ATOUT RISK MANAGER N°30

ATOUT RISK MANAGER N°30 I AUTOMNE 2021 48 Veille et position En matière d’appétence aux risques, il y a clairement deux mondes. Celui, réglementé, des banques et assurances, où les choses sont posées sans matière à discussion. Et puis celui des « autres » organisations, entreprises, associations, collectivités, etc., où chacun est libre de définir, ou non, les limites de son risque, et de l’inscrire, ou pas, dans une politique officielle d’appétence aux risques. « Le Risk Manager n’a rien inventé : le sujet de l’appétence aux risques est depuis toujours au cœur de la stratégie des entreprises. Sa formulation, en revanche, est une pratique assez nouvelle, loin d’être courante, même si la définition, par l’entreprise, des seuils d’impact de sa cartographie des risques est déjà, en soi, révélatrice de son niveau d’appétit aux risques », explique Anne Piot d’Abzac, directrice des risques du Groupe Ipsen Pharma et Vice- présidente et Secrétaire général de l’AMRAE. Des niveaux de maturité très variables Sur le terrain, les pratiques sont extrêmement diverses. Elles dépendent de la taille de l’entreprise, de son secteur, de son histoire, mais aussi bien sûr de sa culture du risque comme du tempérament de ses dirigeants et de ses actionnaires. « Tout le monde pense à sa limite de risque, mais rares sont ceux qui la formalisent. C’est l’un des points centraux du référentiel COSO, mais il n’est pas souvent mis en œuvre », déplore Philippe Noirot, directeur adjoint du management des risques d’ Orange, administrateur de l’AMRAE qui a coordonné le groupe de travail de l’Association sur le sujet. De manière générale, les entreprises françaises sont loin des pratiques anglo-saxonnes. « Beaucoup d’organisations américaines ont établi leur "risk appetite statement" alors qu’en France s’il est quelquefois défini, l’appétit aux risques n’est en général ni formalisé, ni centralisé. On peut dire que la maturité semble assez faible … », complète Gérard Payen, autre administrateur de l’AMRAE également membre du groupe de travail « risk appetite ». Par exemple ? Si la plupart des entreprises de transport et logistique ont une vision très claire et une bonne maîtrise des risques liés à la sécurité routière - et une très faible appétence aux risques sur la sécurité des personnes ! - aucune ne semble avoir travaillé à un document posant ses règles en la matière. Lorsque l’appétence est formalisée, elle traite rarement de l’ensemble de la palette des risques : au-delà des risques financiers et opérationnels, elle devrait inclure aussi les risques sociaux, sociétaux, environnementaux, cyber, de réputation, etc. « Beaucoup d’entreprises éludent des sujets comme leur réputation, les risques humains, le désengagement ou le mal- être de leurs collaborateurs : parce qu’ils sont délicats et qu’elles ont en général beaucoup de difficultés à chiffrer leurs risques dans ces domaines », estime Bénédicte Huot de Luze, fondatrice de AI Risk Services et administratrice de plusieurs PME et ETI. Néanmoins, certains groupes ont beaucoup travaillé le sujet : plusieurs exemples en sont donnés dans le document qui vient d’être publié par l’AMRAE. « Au sein du groupe Orange, lors d’une réflexion préparatoire au sein de l’équipe risque, nous avons abouti à 5 niveaux d’appétence et huit catégories de risques pour L’appétence aux risques en quête de formalisation Par Cécile Desjardins Rares sont aujourd’hui les entreprises françaises qui sont parvenues à formuler leur appétence aux risques. A fortiori à la chiffrer et à la faire valider par leurs instances dirigeantes. Si les avantages d’une telle démarche sont nombreux, il reste aujourd’hui des freins importants, notamment culturels, à la mise en place de la démarche. « La formulation de l’appétence aux risques, est une pratique assez nouvelle loin d’être courante. » Anne Piot d’Abzac, Vice-présidente et Secrétaire général de l’AMRAE, directrice des risques du Groupe Ipsen Pharma Bénédicte Huot de Luze, fondatrice d’AI Risk Services

RkJQdWJsaXNoZXIy NjQyNDQw