DossierLe risk management s'étend aux ETM

1 Gestion des risques: PME et ETI manquent encore de visibilité

Si 83 % des entreprises françaises ont déjà pris des mesures pour améliorer la gestion de leurs risques, seulement une sur quatre a intégré une démarche globale et proactive. C'est le constat dressé en 2016 par le groupe d'assurance QBE, dans une étude réalisée auprès de 363 entreprises françaises (PME et ETI de tous secteurs d'activité).

Pour une majorité de répondants, la culture du risque n'est pas véritablement ancrée dans leur organisation. La faute à la difficulté de mise en oeuvre des processus de gestion des risques. En effet, 63% des décideurs estiment manquer de temps ou de ressources et 60% éprouvent des difficultés à répercuter les changements au sein de l'entreprise. Les autres obstacles ont trait au coût et au manque d'expertise en interne.

Et pourtant, la gestion des risques est pourtant une priorité pour les dirigeants. Plus de 9 sur 10 sont convaincus qu'une approche structurée peut jouer un rôle positif dans le développement de leur entreprise. D'ailleurs, un tiers des répondants ont affirmé avoir déjà décidé d'abandonner certaines gammes de produits, clients ou marchés jugés trop risqués.

Les décideurs sont d'autant plus convaincus de la nécessité de la gestion des risques qu'ils estiment à plus de 40% que le niveau global des risques a augmenté au cours des six derniers mois.

2 "Une ère de grands risques systémiques"

Ce manque de vision et de visibilité sur les risques au sein des organisations était l'une des difficultés mises en exergue lors des 24es Rencontres de l'Amrae (Association management des risques et des assurances de l'entreprise). La présidente de l'association, Brigitte Bouquot, présidente et directrice assurances et gestion des risques de Thalès, évoquait alors un horizon des risques "entre crainte et espoir pour les entreprises", puisque nous sommes en plein dans "une ère de grands risques systémiques". Et, pour la présidente de l'Amrae, si la COP 21 a servi de prise de conscience côté environnement, 2015 aura été une "bande d'annonces de futurs chocs et de crises systémiques". Dès lors, les risques ne sont plus le sujet de quelques-uns mais de tous; d'ailleurs "le rapport de Davos a pointé non seulement des risques business mais aussi systémiques". Une première.

Pour sa part, Nicolas Baverez, essayiste, avocat et aussi diplômé d'histoire, notait à l'occasion de cet événement qu'"il y a une accélération de l'histoire et non disparition de l'Histoire". Après la crise de 1929, qui pouvait imaginer que la Grèce perdrait 25% de sa richesse, que le terrorisme instrumentaliserait des pays, que de jeunes entreprises deviendraient les acteurs majeurs de l'économie? C'est en pointant ce que nous pensions écarté et qui est revenu encore plus fort qu'auparavant ou totalement différent que l'essayiste a assis son diagnostic: "nous sommes en disruption permanente", la diruption étant au sens large un événement improbable, imprévisible et irréversible.

Parmi les autres points de son intervention, retenons que les risques quel qu'ils soient (catastrophe écologique, terrorisme, pandémie) montent en intensité, changent de nature (deviennent systémiques, globaux), de dimension géographique (partout dans le monde, autour des villes proches des cotes qui structurent le 21^è siècle) et sont interactifs (cybersécurité, politique, économique).

3 Denis Kessler, pdg de SCOR: " l'univers des risques semble germinatif "

Ouvrant son intervention par cette sentence: "Lunivers des risques semble germinatif " (comprendre qu'il s'auto-entretient entre autres caractéristiques..), Denis Kessler a listé ce qui constitue ce terreau:

• Interaction, interconnexion... il y a un réseau, des réseaux et cela touche bien sur l'univers des risques;
• l'interaction risques existants et risques émergents - une catastrophe naturelle peut entrainer un dysfonctionnement du réseau électrique, d'usines... "Il y a des grappes de risques séquentiels et géographiques";
• il y a bien sûr la loi de Kessler (pas encore reconnue mais cela ne devrait pas tarder): les zones aux catastrophes naturelles sont celles qui attirent le plus les hommes et les industries;
• la résilience, donnée physique, existe mais celle-ci a ses limites;
• l'entropie -que l'on peut définir comme la grandeur caractérisant le désordre d'un système (ainsi en est-il des migrations de masse, qui dans leurs conséquences, révèlent l'inefficacité des pays occidentaux)- entrainera inéluctablement de la volatilité, donc à terme une guerre des changes par zone.

Si la gestion des risques bénéficie depuis longtemps d'un suivi dédié dans les grands groupes, il n'en va pas de même au sein des PME et ETI. En effet, en 2016, seule une entreprise française sur quatre a intégré une démarche globale de gestion des risques, selon une étude menée par QBE.

4 Le rôle du Daf dans la gestion des risques

Lancer de nouveaux produits, conquérir des marchés étrangers, acquérir des concurrents, faire fonctionner les sites de production... Chaque jour, l'entreprise saisit des opportunités et prend des risques. Encore doit-elle le faire en connaissance de cause: un accident industriel, une pollution environnementale, un défaut de qualité donnant lieu au rappel des produits, la révélation de conditions de travail déplorables, ou encore une fraude monumentale peuvent entacher durablement une réputation, voire provoquer une faillite retentissante. En témoignent les scandales Enron, WorldCom ou Parmalat: l'insuffisance des systèmes de contrôle interne ayant éclaté au grand jour, les régulateurs ont, dès lors, promulgué une série de lois visant à renforcer la maîtrise des risques dans les entreprises, notamment en ce qui concerne l'élaboration de l'information financière. Si ces différentes lois s'appliquent aux entreprises cotées, elles viennent accompagner une tendance de fond à la judiciarisation de la vie des affaires et à l'extension du principe de précaution qui concerne toutes les entreprises, PME comprises. Un exercice auquel elles doivent donc se livrer en fonction de leurs moyens.

5 Maîtrise des risques: une obligation pour les entreprises cotées, une exigence pour les non-cotées

"Pour une entreprise non cotée, il n'existe pas de cadre législatif spécifique à la gestion des risques, même si de nombreuses réglementations imposent de façon implicite une maîtrise des risques, comme c'est le cas, par exemple, de l'obligation de produire des informations fidèles et fiables", souligne Thomas Aragnetti, associé spécialisé en gestion des risques chez Deloitte. Mais contrairement aux grands groupes où les fonctions de "risk manager" se sont répandues au cours de la dernière décennie, les PME ont rarement les moyens de recruter un salarié dédié au suivi des risques: "Même s'il n'existe pas de règle en la matière, en deçà de 300 salariés, il est rare qu'une entreprise recrute une personne dédiée à plein-temps à ces sujets", constate Nicolas Canteau, chef de produit GRC (gestion des risques et conformité) chez Enablon, fournisseur de solutions logicielles dédiées à la performance durable et à la gestion des risques de l'entreprise.

"Dans les entreprises non cotées, le département de contrôle interne existe dès lors que l'entreprise atteint une taille critique, ou lorsqu'elle évolue dans un secteur sensible: agroalimentaire, santé, aéronautique, défense, énergie, etc.", complète Thomas Aragnetti. Aussi, dans la plupart des PME, la gestion des risques revient généralement... au Daf, naturellement sensibilisé à ces questions et bien positionné pour gérer des processus transverses. Il sera souvent chef de projet en matière de gestion des risques, et aura la responsabilité de structurer une démarche formelle: soit directement, soit en s'appuyant sur un auditeur interne ou contrôleur interne, souvent rattachés à lui-même, au secrétaire général ou au directeur général.

6 Passer du flou artistique à une démarche structurée

Dans la pratique, à ses débuts, la gestion des risques est réalisée de façon empirique: le contrôle interne est réalisé d'une façon informelle et intuitive, qui se structure au fur et à mesure de la croissance de l'entreprise et de la prise de conscience de son niveau de maturité. Antoine Fléchais, responsable du département finance d'entreprise chez Provadys, constate que la maîtrise des risques se construit pas à pas. "Nous sommes régulièrement sollicités pour des missions de diagnostic et d'audit des pratiques: par exemple, sur la gestion du poste clients, l'encaissement des chèques, la gestion des stocks, le dispositif de contrôle interne... Cela débouche sur une prise de conscience du niveau de maturité de l'organisation, puis peut conduire à l'élaboration d'une cartographie des risques et à la mise en place d'un dispositif global de gestion des risques", indique-t-il.

Avant de se lancer dans un projet de gestion des risques de grande ampleur, Thomas Aragnetti (Deloitte) propose au Daf de se poser deux questions simples: est-ce que l'entreprise connaît ses risques? Qui les gère? "Ces deux questions peuvent sembler triviales, or, souvent, un flou artistique est toléré, surtout lorsque le risque concerne plusieurs fonctions ou métiers: la responsabilité du risque est alors diluée entre plusieurs acteurs, et au final, personne n'est responsable de leur suivi", constate Thomas Aragnetti. De plus, même lorsque les risques sont identifiés, rares sont les entreprises qui poussent le raisonnement et la formalisation jusqu'au bout: "Par exemple, sur le risque lié au cours des matières premières, plusieurs techniques sont possibles pour se protéger, mais elles sont rarement exploitées et leurs avantages et inconvénients peu mis en perspective. Ainsi, définir comment et à quel moment répercuter l'impact d'une hausse des cours dans le prix de vente ou à partir de quel seuil se couvrir par des instruments financiers sont des questions rarement partagées entre les fonctions concernées - achats, commercial, finance...", précise Thomas Aragnetti. D'où le besoin de détailler les processus de gestion des risques à travers une démarche formalisée.

7 Des outils simples et des relais efficaces

Pour ce faire, le point de départ consiste à identifier les principaux risques auxquels est exposée l'entreprise: si les risques assurables (dommages, incendies, sinistres... ) sont généralement bien identifiés, ils sont loin de constituer l'ensemble des menaces. Inutile toutefois de chercher à être exhaustif: "Mieux vaut identifier un nombre restreint de risques critiques ou mal maîtrisés et les suivre, plutôt que de produire 50 indicateurs non analysés", recommande Thomas Aragnetti. Puis, il convient de décrire les processus-clés, d'identifier les zones de risque et évaluer le niveau de gravité et de maîtrise.

Enfin, il est nécessaire de définir un plan d'action pour couvrir chacun des risques: assurance, contrôle interne, absence de couverture... Pour s'organiser, il est possible de se référer au Coso (Committee of sponsoring organization), référentiel international qui définit les standards du contrôle interne et de la gestion des risques, ou au cadre de référence publié par l'AMF (Association des marchés financiers), dont une version allégée a été élaborée à destination des petites et moyennes valeurs.

Reste ensuite à faire vivre le dispositif: une bonne cartographie ne reste pas dans les tiroirs! "C'est un processus itératif qui évolue en fonction des nouvelles activités, réorganisations, et également des nouveaux outils", souligne Antoine Fléchais (Provadys). "Avec une démarche de contrôle interne, le plus difficile est de la tenir sur le long terme. Elle doit être portée au plus haut et efficacement relayée par le management", prévient Nicolas Canteau (Enablon). Et bien comprise par les opérationnels, qui ne doivent pas pour autant renoncer à l'audace et à l'envie d'entreprendre.

À défaut d'un risk manager ou d'un département dédié au contrôle interne, c'est souvent le Daf, dans une PME ou petite ETI, qui orchestre la gestion des risques. Conseils pour mettre en place un dispositif adapté. [Article initialement publié en novembre 2012]

8 [Panorama des risques] Les atteintes aux biens

Établir l'inventaire le plus complet possible des risques susceptibles de frapper l'entreprise est aujourd'hui un exercice incontournable pour les Daf. Il demande à ces derniers non seulement de la rigueur, mais aussi une bonne dose d'imagination, puisqu'il est dans la nature même du risque de surprendre: l'analyse des événements passés ne suffit pas, loin de là, pour envisager la survenance d'événements futurs. Telle entreprise, sensibilisée à la prévention des accidents du travail en raison de son expérience de tels sinistres, ne saura pas forcément prendre les mesures préventives sur d'autres terrains, par exemple, pour éviter une grève due à des revendications salariales ou aux conditions de travail.

La démarche exige autant de lucidité que de courage. L'un des auteurs se souvient encore des réticences des deux fondateurs d'un groupe de sociétés à souscrire une assurance homme-clé, de peur que cela ne "leur porte la poisse". Le directeur administratif et financier a là son rôle à jouer, sans faiblir...

9 Méthode des ressources nécessaires: application aux biens

Des méthodologies de cartographie des risques existent. L'une d'entre elles consiste à passer en revue les différentes ressources qui sont nécessaires à l'entreprise pour exercer son activité: biens matériels, mais aussi les hommes, l'information et les savoir-faire, etc. Il faut alors mesurer les vulnérabilités de ces actifs, évaluer la probabilité et l'impact des événements susceptibles de les menacer, et mettre en place des contre-mesures. Le plan de prévention des risques vise à éviter que des événements dommageables ne surviennent (par exemple, faire appel à un bon serrurier pour éviter des effractions) et/ou en atténuer les impacts (souscrire une assurance vol). Le coût de ces mesures doit, bien sûr, être proportionné en fonction des enjeux.

Parmi les atteintes aux biens, on trouve en bonne place les sinistres: incendies, dégâts des eaux, etc. Le plan de prévention commence sur le terrain par des mesures de sécurisation et protection (détecteurs de fumée, sprinklers, portes coupe-feu...) et de replis (migration vers d'autres bureaux, d'autres lieux de production...). Un passage en revue systématique des contrats d'assurance s'impose, en vérifiant la définition exacte des événements assurés ou non, ainsi que les niveaux de garanties. Ce faisant, tel industriel découvrira, par exemple, que des stocks de matières premières lui appartenant et hébergés chez des sous-traitants ne sont pas assurés.

Concernant les garanties, prévoir d'être remboursé de la valeur vénale des biens détruits ne suffit pas. Il faut envisager la perte d'exploitation qu'entraînera la non-disponibilité de l'outil de travail détruit, le temps de le remplacer. C'est certainement là le domaine de risques le mieux connu et maîtrisé de la profession.

Les auteurs

Guy Degeorges et Xavier de Saint Marc, directeurs administratifs et financiers à temps partagé et membres actifs du groupe de travail "Daf-Temps partagé" de la DFCG (Association nationale des directeurs financiers).

Parmi les risques auxquels doit faire face l'entreprise, l'atteinte aux biens est le plus connu. Retour sur les solutions de prévention. [Extrait d'un article initialement paru dans Daf magazine 8, novembre 2012].

10 [Panorama des risques] Vols et fraudes

Si le vol et la fraude figurent parmi les risques les plus courants, la prévention sur ce thème est abordée dans l'entreprise avec trop de gêne, donc avec trop peu d'efficacité. Pourtant, vol et fraude s'exercent au détriment des actifs de l'entreprise, au sens comptable: matériels, marchandises, comptes bancaires...

11 Vol et fraudes: des risques courants mais sous-estimés

Car la fraude s'avère le plus souvent le fait de collaborateurs. Parmi les catégories de personnels concernés, le comptable, l'homme de confiance par excellence, est soumis à de dangereuses tentations. Surtout s'il dispose à la fois des moyens de paiement et du pouvoir de dissimuler des détournements par des écritures comptables. Certes, le maquillage des comptes n'est efficace qu'un temps. Si, par exemple, le comptable encaisse à son profit des paiements destinés à des fournisseurs pour justifier ses prélèvements, les réclamations des fournisseurs dont les factures restent impayées remonteront tôt ou tard à l'oreille du chef d'entreprise. Mais le mal sera fait, la comptabilité désorganisée, et il sera malaisé de récupérer l'argent une fois détourné et dépensé.

La politique généralement préconisée dans ce domaine consiste à séparer les tâches et responsabilités, de manière à permettre un contrôle mutuel des différents acteurs. Ainsi, l'auteur d'une fraude n'a pas la possibilité de la maquiller. Mais s'agissant de PME, aux effectifs administratifs réduits, cela n'est pas toujours possible et représente un coût significatif en frais de personnel et d'organisation. Le Daf doit alors assumer d'une manière suivie ces responsabilités en termes de contrôle interne: vérifier les rapprochements bancaires, les visas et les factures, passer en revue les balances clients et fournisseurs, maîtriser l'usage des moyens de paiement... Faute de temps, qui est la ressource faisant toujours le plus défaut en PME, ces contrôles seront souvent effectués non exhaustivement, mais par sondages.

Si la société est soumise au contrôle de commissaires aux comptes, leur concours méthodologique s'avère utile, même s'il n'est que ponctuel. Enfin, l'expérience prouve que l'attitude du dirigeant d'entreprise doit être exemplaire, car elle conditionne la culture de l'entreprise. Si le dirigeant use notoirement à des fins privées des ressources de la société, les collaborateurs se sentiront implicitement encouragés à en faire de même.

Les auteurs

Guy Degeorges et Xavier de Saint Marc, directeurs administratifs et financiers à temps partagé et membres actifs du groupe de travail "Daf-Temps partagé" de la DFCG (Association nationale des directeurs financiers).

La fraude, qu'elle soit interne ou externe, constitue un risque courant mais sous-estimé. Le développement de la fraude au président au cours des dernières années a remis ce risque sur le devant de la scène. [Extrait d'un article initialement paru dans Daf magazine 8, novembre 2012].

12 [Panorama des risques] Les risques RH

S'agissant de ressources humaines, la politique de prévention des risques se joue à plusieurs niveaux. Les risques peuvent être d'ordre physique, bien sûr (chaîne de production, BTP, transports...), mais aussi psychosocial. Ces derniers sont de plus en plus abordés dans les entreprises et concernent tous les changements plus ou moins subis par les collaborateurs: réorganisation avec PSE ou suppressions de postes éventuellement associées, nouveaux outils et/ ou logiciels, évaluations, déménagement... Maîtriser ces risques est d'autant plus nécessaire que la grande majorité des changements d'organisation n'atteignent pas leurs objectifs pour des raisons humaines, et non techniques ou financières. La résistance au changement, avec les risques psychosociaux qui y sont associés, peut à elle seule faire échouer la mise en oeuvre d'une stratégie d'entreprise. Les enjeux sont multiples: organisationnels, économiques, légaux, image et attractivité de l'entreprise...

Le Daf de PME doit aider le chef d'entreprise à évaluer ce type de risques. En effet, si les articles L. 4121-1 et suivants du Code du travail attribuent au chef d'entreprise des obligations de moyens, la jurisprudence les a transformés en obligations de résultats (Cass. soc, 3 fév. 2010, n° 08-44.019: "L'employeur, tenu d'une obligation de sécurité de résultat en matière de protection de la santé et de la sécurité des travailleurs manque à cette obligation lorsqu'un salarié est victime, sur le lieu de travail, d'agissements de harcèlement moral ou sexuel exercés par l'un ou l'autre de ses salariés, quand bien même il aurait pris des mesures en vue de faire cesser ces agissements").

En termes de moyens, plusieurs actions sont nécessaires: tout d'abord, appliquer les directives du Code du travail en constituant le "document unique d'évaluation des risques professionnels" (quelle que soit la taille de l'entreprise), qui est un audit des risques auquel doivent être associées les mesures de prévention. De plus, et c'est une obligation depuis le 1^er février 2012, quelle que soit aussi la taille de l'entreprise, le Daf doit constituer des "fiches de prévention des expositions à certains facteurs de risques professionnels": toute exposition d'un salarié à un ou des facteurs de pénibilité doit être consignée dans cette fiche individuelle de suivi, comportant un certain nombre de mentions obligatoires. Ce document doit être actualisé et versé au dossier médical des salariés. Pour ne pas se retrouver seul, le Daf s'associera utilement au CHSCT dans cette démarche (si la PME a plus de 50 salariés), lequel est devenu aujourd'hui, qu'on le veuille ou non, un acteur incontournable dans les décisions de gestion de l'entreprise. Car au-delà du caractère obligatoire et procédural, une maîtrise réussie des risques humains doit d'abord passer par une démarche participative et proactive vis-à-vis des salariés.

13 Limiter les risques liés au turnover

Au-delà de la prévention des risques que courent les salariés eux-mêmes, l'entreprise doit également savoir fidéliser ses collaborateurs à l'aide d'une politique de ressources humaines adaptée, ou, à défaut, atténuer les effets d'un turnover important en évitant que le savoir-faire et la clientèle ne s'évadent à chaque fois avec les hommes et les femmes. Les réponses s'organisent en termes juridiques (clauses de confidentialité et de non-concurrence) et d'organisation de l'information (rédaction de fiches de poste et de procédures, de documentation technique, gestion de base de données des clients...).

Il est également utile d'établir une charte éthique (ou code de déontologie), éventuellement associée au règlement intérieur, décrivant les valeurs de comportement et de professionnalisme auxquelles souhaite se référer l'entreprise. Son intérêt est d'obtenir une forte sensibilité du personnel aux sujets touchant sa vie de tous les jours: esprit d'intégrité, de respect et de professionnalisme, conflits d'intérêts, confidentialité, délit d'initié. Ce travail sur la culture d'entreprise permet de diminuer les risques de détournements d'actifs évoqués plus haut.

Les auteurs

Guy Degeorges et Xavier de Saint Marc, directeurs administratifs et financiers à temps partagé et membres actifs du groupe de travail "Daf-Temps partagé" de la DFCG (Association nationale des directeurs financiers).

Accidents de travail, risques psychosociaux, réorganisations... Les risques RH peuvent prendre de multiples formes. [Extrait d'un article initialement paru dans Daf magazine 8, novembre 2012].

14 [Panorama des risques] Les cyber-risques

140 jours. C'est le délai moyen entre la survenance d'une cyberattaque et le moment où l'entreprise victime découvre qu'elle a été piratée. Soit près de 5 mois durant lesquels les fraudeurs ont tout le loisir d'exploiter les données, de les revendre, de monter des arnaques sur mesure pour s'attaquer à cette société... Ce chiffre de 140 jours, avancé par Helena Pons-Charlet, head of legal chez Microsoft, à l'occasion du dernier Congrès des Daf et directeurs financiers⁽¹⁾ qui s'est tenu le 7 juillet 2016 à Paris, jette une lumière crue sur l'un des dangers sous-estimés de la cybercriminalité: son invisibilité. Or, si une entreprise sera parfaitement consciente de subir une attaque lorsqu'un cryptovirus infecte son système, une grande partie de l'iceberg de la cybercriminalité reste immergée, alors que la menace est quotidienne.

15 Les données, graal du hacker

En 2015, selon les données de Microsoft, la fraude a provoqué 400 Md€ de perte de CA au niveau mondial. Et la menace ne fait que s'étendre: 71% des entreprises déclarent avoir été victimes d'une tentative de fraude, selon l'éditeur de logiciels. Et il ne s'agit là que de celles qui ont identifié l'attaque... Mais que cherchent les hackers? Bien souvent, une chose dont les dirigeants n'ont pas encore bien mesuré l'entière valeur : les données de l'entreprise. "Les données, c'est la nouvelle monnaie du XXI^e siècle", affirme Helena Pons-Charlet.

En effet, "une cyberattaque est bien souvent le point d'entrée d'un mécanisme de fraude", avertit Sébastien Hager, souscripteur assurance France chez Euler Hermes. Elle permet de recueillir des informations confidentielles qui constitueront la base d'une tentative de détournement crédible, du type fraude au président. Et l'essor du BYOD (bring your own device) ne fait qu'accroître le danger: non seulement il entraîne des failles de sécurité en laissant des appareils privés, pas toujours bien protégés, accéder au système d'information de la société, mais en cas d'attaque, il offre également au fraudeur un accès à un panel de données encore plus large, professionnelles et personnelles.

16 La cybercriminalité se professionnalise

Les petites entreprises sont des cibles de choix pour les hackers.

"Ma structure est bien trop petite pour intéresser les fraudeurs", se disent beaucoup de chefs d'entreprise. Grave erreur! "Il est plus difficile aujourd'hui de s'attaquer aux grandes entreprises via leur SI", souligne François Nogaret, associé chez Mazars. Ces dernières disposent de moyens suffisants pour protéger efficacement leur SI. C'est pourquoi les petites entreprises, qui n'ont pas forcément mis en place autant de procédures de sécurité que les grands comptes, deviennent des cibles de choix pour les hackers.

Parallèlement, les activités de cybercriminalité se sont démocratisées. Deux raisons à cela: la disponibilité de l'information (par exemple grâce aux réseaux sociaux, très pratiques pour tout savoir sur la famille, les relations amicales et dates de vacances des collaborateurs) et l'industrialisation des outils de fraude. "Aujourd'hui, un hacker va vendre son produit à des fraudeurs qui ne sont pas forcément qualifiés", révèle François Beauvois, commissaire de police, chef de la division anticipation et analyse à la sous-direction de la lutte contre la cybercriminalité. Tutoriels de formation en ligne, service après-vente... Les hackers sont devenus des businessmen, fournissant aux fraudeurs toute une gamme d'outils prêts à l'emploi. "Nous assistons au développement d'une sous-traitance du crime, en mode "crime as a service"!", déclare François Beauvois. On est loin de l'image d'Épinal de l'étudiant surdoué qui joue les hackers: "Les entreprises sont face à des mafias", résume David Luponis, senior manager chez Mazars.

Dès lors, les attaques se multiplient, et on assiste à une diversification des modes opératoires: ransomwares en perpétuel renouvellement, fraude au président, piratage télécom... Les arnaqueurs sont sur tous les fronts. Sébastien Hager (Euler Hermes) constate ainsi qu'en un an, près d'un tiers des entreprises ne sont pas parvenues à déjouer toutes les fraudes dont elles étaient la cible. Dans le "top 3" des fraudes ciblant les entreprises, on retrouve la fraude au président, le faux fournisseur, ou encore le faux partenaire (factor, banquier...). Du côté des cryptologiciels, la créativité des hackers semble sans limite: Locky, CryptXXX, Petya... de nouveaux ransomwares apparaissent tous les mois. François Beauvois cite l'exemple du crypto-ransomware Cerber, apparu en février 2016, qui se cache dans divers processus Windows et incite l'utilisateur à réactiver les macros pour s'installer et lancer le cryptage des données.

17 Quelles solutions pour protéger son entreprise de la cyberfraude?

"La meilleure défense, c'est l'attaque", dit le proverbe. Et quoique certains prennent le temps de le mettre en application, pour les PME et ETI, la meilleure des défenses passe surtout par la prévention. "Les entreprises doivent se concentrer sur la surveillance de leur SI", martèle François Nogaret (Mazars), et non se contenter de prendre des mesures lorsque surviennent des attaques. Car sur le long terme, le danger que représente la disparition de données, dont on ne se rend pas compte de suite, est bien plus inquiétant qu'une attaque de cryptovirus qui peut être rapidement contrée par une intervention sur service informatique et une restauration des données cryptées via les sauvegardes.

"Les entreprises doivent se concentrer sur la surveillance de leur SI"
François Nogaret (Mazars)

La sensibilisation et la formation des équipes aux questions de cybercriminalité est également incontournable. Cependant, les experts constatent qu'en dépit de ces opérations de prévention, la vigilance quotidienne est loin d'être devenue un réflexe pour tous les salariés. Dès lors, Olivier Peiffer, CEO de Polimiroir Group, qui a été victime de nombreuses tentatives de fraude, insiste sur la nécessité de "contrôler toutes les procédures internes" et de les consigner par écrit, pour bien marquer l'engagement de la direction.

François Nogaret (Mazars) alerte également sur le manque de discipline qui affecte de nombreuses sociétés. "Plus on monte dans la hiérarchie, moins on a de mots de passe", s'agace l'expert. Le mot de passe est pourtant le premier moyen de défense face à la fraude. Par ailleurs, avec le développement des technologies telles que les ERP, le contrôle de l'information par l'oeil humain tend à disparaître: or, maintenir un tel contrôle permet de mieux maîtriser les événements et d'identifier les failles. Développer l'esprit critique de ses collaborateurs, la meilleure des protections face à la cyberfraude?

(1) Les propos cités dans cet article ont été recueillis lors de la conférence "Cyberfraudes: bonnes pratiques et moyens d'action".

Préoccupation croissante des risk managers, les cyber-attaques et risques touchant la confidentialité des données de l'entreprise se développent à vitesse grand V. Une problématique à laquelle le 5e Congrès des Daf et directeurs financiers a consacré une conférence en juillet 2016.

18 [Panorama des risques] Le risque de change

À l'occasion d'une conférence organisée par Objectif Cash, Sébastien Rouzaire, associé-fondateur de Kerius Finance, cabinet de conseil indépendant spécialisé en gestion des risques de marché, a rappelé que beaucoup d'entreprises étaient concernées par le risque de change, parfois en l'ignorant. Les entreprises qui n'avaient pas vu venir le Brexit et qui ne se sont pas couvertes vis-à-vis du risque de change s'en mordent certainement les doigts. La parité euro/livre sterling a en effet fait un bond de près de 10% après le vote, porté à 18% lorsque les conséquences d'un potentiel " hard Brexit " ont été évoquées. Ce qui peut représenter beaucoup quand on a des clients ou fournisseurs en Grande-Bretagne ou une filiale anglaise avec laquelle on réalise des échanges en devises.

"Le Brexit pouvait se prévoir, pointe Sébastien Rouzaire, associé-fondateur de Kerius Finance, cabinet de conseil indépendant spécialisé en gestion et couverture des risques de marché. Il aurait été judicieux pour les entreprises exposées à la baisse de la livre sterling de se couvrir quelques jours avant le résultat, lorsqu'il était encore incertain, dans un but d'assurance, comme face à tout risque probable pouvant induire des conséquences importantes."

19 Marchés volatils

Sébastien Rouzaire conseille en effet de se couvrir vis-à-vis du risque de change. Car si le Brexit est l'exemple le plus récent, il est loin d'être le seul. "Les marchés sont volatils. Les parités fixes n'existent pas. Il est difficile d'avoir un cycle de 5 ans sans risque de devise", insiste Sébastien Rouzaire.

Il donne l'exemple du franc suisse dont la parité avec l'euro a connu beaucoup de hauts et de bas. " Beaucoup d'entreprises ont arrêté leur couverture en 2014, pensant que ça ne bougerait plus. Jusqu'à un nouveau pic en 2015, observe Sébastien Rouzaire. Pourtant, il fallait continuer à se couvrir car il y avait des signaux faibles, comme les taux d'intérêt négatifs de la Banque nationale suisse ou les réserves en devises qui augmentaient rapidement. "

Même le Yuan ne connaît pas de parité stable avec le dollar: quel est alors l'intérêt de produire en Chine pour des questions de coûts si on est ensuite confrontés à des problèmes de change non gérés et non budgétés ? " La volatilité habituelle d'une devise comme le dollar US, le yen ou la livre Sterling contre euro se situe entre 10 et 15% sur un horizon d'un an, ce qui n'est pas neutre", rapporte Sébastien Rouzaire.

20 Se couvrir pour se donner le temps de trouver des solutions

Si les entreprises ne se couvrent pas, c'est bien souvent pour une prétendue question de coût. Or, objecte Sébastien Rouzaire, " il faut se poser la question des cours à terme qui peuvent être favorables ". Selon lui, se couvrir ne coûte pas forcément cher, notamment lors des périodes calmes.

En effet, gagner de l'argent grâce à une couverture n'est pas nécessairement une bonne nouvelle: c'est qu'il y a bel et bien un problème de fond qu'il va falloir résoudre. Mais cet argent donne le temps de trouver des solutions tout en limitant la casse.

21 Formaliser sa politique de gestion des risques de change

Se couvrir n'est pas toujours la solution: il n'est par exemple pas évident de couvrir le rouble russe ou le real brésilien pour un exportateur. Mais ne pas se couvrir ne signifie pas qu'il ne faut pas gérer le risque de change. Sinon, c'est de la spéculation ou la loterie. Plusieurs solutions existent: budgéter pour s'auto-assurer, par exemple. "Simplement réfléchir à tous les problèmes liés aux taux de change permet d'en régler une grande partie en adaptant le modèle d'affaires, de facturation, de paiement etc.", affirme Sébastien Rouzaire.

Il s'agit donc de formaliser une politique de gestion des risques de change en identifiant et quantifiant les risques, en se donnant des objectifs, en déterminant les outils et instruments à utiliser, les mesures à effectuer et en effectuant un reporting de contrôle et de performance. "Formaliser permet aussi d'éviter que les gens ne se souviennent pas bien des décisions prises. Cela permet de protéger le CFO", pense Sébastien Rouzaire.

22 Ne pas facturer en euros pour déléguer le risque de change

Et attention aux fausses bonnes idées. Comme réaliser ses échanges en euros pour déléguer le risque de change aux clients et aux fournisseurs. "Une petite entreprise risque de ne pas tenir en cas de krach. Et perdre un fournisseur peut engendrer de nombreux problèmes ", avertit Sébastien Rouzaire. Le danger est aussi le manque de visibilité.

Sébastien Rouzaire donne l'exemple d'une entreprise qui se fournissait en Chine en euros: quand le dollar a pris 20 centimes contre euro fin 2014/début 2015, le fournisseur a indiqué qu'il allait répercuter à son client la hausse correspondant à son propre manque à gagner dans le temps. "Le problème était que l'entreprise ne pouvait pas savoir quand cela allait être répercuté et estimer le niveau de son EBITDA 2015, pointe Sébastien Rouzaire. Si vous facturez en euros, mettez dans votre contrat une clause d'indexation pour réintroduire de la transparence dans le système et ne pas subir une demande de baisse de prix de vente ou de hausse de prix d'achat sans préavis."

En revanche, si une clause d'indexation totale est prévue dans le contrat, il ne faut pas se couvrir; sinon on peut être perdant des deux côtés! Autre erreur à ne pas commettre: se couvrir pour seulement 95% des scénarios de marché défavorables. Les 5% restants peuvent arriver plus souvent qu'estimé et être très dommageables.

Le Brexit et le décrochage de la livre sterling par rapport à l'euro a remis le risque de change en pleine lumière. Yuan, real, rouble, ou encore franc suisse: toutes les monnaies ne peuvent donner lieu à une couverture du risque de change. Explications.

23 [Panorama des risques] Les risques associés aux voyages d'affaires

"Chaque semaine, des dirigeants africains d'origine, pourtant habitués des voyages sur le continent noir, tombent dans le piège des faux check-point dans des zones à risques et se font dérober leurs effets personnels", constate Xavier Frémont, conseiller en sûreté internationale et en gestion du risque pour les entreprises. Les mises en garde, les conseils pratiques sur les destinations des voyageurs d'affaires sont donc d'une importance capitale, y compris pour les plus expérimentés en la matière. Le spécialiste des services de santé et de sécurité International SOS a ainsi lancé il y a quelques mois une nouvelle version de sa plateforme d'e-learning. Un ensemble de modules actualisés, tenant compte des risques spécifiques à chaque destination, et adapté aux besoins de chacun des employés. Les voyageurs apprennent ainsi à limiter leur exposition aux risques par le biais de cours thématiques variés comme la sécurité routière, la sensibilisation aux risques en voyage, la sécurité des femmes, le paludisme ou encore la préparation aux épidémies. "Les entreprises sont très en demande de ce type d'offre afin de consolider leur démarche de conformité et mieux répondre à leur devoir de protection des collaborateurs", remarque Arnaud Derossi, directeur médical régional au sein d'International SOS.

"Les formations et les conseils sont essentiels, et pas uniquement pour les voyageurs qui se déplacent peu. Les voyageurs d'affaires fréquents ont également besoin de piqûres de rappel quant aux précautions à prendre, ainsi que de recommandations sur la conduite à tenir quant aux évènements en cours. Étonnamment, ce sont les voyageurs occasionnels qui sont souvent les plus prudents, car ils se retrouvent en terrain peu familier et montrent donc plus d'attention", indique Arnold Denes, Business Development Manager, Information & Tracking au sein de l'organisation. Les deux spécialistes rappellent par ailleurs que l'activité de prévention des risques, d'information et de formation font aussi partie des obligations légales pour une entreprise.

24 S'entourer d'experts

Les fiches Pays proposées par la société de conseil Scutum Security First correspondent également aux attentes des entreprises. Itinéraires Interculturels, autre acteur du secteur, forment des expatriés avant leur voyage grâce à des informations concrètes. Des experts du Kinshasa, de la Papouasie Nouvelle Guinée, ou du Mexique font partager leurs connaissances du terrain. En dispensant des modules d'information, de sensibilisation sur des détails concrets et pratiques, ces interlocuteurs garantissent un départ avec les meilleurs acquis et recommandations sur les pratiques locales à encourager et à éviter. Les prestataires apportent également leur savoir-faire en matière d'organisation interne."En étudiant les process, le fonctionnement et les objectifs d'une entreprise en matière de devoir de protection, nous sommes par exemple en mesure de conseiller nos clients afin qu'ils adaptent leurs politiques internes à leur exposition aux risques réels encourus par leur collaborateurs en mobilité internationale", illustre Arnold Denes.

Dans un contexte où la sécurité internationale est mise à mal et où la fréquence des voyages d'affaires continue d'augmenter, l'accompagnement et les prestations de conseil occupent une place toujours plus centrale.

25 [Zoom] Le risk manager: missions, formation, rémunération...

Apparu en France il y a une vingtaine d'années, le métier de risk manager n'est plus l'apanage de sociétés du CAC 40. Selon les chiffres de l'Association pour le management des risques et des assurances de l'entreprise (AMRAE), 63% des risk managers sont actuellement employés par des grands comptes contre 74% en 2013. Un gestionnaire de risques sur trois travaille aujourd'hui au sein d'une ETI ou d'une PME.

"La tendance dans les ETI est au recrutement de risk managers", confirme François Malan, vice-président de l'AMRAE. Logique: "Le risque est monté dans la liste des priorités des entreprises, note Marc Bartel, associé au sein du cabinet de conseil en recrutement Heidrick & Struggles. Certaines commencent même à le considérer comme un outil offensif et un avantage concurrentiel."

26 Sa mission

Le gestionnaire de risques assure tout ou partie du risk management. Selon le référentiel métier de l'AMRAE, cette fonction recouvre l'appréciation, la maîtrise et le financement du risque. Mais aussi la gestion des événements non assurés ou non assurables, des sinistres et des situations de crise. En amont, c'est le risk manager qui définit les missions et la structure du dispositif de gestion de risques dont il assure le pilotage. Il travaille également à la diffusion de la culture du risque dans l'entreprise.

Au quotidien, le risk manager surveille une vaste palette de menaces. Les principales sont les fraudes, les risques opérationnels, environnementaux et de sécurité. Mais ce terrain de jeu a beaucoup évolué depuis deux ans avec l'essor de nouveaux risques liés au digital.

"La principale actualité du métier, c'est la cybersécurité, affirme Stéphane Romano, co-dirigeant du cabinet de recrutement Cala Partners. Tous les secteurs d'activités et toutes les entreprises sont concernés." Malwares, ransomwares, fraudes au président... "Les attaques sont toujours plus nombreuses et coordonnées, confirme François Malan. On a affaire à une criminalité organisée."

La menace est d'autant plus élevée que le risque de cybercriminalité peut se doubler d'un risque de réputation, par exemple dans le cas d'un piratage des données clients. Précisons également que le contexte économique difficile a fait remonter le risque de défaillance des fournisseurs. Celui-ci se classe en cinquième position du baromètre établi par l'AMRAE.

27 Ses qualités

Au-delà des compétences techniques indispensables (réaliser une cartographie des risques, bien choisir une police d'assurance, maîtriser l'anglais...), le gestionnaire de risques doit également faire preuve de grandes qualités personnelles. "Il doit être un excellent communicant, souligne Marc Bartel. Il doit être courageux et avoir une capacité à convaincre le management et les opérationnels que ce qu'il raconte est important." Ces soft skills lui permettent de se mouvoir avec agilité dans une fonction transversale.

Pour François Malan, le gestionnaire de risques est aussi un homme de réseau. Réseaux physiques ou virtuels qu'il cultive pour faire remonter des informations et se tenir à jour en permanence. "Ces échanges de bonnes pratiques sont utiles parce qu'il faut parfois réagir vite." Face à l'essor du digital, "le risk manager doit également être capable d'appréhender, influencer et maîtriser les technologies", ajoute Stéphane Romano.

Organisé, curieux, patient, le risk manager sait résister au stress et gérer une situation de crise. La capacité à manager est également une donnée importante dans un contexte d'élargissement des équipes.

28 Sa formation

Selon les chiffres de l'AMRAE, les risk managers âgés de plus de 35 ans ont pour la plupart suivi une formation dans le commerce, la gestion et l'économie (31%), le droit (24%) ou les sciences et l'ingénierie (21%). "Auparavant, on trouvait surtout des spécialistes de l'assurance issus du droit, mais aujourd'hui, on recherche davantage des profils polyvalents qui viennent de formation en gestion, observe François Malan. Les entreprises ont besoin de profils qui connaissent bien ses mécanismes et ce qui est susceptible de les gripper."

Depuis quelques années, des formations initales ou executive MBA dédiés à la gestion de risques se structurent (Sorbonne, Enass...). "La formation théorique se développe, c'est le signe d'une prise de conscience de l'importance du risk management", constate Marc Bartel. La formation continue se renforce également autour de cursus certifiants ou diplômants tels que le Cefar de l'AMRAE ou la certification européenne Rimap.

29 Son salaire

Ces dernières années, le niveaux de salaires ont peu évolué. Selon l'étude de l'AMRAE, le gestionnaire de risques "top manager" perçoit en moyenne une rémunération fixe brute de 108 k€ par an. Les "non top managers" bénéficient pour leur part d'une rémunération annuelle de 84 k€.

À cela s'ajoute, pour la majorité des risk managers, une part variable inférieure à 15%. L'expérience du salarié, la taille de l'entreprise, le rattachement hiérarchique et même le mode de recrutement ont une influence directe sur le niveau de rémunération du gestionnaire de risques. "Certains profils seniors peuvent dépasser les 150 k€ par an", précise François Malan.

Avec l'émergence des dangers notamment liés au digital, la gestion des risques fait désormais partie des priorités stratégiques des entreprises. Et la fonction de risk manager s'étend aux ETI voire aux PME. Avec quelles missions? Lesquelles requièrent quels compétences? Pour quel salaire?

30 [Méthodologie] Le traitement des risques opérationnels sous Solvency II

Les pertes liées aux risques opérationnels sont des surcharges de comptes de gestion et des non-produits (produits non réalisés); elles ont donc un impact évident sur le coût du produit, le capital, la compétitivité, le compte de résultat et le risque de contrepartie. Or, parmi les dysfonctionnements susceptibles d'affecter les risques opérationnels, les ressources humaines ont un effet prépondérant. Il revient donc au Daf de concentrer ses efforts sur celles-ci pour l'effet de levier.

31 Le contexte

La définition du risque opérationnel proposée par le Comité de Bâle en 2001 a été adoptée en 2009 par la directive européenne Solvabilité II (2009/138 / CE). Depuis lors les banques, les sociétés d'assurances et leurs clients, ont franchi la première étape: identifier ces risques et mise en place des bases de données d'enregistrement d'événements de la typologie de pertes inattendues (UL). Avec l'entrée en vigueur de Solvency II le 1^er janvier 2016, ces données doivent être traitées au titre de la clause 5 de la norme ISO 31000:2009 (Traitement des risques) conformément au processus ORSA (Own Risk and Solvency Assessment) adopté par les assureurs.

Rappel: La mise en oeuvre opérationnelle de l'ORSA consiste à illustrer la capacité de l'assureur ou du groupe à identifier, mesurer et gérer les éléments de nature à modifier sa solvabilité ou sa situation financière. C'est une démarche de comptabilité de gestion ou comptabilité analytique reposant sur l'effet de levier du Risque opérationnel.

Les ressources humaines ont un effet prépondérant sur les risques opérationnels; par conséquent les risques opérationnels affectent tous les autres risques (de marché, de contrepartie) et la performance financière des banques, assurances et de leurs clients. Or, sous Solvency II, une compagnie d'assurance doit démontrer que le niveau de capital est suffisant pour couvrir les risques opérationnels à un niveau de probabilité de 99,5% sur un an.

32 Les indicateurs génériques communs

Les causes à l'origine des pertes liées aux risques opérationnels (cf. la typologie d'événements du Comité de Bâle) sont des indicateurs socio-économiques que tous les secteurs d'activité connaissent. Le facteur humain ayant un effet prépondérant, le Daf doit se concentrer sur les indicateurs génériques, c'est-à-dire les causes de risque opérationnel sur lesquels chaque salarié a le pouvoir d'agir , à savoir:

• L'absentéisme,
• Les défauts de qualité,
• Les accidents du travail,
• Les écarts de productivité directe (surtemps et surcoûts) et
• Les écarts de savoir-faire (dont la polyvalence).

33 Trois impératifs à prendre en compte

1. La gestion du risque opérationnel échoue lorsqu'elle se concentre sur un, deux ou trois indicateurs, les uns entraînant les autres.
2. L'entreprise doit disposer d'un Intranet d'automatisation des processus pour gérer ces 5 indicateurs pris à la fois dans un système de pondération.
3. Chaque indicateur de risque opérationnel est articulé à un domaine clé d'amélioration des conditions de travail, ainsi:
   

• les économies de coûts réalisées sur l'indicateur "Absentéisme" ont un effet qualitatif sur "Gestion du temps de travail";
  
• les "Défauts de qualité" sur l'Organisation du travail;
• les "Accidents du travail" sur les Conditions de travail, conditions physiques et environnementales;
  
• les "Écarts de productivité directs" sur la Mise en oeuvre stratégique "; et
  
• les "Écarts de savoir-faire" sur les 3 C (Communication, Coordination et Concertation) et la formation intégrée.

34 Modéliser l'automatisation du système de gestion

Il s'agit d'un processus en 3 étapes.

Étape 1: articulation de la dynamique d'ensemble (Pilier 1).

Étape 2 : fournir les données de calcul de gestion prévisionnelle de la création de valeur: transfert au système IT-IRM de traitement comptable des données UL (pertes inattendues) et des historiques des comptes de gestion des 5 dernières années.

Étape 3: fournir les pourcentages de distribution des effets du risque opérationnel sur la base d'événements UL enregistrés par la cartographie des risques (interdépendance des risques).

35 Le Daf et le système Intranet de gestion automatisée

Le Daf intervient une fois par an sur un système de gestion automatisé du risque opérationnel:

• la première année pour saisir les données du plan de 3 ans des objectifs de performance pour toute l'entreprise contribuant aux comptes de résultat consolidés. Les économies de coûts attendues sont automatiquement programmées compte tenu du taux d'appétit au risque par indicateur générique, par ligne d'activité et ensuite par équipe de travail (UGT), par salarié et par trimestre.
  
• Les années suivantes pour saisir les données d'actualisation (chiffre d'affaires et comptes charges) de l'exercice réalisé.

L'auteur

Fort d'une formation pluridisciplinaire (deux doctorats des universités françaises René Descartes et Sorbonne et d'un doctorat Ph.D de l'université de Laval), Pascal Lélé travaille depuis plus de 10 ans les fondements comptables et psychosociologiques du modèle interne requis pour automatiser en temps réel les interactions des fonctions de contrôle interne de la performance financière d'ERM (Enterprise Risk Management) sur la base du "Direct costing", (ou "Contributing costing" ou comptabilité par coûts variables), prenant en compte l'effet prépondérant des Ressources Humaines sur les pertes de risque opérationnel. Il dirige depuis la crise des subprimes, les travaux du groupe de travail " EU-US task force on ERM " (Experts de 3 universités européennes et de 2 universités américaines) dont les publications dans ISACA Journal aux Etats-Unis depuis 2013 accompagnent la réglementation prudentielle Bâle III, Solvency II et NAIC (US solvency). Il a notamment publié l'ouvrage " Après la crise des subprimes, le nouveau partenariat social " (Editions Peterlang, Suisse, 2009). Il est le directeur Recherche, Développement et Partenariats de Riskosoft .

Les évènements susceptibles d'impacter les risques opérationnels sont connus des Daf. Mais le déploiement de Solvency II en impose un traitement particulier et une exigence forte sur la GRH des Unités génératrices de trésorerie (UGT). Conseils.

36 [Méthodologie] La gestion des risques côté achats

Le printemps arabe, le tsunami, la crise ukrainienne... À la direction des achats de Sagemcom - un groupe électronique français qui vend notamment des boitiers connectés, des compteurs intelligents et autres micro-projecteurs en BtoB - Jean-Claude Barberan a essuyé l'ensemble des risques fournisseurs possibles liés à la géopolitique ou au climat. Une expérience pour le moins malchanceuse qui rappelle que toutes les précautions du monde ne suffisent pas toujours à éviter une crise, laquelle peut être liée à des événements en dehors de votre contrôle. "Le risque 0 n'existe pas mais nous pouvons et nous devons nous en approcher à travers des actions concrètes", souligne pour autant ce super acheteur, revenu de tout.

Invité à s'exprimer lors un événement sur la gestion de risque dans les achats organisé, fin février, par la business school ESCP Europe, il a exhorté son auditoire, composé d'acheteurs du privé et du public, à s'emparer de cet enjeu absolument majeur pour l'entreprise. En effet, et ainsi qu'il l'a rappelé, les risques encourus par cette dernière en lien avec les achats sont nombreux (nommons parmi les sources possibles: la qualité, la stratégie et la finance ou bien les contrats et la loi)..., et parfois fatals. Pour les gérer et, en amont, s'en prémunir, Jean-Claude Barberan préconise, loin du flou des grandes théories, une approche pratico-pratique qui s'articule autour de trois grands axes.

37 1 - La sélection des fournisseurs

Chronologie oblige, tout effort de sécurisation des achats commence par apporter un soin particulier à la sélection des fournisseurs. Pour cela, Sagemcom a mis au point un process, qui se décompose en 7 étapes :

1- Faire signer un contrat de confidentialité au prospect;

2- Faire analyser ses finances;

3- Remplir une fiche d'information répondant à des questions précises. (Le prospect est-il certifié ISO? Est-il éthique...?). Sur cette base, le noter.

4- Lui faire signer un contrat relatif à la propriété intellectuelle;

5- Communiquer sur sa charte éthique;

6- Rentrer dans une phases de négociations techniques;

À ce stade, les candidats au contrat n'ayant pas été éliminés peuvent être compilés dans une "shortlist". Pour la réduire au seul nom de l'heureux élu, il reste une dernière étape :

7 - Faire faire un audit qualité évaluant tant les process de production que la capacité à faire de la R&D.

Un point important : si le process est clair, précis, il n'est pas figé au point de ne pas permettre à la direction des achats une certaine agilité. "Il nous arrive de faire passer une étape avant une autre", indique Jean-Claude Barberan. Qui explique cela par un impératif lié à son secteur d'activité : "faire au plus vite pour réduire le time to market'.

38 2 - Formation et audits

Toute réponse aux questions qui peuvent se poser à un acheteur dans l'urgence d'une crise imminente n'est pas nécessairement couchée dans une feuille de route prête à l'emploi. D'où la nécessité d'avoir de "bons réflexes", comme Jean-Claude Barberan le souligne. Loin d'être innés, ils doivent être cultivés.... C'est pourquoi Sagemcom a fait appel à un prestataire extérieur pour proposer une formation de deux jours qui fait la part belle aux simulations de crise. Preuve que la gestion de crise n'est pas l'affaire du seul directeur d'achats, sur 1000 collaborateurs présents sur le site Sagemcom de Rueil-Malmaison, non moins de 200 personnes ont pu en profiter.

"Les audits sont de formidables outils de risk management", affirme Jean-Claude Barberan. Une conviction qui s'accompagne d'actions.... 20 à 30 fois par an, Sagemcom audite ses fournisseurs avec une attention particulière sur trois points : l'éthique, l'environnement et la RSE.

39 3 - Créer une cellule de crise

L'ensemble de ces mesures soulignent la place privilégiée qu'occupent les achats dans l'organigramme de l'entreprise. "Chez Sagemcom, ils représentent 70% du CA", indique, de fait, Jean-Claude Barberan. Qui doit au caractère crucial de sa fonction une place au sein du comité de direction qui devient, quand la conjoncture l'exige, cellule de crise...

En mars 2015, Jean-Claude Barberan, directeur achats de Sagemcom, livrait à nos lecteurs sa méthode pour gérer les risques associés à la fonction achats. Retour d'expérience. [Article publié le 03/03/2015]

40 [Outils] Retour d'expérience sur la cartographie des risques

Philippe Bouillot, le Daf d'Alsapan, société qui fabrique des revêtements de sol, des plans de travail et des meubles en kit, est également en charge du suivi des risques et des assurances. "Depuis mon arrivée il y a 3 ans, je couvais l'envie de réaliser une cartographie des risques. En effet, le risque est présent dans notre société car notre activité, le travail du bois, est sensible", indique le Daf, soulignant que la société possède 6 usines. Ainsi, en 2015, lorsque la société change d'assureur, ce projet de cartographie des risques est évoqué avec le nouveau prestataire, QBE, qui met à sa disposition un outil de cartographie des risques majeurs développé avec la société de conseil Arengi, QBE Risk Profile.

"Si nous nous étions lancés seuls, nous aurions mis des années" Philippe Bouillot, Daf d'Alsapan

Ce qu'apprécie Philippe Bouillot: se faire assister par les spécialistes d'Arengi, une offre de conseil étant incluse dans le logiciel de risk management. "Jusqu'à présent, nos risques étaient traités par chacun des responsables de service mais nous n'avions rien de formalisé. Ce qui posait des problèmes lors d'audits réalisés par nos clients: chaque service apportait ce qu'il avait mais nous n'avions rien de formel à présenter", explique le Daf.

Désormais, Alsapan est fier de présenter une cartographie des risques sérieuse et finalisée à ses clients et à ses assureurs. L'outil permet à la société de lister les différents risques, de les prioriser, d'attribuer des responsabilités, de définir des plans d'action... Et surtout de réaliser un suivi dans le temps afin de s'assurer que toutes les mesures sur les risques prioritaires ont bien été prises. "C'est un très bon outil de synthèse qui nous a permis d'aller plus vite. Si nous nous étions lancés seuls, nous aurions mis des années", conclut Philippe Bouillot.

Parmi ses nombreuses prérogatives, le Daf d'Alsapan compte le risk management. Depuis 2015, il se fait assister par un outil de cartographie des risques.

41 [Outils] Quels logiciels de gestion des risques pour les ETI?

Si nous faisions un sondage auprès de nos lecteurs, une grande majorité répondrait sans aucun doute que c'est Excel qui lui permet de gérer ses risques. Quid d'un logiciel spécialisé dans le risk management? Apporte-t-il vraiment un plus aux entreprises?

42 Maturer la démarche avant de s'équiper

Bénédicte de Luze, déléguée générale de l'AMRAE (Association pour le management des risques et des assurances de l'entreprise), commence par rappeler qu'un outil ne fait pas tout: "La méthodologie de gestion des risques doit se mettre en place avant de penser à se doter d'un outil", insiste-t-elle. Elle pense qu'Excel peut très bien faire l'affaire quelques années, le temps que la démarche soit mature. "Une entreprise qui n'est ni multisites ni multiactivités peut d'ailleurs très bien se contenter d'Excel. Cela ne sert à rien de monter une usine à gaz", souligne-t-elle.

43 Gain de temps et efficacité

La déléguée générale de l'AMRAE reconnaît cependant que les logiciels spécialisés dans la gestion des risques peuvent apporter un plus: "Ils permettent d'être plus agiles: la cartographie s'établit au fur et à mesure des événements et se remet plus facilement à jour que via un tableur Excel. Ils permettent également un partage des bonnes pratiques entre les différents sites, services, business units, observe-t-elle. Et ils sont également plus agréables visuellement".

Pour Jean Fournier, directeur général de l'assureur Global Aerospace, les logiciels de risk management permettent gain de temps et efficacité. Sa structure propose à ses clients le logiciel Delta RM qui permet d'identifier les risques, de gérer les contrats, de suivre la gestion des sinistres... "Cet outil offre une analyse des risques vraiment efficace et permet de voir d'un seul coup d'oeil où se situent les risques les plus importants, les conséquences de la baisse d'une franchise à tel ou tel endroit...", énumère-t-il. Ses clients apprécient notamment la gestion des sinistres: "Ils savent en temps réel où ils en sont: plus besoin de suivre ses mails ni de relancer", décrit-il. Il pense cependant que, bien que souple, ce logiciel n'est pas forcément adapté aux entreprises qui n'ont pas plusieurs sites ou plusieurs activités.

44 Accompagner l'entreprise à tous les stades de maturité

Des outils qui permettent de faire mieux en moins de temps: les Daf apprécieront! C'est cette efficacité que recherchait le cabinet de conseil en gestion des risques Arengi lorsqu'il a lancé son propre logiciel, Arengi Box. "Il s'agit d'une plateforme web pour gérer la conduite des risques de A à Z. L'objectif était de fournir un outil simple pour accompagner les entreprises à tous les stades de maturité", décrit Gilles Proust, président d'Arengi. Disponible sur abonnement, cette plateforme s'accompagne sur certaines offres de quelques jours de consulting. Un outil parfait pour une initiation aux logiciels de gestion des risques. D'ailleurs, 50% des abonnés de l'Arengi Box sont des PME et ETI.

"La colonne vertébrale de notre outil est l'analyse des risques, qui est simplifiée grâce à une base de connaissance intégrée qui permet d'identifier les risques, rapporte Gilles Proust. À cela s'ajoutent des tableaux de bords pour suivre les sujets qui avancent et qui relancer. Enfin, cet outil est collaboratif et permet le partage d'éléments clés d'un département à l'autre".

Pour convaincre les plus réticents, une offre découverte gratuite permet de conduire une analyse des risques. Les offres payantes débutent à 90 euros par mois (comprenant toutes les fonctionnalités dont une cartographie des risques en mode collaboratif + 2 jours de conseil).

Dites adieu à Excel: des logiciels de risk management peuvent vous aider dans la gestion des risques. À condition de ne pas compter sur eux pour faire tout le travail à votre place.

45 [Outils] Un guide Afnor pour accompagner les entreprises dans la gestion des risques

La gestion des risques, une démarche incontournable que les décideurs ont du mal à prendre en main? C'est la tendance qui se dessine dans les entreprises, selon une récente étude du groupe QBE à laquelle nous avons consacré un article au mois de juin. Cette étude révèle en effet que seule 1 entreprise sur 4 a intégré une démarche globale de gestion des risques, alors même que les dirigeants sont convaincus de l'intérêt d'une approche structurée dans ce domaine.

Principal obstacle évoqué: le manque de temps et/ou de ressources pour mettre en oeuvre un processus de gestion des risques. Pour aider les décideurs dans cette démarche, le groupe Afnor vient de publier un guide de la gestion des risques spécifiquement dédié aux TPE, PME et ETI. Partant du constat que ces types d'entreprises, contrairement aux grands groupes, ne disposent pas d'outils pour gérer leurs risques, l'organisme français de référence pour les normes volontaires a élaboré ce guide pratique d'une trentaine de pages, qui propose une approche pas à pas pour structurer la gestion des risques d'une TPE, d'une ETI, ou bien d'une activité spécifique d'un grand groupe.

46 Un guide tourné vers l'opérationnel

Après un rapide descriptif des enjeux d'une démarche de gestion des risques, l'ouvrage propose des conseils pour identifier, évaluer et analyser les risques, en s'appuyant sur des questions concrètes que devrait se poser le décideur: est-il nécessaire d'innover? Quel est le lieu de travail, son aspect, ses atouts, ses faiblesses ergonomiques? Quelles sont les modifications majeures d'urbanisme aux alentours des locaux? L'organisme est-il dépendant de certains de ses clients?

Pour aider les décideurs dans leur analyse, ce guide propose un schéma d'appréciation des risques et une cartographie des secteurs potentiellement concernés, ainsi que des annexes opérationnelles (grille de démarche générique à adapter, liste d'éléments susceptibles de mettre à mal la pérennité d'une entreprise).

Le guide Afnor X50-260 "Management des risques - Lignes directrices pour la mise en oeuvre dans les ETI/PME et autres organismes - ETI/PME-PMI" est disponible ici.

Comment mettre en place une démarche de gestion des risques dans une structure qui ne dispose encore d'aucun outil dédié? Pour apporter une réponse à cette question, Afnor a publié un guide dédié aux TPE, PME et ETI qui souhaitent s'engager dans une telle démarche.