Thierry Durand

De la Gestion Opérationnelle du Risque à la Gestion des Risques Opérationnels.

Thierry Durand
Par Thierry Durand, Responsable du pôle Audit et Conseil du Groupe NES

 

Le risque stratégique tire la croissance

Toute action, toute décision comporte un risque, le risque de gagner ! Est-il à contrario possible de gagner sans prendre de risques ?

Le risque n’est plus un mot ‘tabou’. La « prise de risques » tire la croissance, elle est vitale lorsqu’il s’agit de risques « stratégiques » choisis, liés aux orientations de l’entreprise, de ses produits, de son développement. Elle est gouvernée par un subtil équilibre entre appétence et capacité.

La gestion opérationnelle du risque garantit alors contre une prise de risque inconsidérée, une prise de risque au-delà de la capacité à l’assumer. Suivre et réévaluer en permanence chaque risque pour s’assurer qu’il n’engage pas au-delà de la capacité mesurée, mais aussi pour identifier l’appétence résiduelle libérée par un risque ‘affaibli’ et l’employer au plus vite à de nouvelles prises de risques, c’est là le ‘quotidien obligé’ de tout système de management de la croissance.


Le risque opérationnel paralyse l’activité

Conduire une action suppose la mise en œuvre d’outils et de moyens. A leur tour, ces outils, ces moyens sont autant de sources de risques additionnels, notamment du fait de leur manque de fiabilité, par un mauvais usage ou par détournement de leur finalité. Ces risques « opérationnels » ne sont pas choisis mais subits ! Ils ne rapportent rien et peuvent couter très cher. Ils étouffent l’entreprise en paralysant son activité.

Encombrée de ces risques opérationnels, l’action engagée pour accompagner la croissance porte en son sein son propre poison ! C’est de ce paradoxe qu’émerge la nécessaire gestion des risques opérationnels.

Eradication, protection, surveillance, réaction, prévention, transfert, ces mots décrivent par le menu le paysage familier du gestionnaire des risques. Mais si ces risques peuvent, hypothétiquement, coûter très cher, leur traitement, lui, à toujours un coût, et qui peut être très élevé. C’est bien là le second paradoxe : la gestion des risques opérationnels s’accompagne elle-même de nouveaux risques opérationnels, et non des moindre !
Une organisation pour répondre à 3 questions

Gérer les risques opérationnels suppose une organisation et une démarche pragmatique pour répondre à trois questions simples : quoi faire, dans quel ordre, comment en vérifier l’efficience ?

Comme pour toute démarche permanente, notamment en matière de qualité, d’environnement et de sécurité, l’organisation repose sur un système de management, en charge de l’animation de la démarche, du suivi des actions et du pilotage des choix et les renoncements, associé à des acteurs de terrain qui identifient les risques, participent à leur appréciation et conçoivent des actions priorisées de prévention, de protection, d’éradication ou de transfert.

Certains organismes sont soumis à des contraintes réglementaires ou légales qui leur imposent un inventaire quasi complet des risques opérationnels identifiables… ceux-là opteront pour une approche méthodique détaillée comme en proposent notamment EBIOS, ISO 27005 ou MEHARI.

D’autres, qui n’ont pas ces contraintes réglementaires ou légales, verront dans ces méthodes une analyse complexe, trop lourde et trop couteuse : traiter le dixième des risques qu’elles identifient est un seuil déjà hors de portée d’une majorité d’entreprises, qui leur préfèrent une démarche simple, rapide et pragmatique.

« Pragmatisme », le mot est lâché !  Le ‘possible’ n’a d’intérêt que s’il est ‘probable’, et le ‘probable’ n’est étudié que s’il s’est déjà produit quelque part et que ses effets sont couteux à court terme !

Voilà pourquoi de plus en plus d’entreprises se tournent aujourd’hui vers un des enseignements de « l’oncle Sam » : l’analyse de l’impact sur l’activité est plus utile à la gestion d’un risque opérationnel que la mesure intrinsèque de sa criticité.

TAGS ASSOCIÉS