20 / 56
les scénarios les plus probables comme les scénarios majorants. Ce qui
suppose une connaissance en profondeur de l'entreprise pour arriver
à bien poser la problématique de la quantification recherchée. Bien
formuler une question est déjà la résoudre à moitié ! Il doit aussi savoir
dans quels scénarios son entreprise doit se reconnaître. Enfin, il lui faut
des connaissances financières suffisantes pour apprécier les impacts
directs sur les chaînes de valeur de l'entreprise, leur traduction en perte
comme dans les comptes de résultat et dans le bilan
David Dubois met cependant en garde les Risk Managers à ne pas s’oc-
troyer le rôle qui n’est pas le leur dans la mise en place du processus.
La quantification aide à faire passer des messages mais il n’est pas
nécessaire que la quantification soit intégrée dans la responsabilité du
Risk Manager. Il ne peut pas être juge et partie. Il lui faut vraiment cette
capacité à comprendre ce qui a été fait, à pouvoir discuter avec ceux
qui ont quantifié, à pouvoir challenger les modèles utilisés. Et critiquer
- dans le sens positif du terme - une quantification. Le Risk Manager
doit être un expert communiquant : il aide aussi ceux qui quantifient à
prendre conscience de ce qu’ils font, à ne pas oublier un élément impor-
tant ou bien encore à prendre le recul suffisant. De ce fait, cet échange
entre Risk Manager et quantificateur est vital
BF6LD 3 ? 7:46D
Buant aux bénéfices d¬une telle démarche ils sont nombreux à condi-
tion comme le rappelle Françoise Gaucher, de ne pas considérer que
c¬est une fin en soi
C’est un éclairage complémentaire de la feuille
de route qui présente la trajectoire attendue de l’entreprise sous l’angle
financier et business. L’identification et la quantification des risques
donne de la visibilité supplémentaire aux hypothèses faites dans la valo-
risation de cette trajectoire, en mettant en exergue celles qui comportent
des incertitudes dont on ne pourra pas assurer la maîtrise ni même une
influence dessus (par le biais de lobbying par exemple…). La quanti-
fication doit montrer l’immédiat, mais aussi bien sûr le court terme et
le long terme. Elle aide à se doter d’éléments pour renforcer éventuel-
lement les dispositifs de maîtrise interne des risques (investissements
de sécurité, systèmes d’alerte dès qu’un seuil est atteint…). Mais il ne
faut pas demander l’impossible aux chiffres. Nous sommes tous atteint
de la maladie de l’“Excelité” (usage abusif des tableaux Excel). Or si les
résultats du tableur sont parfois rassurants, il faut les challenger avec
les experts et les sachants. Il est nécessaire de boucler les chiffres de la
quantification avec les dires d’expert
Gis!le Ducrot va pour sa part un peu plus loin vohant la quantifica-
tion comme un facteur de cohésion au sein de l’entreprise dans un
contexte où le développement des entreprises est lié à l’exposition
à de nouveaux risques qui sont également des opportunités
La
quantification permet de mettre tout le monde autour de la table sur
une base de lecture commune et de donner à l’organisation les clés
de la gestion de ses risques. Sur le risque cyber par exemple, le COMEX
intègre mieux les expositions liées aux développements stratégiques, la
direction financière a une vision réaliste de ses expositions, le DSI celle
de l'impact technique mais également de l'opérationnel et du finan-
cier d’une interruption du SI et peut ainsi prioriser ses investissements
de sécurisation, la RH que la non suppression des adresses email, lors-
qu’un collaborateur s’en va, peut engendrer une vulnérabilité. Surtout,
la quantification permet au Risk Manager, qui joue un rôle central
dans cette approche, de disposer de données factuelles afin d’aider
l’ensemble des directions dans l’anticipation et le pilotage des risques
et d’en optimiser le financement, en interne et vis-à-vis du marché de
l’assurance
DE LA QUANTIFICATION DES RISQUES
À LA MODÉLISATION DU DÉVELOPPEMENT
DE LA LONGÉVITÉ
Avant m"me d¬"tre utilisée par les entreprises la mesure
des risques est aussi un obYet de recherche Stéphane Loisel
professeur à l¬ISFA Fniversité Lhon r est porteur du proYet
LoLitA (Dynamic Population Models for Human Longevity with
Lifesthle AdYustments Fn programme sur u ans qui a pour
obYectif de proposer une modélisation du développement
incertain de la longévité humaine à long terme, ainsi que des
méthodes de gestion des risques associés à la longévité dans les
domaines des retraites, de l’assurance-vie et des risques santé
de long terme (dépendance).
L¬un des suYets sur lesquels travaille l¬équipe est l¬accélération
de l¬allongement de la durée de vie Elle a obligé la mise à Your
des tables de mortalité et a des conséquences directes sur les
produits assurantiels. Avec cette question : comment détecter
un changement de tendance suffisamment t+t sans trop de
fausses alarmes
Pour Stéphane Loisel le trait d¬union entre son suYet de
recherche et la gestion des risques, c’est le problème de
détection de rupture
Les méthodes de détection de rupture
existent depuis longtemps car, dans la gestion des risques, une
entreprise doit être capable de détecter suffisamment vite un
changement qui peut menacer ses performances. Pour cela, elle
définit des KRI (Key Risk Indicators) et des KPI (Key performance
Indicators). Les KRI vont être complétés par les signaux faibles, qui
sont la plupart du temps qualitatifs, et qui vont provenir à la fois
de l'intérieur et de l’extérieur de l'entreprise. Cela va permettre
d’objectiver statistiquement une déviation, de déceler rapidement
la survenance d’une rupture sans trop de fausses alarmes. Le
plus difficile va être de combiner les aspects quantitatifs avec
les signaux faibles qualitatifs, en particulier pour les risques
stratégiques. C’est toute l'intelligence du Risk Manager et des
systèmes de gestion des risques de l'entreprise qui va permettre de
combiner l’ensemble de ces informations
ATOUT RISK MANAGER, LA REVUE DE L’AMRAE
I N°5 I
JUIN 2015
20
DOSSIER
LA QUANTIFICATION DES RISQUES