ATOUT RISK MANAGER N°30

ATOUT RISK MANAGER N°30 I AUTOMNE 2021 53 Veille et position HUIT QUESTIONS À SE POSER POUR APPRÉCIER SAMATURITÉ 1. Des analyses de risques sont-elles réalisées et prises en compte dans l’élaboration de la stratégie ou des plans à moyen terme? 2. Si oui, ces analyses sont-elles déclinées selon plusieurs scénarios? Par exemple : un scénario «raisonnablement pessimiste», un scénario «noir» (ou scénario «du pire»), et un scénario «disruptif». 3. Les dirigeants statuent-ils sur l’acceptabilité des risques majeurs au regard de la capacité de risque de l’entreprise? 4. Des analyses de risques indépendantes sont-elles fournies aux instances décisionnelles? 5. L’équilibre risques / opportunités / capacité de financement est-il abordé lors des instances décisionnelles? 6. Les risques sont-ils traités avec l’attention nécessaire lors des revues de performance? 7. Les dérives des indicateurs par rapport aux limites acceptables sont-elles explicitées lors des revues de performance? 8. Les risques sont-ils un sujet habituel dans le dialogue managérial en général? Source : «Accompagner son entreprise dans la définition de son appétence aux risques», Guide pratique pour les Risk Managers, AMRAE / PwC, septembre 2021 C inq ans après la publication de l’IFA (voir encadré page 51), l’AMRAE s’est elle aussi penchée sur le sujet de l’appétence aux risques, à travers un «Guide Pratique», publié en collaboration avec le cabinet d’audit et conseil PwC. Sur une trentaine de pages, « Accompagner son entreprise dans la définition de son appétence aux risques » revient tout d’abord sur la définition, ou plutôt « les » définitions, de l’appétence aux risques, puis sur l’importance de communiquer et diffuser cette dernière. Enfin, quelques exemples – anonymes mais « issus desmeilleures pratiques actuelles de RiskManagersmembres de l’Association » – permettent d’illustrer la doctrine. Une démarche complexe mais nécessaire On en retiendra tout d’abord l’importance, voire la nécessité, de penser son appétence aux risques. Tout d’abord pour permettre à l’entreprise « d’examiner l’ensemble de ses risques au regard de l’opportunité de création de valeur (qu’elle soit financière ou non) », mais aussi pour « s’aligner avec ses parties prenantes internes sur la stratégie de prise de risque » et enfin pour « communiquer vis-à-vis de ses parties prenantes externes ». La difficulté de l’exercice n’est pas occultée : « Formuler l’appétence aux risques de l’entreprise est un exercice complexe et qui nécessite de prendre en compte les valeurs, les ressources, la culture, la stratégie de l’entreprise, et le contexte réglementaire », indique ainsi le document. Mais, heureusement, de nombreuses pistes et solutions sont proposées. Tout d’abord pour définir son appétence aux risques et définir une échelle d’impacts en cohérence avec cette dernière. « Certains risques critiques nécessaires à la réalisation de la stratégie de l’entreprise seront acceptés bien que restant élevés malgré les mesures prises. On peut par exemple citer le risque lié à la cybercriminalité, risque externe pour lequel l’entreprise ne dispose pas de tous les leviers de maîtrise, corollaire des stratégies actuelles de digitalisation des processus ou des offres », explique ainsi le Guide, qui donne également des pistes pour définir ses « risques non négociables ou inacceptables ». On pourra ainsi s’appuyer sur la cartographie des risques ou analyser « les prises de position internes et publiques de l’entreprise et de ses dirigeants sur les risques (ex : zéro tolérance à la corruption) ». Qualifier ou quantifier Des propositions, aussi, pour quantifier son appétence aux risques, dumoins pour «certains domaines de risques ». Parmi eux, les risques financiers (taux de change, marchés, ou matières premières) où l’appétence s’exprime « en termes de pertes financières acceptables au regard des gains attendus, du coût de la couverture et de la capacité de risque de l’entreprise ». Dans le cadre du développement de nouvelles activités ou de nouveaux produits, on parlera « en termes de pertes financières acceptables au regard des gains attendus et de la capacité de risque de l’entreprise ». Le guide préconise aussi de chiffrer d’autres risques comme la non-qualité des produits (en taux de rebut) ou, quand le risque est « difficilement quantifiable » (comme dans le cas de l’indisponibilité de ressources ou de fonctions essentielles à la survie de l’entreprise), de « formuler sonappétenceaux risquesen inscrivant dans ses politiques une exigence en matière de continuité d’activité, incluant la priorisation de l’accès aux ressources (et par exemple un plan de succession ou un plan d’assurance prévoyance dite «homme-clé ») ». Quels que soient la taille et le secteur de l’entreprise,oncomprendvitequ’« accompagner sonentreprisedansladéfinitiondesonappétence aux risques » constitue un vrai défi pour le Risk manager et les parties prenantes internes - notamment les responsables des trois lignes demaîtrise, les dirigeants et les administrateurs. Mais le jeu en vaut la chandelle : c’est la voie d’une véritable amélioration du contrôle des risques comme de la gouvernance de l’organisation. n Un nouveau document de l’AMRAE pour lancer le sujet de l’appétence aux risques dans son entreprise Le récent «Guide Pratique» publié par l’AMRAE répond à trois questions essentielles : qu’est-ce que l’appétence aux risques pour les entreprises (hors banques et assurances)? Comment est-elle définie et diffusée? Comment le Risk Manager peut-il accompagner son entreprise dans la définition et la diffusion de son appétence aux risques? Ce document est destiné aux entreprises de l’industrie et des services et ne couvre pas les secteurs réglementés de la banque et de l’assurance. Guidepratiquepour lesRiskManagers ACCOMPAGNER VOTRE ENTREPRISE DANS LA DÉFINITION DE SON APPÉTENCE AUX RISQUES