MANAGEMENT DES RISQUES DE L'ENTREPRISE : NE PRENEZ PAS LE

RISQUE DE NE PAS LE FAIRE !

Eustache Ebondo Wa Mandzila et Daniel Zéghal

Direction et Gestion | « La Revue des Sciences de Gestion »

2009/3 n° 237-238 | pages 5 à 14

ISSN 1160-7742
Article disponible en ligne à l'adresse :
--------------------------------------------------------------------------------------------------------------------
https://www.cairn.info/revue-des-sciences-de-gestion-2009-3-page-5.htm
--------------------------------------------------------------------------------------------------------------------
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion

Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion

Distribution électronique Cairn.info pour Direction et Gestion.
© Direction et Gestion. Tous droits réservés pour tous pays.

La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les
limites des conditions générales d'utilisation du site ou, le cas échéant, des conditions générales de la
licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie,
sous quelque forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de
l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est précisé que son stockage
dans une base de données est également interdit.

Powered by TCPDF (www.tcpdf.org)

 La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie
Management des risques de l’entreprise :
Ne prenez pas le risque de ne pas le faire !
par Eustache Ebondo Wa Mandzila et Daniel Zéghal
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
Eustache EBONDO WA MANDZILA
Professeur,
Euromed Marseille Ecole de Management
(France)
Daniel ZÉGHAL
Professeur titulaire, École de gestion, Université
d’Ottawa, Directeur exécutif, CGA, centre de
recherche en comptabilité, Université d’Ottawa
(Canada)
mai-août 2009
17
Innovations managériales
T
out le monde s’accorde pour affirmer que les entreprises
évoluent dans un environnement de plus en plus incertain, de
plus en plus mouvant. En effet, la mondialisation, avec son
corollaire, la complexification des activités et des réglementations,
a rendu floues les frontières entre l’entreprise et ses sous-traitants.
Les fusions-acquisitions-cessions ont accentué cette impression
d’instabilité quasi générale. Les anciens modèles organisation-
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
nels ne correspondent plus aux enjeux actuels. L’entreprise doit
faire face à l’émergence des risques de plus en plus nombreux
et diversifiés. Selon U. Beck (2001 ; 1986) U. Beck, A. Giddens
et S. Lash (1994) nous sommes rentrés dans la société ou dans
l’ère du risque. Face à cet environnement de « moins en moins
prévisible et de plus en plus agressif », susceptible de compro-
mettre l’atteinte des objectifs des entreprises, il devient urgent
pour toutes les organisations de mettre en place un dispositif
de management des risques1 consistant à identifier, évaluer et
gérer les risques aussi bien réels que potentiels.
L’objectif de cet article est de présenter le concept et la pratique du
management des risques de l’entreprise avec pour souci d’attirer
l’attention du lecteur, plus précisément du dirigeant, quant aux
avantages et bénéfices qu’il peut en tirer. Les concepts, la trame
et sa mise en œuvre seront expliqués. Les raisons de l’introduc-
tion de l’approche du Management des risques de l’entreprise
ou la gestion intégrée des risques seront abordées dans la
première partie. Les bénéfices associés à cette approche seront
énumérés. De même, les liens entre le management des risques
et la gouvernance de l’entreprise seront eux aussi présentés.
1. Le management des risques de l’entreprise est la traduction faite en France
par le cabinet PriceWatrerhouseCoopers et Landewell & Associés de l’« Enterprise
Risk Management- Integrated Framework » (ERM) plus connu sous le COSO II
Report qui est le prolongement de l’« Internal Control-Integrated Framework  »
plus connu sous le nom de COSO I Report, publié en aux Etats-Unis en 1992 par
le Committee of Sponsoring Organizations of the Treadway Commission (COSO).
Dossier
 18 La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie
1. A
 pproche théorique et pratique
du management des risques.
Les entreprises ont toujours été exposées à des risques. Il est
important, avant de situer ces risques dans leur nature et dans
Innovations managériales
une perspective historique, de dégager une définition du manage-
ment des risques.
1.1. Définition du management
des risques de l’entreprise
Le Management des risques est synonyme de management des
risques des Affaires, du management holiste des risques ou du
management stratégique des risques (Simons 2000)1.
Selon le Committee of Sponsoring organizations of the Treadway
Commission (COSO II report, 2004) prolongement du COSO
Report I (1992), « The enterprise Risk Management- Integrated
Framework » traduit en français par : « Le management des risques
de l’entreprise » (IFACI et PriceWaterhouse Coopers Landwell, 2005,
p. 5) est défini comme étant « un processus mis en œuvre par le
conseil d’administration, la direction générale, le management
et l’ensemble des collaborateurs de l’organisation. Il est pris en
compte dans l’élaboration de la stratégie ainsi que dans toutes
les activités de l’organisation. Il est conçu pour identifier les
évènements potentiels susceptibles d’affecter l’organisation et
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
pour gérer les risques dans les limites de son appétence pour le
risque. Il vise à fournir une assurance raisonnable quant à l’atteinte
des objectifs de l’organisation ». Il s’agit donc d’une approche
rigoureuse de l’évaluation et du repérage de tous les risques
menaçant l’atteinte des objectifs stratégiques d’une organisation
et implique tous les membres de l’organisation et ce, à tous les
niveaux. Cette approche globale des risques est perceptible à
travers les catégories d’objectifs que poursuit le management
des risques d’entreprise à savoir : les objectifs stratégiques2,
opérationnels, reporting et de conformité. Elle vise également à
rattacher les objectifs aux différentes catégories permettant ainsi
au mangement de se concentrer sur les différents aspects des
risques organisationnels et non plus sur une seule catégorie des
risques comme dans l’approche traditionnelle.
1.2. La nature du risque
et l’approche traditionnelle
Pendant longtemps, l’entrepreneur a été défini comme celui qui
prenait le risque d’entreprendre, celui qui risquait son capital et
qui était rémunéré pour cela. P. Drucker (1973, p. 512), met en
1. Simons définit le risque stratégique comme « un événement imprévu ou un
ensemble de conditions qui réduit de façon importante l’habileté des gestion-
naires à mettre en œuvre la stratégie d’affaires projetée ». Il divise lerisque
stratégique en trois composantes : risque opérationnel, risque d’évaluation
d’actifs et le risque de concurrence
2. Le COSOII report se distingue du COSO I report au niveau des objectifs par la
prise en compte dans le COSO II, des objectifs stratégiques.
mai-août 2009
Dossier
garde contre toute tentative d’élimination des risques. Selon lui,
« essayer d’éliminer les risques, tenter même de les diminuer…
peut aboutir au plus grand de tous les risques : la rigidité ». Il
définit les décisions managériales comme des décisions de prise
de risques et suggère même qu’une stratégie pour l’innovation
soit basée sur une acceptation claire des risques d’échec. Il s’agit
d’une prise de conscience selon laquelle les risques sont inhérents
à toute entreprise. C’est ce qui justifie également la souscription
des polices d’assurance par les entreprises visant à les couvrir
contre des pertes qui pouvaient être causées par des incendies,
vols, inondations, tremblements de terre notamment. De même,
des contrats d’assurance étaient souscrits pour se protéger contre
la perte d’un associé ou d’un dirigeant important. Certains risques
liés à l’investissement ou à un prêt étaient transférés à d‘autres
parties. Sur le plan budgétaire, l’approche traditionnelle reconnaît
l’incertitude qui entoure toute prévision de coûts et de revenus et
a préconisé, à ce titre, la rationalisation des choix budgétaires.
Dans le cas d’un projet d’investissement, pour tenir compte du
facteur temps et donc du niveau de risque pesant sur les flux de
trésorerie, il est souvent fait appel à un taux d’actualisation des
revenus futurs. Une autre technique consiste à faire appel à une
analyse de la sensibilité afin d’aboutir à une échelle de valeurs
variant d’optimiste à pessimiste. Les probabilités et la simulation
de Monte-Carlo ont aussi été utilisées comme méthodes d’ana-
lyse de risques dans les décisions d’investissement de capital.
Depuis de nombreuses années, des méthodes de production,
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
de conditionnement et de distribution ont abouti à des change-
ments significatifs dans la protection face à des risques tels
que des pertes durant le transit, le sabotage par les employés
et la contrefaçon. R.N. Anthony, J. Dearden et V. Govindarajan
(1992) considèrent, eux aussi, que la poursuite du profit d’une
organisation peut être limitée par la volonté du management de ne
pas prendre des risques. En effet, il est possible que la politique
managériale vise à préserver les actifs de l’entreprise et que
l’objectif du profit y soit subordonné. L’appétence pour le risque
dépend de la personnalité même des managers. L’environnement
dans lequel évoluent les entreprises est porteur de risques. Par
conséquent, le développement, la survie de l’entreprise passe
aussi par l’acceptation par l’entreprise d’une prise de risques. Les
approches traditionnelles du management des risques, malgré
leur mérite, avaient pour caractéristique, d’être fragmentées. Elles
ne semblent donc plus correspondre aux enjeux et aux risques
associés au nouvel environnement économique. En effet, Les
clients exigent des produits et services de qualité supérieure et à
des prix très compétitifs. Les investisseurs attendent des dirigeants
de plus en plus de performances financières exceptionnelles. La
faillite de certains organismes américains d’épargne et de prêt
dans les années 1980 est largement imputable à une mauvaise
approche des risques encourus par les dirigeants des mêmes
organismes. De même, l’effondrement financier en Asie durant
la dernière décennie dans le secteur des hautes technologies,
est la conséquence d’une politique inadaptée de management de
risques. La dérégulation gouvernementale a créé un climat universel
favorable à l’investissement et aux échanges internationaux. Les
 La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie 19

entreprises ne peuvent plus appréhender le management des
risques sous le seul prisme national. Aujourd’hui une société qui
ne parvient pas à manager efficacement les risques et qui éprouve
des difficultés financières va ébranler la confiance accordée par
les investisseurs nationaux et internationaux. La conjugaison de
risques permet de distinguer « le niveau de risque global qu’une
entreprise accepte de prendre pour répondre à son objectif de
création de valeur ». Cette appétence1 pour le risque est également
prise en compte dans la définition de la stratégie dans la mesure où
les résultats de la stratégie doivent être en ligne avec l’appétence

tous ces facteurs invite à une approche systémique, intégrée et
structurée du management des risques de l’entreprise.
1.3. Le management des risques
de l’entreprise : les enjeux
L’objectif principal du Management des risques de l’entreprise
est d’accroître la confiance et de contribuer à créer de la valeur
pour les actionnaires. Tout l’édifice repose fondamentalement
sur ce principe. Mais, satisfaire les actionnaires passe d’abord
par une meilleure utilisation des ressources de l’entreprise. Le
management des risques de l’entreprise aide également à la
prise de décision en identifiant les zones porteuses des risques
majeurs et en suggérant des plans d’actions pour y remédier. Il
est attendu aussi du management des risques de l’entreprise
qu’il contribue à instaurer la confiance auprès des investisseurs
grâce à la mise à plat des processus métier de l’entreprise afin
d’identifier les éventuels dysfonctionnements ou les activités
sensibles au regard des objectifs clés de l’entreprise.
Une véritable politique de management des risques offre à l’entre-
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
Innovations managériales
de l’organisation pour le risque. Le dispositif de management des
risques de l’entreprise aide ainsi la direction à déterminer une
stratégie correspondant à l’appétence de l’organisation pour le
risque. Un lien est alors établi entre la croissance, le risque et
le résultat et permet à une entité d’identifier, d’évaluer le risque
et d’en établir des niveaux acceptables compatibles avec les
objectifs fixés par l’entreprise. Cela suppose que le management
des risques passe non seulement par une phase d’identification
mais aussi d’évaluation des risques. Les risques peuvent être
classés en plusieurs catégories. On peut distinguer les risques
stratégiques, opérationnels, informationnels et réglementaires.
K. Lajili et D. Zéghal (2005) distinguent quant à eux plusieurs
catégories de risques que nous reproduisons dans le tableau 1.
Si les risques sont identifiés, Il convient de les qualifier selon
deux critères : la probabilité de survenance et l’impact en cas
de survenance. L’impact pourra être apprécié selon plusieurs
paramètres : impact financier, humain, impact sur l’image de
l’entreprise. Généralement, il est souvent fait appel à la cotation
selon une échelle de type : faible/moyen/élevé. La combinaison
du critère 1 (probabilité d’occurrence) et du critère 2 (impact)
permet d’attribuer au risque considéré une cotation globale. Ainsi

Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion

prise plusieurs avantages. En effet, selon le COSO II Report (2005, le management des risques permet une meilleure connaissance
p. 42), l’adoption d’un management des risques de l’entreprise
1. L’appétence pour le risque fait référence au degré de risque qu’une organisa-
peut procurer plusieurs avantages. En effet le management des tion est capable d’accepter.

Tableau n° 1. Catégories de risques auxquels l’entreprise fait face

Catégories de risques Nature du risque

Risque financier (de change, opérationnel, de Risque financier : changements dans le taux d’intérêt, le change, le crédit, la valeur de
marché, de crédit, de taux d’intérêt) l’instrument financier et la liquidité.
Risque opérationnel : défauts techniques, accidents, erreurs humaines, perte d’employés
clés.
Risque du marché : changements dans la concurrence, dans le nombre de produits
vendus par client, perte de parts de marché.
Risque lié à la réglementation gouvernementale Changement dans le contrôle, la réglementation, les législations nationales et internatio-
nales
Risque économique Changements dans les facteurs macroéconomiques.
Risque de matières premières Changements dans les prix des matières premières
Risque environnemental Incidents dans l’environnement, lois et règlements environnementaux
Risque politique Conduite des affaires dans un contexte international
Risque d’illiquidité Les difficultés de faire face à ses engagements, à ses échéances
Risque de technologie Changement rapide de technologie
Risque lié aux conditions climatiques Conditions climatiques graves, défavorables à l’activité de l’entreprise
Risque fournisseur Dépendance à l’égard de fournisseurs clés, fournisseurs peu sûrs
Risque lié au cycle Tendance cyclique naturelle
Risque de saisonnalité Modèles saisonniers
Risque de valeur de l’instrument financier
Risque de distribution Changements dans les canaux de distribution
Risque de ressources naturelles Quantités insuffisantes de réserves, faible qualité des réserves.
Source : Adapté de : K. Lajili et D. Zéghal (2005) « Gérer le risque à l’échelle de l’entreprise : l’autre facette de la gouvernance de l’entreprise »

mai-août 2009
Dossier
 20 La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie
et une bonne compréhension de l’impact du risque en cas de
survenance. Après l’identification et l’évaluation des risques, la
direction peut alors adopter une stratégie appropriée parmi les
cinq stratégies de gestion de risques suivantes : l’évitement, la
prévention, la réduction de l’impact, le partage et l’acceptation
Innovations managériales
du risque. Le choix d’une stratégie nécessite de chiffrer le rapport
coût/bénéfice de chacune des stratégies possibles. Ainsi une
entreprise qui aura pour objectif de se développer à l’interna-
tional, ne pourra pas mettre en œuvre une stratégie d’évitement
du risque d’échange. Par ailleurs, le management des risques,
grâce à la qualité des informations qu’il produit, oriente mieux
les besoins en capitaux et leur meilleure allocation. Toutes ces
raisons militent en faveur de l’adoption d’un management intégré
des risques de l’entreprise.
2. P
 our une adoption
du management intégré
des risques de l’entreprise
Selon une enquête réalisée par Tillingast-Towers Perrin (2002,
p. 4), 5 à 10 % des entreprises d’Amérique du Nord utilisaient
une approche intégrée du management des risques. La même
enquête indiquait que les postes de Risk Managers étaient en
augmentation constante. Une autre enquête réalisée par le même
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
auteur, Perrin Tillingast-Towers (2002) a montré que c’est surtout
dans le secteur des assurances que se développait une politique
de management intégré des risques. Une étude réalisée par A.A.
Gramling et P.M. Myers (2006) sur l’adoption du management
intégrée des risques par les organisations, a fourni les résultats
que nous reproduisons dans le tableau n° 2
Tableau n° 2. Le statut du management des risques intégrés.
L’organisation n’a pas adopté le management des risques 13 %
de l’entreprise
L’organisation a adopté le management des risques de 6,1 %
l’entreprise il ya plusieurs années et sa mise en place est
terminée
L’organisation a récemment adopté le management des 5,5 %
risques de l’entreprise et sa mise en place est relative-
ment terminée
L’organisation a récemment adopté le management des 14,7 %
risques de l’entreprise mais sa mise en place n’est pas
parfaitement terminée
L’organisation s’est engagée dans un processus de mise 21,9 %
en oeuvre du management des risques de l’entreprise
Actuellement, l’organisation est en train d’apprécier la 31,8 %
pertinence du management des risques pour leur entre-
prise
L’organisation a rejeté le concept du management des 1,4 %
risques de l’entreprise
Autres réponses 5 %
Ne se prononce pas 0,6 %
Source : A.A. Gramling, P.M. Myers (2006) « Internal Auditing’s role in
ERM », Internal auditor, april, p. 54.
mai-août 2009
Dossier
Le COSO II Report est actuellement relayé par des pressions
externes, notamment les investisseurs institutionnels. Ceux-ci,
notamment les fonds de pension incitent les gouvernements
d’entreprises à adopter une approche intégrée du management
des risques. En Grande-Bretagne, par exemple, la London Stock
Exchange recommande vivement cette stratégie. En Australie et
en Nouvelle-Zélande, un ensemble de standards communs au
management des risques est mis en place. Pour le moment, il n’y
a aucune obligation. En Allemagne, des dispositions législatives
ont été votées en 1998. Aux Pays-Bas, un rapport a été également
publié. Ces lois et rapport militent en faveur de l’adoption d’un
management intégré des risques. De même, aux Etats-Unis, la
Securities and Exchange Commission, l’AICPA (rapport Jenkin) et
le rapport du COSO font du management de risques une priorité
pour les entreprises. On peut, toutefois, regretter le caractère
non obligatoire de l’application de ces rapports. Au Canada, le
CICA a publié un guide à destination des directeurs dans lequel
il est précisé, avec force, que le contrôle fait partie du processus
de gouvernance, et, à ce titre, nécessite que les risques soient
convenablement gérés. Le guide parle aussi du fait que « les
risques contrôlables existent au travers de l’organisation, de par
sa vocation, sa stratégie, son personnel et ses autres ressources,
communication et pratiques opérationnelles générales. » Dans
ce contexte, le contrôle inclut non seulement le problème des
valeurs éthiques mais également l’identification et la réduction
des risques. Si le management a tendance à parler du risque
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
relatif à l’atteinte de ses objectifs, une partie du risque réside
également dans le fait de ne pas réussir à maintenir la capacité
de l’organisation à identifier et à exploiter les opportunités.
2.1. Le processus de management
des risques
L’efficacité du management des risques de l’entreprise passe
par la distinction de trois niveaux reliés entre eux.
Le premier niveau concerne les relations qui doivent exister entre
les différentes structures composant l’organisation. L’organisation
peut être centralisée ou décentralisée. Ce qui importe c’est de
mettre en place une organisation efficace qui passe par la défini-
tion formelle des responsabilités, des pouvoirs et des procédures
d’exécution et de contrôle sans toutefois perdre de vue le système
de délégation qui doit exister à tous les niveaux de responsabilité.
Cette organisation ne peut ignorer l’environnement à l’intérieur de
laquelle elle évolue. C’est l’environnement interne qui constitue
la base de la structure organisationnelle de l’entité et dicte la
manière selon laquelle les tâches de fixation d’objectifs devront
être menées. L’environnement interne englobe la totalité de la
philosophie managériale en matière de risques de l’organisation,
l’appétence pour le risque, l’intégrité et les valeurs éthiques des
dirigeants de l’organisation. En effet, la culture de l’entité peut
être influencée par la personnalité du dirigeant. Privilégier les
résultats à tout prix au mépris des règles éthiques est préjudi-
ciable à l’organisation. Les relations établies entre la structure de
 La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie
l’organisation et l’environnement interne déterminent la fixation
d’objectifs. En effet, les personnes souhaitant contribuer à un
programme efficace de management intégré des risques devront
maîtriser non seulement les objectifs de leur unité mais aussi les
objectifs généraux de l’entreprise. C’est la troisième relation néces-
saire devant exister entre l’activité et la fixation des objectifs de
l’organisation. Ces objectifs devront être définis en tenant compte
de l’appétence pour le risque de l‘organisation. Les processus
constituent le deuxième niveau de l’ossature du management des
risques d’entreprise. Il s’agit des processus d’estimation, de forma-
lisation et d’exploitation des risques qui doivent nécessairement
être décrits. Le troisième niveau de l’ossature du management
des risques d’entreprise concerne les actions, c’est-à-dire, les
activités de contrôle, le système de surveillance, d’information
et de communication. Si ces trois niveaux sont établis, la mise
en place d’un programme de management des risques se trouve
facilitée. L’ossature d’un management des risques d’entreprise
est schématisée dans la figure 1.
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
Figure 1. Ossature du management des risques d’entreprise
Il appartient à la direction générale d’assurer un suivi régulier
des politiques de gestion des risques et à en approuver les
limites. Elle doit également approuver l’approche globale de la
prise de risques. Le programme de management des risques doit
fonctionner conjointement avec le service d’audit interne ou la
direction financière de l’entreprise en raison de leur connaissance
des circuits de l’entreprise. De nombreux auteurs préconisent la
création d’un Risk Manager (Chief Risk Officer : CRO) – gestionnaire
des risques — qui agirait comme un leader et le catalyseur du
programme de management des risques. IL apparaît comme un
« leader, un évangéliste, un intendant et un consultant » dans le
processus d’implantation d’un management des risques d’entre-
prise Il doit faire remonter l’information directement à la direction
générale et au comité de direction.
2.2. Les Processus d’implantation du
management des risques d’entreprise
Un management de risques comporte trois processus : l’évalua-
tion des risques, leur formalisation et leur exploitation. C’est ce
qu’illustre la figure. 2 ci-dessous :
mai-août 2009
21
Innovations managériales
Figure 2. Processus de management des risques d’entreprise (problème du scéma
à revoir)
Ces processus constituent une partie de l’ossature pour une
approche rigoureuse d’estimation et de reporting des risques
susceptibles de compromettre la réalisation des objectifs de
l’organisation. Cette approche présente des opportunités qui
permettent d’exploiter des éventuels avantages concurrentiels.
Si les processus permettent d’identifier les risques, il convient
alors de les évaluer.
2.2.1. L’évaluation des risques
L’évaluation des risques comporte trois étapes : l’identification
des facteurs, leur classement par priorité et leur classification.
C’est ce qu’illustre la figure 3.
Si cela est fait correctement, l’évaluation des risques peut
corréler tout risque qui pourrait dépendre les uns des autres et
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
éviter ainsi les pertes de temps ou des doublons. L’attention et
les moyens pourraient donc être utilisés pour les risques qui en
valent vraiment la peine.
Figure 3. Evaluation des risques
C’est à la fonction de l’évaluation des risques d’examiner et de
déterminer la probabilité d’occurrence ou de survenance d’un
évènement. La première étape consiste à identifier les évène-
ments. Un évènement est simplement un incident ou un fait qui
pourrait affecter la mise en œuvre d’une stratégie ou la poursuite
d’un objectif. Il peut exister plusieurs évènements. Certains
peuvent avoir un impact négatif et d’autres, un impact positif.
Les risques peuvent être dus à des facteurs externes (facteurs
d’ordre économique : changement du niveau de compétition, des
forces du marché, de l’économie ; d’ordre naturel et environne-
mental : catastrophes naturelles ; d’ordre politique : changement
de gouvernement, de législation ; d’ordre social : changements
démographiques, de priorités sociales ; d’ordre technologique :
Dossier
 22 La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie
virage technologique) ou internes (l’infrastructure : réparations
inattendues, problèmes ; le personnel : accidents de travail, grèves ;
les processus : problèmes de qualité, technologie).
Cette phase constitue le premier pas vers l’identification et l’éva-
luation des risques. Les facteurs de risques sont des évènements
Innovations managériales
ou des variables pouvant aggraver un risque. Perdre des parts de
marchés est un risque. Mais ne pas y être préparé est un facteur
de risque. Une revue des stratégies de l’organisation, des plans
de financement et des opérations donnera des indices quant
aux facteurs de risques qui peuvent être associés. Une approche
top-down (allant des supérieurs hiérarchiques aux subordonnés)
est utile dans ce contexte. Une analyse qualitative utilisant des
données passées et récentes peut être aussi utile pour identifier
ces facteurs qui pourraient affecter la réalisation des objectifs
fixés par l’entreprise. Le rapport sur les opinions des cadres
est fréquemment utilisé à cette étape au même titre que des
analyses prévisionnelles.
La deuxième étape de l’évaluation des risques privilégie les
facteurs de risques. Cette étape suppose le regroupement et
le détail de l’information relative à chaque facteur de risque. Le
processus doit prévoir la probabilité, la fréquence, la prédictibilité
et les effets potentiels sur les indicateurs clés de performance de
ces facteurs. Un jugement subjectif combiné à un modèle mathé-
matique comme l’actualisation est utile pour rechercher l’impact
potentiel du risque sur la stratégie de l’entreprise, sa croissance,
sa réputation, ses ressources humaines ou ses systèmes.
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
La dernière étape dans l’évaluation est la classification des
risques. Elle suppose que l’action d’identification nécessaire
soit bien définie.
Ainsi un schéma de classification relatif aux actions prévues
serait d’une grande utilité. Le plan de classification analyserait les
facteurs de risques tant du point vue opérationnel que stratégique
(ou bien en termes de contrôle et de stratégie).
Les facteurs de risques gérables sont ceux qui découlent d’un
environnement dans lequel l’entreprise est déjà habituée. Les
compétences et les savoir-faire qui sont requis pour résoudre les
problèmes sont déjà disponibles au sein de l’organisation. Des
exemplaires de ce type de risque peuvent être le département
Recherche & Développement qui ne parvient pas à élaborer de
nouveaux produits ou à résoudre un problème avec des clients
insatisfaits.
Les facteurs de risques stratégiques sont ceux qui découlent de
l’environnement peu familier à l’entreprise. Les ressources et les
capacités à résoudre ce genre de problème peuvent ne pas être en
place. La prise en mains de ce genre de situation peut nécessiter
un changement dans la direction de la stratégie ou une nouvelle
orientation dans l’allocation des ressources en capital.
2.2.2. La formalisation des risques
L’étape suivante du processus de management des risques
d’entreprise implique la formalisation des risques. Cela implique
l’utilisation des méthodes scientifiques telles que les techniques
de recherche opérationnelle. Il est nécessaire de quantifier les
mai-août 2009
Dossier
différents facteurs de risques qui ont été identifiés dans les
analyses précédentes.
La formalisation des risques comporte quatre étapes. Il s’agit de :
– modéliser les différentes sources de risques ;
– les lier à des mesures financières ;
– développer un portfolio des stratégies pour remédier à ces
risques ; et
– optimiser les investissements avec ce portfolio des stratégies.
La première étape nécessite différentes approches qui seront
fonction de la nature des facteurs de risques. Pour certains,
une action banale peut être tentée. Pour les risques assurés ou
des risques qui peuvent être facilement réduire sur les marchés
financiers, ils peuvent être modélisés en utilisant des méthodes
statistiques basées sur des données historiques. Pour des
risques d’entreprise dans son ensemble, une évaluation proba-
biliste basée sur les avis des cadres et d’experts peuvent être
élaborées. Finalement, cette partie de l’analyse, encore basée
sur les avis d’experts doit déterminer et modéliser les relations
entre les sources de risques.
La deuxième étape dans la formalisation des risques consiste à
lier les facteurs de risques à des indicateurs financiers comme le
cash flow. La distribution probabiliste de la deuxième étape est
ajoutée au modèle financier pour qu’une mesure de la volatilité
et de la rentabilité financière soit obtenue. Cela permet aussi
l’analyse de l’impact de la gestion à travers une série de scénarii
hypothétiques.
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
La troisième étape implique la réalisation d’un portfolio de straté-
gies de traitement de risques. Il s’agit de déterminer les manières
de réduire les risques. A travers des séances de brainstorming
entre experts, il est possible de trouver des moyens de réduire
ou d’éliminer certains risques sur les marchés financiers notam-
ment. Tout choix stratégique doit s’appuyer sur une analyse coût/
bénéfice. La littérature utilise l’exemple du cash flow. L’allure de
la distribution probabiliste du cash flow peut être modifiée en
augmentant la valeur prédéterminée de cash flow, ou en abaissant
les variations attendues de la valeur de la variable ou en utilisant
des mesures pour réduire l’impact des risques lors des plus
pessimistes scénarii. A partir de cette analyse, des simulations
peuvent être réalisées pour chaque combinaison de stratégie.
La quatrième et dernière étape dans le processus de formalisation
est l’« optimisation de l’investissement à travers des stratégies
correctives ». Il en résultera un management des risques orienté
budget qui reflètera une allocation efficace des ressources du
Management des risques d’entreprise selon le niveau des risques
identifiés précédemment. Les contraintes budgétaires et les objec-
tifs de l’entreprise peuvent s’opposer aux modèles probabilistes
développés dans le processus de formalisation des risques.
2.2.3. L’exploitation du risque
La phase finale du processus de management des risques est
l’exploitation des risques. Ce titre suppose que le risque peut
être considéré à la fois comme une menace et une opportunité.
Pour vraiment exploiter le risque, le management doit mettre sous
 La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie
tension les sources de risques. La connaissance ou l’identifica-
tion des risques constitue en soi, pour l’entreprise, un avantage
comparatif. En effet, le risque peut représenter une menace pour
la compétitivité de la firme. Ensuite, une entreprise peut être
capable de manager les risques mieux que les concurrents. A
tous les niveaux, l’exploitation des risques entraine une réponse.
Il n’y a pas une mais plusieurs réponses aux risques comme
l’illustre la figure 4.
Figure 4. Les possibles réponses au risque
La stratégie d’évitement consiste pour le management de stopper
ou de réduire l’activité qui favorise le risque. Par exemple, l’entre-
prise refusera d’entrer sur un marché ou de fermer une usine.
Une autre stratégie peut être adoptée consistant à se partager
le risque.
Le partage du risque : Il y a plusieurs façons de partager le risque
relatif au management. L’assurance, la mutualisation sont des
exemples d’une telle approche. Par ailleurs, la probabilité ou
l’impact du risque peut être ou transférer.
L’acceptation du risque : le management a le choix d’accepter la
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
probabilité ou l’impact d’un risque donné. Il est bon de préciser que
l’évaluation des réponses à apporter au risque est un processus.
Les risques découlant de chaque réponse doivent être évalués à
leur tour. Mais toute politique de management de risque suppose
un système d’information et de communication adapté et le
pilotage par l’organisation.
Une politique ou un programme de management de risques
d’entreprise exige que l’entreprise dispose à la fois d’informations
pertinentes et d’un système de communication. L’information
pertinente pour les besoins de l’organisation doit être relevée et
identifiée et doit être transmise aux acteurs internes de l’orga-
nisation pour qu’ils puissent faire face à leurs responsabilités.
Ainsi, les décideurs prendront des bonnes décisions par rapport
aux risques et aux objectifs de l’organisation. Pour y parvenir, le
système d’information doit traiter à la fois des données externes
et internes. En plus, le système doit contenir à la fois des données
historiques et des données actuelles.
Les informations fournies par le système d’information doivent
être adaptées aux besoins de l’organisation afin d’identifier,
d’évaluer et de répondre aux risques.
La prise en compte des données historiques est nécessaire pour
des tâches telles que l’évaluation des risques. L’information
transmise doit être aussi à jour et bien sûr, précise. L’information
doit être aussi communiquée. Les tâches et responsabilités des
employés doivent leur être communiquées pour qu’ils sachent
ce qu’ils doivent faire. La communication doit être établie de
manière à ce que chacun ait conscience de ses responsabilités
et de ce qui est attendu de lui. Cela s’applique, bien entendu, aux
mai-août 2009
23
employés agissant au niveau individuel ou comme membre d’un
groupe de travail. Ce qui est important, c’est que la communication
soit capable de transmettre un résumé clair de la philosophie
de gestion des risques pour l’entreprise et pour chaque membre
de l’organisation dans le cadre du programme de management
Innovations managériales
des risques. Cela peut être accompli avec l’utilisation de divers
médias. L’entreprise peut choisir d’utiliser des manuels, des notes
de service, des vidéos, conférences ou des présentations. Tout
cela doit faire partie de la communication interne mais aussi de
la communication externe à double sens entre l’entreprise, ses
clients, ses fournisseurs et l’ensemble des acteurs pouvant avoir
un rôle à jouer dans l’atteinte des objectifs de l’organisation.
Etablir un programme de gestion des risques est une chose ;
s’assurer qu’il fonctionne en est une autre. C’est le devoir (rôle)
du monotoring. Il doit y avoir des procédures en place dans
l’organisation pour évaluer de façon continue la présence et le
fonctionnement de tous les composants du management de
risques d’entreprise. Le monotoring peut être réalisé soit avec
l’emploi d’activités récurrentes soit à travers l’utilisation d’éva-
luations périodiques de différentes activités. Ces deux approches
peuvent, bien entendu, être judicieusement combinées. Aucun
nombre d’activités de monotoring n’est précisé pour assurer
le fonctionnement du programme du management des risques
d’entreprise. Néanmoins, le rapport du COSO suggère une série
d’activités qui suppose :
– que les variances entre résultats réels et budgétés soient vérifiés
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
par des managers compétents pour voir s’il y a des lacunes
dans l’anticipation des risques ;
– que des modèles de « value-at-Risk » soient utilisés pour
déterminer si les centres de responsabilité ou départements
fonctionnent en utilisant des tolérances de risques précédem-
ment planifiées et identifiées. ;
– que des informations externes générées par des clients ou des
fournisseurs peuvent aussi utilisées pour confirmer ou infirmer
d’autres informations externes ;
– que des informations sur les processus de management des
risques et leur fonctionnement peuvent aussi être obtenues
par des dispositifs qui peuvent avoir des répercussions sur le
respect de l’organisation avec ses statuts et ses règlements ;
– une revue continue des processus par les auditeurs internes
et externes de l’entreprise ;
– que des séminaires de formation et des entretiens de groupe
ou individuels peuvent créer un certain intérêt pour les travaux
du management des risques d’entreprise et constituer un
catalyseur pour le processus et son fonctionnement.
L’autre approche du monotoring induit des évaluations séparées.
Ces évaluations ou revues peuvent être réalisées par le dépar-
tement d’audit interne ou par une bonne auto- évaluation des
services. Dans ce dernier scénario, le manager d’une division
ordonne une évaluation sur son management des risques d’entre-
prise. Il évalue personnellement l’efficacité du processus de son
unité. La tâche d’évaluation est davantage confiée à l’audit interne.
Le processus d’évaluation va insister sur la structure et le fonction-
nement du processus de management des risques d’entreprise
Dossier
 24 La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie
dans une division particulière. L’évaluation va essayer de déter-
miner comment le système fonctionne. Le processus, à la fois au
niveau de la structure et du fonctionnement peut être déterminé
par l’utilisation de moyens comme les check-lists ou des flow
charts. Les écarts entre ce qui devrait arriver et ce qui est arrivé,
Innovations managériales
en réalité, doivent être identifiés. Les résultats de ces évaluations
sont remontés par les moyens normaux de l’entreprise.
Il peut exister une confusion entre le contrôle et le monotoring.
Pour le COSO, le contrôle des activités du management des risques
d’entreprise sont les politiques et les procédures qui aident à
assurer que les procédures visant à contrecarrer les risques sont
appliquées. Par contre, le monotoring concerne le processus entier
du management des risques d’entreprise et son fonctionnement.
Ainsi, le contrôle des activités liées au management des risques
d’entreprise ne traite que de la partie relative à la réaction au
risque du processus. C’est la fonction de ce contrôle particulier
de l’activité que de déterminer si les objectifs par le processus
« réponse au risque » ont été bien réalisés. Le contrôle devient
alors une partie intégrante du processus lorsque l’organisation
tente d’atteindre cet objectif. Il existe une très grande variété
de contrôles pouvant être utilisés pour vérifier la conformité des
plans d’action établis et maintenir l’organisation dans le sens
des objectifs préalablement définis. Les principales activités de
contrôle peuvent comprendre :
– le contrôle qui s’exerce sur la revue des rapports de performance
des managers à divers niveaux de l’organisation. Le contrôle
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
est effectué en rapprochant les rapports des managers avec
d’autres informations. Certaines d’entre elles peuvent provenir
des sources externes ;
– un certain nombre de contrôles peuvent être faits pour vérifier
l’exactitude et l’exhaustivité des transactions aussi bien que
l’organisation de ces transactions. Cela peut inclure la vérifi-
cation de la comptabilisation des transactions aussi bien que
la revue des nouveaux systèmes d’information ;
– une vérification de contrôle physique peut être menée pour
s’assurer que les actifs sont bien protégés et que les stocks
théoriques sont périodiquement comparés aux stocks réels ;
Un contrôle très efficace de l’activité peut conduire à une compa-
raison et une corrélation des différentes données. Une comparaison
entre les données opérationnelles et financières peut révéler
certaines anomalies. L’ensemble du processus de management des
risques et en particulier la partie consacrée à la réponse au risque
dépend en grande partie du système d’information de l’entité. Ainsi,
tous les contrôles liés à la réponse au risque de l’entité doivent
accorder une grande importance au système d’information. Les
décisions qui sont prises, les actions sur le point d’être réalisées,
la performance qui est évaluée et l’atteinte ou non des objectifs
annoncés par rapport aux informations données par le système
d’information de l’entité doivent être intégrés au système d’infor-
mation. L’activité de contrôle va inclure à la fois des contrôles
généraux et des contrôles particuliers. Des contrôles généraux
incluent ceux qui relèvent du management et de l’infrastructure
du système d’information, de la sécurité, du développement et de
la maintenance des programmes. Pour réaliser ce genre de test,
mai-août 2009
Dossier
il convient de se munir de la documentation disponible afin de
contrôler la fiabilité du nouveau système. Les modifications sur
le système de sécurité peuvent être appréciées en s’assurant de
l’existence des procédures d’accès mises en place. L’assurance
quant à l’exhaustivité, l’autorisation et la validité des informa-
tions lors de la saisie et du traitement est l’objectif du contrôle
du système d’information. Quelques contrôles utilisables par
l’entreprise concernent notamment l’utilisation des techniques
de comparaison et le rapprochement des données nouvelles
avec des données informatiques, le contrôle de vraisemblance,
les tests de logique sont autant de contrôles qui peuvent être
utilisés pour vérifier les données informatiques. D’autres contrôles,
plus spécifiques, devront être mis en place, en rapport avec les
stratégies, les objectifs et les secteurs d’activité de l’entreprise.
Les contrôles doivent refléter et correspondre à l’environnement
dans lequel l’entreprise évolue. Variées ou hautement pointues, les
diverses activités peuvent nécessiter des contrôles plus élaborés
que ceux qui pourraient correspondre à des activités plus générales
et moins complexes. Les risques auxquels l’organisation pourrait
être exposée vont aussi définir la nature et la complexité du contrôle
à mettre en place ou requis. Davantage d’informations au sujet du
contrôle de l’information et des comptes peuvent être obtenues
par de nombreux tests. Le management des risques doit s’inscrire
dans le cadre plus global de la gouvernance de l’entreprise.
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
3. M
 anagement des risques
et gouvernance de l’entreprise
Le management des risques et la gouvernance d’entreprise sont
deux concepts indissociables. Leur approche globale ou intégrée
du risque est une réponse à l’ère du risque dans lequel évoluent
les organisations.
3.1. Le management des risques
et gouvernance de l’entreprise :
deux concepts indissociables.
Le management des risques, et Gouvernance de l’entreprise, sont
indissociables. En effet, selon l’IFACI/Price WaterhouseCoopers
(COSO II report 2005, p. 5) le management des risques est « un
processus mis en œuvre par le conseil d’administration, la direc-
tion générale, le management et l’ensemble des collaborateurs
de l’organisation. Il est pris en compte dans l’élaboration de la
stratégie ainsi que dans toutes les activités de l’organisation. Il
est conçu pour identifier les évènements potentiels susceptibles
d’affecter l’organisation et pour gérer les risques dans les limites
de son appétence pour le risque. Il vise à fournir une assurance
raisonnable quant à l’atteinte des objectifs de l’organisation ».
Or, le débat sur la gouvernance d’entreprise, aux Etats-Unis, au
Canada, en Asie et en Europe fait suite aux nombreux scandales
qui ont éclaboussé les grandes entreprises. L’enjeu pour la
 La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie
gouvernance est justement de se prémunir contre les risques
internes et externes, opérationnels et stratégiques susceptibles
de compromettre l’atteinte des objectifs fixés par l’organisation.
Des appels à un renforcement de la gouvernance d’entreprise et
de la gestion des risques ont été lancés. La loi Sarbanes-Oxley aux
USA et la loi sur la sécurité financière en France constituent des
éléments de réponse à ces appels répétés et s’intègrent dans le
dispositif d’une bonne gouvernance d’entreprise. Dans le même
cadre, E. Ebondo Wa Mandzila (2006) considère l’audit et le contrôle
interne comme deux mécanismes de gouvernance de l’entreprise,
sensés réduire les risques auxquels l’entreprise est exposée. Déjà,
la commission Treadway, dans son premier rapport : Internal Control-
Integrated Framework (COSO I Report, 1992, 1994) « dépassait
les définitions traditionnelles du contrôle interne qui le réduisaient
à des procédures administratives de protection du patrimoine et
de fiabilisation des informations financières et de gestion » pour
présenter une architecture radicalement nouvelle du contrôle
interne permettant d’atteindre les trois objectifs (optimisations
et efficacité des opérations, qualité des informations financières,
conformité à la réglementation). Le management des risques de
l’entreprise, s’approprie les trois objectifs et les cinq composantes
du contrôle interne (environnement de contrôle, évaluation des
risques, activités de contrôle, information et communication,
pilotage) qu’il complète respectivement par un quatrième objectif
(la stratégie) et trois autres éléments du dispositif de management
des risques (fixation des objectifs, identification des événements
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
et le traitement des risques). Le management des risques étant le
prolongement du contrôle interne au thème central de la gestion
des risques constitue une composante majeure du dispositif de
gouvernance d’entreprise.
En effet, la demande de la gouvernance d’entreprise croît en même
temps que s’intensifie le débat sur l’intégration du gestionnaire de
risques au conseil d’administration. K. Lajili et D. Zéghal (2005,
p. 106), identifient deux relations entre gestion des risques et
gouvernance d’entreprise. Pour ces deux auteurs, la première
relation, de loin la plus importante, « est la relation entre l’informa-
tion et la surveillance, où les gestionnaires ont l’obligation de fournir
une information à jour et pertinente au conseil d’administration
et aux contrôleurs financiers sur les risques les plus importants
auxquels l’entreprise fait face et sur l’efficacité des processus de
gestion des risques adoptés une fois que les incertitudes sont
révélées ». La deuxième relation entre la gestion ou le management
des risques et la gouvernance d’entreprise concerne le lien entre
l’information et l’incitation.
Dans ce cas de figure, le conseil d’administration propose aux
cadres dirigeants une rémunération visant à les inciter à agir au
mieux des intérêts des actionnaires. C’est le conseil d’adminis-
tration qui détermine le niveau de rémunération des dirigeants en
fonction du risque encouru et dont le dirigeant est censé contenir ou
réduire. C’est aussi lui qui a le pouvoir de les révoquer. Pour « une
meilleure direction, un processus efficace de gestion du risque à
l’échelle de l’entreprise devrait être élaboré avec soin, contrôlé
et révisé de façon continue aux besoins ». On peut admettre que
la maîtrise ou la gestion des risques fait partie des obligations
mai-août 2009
25
de la gouvernance d’entreprise même si les principaux rapports
sur la gouvernance d’entreprise en France ne contiennent pas de
recommandations en matière de contrôle des risques. Néanmoins,
les lois sur la sécurité financière en France et la Sarbanes-Oxley
act aux Etats-Unis, prévoient la création de comités d’audit pour
Innovations managériales
porter la responsabilité des risques purement comptables. La
création de comités spécialisés : d’audit, de rémunérations et de
nomination est une réponse aux exigences liées à la gouvernance
d’entreprise pour faire face aux risques comptables et financiers,
aux risques de sur-rémunérations et à ceux que fait courir la
nomination d’un dirigeant incompétent.
En effet, il est attendu des conseils d’administration une bonne
compréhension et une gestion efficace des risques pour rassurer
toutes les parties prenantes.
3.2. Management des risques
et gouvernance d’entreprise :
une approche intégrée des risques
et de l’entreprise.
Il ne fait nul doute que nous sommes entrés dans l’ère du risque.
Ce contexte a une influence sur notre vision de penser le risque.
3.2.1. Management des risques et gouvernance
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
d’entreprise : des approches intégrées
des risques
Les gestionnaires de risques ont eu souvent tendance à se
focaliser sur certains risques notamment opérationnels. La gestion
du risque était rarement appliquée de façon systématique et
intégrée à l’ensemble de la société. Cette approche de la gestion
de risque consistant à se protéger contre certains risques a pour
inconvénient majeur l’absence d’une stratégie active de gestion
des risques à travers toutes les activités. L’environnement et
par conséquent la forte sensibilisation aux risques a fait évoluer
les mentalités des gestionnaires des risques vers une approche
plus intégrée de la gestion des risques qui semble correspondre
aussi à la vision partenariale de la gouvernance de l’entreprise.
En effet, pendant longtemps les études sur la gouvernance de
l’entreprise ont toujours privilégié l’approche financière ou action-
nariale de l’entreprise.
L’entreprise est réduite aux deux seuls acteurs que sont les
actionnaires et les dirigeants. Cette approche a montré ses
limites au niveau de la performance des entreprises. Ainsi, tout
le monde s’accorde aujourd’hui à privilégier l’approche partena-
riale de l’entreprise englobant toutes les parties prenantes. Le
management des risques d’entreprise comme une bonne gouver-
nance de l’entreprise conduisent à élargir le champ d’action à la
fois des acteurs et des processus étudiés et par conséquent à
associer toutes les parties prenantes au choix d’une politique de
couverture de risques. C’est la condition de l’efficacité.
Dossier
 26
3.2.2. Management des risques et gouvernance
d’entreprise : des approches intégrées
de la gouvernance de l’entreprise.
Deux conceptions de la gouvernance sont souvent présentées :
Innovations managériales
l’approche financière et partenariale. L’approche financière
privilégie la relation entre les actionnaires et le dirigeant dans le
cadre d’une relation d’agence. Dans cette aventure personnelle,
les actionnaires prennent le risque d’engager leur capital. Ils en
attendent un retour sur investissement. Le rôle du système de
gouvernance d’entreprise consistera donc à se focaliser sur la
rentabilité de l’investissement financier. Dans ce cas de figure,
les actionnaires transfèrent leurs risques moyennant rémunération
aux agents (dirigeants). Il incombe à ces derniers, de mettre les
principaux acteurs financiers à l’abri des risques financiers, infor-
mationnels, de détournement, de sur-rémunération, de dévaluation
des actifs, de marché, de perte en capital, de faillite et de grève
notamment. Mais face à la complexification de l’environnement
des entreprises et l’irruption de plusieurs acteurs dans la sphère
de l‘entreprise, l’entreprise doit faire face à une diversité des
risques qui dépassent le strict cadre financier. D’où la nécessité
de recourir à une autre approche partenariale de l’entreprise.
Dans ce modèle, l’entreprise ne se résume plus seulement à la
satisfaction des intérêts des actionnaires. La valeur créée par
l’entreprise est aussi le fait des apporteurs du capital humain,
organisationnel, commercial. Cette vision élargie des acteurs
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
de l’entreprise est porteuse de beaucoup de risques (y compris
environnementaux, sociétaux, politiques, stratégiques, informa-
tionnels…) en raison de la diversité des intérêts. La gouvernance
d’entreprise doit s’assurer d’une satisfaction d’équilibre entre
les différentes parties prenantes.
Cette approche partenariale intégrée, est celle qui est aussi
privilégiée par le management des risques. En effet, face au
développement des principes de bonne gouvernance, les inves-
tisseurs institutionnels manifestent un intérêt particulier pour
la gestion des risques. Les entreprises qui disposeront d’une
infrastructure intégrée de la gestion des risques1 seront capables
de réduire le risque opérationnel, de dévaluation d’actifs et le
risque de concurrence (R. Simons, 2000, cité par K. Lajili et
D. Zéghal, 2005). Cette gestion intégrée des risques a pour
avantage de réduire la volatilité des performances financières
et devrait pouvoir permettre aux entreprises de lever des fonds
à un moindre coût. La confiance des actionnaires serait accrue.
Une meilleure gestion des risques crée de la valeur de diverses
façons : elle réduit d’abord la probabilité de rencontrer des diffi-
cultés ; ensuite, elle réduit les risques pour les dirigeants qui
ont investi une certaine quantité de leurs actifs dans des parts
de l’entreprise ; enfin, elle peut faire baisser la charge fiscale
pesant sur elle et la prime d’assurance associée. Il convient de
noter la capacité d’endettement permise à l’entreprise grâce à
une gestion intégrée des risques.
1. K. Lajili et D. Zéghal dans leur article op. cit., identifient dans un tableau les
principaux risques et les modalités de les gérer.
Dossier
La Revue des Sciences de Gestion, Direction et Gestion n° 237-238 – Stratégie
Conclusion
Il y a toujours eu des risques dans le monde des affaires. En
effet, pendant longtemps, l’entrepreneur a toujours été consi-
déré comme celui qui prend le risque d’entreprendre, celui qui
risque son capital matériel et financier par opposition au capital
humain. Cependant, les managers et les actionnaires en ont
toujours accepté les avantages et les inconvénients et ont tenté
de gérer et de réussir ces paris risqués. Leur approche du risque
était peu organisée et trop souvent inefficace. Les temps ont
changé et les faits ont montré que la vieille approche des silos
hiérarchiques (fabrication, études, ventes, marketing, adminis-
tration…) en management des risques n’était plus suffisante.
Ainsi, une nouvelle approche du management des risques a été
développée. Elle s’appelle le Management des risques d’entreprise
qui prône une approche intégrée et rigoureuse des risques en
évaluant et en localisant les risques dans toutes les zones qui
pourraient avoir un impact sur la stratégie de l’organisation et
ses différents objectifs. Bien qu’il y ait de nombreux avantages
à retirer du Management des risques d’entreprise, le principal
avantage demeure sa capacité à éviter de grosses pertes. Si le
risque peut être pris en compte et bien géré, des pertes lourdes
peuvent être évitées. Les concepts du management des risques
d’entreprise sont définis par l’environnement de l’organisation.
Cette philosophie du management des risques est la clé de voûte
autour de laquelle toute l’architecture d’un programme de manage-
Document téléchargé depuis www.cairn.info - - - 105.98.44.92 - 12/04/2020 14:57 - © Direction et Gestion
ment de risques doit être construite. La littérature à ce sujet
définit un programme qui implique les processus d’identification,
dévaluation et de réponse au risque. Ces étapes nécessaires
pour une bonne gestion des risques doivent être complétées par
des processus d’information et de communication, de monotoring
et de contrôle. Des programmes de management des risques
d’entreprise sont de plus en plus acceptés et introduits dans les
organisations à la demande des parties prenantes. Les bénéfices
qui en découlent sont trop importants pour être ignorés. Aucune
organisation ne peut risquer de ne pas adopter le management
des risques d’entreprise.
Bibliographie
Anthony R. N., Dearden J., Govindarajan V. (1992)., « Management control systems »,
Homewood, Irwin.
Beck U (1986, 2001), « La société du risqué. Sur la voie d’une autre modernité », Paris, Aubier
Beck U, Giddens A. et Lash S. (1994), « Reflexive Modernization. Politics, Tradition and
Aesthetics in the Modern Social Order », Polity Press.
Drucker P. (1957), « La pratique de la direction des entreprises », Editions d’organisation ; et
« Management tasks Responsibilities and Practices », harper& Row 1973.
Ebondo Wa Mandzila E. (2006), « La gouvernance de l’entreprise : une approche par l’audit
et le contrôle interne », L’harmattan
Gramling A.A., Myers P. M. (2006) « Internal Auditing’s role in ERM », Internal auditor,
april, p. 54.
Institut Canadien des Comptables Agrées (ICCA) (1995), « Guidance for Directors :
Governance Processes for Control », décembre.
IFACI/PricewaterhouseCoopers, Landwell &associés (2005), « Le management des risques
de l’entreprise » ; (traduction de « Enterprise Risk Management- Integrated Framework » du
rapport COSO report II ; Editions d’Organisation.
Lajili K. et Zéghal D. (2005), « Gérer le risque à l’échelle de l’entreprise : l’autre facette de la
gouvernance d’entreprise », Revue Gestion, vol.30, automne, pp.104-114.
Simons, R. (2000), « Performance Measurement and Control Systems for Implementary
Strategy : Text and Cases » Prentice Hall, 2000.
Tillingast-Towers Perrin, enquête de 2002, page 4.
mai-août 2009