Mardi 12 Janvier 2010
CFO-news Quotidien Finances & Gestion

Management des risques d’entreprise : le modèle Triple impact™

Toutes les organisations gèrent leurs risques par mauvais temps – mais rarement par temps calme.
Patrick JAULENT, Président du club Balanced Scorecard Europe - Philippe MULARSKI, Directeur financier


Patrick Jaulent
Pour être efficace, le management des risques doit être proactif et préventif, et ne pas se faire de manière cloisonnée par des professionnels du risque, ni d’ailleurs délégué à des fonctions du management intermédiaire. Le management des risques doit être réalisé de manière transverse, sous l’impulsion d’un leadership et évalué lors de revues régulières exclusivement consacrées à « traiter » les risques. Pour renforcer cette efficacité nous suggérons de concevoir un système de management des risques, en classant ceux-ci en trois niveaux : en fonction de leur niveau de prévisibilité, en fonction de leur contrôlabilité et en fonction de leurs conséquences potentielles pour l'organisation.


1er niveau : Les risques opérationnels
Ce niveau de risque se concentre sur les risques résultant d'aléas dans les processus opérationnels et leurs sous-ensembles liés à la non-conformité réglementaire (Sarbanes – Oxley, Bâle II, Solvency 2,..) qui exposent l’organisation à des pertes parfois importantes :
- Perrier, en 1990, retire de la vente aux USA 3 millions de caisses de bouteilles à la suite d'un problème sur le taux de benzène contenu dans l'eau (erreur humaine : un retard dans le changement des filtres de l'usine de Vergèze entraîne une augmentation de la teneur de l’eau en benzène dans les bouteilles à destination des Etats-Unis. En se rappelant que cette élévation de taux n'était pas dangereuse pour la santé humaine)

Pour évaluer ce type de risque, les organisations utilisent différents outils comme la « carte de chaleur » (Heat Map) telle que celle présentée ci-dessous.

En multipliant la « probabilité » par « l’impact », les équipes transverses parviennent à évaluer sur la « carte de chaleur » un risque compris entre 1 et 25. Un score de 15 ou plus, représente un événement risqué susceptible de se produir

Dans certaines circonstances, les entreprises ont suffisamment de données historiques pour estimer la probabilité de nombreux types d’événements à risque. Les compagnies d’assurances peuvent estimer les probabilités des événements qu’elles s’assurent : la mortalité, les catastrophes naturelles, la maladie, les accidents de voiture, etc. Les entreprises financières disposent de nombreuses données historiques sur les prix et les corrélations avec les instruments financiers comme les actions, les obligations et autres produits dérivés, qui leur donnent l’apparente capacité à prévoir la probabilité de pertes d’une ampleur donnée.

Nous avons toutefois observé qu’en l’absence de données historiques (disponibles et suffisantes) pour quantifier l’exposition au risque, les responsables des risques utilisent la « carte de chaleur », comme un cadre pour stimuler la discussion, en espérant obtenir un consensus sur les estimations subjectives des événements à risque. Mais avec ce type d’outil les risques sont évalués isolément les uns des autres. Or, c’est bien souvent un enchaînement d’événements parfois anodins qui sont à l’origine des plus grands catastrophe. Nous suggérons donc d’utiliser les principes illustrés par la figure en annexe 2.

Pour traiter ce niveau de risques, les organisation peuvent mettre en place différentes mesures préventives allant de la mise en œuvre de standards (ISO 31000, ISO 14001. ISO 18000, COSO, COBIT, HACCP,...), aux formations spécifiques du personnel, à la mise en œuvre de procédures de contrôles internes en passant par les audits internes qui ont un rôle clef dans la surveillance de ce niveau de risques, dont certains sont connus et évitables. L’objectif du management des risques est ici d'atteindre une conformité égale à 100% et un zéro défaut dans les processus opérationnels (zéro fraude, zéro pièce d’automobile critique non conforme issus d’un processus de production,…). Le modèle de management des risques de ce niveau pourrait être construit à partir des éléments présentés en annexe 1 afin d’obtenir une structure conforme à celle de l’annexe 2.

2e niveau : Les risques stratégiques
Les organisations, qu’elles évoluent ou non sur un marché concurrentiel, sont amenées à faire des choix stratégiques risqués. Lorsque le gouvernement décide de fixer le taux de la TVA sur la restauration à 5,5 % contre 19,6 %, il suppose que cette décision amènera cette profession à baisser les prix et à embaucher : il y a un risque que l’objectif stratégique ne soit pas atteint (mais ne rien faire est également porteur de risque). Lorsqu’une entreprise décide de développer un nouveau produit ou de pénétrer un nouveau marché géographique, il y a un risque stratégique spéculatif :
- Mattel en 2007, rappelle 18 millions de jouets fabriqués en Chine (non respect du cahier des charges par le sous traitant chinois)

Pour traiter les risques de cette 2e catégorie les organisations identifient et traitent généralement une liste de risques inhérents à leurs priorités stratégiques tels que : les risques financiers, les risques clients (solvabilité, image, réputation,..), les risques liés à la chaîne d’approvisionnement, les risques liés à l’innovation, à l’environnement, aux ressources humaines, à la technologique. Certes, éviter ce type de risques ne fait pas stricto sensu avancer la stratégie, mais réduit les obstacles susceptibles d’entraver ou de remettre en cause la progression de l’organisation vers sa destination stratégique.

Pour les adeptes de l’approche Balanced Scorecard, les risques stratégiques peuvent être identifiés sur la carte stratégique™. Plusieurs scénarii sont envisageables :
1. Identifier un objectif de « maîtrise des risques » dans la perspective finance qui vient s’ajouter aux objectifs liés à la croissance et à la productivité.

2. Formaliser, dans la perspective « processus internes clés » un thème stratégique lié au « risk management » et y associer 2 à 3 objectifs comme le montre la figure ci-dessous.

Carte stratégique partielle d’un organisme bancaire

3. Identifier une chaîne d’objectifs liés aux risques telle que celle présentée ci-dessous : « améliorer les connaissances et les compétences en risk management & accélérer le déploiement des applications finances critiques contribuent à minimiser les risques d’entreprise ». C’est du moins l’hypothèse formulée par le concepteur de cette carte.

Carte stratégique partielle d’une direction financière

4. Identifier les risques liés à un objectif associé à la perspective capital immatériel comme par exemple « Préparer les emplois stratégiques » dans lequel les employés ou des familles d’emplois stratégiques devront disposer des compétences, des connaissances et de l’expérience pour être affectés sur des processus stratégiques exigeant un niveau d’excellence élevé. Cet objectif pourrait être évalué à l’aide d’un pourcentage d’emplois stratégiques couverts, avec une cible de 90 % et des initiatives stratégiques pour atteindre cette cible (formation, plan d’intéressement, rotation planifiée de certaines tâches, ;.). Dès lors, en matière de management des risques, il conviendrait donc d’identifier les risques d’événements qui menaceraient l’atteinte de l’objectif (de la cible de 90 %) : un départ trop important d’employés expérimentés dans les familles d’emplois stratégiques, des programmes de formation inefficaces, un manque de mobilité.

5. Construire une carte des indicateurs de risques reliés entre-eux selon une chaîne de causalité afin de disposer d’un pilotage proactif des risques, comme les montrent la figure ci-dessous et celle en annexe 2.

L’entreprise XYZ conçoit et fabrique des générateurs d’oxygène pour son client AIRBUS selon des exigences spécifiées par contrat (délai, débit, poids,..). Pour l’entreprise XYZ tout générateur livré en retard peut entraîner, des réclamations (cf. image de marque, fidélisation du client,..) lesquelles provoqueraient un allongement du délai de paiement par le client AIRBUS (cash flow), voire des pénalités de retard. Pour l’entreprise XYZ, le respect des livraisons des générateurs selon les exigences du contrat est principalement fonction de la qualité des cartes de régulation sous-traitées, de la disponibilité de l’atelier de montage (disponibilité humaine, structurelle,..) et du nombre de modifications demandées par le client en phase de conception. Pour un pilotage proactif du risque de retard, l’entreprise doit surveiller les trois causes et agir en conséquence. Vous noterez les trois niveaux d’impact, caractéristiques du Modèle Triple Impact : impact immédiat = le client réclame ; impact intermédiaire = le client traîne des pieds pour payer ; impact final = les résultats de l’entreprise en pâtissent.

3e niveau : Les risques systémiques
Ce niveau porte sur les risques affectant l’organisation dans sa globalité. Il s’agit d’événements sans précédent qui créent le risque existentiel pour l’organisation. Ces manifestations sont souvent appelées « cygnes noirs » en référence au titre du livre de Nassim Taleb qui se moque des entreprises mais également des agences de notation lorsqu’elles utilisent les modèles quantitatifs pour évaluer et gérer les risques. Pour N. Taleb la « carte de chaleur » utilisée pour évaluer les risques (probabilité et impact) ne permet pas d’évaluer un événement de type cygne noir.
- Or, c’est pourtant un événement de ce type qui est à l’origine des difficultés de General Motors et Chrysler : le triplement du prix du pétrole a rendu invendable les grands véhicules énergivores, entraînant des pertes massives et la faillite de certaines entreprises déjà en difficultés financières. Cet événement a été renforcé par la crise : les banques ne prêtaient plus. Rappelez-vous le message de Bob Nardelli, Chief Executive Officer de Chrysler le 12 septembre 2008, qui déclara lors d’une entrevue qu’il avait besoin de licencier « plus durement » et qu’il n’arrivait pas à trouver les 25 milliards de dollars de prêt pour le développement de nouveaux véhicules éco énergétiques.

- De même, les titres hypothécaires et leurs dérivés, ont été estimés à partir des données historiques qui ne tenaient pas compte d’une baisse prolongée des prix des logements. Il faut avoir vécu aux USA pour comprendre l’importance de l’immobilier, en particulier sur la côte ouest et en Floride. Il est en effet fréquent d’observer que lorsqu’un américain a besoin d’argent, pour l’achat d’une voiture ou du dernier gadget à la mode, il prend contact avec sa banque pour emprunter en donnant pour garantie la hausse de la valeur de son logement. Lorsque les prix de l’immobilier ont commencé à décliner à l’échelle nationale en 2006 et 2007, le taux de défaut amplifié par les corrélations entre les titres hypothécaires et leurs dérivés s’est avéré être beaucoup plus élevé que ce qui avait été supposé dans les modèles VaR (Value-at-Risque), conduisant à l’effondrement de nombreuses institutions financières telles que Bear Stearns , Lehman Brothers, Wachovia Bank et Washington Mutual. Nous pensons que la baisse prolongée du prix de l’immobilier fût le facteur déclenchant de la crise actuelle car elle est à la base de la perte de confiance des américains (et des banques !) en l’avenir. Mais la crise ne se serait pas étendue aussi profondément si les banques n’avaient pas accumulées un tel niveau de dérivés de toutes sortes (notamment les dérivés de crédit), si les entreprises ne s’étaient pas autant endettées sous LBO, si les marchés financiers n’étaient pas montés si haut, etc. Nous vous le confirmons, c’est la succession d’événements lés qui est à l’origine de la situation actuelle. Le prix du logement se casse la figure -> les banques ne prêtent plus,.. vous connaissez la suite.


Pour conclure sur la crise actuelle, illustration des risques systémiques (cf. l’effondrement de certaines institutions), nous pensons que son épicentre est une mauvaise appréhension du couple rendement / risques des actifs financiers de toute sorte (mais développer cela est une autre histoire).

Nous pensons que les organisations publiques et privées doivent considérer ce cas improbable où la combinaison d’évènements peut conduire à leur disparition. Certes, on ne peut pas prédire un « cygne noir » mais ne devons-nous rien faire pour autant ? Les scientifiques pensent qu’un grave tremblement de terre est plausible le long de la faille de San Adreas mais ils ne peuvent en prédire ni l’année ni son ampleur. Néanmoins, les citoyens peuvent atténuer à l’avance les conséquences d’un tel séisme en construisant des bâtiments qui résistent aux tremblements de terre et en imaginant des plans de secours d’urgence. Aujourd’hui de nombreuses organisations, comme Goldman Sachs et JP Morgan Chase, discutent lors de revues appelées « tail-risk meetings » des conséquences d’événements externes improbables. De tels événements pourraient être le triplement du prix de l’énergie, une dévaluation du dollar américain, une insurrection civile en Chine, un terrible tremblement de terre ou un ouragan dans une région sensible, ou la guerre au Moyen-Orient. Qui peut affirmer aujourd’hui que ces événements ne se produiront jamais !

Pour traiter ce type de risque le producteur coréen de grands écrans LCD LG Display met en place des « jeux de guerre » trois fois par an, au cours desquelles quatre équipes de management s’affrontent pendant deux jours (une équipe LG Display et trois équipes représentant trois concurrents potentiels). Les jeux de guerre consistent, d’une part, à évaluer si la stratégie de l’entreprise est suffisamment solide pour faire face aux perturbations générées par l’arrivée de concurrents, et d’autre part, à aider la direction à garder son sang froid si par malheur un cygne noir apparaissait. Même si un cygne noir ne se réalise pas les managers seront entraînés à traiter de telles situations. Après tout personne n’est choqué quand on a un exercice d’évacuation incendie.

Ces risques systémiques de niveau 3 sont particulièrement difficiles à prévoir et peuvent être les plus dévastateurs, mais souvenez-vous ce que disait Peter Drucker : « To try to make the future is highly risky. It’s less risky however, than not to try to make it » (« chercher à fabriquer l'avenir est plein de risques. C'est cependant moins risqué que d'y renoncer »).

Pour traiter ce type de risques, nous préconisons l’utilisation régulière d’outils tels que la planification de scénarii (risques liés), des « tail-risk meetings » et des « jeux de guerre » en espérant que ces outils encourageront les managers à imaginer des solutions pour atténuer leurs effets.

Conclusion
Le modèle de management des risques est un bon indicateur de la maturité des organisations. En effet, il n'est pas toujours perçu comme un vecteur d'amélioration de la performance économique alors que pourtant il a pour objectif de réduire les obstacles susceptibles d'entraver ou de remettre en cause la progression de l'organisation vers sa destination stratégique. En fin de compte, le management des risques exige un leadership tenace pour manager les équipes transverses en charge des risques, en particulier lorsque le temps est clément et qu’il n’y a pas de nuage visible à l'horizon

- N. Nassim Taleb, The Black Swan: The Impact of the Highly Improbable (New York: Random House, 2007).
- Triple Impact Model, guide méthodologique – version française - Dr Patrick Jaulent, 1988
- www.cfo-news.com/Modele-Triple-Impact_a11707.html
- www.cfo-news.com/Connaissez-vous-vos-risques-strategiques_a9226.html
- objectifperformance.decideo.fr/Management-des-risques-concepts-de-base_a28.html
- blogdedaf.blogspot.com/2009/12/management-du-risque-et-prime-de-risque.html
- Carte stratégique : marque déposée à INPI par Patrick Jaulent

Annexe 1 : Architecture du 1er niveau de risques


Annexe 2 : Exemple d’une chaîne d’indicateurs de risques de niveau 1 construite à partir du modèle d’architecture présentée par l’annexe 1.


Patrick Jaulent
"Président du club Balanced Scorecard et Performance Europe"
Partenaire-expert CFO-news

Articles similaires