les entreprises doivent donc sans cesse prendre de nouveaux
risques (calculés et maîtrisables) pour survivre sur le marché.
Mais maîtriser ou rendre maîtrisables les risques est la responsabilité de plusieurs
acteurs. Ainsi, il appartient aux pouvoirs publics de faciliter le cadre dans lequel les
entreprises travaillent.
2
FEB GESTION DES RISQUES
La simplification administrative, tout comme la prévention et l’information peuvent aider
les entreprises à mieux anticiper leurs risques. Une réglementation transparente, simple et
juridiquement sûre leur permet d’aborder le futur avec plus de confiance. Dans notre pays, où la
peur de l’échec est très élevée, plus de sécurité et de simplicité sont des facteurs importants pour
stimuler l’entrepreneuriat.
Les entreprises doivent, à leur tour, bien comprendre et maîtriser leurs risques. Informer leurs
collaborateurs, prévoir des règles de contrôle, des procédures de gestion des risques, le soutien
d’experts externes … voilà quelques exemples de solutions qui facilitent la gestion des risques.
Churchill a dit un jour : “Un pessimiste voit la difficulté dans chaque opportunité, un optimiste voit
l’opportunité dans chaque difficulté”. C’est dans cette optique que cette brochure a été pensée :
plutôt que de n’y voir que les difficultés et les problèmes qui en découlent, voyons comment gérer
ces risques et les utiliser à notre avantage.
Dans les pages suivantes, des experts expliquent les principaux risques qu’une entreprise est amenée
à rencontrer. Ils proposent des solutions pour identifier les ‘problèmes’ et les maîtriser et donnent des
conseils pour les anticiper et les transformer en opportunités. Partout dans la brochure, sept dirigeants
(d’entreprises petites à très grandes) témoignent de leur expérience pratique en matière de gestion
des risques. Nous espérons qu’ils pourront vous inspirer dans votre approche ou votre stratégie.
Pieter Timmermans
Administrateur délégué FEB
Rik Vandenberghe
CEO ING Belgique
Hans Wilmots
CEO BDO Belgique
GESTION DES RISQUES
FEB
3
SOMMAIRE
AVANT-PROPOS :
FAISONS DU RISQUE UNE OPPORTUNITÉ !
2
NOUVELLES TENDANCES MONDIALES, NOUVEAUX DÉFIS,
NOUVEAUX RISQUES
6
COMMENT S’ARTICULE CETTE BROCHURE ?
11
01
L’abc de la gestion de risque
12
1. Qu’est-ce qu’un risque ?
2. Catégories de risques
3. Qu’est-ce que la gestion des risques ?
4. Comment concevoir la gestion de risque ?
14
14
15
16
Gestion des risques
20
02
1. Le plan de gestion des risques
2. Contrôle interne et gestion des risques
3. Impact des TI sur le contrôle interne et la gestion des risques
CASE Cockerill Maintenance & Ingénierie
No risk, no business
4. Normes et standards - COSO ERM
5. Rôles et responsabilités
03
Typologie des risques
1
2
QUELS RISQUES ET COMMENT LES MAÎTRISER ?
RISQUES EXTERNES ET STRATÉGIQUES
1. Risques externes : aigus ou larvés
2. Risques stratégiques : délibérés et ciblés
CASE FNG Group
Chaque risque cache une opportunité
RISQUES FINANCIERS
1. Financement stratégique
CASE Jan De Nul Group
L’aversion des risques dans les gènes
2. Financement opérationnel
CASE Soltech
D’un marché local vers l’internationalisation
l’internationalisation
21
22
23
24
27
28
30
31
32
32
34
38
40
40
42
45
46
3
4
5
6
04
RISQUES DE CONFORMITÉ
1. Contexte
2. Origine et signification de la ‘compliance’
3. Instances de contrôle
4. Large spectre pour chaque entreprise
5. Contrôle central de la complexité
RISQUES JURIDIQUES
1. Définition des risques juridiques
2. Pertinence juridique des risques
3. Connaissance approfondie et actualisée de la réglementation
4. Évolution des règles et, donc, des risques
5. Expertise juridique
CASE Studio 100
Droits et sécurité
6. Gestion des contrats
7. Corporate governance
8. Responsabilité des administrateurs
9. Assurer la responsabilité
RISQUES OPÉRATIONNELS
CASE Noordzee Helikopters Vlaanderen (NHV)
Les chiffres ne font pas tout
RISQUES IT ET CYBERCRIMINALITÉ
CASE Proximus
De victime à expert
53
53
54
54
55
56
59
59
60
60
61
61
62
64
64
64
65
66
70
72
80
Que faire en cas d’incident ?
82
1. Crisis readiness
2. Approche et principes de la gestion de crise
3. Vers une gestion de crise réussie
83
86
87
CONCLUSION
91
NOUVELLES TENDANCES
MONDIALES, NOUVEAUX DÉFIS,
NOUVEAUX RISQUES
Le monde est en constante évolution, les tendances changent et modifient aussi
l’économie et les rapports entre différents pays. Ainsi, les échanges commerciaux,
qui ont connu une chute importante après la crise de 2008, ont renoué avec une
forte croissance à travers le monde ces dernières années. Le nombre de participants
au commerce extérieur a aussi augmenté: les économies émergentes occupent
désormais une place sur ce marché. Les parts de marché à l’exportation des pays
BRIC (Brésil, Russie, Inde et Chine) ont connu la plus forte hausse entre 2003 et 2013,
augmentant respectivement de 37%, 58%, 102% et 122%. L’Union européenne reste
une économie importante malgré la croissance forte des pays émergents. Elle était le
premier contributeur au produit mondial brut en 2013, à hauteur de 23,44%, suivi des
États-Unis (22,5%) et de la Chine (12,7%).
Mais la composition de l’économie a également évolué et diffère fortement de
par le monde. Par exemple, les États-Unis, le Canada et l’UE sont désormais des
économies très tournées vers les services. Plus de 70% du PIB de l’UE provient du
secteur des services, tandis que la production industrielle n’a toujours pas retrouvé son
niveau d’avant la crise. Au contraire, la Chine, l’Indonésie, la Corée du Sud et l’Arabie
Saoudite ont plus de 30% de leur PIB qui provient de l’industrie.
Nous assistons également à une révolution technologique et numérique. La
numérisation de l’économie est d’ailleurs considérée comme un levier essentiel de la
croissance économique. La voie électronique est de plus en plus utilisée, que ce soit
pour les formalités administratives, pour la communication et l’information, ou encore
les modes de paiement. L’évolution du numérique permet des économies d’échelle,
augmente l’efficacité et accélère le rythme auquel des services peuvent être fournis
ou des données peuvent être échangées. Le monde est désormais un grand réseau
marqué par une interaction croissante (notamment dans les échanges commerciaux).
Toutes ces nouvelles tendances influencent également le monde des entreprises ;
que ce soit via les acteurs, les biens et services concernés, l’environnement interne
et externe ou encore la façon de faire des affaires. Cela crée de nouveaux défis mais
aussi de nouvelles opportunités.
D’un côté, la concurrence s’est fortement renforcée, vu que le marché ne se limite
désormais plus au pays de résidence ou aux pays voisins. Les nouvelles technologies,
6
FEB GESTION DES RISQUES
notamment en matière de communication et de logistique, ont facilité les échanges
commerciaux et permettent aux entreprises de fournir des services de l’autre côté
du globe. Et ce à une vitesse beaucoup plus rapide qu’auparavant. Deux exemples
chiffrés : quelque 180 milliards d’e-mails sont échangés quotidiennement dans le
monde et la Belgique exporte pour près de 916 millions EUR en biens et services
chaque jour. Si notre pays veut suivre ces évolutions, il doit agir d’urgence afin de
maintenir une place concurrentielle en continuant de proposer des services et biens
qui répondent aux besoins du marché, et sont à la pointe de la technologie.
D’autre part, ce renforcement des échanges commerciaux crée aussi de nouvelles
opportunités. Le nombre de partenaires commerciaux est en hausse, et les
exportations sont de plus en plus géographiquement diversifiées. De plus, on observe
également une plus forte spécialisation dans de nouveaux processus améliorant
encore la productivité et dans de nouveaux services et produits répondant à des
besoins spécifiques. En d’autres mots, la mondialisation et l’évolution technologique
influencent non seulement la vitesse, l’intensité et la diffusion géographique des
échanges, mais aussi la concurrence et les opportunités des économies.
Évolution de l’économie belge
La Belgique n’échappe pas à ces tendances mondiales. La Belgique reste encore et
toujours un pays très ouvert au commerce extérieur, les exportations de biens et de
services ne cessent d’augmenter. Tout comme il y a une dizaine d’années, les membres
de l’UE restent nos partenaires privilégiés, mais on constate que la Belgique exporte
de plus en plus de biens et services vers des pays hors de l’Union : un tiers de nos
exportations étaient destiné aux pays hors de l’UE en 2014, contre un quart en 2004.
La numérisation de notre économie est aussi un sujet d’actualité politique en
Belgique, avec entre autres le lancement d’un plan global d’actions au niveau fédéral.
La Belgique s’en sort relativement bien dans certains domaines tels que la connectivité
et l’accès aux réseaux. Cependant, la technologie évolue rapidement, et notre pays
doit déjà travailler au développement de technologies encore plus rapides (par
exemple le haut débit mobile et au haut débit ultrarapide), dont l’importance ne cesse
de croître. L’économie pourrait mieux tirer parti des évolutions numériques. En effet,
sans de nouvelles innovations, nous ne pourrons pas garder notre position actuelle.
GESTION DES RISQUES
FEB
7
Notre économie s’oriente davantage vers le secteur tertiaire, ce qui se remarque dans
la valeur ajoutée de l’économie : elle a baissé de 6% depuis 2008 dans l’industrie,
tandis qu’elle a augmenté de 5,2% dans les services aux entreprises. Cette tendance
se reflète aussi dans nos échanges commerciaux. Les biens représentaient plus de
80% des exportations au début des années 2000. Ils ne concernent aujourd’hui plus
que 75% des exportations, le reste étant dédié aux services. On voit également que
nos exportations de services augmentent plus vite que celles des biens. Nos parts
de marché mondiales à l’exportation de services sont restées assez stables ces dix
dernières années, tandis que les celles à l’exportation de biens ont baissé, souffrant
entre autres du handicap concurrentiel qui affecte les entreprises belges.
La mondialisation, l’innovation et le développement incessant du numérique
ont permis aux entreprises belges d’offrir des produits et services spécialisés et
différenciés dans le reste du monde. Mais il y a encore des efforts à faire pour garder
une place compétitive, même si des signes positifs de réduction du déficit commercial
et de légère augmentation des parts de marchés se sont profilés dernièrement. Il
appartient aux chefs d’entreprise et aux autorités de saisir les opportunités avant
qu’elles ne deviennent pas des menaces. Et il faut s’assurer que les conditions
nécessaires soient remplies afin de pouvoir continuer à offrir des biens et services à un
prix favorable.
Évolution des risques
Toutes ces tendances et leurs influences sur le monde des entreprises ont également
changé les risques et le goût du risque des entreprises. Selon notre sondage
mené auprès de quelques centaines d’entreprises, ce sont en général les grandes
entreprises qui sont le plus confrontées aux risques, sauf en ce qui concerne les risques
de financement (stratégiques et opérationnels), qui touchent plus de moyennes
entreprises.
Tout d’abord, la catégorie de risque la plus importante selon les entreprises
interrogées concerne les risques opérationnels (production, logistique, qualité,
contrefaçon…): plus de 65% des entreprises sondées y sont confrontées (et jusqu’à
83% des grandes entreprises). Au vu des développements économiques mondiaux et
de l’intensité des liens commerciaux entre les pays, cela paraît logique que ces risques
concernent beaucoup d’entreprises. Les développements technologiques ont par
exemple facilité l’imitation et la contrefaçon. De plus, la logistique est devenue plus
complexe étant donné la diversification des partenaires commerciaux. Vu la facilité
avec laquelle un client peut changer de fournisseur, il est indispensable de parvenir
à lui fournir un service de qualité, rapide et compétitif à n’importe quel niveau de la
chaîne. Cela met une pression supplémentaire sur l’anticipation de la production et sur
la nécessité d’avoir un fonctionnement opérationnel efficace.
8
FEB GESTION DES RISQUES
La rapidité des évolutions technologiques crée aussi un nouveau risque. Les
technologies disruptives (disruptive technological change) sont plus fréquentes, elles
peuvent complètement transformer le marché et rendre le service ou produit créé
par une entreprise rapidement obsolète. En effet, il est possible qu’une innovation
technologique (de produit, de procédure, ou autre) soit plus efficace ou remplisse une
fonction supplémentaire, et qu’elle remplace ainsi une autre technologie qui dominait
auparavant le marché.
Plus de 65% des entreprises sondées sont confrontées aux risques stratégiques
et externes. Là encore, ce n’est pas étonnant de constater que la situation (géo)
politique et économique externe puisse créer un risque majeur. C’est d’ailleurs
cette catégorie de risque qui a augmenté pour une grande partie des entreprises
interrogées (43%), et ce, indépendamment de leurs tailles. Il est indéniable que
la situation en Ukraine et en Russie et, dans une moindre mesure, la situation au
Moyen-Orient affectent nos échanges commerciaux dans ces régions. Le risque
de Grexit n’est toujours pas entièrement enrayé, et il peut encore déstabiliser les
marchés, même si la plupart des prêts appartiennent et sont dus aux institutions telles
que le FMI et la BCE plutôt qu’aux marchés. De plus, l’évolution de la croissance de
certains pays partenaires n’est pas encore tout à fait claire; une soudaine régression
pourrait aussi influencer négativement l’activité en Belgique. Enfin, le risque existe
toujours qu’une nouvelle agitation sociale (manifestations, grèves) mine le fragile
rétablissement de la confiance des ménages et des entreprises dans notre pays et
freine la reprise.
Plus de 1 entreprise sur 2 est aussi confrontée à des risques juridiques. Cela confirme
un problème déjà souligné par les employeurs: les charges administratives sur les
entreprises ont fortement augmenté ces dernières années. De plus, beaucoup
d’entreprises estiment que les réglementations sont de plus en plus nombreuses et
plus difficiles à comprendre.
Ensuite, la cybercriminalité a fortement augmenté ces dernières années. Au moins
1 entreprise sondée sur 3 déclare encourir plus de risques liés à la cybercriminalité
(phishing, fraude, piratage de données…) qu’auparavant. Cette problématique
est particulièrement importante pour les grandes entreprises interrogées, plus de
70% de celles-ci estiment y être confrontées, contre 50% des petites ou moyennes
entreprises. En Belgique, des centaines de milliers d’ordinateurs sont infectés chaque
année, et ce nombre est en augmentations. Le coût de la cybercriminalité est estimé à
3,5 milliards EUR dans notre pays, soit plus de 1% du PIB.
En résumé, plus de 1 entreprise sur 3 trouve que les risques auxquelles elle est
confrontée ont augmenté. Il y a encore 10% des entreprises qui maîtrisent moins bien
ces risques qu’avant. C’est pour cette raison que cette brochure suggère des bonnes
pratiques et des solutions pour la gestion des risques.
GESTION DES RISQUES
FEB
9
Maîtriser les risques, c’est gérer des opportunités
L’apparition de nouveaux risques et le renforcement de certains ont poussé les
entreprises à adapter leur façon d’agir. Cela a aussi engendré nombre d’opportunités
pour les entreprises innovantes et créatrices qui ont réussi à profiter de ces nouvelles
tendances pour relever des défis et atteindre de nouveaux marchés. Par exemple,
l’arrivée de l’e-commerce a ouvert des possibilités d’exploitation de niches grâce à
l’accès à un plus grand marché et à plus de clients. Cela a nécessité une adaptation
rapide des procédures traditionnelles, et une innovation importante pour se
développer sur ces nouvelles niches. De nouveaux sous-secteurs sont ainsi apparus,
tels que le webdesign, l’impression 3D, l’e-marketing…
Avec ses clusters et autres formes de collaboration – entre entreprises mais aussi au
niveau des universités et avec d’autres institutions – pour favoriser la recherche et
l’innovation, la Belgique possède un atout pour profiter des évolutions et faire des
risques une opportunité. Ces systèmes de collaboration contribuent à une meilleure
diffusion des connaissances et à la création d’innovation, ce qui à son tour permet
aux entreprises de générer des activités et des produits plus sophistiqués, donc plus
difficiles à copier par d’autres. Les clusters efficaces réduisent également les délais de
mise sur le marché (‘speed to market’) d’un nouveau produit ou service.
Le crowdfunding est un autre exemple de solution innovante répondant à un nouveau
risque (le crowdfunding est un concept dans lequel de nombreux petits investisseurs
ou personnes intéressées investissent ou donnent de petits montants pour des projets
qui les touchent). Le crowdfunding facilite le financement d’entreprises et permet
aussi une diversification des risques pour les investisseurs.
Afin d’essayer de réduire leurs risques, les entreprises interrogées informent surtout
les collaborateurs sur les risques, et font de la prévention en établissant par exemple
des règles de contrôle interne. Enfin, en ce qui concerne les risques juridiques et de
cyber sécurité, les entreprises font appel à des experts externes. Cela engendre des
coûts supplémentaires pour les entreprises. En résumé, il ressort des propositions
et solutions des entreprises qu’il reste beaucoup à faire pour gérer ces risques
efficacement et à un coût acceptable.
Le secteur public pourrait y contribuer en facilitant le cadre dans lequel agissent les
entreprises. Selon les entreprises sondées, les trois priorités du gouvernement pour
diminuer ces risques sont
1. la simplification administrative,
2. l’information et la prévention,
3. et dans une moindre mesure, la concrétisation des lignes directrices sur
la gouvernance d’entreprise.
10
FEB GESTION DES RISQUES
COMMENT
S’ARTICULE CETTE
BROCHURE ?
Le risque est inhérent à l’entreprise et étroitement lié à la
création de valeur. Chaque activité crée donc un risque,
mais également un potentiel ou une opportunité. Prendre
des risques et les maîtriser englobe bon nombre de
facettes dans divers domaines.
Cette brochure vous offre en quatre chapitres un aperçu et
des points de repère dans cette matière très actuelle mais
complexe. Nous illustrons les principes théoriques par des
exemples pratiques et des témoignages de chefs
d’entreprise qui expliquent l’impact stratégique des risques
propres à leur entreprise.
Le premier chapitre est
consacré à l’ABC de la gestion
des risques. Chacun sait ce
qu’est un risque et pourtant
il n’est pas si facile d’en
donner une définition claire.
Nous nous concentrons plus
précisément sur l’importance
de notions telles que l’impact
et le degré de probabilité.
Nous traçons ensuite le
cadre de la gestion des
risques. Des concepts comme
l’identification, l’analyse et
l’évaluation des risques sont
essentiels pour développer et
mettre en place une gestion
des risques efficace.
Gérer efficacement les risques,
tel est le thème central du
deuxième chapitre. L’accent
y est mis sur les procédures
internes de contrôle et sur
l’impact et le rôle des TI dans
ce contexte. Nous vous y
présentons également ‘COSO’,
un fil conducteur international
pour la gestion des risques.
Quel est l’objectif ? Prendre
suffisamment de risques pour
pouvoir exploiter les opportunités, tout en prévoyant des
contrôles suffisants pour ne
pas ‘perdre le contrôle’. Nous
clôturons ce chapitre par une
description du rôle et des responsabilités de chacun dans la
gestion des risques.
Les risques peuvent être
classés de diverses manières.
Au chapitre 3, nous les
classons en six grands
domaines, en tenant compte
des types de risque les
plus courants : les risques
stratégiques et externes,
les risques financiers, les
risques de compliance,
les risques juridiques, les
risques opérationnels et,
bien évidemment, les risques
informatiques, qui sont
exposés au moyen d’une
table ronde avec quatre
experts. Pour chaque type
de risque, nous avançons
quelques solutions concrètes.
Nous ne parlons pas dans
cette brochure des risques
en matière de sécurité,
de santé, de bien-être et
d’environnement.
Les crises sont des défis,
mais comment (avec quelle
rapidité et quelle précision)
votre entreprise réagit-elle en
cas d’incident ? En d’autres
termes, quel est le ‘crisis-readiness’ de votre entreprise
ou de votre organisation ?
Comment communique-t-elle
et évite-t-elle les atteintes à
sa réputation ? Une bonne
approche requiert la connaissance de principes de base
en matière de gestion des
risques. Dans le chapitre 4,
nous vous indiquons quelques
principes de base pour une
gestion des risques réussie.
Nous vous y exposons aussi,
pas par pas, l’importance du
Business Continuity Planning.
GESTION DES RISQUES
FEB
11
L’abc de
la gestion
de risque
Le risque est inhérent à l’entreprise et
étroitement lié à la création de valeur.
En effet, lorsqu’une entreprise veut
lancer un nouveau produit ou service,
elle est confrontée à des paramètres
inconnus et à des incertitudes.
Chaque activité crée donc un risque,
mais également un potentiel ou une
opportunité. Il existe aussi des risques
qui ne sont pas liés à la création de
valeur. Pensons aux amendes et à tous
les aspects de sécurité. Un seul conseil
pour ce type de risques : les limiter au
maximum !
Toute action comporte
des risques. La prudence,
ce n’est pas éviter le
danger (c’est impossible),
mais c’est calculer les
risques et agir avec
détermination. Il est
préférable de faire des
erreurs par ambition que
par manque d’initiative.
Développez votre audace,
pas votre effondrement
Niccolò Machiavelli, Le Prince, 1532
Peu d’opportunités sont dépourvues de
risques. La gestion des risques ne consiste
pas tellement à les éliminer, mais bien à
les reconnaître (identification et analyse
des risques) et à chercher des méthodes
appropriées pour les rendre maîtrisables.
Plus que les analyses de risques détaillées
ou les modèles mathématiques complexes,
l’intégration du risque dans les processus
de décision stratégiques et opérationnels
est très importante. C’est là que réside la
véritable valeur ajoutée de la gestion de
risque.
Le réflexe du risque doit être inscrit dans
la culture de l’entreprise : la direction doit
susciter la discussion sur les risques au lieu
de balayer les incertitudes ou les signaux
d’échec. Cela signifie qu’un rôle spécial
revient au conseil d’administration qui doit
veiller à ce que l’entreprise développe une
culture de risque appropriée et doit définir
les risques qu’elle est disposée à prendre.
Dans ce domaine, le comité d’audit
apporte un soutien important au conseil
d’administration plénier et il sert de caisse
de résonance pour le gestionnaire des
risques et la direction dans l’analyse des
risques et la définition de la meilleure
stratégie de gestion des risques. Outre le
comité d’audit, le contrôle interne, l’audit
interne et l’auditeur externe sont aussi des
piliers importants.
La gouvernance d’entreprise a pris un grand
essor ces dernières années, entraînant
une attention accrue pour certains aspects
comme la gestion et le contrôle des risques.
Les causes de cette attention accrue pour la
gestion des risques sont évidemment la crise
financière, mais aussi la prise de conscience
croissante des risques accrus, tant dans
l’entreprise que dans la société en général.
Parler de gestion des risques aujourd’hui
implique d’ailleurs de ne pas se limiter
aux risques opérationnels ou financiers
GESTION DES RISQUES
FEB
13
classiques. Il faut également prendre en
considération les défis stratégiques plus
grands liés aux nouvelles technologies, à la
volatilité des marchés et à la mondialisation.
Face à l’incertitude croissante, les
codes de corporate governance et la
législation imposent des exigences
toujours plus importantes au conseil
d’administration et au management. Il
appartient aux administrateurs, soutenus
par le management et l’ensemble de
l’entreprise, de se préoccuper de la gestion
professionnelle et du contrôle des risques.
La transparence accrue concernant les
risques et les systèmes et processus destinés
à les gérer donne aux actionnaires (externes)
des sociétés cotées une meilleure vision de
la santé de l’entreprise. Cela leur permet de
prendre leurs décisions d’investissement en
connaissance de cause et de remplir plus
efficacement leur rôle d’actionnaire actif.
1 QU’EST-CE QU’UN
RISQUE ?
une influence négative sur la réalisation
des objectifs de l’entreprise. Ce n’est
certainement pas une définition parfaite,
mais elle contient l’essentiel : l’incertitude
et les conséquences négatives ou limitatives
possibles.
Dans le domaine de la gestion de risque, les
spécialistes définissent le risque comme la
combinaison d’un impact et de la probabilité
d’une menace. La menace est en l’occurrence
un événement qui peut empêcher l’entreprise
ou l’organisation d’atteindre ses objectifs.
Un exemple : un incendie dans le hall de
production constitue une menace. L’impact
est défini en examinant les conséquences
financières et opérationnelles de cet incendie.
La probabilité est évaluée en fonction de
données historiques et de l’éventuelle
inflammabilité des produits stockés ou de
la sensibilité au feu du hall de production
(dans quelle mesure est-il construit avec des
matériaux inflammables ?). Le risque est la
combinaison des conséquences potentielles
de l’incendie (‘impact’) et de la possibilité qu’il
se déclenche effectivement (‘probabilité’).
RISQUE = IMPACT x PROBABILITÉ
Chacun sait ce qu’est un risque et pourtant il
n’est pas si facile d’en donner une définition
claire. Le risque est souvent défini comme
un événement futur incertain qui peut avoir
2 CATÉGORIES DE RISQUES
Une approche mathématique des risques
permet de les pondérer et de les comparer. Le
principal avantage est qu’il est alors possible
de les classer par ordre de priorité, sachant
que l’entreprise a intérêt à se concentrer sur
les plus grands risques.
Les risques auxquels une organisation est
confrontée peuvent être la conséquence de
facteurs externes et internes. Cette distinction
14
FEB GESTION DES RISQUES
est extrêmement importante pour la manière
de concevoir les plans et actions prévus pour
couvrir les risques. En effet, les menaces
venant de l’extérieur sont plus difficiles à
limiter ou à maîtriser que celles dont la cause
se trouve à l’intérieur de l’organisation.
sécurité, la qualité, la chaîne de valeur, etc.
À côté de cette première répartition
(interne versus externe), les risques peuvent
également être groupés par domaine. Les
catégories souvent utilisées sont les suivantes :
risques stratégiques – Ils sont liés aux choix
stratégiques ou à l’absence de stratégie
claire ;
risques financiers – Ce sont tous les risques
liés aux aspects financiers de l’organisation,
y compris les risques de fraude ;
risques opérationnels – Ces risques sont
directement liés à la gestion de l’entreprise
ou à la chaîne de valeur (production, achats,
logistique…). Ils peuvent encore être
subdivisés en fonction de la nature de la
gestion ;
risques informatiques – Ils découlent
du fonctionnement de l’environnement
informatique, y compris les actifs,
l’organisation et les processus
informatiques ;
risques juridiques et de compliance – Ces
risques sont liés au respect et au suivi de la
législation, des contrats et autres obligations
spécifiques, des règles et normes qu’une
entreprise ou organisation doit appliquer ;
risques de réputation – Ils menacent le
nom et la renommée de l’entreprise ou de
ses produits et services. Il faut parfois des
années pour se construire une renommée.
À l’inverse, celle-ci peut être détruite très
rapidement.
Autant il existe de définitions du risque,
autant il en existe de la gestion du risque
et de tout ce qui y est lié. Des instances
comme l’International Organization for
Standardization (ISO), le Committee of
Sponsoring Organizations of the Treadway
Commission (COSO) et l’Institute of
Risk Management (IRM) ont élaboré un
certain nombre de normes internationales.
Celles-ci sont une aide précieuse parce
qu’elles tracent un cadre général et font
une distinction claire entre le processus de
gestion de risque et son intégration dans
l’organisation.
La liste présentée ici n’est pas exhaustive et
peut être complétée ou adaptée en fonction
de la situation spécifique. D’autres catégories
envisageables sont l’environnement, la
3 QU’EST-CE QUE LA
GESTION DES RISQUES ?
Le graphique suivant illustre le processus de
gestion de risque selon la norme ISO.
PROCESSUS DE GESTION DE RISQUE*
ESTIMATION DES
RISQUES
Identification des risques
Analyse des risques
Monitoring et contrôle
Communication et consultation
Établissement
du contexte
Évaluation des risques
Traitement des risques
* Source : basé sur la norme ISO 31000:2009
GESTION DES RISQUES
FEB
15
La gestion de risque est le processus
par lequel les organisations abordent
méthodiquement les risques liés à leurs
activités dans le but d’obtenir un avantage
durable pour chaque activité et pour
l’ensemble de celles-ci.
En d’autres termes, la gestion de risque
est un processus continu indissociable de
l’activité entrepreneuriale et qui doit en faire
partie intégrante. Une réflexion unique sur
les risques peut apporter quelques idées
nouvelles, mais si on n’en fait rien par la
suite, la plus-value sera très minime. La
gestion de risque est aussi un processus
continu et évolutif, qui se reflète tant dans
la stratégie de l’organisation que dans
son exécution. Elle doit gérer de manière
systématique tous les risques liés aux
activités des organisations dans le passé, le
présent et surtout l’avenir.
Comme nous l’avons déjà indiqué, la gestion
de risque doit faire partie intégrante de
la culture de l’organisation et être portée
et soutenue par la direction générale
(‘tone at the top’). Une gestion de risque
efficace traduit la stratégie en objectifs
tactiques et opérationnels qui attribuent
des responsabilités transversales dans
l’organisation et qui intègrent la gestion de
risques dans la description de fonction de
chaque collaborateur. Bref, la gestion de
risque est la tâche et la responsabilité de
chacun dans l’organisation.
Enfin, une bonne gestion de risque se
concentre sur l’identification et le traitement
des risques. Elle identifie les aspects positifs
et négatifs de tous les facteurs qui peuvent
influencer l’organisation. Elle augmente la
chance de réussite et réduit le risque d’échec
et l’incertitude concernant la réalisation des
objectifs généraux de l’organisation.
16
FEB GESTION DES RISQUES
4 COMMENT CONCEVOIR
LA GESTION DE RISQUE ?
Comme le montre le graphique en page
15, la première étape de l’élaboration
d’une gestion de risque est la réalisation
d’une ‘estimation des risques’. Selon l’ISO/
IEC Guide 73, ce processus regroupe
l’identification, l’analyse et l’évaluation des
risques. Nous détaillons ici ces trois étapes.
Étape 1 : identification des risques
Pour mener à bien l’étape d’identification
des risques, il faut une connaissance
approfondie de l’organisation et de ses
activités. Dans ce cadre, il est utile de
d’abord ‘cartographier’ les différentes
catégories de risques qui s’appliquent
à l’organisation. Celles-ci constituent
ensemble l’univers de risques de
l’organisation.
Pour tracer les contours de cet univers de
risques, vous pouvez partir d’une liste de
catégories de risques comme mentionné
plus haut. Vous pouvez regrouper ces
catégories pour étayer la discussion sur
la gestion de risque et l’identification des
risques en particulier. C’est ce que fait
le tableau de la page 17, qui donne un
exemple de ce que pourrait être l’univers
de risque d’une entreprise de production
moyenne.
UNIVERS DE RISQUE EXEMPLE DE LA PRODUCTION
Facteurs
Externes
Circonstances
économiques
Orientation & Gouvernance
Orientation
Gouvernance
Vision & Mission
Structure de
direction
Compétition
Stratégie
Transparence
Calamité
Culture
d’entreprise
Monitoring &
Auditing
Utilisateurs finaux
Processus de soutien
Financier
Opérationnel
Réglementation
& compliance
RH
Juridique
IT
Commandes
Embauche
Gestion des
contrats
Disponibilité
Législation
Stocks
Administration
salariale
Propriété
intellectuelle ?
Gestion du
changement
Contrôle interne
Planification
Formation
Syndicats et
réglementation
Protection de
l’information
Budgétisation
Qualité
Gestion des
prestations
Fraude
Infrastructure
Facturation & Suivi
Livraisons/
placement
Comptabilité
Liquidité
Fixation de prix
Protection
de la vie privée
et protection des
données
Source : BDO
Étape 2 : analyse des risques
Si l’on veut piloter quelque chose, il faut
pouvoir le mesurer. C’est pour cette raison
qu’il est important d’attribuer une valeur ou
un score aux risques. Comme indiqué plus
haut, on peut pondérer un risque en fonction
de l’impact d’un événement déterminé et de
la probabilité qu’il survienne. L’analyse de
risque consiste donc à concrétiser cet impact
et cette probabilité. Certains éléments
seront connus, d’autres devront être estimés
le plus correctement possible. Sur la base
de toutes les informations disponibles, un
score aussi fidèle que possible est attribué à
chaque risque.
En cas d’incertitudes, il est impossible de
procéder à une estimation exacte. C’est
pourquoi on utilise souvent des classes
pour estimer l’impact et la probabilité,
par exemple de la classe 1 (très faible) à la
classe 5 (très important). Pour objectiver au
maximum l’estimation, nous décomposons
l’impact en plusieurs dimensions, comme
la dimension financière. Compte tenu de
la situation spécifique de l’entreprise, on
détermine de cette manière à partir de quel
montant une perte éventuelle (impact) reçoit
un score de 1 à 5 (voir tableau ci-contre).
EXEMPLE DE DIMENSION FINANCIÈRE
DE L’IMPACT D’UN RISQUE
En dessous
de 2.500 EUR
Score 1
(impact : très faible)
Entre 2.500
et 5.000 EUR
Score 2
(faible)
Entre 5.000
et 10.000 EUR
Score 3
(modéré)
Entre 10.000
et 25.000 EUR
Score 4
(important)
Au-delà
de 25.000 EUR
Score 5
(très important)
Outre la dimension financière, on peut
utiliser des dimensions comme le ‘préjudice
causé à l’image’, la ‘perte de qualité’ ou le
‘retard opérationnel’. Il importe de ne pas
retenir plus de trois ou quatre dimensions.
Car si la liste est trop longue, chaque risque
sera important du point de vue de l’une des
dimensions et cela n’aidera évidemment pas
à fixer des priorités. Sélectionnez donc en
conscience les principaux risques que vous
voulez éviter et estimez leur impact et leur
probabilité le plus correctement possible.
FEB
17
Étape 3 : évaluation des risques
Le résultat de l’analyse de risques peut être
utilisé pour établir un profil de risque dans
lequel chaque risque reçoit une pondération
et est classé selon ce score. On peut ainsi
classer chaque risque identifié et se faire une
idée de son importance relative. Grâce à ce
processus, on peut désigner les domaines
de l’organisation pour lesquels le niveau de
gestion des risques peut être augmenté,
réduit ou redistribué.
Potential Impact
Puisqu’il n’est ni possible ni souhaitable de
maîtriser tous les risques, il est important de
fixer des priorités. C’est en effet sur la base
de l’analyse des risques que l’on décide des
actions futures. Cette décision peut être
d’effectuer des analyses complémentaires,
d’entreprendre des actions pour réduire le
risque ou de ne rien faire (par exemple parce
qu’il est très peu probable que le risque se
produise), pour autant que l’on procède
toujours en connaissance de cause.
RISK ‘HEAT MAP’
Extreme
15
19
22
24
25
High
10
14
18
21
23
Medium
6
9
13
17
20
Low
3
5
8
12
16
Negligible
1
2
4
7
11
Remote
Unlikely
Possible
Likely
Probable
0-10%
> 10-25%
> 50-90%
> 90-100%
Likelyhood
% ranges
> 25-50%
Source : BDO
Graphiquement, les risques s’inscrivent dans
une matrice ou ‘heat map’, où leur impact et
leur probabilité apparaissent sur l’axe des X
et l’axe des Y (voir l’exemple de ‘heat map’
en page 19).
GESTION DES RISQUES DANS LE RAPPORT ANNUEL
En vertu de l’article 95 du Code des sociétés, les administrateurs ou gérants de sociétés doivent
rédiger un rapport (le rapport annuel) dans lequel ils rendent compte de leur politique. Ce rapport
annuel de l’organe de gestion doit au moins aborder les points qui donnent un aperçu fidèle de
l’évolution et des résultats de l’entreprise et de sa position. Il décrit en outre les principaux risques
et incertitudes auxquels la société est confrontée.
Le commissaire ou reviseur d’entreprise veille à ce que la description des principales caractéristiques
des systèmes internes de contrôle et de gestion de risque relatifs au processus de rapport financier
figure dans la déclaration de bonne gouvernance. Il contrôle aussi si la description correspond aux
comptes annuels et que le rapport annuel – y compris la déclaration de bonne gouvernance – ne
contient pas d’incohérences matérielles importantes par rapport à l’information dont il dispose
dans le cadre de sa mission.
18
FEB GESTION DES RISQUES
EXEMPLE “HEAT MAP” ENVIRONNEMENT DE PRODUCTION
Facteurs
Externes
Circonstances
économiques
Orientation & Gouvernance
Orientation
Gouvernance
Vision et mission
Structure de
direction
Compétition
Stratégie
Transparence
Calamité
Culture
d’entreprise
Monitoring et
auditing
Utilisateurs finaux
Processus de soutien
Financier
Opérationnel
Réglementation
& compliance
RH
Juridique
IT
Commandes
Embauche
Gestion des
contrats
Disponibilité
Législation
Stocks
Administration
salariale
Propriété
intellectuelle ?
Gestion du
changement
Contrôle interne
Planification
Formation
Syndicats et
réglementation
Protection de
l’information
Budgétisation
Qualité
Gestion des
prestations
Fraude
Infrastructure
Facturation et suivi
Livraisons/
placement
Comptabilité
Liquidité
Fixation de prix
Protection
de la vie privée
et protection des
données
Source : BDO
Une autre manière de représenter le résultat
de l’analyse de risques est l’univers de risque
dont nous avons parlé précédemment. On
y utilise un code de couleur pour indiquer
l’importance du risque (par exemple risque
relativement limité ou risque majoré) dans
différents domaines.
Cette présentation graphique est souvent
utilisée pour préparer les discussions sur la
gestion de risque, au sein du comité d’audit
par exemple.
Les étapes décrites ci-dessus aboutissent à
une liste de risques prioritaires. Sur la base
de celle-ci, l’entreprise ou l’organisation
peut ensuite élaborer un plan d’action
concret. Celui-ci a pour objectif de prendre
des mesures pour les risques prioritaires afin
qu’ils restent dans les limites acceptables
pour l’entreprise (‘risk appetite’). Vous en
lirez plus à ce sujet dans le chapitre ‘Gestion
des risques’ en page 20.
GESTION DES RISQUES
FEB
19
Gestion
des risques
Une analyse des risques a été
effectuée dans le chapitre précédent,
donnant lieu à une liste des risques
à prendre en compte en priorité. La
manière de procéder est définie dans
un plan d’action concret. Celui-ci
contient des mesures qui garantissent
que les risques ne dépassent pas les
limites acceptables pour l’entreprise.
1 LE PLAN DE GESTION
DES RISQUES
Comme dans tout bon plan d’action, les
tâches, responsabilités et délais de réalisation
sont clairement définis et suivis. En général,
le plan est élaboré pour une période d’un
an, qui correspond à l’exercice comptable
de l’entreprise. En effet, les risques ne sont
pas une donnée statique, mais ils évoluent en
fonction de la dynamique de l’entreprise et de
ses marchés. Dès lors, il doit chaque année être
remis à jour.
Les risques évoluent en
fonction de la dynamique
de l’entreprise et de ses
marchés
Les actions que vous pouvez entreprendre
pour maîtriser les risques sont très diverses.
Pour l’essentiel, elles peuvent être ramenées à
une des solutions suivantes :
les accepter – Habituellement, les petits
risques sont acceptés comme ‘cost of doing
business’ (ils font partie des affaires) et on
n’investit ni temps ni moyens pour les éviter
proactivement. Si un petit risque survient
néanmoins, on le résout en temps réel ;
les éviter – L’entreprise ou l’organisation
décide alors de ne pas réaliser une activité
donnée afin d’éviter les risques qui y sont liés.
Elle peut ainsi décider de ne pas procéder à
un rachat étranger en raison de l’instabilité
économique ou politique, de la fraude, de la
corruption, etc. dans ce pays ;
les transférer – L’exemple le plus connu de
transfert de risque est l’assurance. Contre
paiement, on repousse le risque vers un tiers.
Un autre exemple de transfert de risque est la
collaboration avec une société de factoring ;
les mitiger – Dans ce cas, l’entreprise tente
activement d’endiguer (ou d’atténuer) le
risque via des contrôles internes. C’est
cette solution qui requiert la plus grande
adaptation de l’entreprise. Par ailleurs,
l’organisation des contrôles internes doit
être bien réfléchie de manière à couvrir un
maximum de risques avec un minimum de
contrôles (il faut limiter les coûts !). Nous en
reparlerons au point 2 (contrôle interne) de
ce chapitre.
Une entreprise peut
accepter, éviter, transférer
ou mitiger les risques
Ce qui importe, c’est que les décisions
soient prises en connaissance de cause,
sur la base d’une analyse des risques et de
tous les aspects pertinents : l’importance du
risque, son impact potentiel et les coûts des
mesures de prévention. Dans certains cas,
l’entreprise fait même un business case pour
les investissements requis.
Certains risques sont acceptables, notamment
lorsqu’ils sont petits (et peu probables) ou
lorsque les coûts de prévention sont trop
élevés. En général, la direction prépare
les décisions relatives à la prévention des
GESTION DES RISQUES
FEB
21
risques et les fait valider par le conseil
d’administration. En effet, c’est ce dernier qui
a la responsabilité finale et qui décide quels
sont les risques acceptables et ceux qui ne
le sont pas. Il est important que les décisions
soient bien documentées, afin que les acteurs
puissent s’y référer lorsqu’un incident survient
effectivement. À ce moment, on peut prouver,
grâce à la documentation, que toutes les
décisions ont été bien pensées, en tenant
compte de tous les éléments pertinents
disponibles.
2 CONTRÔLE INTERNE ET
GESTION DES RISQUES
Les risques peuvent être limités au moyen
de mesures de contrôle interne, également
appelées mesures de gestion.
22
FEB GESTION DES RISQUES
Le contrôle interne est défini comme ‘un
système développé par l’organe de gestion
et mis en œuvre sous sa responsabilité par le
management exécutif. Il contribue à la maîtrise
des risques et des activités de la société, à
l’efficacité de ses opérations, à l’utilisation
efficiente de ses ressources, à la protection
de ses actifs et à la prévention de la fraude.
Cela en fonction des objectifs, de la taille et de
la complexité des activités de la société’. Au
sens plus strict, des mesures de gestion sont
développées et mises en œuvre pour réduire
les risques.
Voici quelques exemples de mesures de
contrôle interne et des risques y afférents :
la limite de crédit pour réduire le risque de
crédit des clients (risque financier – nous vous
renvoyons au chapitre consacré à ce sujet,
p. 40) ;
le 3-way match pour approuver les
factures de fournisseurs à l’aide du bon de
commande, du bon de livraison et de la
facture ;
le recours à plusieurs fournisseurs et à des
clauses contractuelles en vue d’éviter une
rupture de stock ou de livraison de matières
premières (risque opérationnel – nous vous
renvoyons au chapitre consacré à ce sujet,
p. 66) ;
la maintenance préventive des machines de
production (risque opérationnel);
l’application de procédures d’injonction de
payer pour suivre le recouvrement de factures
de clients (risque financier) ;
la répartition ou la séparation des fonctions
et des responsabilités dans le processus
d’acquisition (risque de fraude – nous vous
renvoyons au chapitre ‘Risques financiers’,
p. 40) ;
un générateur de secours pour faire face aux
pannes d’électricité (risque opérationnel) ;
un Business Continuity Plan (BCP) pour
garantir la continuité des activités en cas
d’incidents majeurs (risque de continuité) ;
un firewall en guise de protection contre les
attaques des systèmes IT par des hackers
(risque informatique – nous vous renvoyons
au chapitre consacré à ce sujet, p. 72) ;
…
Nous établissons en outre une distinction
entre les mesures préventives et les mesures
correctives :
les mesures préventives empêchent que
survienne effectivement un risque donné.
Il s’agit notamment de la séparation des
fonctions, des limites de crédit ... ;
les mesures correctives limitent quant à
elles l’impact d’un risque lorsqu’il survient.
Les rapports des contrôles sont un exemple
typique de mesure corrective pour détecter
des anomalies. Un BCP en est un autre. Les
assurances sont également considérées
comme des mesures correctives.
3 IMPACT DES TI SUR
LE CONTRÔLE INTERNE
ET LA GESTION DES
RISQUES
L’automatisation des processus d’entreprise
a un impact considérable sur la gestion des
risques et le contrôle interne. D’une part,
les contrôles automatisés permettent de
réduire les risques mais, d’un autre côté, ils
introduisent de nouveaux risques en raison de
la dépendance accrue aux TI.
Un système ERP (Enterprise Resource Planning)
doit consacrer suffisamment d’attention au
contrôle interne afin de réduire sensiblement
les risques. Ainsi, dans un cycle de vente, les
étapes suivantes peuvent être introduites par
exemple :
la vérification automatique du crédit lors de
l’introduction d’un ordre de vente ;
l’utilisation des prix de vente imposés par le
système ;
la gestion des listes de prix par une personne
autorisée ;
des rapports en cas de prix de vente modifiés
et de faibles marges ;
la facturation automatique après la livraison
des marchandises.
Dès que ces mesures de gestion sont
correctement implémentées, elles sont mises
en œuvre de manière cohérente par le système
ERP. Les modifications éventuelles sont
gérées de manière contrôlée, de sorte que les
contrôles restent pertinents et appliqués. En
cas de fraude, les logs du système ERP peuvent
être consultés en vue de tracer les actions et
leurs exécutants.
L’automatisation des
processus d’entreprise a
un impact considérable
sur la gestion des risques
et le contrôle interne
En revanche, la dépendance accrue des TI
introduit également de nouveaux risques.
Ainsi, l’indisponibilité des systèmes (en cas
de panne de courant par exemple) peut avoir
un impact considérable sur la continuité des
processus critiques de l’entreprise (l’expédition
de marchandises par exemple). Par ailleurs,
les systèmes doivent bien sécuriser les
informations confidentielles. Les listes de
clients et de prix surtout sont des informations
fortement prisées par la concurrence. Et,
dans le cadre de la loi sur la vie privée, il faut
également sécuriser les données personnelles
des collaborateurs et des clients.
GESTION DES RISQUES
FEB
23
CASE CMI GROUP
COCKERILL
MAINTENANCE
& INGÉNIERIE
NO RISK,
NO BUSINESS
© CMI
La reprise d’un acteur indien coté en
bourse a représenté un énorme saut
en avant pour la gestion intégrée des
risques au sein du groupe wallon CockeCockerill Maintenance & Ingénierie (CMI). “En
Occident, la gestion des risques repose
sur la gouvernance d’entreprise. En Inde,
elle a force de loi, plus encore qu’aux
USA”,, explique le CFO du groupe, Yves
USA”
Honhon. Dans son entreprise axée sur
la gestion des projets, les risques sont
le moteur de l’innovation. “Nous ne les
évitons pas, mais les rendons maîtrisables
grâce à un encadrement stratégique et
opérationnel de la base au sommet.”
“Notre business est fondé sur
un solide appétit en termes
de risques”, déclare Yves
Honhon, CFO du groupe.
Que CMI conçoive une
chaudière pour une centrale
solaire à tour, développe une
tourelle ‘hightech’ pour un
véhicule blindé léger
ou conçoive
un système
novateur de
traitement des déchets, chaque projet génère de
nouveaux risques à tous les niveaux (juridique,
géopolitique, financier, performances, propriété
intellectuelle …). “C’est la nature même de
notre métier. Surmonter les risques de manière
réfléchie et judicieuse contraint nos concepteurs
et gestionnaires de projets à rester vigilants et
propulse notre groupe à la pointe du progrès.
Je n’appelle pas cela prendre des risques, mais
entreprendre avec une audace calculée.”
La protection de son savoir-faire est un des
risques les plus critiques pour CMI. “En effet,
ce savoir-faire est humain et donc extrêmement
sensible”, explique l’auditeur interne Christophe
Quiévreux. Lorsqu’un ingénieur invente une
solution innovante, il est important de partager
ce savoir avec ses collègues de la manière la plus
détaillée et la plus documentée possible. “Il faut
s’assurer que ces connaissances ne disparaissent
pas avec les personnes.”
COMITÉ DE GESTION DES RISQUES
Imaginons qu’un gestionnaire de première ligne
doive faire un devis pour la construction d’une
installation de traitement des déchets. Lorsqu’il
lit l’énorme quantité de conditions, normes,
exigences… auxquelles doit satisfaire le projet,
il y a beaucoup de chances qu’il surestime les
risques en raison de son manque d’expérience
et refuse dès lors le projet. “Il s’agit d’un réflexe
sain, mais pas le plus performant pour CMI”,
explique Yves Honhon. “C’est la raison pour
laquelle nous encadrons nos collaborateurs avec
des structures composées de spécialistes qui
les aident à placer les risques liés au projet dans
leur juste perspective ou même à les réduire,
Yves Honhon, CFO CMI
24
FEB GESTION DES RISQUES
par exemple en proposant d’adapter les termes
contractuels en concertation avec le client.”
Ainsi, les projets supérieurs à 2 millions EUR, et
tous les projets présentant des caractéristiques
appelées ‘risques exclus’ sont examinés par un
‘Comité d’engagement’, qui va accompagner
“La gestion des risques vous
permet de prendre plus
de risques en connaissance
de cause et de consolider
ainsi votre position
concurrentielle”
Yves Honhon, CFO CMI
l’équipe de projet. Pour les projets à long terme,
on s’intéresse tout particulièrement aux risques
opérationnels de financement (cashflow, taux
de change, garanties de paiement, conformité
fiscale, etc.). Si le projet est extrêmement
sensible, comme les missions dans les domaines
nucléaire ou militaire par exemple, CMI met
en place une équipe spéciale de gestion des
risques. “Si le projet ne satisfait pas aux
conditions définies, c’est le CEO
qui décide d’accepter ou non
le projet. Bref, on n’élude
pas les risques, mais on
tente de les neutraliser au
maximum. Dès lors, on ne
refuse que très rarement un
projet. Il est essentiel que
chaque collaborateur
soit convaincu
que prendre
des risques
fait partie de notre métier et qu’il est soutenu
jusqu’au niveau le plus élevé.” CMI détermine
le degré ou la gravité du risque sur la base de
quatre paramètres : l’impact financier sur le
compte des pertes et profits, la continuité du
groupe, sa réputation et la conformité avec la
réglementation.
L’ACCENT EST MIS SUR L’IMPACT
PLUS QUE SUR LA PROBABILITÉ
Outre le Comité de gestion des risques et les
équipes de risque spécialisées, CMI a engagé un
gestionnaire des risques chargé exclusivement
d’examiner tous les risques assurables et qui
Christophe Quiévreux, auditeur interne CMI
GESTION DES RISQUES
FEB
25
rapporte directement au CFO. Ensuite “il existe
un comité d’audit qui, outre la supervision des
états financiers, pilote la stratégie de gestion de
risques. Ce comité supervise également le bon
fonctionnement de l’environnement de contrôle
interne, à l’aide d’une équipe d’audit interne, qui
couvre les 45 divisions opérationnelles du groupe
dans un plan triannuel”, ajoute Christophe
Quiévreux. “Après des années de sensibilisation
et la mise à disposition d’instruments et d’un
cadre de gestion des risques, CMI a développé
une culture où chacun, en connaissance de cause,
‘hopes for the best and prepares for the worst’.”
La stratégie de gestion interne des risques du
groupe privilégie en effet l’analyse d’impact
plutôt que celle de la probabilité de survenance.
Un risque élevé avec une probabilité faible
sera si possible maîtrisé grâce à une couverture
d’assurance.
“La plupart des risques sont en effet assurables,
ce que nous faisons bien sûr. Mais ce n’est pas la
seule solution.”
La valeur ajoutée de la gestion des risques
dépasse le cadre opérationnel. Le fait que
26
FEB GESTION DES RISQUES
les risques soient suivis de bas en haut
et inversement de manière transparente
renforce la confiance de toutes les parties
concernées, tant en interne qu’en externe.
Yves Honhon: “Une banque ou un actionnaire
qui sait que l’entreprise est consciente,
jusqu’au plus haut niveau, de la sensibilité aux
risques de chaque projet pourra dormir sur
ses deux oreilles. Un bon conseil : connaissez
vos risques, ou mieux encore : connaissez les
risques que vous ne voulez pas prendre.”
Cockerill Maintenance
& Ingénierie
Secteur : Maintenance et ingénierie
Marchés : Énergie, défense, industrie
et services
Quartier général : Seraing
Collaborateurs (2014) : Plus de 4.600
Chiffres d’affaires consolidé (objectif
exercice 2015) : 1,4 milliard EUR
www.cmigroupe.com
4 NORMES ET STANDARDS
- COSO ERM
En 2004, le Committee of Sponsoring
Organizations of the Treadway Commission
(COSO) a lancé un guide pour la gestion des
risques, utilisé dans le monde entier par de
nombreuses organisations mettant en place
une gestion des risques. Sous forme de cube
(graphique 2), le modèle COSO présente la
relation entre :
les objectifs d’une organisation ;
les composantes de gestion ;
et les entités/unités nécessitant une gestion
interne.
L’idée sous-jacente du modèle COSO ERM
(Enterprise Risk Management) est que chaque
entreprise doit pouvoir trouver son ‘sweet
spot’ (voir graphique 1). Cela implique, d’une
part, de prendre suffisamment de risques pour
pouvoir exploiter des opportunités et, d’autre
part, d’introduire des contrôles suffisants pour
ne pas déraper complètement. Selon le COSO,
l’objectif ultime de toute entreprise doit être
d’atteindre ce niveau de risque optimal. Le
modèle COSO ERM peut aider à y parvenir.
FIGURE 1 : COSO ERM SWEET SPOT
Source : COSO ERM
Selon le COSO, la gestion des risques
comporte 8 composantes reliées :
1. l’environnement interne : il englobe la
nature d’une organisation et la façon dont
les risques sont appréhendés et pris en
compte par l’ensemble des collaborateurs,
à l’inclusion de la gestion des risques et
du taux d’acceptation des risques, de
l’intégrité, des normes et valeurs éthiques
et de l’environnement dans lequel les
collaborateurs opèrent ;
2. la fixation des objectifs : sans objectifs, la
direction ne peut identifier les événements
potentiels susceptibles d’en affecter la
réalisation. La direction met en place un
processus de fixation des objectifs qui veille à
ce que ceux-ci soient en ligne avec la mission
et avec le taux d’acceptation des risques ;
3. l’identification des événements : les
événements internes et externes qui
affectent la réalisation des objectifs d’une
entreprise doivent être identifiés. On établit
pour cela une distinction entre risques
et opportunités. Les opportunités sont
prises en compte lors de l’élaboration de
la stratégie ou au cours du processus de
fixation des objectifs ;
4. l’évaluation des risques : les risques sont
analysés, tant en fonction de leur probabilité
que de leur impact. Cette analyse sert de
base pour déterminer la façon dont ils
doivent être gérés ;
5. le traitement des risques : le management
définit les réactions à certains risques :
évitement, acceptation, réduction ou
partage. Pour ce faire, il élabore un
ensemble de mesures permettant de mettre
en adéquation le niveau des risques avec le
seuil de tolérance et le taux d’acceptation
des risques ;
6. les activités de contrôle : l’entreprise formule
et déploie des politiques et procédures
afin de veiller à l’application effective des
mesures de traitement des risques ;
GESTION DES RISQUES
FEB
27
7. l’information et la communication :
l’entreprise identifie, collecte et
communique les informations sous un
format et dans des délais permettant
aux collaborateurs d’assumer leurs
responsabilités. Plus globalement,
une communication efficace doit être
horizontale, verticale et bilatérale au sein de
l’entreprise ;
8. le pilotage : le processus de gestion
des risques est piloté dans sa globalité
et modifié en fonction des besoins. Le
pilotage s’effectue au travers des activités
permanentes de management ou par le biais
d’évaluations indépendantes ou encore par
une combinaison de ces deux modalités.
FIGURE 2 : LE MODÈLE COSO SOUS FORME DE
CUBE
Source : COSO
5 RÔLES ET
RESPONSABILITÉS
C’est le conseil d’administration qui est,
in fine, responsable de la mise en place de
systèmes efficaces de gestion des risques et
28
FEB GESTION DES RISQUES
de contrôle interne. L’organisation, la mise
en œuvre et le contrôle de ces systèmes
sont délégués à la direction. Il appartient au
conseil d’administration de veiller à ce que
la direction ait effectivement les choses en
main et de s’assurer régulièrement que les
risques importants auxquels est exposée
l’organisation soient effectivement identifiés.
Et aussi que le système de contrôle interne
réduise effectivement les risques à un niveau
acceptable.
En bref, le contrôle de l’efficacité des
systèmes relève de la responsabilité du conseil
d’administration. L’évaluation de l’efficacité
de ces systèmes est, quant à elle, souvent
déléguée au comité d’audit.
Le comité d’audit est érigé par le conseil
d’administration et a un rôle purement
consultatif. D’un point de vue juridique,
toutes les compétences décisionnelles
restent collégialement aux mains du conseil
d’administration.
Le comité d’audit est chargé des tâches
suivantes :
surveillance du rapportage financier ;
suivi de l’efficacité des systèmes de contrôle
interne et de gestion des risques de la
société ;
s’il y a un audit interne, suivi de celui-ci et de
son efficacité ;
suivi du contrôle légal des comptes annuels
et des comptes consolidés, en ce compris
le suivi des questions et recommandations
formulées par l’auditeur externe ;
examen et suivi de l’indépendance de
l’auditeur externe.
L’organisation, la mise en œuvre et le contrôle
de l’efficacité des systèmes de gestion des
risques et de contrôle interne relèvent, pour
leur part, de la responsabilité de la direction.
Celle-ci doit veiller à ce que les risques soient
gérés de manière adéquate dans le cadre de
ses responsabilités. Et aussi à la mise en œuvre
de mesures de contrôle interne lorsque cela
s’avère nécessaire pour maîtriser les risques.
La direction est souvent considérée comme la
première ligne de défense contre les risques.
La direction fait souvent
office de première ligne
de défense contre les
risques
Il arrive de plus en plus fréquemment que
l’équipe de direction compte également un
gestionnaire des risques. Il ou elle dresse
l’inventaire des risques de l’organisation, veille
à bien définir les responsabilités en termes
de gestion des risques et surveille la mise en
œuvre d’une stratégie efficace de gestion
des risques. Dans bon nombre d’entreprises
ou d’organisations, le gestionnaire des
risques tient un registre des risques et tous
les incidents doivent lui être rapportés. Le
gestionnaire des risques est souvent considéré
comme la deuxième ligne de défense contre
les risques.
Enfin, certaines organisations ont un auditeur
interne. Il examine et évalue la pertinence
et l’efficacité de la gestion des risques et
du contrôle interne de l’organisation. Si le
gestionnaire des risques appartient à l’équipe
de direction et lui apporte son soutien pour
la gestion des risques, l’aspect de l’audit
interne mis en avant est l’appréciation
indépendante des risques et des processus
de contrôle interne. En vue de consolider
son indépendance, il ou elle ne fait pas partie
de l’équipe de direction et fait directement
rapport au conseil d’administration ou au
comité d’audit. L’audit interne est souvent
considéré comme la troisième ligne de défense
contre les risques.
GESTION DES RISQUES
FEB
29
Typologie
des risques
QUELS RISQUES ET COMMENT
LES MAÎTRISER ?
Il existe différentes manières de cataloguer
les risques. On peut les classer sur la base de
leur origine et de leurs conséquences sur le
fonctionnement de l’organisation, de l’entreprise ou même d’un système ou processus
déterminé. On peut aussi les classer selon la
probabilité que survienne une anomalie ou un
incident. Il n’existe toutefois pas de panacée
pour répartir les risques. Chaque entreprise
doit déterminer elle-même comment elle veut
le faire, pourquoi et à quel niveau ou pour
quel aspect de sa gestion.
Indépendamment de la répartition que
l’entreprise choisit, les catégories doivent être
appliquées de manière uniforme dans toute
l’organisation afin que l’analyse, l’évaluation
et le suivi de tous les risques puissent se faire
de manière cohérente.
Dans ce chapitre, nous classons les risques en
six grands domaines, en tenant compte des
types de risque les plus courants :
1
2
3
4
RISQUES EXTERNES ET STRATÉGIQUES
(situation politique, évolution macroéconomique, influence démographique,
événement naturel…)
RISQUES FINANCIERS (financement à
long terme et opérationnel, fluctuations
des devises et des intérêts, gestion des
débiteurs…)
RISQUES DE COMPLIANCE (règles
fiscales, facturation, comptabilité,
administration…)
RISQUES JURIDIQUES (contrats,
législation sociale, propriété intellectuelle
…)
5
6
RISQUES OPÉRATIONNELS
(production, achats, transports,
logistique, environnement, contrefaçon,
approvisionnement énergétique, qualité,
supply chain…)
RISQUES IT (données, protection de la
vie privée, continuité, cybercriminalité,
phishing, fraude…)
Nous ne parlons pas dans cette brochure,
sinon indirectement, des risques en matière
de sécurité, de santé, de bien-être et
d’environnement. Quelques exemples
concrets : la sécurité au travail (prévention
et protection contre les accidents du travail,
incendie, explosion…), la protection de la
santé du travailleur, la charge psychosociale
causée par le travail (stress, harcèlement,
satisfaction professionnelle…), l’ergonomie
(adaptation des équipements de travail
et du poste de travail aux possibilités du
travailleur), l’hygiène du travail (aération,
éclairage, température, substances nocives
…), l’embellissement des lieux de travail
(sanitaires, réfectoire…), etc. Ces risques ne
sont pas abordés dans cette brochure parce
qu’ils relèvent du domaine spécifique du
Comité de prévention et de protection au
travail ou du coordinateur environnemental.
Solutions
Pour chaque domaine ou type de risque, nous
suggérons des solutions que votre entreprise
peut appliquer pour se protéger contre les
risques. Précisons toutefois qu’il s’agit chaque
fois de pistes et non de solutions toutes faites
sur mesure, étant donné qu’une solution
spécifique peut être élaborée pour maîtriser
chaque risque spécifique.
GESTION DES RISQUES
FEB
31
1
RISQUES EXTERNES
ET STRATÉGIQUES
Les risques externes et stratégiques
constituent une catégorie à part
dans la typologie des risques. La
grande différence avec les risques
financiers, juridiques, opérationnels
ou de compliance est que les
risques stratégiques et, plus encore,
les risques externes sont moins
maîtrisables. Autrement dit : il n’est
pas évident de les éviter parce qu’ils
se situent souvent en dehors de la
sphère d’influence de l’organisation
et sont donc plus difficiles à contrôler
via des processus ou des règles. Mais
difficile ne signifie pas impossible.
1 RISQUES EXTERNES :
AIGUS OU LARVÉS
Les risques externes sont des risques qui
viennent de l’extérieur de l’entreprise et
sur lequel elle n’a pas ou guère d’influence.
Citons les catastrophes naturelles, les
facteurs macro-économiques, politiques
((in)sécurité juridique, grèves), législatifs,
démographiques, le terrorisme, l’évolution
climatique, la concurrence croissante …
Selon le gourou du management, Robert
Kaplan, il existe deux sortes de risques externes
1
qui se distinguent en fonction du rythme auquel
ils se produisent. Le ‘Big Bang’ est un problème
aigu et grave. On parle aussi de ‘cygnes noirs’
1
ou d’événements imprévisibles auxquels
personne ne s’attendait, que presque personne
n’a vus arriver, mais qui ont des conséquences
énormes. On citera comme exemples un
krach boursier ou la catastrophe nucléaire de
Fukushima, qui a remis en question la politique
nucléaire partout dans le monde. Mais le
comportement ad hoc des parties prenantes,
des politiques ou des concurrents peut aussi
donner lieu à un incident grave.
Le deuxième groupe de risques externes est
celui des ‘Slow Risks’. Le nom est éloquent : ces
risques sont la conséquence de situations ou
de phénomènes qui traînent depuis des années
à l’intérieur ou à l’extérieur de l’entreprise. Ils
constituent une menace larvée. Ainsi, la crise du
crédit dans le secteur bancaire a joué des tours
à la politique d’investissement de nombreuses
entreprises. Ou encore, l’émergence de la
communication numérique a contraint la poste
à réinventer son businessmodel.
Des situations qui traînent
depuis des années
peuvent devenir une
menace aiguë
Le terme vient du bestseller financier de Nassim Nicholas Taleb ‘Le cygne noir : la puissance de l’imprévisible’. Le cygne
noir est une métaphore pour des événements imprévisibles qui ont un impact considérable et qui a posteriori sont
considérés comme plausibles et prévisibles. L’auteur estime que les cygnes noirs déterminent de plus en plus l’histoire
en raison de la complexité croissante de la société.
32
FEB GESTION DES RISQUES
LES RISQUES EXTERNES D’UNE INSTITUTION DE SOINS
Le tableau ci-dessous est un bel exemple de la manière dont une institution de soins a identifié
ses principaux risques externes.
ÉCONOMIE
MARCHÉ
RPossibilités de financement externe insuffisantes
RAugmentation des taux
RAugmentation du pouvoir des assureurs soins
RAugmentation de la concurrence
POLITIQUE
SOCIÉTÉ
RÉconomies des autorités en relation avec des
exigences accrues de soins
R*BHIB<EFCH5?<6F<@CE[I<F<5?8F
R0<8<??<FF8@8AG
R[I8?BCC8@8AG78?46H?GHE878?4C?4<AG8
R#@4:874AF?8F@[7<4F
Il y a longtemps, le management considérait
les risques externes comme des ‘cas de force
majeure’, contre lesquels ils ne pouvaient
rien entreprendre, ce qu’on appelle en jargon
des ‘Acts of God’. Actuellement, la direction
de l’entreprise ne peut plus s’en tirer avec
une telle attitude. Malgré le fait que les
risques externes sont souvent imprévisibles
ou échappent aux radars, une entreprise ou
une organisation peut toujours mieux s’armer
pour faire face à leur éventualité. Les moyens
technologiques actuels sont des outils utiles,
mais ils ne sont pas la panacée. En effet,
gérer les risques externes exige une nouvelle
manière de penser ‘en scénarios’ qui dépasse
la gestion de risque classique.
Une entreprise peut s’armer :
en réagissant à temps et proactivement
aux évolutions du marché. Ainsi, on peut
désigner une personne responsable de
suivre et de surveiller toutes les évolutions
(politiques, sociétales) qui ont une influence
sur la stratégie de l’entreprise. Et de
planifier des scénarios sur la base de ces
connaissances ;
en menant une politique du personnel à
long terme qui tient compte des évolutions
futures, comme le vieillissement, les
économies des pouvoirs publics, la flexibilité
et la mobilité, etc. ;
en identifiant et en inventoriant les risques
externes potentiels qui concernent
l’entreprise. Le fait que l’entreprise soit
consciente des risques possibles est
un premier pas important pour y parer.
L’évaluation de ces risques au moyen
d’indicateurs spécifiques à l’entreprise est
aussi importante ;
en déterminant le poids de ces risques,
leur rapport avec d’autres risques et leur
impact sur l’organisation (par exemple par
des stresstests ou le ‘war gaming’). Et, en
corollaire, en élaborant des stratégies avec
ou sans la collaboration de spécialistes ou
partenaires externes ;
…
GESTION DES RISQUES
FEB
33
RISQUE DE TRANSFERT
Le risque de transfert fait aussi partie des
risques externes. En effet, il peut arriver que
votre partenaire soit solvable et qu’il soit en
mesure d’effectuer le paiement en monnaie
locale, mais que la banque centrale de son
pays ne mette aucune devise à sa disposition
en raison d’une pénurie.
Comment se prémunir ?
R Exiger l’ouverture d’un crédit documentaire
confirmé par votre banque. Dans ce cas,
votre banque s’engage irrévocablement
– avec la banque émettrice – à payer
le montant du crédit contre remise des
documents exigés. Elle couvre le risque
commercial de la banque qui ouvre le
crédit ainsi que le risque politique du pays
et la défaillance de cette banque.
R Exiger l’ouverture d’une lettre de crédit
stand-by confirmée par votre banque.
Cette garantie de paiement est délivrée
par la banque de l’acheteur. Cette banque
s’engage à payer l’exportateur à sa
première demande, sans condition.
R Demander à votre banque une garantie
de paiement (soumise aux ‘Uniform Rules
for Demand Guarantees’) en contrepartie
d’une garantie du banquier de votre
acheteur.
R Contracter une assurance-crédit.
2 RISQUES STRATÉGIQUES :
DÉLIBÉRÉS ET CIBLÉS
Les risques stratégiques sont liés à la stratégie
de l’entreprise et sont donc des risques que
l’entrepreneur choisit délibérément. Il met en
balance le risque (la menace) et le rendement
(l’opportunité). Bref, les risques stratégiques
sont pris dans un but précis. Ainsi, les banques
prennent un risque de crédit en prêtant de
l’argent. Ou une entreprise s’installe sur un
nouveau marché pour augmenter son chiffre
d’affaires. Certaines entreprises prennent
délibérément des risques stratégiques pour se
positionner ou se distinguer de la concurrence
– par exemple lorsqu’elles développent un
nouveau produit. Ces entreprises audacieuses
doivent élaborer une bonne stratégie de
gestion des risques si elles ne veulent pas être
victimes de leur propre goût du risque.
Les risques stratégiques ne vivent pas leur
propre vie. Les risques externes, comme les
risques maîtrisables (opérationnels, financiers,
juridiques, IT…) peuvent devenir des risques
stratégiques. Ainsi, les risques opérationnels
qui s’accumulent peuvent devenir une menace
stratégique. Un risque externe peut aussi devenir stratégique. La reprise d’une entreprise
X par une entreprise Y peut avoir un impact
sur la stratégie d’une entreprise Z (qui n’a pas
prise sur la reprise) du même secteur.
Les risques stratégiques ne peuvent être
maîtrisés par des règles, des procédures et
des systèmes (‘rule-based model’). La gestion
des risques stratégiques doit surtout veiller
à minimiser l’impact négatif possible. En
effet, plus la menace stratégique est faible,
plus l’entreprise peut prendre de nouveaux
risques. C’est pourquoi il est important que
l’entreprise surveille en continu l’évolution de
ses risques stratégiques et qu’elle les garde à
34
FEB GESTION DES RISQUES
l’ordre du jour. Dans ce cadre, il est essentiel
que les risques soient identifiés de manière
très concrète et tangible. Car pour maîtriser les risques, il faut d’abord les connaître.
Chacun sait-il clairement ce que l’on entend
par risque ? Car chaque risque stratégique en
cache de nombreux autres.
Les risques stratégiques
ne peuvent être maîtrisés
par des règles, des procédures et des systèmes
Toutefois, dans de nombreuses organisations,
l’accent de la gestion des risques est mis sur
les aspects ‘operation’ et ‘compliance’. Les
risques stratégiques ne reçoivent pas toujours
l’attention qu’ils méritent. Une étude de
Robert Kaplan et David Norton montre même
que 85% du senior management consacre
moins d’une heure par mois à la concertation
stratégique. Or, une bonne gestion des
risques commence par la compréhension du
contexte et de la stratégie de l’organisation.
L’entreprise peut la concrétiser à l’aide d’une
carte stratégique qui fait le lien entre la
stratégie, les activités opérationnelles et les
indicateurs mesurables.
LA CARTE STRATÉGIQUE DU RISQUE
Nous fournissons à temps des produits qualitatifs à la grande satisfaction de nos clients
Mission
Objectifs
Finance
Nos produits sont
visiblement qualitatifs
A. 10% du budget pour
l’innovation
13 6
Clients
Personnes,
Innovation et
apprentissage
Satisfaction
des collaborateurs
minimum un 8
Solvabilité de 40%
B. Politique de prix
concurrentielle
C. Régimes de garantie
9 2
D. Réduction overhead
4
H. Cas pratiques
6 13
I. Gestion des débiteurs
11
E. Panels de clients actifs
13 dans l’innovation
F. Gestion des plaintes
Processus
internes
3
Satisfaction du client
minimum un 8
G. Account
management
5
J. Gestion de la qualité
6
M. Collaboration active
avec les universités
techniques
10 2
K. CRM
5 11
N. Job rotation
4 8 9
8
O. Coaching personnel
2
8
L. Investissement
d’analyse des risques
P. Conscience accrue
des coûts
Les numéros en couleur correspondent aux risques liés à cette activité.
Source : http://robertthart.risicomanagement.nl/2014/10/28/risico-strategiekaart-sturen-op-strategie-en-risicos/
GESTION DES RISQUES
FEB
35
La carte stratégique constitue la base de
l’identification et de la gestion systématique
des risques. Elle concrétise tous les objectifs
stratégiques et leurs relations mutuelles. Un
récapitulatif clair offre une structure et facilite
la concertation et le dialogue de sorte que la
gestion des risques s’intègre dans la culture de
l’organisation. Une carte stratégique efficace
change d’ailleurs régulièrement parce que
de nouvelles activités, de nouveaux risques
et de nouvelles visions amènent à adapter les
priorités de la stratégie.
Enfin, la carte stratégique offre un point de
repère qui permet au management de se
concentrer sur les risques liés à la réalisation
des objectifs qu’elle reprend. Bref, la carte
stratégique offre le cadre naturel pour identifier
les risques, les atténuer et les gérer de manière
systématique grâce à une approche intégrée.
MANAGEMENT DE LA RÉPUTATION
La valeur d’une entreprise repose sur trois éléments : sa valeur comptable, la valeur de sa marque/de
son actionnariat et … sa réputation. La force de la réputation dépend du degré de correspondance
entre les paroles et les actes. Celui qui ne dit pas ce qu’il fait et inversement compromet sa réputation
et donc aussi son activité.
Comment votre entreprise est-elle perçue dans le pays où vous opérez ? C’est la définition de
la réputation. Plus cette perception est positive, mieux cela vaut pour la confiance et donc pour
votre activité. Heureusement, il existe de nombreux accords et règlements internationaux auxquels
l’entreprise peut se référer pour élaborer un code d’entreprise responsable. Songeons à des thèmes
comme le travail des enfants, la sécurité environnementale, les conditions de travail, la protection
sociale, la corruption, la qualité du produit ou du service…
Tous ces thèmes impliquent un risque supplémentaire pour votre réputation lorsque les normes et
valeurs étrangères s’opposent à celles de votre pays d’origine. L’entreprise qui opte pour la norme
‘la plus haute’ (par exemple appliquer les normes environnementales strictes du pays d’origine
dans un pays où il n’existe pratiquement pas de normes) risque de compromettre sa position
concurrentielle sur ce marché local étranger. Inversement, l’entreprise qui déroge trop aux normes
et valeurs nationales à l’étranger risque d’entacher sa réputation sur son marché domestique.
L’essentiel est de trouver un équilibre entre limite supérieure et inférieure. Sachez enfin que le risque
de préjudice porté à la réputation a fortement augmenté du fait de la croissance exponentielle des
moyens de communication et technologiques. Une bonne compréhension des risques est donc
essentielle pour un bon management de la réputation.
36
FEB GESTION DES RISQUES
CASE FNG GROUP
CHAQUE RISQUE
CACHE UNE
OPPORTUNITÉ
La maison de mode belge qui chapeaute
les marques Fred & Ginger et Claudia
Sträter a repris huit marques en douze ans.
Aujourd’hui, ce sont cinq concepts. “Être
plus pertinent que les acteurs dominants”,
dominants”,
c’est la meilleure garantie pour rester comcompétitif, affirme le CEO Dieter Penninckx.
“Nous vendons un produit émotionnel
dont nous essayons de gérer les risques le
plus rationnellement possible.”
© FNG Group
FNG Group crée et distribue des articles
de mode pour dames, enfants et bébés
via ses propres concept-stores situés dans
les meilleurs endroits en Belgique et aux
Pays-Bas, et via un réseau de boutiques
multimarques chez nous et à l’étranger.
Toutes les collections sont créées en interne.
Si l’une d’entre elles plaît moins, FNG ne
peut en faire porter le préjudice
par un tiers. Le CEO Dieter
Penninckx étale ce ‘risque de
collection’ en différentiant
fortement l’offre, allant
jusqu’à 15 collections par
marque et par an. “La
mode n’est pas une science
exacte ; elle est soumise
aux tendances et
aux caprices du
consommateur.
Dieter Penninckx,
CEO FNG Group
38
FEB GESTION DES RISQUES
L’important est de commercialiser le bon
produit, au bon moment et au bon endroit du
marché. Mais la conception de ces produits
demande du temps : 8 à 9 mois de l’idée
jusqu’au magasin. D’où l’importance de
s’entourer de professionnels qui ont du nez pour
les styles futurs, de personnes sensibles aux
‘signaux faibles’ (n.d.l.r.: métatags de la réalité
qui donne un sens à une réalité plus profonde).”
Il faut aussi être fort dans la planification des
collections. En effet, dès que le succès d’une
collection est passé, le reliquat ne peut être
vendu qu’au rabais. Enfin, FNG opère dans un
contexte ‘open to buy’. Cela signifie qu’à côté
des ‘collections de long terme’, le groupe peut
réaliser très rapidement de petites collections.
L’organisation internationale des achats joue un
rôle clé dans cette stratégie. “Pareille stratégie
n’est réalisable que si l’on connaît et maîtrise
parfaitement l’ERP (enterprise resource
planning). Vendre au détail, cela marche
toujours. Vendre avec une optimalisation de
marge, c’est une autre affaire.”
INTÉGRATION VERTICALE FORTE
Comme société internationale, FNG court
aussi des risques stratégiques du niveau des
achats. FNG pare aux risques fournisseurs et
qualité par une excellente politique d’achat qui
maintient la continuité, la rapidité, les prix et la
qualité en équilibre d’une manière socialement
responsable. “Les vicissitudes géopolitiques ont
moins d’impact sur la relation avec nos ateliers
de production et de confection que les risques
de change euro/dollar.” La hausse du dollar face
à l’euro est un problème pour une entreprise
de mode qui fait confectionner ses vêtements
dans les pays asiatiques liés au dollar. “Nous
pouvons rapidement déplacer la production
vers la Turquie. Nous instaurons ainsi une
certaine compétition interne dans notre
organisation.” Mais la dispersion n’efface
pas tous les risques. Une intégration
verticale forte est tout aussi efficace. “Il faut
littéralement être présent chez le fournisseur
et suivre les processus et les activités avec
des locaux, sans pour autant créer des filiales
soi-même. On évite ainsi le risque lié à une
entreprise locale.”
“La mode est comme un fruit ;
à la fin de la saison, il pourrit et
ne vaut plus rien. Il est capital
de planifier efficacement les
délais de réalisation”
Dieter Penninckx considère la qualité comme
un risque ‘minimum-maximum’. Chaque
bureau de l’organisation d’achat de FNG
(Istanbul, New Delhi et Hongkong) gère une
vingtaine de fournisseurs. “Nous ne pouvons
pas en avoir beaucoup plus si nous voulons
garder la maîtrise des 7 à 8 millions de
pièces que nous commercialisons chaque
année. Nous minimalisons le nombre de
fournisseurs et construisons avec eux une
relation à long terme contrôlable. Et ce
groupe, nous le dispersons au maximum.”
De plus, en supprimant les intermédiaires,
FNG offre un prix correct à ses fournisseurs
tout en restant compétitif.
L’EXPÉRIENCE MÈNE À UNE VISION
Le groupe de mode ne se profile pas
comme casseur de prix ; il offre plus de
pertinence. “L’innovation constante évite
le risque d’être chassé du marché par
des acteurs qui cassent les prix. C’est
pourquoi nous vendons un concept et
non un produit.” Le nouveau conceptstore F.R.E.D., ouvert à Anvers, est une
expérience de ce type. Dieter Penninckx y
vend ses propres marques, mais aussi des
créations de nouveaux talents qu’on ne
vend nulle part ailleurs. Nous y travaillons
avec des designers, des artistes. Il y a un
mur où on peut échanger des livres ou des
plantes. Chacun peut jouer sur le piano à
queue. “Tous ces éléments se renforcent
mutuellement et misent sur les ‘early
adopters’. Ceux-ci peuvent être source
d’inspiration.” Fondamental : gérer les
risques sans une bonne vision de l’univers
et des motivations du marché est un nonsens stratégique. “Chaque risque cache
une opportunité. Pour celui qui cherche les
opportunités dans la menace, les risques
peuvent être une bénédiction.”
FNG Group
Activité : Mode
Marchés : 300 magasins propres
dans le Benelux et des collections
vendues dans 1.800 magasins
multimarques
Siège : Malines
Collaborateurs (2014) : Environ
1.800
Chiffre d’affaires (objectif exercice
2015) : 225 millions EUR
www.fng.eu
GESTION DES RISQUES
FEB
39
2
RISQUES
FINANCIERS
Investissements à long terme
Pour se développer, une entreprise
doit investir, que ce soit sur fonds
propres ou avec des moyens
externes. Ces investissements
peuvent revêtir de nombreuses
formes. Par exemple des biens
d’équipement ayant une durée de vie
déterminée, ou un nouveau projet
qui doit être préfinancé. Quelle que
soit leur forme, les investissements
se font normalement sur le long
terme et impliquent des risques
financiers qui appellent une réponse
stratégique. Mais il n’y a pas que les
investissements qui génèrent des
risques. Le fonctionnement quotidien,
le préfinancement de ventes réalisées
et la gestion optimale du capital de
l’entreprise ... aussi. Heureusement,
il existe une solution pour chaque
risque financier.
1 FINANCEMENT
STRATÉGIQUE
Qu’il s’agisse du financement de leurs investissements à long terme ou de leurs contrats
commerciaux à long terme, il est important
que les entreprises connaissent les risques
auxquels elles s’exposent et s’assurent de
manière adéquate
Il existe différentes formules pour assurer le
risque lié aux financements à long terme. Vous
pouvez en outre opter pour un taux fixe ou
variable.
Un taux fixe pour toute la durée du contrat
Un taux fixe pour toute la durée du contrat
offre bien entendu beaucoup de sécurité
puisque l’entreprise est protégée contre les
fluctuations de taux durant toute la période
du financement, qui est généralement de 5 à
15 ans.
Mais cette sécurité a un prix : si elles souhaitent rembourser leur prêt anticipativement,
les PME doivent payer une indemnité de
remploi de six mois (pour les contrats jusqu’à
un million d’euros) ou un ‘funding loss’ (pour
les contrats de plus d’un million d’euros). Dans
ce dernier cas, l’entreprise rembourse les frais
engagés par la banque pour garantir un taux
fixe
Un taux variable avec swap de taux d’intérêt
Cette formule assure les fluctuations de taux
au moyen d’un swap. L’entreprise conclut
deux contrats distincts :
un prêt à taux variable, généralement sur la
base d’un taux d’intérêt de référence à court
terme (Euribor pour les prêts en euros) ;
et un swap de taux d’intérêt pour couvrir les
fluctuations éventuelles du taux d’intérêt de
référence pour la durée totale du prêt.
Cette formule coûte autant à l’entreprise
qu’un remboursement du prêt sur la durée
40
FEB GESTION DES RISQUES
totale du contrat. Mais la ventilation entre crédit et swap offre plus de flexibilité si l’entreprise souhaite solder son crédit par anticipation. En effet, elle peut le faire à un taux plus
avantageux et maintenir le swap pour couvrir
un nouveau prêt. De plus, elle peut renoncer
au swap si les conditions du marché s’avèrent
plus intéressantes que prévu.
Taux variable révisible
Une troisième option est un taux variable pouvant être révisé tous les x temps, permettant
à l’entreprise de fixer le taux lorsqu’il menace
de croître.
Déterminer la formule qui répond le mieux
à l’appétence au risque de votre entreprise
requiert évidemment une bonne connaissance
des marchés financiers. Il est dès lors recommandé de consulter un expert (votre banquier
par exemple) pour bien évaluer les risques.
Contrats commerciaux à long terme
Les risques encourus par les entreprises
lorsqu’elles concluent des contrats commerciaux à long terme ne sont bien entendu pas
nouveaux :
il y a, d’une part, le risque politique, tel
qu’un cadre légal et administratif précaire
et insolite selon nos normes, l’instabilité
politique ... ;
et, d’autre part, le risque commercial. Le
partenaire local est-il fiable ? Paiera-t-il en
temps voulu, etc. ?
Déterminer l’assurance
qui répond le mieux à
l’appétence au risque de
votre entreprise requiert
une bonne connaissance
des marchés financiers
Pour les contrats d’équipement (matériel,
pièces détachées, machines pour travaux de
terrassement ...) ou de travaux d’infrastructure
(dragage, stations d’épuration, installation de
machines ...), ces risques perdurent pendant
toute la durée du contrat, soit facilement 10
ans ou plus.
Tout comme pour les financements à long
terme, plusieurs solutions s’offrent à votre
entreprise pour couvrir ces risques.
Transférer le risque à la banque
Un financement adéquat peut offrir aux deux
parties la sécurité qu’elles recherchent. Cette
solution peut s’appliquer aussi bien au financement qu’au risque encouru. Cela fonctionne
comme suit : la banque belge de l’exporta-
QUELLE DEVISE CHOISIR POUR SON FINANCEMENT ?
La meilleure façon de se prémunir contre les risques de fluctuations des devises – encore plus à long
qu’à court terme – consiste à opter pour un financement dans la devise des recettes générées par
l’investissement financé. Exemple : si la société mère finance un investissement dans sa succursale
britannique et si celui-ci génère principalement des recettes en livres sterling, il est conseillé de faire
un prêt en livres. En effet, le coût d’une assurance avec swaps de devises peut s’avérer plus élevé
que le bénéfice que pourrait éventuellement faire l’entreprise sur les taux d’intérêt en contractant un
financement en euros plutôt qu’en livres.
GESTION DES RISQUES
FEB
41
CASE JAN DE NUL GROUP
L’AVERSION DES
RISQUES DANS
LES GÈNES
© Jan De Nul Group
Autant le business model ‘hit and run’ du
spécialiste des travaux de dragage Jan De
Nul Group est typique, autant sa gestion des
risques est atypique. Pas de plans de gestion
des risques formels, encyclopédiques, mais
des checklists documentées fondées sur
des décennies d’expérience. Jan De Nul a
l’aversion et la gestion des risques dans les
gènes. “Tout ce que nous pouvons couvrir au
préalable est assuré”, souligne le CFO Paul
Lievens. “Ainsi, lorsque le projet est dévedéveloppé, nous devons surtout nous concentrer
sur les véritables inconnues.”
Le spécialiste des travaux de dragage se pose
où se trouve le travail et quitte les lieux en
moyenne après deux ou trois ans. Chaque
projet est différent et a sa propre courbe
d’apprentissage, “et ses risques
spécifiques”, explique Paul
Lievens. Sur le plan géopolitique,
notre chiffre d’affaires dépend
de la conjoncture mondiale (si
l’économie chinoise ralentit,
l’approvisionnement en matières
premières et le développement
portuaire diminuent et il y a
donc moins de travail
maritime et de
dragage) et du
climat politique
(pensez à ce qui se passe en Russie ou en Iran).
Les risques de compliance sont, pour leur part,
fortement tributaires de la culture (l’Australie est
très réglementée, l’Inde très bureaucratique et
en Afrique, les risques financiers sont importants).
“C’est la raison pour laquelle nous utilisons le plus
possible les principes contractuels internationaux
anglais. Mais il faut savoir que nos principaux
risques sont de nature opérationnelle. En effet,
nos activités sont très sensibles et liées aux navires,
à la technologie, à l’homme ... Un incident se
chiffre vite à quelques millions EUR de coûts et
de risques pour notre réputation. C’est pourquoi
chaque projet est dirigé par nos expatriés qui
connaissent la culture de la maison mère et le
soutien logistique (y compris les fournitures,
jusqu’au papier toilette) et l’aspect financier sont
gérés de manière entièrement centralisée.”
Jan De Nul tente toujours de négocier les contrats
en euros. Si c’est quand même dans une autre
devise, le groupe assure systématiquement les
risques d’exécution Forex. “Idem pour le prix des
carburants. Dans nos projets internationaux, nous
sommes en effet confrontés à tant d’imprévus
que nous ne laissons au préalable aucune place
aux risques maîtrisables, en encore moins aux
positions spéculatives.”
LES FONDS PROPRES D’ABORD
Au cours des huit dernières années, le groupe a
investi quelque 2,7 milliards EUR dans de nouveaux
navires construits en Espagne, en Croatie, en
Corée, en Chine, ... Il s’agit de projets à long
terme, ayant un impact financier considérable,
allant de 25 à 250 millions EUR par navire. “Dans la
comptabilité, nous avons en permanence environ
Paul Lievens, CFO Jan De Nul Group
42
FEB GESTION DES RISQUES
900 millions EUR en moyenne de risques de
construction navale. L’art consiste à investir dans
le bon matériel au bon moment. Cela implique
d’évaluer correctement le marché à moyen terme
et d’investir dans des technologies ‘durables’.”
“Faire des affaires signifie
minimiser en permanence les
mauvaises expériences”
D’un point de vue financier, c’est loin d’être
évident dans un des secteurs les plus cycliques au
monde. “Une telle opération requiert donc une
infrastructure complexe de garanties financières,
telles que des garanties de remboursement. De
plus, nous ne travaillons jamais sur des chantiers
navals spécialisés dans le dragage afin de
rester maîtres du design et de la production de
notre technologie de dragage spécifique. Pour
diversifier les risques et maintenir une concurrence
des prix aigüe, nous travaillons généralement sur
quatre ou cinq chantiers simultanément.”
Au niveau de la stratégie financière, Paul
Lievens résume le groupe en trois chiffres:
deux milliards EUR de chiffre d’affaires, deux
milliards EUR de fonds propres et deux milliards
d’euros d’actifs fixes. “Cela signifie donc que
nous avons 2 milliards EUR d’actifs fixes - à savoir
les navires - qui se renouvellent à concurrence
d’environ 300 millions EUR par an. Autrement
dit : chez Jan De Nul, la culture est de tâcher de
financer nos investissements à long terme sur
fonds propres.” Le groupe ne s’adresse à ses
banquiers pour un crédit à long terme qu’en cas
de pic d’investissements. Et il les apure ensuite
le plus rapidement possible. “Nous voulons ainsi
éviter de nous retrouver dans une spirale de
crédit et de devenir trop dépendants de moyens
externes.”
TENDER RISK ASSESSMENT
Qu’il s’agisse du financement de leurs
investissements à long terme ou de leurs contrats
commerciaux à long terme, il est important que
les entreprises connaissent les risques auxquels
elles s’exposent et s’assurent de manière
adéquate. “Chaque projet, n’importe où dans
le monde, est d’abord confié à un juriste interne
qui, avec le soutien des divers départements,
dresse le tableau de tous les aspects vulnérables
au risque (financier, fiscal, juridique, techniques
de l’assurance ...). Ce TRA ou ‘tender risk
assessment’ est le fil conducteur de toutes
les étapes ultérieures du processus, jusqu’aux
négociations commerciales.”
La gestion des risques fait partie de l’ADN
du groupe Jan De Nul. “Nous n’avons pas de
gestionnaire des risques ou de comité des risques
ou d’audit formel. Entreprendre à l’international
signifie acquérir en permanence de l’expérience
et tirer les leçons des mauvaises expériences.
C’est une rude mais très enrichissante école de
GESTION DES RISQUES
FEB
43
la vie. Cette connaissance est dans les gènes
de nos collaborateurs est est formellement
documentée par des checklists exhaustives.”
C’est d’ailleurs le conseil que voudrait donner
Paul Lievens à ses collègues : “Gardez vos
connaissances au sein de l’entreprise. On ne
peut capitaliser sur les seuls avis d’experts
externes. Surtout pas si vous opérez à
l’international de manière récurrente.”
Jan De Nul Group
Activité : Travaux de dragage,
services maritimes spécialisés pour
l’industrie offshore du pétrole, du gaz
et de l’énergie renouvelable, génie
civil, services environnementaux et
développement de friches industrielles
Marchés : Actif dans 25 pays partout
dans le monde
Siège : Capellen, Luxembourg
Collaborateurs (2014) : 5.990
Chiffre d’affaires (2014) : 2,04
milliards EUR
www.jandenul.com
44
FEB GESTION DES RISQUES
teur octroie, au nom de ce client, un crédit à
l’acheteur étranger (l’importateur). L’exportateur reçoit le montant de la transaction lors
de la livraison ou de l’exécution des travaux,
et l’acheteur rembourse la banque en vertu
du calendrier de remboursement convenu.
C’est doublement intéressant pour l’entreprise exportatrice : d’une part, parce qu’elle
dispose rapidement des moyens nécessaires
et, d’autre part, parce que la banque prend à
son compte le risque politique et commercial
inhérent à l’acheteur étranger.
Pour la mise en œuvre efficace d’une telle
formule, la banque doit évidemment être
présente lors des négociations préalables à
la conclusion du contrat. Concrètement, cela
implique :
une analyse préalable des risques sur le pays
de destination et le secteur. Pour ce faire, la
banque se base à la fois sur sa propre expertise et sur les analyses de risques de l’Office
du Ducroire (voir cadre en page 45) ;
une analyse du partenaire commercial :
le nom, la structure juridique du groupe
dont fait partie le partenaire, ses données
financières des deux dernières années. Le
Ducroire effectue parallèlement les mêmes
contrôles;
une analyse des aspects financiers du
contrat, sur laquelle la banque se fondera
pour conseiller son client, puisqu’elle sera
ensuite en charge du financement. Ainsi, il
se pourrait que la banque suggère de scinder un contrat en différentes phases afin de
réduire ainsi le risque lié au crédit.
Letter of interest : atout important lors des
négociations
Lorsque la banque de l’exportateur est
contactée bien à l’avance, elle peut faire une
enquête préalable et rédiger une ‘letter of
interest’. Il s’agit d’un document officiel, signé
par la banque, mais pas encore d’un véritable
engagement d’octroi du crédit. Une telle ‘let-
ter of interest’ constitue néanmoins un atout
lors des négociations ou des procédures de
marché. Car si vous prouvez que vous pouvez
non seulement fournir le matériel ou l’infrastructure, mais aussi proposer un financement
du contrat, vous aurez incontestablement une
longueur d’avance lors des négociations.
Une ‘letter of interest’
constitue un atout lors
des négociations
commerciales
DUCROIRE : ÉVALUER ET ASSURER
LES RISQUES POLITIQUES
Le Ducroire, l’assureur-crédit à l’exportation
public belge, est un assureur-crédit particulier.
Il assure non seulement les risques commerciaux, mais aussi les risques politiques partout
dans le monde. Sur son site web (www.delcredereducroire.be), il évalue le risque politique
et commercial dans plus de 200 pays, tant pour
les exportations que pour les investissements
directs. Sur demande, ces données sont complétées par une analyse plus détaillée par secteur et par débiteur. Elle indique en outre les
couvertures possibles, ainsi que leur coût. Les
entreprises peuvent contacter le Ducroire soit
directement soit via leur institution financière.
2 FINANCEMENT
OPÉRATIONNEL
La vente de biens comporte certains risques.
Les risques inhérents aux contrats de vente
peuvent toutefois être ramenés à un niveau
acceptable moyennant un financement et une
assurance adéquats, et ce même au niveau
international. La solution retenue par votre
entreprise pour chaque risque dépend de
nombreux facteurs.
Commercial finance
Le ‘commercial finance’ – anciennement
‘factoring’ – peut aider les entreprises à se
protéger contre les risques commerciaux.
L’entreprise vend ses factures ou créances
commerciales à l’institution financière. En
échange d’une ristourne sur le montant des
factures, l’entreprise reçoit directement des
liquidités (une avance sur le montant des
factures à recevoir) qui peuvent être utilisées
comme fonds de roulement. Grâce au transfert de la totalité ou d’une partie des créances
commerciales :
l’entreprise contrôle mieux les défauts de
paiement, grâce aux mesures prises par la
banque ;
l’entreprise peut éventuellement s’assurer
partiellement ou en complément contre
l’insolvabilité de ses clients ;
l’entreprise est mieux protégée au niveau
des contrats de vente tant nationaux
qu’internationaux (en Europe et ailleurs).
Les grandes PME et grandes entreprises
utilisent également le ‘commercial finance’
comme technique de gestion des risques.
Dans ce cas, leur but consiste à diversifier les
risques pour répondre à leurs directives prudentielles internes. Ces directives interdisent
aux entreprises de prendre trop de risques
– lire : trop de créances – sur un débiteur individuel, même s’il s’agit d’un débiteur fiable.
Ainsi, les créances sur l’administration de la
TVA d’un autre pays peuvent faire l’objet d’un
contrat de ce genre.
GESTION DES RISQUES
FEB
45
CASE SOLTECH
D’UN MARCHÉ
LOCAL VERS
L’INTERNATIONALISATION
La société Soltech, spécialisée dans le phophotovoltaïque haut de gamme, a récemment
réorienté ses activités sur des projets interinternationaux. Michel Callerami, administrateur
délégué, finalise actuellement l’installation
d’une centrale solaire photovoltaïque de 20
mégawatts en Azerbaïdjan. Il accorde une
attention particulière à la sécurisation finanfinancière de l’opération. La probabilité d’un
incident financier est inversement proporproportionnelle à l’efficacité de la préparation.
© Soltech
Chevronné dans les activités internationales,
Michel Callerami a repris la gestion de
Soltech en septembre 2014. La société s’est
spécialisée dans des marchés de niche.
Soltech développe des systèmes
photovoltaïques conçus sur
mesure – esthétiquement et
fonctionnellement – pour
chaque bâtiment. Citons
les cellules photovoltaïques
intégrées dans les tuiles ou
dans les façades en verre et
quasi invisibles. Ou encore :
les garde-corps
photovoltaïques.
Toute la R&D se
fait en interne.
Par ailleurs, Soltech conçoit et construit des
centrales à énergie solaire. Début 2015, la PME
a signé un contrat pour l’étude, la fourniture et
l’installation d’une centrale de 20 mégawatts en
Azerbaïdjan. “Nous centrons notre croissance
sur la Russie, le Moyen-Orient, les pays d’Asie
centrale et l’Afrique. À l’inverse de ce qu’on
pourrait penser, les risques commerciaux (nonpaiement) et politiques (risques de transfert,
instabilité juridique, confiance bancaire…)
n’y sont pas plus grands que sur les marchés
occidentaux. C’est la manière dont on approche
le marché qui est différente et importante pour la
sensibilité au risque.”
“Grâce au crédit documentaire,
chaque projet a toujours été
payé. Même en cas d’arrêt”
La force d’un réseau local est cruciale pour le
développement d’une activité à faible risque.
“Des partenaires locaux fiables sont essentiels.
Sur le plan financier, ce sont moins les risques
que les techniques de financement qui diffèrent.
Il vaut mieux ne pas faire de transactions sans un
partenaire bancaire fort et expérimenté et sans
crédit documentaire.” Grâce à celui-ci, Soltech
bénéficie de l’engagement de la banque de
l’importateur, qui soutient l’opération, et de
l’engagement de son partenaire banquier belge,
qui couvre les risques politiques liés au pays et à
la banque étrangère. Cette garantie irrévocable
permet à l’exportateur de réaliser son projet de
manière plus sereine.
“Selon la complexité ou la sensibilité au risque du
Michel Callerami, administrateur délégué Soltech
46
FEB GESTION DES RISQUES
différente, encore bien plus complexe, avec
d’autres risques. Mais pas impossible.”
OPÉRATIONS SÉCURISÉES
projet, nous avons éventuellement recours en plus
à l’assurance-crédit à l’exportation du Ducroire.
Pour la centrale en Azerbaïdjan par exemple,
nous négocions des avances garanties et des
crédits documentaires avec le donneur d’ordre,
mais aussi avec nos propres fournisseurs.”
DES PARTENAIRES BANCAIRES COMPÉTENTS ET
EXPÉRIMENTÉS
La complexité de ces techniques financières et
des risques commerciaux et politiques inhabituels
dans les régions spécifiques sont impossibles à
gérer sans le soutien d’un partenaire bancaire
expérimenté et compétent tant en Belgique qu’à
l’étranger. “De plus, il faut le convaincre de votre
solvabilité et de votre savoir-faire, de la valeur
commerciale de votre projet et de la fiabilité de
votre partenaire commercial. Je peux m’imaginer
qu’une grande banque belge ne saute pas
d’impatience pour accepter une lettre de crédit
d’une banque d’un pays à risques, où le climat
politique est très tendu. Une autre possibilité
avec un pays politiquement stable mais qui n’est
pas en mesure de financer directement un projet
est de le financer sur fonds propres, ou par tiers
investisseurs, que vous récupérez en exploitant la
centrale vous-même. Mais c’est une option très
Aux missions économiques ou diplomatiques,
Soltech préfère travailler sur son propre
réseau relationnel, avec lequel il peut évaluer
sans détour la faisabilité des opportunités
commerciales. Il respecte toujours quatre
règles fondamentales : “Me tenir à mon
corebusiness sur les marchés que je connais
(c’est pour cette raison que je ne fais jamais
d’affaires avec les USA ou le Canada), éviter
les pays à risque (genre Libye, Iran, Irak), ne
jamais agir sans garantie de paiement et être
éthique (je veux faire des affaires, pas me
retrouver en prison).”
Un conseil ? Callerami en donne deux :
“Refusez les contrats en monnaie locale.
Toujours en euros. En effet, aucune banque
ne couvrira le risque de change de devises
exotiques. Deuxièmement : simplifiez autant
que possible le crédit documentaire. Moins il y
a de clauses, moins on risque de divergences
lors de la présentation des documents.”
Soltech
Activité : Énergie solaire
Marchés : Europe, Moyen-Orient,
Russie, Asie centrale et Afrique
Siège : Tirlemont
Collaborateurs (2015) : 10
Chiffre d’affaires (2015) : 35 millions
EUR
www.soltech.be
GESTION DES RISQUES
FEB
47
Matières premières, taux de change
et taux d’intérêt
Trois risques sont inhérents aux activités de
chaque entreprise : le prix des matières premières, les risques de change et les risques de
taux d’intérêt. Il existe des solutions spécifiques pour limiter chacun de ces trois risques.
Matières premières. Au sein de l’institution financière, les ‘commodity specialists’1 peuvent offrir la couverture la plus
appropriée contre les fluctuations de prix.
Ils peuvent avoir recours à des ‘contrats
forward’2, des options, des warrants, des
swaps. Le choix dépend du risque, mais
aussi de la durée de la couverture.
Risque de change. De nombreuses transactions internationales se font actuellement
en euros, en dollars ou, dans une moindre
mesure, en renminbis (la devise officielle de
la République populaire de Chine). Si une
entreprise conclut un contrat d’achat ou de
vente dans une autre devise, elle s’expose
à de fortes fluctuations. Plus le contrat est
long, plus le risque est grand.
Risque de taux d’intérêt. Grâce aux
différentes possibilités de couverture, les
entreprises peuvent ‘fixer’ les prix de leurs
matières premières, ainsi que les taux auxquels elles se financent et les taux de change
des devises dans lesquelles elles importent
et exportent.
Trade finance : assurer l’exportation
Toute transaction d’exportation comporte un
risque tant pour l’exportateur que pour son
client à l’étranger. Ce risque est lié au fait que
les marchandises voyagent pendant plusieurs
jours ou semaines d’un pays à l’autre.
L’encaissement documentaire et le crédit
documentaire offrent une solution pour ces
risques d’exportation spécifiques :
L’encaissement documentaire est la
méthode la plus simple et elle est conseillée
si les parties se connaissent depuis quelque
temps ou si les montants en jeu ne sont
pas trop élevés. L’entreprise exportatrice
exporte les marchandises, mais le client
ne peut les recevoir que lorsqu’il soumet
certains documents prédéfinis qui confirment son identité et montrent qu’il a payé la
facture ou accepté formellement la dette.
Le crédit documentaire est plus complexe,
mais il offre plus de sécurité lorsque les
parties ne se connaissent pas ou lorsque le
montant en jeu est élevé. Les marchandises
ne sont expédiées que lorsque l’exportateur
reçoit la preuve, via sa banque, que le partenaire commercial a accepté le contrat de
crédit. Le paiement est effectué seulement
après que l’exportateur a prouvé – via des
documents prédéfinis conformes à ce que
les parties ont convenu – que les marchandises commandées ont bien été expédiées.
L’importateur quant à lui n’a accès aux
marchandises que lorsque sa banque remet
les documents nécessaires qui prouvent le
paiement ou l’acceptation de la dette.
Commodity specialists : spécialistes de l’évolution des prix des matières premières. Ils analysent l’exposition spécifique
de chaque entreprise aux fluctuations des prix des matières premières pour déterminer la stratégie de hedging
envisageable. Par le hedging, on essaie de couvrir le risque financier d’un investissement (entièrement ou partiellement)
au moyen d’un autre investissement.
2
Contrats forward : contrats par lesquels une entreprise peut se couvrir contre l’augmentation ou la perte de valeur d’une
devise par rapport à une autre. Ce type de contrat permet à l’entreprise de déterminer le prix auquel elle pourra vendre ou
acheter ultérieurement un volume déterminé d’une devise en échange d’une autre.
1
48
FEB GESTION DES RISQUES
Grâce au mécanisme de la confirmation,
l’exportateur dispose d’un moyen
supplémentaire de limiter le risque politique
et commercial. La confirmation signifie que le
paiement est définitif quoi qu’il advienne par
la suite (erreur de la banque, faillite de l’autre
partie, naufrage, saisie par les autorités,
révolution …).
commercial et de sa banque. Le coût de cette
confirmation dépend du risque estimé de
l’opération.
Une confirmation est non seulement utile pour
limiter le risque, elle peut aussi aider l’entreprise exportatrice à obtenir un financement en
présentant la lettre de crédit confirmée à son
institution financière (pour la monnayer).
Avant que la banque de l’exportateur
confirme le crédit, elle analyse évidemment
le risque du pays, du secteur, du partenaire
Grâce au mécanisme de la confirmation, l’exportateur
dispose d’un moyen supplémentaire de limiter le risque
politique et commercial
POURQUOI S’ASSURER ?
La décision de s’assurer ou non contre n’importe quel risque dépend, pour les entreprises, de facteurs
qui sont propres au secteur dans lequel elles opèrent.
Plus la probabilité du risque est grande, plus il est important de s’assurer. Jusque récemment, le risque
de change, et plus particulièrement le risque lié aux fluctuations du cours de l’euro par rapport au dollar,
était assez limité. À la suite du Quantitative Easing (QE)1 de part et d’autre de l’Océan atlantique, les
cours ont commencé à fluctuer davantage.
Plus l’entreprise a la possibilité de répercuter ses frais supplémentaires sur ses clients, moins il est
nécessaire de s’assurer contre ces risques.
Plus la marge bénéficiaire de l’entreprise est faible, plus le risque de pertes en cas de problèmes est
grand et plus une assurance devient importante. Inversement, des marges bénéficiaires importantes
peuvent servir de filet de sécurité.
Toutefois, chaque situation est unique : la nature et l’importance des couvertures dépendent de facteurs
variés. Il est donc conseillé de faire appel à un expert ou au savoir-faire de votre institution financière pour
faire les choix qui correspondent le mieux aux besoins de votre entreprise et à la nature de vos activités.
1
Quantitative Easing : l’assouplissement quantitatif signifie que la banque centrale augmente la réserve de
liquidités en achetant des titres, tels que des obligations d’État.
GESTION DES RISQUES
FEB
49
GESTION DES RISQUES DÉBITEURS :
OPTIMALISEZ VOS FONDS DE ROULEMENT
…dans la pratique
Avant la crise financière de 2008,
la gestion des risques débiteurs
était un élément perturbant dans de
nombreuses entreprises. La maximalisation du chiffre d’affaires était
la devise et on se souciait peu ou
pas de la solvabilité et de la relation
clients. Aujourd’hui, de nombreuses
entreprises utilisent des procédures
de gestion de crédit pour limiter les
risques de la gestion clients.
Une gestion efficace des débiteurs …
Grâce à la gestion de crédit, l’entreprise
minimise ses risques crédits et maximalise
son cashflow. Les principaux éléments
d’une politique des débiteurs efficace sont
(1) l’estimation du risque débiteurs, (2) l’évaluation de la solvabilité d’un client potentiel,
(3) la perception en temps voulu des créances
en attente et (4) l’entretien de la relation
clients à long terme.
Il est important que la politique des débiteurs soit soutenue par toute l’organisation.
Une bonne entente avec les départements
de vente et opérationnels est cruciale,
tout comme l’intégration dans les objectifs
globaux et la stratégie de l’entreprise. Un
client refusé représente en effet une perte
en termes de chiffre d’affaires et de bénéfice.
Un client qui ne peut pas payer ses factures
constitue, quant à lui, une menace pour la
rentabilité de l’entreprise.
50
FEB GESTION DES RISQUES
Une gestion efficace des débiteurs repose sur
l’élaboration et l’application de procédures
claires concernant les quatre éléments précités.
1 Estimation du risque débiteurs
Une bonne connaissance des hommes,
l’empathie et la persévérance assertive sont
indispensables à ce premier stade. Un bon
vendeur ou contrôleur de crédit (directeur
financier) peut sonder la situation financière
du client potentiel lors des entretiens
exploratoires. Il entend s’il y a effectivement
des problèmes ou comprend quand le client
potentiel essaie d’obtenir du crédit ‘gratuitement’ en négociant son DSO (Days Sales
Outstanding ou nombre de jours de crédit
client).
La segmentation du portefeuille de clients
peut faire partie d’une politique efficace
d’acceptation des clients. L’entreprise adopte
une approche distincte pour chaque segment.
Elle peut ainsi décider, sur la base de son
expérience, de ne pas servir/fournir un
segment déterminé. Ou d’estimer le risque
d’un autre segment à un niveau supérieur et
d’adapter, en conséquence, les conditions de
vente ou les garanties demandées. Une
entreprise pourrait par exemple prévoir que
les clients étrangers doivent, par défaut,
souscrire une assurance-crédit.
2 Évaluation de la solvabilité
La rédaction (éventuellement par un prestataire spécialisé) d’un rapport financier est la
conséquence logique de l’estimation du
risque débiteurs. Ce rapport rend compte
entre autres du comportement de paiement
et du retard de paiement d’une entreprise
et il donne une image plus fiable du client
potentiel. Sur la base de ce rapport, l’entreprise peut fixer les conditions de vente
de manière objective et en accord avec le
département de vente. Par exemple, accorder
un délai de paiement ou exiger au contraire le
paiement au comptant. Ou encore : décider
quelle est la limite budgétaire acceptable
pour les livraisons à ce client.
3 Perception en temps voulu des
créances en attente
Des sondages montrent qu’une facture sur
trois n’est pas payée en temps voulu. Le bon
suivi du comportement de paiement est donc
crucial.
Un comportement de paiement correct
exige, d’une part, de bons accords systématiques sur les conditions de paiement dès le
début de la relation avec le client et, d’autre
part, des procédures de facturation précises.
Si le client ne respecte pas les accords
conclus et s’il en résulte – contractuellement
– des frais et intérêts ou même l’arrêt de la
collaboration, vous devez aussi appliquer ces
accords de manière cohérente. Par ailleurs,
il est important que les prestations fournies
soient facturées le plus vite possible. Tout
retard entraîne déjà un allongement du délai
de paiement. De nombreuses entreprises ne
facturent leurs services qu’à la fin du mois.
Le recours à des factures d’acompte peut
apporter une solution.
bureau de recouvrement ou à un avocat. De
nombreuses entreprises se concentrent dans
ce contexte sur leurs gros clients et utilisent
un logiciel spécifique de gestion de crédit
pour le suivi de la masse des plus petits
clients. D’autres entreprises choisissent de
sous-traiter le processus à une société de
factoring.
4 Maximaliser la relation clients
Le contrôleur de crédit moyen entretient des
contacts presque quotidiens avec les clients.
L’enjeu est surtout d’obtenir le paiement des
factures, plutôt que de renforcer la relation
clients. Toutefois, il est prouvé qu’une bonne
relation avec les clients contribue à la satisfaction de ces derniers et à un DSO plus faible.
De même, le traitement des plaintes est
étroitement lié à la gestion des débiteurs.
En identifiant clairement les plaintes et en
les évitant, une entreprise peut améliorer
structurellement ses prestations et augmenter
la satisfaction du client. Et plus celle-ci est
grande, plus le DSO est faible.
… crée des fonds de roulement
supplémentaires
Grâce à une gestion et un suivi efficaces des
débiteurs, l’entreprise générera assez vite
des fonds de roulement supplémentaires. Un
exemple : lorsqu’une entreprise ayant un chiffre
d’affaires de 50 millions EUR raccourcit son
DSO de cinq jours, elle génère 694.000 EUR
de fonds de roulement supplémentaires.
Pour la perception proprement dite,
l’entreprise doit également développer des
procédures d’arriérés et de recouvrement.
Prévoyez l’envoi de lettres de rappel ou
d’une sommation et déterminez à quel
moment la créance sera transmise à un
GESTION DES RISQUES
FEB
51
3
RISQUES
DE CONFORMITÉ
Le mot ‘compliance’ est dérivé
du verbe anglais ‘to comply’ et
signifie ‘conformité’. Cela veut dire
qu’une personne, une organisation
ou une entreprise travaille en
conformité avec la législation et
la réglementation en vigueur.
Autrement dit, celui qui est en
conformité respecte les normes et
conventions. Et connaît et suit les
règles et les lois. Celui qui ne le fait
pas s’expose à un risque.
1 CONTEXTE
Les risques ont existé de tout temps, mais
leur dimension (souvent internationale) et leur
impact sur le fonctionnement des entreprises
et organisations, et donc sur le ciment économique d’un pays, sont aujourd’hui d’un autre
ordre de grandeur. Pensons notamment à la
crise financière et du crédit dans le sillage de
la chute de quelques banques systémiques,
aux scandales comptables après la chute
d’Enron (entreprise énergétique américaine),
à la réputation d’entreprises ternie par la
pollution qu’elles occasionnent, aux cyberattaques sur les entreprises et grandes organisations ou encore tout récemment à la manipulation logicielle dans le secteur automobile.
Même si la maîtrise des risques n’est pas
un thème vraiment neuf, elle n’en demeure
pas moins d’une actualité brûlante et figure
au sommet de l’agenda économique (et
politique).
La prise de conscience des risques grandissants, tant au niveau des entreprises que de la
société, a conféré plus de poids à l’appel en
faveur d’une attention accrue pour la gestion
des risques. La pression exercée sur les entreprises pour prendre la gestion des risques au
sérieux et élaborer et entretenir un système
adéquat de mesures de gestion s’est fortement accentuée. En effet, il s’agit – surtout
dans le chef du monde financier – de regagner
la confiance ébranlée de la société. Les entreprises ne sont pas seules pour relever ce défi.
Elles sont soutenues et bénéficient d’incitants
au travers de lois nouvelles ou adaptées
(parfois aussi en trop grand nombre), tant au
niveau national qu’international.
Grâce à la globalisation, le monde devient
un marché potentiel pour chaque entreprise.
Dans un même temps, l’offre de produits et
de services évolue à une vitesse fulgurante, et
parallèlement aussi le cadre légal et réglementaire dans lequel les entreprises doivent
opérer aux niveaux national et international.
À lui seul, le Moniteur belge publie chaque
année plus de 100.000 pages de législation
belge nouvelle ou modifiée. Et aucun Belge
n’est censé ignorer la loi… Une mission
impossible.
GESTION DES RISQUES
FEB
53
Celui qui souhaite rester au courant de toute
la réglementation doit faire preuve de sens
des priorités et d’organisation. Car sans
connaissances approfondies, il est impossible
de respecter correctement toutes les règles et
lois, d’être ‘en conformité’ autrement dit. Or,
celui qui ne le fait pas s’expose à d’importants
risques.
2 ORIGINE ET SIGNIFICATION
DE LA ‘COMPLIANCE’
La notion de ‘compliance’ indique qu’une personne, organisation ou entreprise travaille en
conformité avec la législation et la réglementation en vigueur. Le terme provient du verbe
anglais ‘to comply’ et signifie ‘conformité’. Il
s’agit donc de ‘respecter’ des normes ou de
‘s’y conformer’.
Le droit anglo-saxon est le berceau de la
compliance et celui-ci se situe plus particulièrement aux États-Unis, où les autorités
étaient convaincues dans les années 1930
de la nécessité d’une régulation poussée du
secteur financier (déjà à l’époque !), entre
autres. Le concept a surtout gagné en actualité après les grands scandales financiers,
tels ceux d’Ahold, d’Enron et de Worldcom.
Le but final de la compliance est de prévenir
qu’une organisation viole la législation et
la réglementation, s’expose à des plaintes,
encoure des amendes et essuie ainsi l’opprobre public.
La compliance constitue donc le domaine de
spécialité des personnes qui, au sein d’une
organisation, sont responsables du respect de
toute la législation et de toute la réglementation, de la traduction de celles-ci dans des
procédures et conventions adéquates. Cette
54
FEB GESTION DES RISQUES
même équipe veille à ce que les activités
soient menées selon les normes et règles
fixées par l’organisation même et surveille
l’intégrité de l’organisation ou de l’entreprise.
3 INSTANCES DE
CONTRÔLE
Certaines missions de compliance sont sous
contrôle prudentiel. Diverses instances de
contrôle belges veillent au respect correct
et intègre d’une législation donnée, principalement dans les secteurs des finances, de
l’énergie, de la communication, des médias et
de l’alimentation. Citons notamment :
la Banque nationale de Belgique (BNB) ;
l’Autorité des services et marchés financiers
(FSMA, ex-CBFA) ;
la Commission de régulation de l’électricité
et du gaz (CREG) ;
l’Institut belge des services postaux et des
télécommunications (IBPT) ;
l’Agence fédérale pour la sécurité de la
chaîne alimentaire (AFSCA) ;
…
L’Autorité des services et marchés financiers,
par exemple, a pour mission d’assurer la surveillance des marchés financiers et des sociétés cotées, d’agréer et de contrôler certaines
catégories d’établissements financiers, de
veiller au respect des règles de conduite par
les intermédiaires financiers et de superviser la
commercialisation des produits de placement
pour le grand public, et d’exercer le contrôle
dit ‘social’ des pensions complémentaires.
Pour certains secteurs (énergie, par ex.), il
existe des instances de contrôle régionales.
Au niveau européen, divers organismes
de contrôle sont également actifs, comme
la Communauté européenne de l’énergie
atomique (EURATOM), la Banque centrale
européenne (BCE) et l’Autorité européenne
de sécurité des aliments (EFSA).
4 LARGE SPECTRE POUR
CHAQUE ENTREPRISE
La mise en œuvre concrète de la conformité
diffère d’un secteur à l’autre et même d’une
société à l’autre (que celle-ci opère au niveau
national ou international, soit de grande
ou petite taille). Les sociétés cotées et les
institutions financières évoluent dans un cadre
réglementaire plus strict qu’une PME locale.
Vous ne serez pas surpris du fait que la
conformité revêt surtout une importance
cruciale dans le secteur financier, en raison
de son rôle dans les transactions financières
internationales. Les règles de conduite qui
protègent les droits du ‘consommateur financier’ occupent une place centrale à cet égard.
De plus, au lendemain de la crise financière et
du crédit, le secteur est confronté à de grands
défis. Il doit se conformer à une réglementation internationale contraignante complexe et
très exigeante. Ainsi doit-il satisfaire aux exigences en matière de capital de la législation
européenne de Bâle III (établissements financiers) et Solvency II (assureurs), qui entrera
en vigueur le 1er janvier 2016. À cela, il faut
encore ajouter la loi américaine FATCA1 qui
contraint les institutions financières du monde
entier à déclarer les contribuables américains.
Outre les grandes entreprises (internationales), les PME locales doivent aussi être
‘compliant’. Chaque entreprise, quels que
soient sa taille et son terrain d’action, doit
respecter une multitude de lois et de règles :
1
locales, régionales, nationales, européennes
et mondiales. Ce large spectre trouve son
origine dans les diverses fonctions et tâches
présentes dans l’entreprise qui interagissent
généralement entre elles et avec d’autres
parties prenantes. Pensons notamment aux
départements RH, Finances, Fiscalité, TIC,
Santé, Sécurité, Environnement, Juridique,
Ventes, etc.
Dans de nombreuses entreprises, la complexité de la législation a pour conséquence
que toutes les connaissances et expériences
ne sont pas présentes (dans une mesure
suffisante) en interne pour respecter précisément toutes les règles. C’est la raison pour
laquelle beaucoup d’entreprises font appel à
des externes (agences d’intérim, outsourcing,
spécialistes externes…). Comme exemples
typiques, citons les secrétariats sociaux, qui
se chargent du volet administratif de la politique du personnel, ou l’assistance offerte
par les comptables et conseillers fiscaux dans
la tenue de la comptabilité, l’établissement
des comptes annuels et la réalisation des
obligations et formalités en matière de TVA
et d’impôt des sociétés.
Le département TIC est, lui aussi, de plus en
plus concerné par les enjeux de la conformité.
Vu les risques de sécurité (les cyberattaques
touchent 10% des entreprises, voir le chapitre
‘Risques IT et cybercriminalité’ en page 72),
les connaissances TIC (internes ou externes)
sont devenues indispensables, d’autant plus
que la numérisation toujours plus poussée des
processus et formalités renferme aussi une
dimension stratégique.
L’environnement, les subsides et la sécurité
constituent d’autres domaines sensibles pour
Le Foreign Account Tax Compliance Act (FATCA) est une loi américaine qui impose une déclaration annuelle à
l’administration fiscale américaine (IRS) des comptes détenus par des contribuables américains en dehors des
États-Unis.
GESTION DES RISQUES
FEB
55
la conformité. Les questions de santé, de
sécurité et d’environnement (Health, Security
& Environment ou HSE) revêtent une grande
importance pour chaque entreprise, quel
que soit le secteur. Pour faire des affaires
(à l’international), il est nécessaire que les
règles en matière de santé, de sécurité et
d’environnement soient suivies et mises en
œuvre de manière correcte et précise. Ce
n’est pas une mission simple. Cela requiert
des connaissances et une expertise poussées.
En effet, l’absence des permis nécessaires
peut bloquer le fonctionnement et la
continuité d’une entreprise ou freiner
les investissements prévus.
5 CONTRÔLE CENTRAL DE
LA COMPLEXITÉ
Il est extrêmement important non seulement
que chaque département soit en conformité
pour ses activités et responsabilités, mais aussi
que l’entreprise dans son ensemble respecte
toutes les règles et normes. La conformité
n’est pas une démarche sans engagement
(la non-conformité constitue en effet un
risque sérieux) et doit dès lors être structurée,
coordonnée et respectée dans toutes les
composantes de l’entreprise.
De plus en plus d’entreprises engagent un
Risk Manager pour guider les procédures de
conformité sur la bonne voie. Les institutions
financières sont en outre tenues d’engager un
Compliance Officer indépendant. D’autres entreprises le font volontairement ou intègrent
cette fonction dans la politique globale de
gestion des risques. Le Compliance Officer
est généralement désigné par l’organe
d’administration supérieur de l’entreprise
(conseil d’administration ou direction centrale). Il travaille en totale indépendance et
56
FEB GESTION DES RISQUES
jouit d’un degré élevé de protection juridique.
Les missions du Compliance Officer sont
parfois très diverses :
prodiguer des conseils au sujet d’adaptations à apporter à la gestion interne de
l’entreprise ;
renforcer la sensibilisation à la conformité
par la communication et la formation ;
signaler, identifier et apprécier les risques
de conformité ;
fournir des conseils de manière proactive
sur les risques de conformité ;
établir et introduire des mesures de maîtrise
des risques ;
contrôler les transactions des travailleurs ;
résoudre des incidents de conformité ;
maintenir le contact avec les instances de
contrôle.
Dans le contexte économique actuel (globalisation, réglementation complexe, numérisation, évolution constante), les entreprises
doivent intégrer la conformité dans leur
gestion quotidienne. Le ton donné au sommet
de l’organisation et la culture d’entreprise
revêtent à cet égard une importance cruciale.
La politique de gestion des risques (et donc
aussi la politique de compliance) relève en
définitive de la responsabilité finale du conseil
d’administration, du comité exécutif et des
autres comités participant activement à la politique de gestion des risques (comité d’audit,
par ex.). Heureusement, les organes d’administration ont davantage pris conscience
de ces enjeux. La responsabilité accrue, les
amendes souvent astronomiques, la réputation à sauvegarder, la médiatisation croissante
et la perception du public conduisent automatiquement à une plus grande vigilance.
TAX RISKMANAGEMENT
L’érosion de la base d’imposition et le transfert de bénéfices (Base Erosion and Profit Shifting – BEPS)
figurent actuellement en haut de l’agenda politique et font presque quotidiennement les gros titres de
la presse (internationale). Dans leur lutte contre le phénomène BEPS, les autorités entendent bannir les
stratégies de planification fiscale (qui sont totalement conformes sur le plan juridique) visant à transférer
des bénéfices des juridictions à forte imposition vers des juridictions à faible imposition.
L’arsenal fiscal actuel (conventions préventives de la double imposition, par ex.) n’est plus adapté aux
récentes tendances que sont la globalisation et l’économie numérique. Dans l’opinion publique règne
en outre l’impression que les entreprises multinationales ne paient pas leur ‘part équitable’ des impôts
en tirant parti des incohérences dans la législation fiscale.
Pour rectifier cette situation, l’OCDE a élaboré, avec le soutien du G20, 15 points d’action qu’elle
a présentés au monde entier le 5 octobre dernier. Ce plan d’action est considéré comme une des
principales révolutions que le monde fiscal international a connues ces 50 dernières années – à condition
qu’il soit aussi appliqué par les pays du monde entier. La présentation formelle a été précédée par un
tour de consultations qui a débouché au final sur des rapports totalisant plus de 1.000 pages.
COHERENCE
SUBSTANCE
TRANSPARENCY
Hybrid mismatch arrangements (2)
Preventive tax treaty abuse (6)
Methodologies and data analysis (11)
Interest deductions (4)
Avoidance of PE status (7)
Disclosure rules (12)
CFR rules (3)
TP aspects of intangibles (8)
TP documentation (13)
Harmful tax practices (5)
TP/Risk and Capital (9)
Dispute resolution (14)
TP/High risk transactions (10)
Digital economy (1)
Multilateral instruments (15)
Source: OCDE, www.oecd.org/ctp/beps.htm
L’illustration montre schématiquement les 15 points d’action du plan BEPS. Exposer chacun de ces points
dans cette brochure nous conduirait trop loin. En résumé, nous pouvons dire que les actions s’articulent
autour de trois thèmes centraux :
1. Cohérence
Lorsqu’un coût est déductible dans le pays 1, le revenu correspondant dans le pays 2 devrait être
imposable (par ex., un intérêt déductible dans le pays 1 ne peut plus être considéré comme un
dividende exonéré dans le pays 2).
GESTION DES RISQUES
FEB
57
Des régimes fiscaux (trop) avantageux peuvent nuire à la cohérence.
2. Substance
Les prix de transfert entre entreprises doivent être conformes à la création de valeur (le nombre de
contrôles des prix de transfert 1 croît déjà de manière substantielle en Belgique actuellement).
Substance et consistance économique sont nécessaires, et pas uniquement la forme juridique
(notamment aussi pour éviter l’abus de conventions préventives de la double imposition).
3. Transparence
Il devient beaucoup plus important d’étayer et de documenter le Transfer pricing (notamment par le
biais d’un rapportage pays par pays 2).
Échange international d’informations sur les structures fiscales et les rulings fiscaux (ainsi existe-t-il déjà
un tel échange avec le Luxembourg dans le cadre du LuxLeaks).
Cette (r)évolution fiscale vise en premier lieu les plus grands acteurs opérant à l’international. La PME
belge ayant des activités internationales est toutefois aussi concernée. Les nouvelles mesures vont très
vraisemblablement conduire à des exigences complémentaires en matière de compliance (et à des
coûts plus élevés) pour les entreprises. Les entreprises et leurs conseillers doivent dès lors anticiper
cette révolution en :
réexaminant leurs structures fiscales actuelles ;
tenant compte des actions BEPS lors de la création de nouvelles structures ;
se tenant informés de l’avalanche à venir de nouvelles lois fiscales dans le sillage du plan BEPS, tant
en Belgique que dans les autres pays où les entreprises sont actives ou entendent déployer des
activités dans le futur ;
étayant et documentant très scrupuleusement les transactions entre entreprises.
Transfer pricing : se rapporte à tous les types d’opérations entre établissements dans différents pays qui
appartiennent au même groupe ou holding. Dans le cas des transactions financières et autres entre entreprises
liées, le risque existe que la fixation des prix ne s’effectue pas de manière conforme au marché et ne soit par
conséquent pas acceptée par les différentes administrations fiscales. Le fait que certaines entreprises aient osé
utiliser le Transfert pricing (ou en abuser) pour déplacer des bénéfices vers des pays pratiquant une imposition
moindre a incité de nombreux pays à adopter une législation en matière de Transfer pricing. Le fisc tente ainsi
de préserver ses recettes fiscales.
2
‘Country-by-Country reporting’ : une des 15 mesures BEPS prévoit que chaque multinationale doit établir un
rapport qui donne par pays un aperçu des actifs, de l’emploi, des bénéfices, etc. La maison-mère devra établir
cet aperçu chaque année et l’introduire auprès de sa propre administration fiscale. Tous les pays échangeront
spontanément ces rapports entre eux.
1
58
FEB GESTION DES RISQUES
4
RISQUES JURIDIQUES
Dans l’exécution de leurs activités,
les entreprises doivent tenir compte
d’un large éventail de réglementations et de prescriptions légales. La
mondialisation de l’économie et, en
corollaire, la complexité juridique
croissante confrontent sans cesse les
entreprises à des nouveaux défis et
risques juridiques.
Les entreprises doivent tenir compte à la fois
du droit national, européen et international.
La réglementation qui s’applique à l’entreprise
et à ses activités détermine le terrain juridique
sur lequel elle doit opérer. Les sanctions qui
s’appliquent à ceux qui enfreignent les règles
du jeu juridique sont très diverses : elles vont
de la responsabilité civile et pénale (amendes,
dédommagements) au retrait d’autorisations
et à la perte de droits et d’actifs.
Ces sanctions, qui sont la conséquence
d’une infraction aux obligations et normes
juridiques, peuvent avoir un impact important
sur l’activité et menacer directement ou
indirectement la survie de l’entreprise. Les
sanctions affectent parfois même la vie privée
des dirigeants, particulièrement en cas de
responsabilité des administrateurs.
1 DÉFINITION DES
RISQUES JURIDIQUES
De manière générale, les risques juridiques
sont décrits comme les risques liés au respect
et au suivi de la législation, des contrats et
autres obligations et normes spécifiques
que l’entreprise doit respecter. Dans d’autres
termes, les risques juridiques découlent de la
réglementation qui s’applique à l’entreprise
ou des contrats conclus par celle-ci.
Pour avoir prise sur ces risques juridiques,
l’entreprise doit d’abord les identifier, les
reconnaître et les évaluer. En effet, il est
impossible de gérer, et encore moins de maîtriser, des risques que l’on n’a pas identifiés.
La cartographie des processus organisationnels est essentielle pour pouvoir identifier
les risques liés à la gestion de l’entreprise.
Ce n’est pas seulement vrai pour les risques
juridiques, mais aussi pour les risques technologiques (concernant les biens d’investissement et l’environnement), les risques sociaux
(concernant le personnel), les risques économiques (sur les marchés et dans l’organisation
proprement dite) et les risques financiers
(concernant les clients, la fraude, le vol, etc.).
Chaque processus de l’entreprise peut
comporter un risque juridique. Songeons
à des transactions d’achat erronées et à
des livraisons tardives de vos produits qui
entraînent des problèmes de responsabilité
GESTION DES RISQUES
FEB
59
contractuelle. Ou à la résiliation tardive du
loyer d’un bâtiment qui vous engage pour un
nouveau bail (peut-être contre votre gré).
intellectuelle. Plus votre activité est fondée sur
la PI, plus grand est l’impact d’un incident ou
d’une infraction.
Bref, une entreprise qui veut identifier ses
risques juridiques ne peut le faire sans une
connaissance approfondie des processus
concrets. Cette connaissance est un premier pas nécessaire, mais certainement pas
suffisant pour détecter les risques juridiques
pertinents, et encore moins pour les couvrir
utilement.
3 CONNAISSANCE
APPROFONDIE ET
ACTUALISÉE DE LA
RÉGLEMENTATION
Chaque processus de
l’entreprise peut
comporter un risque
juridique
2 PERTINENCE JURIDIQUE
DES RISQUES
Pour identifier les risques juridiques pertinents
– tous les risques juridiques n’ont pas la même
gravité – l’entreprise doit pouvoir situer ses
activités concrètes sur le terrain juridique.
En d’autres termes, elle doit traduire les différents processus et activités en fonction de
leur pertinence juridique respective.
Clarifions : si le succès de votre entreprise repose en grande partie sur le travail physique,
votre entreprise court un risque plus important au niveau de la réglementation du travail
(par ex. les risques du travail avec des collaborateurs temporaires et des intérimaires).
Dans ce cas, il est logique qu’une violation
de cette réglementation ait un impact plus
important que si votre business a une moins
grande intensité en main-d’œuvre. Il en va de
même pour la réglementation de la propriété
60
FEB GESTION DES RISQUES
Comme on l’a dit, les risques juridiques
découlent de la réglementation qui s’applique
à votre entreprise ou des contrats qu’elle
conclut.
Si les risques juridiques dépendent du respect
des obligations légales (non contractuelles),
votre entreprise peut éviter ces risques, en
théorie du moins, en respectant simplement
les règles. Le vrai défi est toutefois d’être
effectivement informé de toutes les règles
qui s’appliquent à l’entreprise – indépendamment du fait que l’objectif ou l’application des
règles n’est pas toujours univoque.
La connaissance et le suivi permanent de la
législation applicable ne sont pas évidents.
Particulièrement pour les matières à haute
technicité juridique qui sont peu accessibles
par nature.
Plus la réglementation est complexe, plus
le risque juridique est important parce que
la probabilité de ne pas respecter les règles
correctement augmente. Songeons à la complexité de la réglementation environnementale et aux obligations qui s’imposent lorsque
l’entreprise change ses activités par exemple.
Ainsi, l’extension de votre capacité de production (par ex. par l’installation d’une ligne de
production supplémentaire ou le passage à
un système de 4 ou 5 équipes) peut nécessiter, légalement, une modification du permis
d’exploitation. Sans une connaissance approfondie de la réglementation concernée, c’est
impossible à exécuter de manière précise et
correcte. Il arrive encore trop souvent que des
entreprises ne disposent pas (plus) du permis
d’exploitation approprié ou que leur permis
d’exploitation est annulé à la demande de
riverains (ou d’autres parties prenantes). Elles
auraient pu l’éviter en préparant ou en suivant
le dossier d’autorisation en connaissance de la
réglementation applicable et des risques juridiques correspondants. Il va sans dire que les
investissements rendus inutiles par le retrait
du permis d’exploitation ont un impact grave
sur le succès de l’entreprise
Le vrai défi est d’être
informé de toutes les
règles qui s’appliquent à
votre entreprise
4 ÉVOLUTION DES RÈGLES
ET, DONC, DES RISQUES
La connaissance et le suivi constant de la législation en vigueur ne vont pas de soi. D’une
part, à cause de la rapidité d’évolution de la
réglementation et, d’autre part, parce que la
législation est souvent en retard sur la réalité
et n’apporte pas une réponse suffisamment
claire aux nouvelles technologies et aux activités modernes. Ainsi, l’utilisation des réseaux
sociaux par les entreprises et leurs collaborateurs reste un embrouillamini juridique, avec
tous les risques qu’entraîne cette complexité.
La réglementation relative à l’e-commerce
illustre bien comment l’évolution rapide de la
législation génère aussi des risques juridiques.
Sur la base de cette réglementation, l’entre-
prise doit satisfaire à un arsenal d’obligations
d’information, de mentions concernant les
cookies et la protection de la vie privée,
de formulaires obligatoires à envoyer …
aux clients. Il faut savoir toutefois que des
obligations qui étaient encore en vigueur il
y a un an peuvent entraîner des sanctions
aujourd’hui, comme le droit de rétractation
prolongé pour les clients en ligne. Avec pour
conséquence que ces ventes peuvent toujours
être annulées.
Heureusement, il y a aussi l’autre face de la
médaille. Le respect des obligations légales
offre en effet une opportunité intéressante,
à savoir la conformité aux normes. On peut
l’utiliser comme avantage concurrentiel ou
USP (unique selling point). Celui qui respecte
strictement les obligations légales peut en
faire un argument pour gagner la confiance
des clients futurs.
5 EXPERTISE JURIDIQUE
Les exemples précités montrent clairement
qu’au moins en cas de décisions ou d’investissements ayant une influence significative sur
l’entreprise, le coût d’une expertise juridique
interne ou externe contrebalance l’impact
financier du risque.
Disposer de l’expertise juridique nécessaire,
en interne ou en externe, est un pas important
pour maîtriser les risques juridiques. De plus,
c’est une manière de renforcer la conscience
des risques juridiques à l’intérieur de l’entreprise. Enfin, la connaissance de la législation
en vigueur est indispensable pour traduire la
gestion des risques en politiques internes.
GESTION DES RISQUES
FEB
61
CASE STUDIO 100
DROITS
ET SÉCURITÉ
Chez Studio 100, la gestion des risques
commence par le respect des valeurs
fondamentales. “Si, au sein du groupe, tout
le monde a une attitude positive, commucommunique ouvertement, vise les résultats …
les risques s’en trouvent réduits”,
réduits”, souligne
Koen Peeters, CFO du Disney du plat pays.
En effet, à quoi servent les règles et procéprocédures si personne ne s’y tient ?
© Studio 100
Le modèle d’entreprise de Studio 100, principalement connu du grand public pour ses séries
télévisées, ses spectacles théâtraux et ses parcs
à thèmes, subit la pression de la numérisation
croissante. “Le contenu audiovisuel que nous
produisons est consommé autrement qu’il y a
5 ans”, explique Koen Peeters. “Les chaînes de
télévision ‘free to air’ ou les DVD ne sont plus
des canaux incontournables. D’autres acteurs,
tels que YouTube, entrent en concurrence sur le
marché.” Cela a un impact à la fois sur la
manière dont Studio 100 doit offrir
du contenu et sur les revenus. “Le
bénéfice des publicités n’augmente pas, mais doit être réparti
entre plus d’acteurs.” L’aspect
positif est que tous ces nouveaux
canaux de distribution cherchent
du contenu. Cela génère des
opportunités pour un
producteur comme
Studio 100,
notamment un
contact plus direct avec le groupe cible (les enfants),
dont les goûts évoluent également sous l’influence
des autres ‘formes de visionnage’. “Au mieux nous
connaissons nos clients, au mieux nous pourrons
adapter notre offre à leur demande.”
Les risques liés au modèle d’entreprise des parcs
d’attractions sont d’une tout autre nature. “Les parcs
ont une très forte intensité en capital et absorbent
la majorité des capitaux investis. Mais ensuite, ils
génèrent un cashflow très stable.” Dans ce secteur,
les risques moins maîtrisables sont les fluctuations
saisonnières sur le marché du voyage et du tourisme,
les accidents et les incidents de sécurité, etc.
“Si l’on s’en tient au cadre
légal sans tenter de franchir
les limites, on encourt peu de
risques juridiques”
Studio 100 tente de compenser les risques
saisonniers – l’activité se concentre principalement
durant les périodes de vacances pour les
parcs d’attractions et au 4e trimestre pour le
merchandising et les shows – via une diversification
de son offre. “Ainsi, nous proposons des
parcs tant extérieurs qu’intérieurs, dispersés
géographiquement et, pour chaque parc en
extérieur, une vaste offre d’activités à l’intérieur ou
en plein air pour des groupes cibles b2c et b2b. Cela
nous permet de prolonger la saison et de mieux
étaler les risques climatiques et saisonniers.”
VALORISER LES DROITS INTELLECTUELS
Le rendement du groupe est largement tributaire
de l’existence et de l’exploitation des droits
Koen Peeters, CFO Studio 100
62
FEB GESTION DES RISQUES
de propriété intellectuelle (PI) de ses produits
et services. À cet égard, deux dimensions sont
essentielles, explique Koen Peeters. “Les droits de
PI sont protégés par la législation en vigueur dans
les régions et pays concernés. Lorsque les règles
changent, cela a également un impact – positif ou
négatif – sur les recettes et les coûts. Par ailleurs,
les nouvelles technologies facilitent toujours plus
la contrefaçon. Un risque accru signifie que Studio
100 doit investir plus d’énergie et de moyens pour
protéger ses droits de PI, les valoriser au maximum
et pour limiter le plus possible la perte de recettes
liée à une utilisation non brevetée.” C’est la
raison pour laquelle une équipe de six spécialistes
se concentre à temps plein sur la gestion, la
rentabilisation, la protection et le contrôle des droits
et brevets du groupe. Par ailleurs, chaque marque
est enregistrée en vue de protéger les créations
propres, sauf en termes de droits d’auteur. Et,
pour ce qui est de ses principaux marchés (Benelux
et Allemagne), Studio 100 exerce lui-même des
contrôles proactifs sur les abus potentiels.
ÉTHIQUE ET CORPORATE GOVERNANCE
Vu l’activité fortement axée sur des projets, les
contrats de travail y sont principalement de durée
déterminée et free-lance. “Tant en Belgique que pour
nos studios d’animation en France et en Australie,
nous appliquons des statuts spécifiques en matière
de droit du travail. Cela vaut également pour les
travailleurs saisonniers de nos parcs d’attractions
ou pour les enfants qui jouent dans les spectacles.
Si l’on s’en tient au cadre légal sans tenter de
franchir les limites, on encourt peu de risques
juridiques.” Studio 100 respecte aussi les codes
éthiques et de gouvernance d’entreprise en
vigueur et l’exige également de ses fournisseurs.
“Le financement via un emprunt obligataire
accroît la pression (positive) sur notre gouvernance
d’entreprise, ce qui génère plus de transparence
et de stabilité.”
PAS DE PARDON
Plus encore que les risques juridiques ou
saisonniers, la sécurité figure à l’ordre du jour
de chaque conseil d’administration. “Il ne faut
jamais dire jamais. Même si nous sommes plus
stricts que les normes légales, nous avons quand
même eu un accident mortel en 2014 dans
un parc d’attractions. Chaque incident est un
incident de trop. Et même si on vous acquitte
en tant qu’entreprise, votre réputation en pâtit
sérieusement. On ne peut prendre absolument
aucun risque en termes de sécurité !”
Studio 100
Activité : divertissements et loisirs
Marchés : Belgique, Pays-Bas et
Allemagne
Siège social : Schelle
Collaborateurs (2014 - Belgique) :
160 salariés + jusqu’à 2.000 contrats
temporaires/an
Chiffre d’affaires (2014) :
176,5 millions EUR
www.studio100.tv
GESTION DES RISQUES
FEB
63
6 GESTION DES
CONTRATS
Si les risques sont liés au respect des obligations contractuelles de l’entreprise, celle-ci
peut les maîtriser grâce à une gestion correcte
des contrats.
Les contrats boiteux et les accords imprécis
sont le terreau de la méfiance et des dommages financiers. La première manière de
les éviter est de ne pas entamer les discussions contractuelles avant de connaître et
de pouvoir évaluer correctement les risques
juridiques pertinents pour votre entreprise.
Après la conclusion du contrat, le deuxième
objectif d’une bonne gestion des contrats est :
‘getting what you agreed’. En d’autres
termes, évitez que vos contrats ne perdent
de la valeur en veillant de manière proactive
au respect et à la mise en œuvre de ceux-ci.
Ne perdez toutefois pas de vue la bonne relation avec votre partenaire commercial (client
ou fournisseur).
7 CORPORATE
GOVERNANCE
En raison de la juridisation croissante de
la société, malgré toutes les tentatives
de dérégulation, il est plus important que
jamais d’intégrer l’identification et la maîtrise
des risques juridiques dans la stratégie de
l’entreprise.
Le Code de Corporate Governance
(Code 2009, pour les sociétés cotées)
comme le Code Buysse 2 (pour les sociétés
non cotées) stipulent explicitement qu’une
bonne gouvernance doit veiller à l’identifi64
FEB GESTION DES RISQUES
cation, à l’évaluation et au contrôle corrects
et complets des risques. Les administrateurs
doivent veiller à ce que le management élabore un système valable de contrôle interne,
adapté à la taille et à la complexité de la
société. Il est très important que les principaux risques, y compris ceux liés au respect
de la législation et des règles en vigueur,
soient correctement identifiés, gérés et
portés à la connaissance des administrateurs.
8 RESPONSABILITÉ DES
ADMINISTRATEURS
La bonne gouvernance assure une
identification et une maîtrise satisfaisantes
des risques juridiques courus par
l’entreprise. Malgré les bonnes intentions,
les administrateurs doivent être conscients
des risques qu’ils courent en matière de
responsabilité des administrateurs.
De manière générale, un administrateur de
société peut être rendu responsable pour
différents motifs, à savoir (1) simple faute
d’administration, (2) infraction au Code
des sociétés ou aux statuts, (3) avantage
financier abusif, (4) acte abusif, (5) faute grave
manifeste qui a contribué à la faillite, (6)
responsabilité pour des dettes fiscales ou de
sécurité sociale et (7) responsabilité pénale.
En cas de violation
des règles du Code
des sociétés,
les administrateurs
peuvent être rendus
solidairement
responsables
En cas de violation des statuts ou des
règles du Code des sociétés, les administrateurs peuvent être rendus solidairement
responsables (donc chacun séparément
pour l’ensemble), tant par leur propre
entreprise que par des tiers, de l’intégralité
du dommage résultant de cette infraction.
Un administrateur dans un organe collégial,
comme le conseil d’administration, risque
d’être rendu responsable de ce qu’il perçoit
comme étant des actes d’un autre administrateur. Exemple : supposons que l’administrateur fasse partie de la minorité qui doit
accepter une décision de la majorité. Le
caractère collégial des délibérations du
conseil d’administration a effectivement pour
conséquence que, lorsque la décision est
prise, elle est considérée comme une décision
de l’ensemble du conseil. Chaque administrateur est donc responsable de cette décision
en raison de la responsabilité collégiale.
9 ASSURER LA
RESPONSABILITÉ
Malgré toutes les mesures prises pour limiter
et maîtriser les risques, il est évidemment
recommandé de contracter des assurances
suffisantes pour couvrir tant les (principaux)
risques de responsabilité de l’entreprise
que les risques de responsabilité des
administrateurs.
Tout risque peut être assuré, à condition d’y
mettre le prix. Un argument de plus pour
commencer par identifier intelligemment
vos risques et les faire assurer ensuite de la
manière la plus efficace en termes de coûts.
GESTION DES RISQUES
FEB
65
5
RISQUES
OPÉRATIONNELS
Dans toute la chaîne de valeur,
c’est au niveau de l’exécution
opérationnelle de la stratégie de
l’entreprise que l’essence de la
gestion des risques apparaît le plus
clairement. Aucune entreprise, petite
ou grande, n’échappe aux risques
opérationnels. Ce chapitre décrit
comment ils se manifestent et avance
quelques règles pratiques pour
pouvoir les gérer de manière efficace.
Un risque opérationnel est le risque de
pertes résultant de processus internes, de
collaborateurs et de systèmes inadéquats ou
déficients, ou d’événements externes. C’est
à ce niveau opérationnel que l’essence de la
gestion des risques est la plus perceptible.
Cela précisément parce que l’exécution
opérationnelle est une succession d’actions
réalisées par divers individus ou parties
(internes ou externes), simultanément ou
consécutivement, avec plusieurs points de
contact où l’input d’une partie est tributaire
ou influencé par l’output d’une autre.
LES CAUSES DES RISQUES OPÉRATIONNELS PEUVENT ÊTRE CLASSÉES
EN 7 TYPES :
1. Fraude interne
C’est la fraude où au moins une personne
de l’entreprise ou de l’organisation est
impliquée. Pensons par exemple à l’évasion
fiscale ou à la corruption.
2. Fraude externe
C’est la fraude par des personnes externes à
l’entreprise ou à l’organisation, comme le vol
de secrets d’affaires.
3. Pratiques en matière d’emploi et
sécurité sur le lieu de travail
La discrimination, le harcèlement au travail ...
en sont des exemples.
inhérents à la nature d’un produit.
Exemples : violation de contrat, ententes,
pratiques de blanchiment ...
5. Dommages aux biens physiques
Citons par exemple les dommages
causés par le terrorisme, les catastrophes
naturelles ...
6. Interruption d’activité et pannes
de systèmes
Pensons aux pannes de courant ...
7. Exécution des opérations, livraisons
de biens et de services et processus
incomplets ou incorrects
4. Pratiques concernant les clients, les
produits et l’activité commerciale
Ce sont les risques résultant du non-respect
de ses responsabilités à l’égard de clients ou
66
FEB GESTION DES RISQUES
Source : Définition et causes selon le Comité de Bâle,
www.bis.org
Une évaluation et une gestion correctes des
risques opérationnels déterminent donc
directement le succès de la stratégie de
l’entreprise, de la production de biens ou
de la fourniture de services. Il faut toutefois
savoir qu’un processus n’est qu’aussi solide
que son maillon le plus faible. Par ailleurs,
il est évident qu’une gestion adéquate
des risques au niveau opérationnel peut
sensiblement booster le développement et la
croissance durables de l’entreprise. Si la vision
stratégique de l’entreprise et la possibilité de
la mettre en œuvre coïncident parfaitement,
tous les éléments sont réunis pour la réussite.
Cela ne signifie toutefois pas que rien ne peut
arriver en cours de processus.
Une évaluation et une
gestion correctes des
risques opérationnels
déterminent donc
directement le succès de
la stratégie de l’entreprise
Ci-dessous, nous examinons comment les
risques opérationnels surgissent et comment
les entreprises peuvent les gérer efficacement.
Nous avançons pour cela 4 règles pratiques.
RÈGLE 1 : une bonne compréhension des processus implique une
bonne compréhension des risques
qui y sont liés
C’est logique car, comme nous l’avons déjà dit,
les risques font partie intégrante de la gestion
de l’entreprise. Et, tout comme il est important
que les différents processus soient décrits
clairement et précisément, il est important
d’identifier aussi les risques inhérents à chaque
processus. À cet égard, vous ne devez pas vous
laisser tenter, en tant que chef d’entreprise,
de trop vous fier aux connaissances inhérentes
ou aux bonnes intentions et à la créativité des
collaborateurs ou des départements chargés
de la mise en œuvre des processus. En effet,
une bonne gestion des processus ne peut
dépendre des individus qui les surveillent. Tout
comme une bonne évaluation des risques ne
peut dépendre de l’affinité individuelle avec
l’ensemble du processus. Il est donc nécessaire
de définir les risques en temps utiles et de
s’adapter aux circonstances ou aux besoins
changeants.
Exemple : une entreprise peut rapidement
accepter des commandes via divers circuits de
vente (direct sales, vente, en ligne) et ensuite
disposer d’un backoffice bien organisé pour
traiter ces commandes rapidement et correctement. Un point critique dans ce processus
est évidemment la réception rapide, correcte
et complète de toutes ces commandes. Il
suffit qu’un de ces transferts ne s’effectue pas
assez vite ou incomplètement pour perturber,
à court terme, le reste de l’organisation (la
gestion des stocks, le service après-vente,
l’organisation du marketing et des ventes),
portant ainsi atteinte à la ‘promesse’ de
disponibilité et de fiabilité du produit. Dans
cet exemple, le risque opérationnel porte
donc spécifiquement sur le traitement des
commandes (informations incomplètes ou tardives), mais a des conséquences sur les autres
processus de l’entreprise. C’est pourquoi le
backoffice doit savoir très clairement quand il
reçoit quelles informations en provenance des
circuits de vente. Et quand il doit s’inquiéter
de ne pas recevoir toutes les informations ou
de les recevoir en retard.
Dans ce cas, la gestion des risques représente
une chance inouïe pour les entreprises qui
font précisément de la fiabilité et de la
GESTION DES RISQUES
FEB
67
ponctualité leur marque de fabrique. Elles
peuvent ainsi, pour un coût négligeable,
accroître la valeur intrinsèque de leur produit
ou service.
RÈGLE 2 : une entreprise se trouve
très rarement dans une position
isolée ou stationnaire. Les risques
opérationnels évoluent et doivent
donc être suivis et adaptés à intervalles réguliers.
Lorsqu’une entreprise croît fortement et rapidement à court terme, le nombre de rôles et
de fonctions augmente souvent aussi de façon
organique. Il est toutefois important d’évaluer
régulièrement les responsabilités et profils au
sein de l’entreprise. On peut ainsi vérifier si
l’on dispose encore des connaissances et de
l’expérience suffisantes pour gérer les risques
inhérents à un environnement externe plus
vaste (impliquant plus de tiers ou de partenaires et ayant une pertinence et un contrôle
sociétaux plus importants). Parallèlement, il
y a les profils de fonction pour les processus
internes. Là aussi, il est essentiel de vérifier
sur base régulière si les utilisateurs ayant
un profil défini ont encore les pouvoirs qui
s’imposent en termes d’accès et de décisions.
Ces processus sont également sensibles aux
risques informatiques et de fraude, mais
la pratique montre que les risques portent
surtout sur l’exécution opérationnelle des
processus (comme le traitement et l’approbation de commandes, de factures d’achat et de
paiements).
Les risques opérationnels
évoluent et doivent donc
être suivis et adaptés à
intervalles réguliers
Exemple : lorsqu’une entreprise voit son
nombre de véhicules de société augmenter
suite à la croissance rapide de son personnel,
il faut a priori plus de compétences pour gérer
ces véhicules. Si l’entreprise souhaite soustraiter la gestion de sa flotte, elle ne peut le
faire pour des motifs purement économiques.
Elle doit également tenir compte de la gestion
de l’entretien, du règlement des dégâts ... et
du contrôle de l’utilisation correcte des cartes
de carburant par exemple.
RÈGLE 3 : comment gérer
concrètement les risques dans
la pratique ?
Même s’il faudrait, comme indiqué plus haut,
que l’identification des risques fasse partie
intégrante de la description générale des processus de l’entreprise, il arrive fréquemment
qu’un incident (même découlant d’un risque
connu) survienne en dehors des activités normales des acteurs concernés. C’est la raison
pour laquelle il est fondamental d’avoir une
bonne feuille de route qui décrit précisément
les réactions requises pour chaque partie. Il
faut laisser le moins possible de choses au
hasard. La résolution de la ‘situation de crise’
doit être au maximum prévisible et traçable
(lire plus à ce sujet au chapitre ‘Que faire en
cas d’incident’, en page 82).
Exemple : une installation de production est
hors service ou une société de services est
injoignable suite à un dérangement de son
central téléphonique ou de son serveur. Il faut
alors rapidement évaluer ce qui est à l’origine
68
FEB GESTION DES RISQUES
du dérangement, combien de temps le
problème va durer et quelles actions doivent
être entreprises par les différents ‘responsables’ pour limiter au maximum la panne. Au
plus chaud de la crise, il est essentiel que ces
étapes se succèdent rapidement, de manière
prévisible et correcte. La meilleure garantie
pour y parvenir est une feuille de route qui
explique clairement le rôle, la responsabilité,
l’autorité et le pouvoir décisionnel de chaque
participant (et, en son absence, de la personne à qui ses prérogatives sont déléguées).
Cela permet aux dirigeants et aux collaborateurs de faire face aux imprévus avec plus
de confiance et donc de manière nettement
plus efficace.
RÈGLE 4 : une gestion efficace
des risques, y compris des risques
opérationnels, est tributaire d’une
évaluation régulière de l’effectivité
de la réactivité et de l’implication
des collaborateurs et de la direction
Appliquer le modèle des ‘trois lignes de
défense’ (lire plus à ce sujet au chapitre
‘Gestion des risques’, en page 20) implique
de facto que l’ensemble du personnel de
l’entreprise est concerné. Il est important
de tester et d’évaluer régulièrement son
plan de risque. Par précaution, la direction
(ou la personne en charge du suivi de la
gestion des risques) adopte une attitude
du ‘voir pour le croire’. Cela signifie que les
différents départements doivent à intervalles réguliers évaluer dans quelle mesure
ils comprennent et maîtrisent les risques
susceptibles de menacer leurs processus.
Ils doivent en outre apporter la preuve des
tests étayant leur bon droit ou leur position.
C’est la seule façon d’émettre un jugement
final objectif sur l’état des risques au niveau
de l’entreprise, dont le chef d’entreprise est
in fine responsable.
La direction devrait
adopter une attitude du
‘voir pour le croire’
Exemple : lors de la concertation trimestrielle, le responsable de département
parcourt avec son directeur l’aperçu des
tests réalisés dans le cadre de l’évaluation
des risques. Lorsque l’aperçu indique par
exemple que la procédure d’urgence en cas
de panne d’électricité a été testée avec succès, le directeur peut demander où se trouve
la feuille de route papier (nécessaire si les
ordinateurs tombent en panne). Et s’assurer
que l’information est complète et correcte en
appelant au hasard quelques-uns des numéros
d’urgence mentionnés afin de vérifier que les
bonnes personnes puissent être contactées.
Conclusion : les risques opérationnels se
présentent sous des formes diverses et à
bien des niveaux, certains étant plus sérieux
que d’autres. Un aperçu clair du ‘poids’ de
chaque risque, un plan d’action solide pour
y faire face et la garantie que tout est régulièrement évalué, testé et documenté sont
des éléments capitaux pour une gestion
effective des risques. On peut ainsi maîtriser
le taux de risque d’une situation d’une
manière qui profite aussi bien à l’entreprise
et aux collaborateurs qu’aux clients et
autres parties prenantes.
GESTION DES RISQUES
FEB
69
CASE NOORDZEE HELIKOPTERS VLAANDEREN (NHV)
LES CHIFFRES
NE FONT PAS TOUT
Le fournisseur ostendais de services par
hélicoptère NHV est actif sur plus de 20
bases, dans 9 pays répartis sur 2 conticontinents. “Entreprendre est risqué, mais ne
pas entreprendre l’est tout autant”, sou
sou-ligne le CEO Eric Van Hal. Le tout est de
trouver l’équilibre le plus sain. Dans notre
cas, il s’agit de trouver un juste équilibre
entre sécurité, rendement et satisfaction
du personnel.
© NVH Helikopters
La société NHV est active sur terre comme en mer.
Quelque 75% du chiffre d’affaires proviennent du
transport d’hommes et de matériel depuis et vers
des plateformes de forage ou des parcs éoliens.
Conduire des pilotes-lamaneurs à bord par gros
temps fait également partie des activités offshore,
de même que les opérations de recherche et
de sauvetage. Sur le marché onshore, NHV
assure principalement des transports médicaux
d’urgence. Chaque jour, quelque 60 appareils
sillonnent les airs.
Il s’agit là d’une activité intensive
en CAPEX (investissements dans
des projets de modernisation)
nécessitant une vision
à (très) long terme.
“Notre monde suit
une dynamique
de croissance
particulière”, explique
Eric Van Hal.
“De lourds investissements sont nécessaires – un
nouvel hélicoptère coûte entre 7 et 25 millions EUR
– et ne sont rentabilisés que plusieurs années
plus tard. Et pour croître de manière naturelle, il
convient avant tout de générer une plus grande
capacité au moyen d’appareils et de personnel
supplémentaires.” Les collaborateurs hautement
qualifiés issus d’une filière technologique, comme
des pilotes ou des techniciens de maintenance,
ne sont pas légion. Nous ne pouvons pas nous
permettre d’opter pour du milieu de gamme,
étant donné les normes de sécurité et de qualité
extrêmement strictes. “Afin de garantir la
disponibilité de personnel de haut niveau, nous
avons fondé notre propre école technique certifiée
et développé une formation de pilote. Pour notre
marché africain (environ 40% du chiffre d’affaires),
nous formons depuis peu les collaborateurs locaux
nous-mêmes. Nous considérons cela comme un
transfert de connaissances qui nous permet dans
le même temps de réduire les coûts d’expatriation.
Il faut compter 100.000 EUR par pilote. Nous
essayons de garantir cet investissement sur une
période allant jusqu’à cinq ans par un engagement
(à rester) dans le chef du pilote, mais aussi et surtout
en offrant des opportunités d’évolution et un certain
confort de travail aux collaborateurs.”
“Celui qui est capable
d’objectiver les risques peut
également les éliminer”
RATIONALISER ET OBJECTIVER
Les risques sont calculables, mais les chiffres
ne font pas tout. Ne rien entreprendre revient
Eric Van Hal, CEO NHV Helikopters
70
FEB GESTION DES RISQUES
sensibles au risque en raison de la routine.
C’est pourquoi ils volent avec de jeunes
pilotes, ce qui permet en même temps à ces
derniers d’apprendre de leurs collègues plus
expérimentés.”
OSEZ PRENDRE DES RISQUES
à se condamner à une mort lente ; dès lors, il
faut prendre des risques. “Plus vous parvenez à
rationaliser et objectiver ces risques – comprenez :
chiffrer – plus vous pouvez les maîtriser. Ils sont
essentiels pour pouvoir apporter à temps des
changements opérationnels ou stratégiques”.
Ainsi, pour des raisons de sécurité, NHV ne
vole qu’exceptionnellement avec des appareils
monomoteurs. De même, l’entreprise ne cherche
pas à développer son activité dans des pays
comme l’Irak ou l’Afghanistan. “N’oubliez jamais
que les chiffres révèlent avant tout la conséquence
d’une action. Pas la source.”
Les données améliorent également la transparence,
fondement de la gouvernance d’entreprise. Depuis
que la société d’investissement française Ardian a
repris 75% des parts fin 2013, NHV accorde une
attention encore plus proactive à la gouvernance
d’entreprise. “L’analyse et la gestion des risques
à travers l’ensemble des niveaux de l’entreprise
font partie intégrante de notre activité principale.
Celui qui est capable d’objectiver les risques
peut également les éliminer… et les convertir en
opportunités. Un exemple simple : contrairement
à ce que l’on pense, les pilotes plus âgés sont plus
“Ne faites jamais l’autruche”, conseille
Eric Van Hal. Osez mettre un nom sur les
risques et transformez-les en fonction des
opportunités. “Que faire par exemple
lorsqu’un client rompt d’un claquement de
doigts un contrat de longue durée ou souhaite
imposer une réduction supplémentaire de
15% ? Lisez l’ouvrage de Daniel Kahneman
intitulé ‘Système 1, système 2 : les deux
vitesses de la pensée’. Un incontournable.
Selon ce psychologue israélien et prix Nobel
d’économie, nous partons de manière presque
intuitive des informations disponibles. Or,
bien d’autres aspects dont nous ne tenons
le plus souvent pas compte entrent en jeu :
le contexte, les motivations, la perspective
d’autrui, les informations de fond…
Spontanément, nous pensons que les pertes
ont plus de poids que les bénéfices. Ce n’est
pas toujours le cas.”
NHV Noordzeehelikopters
Activité : Transport par hélicoptère
Marchés : Europe et Afrique
Siège : Ostende
Collaborateurs (2014) : 650 dont 360
chez NHV
Chiffre d’affaires (2014) : 210 millions EUR
www.nhv.be
GESTION DES RISQUES
FEB
71
6
RISQUES IT
ET CYBERCRIMINALITÉ
Espionnage industriel, vol de données, vol d’identité, blocage des ordinateurs
de l’entreprise, tels sont les challenges auxquels doivent faire face les entreprises
aujourd’hui. Sécuriser l’IT est indispensable, mais pas suffisant. D’après une étude de
Trends Micro (publiée en avril 2015), 91% des attaques ciblées contre les entreprises
sont menées par envoi d’un email ciblé. En d’autres termes, un employé va cliquer sur un
lien ou ouvrir une pièce attachée et infecter l’organisation. Cela peut coûter très cher.
Cela sans parler de l’impact sur la réputation de l’entreprise. Une table ronde de quatre
experts explique pourquoi.
Georges Ataya
Professor & Academic
Director IT Management
Education (Solvay
Brussels School)
Christian Van Heurck
Coordinateur (CERT.be)
Alexandre Pluvinage
Cybercrime Coordination
Manager et chef de la
Cybercrime Awareness
Team (ING)
Dirk Beynaerts
Security Business Leader
BeNeLux (IBM)
72
FEB GESTION DES RISQUES
Les entreprises parlent sans cesse de
risques IT. Mais que couvre cette notion ?
La protection des données ? La protection
de la vie privée ? La garantie de la continuité de l’activité ? La fraude/tromperie via
des canaux IT ? Le phishing ? L’espionnage
industriel ?
Georges Ataya (GA): “Nous devons faire une
distinction entre protection informatique et
protection de l’information. L’une vise la protection de la technologie, logiciels et matériel,
et relève surtout de la compétence des techniciens informatiques. Tandis que la protection
de l’information doit assurer la sécurité des
données de l’entreprise au sens le plus large
du terme et relève de la responsabilité de la
direction de l’entreprise. L’informatique est
un outil technologique pour protéger l’information. Renforcer le pare-feu humain est un autre
aspect.”
Alexandre Pluvinage (AP): “Ce point est très
important. Protéger les systèmes informatiques est une nécessité. Toutefois, il ne faut
pas oublier de former les employés. Car le
plus souvent, c’est en envoyant un email à
une personne physique que les cybercriminels vont entrer. Pas en essayant de briser
les défenses informatiques. Les employés
des entreprises doivent aujourd’hui avoir une
connaissance de base sur le bon comportement à adopter en matière de cybersécurité.
Cela vaut pour l’envoi et la réception d’emails,
le transport de données sur une clé USB, ou
encore l’utilisation de réseaux wifi ouverts.
Une étude menée au niveau fédéral a montré
qu’un Belge sur trois utilise le même mot de
passe pour le privé et le professionnel. Il y a
donc encore beaucoup de travail à faire en
matière de conscientisation des travailleurs.”
taille de l’entreprise et il est moins lourd que
le coût de préjudice éventuel.”
Christian Van Heurck (CVH): “De plus, on
oublie souvent que les cybercriminels piratent
la structure IT de l’entreprise pour atteindre
leur véritable objectif. Ils procèdent à des
watering hole attacks – les lionnes se mettent
à l’affût à proximité du point d’eau et pas en
pleine brousse où il ne passe presque pas de
gibier – sur un point vulnérable (humain ou
technique) pour en attaquer d’autres ensuite.
Plus ils utilisent d’étapes intermédiaires, plus il
est difficile de tracer l’origine de l’attaque.”
CVH: “De plus, les motivations ne sont pas
toujours criminelles. Certains utilisent le
chantage comme moyen de protestation.
Les activités – songeons à Anonymous – ne
demandent pas d’argent, mais exigent par
exemple qu’une entreprise ou une autorité
publique revoie sa stratégie.”
Dirk Beynaerts (DB): “Ou ils utilisent le système d’un intermédiaire qui est toujours disponible, comme celui des institutions financières
par exemple. Lorsque mon PC est infecté, je
l’éteins le soir pour le relancer. L’infrastructure
d’une banque tourne 24/7.”
Un phénomène plus récent est le chantage
en ligne ?
CVH: “En effet. Si vous ne me payez pas une
somme déterminée, je pirate votre système et
révèle les données extorquées.”
AP: “Le montant du chantage est fixé de
manière à ce que la victime soit prête à payer.
Le montant est ‘abordable’ en fonction de la
GA: “C’est devenu un businessmodel. Le prix
est fixé comme chez un marchand de chaussures. S’il est trop élevé, on ne vend rien.”
AP: “Depuis quelques mois, on voit une recrudescence des « ransomwares », ces logiciels
malveillants qui bloquent votre ordinateur ou
votre réseau informatique et vous demandent
une rançon en échange du code qui permet
de tout débloquer. Ici encore, cela passe le
plus souvent par un mail infecté.”
DB: “Et comme tout se passe en ligne, de
manière anonyme et à distance, le risque de
se faire prendre est minime. Le risque de se
faire prendre avec un virus informatique est
bien moins grand qu’avec 5 grammes de
cocaïne.”
Le chantage en ligne est devenu
un businessmodel. Le prix est
fixé comme chez un marchand
de chaussures. S’il est trop
élevé, on ne vend rien
Georges Ataya (Solvay Brussels School)
Quels facteurs augmentent les risques IT ?
AP: “Les cybercriminels qui veulent pénétrer
votre système informatique vont chercher
la faille dans vos protections. Si vous êtes
correctement protégé, ils iront chercher la
GESTION DES RISQUES
FEB
73
faille ailleurs. Cela peut par exemple passer par
une entreprise partenaire qui a accès à votre
réseau. Chaque entreprise doit donc veiller
à la protection de ses propres serveurs, mais
aussi de ceux de ses sous-traitants. Il est donc
important que la protection des données soit
inscrite dans le contrat commercial.”
GA: “Tout à fait d’accord. Mais négocier un
accord équilibré entre les attentes du client et
les garanties exigées par le fournisseur est un
exercice difficile et extrêmement sensible. Tout
est une question de confiance. Demander à un
fournisseur d’appliquer les mêmes normes de
contrôle et d’audit peut être interprété comme
un manque de confiance ou comme une mise
en doute de son professionnalisme.”
DB: “À cela s’ajoute la question de la responsabilité finale. Le propriétaire des données
est toujours responsable et il doit l’indiquer
dans les contrats de partenariat. Ainsi, une
entreprise dont les données clients ont été
volées ne peut refiler la patate chaude à son
fournisseur IT. C’est sa réputation qui est en
jeu et moins celle de son fournisseur.”
Les attaques sont aussi de plus en plus
complexes et ciblées. Elles ont donc plus de
chances de réussir ?
DB: “Les cybercriminels prennent leur temps
pour atteindre leur cible. Ils utilisent d’innombrables détours et – ce qui est nouveau –
effacent leurs traces. Avant c’était hit-and-run :
ils enfonçaient la porte avant au bulldozer,
chipaient tout ce qu’ils pouvaient et disparaissaient discrètement. Maintenant, ils attendent
que vous soyez en vacances, entrent par la
porte arrière, ouvrent le coffre, piquent le diamant et le remplacent par une copie en verre.
Votre femme la portera pendant des années
avant de se rendre compte que la pierre est
fausse.”
74
FEB GESTION DES RISQUES
CVH: “C’est ce qui se passe dans les « advanced persistents threats » ou cyberattaques
ciblées de longue durée : la voie de pénétration ne relève souvent pas de la haute technologie, mais est un point faible dont on ignore
l’existence depuis des années. Mais lorsque
le pirate a réussi à l’infiltrer, l’affaire devient
ingénieuse et extrêmement complexe.”
AP: “C’est exact. De plus, les pirates sont tellement flexibles qu’il est presque impossible
de les prendre de vitesse.”
CVH: “N’oublions pas non plus la menace
interne à force de nous concentrer sur les
cybercriminels externes. Le voleur ou espion
classique qui charge les secrets de l’entreprise sur un stick et les vend au plus offrant a
encore de beaux jours devant lui. La fraude a
toujours existé et existera toujours.”
AP: “Les données ont d’ailleurs pris de la valeur. D’une part, parce qu’elles sont beaucoup
plus critiques pour l’entreprise et, d’autre
part, parce que la demande a augmenté et
qu’un marché s’est créé (sur le ‘dark web’)
pour les négocier.”
GA: “Et nous n’avons pas encore parlé de la
‘starification du vol de données’. Songeons au
succès du site de dénonciation WikiLeaks, à
LuxLeaks, à Edward Snowden...”
Cela doit-il empêcher le CEO de dormir ?
Au plutôt, comment peut-il s’en protéger ?
AP: “Il ne peut l’ignorer. Si l’interconnexion
des systèmes informatiques a permis l’avènement de la cybercriminalité, cela a aussi rendu
la fraude traditionnelle plus simple et efficace.
Par exemple, la fraude au CEO est en très
forte augmentation en Belgique. Et les montants perdus se chiffrent en millions d’euros.
La fraude à la facture est aussi devenue plus
méthodes pour le faire. La conscientisation en
est un. Faites prendre conscience à vos collaborateurs des risques et de la manière de les
éviter proactivement. Ensuite, soyez informé.
Plus l’entreprise est au courant des dangers,
plus le risque d’un incident diminue et mieux
elle peut maîtriser le risque. Enfin, installer des
procédures et des obstacles technologiques
(matériel et logiciels) pour compliquer la tâche
des pirates potentiels. Tous ces éléments mis
ensemble permettent de minimaliser la probabilité d’un incident.”
simple. Ici encore, la meilleure protection est
la formation. Si les comptables de l’entreprise
savent que toute demande de paiement de
la part du CEO, CFO ou CIO décrite comme
URGENTE et CONFIDENTIELLE doit être validée discrètement par une tierce personne au
sein de l’entreprise, les chances sont grandes
que cette personne détecte la fraude. Pour la
fraude à la facture, si vous appelez vos fournisseurs en cas de changement de numéro
de compte pour valider l’information, vous
détecterez la fraude facilement. Et protégez
vos factures en les envoyant de deux manières
différentes (email et courrier). Une simple
vérification par votre créancier avant paiement
validera l’authenticité de la facture.”
DB: “De cette manière, la responsabilité
incombe à l’utilisateur. Que se passe-t-il si un
fraudeur utilise un intermédiaire et pirate le
secrétariat social, par exemple, pour détourner des paiements vers un faux numéro de
compte ?”
GA: “Comment une entreprise peut-elle renforcer, stabiliser et pérenniser sa protection ?
C’est la question principale. En se préparant
à un incident de sécurité et en prévoyant les
connaissances et les moyens pour détourner
ou empêcher une intrusion. Et pour être en
mesure de relever rapidement le niveau de
protection. Il existe de nombreux leviers et
Aucune entreprise, petite ou grande, ne
peut se protéger à 100%. Ou comme le dit
Fabrice Clément de Proximus : “La question
n’est pas de savoir si votre entreprise sera
piratée ou abusée un jour, mais bien quand
et comment vous réagirez à ce moment-là.”
(lire aussi le case à la page 80)
CVH: “La force de la protection dépend de la
prise de conscience et de l’attitude de chaque
collaborateur. Chacun doit avoir conscience
qu’il est relié de l’une ou l’autre manière
au monde extérieur et peut servir de trait
d’union. Le marché criminel veut aussi minimiser ses coûts et il cherche la voie d’entrée
qui offre le moins de résistance. Pourquoi
concevoir un piratage sophistiqué et complexe si le mot de passe d’un collaborateur
est à portée de main? Les ‘faux positifs’ (les
fausses alertes que le système IT détecte) sont
un grand problème tant pour ‘l’attaquant’ que
pour ‘la victime’. Parmi les milliers d’alertes
et de connexions, il est difficile de distinguer
une ‘vraie’ attaque d’une fausse alarme. Il faut
beaucoup de temps et de travail au pirate
pour convaincre des gens de lui verser un
montant. C’est un investissement en moyens
humains et matériels. Les pirates essaient
aussi de limiter le nombre de ‘faux positifs’ et
misent pour ce faire sur les techniques qui leur
offrent le plus de chances de réussite.”
GESTION DES RISQUES
FEB
75
La force de la protection
dépend de la prise de
conscience et de l’attitude de
chaque collaborateur
Christian Van Heurck (CERT.be)
Les entreprises ont-elles suffisamment
conscience des dangers de la cyber(in)
security ?
DB: “La prise de conscience augmente, mais
trop lentement et à des vitesses variables.
Traditionnellement, les institutions financières
prennent le leadership. En raison de la nature
et de la sensibilité de leur activité, elles sont
très matures, conscientes et extrêmement bien
préparées, protégées et organisées. D’autres
secteurs deviennent plus attentifs, mais principalement au niveau du conseil d’administration. Le collaborateur individuel est et reste le
maillon faible.”
AP: “La cybersécurité est un sujet brûlant dans
tous les domaines et tous les secteurs. Il importe
cependant d’élaborer des solutions concrètes
adaptées aux différents secteurs. Ainsi, il existe
depuis peu des assurances cybercrime pour la
Belgique. Un expert peut donner à l’entreprise
des conseils personnalisés (analyse SWOT) sur ce
qu’elle peut faire concrètement pour renforcer
sa sécurité et couvrir les risques. Ce besoin est
plus marqué dans les PME, qui ne disposent pas
des mêmes moyens qu’une institution financière,
un opérateur télécom ou un géant des logiciels
pour se protéger contre la cybercriminalité.”
CVH: “La confiance est un facteur clé. À quelle
institution ou quel fournisseur confier la mise
au point de votre cybersécurité ? Comment
gérer un incident ? On constate que plus des
entreprises s’expriment dans les médias – je
songe au cas de Proximus – plus elles sont suivies et plus les effets de sensibilisation d’autres
entreprises sont positifs.”
76
FEB GESTION DES RISQUES
Une obligation de notification a-t-elle un
sens ?
CVH: “Nous insistons pour que les entreprises
signalent les incidents. Elles peuvent le faire
en toute confidentialité auprès de CERT.
be. Nous ne jugeons pas, mais essayons de
mettre l’entreprise en contact avec les bons
experts (nationaux et internationaux) et de les
convaincre de déposer une plainte. L’obligation de notification est importante, mais la
conscientisation l’est encore plus. Partager
ses expériences permet d’éviter que d’autres
entreprises tombent dans le même piège.
L’obligation de notification n’est d’ailleurs
applicable que s’il y a des garanties de confidentialité.”
DB: “Chaque entreprise doit partir du principe qu’elle peut être victime un jour. Il est
capital d’être préparé, prêt à réagir. Et cela ne
signifie pas seulement renforcer en urgence
le pare-feu, mais aussi savoir comment et
quoi communiquer. Faut-il s’adresser à la
police ou à CERT ? Peut-on faire intervenir des
spécialistes ? Faut-il informer les sous-traitants ou autres parties prenantes, le conseil
d’administration …? En cas d’incendie, on
ne se contente pas d’appeler les pompiers,
n’est-ce pas ?”
CVH: “La règle 80/20 s’applique aussi en
matière de sécurité. Une entreprise peut
faire beaucoup avec de petites interventions
simples. Les entreprises américaines sont plus
avancées parce que les autorités imposent
un modèle de ‘maturité’ à leurs fournisseurs.
Ainsi, elles doivent soumettre leurs systèmes à
un monitoring continu. Cela va plus loin qu’un
simple compte-rendu. Cette évolution prend
du temps et personne ne peut passer de 0 à
100% de sécurité en un clin d’œil.”
Chaque entreprise sera un jour
ou l’autre victime. Il est donc
essentiel d’être préparé, prêt à
réagir
Dirk Beynaerts (IBM)
Les risques IT n’offrent-ils pas aussi des
opportunités ? La cybersécurité, un moteur
de l’innovation ?
GA: “De nombreuses entreprises utilisent leur
degré élevé de sécurité comme argument de
vente pour leurs nouveaux produits ou services.
La force et l’impact de l’argument varient d’un
secteur à l’autre.”
AP: “Cela peut aussi avoir l’effet inverse. Celui
qui crie sur tous les toits que son entreprise est
bien protégée pourrait bien être le premier mis
à l’épreuve. D’un autre côté, cela peut créer
des opportunités. Une entreprise comptable
par exemple peut faire la différence face à la
concurrence si ses employés ont les connaissances de base en anti-fraude. Il en va de même
pour un chercheur d’emploi qui aurait suivi une
formation sur les bases de la cybersécurité.”
CVH: “Tout dépend de la valeur et de l’efficacité des mesures de protection qui sous-tendent
le discours commercial. Et de l’existence
éventuelle d’une assurance spécialisée. Si la
combinaison est bonne, ce type de service peut
effectivement offrir des opportunités commerciales. Les sociétés d’hébergement font souvent
du businessdevelopment avec des solutions de
protection innovantes. Elles s’adressent donc
souvent à CERT.be pour obtenir de l’aide pour
sensibiliser leurs clients à l’importance d’une
protection forte. Le message d’une institution
publique est plus crédible, parce que non
commercial.”
DB: “L’offre de solutions de protection
augmente, mais la demande augmente aussi.
RISQUES DE FRAUDE
Les délits économiques contre les entreprises
et autres organisations ne cessent d’augmenter
dans le monde. Selon une récente enquête,
50% des organisations belges interrogées
ont déclaré des délits économiques ou des
fraudes. La Belgique est donc au top pour
la notification des fraudes et elle dépasse
largement la moyenne mondiale de 37% et la
moyenne européenne de 35%.
Les principaux risques de fraude révélés par
l’enquête sont :
Vol d’information. Pas uniquement des
documents, mais de plus en plus souvent
des informations stockées dans l’ordinateur ;
Fraude aux comptes annuels. Se produit
surtout lorsque l’entreprise utilise des
systèmes où la partie variable de la
rémunération des managers, par exemple,
dépend du résultat. C’est également
monnaie courante en cas de reprises
auxquelles une prime est liée pour le
management du vendeur ;
Confusion d’intérêts et corruption. Il est
fréquent que des partenaires commerciaux
soient choisis pour une raison inexplicable
à première vue, alors qu’ils ne présentent
certainement pas le meilleur dossier ;
Circuits parallèles. Il s’agit généralement
de collaborateurs qui utilisent les moyens
de l’entreprise pour leur enrichissement
personnel. Ou de chefs d’entreprise qui
omettent d’inscrire une partie des ventes
dans la comptabilité ;
Vol et recel de marchandises. Cela peut aller
de l’introduction de factures falsifiées (ou
adaptées) à la disparition organisée d’une
partie de la production dans les poubelles
(sans comptabilisation) ;
Tricherie sur les frais et les notes de frais ;
Blanchiment et carrousels à la TVA.
GESTION DES RISQUES
FEB
77
De plus en plus de (grandes) entreprises
imposent des exigences à leurs fournisseurs et
leur demandent de se rallier à leur environnement et leurs opérations de sécurité. De
cette manière, elles ont une vision de ce qui
se passe chez le fournisseur et ils se renforcent
mutuellement.”
CVH: “Les grandes entreprises aident indirectement les plus petites à renforcer leur
protection. Elles ouvrent leurs solutions à
d’autres et partagent leurs connaissances et
leur expérience.”
D’où aussi l’importance d’une plateforme
comme la Cyber Security Coalition? (voir
cadre en page 79)
AP: “En effet. L’échange de connaissances et
d’expérience entre les entreprises membres
de la coalition est un pilier important. Le
groupe de travail sur la formation et l’information au sein de la Coalition prépare des
packages de formation basés sur l’expérience
de certains membres plus expérimentés. Ces
informations sont mises à disposition de tous
les membres de la Coalition pour la formation de leurs employés. Attention, il n’est pas
question d’en faire de spécialistes en sécurité,
seulement de leur donner les bases afin de
reconnaître un risque et de bien réagir.”
Les données valent beaucoup
plus qu’autrefois sur le marché
‘criminel’
Alexandre Pluvinage (ING)
CVH: “La cybersécurité relève de la responsabilité de chacun, citoyens, entreprises,
milieux académiques et pouvoirs publics. La
force de la coalition réside dans la confiance
mutuelle entre les membres, les connaissances
(sensibles) et les expériences qu’ils partagent
en toute transparence et la crédibilité que
rayonne cette équipe d’experts vers le monde
extérieur. Le but ultime ? Qu’un entrepreneur
CONSEILS ET BONNES PRATIQUES
En conclusion, nous avons demandé à nos quatre experts un conseil en or ou une bonne pratique.
Georges Ataya (Solvay Brussels School): “Un CEO responsable reconnaît les risques et les défis. Il
sait quels scénarios catastrophes il faut éviter et quel en est le prix. Celui qui est conscient a déjà résolu
la moitié du problème.” (lire l’article sur www.regional-it.be/2014/12/19/le-dirigeant-face-a-la-cybersecurite-de-son-entreprise/).
Christian Van Heurck (CERT.be): “Signalez les incidents à CERT.be. En toute confidentialité. Nous ne
sommes pas magiciens, mais nous pouvons aider. Plus nous pouvons identifier des incidents, plus nous
avons de moyens pour élaborer des solutions et sensibiliser. Vos collaborateurs peuvent s’informer sur
les risques qu’ils courent sur www.safeonweb.be.”
Dirk Beynaerts (IBM): “Je ne peux que confirmer et ajouter : ‘prepare to respond’. Soyez prêts et
intelligents. Deux clés pour une lutte réussie contre le cybercrime.”
Alexandre Pluvinage (ING): “Utilisez votre bon sens. Consultez un spécialiste ou CERT.be au moindre
doute. Il vaut mieux jouer la sécurité que courir un risque. Ne cliquez jamais sur un message suspect et si
vous l’avez fait, informez-en votre équipe IT. Ne rien signaler est la plus grosse erreur qu’on puisse faire.”
78
FEB GESTION DES RISQUES
sache en cas de crise à quels spécialistes
ou conseillers il peut s’adresser en toute
confiance. Cette confiance et cette dynamique
sont le fruit d’un travail de longue haleine ou
comme le dit le proverbe : la confiance se
gagne en gouttes et se perd en litres.”
DB: “Si chacun continue à travailler dans son
coin, on n’avancera pas beaucoup. Il est crucial que chaque entreprise soit consciente que
l’information sur une crise qu’elle a traversée
peut être utile à d’autres et inversement. Ce
qui se passe aujourd’hui aux States ou en
Chine peut être important pour nous demain.
Dans un monde de big data, faire des liens
entre les informations peut être décisifs pour
éviter des attaques, y compris au niveau local.
Cela nécessite en effet une grande confiance.
La coalition offre une plateforme où des informations sensibles et pratiques peuvent être
partagées en toute confiance.”
GA: “La cybersécurité est un des rares
domaines où la coalition parvient à faire collaborer les acteurs des secteurs privé et public
et du monde académique dans un modèle
d’’open innovation’. Et l’intérêt général
prime les thèmes individuels ou sectoriels. La
volonté est bien présente. Nous ne pouvons
laisser passer cette occasion.”
UNE COALITION UNIQUE EN BELGIQUE S’ATTAQUE AU CYBERCRIME
Des centaines de milliers d’ordinateurs sont infectés dans notre pays chaque
année. Les coûts de la cybercriminalité sont estimés à 3,5 milliards EUR, soit
plus de 1% du PIB. Or, la lutte contre la cybercriminalité est dispersée. Un
sondage de la FEB révèle en outre que 66% des entreprises interrogées n’ont
pas une vision claire de toutes les implications d’une approche efficace de la
cybersécurité. Plus de 75% d’entre elles ne s’y retrouvent pas dans la
réglementation et les instances compétentes. Malgré de nombreuses initiatives bien intentionnées,
chacun mène sa lutte de son côté. Malgré de nombreuses initiatives bien intentionnées, chacun
mène encore sa lutte de son côté. Or le progrès en cybersécurité n’est possible qu’avec la
collaboration de tous : les entreprises, le monde académique et les pouvoirs publics.
C’est pourquoi une série d’acteurs clés (Proximus, FEB, CERT.be, B-CCENTRE et Solvay Brussels
School) ont créé la Cyber Security Coalition. Cette association doit donner une nouvelle impulsion
à l’économie numérique et faire de la Belgique un pays soucieux de la cybersécurité.
Premièrement, la coalition réunit une cinquantaine d’acteurs clés issus du monde académique, du
monde des entreprises et des pouvoirs publics pour échanger des connaissances et des expériences
et se faire une image globale du paysage de la cybersécurité. Parallèlement, la coalition entend
engranger des progrès significatifs sur trois fronts : les échanges et le partage de la connaissance,
la sensibilisation des citoyens et des entreprises et les recommandations pour une politique plus
efficace.
Plus d’info : www.cybersecuritycoalition.be
GESTION DES RISQUES
FEB
79
CASE PROXIMUS
DE VICTIME
À EXPERT
Selon Fabrice Clément, responsable ‘sécurité
de l’information’ chez Proximus, la cybercricybercriminalité figure dans le top dix des risques
business. Aucune entreprise, petite ou
géante, n’y échappe. “La question n’est pas
de savoir si votre entreprise sera un jour pirapiratée ou abusée, mais bien quand et comment
vous réagirez dans ce cas.” La cybercriminacybercriminalité évolue de manière tellement dynamique
et organique qu’une politique de risque
zéro n’existe pas. Ce qui est primordial
aujourd’hui, c’est une bonne préparation et
une réponse forte en cas d’incident.
© Proximus
“La cybersécurité est moins une question
de ‘compliance’ que de gestion du risque”,
estime Fabrice Clément, responsable
‘sécurité de l’information’ chez Proximus.
Depuis que ce géant des télécoms a été
victime d’une cyberattaque de grande
envergure en 2013, il s’est
constitué une forte expertise
dans la lutte contre les
cybercriminels qu’il met au
profit de ses clients. Quels
sont les risques ? “Une
attaque ou une violation
peut causer un préjudice
grave en termes d’image, de
réputation, de continuité
opérationnelle, de santé
financière, de conformité
réglementaire… Elle peut
même affecter des tiers parce que l’entreprise
ne remplit plus ses obligations contractuelles
par exemple.” La cybersécurité est devenue un
impératif business, bien plus qu’une contrainte
ou un centre de coûts.
L’AFFAIRE DE TOUTE L’ENTREPRISE
La protection contre la cybercriminalité est
l’affaire de toute l’entreprise et non pas
seulement une question qui incombe au
département IT. Elle doit faire partie d’un
plan global, présenté et soutenu par le senior
management “et incluant toutes les facettes de
l’entreprise : gestion de risque, communication,
réglementation, culture, formation et attitude
des travailleurs, gestion des fournisseurs, gestion
d’alarmes et d’incidents, développement de
produits et de services, collaboration avec les
autorités…”.
“Piratez votre propre
système pour pouvoir
mieux le protéger”
Proximus investit chaque année plus de 15 millions
EUR pour offrir à ses clients des solutions de
télécoms sécurisées et protéger les données des
clients et de l’entreprise. Son plan ‘cybersécurité’
repose sur cinq piliers :
1. Des mesures organisationnelles et de
gouvernance. Pour développer des
connaissances, pour impliquer activement le
management, pour aligner les fournisseurs, pour
mettre à jour les politiques de sécurité, pour
sécuriser les processus de l’entreprise, etc.
2. Le développement d’une culture de la
sécurité parmi les collaborateurs et autres
Fabrice Clément, responsable sécurité de l’information chez Proximus
80
FEB GESTION DES RISQUES
stakeholders, notamment via des campagnes de
sensibilisation et des formations à la Proximus
ICT Academy. Pour sensibiliser, informer,
proposer des solutions et aiguiser la vigilance.
3. Une sécurisation renforcée des plateformes IT. Par
ex. via le cryptage des données, la gestion des
accès, des environnements serveurs distincts…
4. Des mesures de sécurité renforcées pour les
réseaux télécoms et les plateformes de services.
Entre autres via des tests de vulnérabilité.
5. La création d’un centre de cyberdéfense.
Mission : détecter et désamorcer les
cyberincidents. Une équipe spécialisée ‘Cyber
Security Intelligence & Incident Response’
réunit, par le biais d’un réseau international, des
informations sur les menaces potentielles pour
pouvoir réagir de manière proactive et prompte.
Un service de surveillance et d’alerte (Security
Operations Center) est aussi offert aux clients
‘entreprises’.
NE JAMAIS IMPROVISER
“L’improvisation n’est jamais appropriée”, souligne
Fabrice Clément. “L’entreprise doit se préparer
comme un bloc solide et le calcul des risques
et la réaction aux cyberincidents doivent faire
partie intégrante du plan de crise.” Le succès
de la lutte dépend dans une large mesure de la
collaboration nationale et internationale et de
l’échange de connaissances entre entreprises,
pouvoirs publics, experts, opérateurs... “Une
entreprise ne peut affronter seule les menaces
d’une cybercriminalité puissante et sans
frontière. D’où l’importance d’une plateforme
de coopération comme la ‘Cyber Security
Coalition’ (voir cadre en page 79). Mes conseils
aux chefs d’entreprise ? 1. Ne considérez pas
la cybersécurité comme un simple problème IT;
elle nécessite une approche globale supportée
par le top management. 2. Considerez la
cybersécurité comme un impératif pour votre
business. 3. Ne vous repliez pas sur vousmême, collaborez et osez demander l’aide
d’experts externes.”
Proximus (Belgacom)
Activité : télécommunications
Marchés : B2C, B2B
Marchés : Bruxelles
Collaborateurs (2014) : 14.200
Chiffre d’affaires (2014): 6.112 millions EUR
www.proximus.com
GESTION DES RISQUES
FEB
81
Que faire en cas
d’incident ?
Comment réagissez-vous (ou réagit
votre entreprise) pendant ou après un
incident pour limiter les dégâts ? Ou,
mieux encore, pour éviter que cette
même menace frappe de nouveau
votre entreprise ? Quels que soient le
degré de préparation et les actions de
l’entreprise, elle doit se laisser guider
par trois principes en cas de crise : il
faut réagir vite, durablement et de
manière responsable.
1 CRISIS READINESS
Plus de 90 % des chefs d’entreprise ont peu ou
pas d’expérience avec des situations de crise,
indique l’enquête 1. Dès lors, faut-il s’étonner
que, dans la plupart des cas, ils ne réagissent
pas de façon adéquate aux signes précurseurs
d’une crise ? Soit ils ne les identifient pas, soit
ils les reconnaissent mais ne réagissent pas ou
prennent des mesures dans la panique.
Les raisons de ces réactions sont très diverses
et leur analyse nous mènerait trop loin dans
cette brochure. L’accent est plutôt mis ici sur
la résolution des problèmes. L’essentiel est de
savoir dans quelle mesure votre entreprise est
prête à affronter une crise. Ce ‘crisis readiness’
est la faculté à apporter une réponse effective
et à réparer les conséquences d’événements
tant externes (attentats terroristes, catastrophes naturelles ..., lire le chapitre ‘Risques
externes et stratégiques’, en page 32) qu’internes (accidents industriels majeurs, incendie
dans une entreprise). Dans cette optique, le
crisis readiness est l’objectif final souhaité sur
la base de la préparation organisationnelle,
1
2
de la gestion de crise, du Business Continuity
Planning 2 et d’autres activités et processus
organisationnels.
Le crisis readiness a six composantes fixes, liées à :
1. une réactivité rapide en cas de crise ;
2. une connaissance suffisante des scénarios de
gestion de crise ;
3. l’accès de la direction au registre de gestion
de crise ;
4. l’exactitude du plan de crise stratégique au
sein de l’entreprise ;
5. une grande communication interne et
externe (les médias !) ;
6. la perception de la probabilité qu’une crise
touche l’organisation.
TESTEZ VOTRE ‘CRISIS READINESS’
Votre entreprise ou organisation est-elle
suffisamment préparée à un incident ou
une situation d’urgence ? Nous posons, cidessous, cinq questions pour tester votre
crisis readiness. Si toutes vos réponses sont
positives, votre organisation est déjà bien
préparée à un éventuel incident majeur. En
revanche, si vous répondez non à une des
questions, il y a encore du pain sur la planche.
1. Pouvez-vous spontanément nommer
quelques caractéristiques d’une crise dont
vous avez tenu compte lors de l’élaboration
du plan de gestion de crise de votre
entreprise ?
2. Avez-vous analysé, avec votre équipe de
direction, la ‘criticité’ des processus de
l’entreprise en relation avec les risques
qu’elle encourt ?
3. Disposez-vous d’une checklist générique
servant de fil conducteur pour la gestion
d’une crise ?
Drs. H.C. van Eyck van Heslinga, ‘Hands-on crisismanagement’, Berenschot Interim Management/Kluwer, 2002, p. 23.
Un Business Continuity Plan (BCP) est un plan qui veille à redémarrer l’activité le plus rapidement possible après une
situation de crise..
GESTION DES RISQUES
FEB
83
4. Pouvez-vous nommer cinq principes de
base qui déterminent votre stratégie en
matière de communication de crise ?
5. Impliquez-vous au moins une fois par an
l’équipe de direction dans l’évaluation, le
contrôle et l’adaptation du plan de crise ?
Source : Paul Robrechts, Jeroen Wils, ‘Gestion de
crise. Guide pratique pour une gestion de crise
efficace’, FEB, Bruxelles, 2015
La probabilité qu’une menace ou un risque débouche sur une crise et engendre des dégâts
est bien entendu déterminante pour définir le
sens et le niveau de votre crisis readiness
Utilité et justification
Ainsi, vous pouvez vous demander s’il est utile
et justifié de préparer l’entreprise à l’imprévisible, de se préparer à des risques futurs dont
personne n’a encore aucune idée aujourd’hui.
Des événements passés prouvent qu’anticiper
l’avenir s’avère effectivement utile. Pensons par
exemple aux attentats du 11 septembre. Grâce à
un bon plan d’urgence, de nombreuses vies ont
pu être sauvées. Cela vaut aussi pour un scénario
catastrophe tel qu’un incendie d’entreprise.
Risque minimisé de survenance
Il est évident qu’à mesure que vous identifiez les
menaces et risques pour votre entreprise, cela
génère automatiquement un effet préventif.
Cela vaut surtout pour les risques internes. Être
conscient de l’existence de risques vous permet
aussi d’aborder les risques de manière responsable. Réfléchir aux risques potentiels génère
une certaine attitude et surtout une culture de
la sécurité au sein de l’entreprise. Des valeurs
comme l’ouverture d’esprit, la transparence, la
communication et la confiance mutuelle favorisent une détection rapide des points faibles et
84
FEB GESTION DES RISQUES
empêchent de camoufler de petits incidents ou
erreurs humaines qui pourraient par la suite se
transformer en crise sérieuse.
Infrastructure critique
L’impact d’une crise est sectoriel. Certaines
entreprises revêtent une telle importance
stratégique que leur dysfonctionnement peut
paralyser l’ensemble de la société. Ainsi,
les secteurs stratégiques sont notamment
l’approvisionnement énergétique (centrales
nucléaires, raffineries de pétrole), la communication (téléphonie, internet, stockage de
données) ou les transports (ports maritimes,
aéroports). Ces entreprises critiques ont
l’obligation et la responsabilité sociétale de
prévoir les menaces, de les détecter dès leur
état embryonnaire, de les traiter et de rétablir
au plus vite la continuité des services
Dispositions légales
Dans bon nombre de situations, la gestion
des risques, la gestion de crise et le Business
Continuity Planning sont imposés par la loi. Plus
concrètement, trois ‘réglementations’ régissent
l’analyse des risques et des mesures préventives :
la ‘loi sur le bien-être’ : la loi du 4 août 1996
relative au bien-être des travailleurs lors de
l’exécution de leur travail ;
l’arrêté royal du 27 mars 1998 relatif à la
politique du bien-être des travailleurs lors
de l’exécution de leur travail ;
l’accord de coopération du 21 juin 1999 entre
l’État fédéral et les Régions concernant la maîtrise des dangers liés aux accidents majeurs
impliquant des substances dangereuses.
Responsabilité
Les dirigeants qui ne sont pas préparés à une
crise ou à un scénario catastrophe au sein de
leur entreprise peuvent être déclarés juridi-
quement responsables de leur négligence, par
analogie avec d’autres responsabilités, comme
en cas d’environnement de travail non sécurisé.
Considérations financières
Une crise peut engendrer de sérieux dommages de réputation à l’entreprise et occasionner ainsi de lourdes pertes financières.
Une étude internationale menée par la Oxford
University auprès d’entreprises actives dans
divers secteurs révèle qu’une crise a dans tous
les cas, dès le départ, un impact négatif sur la
valeur de l’action. En moyenne, les entreprises
touchées ont enregistré une perte de 8%. Un
deuxième constat important était que les marchés évaluent réellement la valeur de l’action
après 10 ou 15 jours en fonction de la réaction
de l’entreprise à la crise
L’interruption complète ou partielle des processus peut en outre avoir des conséquences
néfastes aussi bien sur la situation financière
que sur la position de l’entreprise sur le marché. Les clients n’attendent pas et chercheront
d’autres alternatives. L’interdépendance des
entreprises dans la chaîne d’approvisionnement signifie que si un fournisseur fait défaut,
la continuité de l’acheteur est également en
péril. Les dommages aux processus de production ou d’exportation sont généralement
source de coûts importants liés notamment aux
retards de livraison. Les coûts (liés aux risques)
imprévus peuvent, à leur tour, affecter les liquidités de l’entreprise. Pensons aux situations
où des heures supplémentaires doivent être
prestées, aux coûts de management, aux coûts
de réparation, aux amendes, aux coûts d’assurance croissants ou aux coûts juridiques.
Une crise a, dès le départ, un
impact négatif sur la valeur de
l’action
IMPACT ON SHAREHOLDER VALUE
20
Cumulative abnormal results (%)
ie. change in market cap adjusted for market movement
15
After initial reflex (10 days),
market begins to assess
company’s response.
10
+ 7%
5
EFFECTIVE CRISIS RESPONSE
0
INEFFECTIVE CRISIS RESPONSE
-5
- 15%
-10
-15
-20
25
50
75
100
125
150
175
200
225
Trading days after the event
Source : ‘Protecting Value in the Face of Mass Fatality Events’, www.oxfordmetrica.com
GESTION DES RISQUES
FEB
85
Impact des médias et détérioration
de l’image
Si, au cours d’une crise, vous négligez vos relations avec les médias, fournissez des informations
lacunaires ou erronées ou vous entêtez à refuser
de communiquer, vous vous exposez à de sérieux
problèmes. Dans ce cas, les journalistes vont euxmêmes chercher des informations (pas nécessairement les plus exactes) et l’entreprise perd
tout contrôle de la communication avec le public.
Une attitude ouverte, transparente et correcte
à l’égard des médias et du public est souvent la
meilleure tactique dans ces circonstances.
Les dommages à la réputation d’une entreprise
que peut occasionner une crise peuvent difficilement être sous-estimés. Lorsque la méfiance
publique
2 APPROCHE ET
PRINCIPES DE LA
GESTION DE CRISE 1
La manière de gérer une crise dépend de divers
facteurs et est tributaire du contexte dans lequel
l’incident se produit et de la faculté d’apprentissage de l’entreprise ou de l’organisation.
Les éléments ayant un impact sur la manière
dont vous pouvez maîtriser la crise sont :
Contraintes de temps : quelle est la gravité
de la situation ? Combien de temps avezvous ou vous donne-t-on ?
Différence et position de pouvoir : une partie
peut-être déterminer le comportement de
l’autre ? Y a-t-il un ou plusieurs centres de
pouvoir ou des conflits d’intérêts ? Dans
quelle mesure quelqu’un se cramponne-t-il à
sa position ?
1
Escalade : jusqu’où est montée la tension ?
Les parties sont-elles encore en mesure
d’analyser les problèmes ensemble et d’appréhender le conflit de manière objective ?
Dépendance de la fonction : dans quelle
mesure les personnes, les départements ou
les divisions opérationnelles sont-ils interdépendants ?
Réglementation présente : y a-t-il des règles
et des procédures internes ou externes dont
il faut tenir compte ?
Identification : dans quelle mesure les
collaborateurs s’identifient-ils à l’organisation ? Quel est leur niveau (élevé ou faible)
d’implication ?
Faculté de réflexion : la direction et les collaborateurs sont-ils en mesure de procéder
à un examen critique du fonctionnement de
l’organisation et de leur propre rôle en son
sein ?
Compétences et qualifications : les compétences requises sont-elles présentes pour
analyser les problèmes complexes et en avoir
une bonne compréhension ?
…
La manière de gérer une crise
dépend du contexte et de la
faculté d’apprentissage de
l’entreprise
Quoi qu’il en soit, une entreprise doit axer sa
gestion de crise sur trois principes : rapidité,
durabilité et responsabilité. Il vous appartient
de définir les priorités les plus adéquates en
fonction de la situation. Pour ce faire, il faut
notamment se poser les questions suivantes :
Quel est l’impact de la mesure sur la rentabilité ?
Quels sont les coûts/investissements
découlant de la mesure ?
Drs. H.C. van Eyck van Heslinga, ‘Hands-on crisismanagement’, Berenschot Iterim Management/Kluwer, 2002, pp. 18-19
86
FEB GESTION DES RISQUES
Quelle est la période couverte par la
mesure ?
Quelle est la durabilité de son effet ?
Quel est le risque d’échec ?
Qu’est-ce que cela implique pour les collaborateurs ?
Quels sont les effets secondaires d’une
mesure ?
…
3 VERS UNE GESTION DE
CRISE RÉUSSIE
Gestion de crise et Business Continuity Planning (BCP) peuvent être sous-divisés en six
phases.
Début
de l’incident
100
Rétablissement
complet
Gestion de crise et BCP
MESURES PRÉVENTIVES
PRÉPARATION BCP
Incident sous
contrôle
Début du
rétablissement
ÉVALUATION DE LA CRISE
Opérationnalité
Début de
l’intervention
Mise en
sécurité
des valeurs
Lutte contre
l’incident
Détection
Vérification
Protection
des activités
Rapportage
Évaluation de la
situation
Reprise
des activités
0
T0
T1
T2
Temps
T3
T4
Avec actions
PHASE 1 : préparation
La préparation d’un Business Continuity Plan
comprend une phase théorique consistant à
élaborer un profil de risque qui définit la straté-
Sans actions
gie et les procédures concrètes à suivre. Dans
la seconde phase, pratique, elles sont mises
en œuvre, testées, évaluées et le cas échéant
adaptées.
GESTION DES RISQUES
FEB
87
PHASE 2 : détection, vérification et
rapportage
Il faut tout d’abord identifier le ‘problème’.
Le règlement de problèmes ou d’une situation
anormale pouvant entraîner des dommages
relève des activités normales des services
compétents. Si le problème ne peut être résolu
à court terme, il devient un ‘incident’. Dans
ce cas, cela dépasse le cadre de la réactivité
normale de l’entreprise et de la responsabilité
individuelle des départements concernés. Une
approche coordonnée sera probablement
la seule réponse adéquate. Si l’incident est
difficile à maîtriser ou ne peut l’être à l’aide des
moyens prévus et appliqués, il se transforme
en crise. Il est recommandé de déterminer au
préalable à partir de quel stade (quelle gravité)
l’équipe de gestion de crise prend la direction
des opérations. Dans cette phase, l’entreprise
convoque l’équipe de gestion de crise.
En cas de crise très grave, le Business Continuity Plan est activé, de même que tous les
organes et procédures prévus à cet effet.
PHASE 3 : mise en sécurité des
valeurs, lutte contre l’incident et
protection des activités
Après avoir constaté la crise et ses premières
conséquences, l’entreprise doit agir rapidement et de manière réfléchie. La première
priorité consiste à limiter les dégâts.
Au moment de la crise, une organisation a
surtout besoin d’un leadership solide. L’organisation doit, dans les plus brefs délais, passer
de son mode de fonctionnement normal à une
situation de ‘gestion exceptionnelle’. C’est
l’équipe de gestion de crise qui prend les
rênes.
Les valeurs de l’entreprise et les convictions
de ses dirigeants sont déterminantes pour
88
FEB GESTION DES RISQUES
l’effectivité de la réaction à une crise. Les
actions découlant d’une notion commune des
valeurs de l’entreprise lient tous ses membres à
l’objectif visé par les actions entreprises. C’est
grâce à une telle réaction et à un tel suivi que
l’entreprise et sa direction peuvent sortir de la
crise fortes d’une image et d’une réputation
meilleures.
La phase 3 peut être clôturée dès que la situation est jugée ‘sous contrôle’. Elle débouche
alors sur un contrôle et un suivi permanents,
associés à l’adaptation et la mise en œuvre de
diverses mesures.
Les valeurs de l’entreprise
sont déterminantes pour
la gestion de la crise
PHASE 4 : évaluation de la situation
Ce processus itératif relie les phases 3 et 5. Ce
qui le caractérise, c’est le contrôle et le suivi
permanents des mesures et décisions prises.
L’accent est essentiellement mis ici sur leur
impact sur l’évolution de la crise et, plus particulièrement, sur le rétablissement attendu
PHASE 5 : reprise des activités
Pour pouvoir reprendre rapidement ses
activités, l’entreprise tente ici de garantir la
continuité de sa gestion et de revenir le plus
rapidement possible à une gestion et à des
procédures normales.
Si les mesures adoptées produisent de l’effet,
l’entreprise peut reprendre ses activités normales. Progressivement, les activités sont réintégrées dans la gestion normale de l’entreprise
et l’équipe de gestion de crise rend la gestion
journalière aux responsables de l’entreprise.
Dès que la situation est complètement rétablie, la mission de l’équipe de gestion de crise
est terminée. Il ne lui reste plus qu’à procéder
à une évaluation et, si nécessaire, à prendre
les mesures qui s’imposent en vue de prévenir
d’autres incidents ou crises similaires.
PHASE 6 : évaluation de la crise
Chaque crise est clôturée par une évaluation,
en vue de tirer les leçons de :
l’apparition de la crise;
la manière dont elle a été gérée : l’impact et
les conséquences des décisions et mesures
prises;
la valeur des mesures proactives et préventives;
…
Ces informations et connaissances permettent
de peaufiner le plan de crise et d’adapter les
mesures préventives et proactives.
GUIDE PRATIQUE
Ce chapitre est basé sur les informations de
la brochure ‘Gestion de crise. Guide pratique’
de Paul Robrechts et Jeroen Wils, publiée
en juin 2015 par la FEB. Cette publication a
pour objet de vous familiariser avec certaines
notions de la gestion de risque et d’amorcer
une prise de conscience des risques dans
votre entreprise. Outre la gestion des risques,
les deux spécialistes se penchent largement
sur la gestion de crise proprement dite et
sur le Business Continuity Planning. Enfin, la
brochure énumère dix facteurs de réussite qui
sont essentiels pour maîtriser une crise.
Vous pouvez télécharger gratuitement la
brochure sur www.feb.be > Publications >
Publications gratuites.
GESTION DES RISQUES
FEB
89
CONCLUSION
Les risques et les crises ont toujours existé.
Pour preuve, la récente crise financière et du
crédit, les scandales comptables, les préjudices portés à la réputation par la pollution,
les cyberattaques visant les entreprises et les
grandes organisations. Ou plus récemment,
la manipulation des logiciels dans le secteur
automobile.
En raison de leur dimension (souvent internationale) et de leur impact considérable
sur le fonctionnement des entreprises et des
organisations – et donc sur le tissu économique du pays – les risques actuels (et les
crises correspondantes) sont d’un tout autre
ordre de grandeur que ceux de la fin du siècle
dernier. De plus, la rapidité des évolutions
technologiques crée un nouveau risque, celui
des technologies disruptives (‘disruptive
technological changes’). Celles-ci transforment
complètement le marché et peuvent rendre un
service ou produit rapidement obsolète.
Il n’est donc pas étonnant que la maîtrise des
risques fasse partie des priorités économiques
(et politiques). Un exemple très récent est
l’approche internationale coordonnée des
constructions fiscales, à l’initiative du G20 et
de l’OCDE, dans le cadre du ‘BEPS’ (Base
Erosion and Profit Shifting) et la grande attention médiatique réservée à ce thème.
Prise de conscience des risques
croissants
Il ressort de notre sondage mené auprès de
quelques centaines d’entreprises que les
grandes entreprises sont généralement les
plus confrontées aux risques. À l’exception
des risques de financement (stratégiques et
opérationnels) qui affectent plus souvent les
moyennes entreprises.
Ce sondage montre aussi que plus d’une
entreprise sur trois trouve que les risques
auxquels elle est confrontée ont augmenté.
10% des entreprises indiquent aussi qu’elles
maîtrisent moins bien ces risques qu’autrefois.
La prise de conscience de ces risques accrus,
tant dans l’entreprise que dans la société en
général, a stimulé l’appel à être plus attentif
à la gestion de risque. Mais plutôt que de
considérer ces risques uniquement comme
des difficultés et des problèmes, voyons les
possibilités qu’ils offrent.
Chaque activité crée un risque, mais également
une opportunité pour les entreprises innovantes et créatives, qui transforment la menace
en opportunité et renforcent ainsi leur position
concurrentielle ou explorent de nouveaux marchés. L’e-commerce et la numérisation sont des
exemples typiques. Ils modifient certes le commerce traditionnel, mais génèrent aussi des
sous-secteurs innovants, tels que le webdesign,
l’impression 3D, l’e-marketing. Ou encore, le
crowdfunding comme réponse innovante au
manque de capitaux à risque.
La gestion des risques ne consiste pas tellement à les éliminer, mais bien à les reconnaître
et à chercher des méthodes appropriées pour
les rendre maîtrisables. Plus encore, le réflexe
du risque doit être inscrit dans la culture de
l’entreprise (qu’elle soit grande ou petite,
active au niveau local ou international) et dans
toutes ses divisions. La direction doit susciter
la discussion sur les risques au lieu de balayer
les incertitudes ou les signaux d’échec.
Grâce à cette brochure pratique, nous voulons
aider à identifier les risques (qui sont un
‘fait de la vie’) dans votre entreprise et à les
convertir autant que possible en opportunités.
GESTION DES RISQUES
FEB
91
92
FEB GESTION DES RISQUES
LA FEB ET SES MEMBRES
Antwerp World
Diamond Center
Creamoda
Association
belge des centres
de contact
Association des fabricants
de pâtes, papiers et
cartons de Belgique
Fédération
belge de la brique
Fédération belge de
l’industrie de l’automobile
et du cycle
Fédération belge
des industries
chimiques et des
sciences de la vie
Fédération belge
des industries
graphiques
Fédération
de l’industrie
cimentière belge
Fédération
de l’industrie du
béton
Fédération d’employeurs
pour le commerce international,
le transport et la logistique
Fédération des
entreprises du gestion
de l’environnement
Fédération belge
du commerce et
des services
Fédération de l’industrie
du textile, du bois
et de l’ameublement
Cigarette
Manufacturers
of Belgium and
Luxembourg
Confédération
Construction
Fédération belge
des entreprises
électriques et gazières
Fédération des
gestionnaires de réseaux
d’électricité et de gaz
Fédération
belge du secteur
financier
Fédération
de l’industrie
alimentaire
Fédération
de l’industrie
du verre
Fédération
de l’industrie
technologique
Fédération de
l’industrie extractive
et transformatrice
de Belgique
Fédération des industries
transformatrices de
papier et de carton
Fédération
pétrolière belge
Fédération Royale Belge
des transporteurs et des
prestataires de services
logistiques
Groupement
de la sidérurgie
Organisation des bureaux
d’ingénieurs-conseils,
d’ingénierie et
de consultance
Union des secrétariats sociaux
Union générale
belge du
nettoyage
Fédération
des prestataires
de services RH
FEBUCO
Federation
of business
consultants
Fédération patronale
des ports belges
Mobility retail
and technical distribution
Union professionnelle
de courtiers d’assurance
Union professionnelle
des entreprises
d’assurances
Union royale
des armateurs belges
Voucher Issuers
Association
GESTION DES RISQUES
Les risques et les crises ont toujours existé. Pour preuve, la récente crise financière
et du crédit, les scandales comptables, les préjudices portés à la réputation par la
pollution, les cyberattaques visant les entreprises et les grandes organisations. Ou
plus récemment, la manipulation des logiciels dans le secteur automobile.
En raison de leur dimension (souvent internationale) et de leur impact considérable
sur le fonctionnement des entreprises et des organisations – et donc sur le tissu
économique du pays –, les risques actuels (et les crises correspondantes) sont d’un
tout autre ordre de grandeur que ceux de la fin du siècle dernier. Et la maîtrise des
risques fait partie des priorités économiques (et politiques).
La prise de conscience de ces risques accrus, tant dans l’entreprise que dans la
société en général, a stimulé l’appel à être plus attentif à la gestion de risque. Mais
plutôt que de n’y voir que les difficultés et les problèmes qui en découlent, voyons
comment gérer ces risques et les utiliser à notre avantage.
Car chaque activité crée un risque, mais également une opportunité. La gestion
des risques ne consiste pas tellement à les éliminer, mais bien à les reconnaître et
à chercher des méthodes appropriées pour les rendre maîtrisables. Plus encore, le
réflexe du risque doit être inscrit dans la culture de l’entreprise.
Dans cette brochure, rédigée par les experts de la FEB, de BDO et d’ING, nous
abordons de manière intelligible les principaux aspects d’une bonne politique de
risque. Des témoignages issus de la pratique rendent la ‘théorie’ tangible.
Avec cette brochure pratique, nous voulons aider à identifier les risques (qui sont un
‘fait de la vie’) et à les convertir autant que possible en opportunités.
La Fédération des entreprises de Belgique est le porte-parole
d’une cinquantaine de fédérations professionnelles sectorielles,
qui représentent au total plus de 50.000 entreprises, dont
41.000 PME. À ce titre, la FEB est la plus grande organisation
interprofessionnelle de notre pays et sa représentativité peut être
évaluée à 75% de l’emploi dans le secteur privé. www.feb.be