Le Daf, à la croisée des risques d'entreprise

« Aujourd'hui, les risques sont envisagés séparément. Chaque métier gère ses risques avec ses propres méthodes et ses propres données (risques incendie, risques financiers, ...) », explique Sébastien Delmotte, responsable pédagogique de la formation en gestion globale des risques de l'école CentraleSupélec Exed. Cependant, le Daf, de par la transversalité de sa fonction, peut voir l'ensemble de ses objectifs impacté par tous les risques d'entreprise.

Le Daf à la croisée des risques de l'entreprise

Il s'agit de se demander quels risques sont les plus importants, afin de les hiérarchiser et d'y allouer les ressources nécessaires. « On doit se demander quels risques sont acceptables ou non notamment en termes de pertes économiques. Pour cela, les Daf doivent émettre des objectifs stratégiques et leurs exigences afin d'orienter la politique de gestion des risques des risk managers », souligne Vincent Desroches, également responsable pédagogique.

Il ne s'agit cependant pas de généraliser ces risques avec des listes types dans la mesure, « où chaque entreprise (en fonction de sa taille, son secteur, son environnement, ...) a ses propres risques et des objectifs différents », insiste Sébastien Delmotte. Tous ces risques doivent être pris en compte par le Daf au sein d'une cartographie globale des risques de l'entreprise, mais ils doivent être analysés et hiérarchisés à la lumière des objectifs stratégiques de l'entreprise et du contexte (politique, environnemental, social...) car leur criticité varie d'une entreprise à une autre, d'un pays à un autre et d'une période à une autre.

26 catégories de risques génériques

Il existe 26 catégories génériques de dangers et menaces d'entreprise : externes à l'entreprise (environnements, politique, insécurité, media, clients), internes liés à la gouvernance (commercial, juridique, communication, ressources humaines, stratégique, éthique...), internes liés aux moyens techniques (infrastructures et bâtiments, matériels et équipements) et internes liés à la production (études et projets, facteur humain, physico-chimiques, professionnels, opérationnels....).

On peut citer néanmoins des risques critiques actuels (non hiérarchisés) :

Les instabilités politiques internationales, comme le Brexit, la guerre en Ukraine, la guerre économique entre la Chine et les Etats-Unis qui se soldent par des sanctions économiques, ou nationales comme les conflits sociaux qui peuvent aboutir à des changements de dirigeants aux différents échelons du pays (exemple récent de tentative d'indépendance en Espagne)... Ces instabilités peuvent créer des crises de taux de change, des défaut de supply-chain, des augmentations de taxes, une complexification des relations contractuelles, la nécessité de déplacer le siège et les usines... ;

La complexification réglementaire et une évolution rapide de la réglementation sur les produits et substances : tous les pays n'ont pas les mêmes réglementations en termes d'additifs alimentaires, d'utilisation de produits phytosanitaires, de sécurité.... Mais aussi sur les données avec le RGPD par exemple ou sur les algorithmes avec des réglementations qui verront vraisemblablement le jour dans les années à venir ;

La digitalisation à marche forcée, avec un impact massif des entreprises du numériques sur les modes de consommation, de vente, de travail, d'influence, de marketing, de production... Les entreprises traditionnelles n'ont d'autre choix que de suivre cette transformation numérique qui s'accompagne d'un bouleversement culturel et technologique. Mais il ne s'agit pas seulement d'engager une transformation numérique, elle doit être réussie (maîtrisée notamment d'un point de vue financier). « On voit de nombreux cas où cette transformation a un coût démesuré car mal accompagnée en termes de management des risques de projet impactant les performances, les coûts et les délais», souligne Sébastien Delmotte.

L'accroissement du rythme des ruptures technologiques qui s'accompagne de bulles financières pouvant déstabiliser les marchés. Internet, Intelligence Artificielle, NewSpace, ordinateur quantique, nouvelles énergies, santé connectée, biotechnologies... Chaque nouvelle rupture s'accompagne d'espérances de gain élevées, mais aussi de fraudes et d'arnaques de plus ou moins grandes ampleur ;

La cybersécurité qui a un coût très élevé pour les entreprises en termes : de pertes liées aux attaques ; de coûts liés à la réparation suite aux attaques ; de pertes économiques liées à la perte de clientèle suite à des attaques ; de protection et de prévention vis-à-vis des attaques ; de coûts d'assurance qui incluent maintenant les risques cyber

La guerre économique incluant les actions de déstabilisation par la concurrence (entreprises, pays) fait des Daf des cibles privilégiées pour la corruption, l'extorsion ou le chantage, le vol de données.

Cependant, cette prise de conscience à l'exposition des risques ne paraît pas aller de soi. Car la gestion des risques n'est pas un bénéfice identifiable pour l'entreprise. « Même si ça ne rapporte rien, cela empêche de perdre. Prenons le cas de Ferrero, combien cela va leur coûter en termes de perte de ventes liées au scandale sanitaire ou en publicité pour redorer leur image », précise Sébastien Delmotte.

Une bonne temporalité de la gestion des risques

Une bonne temporalité de la gestion des risques se déroule en 3 temps. Avant : il s'agit d'anticiper, d'être créatif mais aussi imaginatif et prospectif. « Il faut une capacité d'anticipation et de décision avec une approche comme dans l'armée dite OODA (pour Observer, Orienter, Décider, Agir). Il faut être capable de simuler des scénarios pour orienter la stratégie en conséquence », explique Vincent Desroches. Pendant : il s'agit de savoir comment réagir et quelles décisions prendre. Enfin, après, il faut en tirer les enseignements et savoir ce qui a fonctionné ou non. A chaque étape, le management des risques doit savoir quelle attitude adopter. « Il faut connaître ses forces et ses faiblesses et savoir faire preuve d'agilité », précise Sébastien Delmotte.

On parle également d'appétence au risque qui doit être portée par les dirigeants et le Comex. Il est aussi question de soft skills. « Un bon gestionnaire de risques doit savoir se remettre en cause et douter. Car le premier ennemi de la gestion des risques est la certitude », souligne Vincent Desroches. Mais parallèlement, au-delà du doute, le bon gestionnaire de risques doit aussi apporter de la confiance.