La gestion des risques – ou management du risque – vise à protéger l’organisation contre les incertitudes et menaces potentielles qui porteraient atteinte à son développement, sa stabilité ou sa réputation. Une approche proactive et intégrée permet aux entreprises et collectivités de naviguer dans un environnement incertain et en constante évolution. Il n’existe pas de solution de gestion des risques unique. Les stratégies adoptées dépendent généralement de la nature et criticité des risques identifiés, mais aussi de la solidité de l’organisation et de sa capacité à absorber l’impact. Cinq grands types de gestion des risques se distinguent. Quelles sont ces stratégies et comment choisir la plus adaptée en fonction du risque identifié ?
Les 5 types de gestion des risques
Pour assurer leur pérennité et maintenir la confiance, les entreprises et collectivités doivent maîtriser leurs risques. Mais elles ont le choix de leur arme, de la plus radicale à la plus modérée.
Stratégie de gestion 1 : la suppression du risque
Face à un risque, la première tentation est de l’éliminer. Cette approche s’impose quand les risques sont jugés inacceptables pour l’organisation et leurs impacts catastrophiques.
Supprimer le risque peut signifier annuler un projet, ne pas renouveler un contrat, fermer une filiale, changer de fournisseur, etc. Si elles éliminent la menace, ces décisions radicales peuvent être coûteuses pour les entreprises et collectivités. Elles mettent fin à un processus souvent déjà engagé dans lequel l’organisation a investi du temps et des ressources. L’identification et l’analyse des risques en amont sont essentielles pour agir et non subir, et limiter les pertes.
Pour certains types de menaces, la suppression du risque doit être prioritaire. C’est le cas par exemple pour préserver la santé et la sécurité physique des collaborateurs.
Stratégie de gestion 2 : la réduction du risque
Réduire les risques est la stratégie la plus couramment adoptée par les entreprises et collectivités. Elle consiste soit à diminuer la probabilité de survenance de l’événement, soit à atténuer l’impact du risque.
Mise en place de systèmes de sécurité physique et numérique, contrôles comptables, contrôle interne, formation, plan de continuité et de reprise des activités, renégociation des contrats, guides de procédures, équipements de protection individuels (EPI), déploiement d’un outil de planification et de gestion de projet… : les mesures de mitigation pour atténuer les risques sont aussi multiples et variées que les types de risques.
En revanche, mettre en place des mesures de réduction des risques exige un engagement de l’organisation. Cela implique la mobilisation de ressources humaines et financières pour définir, planifier, implémenter, suivre et contrôler le plan de gestion des risques.
Stratégie de gestion 3 : le partage du risque
En fonction du contexte, l’organisation peut choisir de répartir le risque entre plusieurs partenaires. Cela se traduit par exemple par le développement de projets publics et privés communs ou la conclusion d’alliances commerciales. C’est le principe sur lequel repose la coentreprise (ou joint-venture). En s’associant avec un partenaire local, l’entreprise qui souhaite pénétrer un marché à l’étranger assoit sa légitimité et mutualise ses coûts et ses risques.
Le partage du risque réduit la charge du risque porté par chaque partie. Cette stratégie joue sur les complémentarités et développe les synergies. Elle nécessite de la confiance, le partage d’une vision commune et une excellente coordination, mais elle peut aussi être la source de conflits d’intérêts.
Stratégie de gestion 4 : le transfert du risque
Le transfert du risque consiste à déplacer la responsabilité du risque sur un tiers. Ce type de gestion du risque permet à l’organisation de se concentrer sur ses activités et projets, tout en limitant son exposition aux risques.
La couverture assurantielle est la méthode de transfert de risque la plus utilisée par les entreprises et collectivités. En souscrivant des contrats d’assurance, les assurés transfèrent les risques financiers sur les assureurs. Coûteuse mais efficace, cette solution ne couvre cependant pas tous les types de risques.
La sous-traitance est un autre exemple de transfert du risque. En sous-traitant une part de ses activités à une entreprise tiers, le donneur d’ordre se libère d’une partie du risque. Ce transfert n’est cependant que partiel. En cas de retard, de malfaçon ou de toute autre difficulté au cours du projet, le donneur d’ordre subit les conséquences auprès de ses clients, usagers ou administrés.
Stratégie de gestion 5 : l’acceptation du risque
Certains risques ne peuvent être ni supprimés, ni atténués, ni partagés, ni transférés. Ce sont souvent des risques mineurs aux impacts limités ou à la probabilité de survenance faible.
Le coût pour maîtriser ces risques résiduels s’avère généralement plus élevé que celui des potentielles pertes. L’organisation peut alors décider d’accepter délibérément ces risques. Ainsi, une entreprise peut donner le feu vert à la commercialisation de logiciels présentant des bugs mineurs. Pour réduire ses coûts de stockage et de gestion d’un inventaire, un industriel peut préférer conserver un stock minimum de pièces détachées pour réparer ses machines, mais accepter un temps d’arrêt prolongé en cas de panne. Une collectivité peut choisir d’entretenir a minima certaines routes peu empruntées pour investir dans la sécurité de ses bâtiments.
Les organisations peuvent aussi accepter des risques élevés. Elles considèrent alors que les avantages potentiels qu’elles peuvent retirer d’un projet surpassent ces risques. Elles peuvent oser des stratégies ambitieuses pour saisir une opportunité, obtenir un avantage concurrentiel ou se démarquer en innovant. C’est le cas par exemple des entreprises qui investissent dans des projets et marchés à haut risque mais à haut rendement potentiel. Si accepter le risque peut générer des rendements élevés et des opportunités de croissance, cette décision doit s’accompagner d’un contrôle des risques robuste pour éviter les pertes importantes en cas d’échec.
Comment définir sa stratégie de gestion des risques ?
Qu’il soit humain, financier, juridique, environnemental, industriel, opérationnel, de conformité ou de sécurité, à chaque risque, sa stratégie. Pour décider si elle doit supprimer, réduire, transférer, partager ou accepter le risque, l’organisation doit connaître ses risques et comparer les coûts et les bénéfices de chaque solution.
Identifier et analyser les risques
La première étape consiste à identifier, évaluer et hiérarchiser les risques. L’approche est de s’appuyer sur la cartographie des risques pour réaliser cet inventaire, le plus exhaustif possible. La matrice des risques s’applique aussi bien à un projet, un processus, une nature de risques qu’à l’organisation dans sa globalité.
L’évaluation des risques consiste à croiser la probabilité de survenance de l’événement et son impact sur l’organisation. Un risque avec un impact important et une probabilité de survenance élevée est considéré comme critique. À l’inverse, un risque avec un impact faible et une probabilité de survenance faible est considéré comme mineur et acceptable.
La classification des risques varie d’une organisation à l’autre en fonction du secteur d’activité, de la taille, de la localisation géographique et des capacités financières et humaines.
Estimer le coût de chaque type de gestion des risques
Les capacités humaines, financières, matérielles et immatérielles de l’organisation influent sur le choix de la stratégie de gestion des risques.
Chaque type de gestion des risques représente un coût financier. Si elles sont performantes, les mesures de réduction des risques sont les plus coûteuses. Les investissements dépendront de la taille et des objectifs de l’organisation, avec la nomination a minima d’une équipe dédiée ou l’acquisition d’outils de maîtrise des risques. Le transfert des risques se traduit quant à lui par des coûts assurantiels dans le budget de l’organisation.
La suppression, le partage et l’acceptation du risque engendrent des coûts financiers indirects en cas d’échec, mais aussi des coûts immatériels et de réputation.
Comparer les coûts et bénéfices des risques
Le coût de la gestion d’un risque doit aussi être comparé avec le coût de la non gestion de ce risque.
Pour choisir sa stratégie, l’organisation doit mettre en regard les pertes potentielles liées au risque avec les opportunités et bénéfices qu’il permet. Si gérer le risque revient plus cher que les pertes potentielles qu’il peut générer, la stratégie d’acceptation s’imposera. À l’inverse, l’organisation a tout intérêt à agir en le supprimant ou en l’atténuant.
Évaluer la robustesse de l’organisation
La robustesse de l’organisation est un critère important pour définir la stratégie de gestion des risques.
De façon assez caricaturale, une entreprise ou une collectivité solide, avec des finances saines, des partenaires de long terme et des équipes engagées pourra accepter une part de risque plus élevé qu’une organisation jeune, endettée et au turn-over élevé.
Derrière le terme de « gestion » des risques se dissimule une réalité complexe, composée de cinq types de gestion des risques : la suppression du risque, la réduction du risque, le partage du risque, le transfert du risque et l’acceptation du risque.
Le choix du plan d’actions dépendra du type et de l’impact du risque, des coûts acceptables par l’organisation, de sa robustesse et de ses objectifs. Une gestion des risques efficace et proactive combine les différentes approches. Les modules dédiés à la gestion des risques développés par Values Associates accompagnent votre projet de gestion des risques. Grâce à nos solutions digitales 100 % agiles et personnalisables, vous pouvez évaluer, suivre et contrôler vos risques, que vous choisissiez de les supprimer, de les atténuer, de les partager, de les transférer ou de les accepter.