au risque
Transcription
au risque
Parlez-vous ERM ? Ou comment démystifier l’entreprise-wide risk management ?! Professeur Jean-Paul Louisot Université Paris 1 Panthéon/Sorbonne & ENSI Bourges Directeur pédagogique – CARM_Institute © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Qu’entend-on par ERM ? ERM (Entreprise-wide Risk-Management) est devenu le nouveau mantra de la gestion des risques. En réalité, elle se traduit concrètement sur le terrain par une gestion globale et intégrée des risques dans laquelle le rôle des responsables opérationnels devient essentiel. © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Comment implanter l’ERM ? Il faut tout d’abord une volonté de la direction générale en relais d’un choix sans équivoque du conseil d’administration pour développer une véritable culture de gestion des risques En réponse aux … © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites 5 Questions fondamentales ? Quelle valeur crée l’ERM ? Comment mesurer le succès ? Qu’est-ce qui conduirait à un échec ? Quelles ressources y consacrer ? Quelles compétences sont nécessaires ? Pour y répondre il faut envisager l’ERM inscrit dans la G.R.C. © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Le triangle d’or... Un nouveau paradigme Risk-management Licence sociale d’opérer Gouvernance Conformités C’est ce cadre qui permet de répondre aux 5 questions des administrateurs… © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Gouvernance d’entreprise Le système de direction et de contrôle d’un organisme « La gouvernance d’entreprise ou corporate gouvernance fait en général référence aux processus par lesquels les organisations sont dirigées, contrôlées et tenues de rendre des comptes. Elle recouvre l’autorité, la responsabilisation, le pilotage, la direction et le contrôle exercés au sein de l’organisation. » SAA HB 254-2005 Governance, risk management and control assurance Standards Australia. ISBN 0 7337 6892 X © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites La perspective du praticien Frédéric LUCAS Risk and Insurance Manager Groupe Publicis ‐> Retour d’expérience sur la Gouvernance des risques © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites ERM – Une des clés du succès ? Il faut disposer d’ un cadre de référence compris de tous et acceptable pour l’ensemble des opérationnels impliqués, les propriétaires de risque, comme de l’ensemble des parties prenantes. Mais alors… © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites ERM – Quel cadre de référence ? Les standards sont des spécifications ou des code de pratique qui définissent des matériaux, des méthodes des processus ou des manières de faire. Ils servent de référence pour déterminer des niveaux minimum acceptables de qualité, de performance, de sécurité et de fiabilité. Le dernier arrivé est ISO 31000:2009 © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites PROCESSUS RM ISO 31000:2009 C O M M U N I Q U E R ETABLIR LE CONTEXTE P I L O T E R APPRECIATION IDENTIFICATION DES RISQUES ANALYSE DES RISQUES & & C O N S U L T E R EVALUATION DES RISQUES Faut-il traiter les risques résiduels ? NON OUI DES RISQUES TRAITEMENT DES RISQUES © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites R E V O I R ERM – Savoir optimiser la prise de risque ! Prendre des risques est positif, pas implicitement négatif. Prendre des risques ne vise pas à fuir les dangers, mais à dégager des gains ou des avantages. Prendre des risques de façon contrôlée et informée est raisonnable et fait partie de la vie quotidienne. La récompense est à la hauteur des risques pris. Sans prise de risque, pas de progrès. © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites ERM Gérer ou maîtriser les risques ? (1/2) Si nous gérons tous des risques, consciemment ou inconsciemment, nous le faisons rarement systématiquement . Gérer les risques suppose de prendre en compte menaces & opportunités. Gérer les risques passe par une réflexion rigoureuse. Gérer les risques suppose une vision d’avenir. © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites ERM Gérer ou maîtriser les risques ? (2/2) Gérer les risques suppose de rendre des comptes et de disposer de l’autorité pour prendre les décisions. Gérer les risques suppose de communiquer. Gérer les risques suppose une réflexion équilibrée. Gérer les risques procure un cadre pour faciliter une prise de décision efficace. © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites La perspective du praticien ‐> Retour d’expérience sur les référentiels et la norme ISO © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Les défis de la mise en œuvre du RISK MANAGEMENT Appui du PDG & des administrateurs : Il est essentiel de démontrer les retombées favorables de la gestion des risques pour recevoir l’appui indispensable des parties intéressées « clés » pour cette pratique de la gestion. Le conseil d’administration doit percevoir la gestion des risques comme un facteur d’économie (« réduction » ou évitement de charge) et non pas d’un centre de coût supplémentaire. © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Les défis de la mise en œuvre du RISK MANAGEMENT Responsabilisation/transparence : Comment intégrer les activités de « l’assurance raisonnable » avec les activités de la gestion des risques et de la conformité ? Comment impliquer les autres fonctions et leurs compétences professionnelles dans le processus ? Où situer la gestion des risques au sein de l’organisation ? Quel rôle pour le CRO (directeur des risques) ? © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Les défis de la mise en œuvre du RISK MANAGEMENT Quantification du risque : Chaque organisation doit disposer d’échelles spécifiques pour évaluer la fréquence et la gravité des événements aléatoires. La transition de la mesure d’une perspective qualitative à celle d’approximations quantitatives. © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Les défis de la mise en œuvre du RISK MANAGEMENT Intégration avec la stratégie : L’intégration avec la stratégie de l’organisation doit être taillée sur mesure. Gérer les risques est le moyen de prendre des risques avec confiance et de gérer la situation de façon à conduire au succès. Les objectifs et/ou missions de l’organisation sont fixés pour de bonnes raisons, mais trop souvent sans une prise en compte suffisante des capacités opérationnelles. © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Mandat et engagement ISO 31000:2009 Cadre organisationnel Conception du cadre organisationnel de mangement des risques - Compréhension de l’organisme et de son contexte - Politique de management des risques - Intégration dans les processus organisationnels - Responsabilité financière - Ressources - Établissement des mécanismes de communication et de consignation Internes / externes Amélioration continue du cadre organisationnel Mise en œuvre du management des risques -Mise en ouvre du cadre organisationnel du risque - Mise en œuvre du processus de management des risques Surveillance et revue du cadre organisationnel © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites La perspective du praticien Bruno DUNOYER de SEGONZAC Directeur du Management des risques Bouygues Telecom ‐> Retour d’expérience sur l’intégration du RM dans la stratégie © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Les défis de la mise en œuvre du RISK MANAGEMENT Liaison avec la gouvernance et l’impact du changement : Le cadre de référence de la gestion des risques est pro actif et permet aux administrateurs de remplir leurs responsabilités en matière de gouvernance d’entreprise. © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Les défis de la mise en œuvre du RISK MANAGEMENT Parler risque - une même langue : Il est impératif de trouver un langage et d’un cadre de référence cohérents pour communiquer et rendre compte et pour mettre en œuvre la gestion des risques (application de méthodes). Rappel : nous gérons tous des risques consciemment ou inconsciemment – mais rarement systématiquement ! © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Les défis de la mise en œuvre du RISK MANAGEMENT Engagement de la direction : Réduire la résistance au changement : l’appui de la hiérarchie à tous les niveaux contribuera à l’acceptation de la responsabilité et à une participation pro active à l’effort. Confier la gestion aux propriétaires des risques : Ceux qui génèrent et prennent les risques DOIVENT être ceux qui les gèrent; ce sont eux les risk managers. © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Les défis de la mise en œuvre du RISK MANAGEMENT Le processus de gestion des risques : La politique sera mise en œuvre par chaque unité en : Tenant à jour un profil de risque adapté en utilisant les outils d’analyse pour identifier, évaluer, et gérer les risques en suivant le standard de référence. Communiquant sur les problématiques de gestion des risques, de façon appropriée, avec toutes les parties prenantes concernées. © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites La politique du RISK MANAGEMENT Structure & Responsabilités : Le conseil d’administration approuve la politique et la stratégie de gestion des risques globale. Le comité « risques » du C.A. revoit et analyse l’efficacité de cette politique. Tous les responsables opérationnels et les collaborateurs doivent être en charge de la gestion des risques sur le terrain. Le « champion » de la gestion des risques est responsable de la coordination des efforts de gestion des risques et rend compte au comité « risques ». © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Les comités du RISK MANAGEMENT conseil d’administration comité de risk management administrateurs délégués/ dirigeants directeurs de branche ou d’unités Risques au niveau opérationnel rapports d’incident (y compris réclamations) © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites audit conclusions La perspective du praticien Jean‐Philippe RIEHL VEOLIA Environnement Directeur de la gestion des risques Groupe ‐> Retour d’expérience sur les défis du management des risques © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Qui est le Chief Risk Officer ? Un cadre dirigeant compétent qui : Rend compte directement à la direction générale, Fait partie du comité exécutif/directoire Intervient comme conseil et non comme décideur Est un « consultant interne » à la disposition de tous Son action doit s’inscrire dans le cadre d’une délégation d’action aux propriétaires de risques … © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Les défis de la mise en œuvre du RISK MANAGEMENT Lier contrôle et auto évaluation : Mettre en place les moyens d’intégrer et de comparer la stratégie (de haut en bas) et les contrôles et auto évaluations nécessaires (de bas en haut). Valider les contrôles en places et la façon dont il sont effectivement gérer et consolidés. Vérifier qu’ils contribuent à l’efficacité de la gestion des risques au sein de l’organisation, et ne la paralyse pas au contraire. © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Les défis de la mise en œuvre du RISK MANAGEMENT Rendre compte sur les risques : La nécessité de concevoir des contrôles, « reporting », qui assistent l’encadrement avec l’intégration de principes de la gestion des risques dans la prise de décision. Obtenir les outils de diagnostic appropriés pour identifier et rendre compte des risques. Veiller à ce que les données opérationnelles soient disponibles dans un système d’information intégré (Business Intelligence). © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Les défis de la mise en œuvre du RISK MANAGEMENT Business information systems : Mettre en place les systèmes cohérents de collecte et de stockage des informations et données sur la gestion des risques collationnées au sein de l’organisation, Concevoir les types de rapports qui doivent être publiés et quelles données doivent être collectées pour les alimenter, veiller au suivi des recommandations par tous avant de divulguer les informations sur les marchés concernés. © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Les valeurs ajoutées du risk management Moins de surprises par l’anticipation « Pro action » plutôt que « réaction » au risque Meilleure connaissance et compréhension des vulnérabilités, Plus d’opportunités saisies Meilleur contrôle des coûts, Meilleures relations avec les parties prenantes Meilleur service & réputation renforcée. Prise de décision mieux informée, Approche plus systématique & complète de la prise de décision, Meilleure transparence dans la prise de décision © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Les retombées du risk management Planification stratégique efficiente, Amélioration de la performance. Meilleure préparation aux contrôles externes (Agence de notation). Responsabilisation, & gouvernance. « assurance raisonnable » Résilience – Survie à long terme & développement soutenable. © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Gérer les risques est-ce obligatoire ? Non, mais votre survie non plus n’est pas OBLIGATOIRE ! © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites Le défi du risk management Le risque majeur serait de ne pas prendre de risques ! Donc il s’agit d’optimiser la prise de risque en sachant contenir les incertitudes ! © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites En veillant à toujours garder à l’esprit les conseils de deux sages de la gestion des risques : «La gestion des risques est un voyage, et non une destination.»* & «Ne faites jamais la même erreur une seule fois !»* * Kevin KNIGHT, Ancien Président RMIA (Australie), Pt. Commission ISO RM * Dave FRANCIS, Risk Manager - Sunderland (UK) © AMRAE Formation - L’exploitation et la reproduction de ce document sont strictement interdites « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 Parlez-vous ERM ? Ou comment démystifier l’entreprise-wide risk management ! L'Enterprise-wide risk management (ERM), le nouveau mantra des professionnels de la gestion des risques, a fait son entrée dans les comités de direction et les conseils d'administration à la faveur de la crise. Il s'agit bien en effet de gérer l'incertitude, aussi bien potentiellement positive, les opportunités, que négative, les menaces, pour optimiser la prise de risque. En clair, il s'agit d'optimiser la création de valeur pour les actionnaires, les salariés, mais aussi pour l'ensemble de la société. L'ERM est donc bien la pierre angulaire de la responsabilité des dirigeants et administrateurs telle que résumée dans le triangle gouvernance, risques et conformité (GRC). Comprendre et gérer l'incertitude est bien au cœur du développement et de l'exécution d'une stratégie d'optimisation de la contribution de tout organisme à l'ensemble des parties prenantes. Les dirigeants et les administrateurs, souvent encore incertains quant à la réalité de la gestion des risques, se tournent tout naturellement vers ceux et celles qui devraient pourvoir concevoir et mettre en œuvre un programme d'ERM pour permettre à l'organisme d'atteindre effectivement des objectifs ou missions toujours plus ambitieux. En outre, l'ERM pourrait devenir la clé d'une bonne notation car les agences de notation s'y intéressent de plus en plus dans leur quête d'une « assurance raisonnable » des perspectives qui leur sont brossées par leurs clients. Si un lecteur professionnel n'a pas encore eu la conversation sur l'ERM, il n'y a aucun doute que cela arrivera très bientôt. Mais sera-t-il prêt ? Aura-t-il le langage que parlent les dirigeants ? Sans compter qu'obtenir le soutien, et les ressources nécessaires, du conseil d'administration n'est que la première étape. L'ERM, c'est avant tout une gestion globale et intégrée à tous les niveaux de l'organisme, c'est-à-dire déléguée aux responsables opérationnels, les propriétaires de risques. Encore faut-il les convaincre et les former pour qu'ils embrassent la culture de gestion des risques et la communiquent à leurs équipes. Cet atelier, en lever de rideau des Rencontres de l’AMRAE, est une mise en bouche pour le nouveau séminaire pour lequel CARM_Institute et l’AMRAE ont mis leurs forces en commun pour proposer un tout nouveau séminaire conçu par des professionnels pour tous les professionnels de la gestion des risques : « Enterprise-wide risk management : concevoir et mettre en œuvre ». Ce cours unique de haut niveau, conceptuel et pratique, vous sera proposé avec un séminaire résidentiel intensif de trois jours organisé par AMRAE FORMATION, en association avec CARM_Institute, de façon à approfondir et partager l'expérience que chacun pourra tirer de son étude personnelle des documents conçus comme toujours par des professionnels pour les professionnels pour faciliter l'assimilation des concepts et outils du cours. 1 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 Ce module, entièrement nouveau, vient compléter l'ARM – Associé(e) en risk-management – ou le CEFAR, mais peut être également suivi avec profit par tout professionnel, courtiers, assureurs, riskmanagers et dirigeants souhaitant apporter à leurs organismes ces quatre principaux avantages : préparer l'organisme à répondre aux exigences des agences de notations en utilisant la trousse à outils pratiques qui facilite la mise en œuvre d'un programme stratégique d'ERM; procurer aux décideurs à tout niveau les éléments qui permettent de prendre des décisions mieux informées et ainsi d'optimiser la prise de risques en alignant l'ERM sur les objectifs stratégiques; mettre le programme d'ERM sur de bons rails en informant et formant les propriétaires de risques sur les responsabilités nouvelles qui leur incombent en matière de gestion des risques et en les équipant avec les outils nécessaires dérivés du standard ISO 31 000 :2009; communiquer avec et consulter plus efficacement les parties prenantes clés de l'organisme en échangeant avec elles sur la base de cadres de références internationaux reconnus pour l'ERM. Le support de cours sera disponible dès le début du mois de juillet pour les inscrits à la session de septembre 2010. (Il sera remis également aux participants de la session proposée en avant première en septembre 2009). Pour ceux qui souhaiteront acquérir une reconnaissance par les pairs, un examen sera proposé les sessions d'examen ne débuteront pas avant février 2011 pour laisser aux apprenants le temps de se familiariser avec le contenu, et se préparer. Il s'agira d'une toute nouvelle forme d'examen écrit où les candidats, évalués par des pairs, devront faire montre de leur capacité à concevoir et mettre en œuvre un programme d'ERM pour un organisme. Un suivi personnalisé assurera la préparation intensive à la soutenance. Paris, le 17 janvier 2010 Professeur Jean-Paul Louisot, Université Paris 1 – Panthéon Sorbonne Directeur pédagogique de CARM_Institute 2 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 Un Business intelligence System : la clé de l’ERM Si le futur n’est jamais connu avec certitude, « Qui sait ce que demain apportera ? », la gestion des organismes, quelle qu’en soit la nature, implique de prendre des décisions, autant que possible des décisions éclairés par un ensemble d’informations d’origines diverses visant à éclairer ce futur. Au cours de la dernière décennie du vingtième siècle, les progrès de la gestion des risques, comme science du management, se sont appuyés sur le développement de modèle de prévisions, plus ou moins sophistiqués, avec pour objectif l’optimisation de la prise de risque mais en restant encore trop focalisée sur le volant négatif du risque, les menaces. C’est à la première décennie du vingt et unième siècle qu’est revenue d’intégrer aussi le volant positif les opportunités ; en effet, l’absence d’information transversale et fiable sur l’ensemble des activités de l’organisme elle-même, de son réseau de partenaire, et pus généralement de son contexte externe, limitait sa capacité à voir au travers du « nuage de l’inconnaissance ». « Le risque ce n’est pas uniquement le danger; c’est surtout ne pas connaître ce que l’avenir apportera » Peter L. Bernstein La disparition récente de Peter L. Bernstein ne fait que rappeler encore cette idée forte qui doit demeurer au cœur de la gestion des risques de toute organisme, que ce soit pour prendre en compte l’ensemble des retombées d’un investissement, lorsque l’on choisir d’aller de l’avant, ou de prendre du recul avant de prendre un engagement stratégique irréversible. Le cadre de référence ISO 31000:2009 qui sera publié courant octobre met bien en lumière la nécessité de relier trois volets de la gestion Gouvernance/Gestion des Risques/Conformité, ce que certains professionnels visualisent comme le triangle GRC. Il illustre la nécessité de fonder la performance sur des pratiques de gestion des risques solides et un système de gestion globale de l’information au sein de l’organisme, ce que l’on appelle un Business Intelligence System. Le succès dans l’implantation d’un ERM au sein de l’organisme est à ce prix ; il est critique pour garantir que les processus de décision rationnels et transparents prenant en compte les attentes de l’’ensmble des parties prenantes exigés pour une gouvernance moderne. En effet, elle suppose d’apporter « l’assurance raisonnable » que les standards internationaux pour l’évaluation de la performance, la transparence dans le reporting et l’intégrité de l’audit sont enracinées solidement dans la culture de l’organisme. Quelle valeur peut-on espérer créer si on investit dans la mise en œuvre du cadre ISO 31000:2009 ? A tout le moins, on peut escompter une meilleure notation au moment même où les agences qui les délivrent ont compris le parti à tirer de l’ERM pour redresser leur image mise à mal dans le processus de la crise financière. En particulier, les agences de notation vont être attentives à l’assurance raisonnable que les données de l’évaluation des risques sont fiables et cohérentes dans l’ensemble de l’organisme. 3 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 Pour le secteur de l’assurance européen, une étude récente de BDO Stoy Hayward 1 révèle que plus de 60% des assureurs britanniques s’attendent à une enveloppe d’environ € 600,000 pour leur mise en conformité Solvency 2 tandis que 19% pensent plutôt le double. Toutefois, lorsque l’on rapproche ces montants de ceux exposés par les banques pour la mise en œuvre de Bâle 2 et des entreprises cotées sur les bourses américaines pour la conformité SOX, on reste sceptique sur le montant de l’addition finale. A n’en pas douter, il convient que les assureurs et les réassureurs, en particulier ceux installés sur le territoire de l’U.E., soient vigilants et prudents dans leurs investissements pour créer de la valeur dans leurs efforts d’ERM grâce à la mise en place de « business intelligence systems » conçus à l’économie. L’ERM (Enterprise-wide Risk Management) et le Triangle GRC Le triangle d’or développé par les professionnels pourrait devenir la pierre angulaire d’une gestion des risques moderne en cours de reconstruction. En vérité, cette nouvelle mantra de la gestion des risques « GRC », pour Gouvernance-Risques-Conformité, souligne l’objectif d’atteindre des résultats mesurables en matière de performance « GRC ». L’ERM est bien au Cœur de ce dispositif et c’est lui qui est la clé de voûte qui donne la résonance pour une approche intégrée et globale pour l’optimisation de la prise de risque. Le défi de la performance en GRC peut être résumé dans cette illustration : « Dans un culture de conformité, un piéton arrivant à un feu rouge clignotant s’arrête sans se poser de question ; dans une culture de gestion de risque il doit aussi regarder à droite et à gauche avant de s’engager et traverser s’il n’y a aucun véhicule à l’horizon.» 2 C’est en novembre 2007 lors de la conférence annuelle du RMIA 3 que j’ai pour la première fois eu un exposé clair de ce que le rapprochement des trois disciplines impliquait. De leur liaison organique. L’évolution que connaît l’Australie peut s’étendre à l’ensemble de la planète et voici de quelle façon l’orateur s’exprimait. Avant même que les retombées de la crise financière de septembre 2008 ne se fassent sentir, Marianne Robinson 4 précisait : « Le vent des réformes réglementaires qui souffle dans le monde entier depuis le début du siècle a un impact considérable sur la façon de gérer les risques dans les organismes publics ou privés en particulier du fait des duplications, voire contradictions, des réformes et réglementations nouvelles. Ces réformes ont induit des modifications sur la gouvernance et la portée de la gestion des risques qui forcent les organismes à repenser leurs approches pour se mettre en conformité avec des cadres de référence imposés par les code de conduite, les standards prudentiels, ainsi que les législations diverses. . Si la gestion des risques a gagné des galons dans la hiérarchie des organismes, c’est le plus souvent sous l’angle de la gouvernance et de la conformité. Le resserrement de la nasse légale et 1 Business Insurance 14/07/09 2 Jeanette Ward, Primary Credit Analyst at Standard & Poor’s in The Analyst number 1 2007 p.6 published by AON Australia, www.aon.com.au RMIA is the Risk Management Institution of Australasia 4 “Why is governance suddenly so popular with risk managers?”; RMIA Conference, November 25, 2007 3 4 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 réglementaire a en effet éveillé un niveau d’intérêt, voire d’inquiétude, des mandataires sociaux et dirigeants, qui n’existaient pas autrefois. Les conseils d’administration s’impliquent davantage dans la gestion des risques mais cette attention n’est pas sans effets pervers. En effet, trop d’administrateurs se contentent d’une analyse des risques juridiques, en particulier ceux pouvant entraîner pour eux un engagement de responsabilité, ce qui les rend plutôt frileux face aux risques. La conséquence la plus malheureuse de cet état de fait est que de trop nombreux organisme sont englués dans des programmes lourds de conformité, style « cocher les cases » et finissent par perdre de vue l’essentiel, la définition et l’exécution dune stratégie « gagnante » et optimisant la prise de risque. Le défi à relever par les organismes tant privés que publics est de gérer ces risques juridiques, de mettre en place des processus de conformité et de gouvernance, sans tuer l’initiative, c’est à dire sans créer un environnement tellement frileux face au risque qu’il conduise à la paralysie. Pour ce faire, une des clés est que les administrateurs et les dirigeants définissent des seuil de tolérance en même temps que des niveaux d’appétit de risque en gardant à l’esprit l’évolution des esprits et des attentes de parties prenantes. Dans l’ère post Sptizer on peut penser que des pratiques autrefois courantes ne seraient plus acceptables aujourd’hui ! C’est dans ce contexte que l’acronyme GRC doit demeurer la perspective dans laquelle les organismes tant publics que privés inscrivent leurs efforts pour développer des solutions intégrées tricotant ensemble les exigences de ces trois pôles, distincts mais similaires. Bien entendu, dans cette approche, les risques juridiques doivent être portés à l’attention des dirigeants pour qu’ils puissent mesurer leur impact sur les relations à établir entre les équipes « risk management » et « conformité » qui ont en général des compétences et des cultures très différentes, mais complémentaires. La question est de savoir si un nouveau type de professionnel hybride de la gestion des risques émergera pour rendre compte de façon cohérente des trois pointes du triangle de GRC. » De nombreux analystes ont voulu voir dans la crise financière de l’automne 2008, la preuve de l’incapacité de la gestion des risques de prévenir la catastrophe ; certains ont même cru pouvoir s’aventurer à prédire la fin de la gestion des risques. Mais n’est-ce pas plutôt l’échec d’une gestion morcelée, en silos, des risques sans véritable intégration ? Certains auteurs blâment même la GRC pour ces événements et on pouvait lire récemment sous la plume de Michael Moody le jugement suivant : « A l’initiative des directeurs de conformité, une tendance récente s’est fait jour dans les organismes d’intégrer dans un même ensemble le risk-management, la gouvernance et la conformité. Cette fusion connue sous l’acronyme GRC à conduit trop souvent à une mentalité de 5 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 « checklist ». C’est pour cela que les dirigeants et mandataires sociaux ont commencé de s’interroger sur le bien fondé des investissements consentis pour relever ces défis de la conformité. Ne percevant pas très bien la valeur ajoutée de ces efforts, ils les remettent en question et s’interrogent pour savoir si les intérêts de l’organisme ne seraient pas mieux servis par des initiatives visant à renforcer sa compétitivité. Certains observateurs pensent même que l’approche dite GRC n’est pas soutenable à long terme et qu’il faut dégager la gestion des risques de la tutelle de la conformité. » 5 S’il convient de garder à l’esprit le piège décrit par Michael Moody, il n’en est pas moins vrai que de puissants vecteurs poussent à une approche intégrée, si autonome, des trois pointes du triangle GRC : 1. La relation intrinsèque entre gouvernance et risques: L’espace des vulnérabilités d’un organisme comprend un grand nombre de risques très divers ; toutefois un nombre plus limité peut effectivement remettre en cause l’atteinte de ses objectifs stratégiques. Certains de ces risques sont directement liés à la gouvernance. La philosophie de gouvernance d’un organisme, ainsi qu’il ressort de son cadre de gouvernance, des es politiques, de ses pratiques et de la mise en œuvre de ces politiques, peut soutenir ou non l’atteinte de ses objectifs. Mais, à l’inverse, le cadre de gouvernance de l’organisme constitue également un outil de gestion des risques adopté par le conseil d’administration sous mandat des actionnaires. 2. Les éléments fondamentaux d’un cadre de gouvernance : Bien entendu, on peut imaginer différents cadre de gouvernance qui permettrait à l’organisme de respecter ses obligations de conformité. Il revient à chaque organisme de concevoir le cadre hybride qui répond le mieux à ses besoins propres. Dans tous les cas, il devra répondre aux attentes de performance des autorités de contrôle et du marché. Un modèle de gouvernance doit être construit sur les prémices suivantes. La gouvernance : n’est pas seulement un outil pour satisfaire une législation ou une réglementation, elle vise à faire ce qui est le mieux pour les actionnaires. ne se limite pas à la mise en place de comités et de conseils, elle s’applique à l’ensemble de l’organisme, inclut les fonctions de contrôle interne et de conformité, en particulier la gestion des risques, l’audit interne, et l’audit externe. repose sur la transparence ; une communication effective, une métrique définie et la responsabilisation des acteurs sont des composantes essentielles d’une bonne gouvernance. Le fondement d’un modèle de gouvernance efficace pour tout organisme privé est la structure qui comprend les propriétaires, ou actionnaires qui confient la gestion à des mandataires, administrateurs, dont le rôle est de veiller au bon développement de l’organisme et à nommer les dirigeants qui conçoivent les stratégies, déploient les ressources, conçoivent et contrôle la mise en œuvre de processus, pour générer des surplus, bénéfices, et créer de la valeur, pour les 5 Rough Notes (06/09) Vol. 152, No. 6, P. 46; Moody, Michael J. 6 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 actionnaires. 3. L’impact de la culture de l’organisme sur la gouvernance et la gestion des risques : Au cours de cette décennie, les organismes tant publics que privés ont fait des efforts considérables pour développer de robuste structure pour la gouvernance et la gestion des risques pour s’apercevoir in fine que l’équilibre entre les deux leur échappe encore. Une enquête récente auprès d’opérateurs importants du secteur minier 6 a permis de dégager une conclusion importante : les responsables estiment que greffer la gestion des risques sur la culture existante de leur organisme est un défi à relever, une des clés de leur futur. Sous réserve qu’il soit légitime d’étendre ces résultats à l’ensemble des secteurs on pourrait conclure que la greffe de la gestion des risques et de la gouvernance dans les cultures d’entreprise existante n’est pas chose aisée. Il se pourrait que les dirigeants n’aient pas tout à fait saisi l’importance du changement qu’implique l’alignement des objectifs de l’ERM et les pratiques effectives des dirigeants, en un mot, leur rôle majeur d’exemple et d’agent du changement. La greffe de la gestion des risques sur la culture existante de l’organisme ne peut prendre que si elle s’appuie sur la formation de tous les collaborateurs de façon à ce qu’ils acquièrent les compétences indispensables à l’appropriation du processus de gestion des risques par les opérationnels, les propriétaires de risques. Il faut en outre qu’ils puissent comprendre pourquoi d’évolutions qui pourraient les inquiéter et la nécessité d’embrasser les nouveaux processus. Il pourrait être « confortable » pour certains de s’affranchir de certaines étapes dans le processus de décision, de préférer la politique de l’autruche à un réalisme trop cru, dérangeant surtout quand il faut informer et consulter des parties prenantes internes ou externes. Donner le ton de la culture de gestion des risques relève de l’exemple au sommet, avec des références se prêtant à la mesure, des métriques reliant politiques et pratiques. Certes la culture est immatérielle, mais rien n’interdit d’introduire des instruments de mesure concrets pour en valider l’évolution. C’est indispensable pour influencer les comportements et assurer l’alignement de la gouvernance et des objectifs de performances de la gestion des risques au travers des indices de risques clés (KRI – key risk indicators-) et indices de performances clés (KPI – key performance indicators). Toutefois, en matière de changement dans les organismes, il faut se garder de la précipitation, l’évolution d’une culture est toujours un processus lent, exigeant des délais de maturation. Enterprise-wide Risk Management et Business Intelligence Systems : L’ERM – Enterprise-wide risk management – est suppose une approche globale and intégrée de la mise en œuvre de la gestion des risques : • 6 Globale : C’est à dire qu’elle prend en compte tous les risques, positifs comme négatifs, de façon transversale sur l’ensemble des fonctions et processus pour assurer l’optimisation de la prise de risque, contenir les menaces et favoriser les opportunités. Ernst & Young, Attitudes to risk in the Global Mining Sector, 2007 7 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 • Intégrée : C’est à dire que l’ensemble des fonctions et processus de l’organisme sont impliqués dans la gestion des risques ; les propriétaires de risques sont responsabilisé et comptable de la gestion des risques qu’ils contrôlent pour l’organisme. Bien entendu, cela suppose que la culture de l’organisme ne rejette pas le greffon de la gestion des risques. C’est pour cela qu’un organisme améliore ses processus de décision, stratégique ou tactique, en mettant en place un système cohérent de recueil, de gestion, et de production d’informations, un BIS – business intelligence information systems – qui produit de l’information utile et pertinente à partir de l’ensemble des données recueillies et traitées. Un « Business intelligence (BIS) system » rassemble l’ensemble des flux de données qui circulent à l’intérieur de l’organisme pour la prise de décision, pour les contrôles internes, comme pour la notation. Le BIS est donc la clé de voûte d’un reporting transparent. Il soutient les objectifs de la gouvernance pour la responsabilisation des acteurs au travers d’un suivi de la performance, de la conformité légale et réglementaire, et de l’intégrité des processus d’audit. Définition des Business intelligence Systems Ce sont les processus des systèmes d’information d’un organisme qui extraient, transforment, et charge les données pertinentes de l’organisme dans une structure intégrée qui planifie et contrôle les flux d’information de la prise de décisions, affectant l’arbitrage entre les différents risques, menaces et opportunités. Définition dérivée de “Enterprise-Wide Risk Management: Developing and implementing” – IIA Octobre 2009 Le BIS extrait, transforme, et charge les données en provenance de diverses sources, internes et externes, dans un cadre intégré de mesure de la performance pour garantir que la cohérence des définitions et des calculs qui sous-tendent l’analyse de l’organisme et les éléments du reporting. Alors, les principales fonctions d’un BIS peuvent être résumées ici. Le BIS procure : • • • • • • les indices de performance de la gestion les informations pour le suivi des responsabilités les indices de performance pour les responsabilités La recherche des données pour les contrôles ponctuels la notification des alertes sur les risques, « clignotants » la gestion des données pour la gouvernance des systèmes d’information. Les sociétés d’assurance et de réassurances implantées sur le territoire de l’Union Européenne, y compris les captives, doivent se mettre en conformité avec Solvency 2 c’est à dire de mettre en place des mécanismes de contrôle interne et des processus de risk-management efficaces pour contenir les menaces sur leurs capitaux propres pour en assurer l’adéquation. Par ailleurs, les critères d’évaluation de la gestion des risques définis par les agences de notation, et tout particulièrement Standard & Poor's (S&P) proposent un cadre générique compatible avec le standard international ISO 31000 : 2009 qui sera publié en décembre 2009. Ils donnent une base pour l’évaluation de l’efficacité des programmes d’ERM des organismes. Les organismes qui 8 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 auront su développer et mettre en œuvre des programmes d’ERM appuyés sur des BIS pour intégrer la dimension risque dans leurs processus de décision à tout niveau devraient obtenir des notes supérieures, et donc un accès plus aisé et moins onéreux aux marchés financiers. Les responsabilités liées à la culture de risk–management se reflètent dans l’usage du BIS pour la mise en place et la gestion des rôles d’encadrement en matière de gestion des risques. Le P.D.G. et le directeur financier dans les entreprises cotées en bourse, en particulier aux Etats-Unis, ont une responsabilité non transférable de certifier annuellement non seulement la sincérité des comptes, mais également l’intégrité des contrôles internes des risques. La mise en place d’un ERM appuyé sur un BIS apporte aux organismes de contrôle l’assurance raisonnable que les principes de gestion des risques sont bien générés et contrôlés au plus haut niveau dans l’entreprise. C’est ainsi que l’exemple venu d’en haut entraîne bien l’implication de tous dans une démarche qui s’étend donc ainsi à tout l’organisme. Le BIS, la gouvernance informatique et les documents produits par un système intègre démontrent que l’organisme soutient les efforts et est comptable de l’atteinte des objectifs de la gestion des risques. Lorsque les contrôles internes sont importés dans la base de données du BIS, ils deviennent le point central de l’alignement des activités de la gestion des risques avec le reporting. Les dimensions du BIS en ce qui concerne les risques, les politiques, les comptes généraux, et les choix de l’organisme servent de pierres angulaires pour l’approfondissement de la recherche sur la qualité des contrôle des risques en place et des moyens de mitigation nichés dans les rapports quotidiens, ou mensuels de pilotage de l’activité. . Pour préparer le dossier de justification de l’ERM devant les dirigeants, une fonction spécifique ou un jeu de rôle peut être utilisée pour filtrer le compte-rendu pour illustrer le fonctionnement des responsabilités en matière de risque. On peut ainsi filtrer les résultats par propriétaire de risque, responsable financier ou ligne de management. Les dirigeants sont alors en mesure de visualiser la contribution et la performance de chacun ainsi que la cohérence de la répartition des responsabilités en matière de risque. Ces vérifications et contre vérifications confirment la qualité de l’intégrité financière et des pratiques de recueil et de traitement de l’information. Pour valider l’atteinte des objectifs du programme de gestion des risques, il faut définir un indice d’ERM pour montrer comment chaque responsable, chaque propriétaire de risques, est comptable du diagnostic et du traitement des risques de son “centre de risques” et cet indice est intégré dans son évaluation globale qui détermine les primes de performance. Il faut pouvoir descendre dans l’analyse de façon à valider que le processus d’ERM est bien continu et revient sans cesse sur les évaluations, en particulier des risques résiduels pour les rapprocher des seuils de tolérance u risques définis, voire pour les assureurs et réassureurs, valider les différents types de provisions, et les montants en clôture (les entreprises industrielles et commerciales se trouvent confrontées à des problématiques similaires lorsqu’elles gèrent des captives). Présenter et défendre le projet ERM/BIS devant les administrateurs Bien entendu la cause semble entendue pour les sociétés d’assurances et de réassurances soumises à une approche ERM pour se mettre en conformité avec Solvency 2, mais même pour elles, et sans 9 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 parler de toutes les autres formes d’organismes, publics ou privés, le conseil d’administration doit être convaincu que l’approche retenue est bien créatrice de valeur. En particulier, ils voudront comprendre pourquoi la démarche d’ERM et le BIS sont interconnectés, et s’ils peuvent attendre un rendement raisonnable d’un tel investissement. L’ERM ou Enterprise-wide risk management figure aujourd’hui au plus haut niveau des priorités dans les agendas des conseils d’administration. La gestion des incertitudes du futur, positives, les opportunités, comme négatives, les menaces, sont indéniablement au cœur de la responsabilité fiduciaire des administrateurs telle qu’elle ressort du triangle GRC pour le suivi des principes de gouvernance, de gestion des risques et de conformité. Si entreprendre c’est prendre des risques, comprendre et gérer l’incertitude est essentiel tant pour définir que pour exécuter une stratégie assez souple pour répondre et s’adapter aux changements, c’est à dire aux événements inattendus qui ne manquent pas de survenir au cours de la vie de tout organisme. C’est seulement ainsi qu’il y aura création de valeur à long terme, pour les actionnaires, pour les parties prenantes et plus généralement pour la société, selon l’objet et la mission de l’organisme concerné. L’encadré qui suit résume les avantages à attendre d’un BIS efficace. Les retombées des Business Intelligence Systems (BIS) Les Audits résultant de l’utilisation de BIS permette une validation en temps réel de la TRANSPARENCE de l’information et la confirmation que les responsables comptables des décisions sont informés en temps et heures via les systèmes informatiques des éléments indispensables pour prendre des décisions éclairées. Cela apporte en particulier pour les assureurs et réassureurs européens la preuve de la mise en place d’une conformité Solvency 2 en matière de test… Le cadre de référence des « meilleures pratiques » pour évaluer les pratiques en cours dans l’organisme au niveau de l’ERM et des cibles de performance. Suivre l’exécution du calendrier arrêté en accord avec le comité risques du conseil d’administration et de descendre au niveau de la responsabilité et de la transparence qui soutient l’atteinte des objectifs stratégiques de l’organisme. Evaluer les déficits d’information qui peuvent affecter la performance de la gestion des risques et qui pourraient induire des sous provisionnements, voire des poursuites judiciaires. Contribuer à la réalisation d’un consensus sur les priorités du programme d’ERM au sommet de l’entreprise et dans les fonctions clés qui sont directement rattachées au directeur général. Il serait naturel que les mandataires sociaux et dirigeants se tournent vers les sachants de leur organisme, les professionnels de la gestion des risques pour passer la vitesse supérieure de la mission en intégrant la gestion des risques dans toute la vie de l’organisme. Encore faut-il que ces professionnels du risque sache acquérir les compétences qui leurs manquent encore trop souvent 10 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 pour avoir cette vision globale et stratégique indispensable pour concevoir et mettre en œuvre un programme de gestion globale et intégrée de tous les risques. En toute hypothèse, par delà la qualité du projet, il se pourrait que l’incitation la plus forte pour les dirigeants de se lancer dans l’aventure ERM vienne des agences de notation. En effet, si leur intérêt pour l’ERM se confirme, elles intégreront une évaluation des efforts en ERM dans leur note globale, et le maximum ne pourra jamais être attribué aux organismes qui failliront dans ce domaine. C’est dans doute une bonne nouvelle pour le risk manager alors même que les conditions d’accès aux marchés des capitaux sont plus sensible que jamais à la qualité de la note. Il faudra faire attention tout de même à ne pas ramener une fois de plus la gestion stratégique des risques à un exercice de conformité qui mettrait de nouveau les organismes à la merci d’agents extérieurs privés. Un dernier conseil aux professionnels de la gestion des risques actuellement en fonction dans un organisme. A supposer que la discussion autour de l’ERM n’ait pas été amorcée encore, ou que vous n’y soyez pas encore impliqué, cela ne saurait tarder. Il est encore temps de vous y préparer mais il faut garder la tête froide. Le feu vert et l’implication du conseil et des dirigeants n’est que la première étape, peut être finalement la plus facile du fait des pressions externes exercées sur eux pour se plier à l’exercice. Le plus dur restera à faire avec la conduite du changement pour former tous les propriétaires à la gestion de risques. S’ils sont responsabilisés, en effet, encore faut-il leurs donner les compétences pour exercer ces nouvelles missions efficacement. C’est pour cela que CARM_Insitute, toujours appuyé sur ses correspondants internationaux propose un nouveau module qui pourra être décliné en stratégie pour les mandataires sociaux, et en tactique pour les opérationnels, pour accompagner les risk-managers dans leurs nouvelles missions de coaching et de vision stratégique. Les objectifs pédagogiques visent à équiper les professionnels de la gestion des risques pour leur permettre de : • • • • Préparer l’organisme à répondre aux attentes des agences de notation en matière d’ERM avec une trousse à outils pour les aider à développer et à mettre en œuvre un programme d’ERM efficient; Mettre leur organisme en mesure de prendre des décisions mieux informées en matière de risques et ainsi d’optimiser la prise de risque en alignant les objectifs stratégiques et les objectifs de l’ERM; Positionner le programme d’ERM pour en assurer le succès en apprenant à former et coacher les responsables opérationnels sur la base des préconisations du standard ISO 31000 :2009; Communiquer et consulter plus efficacement les principales parties prenantes, internes et externes, en s’appuyant sur un cadre de référence internationalement reconnu. Dr. Richard Connelly, PHD Chairman, Business Intelligence, International Professeur Jean-Paul Louisot Université Paris 1 Panthéon/Sorbonne & ENSI Bourges Vincennes, 17 septembre 2009 11 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 Conduire l’ERM vers de nouveaux sommets ! La sixième édition annuelle du sommet de l’ERM a réuni à New-York vingt six professionnels de la gestion des risques dont les entreprises sont à des degrés divers de maturité dans la mise en œuvre de la démarche globale et intégrée de gestion des risques qu’il est convenu d’appeler désormais Entreprise-wide Risk Management (ERM). Il ressort des discussions que les formes que revêt cette démarche varient énormément d’un organisme à un autre en tenant compte de son histoire, de sa culture propre, de celles de ses dirigeants que de la branche d’activité dans laquelle il opère. Deux représentants des « utilities », distributeurs d’électricité, nous ont montré deux visions très différentes de leurs risques même si leur objectif stratégique fondamental est le même : assurer l’énergie sans (trop) coupure à l’ensemble de leur clientèle. Une leçon se dégage de ce « sommet » c’est que l’ERM ne peut pas se développer sans un engagement ferme des dirigeants, en parole mais aussi en acte. Il faut les ressources financières et humaines nécessaires à la prise de greffe des compétences en gestion de risques sur la culture d’entreprise existante; en particulier, la confrontation des expériences éclaire encore l’importance du placement hiérarchique du principal professionnel de la gestion des risques. Quelque soit le titre retenu, Chief Risk Officer, Directeur Central des risques, ou tout autre titre approprié, il est clair que rien ne change si le rattachement n’est pas en N-1, ou au N-2, par rapport au principal dirigeant. En effet, l’implantation d’une démarche d’ERM, impose que tous les risques soient approchés comme un portefeuille d’actifs potentiels, les opportunités, et de passifs potentiels, les menaces pour optimiser la prise de risque dans l’ensemble de l’organisme ; c’est donc bien un changement qu’il faut conduire, un changement dans les façons de faire, de prendre des décisions, en intégrant systématiquement la dimension risque dans tous les processus de réflexion. Le CRO est le principal agent de changement et il doit donc savoir développer un plan pour mener à bien un projet : au départ de l’entreprise, l’ERM est un projet dont l’objectif est de transformer les modes de pensée pour intégrer la démarche de gestion des risques comme un processus « naturel » de l’entreprise dans tous ses processus. Mais cette avancée suppose qu’il soit aussi un « facilitateur » à l’écoute des risk-managers véritables, les opérationnels de tout niveau. Bien entendu, dans cette perspective il va falloir imaginer des métriques pour mesurer la performance de chacun en matière de gestion des risques car la greffe ne prendra que si chacun y trouve un intérêt plus direct que celui de « garder son emploi à long terme ». C’est un des problèmes qui devra être abordé avec les ressources humaines et le comité « rémunération » du conseil d’administration car les récompenses sont accordées sur la base des résultats à court terme, le plus souvent en termes financiers et auditables. Avec la gestion des risques responsabilité de tous, il faut donner l’autorité pour prendre les décisions qui s’imposent, et récompenser les « bonnes décisions » et non plus uniquement les « bons résultats » en se déplaçant d’un horizon de court terme, au maximum annuel, à un horizon pluriannuel, idéalement entre cinq et dix ans. C’est une véritable révolution, non seulement pour les « traders », mais plus généralement pour tous les responsables et dirigeants. Ce changement de 12 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 discipline devrait s’accompagner de révisions déchirantes pour plus d’un « cadre supérieur et dirigeants » : Sont-ils prêts pour une telle discipline ? Les enquêtes menées par le RIMS et les expériences des participants se rejoignent : un des blocages les plus difficiles à surmonter est la définition d’un seuil d’appétit de risque, ou de tolérance au risque, quantifié et ensuite décliné précisément pour confier à chaque propriétaire de risque l’autorité nécessaire pour la gestion optimale des risques à tous les étages, ce qui veut dire contenir les menaces mais aussi saisir les opportunités. C’est pourquoi, il apparaît que ceux qui ont une expérience dans la gestion de projet, dans la qualité peuvent être utile si on sait dépasser la contrainte de rigueur pour laisser un peu de place à l’imagination car il est de plus en plus clair que la montée de l’aberrant est une réalité à laquelle nous sommes tous confrontés. Il nous faut bien admettre que certains des cygnes noirs ne sont pas toujours perceptibles, non pas tant parce que nous ne cherchons que des cygnes blancs, mais plus simplement parce que la mécanique du monde est si complexe que c’est bien la théorie du chaos seule qui nous permettrait peut-être d’imaginer l’inimaginable. C’est dans cette perspective que l’ERM ne peut se contenter du retour d’expérience, certes il serait impardonnable de ne pas conduire une analyse des causes racines, ou une approche AMDEC pour la sûreté de fonctionnement, mais il faut toujours être prêt pour l’imprévisible. Pour s’y préparer, il faut bien entendu se doter des moyens d’assurer la résilience à tout moment et pour tout scénario, mais dans les fait même les tenant des plans de continuité « tout événement » savent bien que les plans sont construits avec des hypothèses, qui seront on respectées lors de l’événement redouté. En fait, la notion d’événement sentinelles, issu du monde de la santé, gagne du terrain et l’on comprend bien que des « vigies risques » sont indispensables pour accélérer la réaction avant même que la menace arrive, ou que l’opportunité se présente. Une des remarques qui s’imposent à la suite de ce séminaire c’est la modification profonde du monde de la gestion des risques vis à vis du cadre de référence proposé par le standard ISO 31000:2009. L’acharnement de Kevin Knight, aidé d’une poignée de pionniers, à conduire le navire à bon port semble finalement payé et à quelques jours de sa publication officielle, le standard est à tout le moins accepté comme une réalité. Certains s’inquiètent encore de sa transformation éventuelle en standard certifiable, son préambule exclut une telle évolution, ou regrettent que l’ISO 9000 n’ait pas été étendu à la gestion des risques, mais le processus me paraît plus adapté aux risques de fréquence, qui sont souvent en effet des défauts de qualité, qu’au risques exceptionnels. Bien sur, il reste l’hypothèque canadienne avec leur propre standard mais la nécessité pour les réseaux d’approvisionnement d’avoir une cohérence de gestion des risques chez l’ensemble des acteurs devrait permettre de trouver un terrain d’entente. Tous les professionnels reconnaissent que l’ISO 31000:2009 apporte en fait une référence et un ensemble de recommandations de bon sens reliant la gouvernance, la conformité et la gestion des risques dans un tout cohérent reposant finalement comme l’ensemble des standards de management ISO sur la boucle d’amélioration permanente (PDCA en anglais Plan, Do, Check, Act) ; la boucle appliquée au processus de gestion des risques donne : 1. Planifier – Concevoir le cadre organisationnel pour gérer les risques. 2. Faire – Mettre en œuvre la gestion des risques. 13 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 3. Contrôler – Assurer le suivi et la revue du cadre organisationnel de la gestion des risques. 4. Agir – Amélioration continue du cadre organisationnel de la gestion des risques. En fait si on passe en revue les problématiques rencontrées par les professionnels sur le terrain, on retrouve bien plus ou moins formalisés les sept attributs proposés par le RIMS dans son modèle de maturité qui invite ses membres à mesurer le chemin parcouru par leur organisme vers le but d’un ERM parfaitement implanté et efficient : 1. Adoption d’une approche ERM : Cette étape doit s’accompagner du soutien des dirigeants, d’une vision à long terme, de la définition d’une méthode et de l’enrôlement des propriétaires de risques. 2. Processus de Management ERM : Définition d’un processus répétable, d’une boucle de retour pour l’amélioration continue et l’audit des progrès. 3. Gestion de l’appétit de risque : La nécessité d’un approche « portefeuille » et la définition claire des relations entre risque et récompense. 4. Processus de retour d’expérience : L’analyse systématique des événements doit s’inspirer de ce qui se fait dans l’industrie aéronautique ; mais il faut dépasser l’analyse du passé, même des incidents, pour avoir une vision du futur. 5. Recherche des risques émergents : Mise en place de vigie et faire des exercices systématiques de recherche de scénarios nouveaux, des nouvelles menaces et des nouvelles opportunités. 6. Gestion de la performance : La définition de métriques pour mesurer la gestion des risques, la communication avec les propriétaires de risques et la récompense des bonnes performances. 7. Soutenabilité et résilience de l’organisme : Planification pour les événements probables ou possibles (Plan de Continuité d’Activité), et formation à la réaction proactive aux ruptures pour les dirigeants (Plan de redéploiement stratégique). Ce compte-rendu des discussions en petits groupes, en réunion plénière et pendant le partage d’un excellent dîner dans un restaurant italo-argentin, un des métissages si fréquents à New-York, est bien entendu biaisée et personnelle. Toutefois, il reflète bien les principales défis à relever lorsqu’il s’agit de convaincre les dirigeants de la nécessité de la démarche, et d’investir les ressources nécessaires pour espérer obtenir la création de valeur que génère la gestion des risques essentiellement en améliorant l’information disponible pour la prise de décisions rationnelles et optimales en fonction des objectifs stratégiques. Pour intéressantes qu’ils aient été, les échanges entre les participants ont été aussi alimentés par les exposés d’orateurs qu’il convient de citer ici, en oubliant celui de Marc Siegel d’ASIS international sur l’ISO 31000 :2009 puisque nous avons déjà rendu compte des travaux et des résultats du groupe de travail qui l’a préparé. « La planification stratégique et les risques émergents » par Charles Jones, Project Manager chez United Illuminating Company L’intérêt de la présentation est d’illustrer l’idée que la plus sévère menace pourrait bien offrir aussi la meilleure opportunité. UI est une société réglementée de transport et de distribution d’électricité installée dans l’état du Connecticut. En décembre 2006, du fait du changement de la réglementation de l’état, UI a du remplacé son contrat de trois ans par de nouveaux contrats accompagnés d’une augmentation de 40% ce qui n’améliorerait pas la réputation de l’entreprise auprès de ses clients ! Ceci est à rapprocher des trois menaces stratégiques recensées par UI : 14 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 • • • insatisfaction de la clientèle augmentation des réclamations des clients, impact sur la planification financière. Pour répondre UI doit travailler sur le court, moyen et long terme et a du travailler avec le législateur pour être autorisée à entrer dans des contrats pluriannuels (pour stabiliser les prix) et à construire des capacités de génération d’électricité (pour éviter les délestages en cas de défaillance réseau). C’est ainsi que UI a cherché un partenaire pour partager l’opportunité de façon à trouver des sites déjà autorisés pour l’installation de capacités, et une expérience sur la construction de centrales d’appoint. Pour résumer, la triple menace a pu être commuée en opportunité grâce au recensement systématique de l’ensemble des incertitudes pesant du l’entreprise. On notera que le risk manager de UI a une expérience de gestion de projet et de gestion de qualité ce qui lui a donné l’occasion de contacts positifs avec les propriétaires de risques et d’établir des relations de confiance avec eux qui lui servent pour l’extension de la gestion des risques, des projets à l’ensemble des processus de la société. « Qu’est ce qui rend un organisme intelligent en matière de risques ? » par une équipe de Crockett Technologies, avec son président Bruce Croquett et de MARSH représentée par son le PDG de MARSH Inc. Daniel S. Glaser et l’ERM practice leader, Mat Allen. Alors que les gestionnaires d’actifs financiers ont été largement « brûlés » en 2008, une société est restée pratiquement en dehors du phénomène, c’est INVESCO dont on peut résumer les forces de l’ERM en quatre points : • Gouvernance des risques : La prise en compte du risque est effectivement incorporée à la gestion normale de l’organisme, • Cadre organisationnel de la gestion globale et intégrée des risques (ERM) : Il y a plus de 30 comités centrés autour de la gestion des risques et 300 cadres engagés directement dans le dialogue et l’action sur les risques, • Conscience et engagement des administrateurs : Le conseil d’administration est régulièrement informé sur les risques et un comité est chargé du suivi sur les risques critiques pour assurer que le conseil reste en alerte, • Cadre et processus établis pour la gestion des risques : L’ensemble de l’organisme partage un langage commun sur les risques et un cadre de référence pour assurer la cohérence de l’ensemble de l’exercice. Il est difficile de résumer en quelques phrases le riche exposé des responsables de Marsh conclu avec la distribution d’un ouvrage récent rédigé par un consultant maison sur la gestion des risques de la chaîne logistique 7 . Toutefois, on peut reprendre la citation de Brian Duperreault, PDG de Marsh MMC : « Ce qui est pour moi vraiment fondamental c’est que le PDG de l’entreprise soit vraiment le patron de l’ERM. Si ERM et direction sont synonymes, alors c’est la bonne approche : l’ERM est bien intégré intimement au cœur de la stratégie. » En appui de cette citation, les intervenants nous ont donné les principaux éléments de l’ERM chez 7 Lynch Gary S. – Single point of failure, John Wiley & Sons, NY 2009 15 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 Marsh : • Identification en continue des risques critiques, identification et classement par priorité des risques critiques, entretiens et ateliers d’évaluation avec les propriétaires de risques et leurs équipes, registre des risques à impact significatif. • Evaluation des initiatives en matière d’ERM, fréquence et gravité, matrice de contrôle, identification et correction des possibles « trous » de gestion, • Exécution des plans d’action et protocoles de gestion des risques, y compris les retours d’expérience, attributions des risques critiques à des propriétaires identifiés, suivi des traitements pour valider leur efficacité, reporting et mise à jour. L’ensemble des efforts développés au sein de MARSH ont pour but d’assurer au client le meilleur service « sans couture » tout en permettant une utilisation optimale des ressources pour l’efficience économique du groupe. Cette veille est aussi appliquée aux assureurs auxquels Marsh confie les risques de ses clients mais Daniel Glaser a tenu à souligner en substance que, au milieu de la tourmente, le secteur de l’assurance s’est révélé un pôle de résistance puisque les assureurs et réassureurs ont continué à souscrire sans aggraver substantiellement les termes ou les conditions alors même que leurs actifs se contractaient. Ils ne se sont par réfugiés dans une attitude frileuse, continuant d’apporter aux entrepreneurs les couvertures dont ils ont besoin pour continuer leurs opérations. « La gestion du changement – Créer une culture d’ERM dans votre organisme. » par Grace Crickett, CRO de l’Université de Californie et Sally Sproat, Senior VP, Swiss Re America Sans doute est-ce injuste pour le brillant duo qu’on interprété devant nous les deux oratrices mais on peut tout de même résumer la démarche suivi depuis six ans dans le complexe de l’Université de Californie, sans doute le plus important dans le monde en terme d’étudiants, de corps enseignant, de budget et de distinctions honorifiques. Le résumé c’est un « octologue » : 1. 2. 3. 4. 5. 6. 7. 8. Etablir un sens d’urgence Créer une coalition pour conduire l’effort, Développer une vision et une stratégie Communiquer la nouvelle vision Déléguer l’action à une base large avec l’autorité nécessaire Borner le chemin avec des « petits succès » Consolider les succès et les utiliser comme leviers de changement Ancrer les nouvelles approches dans la culture de l’organisme Grace n’a pas oublié de rappeler que la mise en place de processus et de « contraintes » sur une équipe de divas est particulièrement délicate : chaque professeur titulaire d’une chaire est une vedette susceptible de s’auto-exonérer des obligations pesant sur le bas peuple... « Les sciences de la décision et la gestion des risques » par Carl Spetzler, PDG du Stategic Decision Group Une des clés de la maturité de l’ERM est son intégration dans le processus de décision stratégique pour que les menaces et les opportunités soient prises en compte lors de la définition d’objectifs stratégiques « soutenables ». « ...Tout cela peut se résumer simplement, à la prise de décision en avenir incertain et les 16 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 implications de ce statut. Nous sommes tous soumis à nos propres préjugés et nous devons les prendre en compte lorsque nous prenons des décisions. Cela peut nous poser un problème avec « l’expérience ». En effet, l’expérience créer la crédibilité, mais elle ancre aussi notre perspective. Les risques qui vous atteignent sont ceux que l’on n’attend pas, et c’est précisément votre expérience qui fait que vous ne les attendez pas 8 . » Mais alors où est l’essentiel du message de Carl Spetzler ? Il comprend trois volets essentiels : Le rapprochement des sciences de la décision avec les trois volets, les aspects comportementaux de la prise de décision (comment les individus prennent des décisions naturellement), la prise de décision prescriptive ou rationnelle (comment les individus devraient prendre des décisions), et les outils et cadres appliqués des « meilleures pratiques » (les pratiques professionnelles des consultants et des dirigeants qui ont développé des compétences en matière de décision.)9 L’existence de préjugés jointe à l’absence de données historiques fiables et/ou pertinentes pour éclairer l’avenir implique l’utilisation d’outils « hybrides » tels que les diagrammes d’influence et les réseaux bayésiens pour quantifier « l’inquantifiable. » La nécessité de distinguer dans une entreprise ceux charger des volatilités « naturelles », les responsables opérationnelles avec les procédures de qualité (EFQM ou TQM) et les responsables des variations inhabituelles ou extrêmes, côté positif, les opportunités, confiées au responsables de la stratégie, le CRO se trouvant en charge des menaces, côté négatif. Alors, Carl sonne-t-il la fin de l’ERM comme l’entend ISO 31000, non si l’on retient qu’il parle des organismes d’une taille telle qu’il serait déraisonnable d’attendre d’une seule personne de maîtriser tous les volets de la courbe de probabilités. Bien entendu, l’approche globale et intégrée suppose que les trois volets parlent entre eux et que leur concertation assure la vision globale au niveau des dirigeants et du conseil d’administration. « L’évaluation de l’ERM par Standard & Poor’s » par Steve Dreyer, Responsable des notations pour les entreprises d’infrastructure et d’électricité. Nous avons déjà souligné que la réputation des agences de notation était une des principales victimes de la crise financière et économique que nous traversons. Les participants ont exprimé leur inquiétude quant à l’évaluation de leur démarche ERM par des consultants jeunes et le plus souvent sans formation spécifique, ce qui s’est passé au niveau des institutions financières dont la démarche de gestion des risques était analysée depuis plusieurs années ne renforce pas le sentiment de sécurité. Steve Dreyer a rappelé l’objectif de la notation qui est avant tout d’évaluer la capacité de l’entreprise à faire face à ses engagements financiers à l’égard des porteurs d’obligations. Pour ce faire, l’engagement de l’entreprise sur une stabilité à long terme est une donnée essentielle, et tout facteur qui pourrait la remettre en cause doit être suivi avec attention ; par exemple le départ d’un directeur financier peut être un acte normal de gestion ou de carrière, mais il peut dans certaines circonstances être un signal d’alarme. 8 Michael Hoffmann, professeur à Stanford, Harvard Business Review Octobre 2009 Les lecteurs familiers de l’hyperespace des dangers développé par Georges-Yves Kervern il y a plus de vingt ans verrons les similitudes et la fusion « visionnaire » qu’il effectuait alors de toutes ces sciences humaines pour offrir un cadre de réflexion et de décisions sur les risques prémonitoire de l’ERM. 9 17 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 En ce qui concerne l’ERM, S&P conduit une enquête auprès de ses clients en dehors du secteur financier. A ce jour, des entretiens ont eu lieu avec environ 300 entreprises, soit 10% de la clientèle, issu de 15 branches industrielles. Avant de rédiger un papier blanc sur l’avenir, l’équipe pense interroger entre 150 et 250 entreprises supplémentaires, ce qui lui permettra d’avoir une peinture plus précise de l’état de l’ERM chez ses clients. L’échantillon est surtout dirigé vers les notations d’investissements et celles à la limite, à savoir AAA, AA, A, BBB et BB, ce qui représente 50 % des notes accordées par S&P tandis que les notes B et CCC, représentent l’autre moitié. Enfin, l’intérêt de S&P porte essentiellement sur la culture et le processus de décision stratégique. Cet objectif peut être résumé ainsi : Evaluer dans quelle mesure un ERM fort (faible) procure à l’entreprise un avantage (un handicap) compétitif, améliore (détériore) sa résilience et sa capacité à honorer ses emprunts. Pour ce faire les entretiens sont articulés autour de sept questions envoyés à l’avance pour permettre aux clients de se préparer : 1. Quels sont les risques critiques de l’entreprise, quel est leur impact potentiel, quelle est leur vraisemblance ou fréquence, quel est le rythme de mise à jour de la liste ? 2. Quelles sont les mesures prises par les dirigeants en ce qui concerne ces risques critiques ? 3. Quelle est la perte maximum, sur le fonctionnement ou en trésorerie, que les dirigeants el les administrateurs estiment « tolérable ? » 4. Quelle est la structure et le positionnement du service de gestion des risques ? Comment est mesurée la performance de la gestion des risques ? 5. Quel serait l’impact de la réalisation d’un risque critique sur la rémunération des dirigeants, sur la planification et sur le budget ? 6. Quelles sont les discussions qui ont lieu au niveau des dirigeants ou des administrateurs sur les risques à l’occasion de la prise de décisions stratégiques ? 7. Quel exemple de réaction à une « surprise » dans votre industrie pouvez-vous donner, en précisant si l’impact sur l’entreprise est différent de celui des autres acteurs de l’industrie ? Alors quel est l’agenda de S&P en matière d’ERM 10 : • Poursuivre l’enquête en cours avec les clients • Consolider les outils d’évaluation de la gestion en tant que de besoin • Dresser un rapport d’étape vers la fin de l’année • Incorporer les évaluations mises à jour dans les rapports 2010 La remarque de Brian Duperreault fait écho et justifie la remarque de Carl Spetzler : c’est bien au niveau de la direction générale que l’intégration de tous les risques doit se faire. Toutefois, une autre tendance se fait jour alors même que, enfin, les organismes entreprennent une démarche de portefeuille intégrant l’ensemble des éléments d’incertitudes qui brouillent le futur des organismes, une nouvelle démarche centrifuge tend à recréer des silos sur les impacts et leur traitement, pour remplacer ceux sur les catégories de risques de l’approche traditionnelle. En effet, on voit jaillir des directeurs de conformité qui veulent intégrer la gestion des risques dans 10 Les lecteurs qui souhaiteraient plus d’information sur les intentions de S&P peuvent se rendre sur le site réservé : www.erm.standardandpoors.com 18 « Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 leur démarche, des directeur de continuité qui se pose en protecteur de la résilience, à côté des riskmanagers, et enfin la dernière invention le BIA (Business Impact Analysis). Ces derniers voudraient même tout simplement remplacer la phase diagnostic. Mais comment trouveraient-ils les scénarios d’impact à analyser si l’on ne fait plus l’exercice d’identification ? De plus pensent-ils vraiment que les risk-managers, même dans une approche traditionnelle, ont attendu un nouveau sigle pour faire leur travail correctement. Bien entendu, l’analyse des conséquences d’un événement redouté a toujours compris trois volets, les dommages directs aux biens, les pertes de revenus induites et les dommages aux tiers, corporels, matériels et « immatériels ». Bien entendu dans le cadre de l’analyse des pertes induites par les ruptures dans les chaînes d’approvisionnement sont envisagées toutes les conséquences sur les membres de la chaine, voire du réseau. Devant ce nouveau danger de scission au sein de la profession, et avant de donner rendez-vous pour le septième « ERM Summit » en novembre 2010, il est tentant d’emprunter la conclusion à Kevin Knight bien qu’il ne fut pas présent : Elle replace les éléments du puzzle dans une vision qui marque bien la nécessité d’une approche « sans couture » : « Sans prise de risque, pas de récompense et pas de progrès. Si les organismes ne gèrent pas leur risques efficacement, elles ne peuvent ni saisir les opportunités, ni contenir les menaces. Le risque, c’est l’incertitude, ou plus précisément l’effet de l’incertitude sur l’atteinte des objectifs. C’est en cela que l’ISO 31000:2009 diffère clairement des autres guides ou cadres de référence proposés pour la gestion des risques : il déplace l’accent de l’événement, ce qui pourrait arriver, sur l’impact de ces événements sur les objectifs stratégiques. » Philadelphie, 09 novembre 2009 Professeur Jean-Paul Louisot Université Paris 1 Panthéon Sorbonne Directeur Pédagogique de CARM_Institute Consultant en ERM de l’IIA 19