GESTION DES RISQUES GUIDE PRATIQUE POUR UNE POLITIQUE DURABLE
AVEC LA COLLABORATION DE
NOVEMBRE 2015
Stefan Maes, rue Ravenstein 4, 1000 Stefan Maes RÉDACTION Morgane Haid, Werner Lapage, Annemie Nolf, Dirk Vandendaele, Johan Van Praet NOS REMERCIEMENTS À Steven Cauwenberghs, Koen Claessens, Christine Darville, Laurent De Coster, Simon Duerinckx, Bart Eekhaut, Linda Janssens, Kristof Luycx, Anne Michiels, Frédéric Motte, Olivier Vanden Borre, Stephan Vandewiele en Frédéric Wauters MISE EN PAGE ET PREPRESS Landmarks IMPRESSION Graphius Group ÉDITEUR RESPONSABLE
Bruxelles
RESPONSABLE DES PUBLICATIONS
DÉPÔT LÉGAL D/0140/2015/6 Deze brochure is ook verkrijgbaar in het Nederlands
Le contenu de cette brochure est disponible sur le site www.feb.be (Publications > Publications gratuites) Les informations contenues dans la présente brochure ont été rassemblées avec le plus grand soin possible par les experts de BDO et d’ING. Ni BDO et ING, ni la FEB ne peuvent en aucune manière être tenus pour responsables d’éventuelles informations incomplètes ou erronées contenues dans la brochure. Ni BDO et ING, ni la FEB ne peuvent en aucun cas être tenus pour responsables d’éventuels dommages directs, indirects, secondaires, économiques ou consécutifs découlant de l’utilisation des informations ou données tirées de la présente publication. Toute reproduction et/ou publication d’un extrait quelconque de cette publication, par des moyens électroniques ou autres, en ce compris les systèmes d’information automatiques, sont interdites sauf autorisation écrite préalable de l’éditeur, à l’exception de brèves citations aux fins de recension.
GESTION DES RISQUES GUIDE PRATIQUE POUR UNE POLITIQUE DURABLE
FEB
1
FAISONS DU RISQUE UNE OPPORTUNITÉ ! Parler des risques des entreprises, c’est admettre que tout n’est pas toujours facile ni prédictible dans la gestion de celles-ci. Quoi qu’elle fasse, une entreprise sera toujours confrontée à certains risques. Parler des risques, c’est aussi montrer qu’on peut réduire ceux-ci au maximum, et qu’on peut y faire face de manière proactive afin de pouvoir les maîtriser et en tirer profit. Les risques des entreprises sont en constante évolution, conséquence des progrès technologiques, de l’intensification et de l’accélération de nos rapports avec le reste du monde (échanges commerciaux, contacts, communications, partages de connaissances). Les clients, les partenaires, les outils et l’environnement des affaires sont aujourd’hui beaucoup plus variés que dans le passé. Certains risques qui semblaient inéluctables il y a quelques décennies ont désormais disparu, tandis que de nouveaux risques liés au monde économique actuel sont apparus. Citons par exemple l’importance croissante de la cybercriminalité, tant pour les entreprises développant de nouvelles plateformes ou business models que pour les entreprises utilisant des outils numériques pour renforcer leur efficacité ou pour atteindre de nouveaux clients et fournisseurs. La Belgique s’adapte relativement bien à ces évolutions en matière d‘internationalisation, de concurrence accrue et d’accélération du progrès technologique. Sous la pression des coûts salariaux élevés – cela constitue également un risque –, nos chefs d’entreprise ont été amenés, plus que leurs homologues étrangers, à s’adapter rapidement aux évolutions des marchés et à miser sur d’autres atouts compétitifs, tels que de nouvelles technologies et des processus, services et produits de pointe. Cette recherche d’opportunités liées aux risques est d’ailleurs un éternel recommencement. Les technologies et la façon de faire des affaires évoluent constamment, la concurrence s’intensifie en permanence. Les entreprises doivent donc sans cesse prendre de nouveaux risques (calculés et maîtrisables) pour survivre sur le marché. Mais maîtriser ou rendre maîtrisables les risques est la responsabilité de plusieurs acteurs. Ainsi, il appartient aux pouvoirs publics de faciliter le cadre dans lequel les entreprises travaillent.
2
FEB GESTION DES RISQUES
La simplification administrative, tout comme la prévention et l’information peuvent aider les entreprises à mieux anticiper leurs risques. Une réglementation transparente, simple et juridiquement sûre leur permet d’aborder le futur avec plus de confiance. Dans notre pays, où la peur de l’échec est très élevée, plus de sécurité et de simplicité sont des facteurs importants pour stimuler l’entrepreneuriat. Les entreprises doivent, à leur tour, bien comprendre et maîtriser leurs risques. Informer leurs collaborateurs, prévoir des règles de contrôle, des procédures de gestion des risques, le soutien d’experts externes … voilà quelques exemples de solutions qui facilitent la gestion des risques. Churchill a dit un jour : “Un pessimiste voit la difficulté dans chaque opportunité, un optimiste voit l’opportunité dans chaque difficulté”. C’est dans cette optique que cette brochure a été pensée : plutôt que de n’y voir que les difficultés et les problèmes qui en découlent, voyons comment gérer ces risques et les utiliser à notre avantage. Dans les pages suivantes, des experts expliquent les principaux risques qu’une entreprise est amenée à rencontrer. Ils proposent des solutions pour identifier les ‘problèmes’ et les maîtriser et donnent des conseils pour les anticiper et les transformer en opportunités. Partout dans la brochure, sept dirigeants (d’entreprises petites à très grandes) témoignent de leur expérience pratique en matière de gestion des risques. Nous espérons qu’ils pourront vous inspirer dans votre approche ou votre stratégie.
Pieter Timmermans Administrateur délégué FEB
Rik Vandenberghe CEO ING Belgique
Hans Wilmots CEO BDO Belgique
GESTION DES RISQUES
FEB
3
SOMMAIRE AVANT-PROPOS : FAISONS DU RISQUE UNE OPPORTUNITÉ !
2
NOUVELLES TENDANCES MONDIALES, NOUVEAUX DÉFIS, NOUVEAUX RISQUES
6
COMMENT S’ARTICULE CETTE BROCHURE ?
11
01
L’abc de la gestion de risque
12
1. Qu’est-ce qu’un risque ? 2. Catégories de risques 3. Qu’est-ce que la gestion des risques ? 4. Comment concevoir la gestion de risque ?
14 14 15 16
Gestion des risques
20
02
1. Le plan de gestion des risques 2. Contrôle interne et gestion des risques 3. Impact des TI sur le contrôle interne et la gestion des risques CASE Cockerill Maintenance & Ingénierie No risk, no business 4. Normes et standards - COSO ERM 5. Rôles et responsabilités
03
Typologie des risques 1
2
QUELS RISQUES ET COMMENT LES MAÎTRISER ? RISQUES EXTERNES ET STRATÉGIQUES 1. Risques externes : aigus ou larvés 2. Risques stratégiques : délibérés et ciblés CASE FNG Group Chaque risque cache une opportunité RISQUES FINANCIERS 1. Financement stratégique CASE Jan De Nul Group L’aversion des risques dans les gènes 2. Financement opérationnel CASE Soltech D’un marché local vers l’internationalisation l’internationalisation
21 22 23 24 27 28 30 31 32 32 34 38 40 40 42 45 46
3
4
5 6
04
RISQUES DE CONFORMITÉ 1. Contexte 2. Origine et signification de la ‘compliance’ 3. Instances de contrôle 4. Large spectre pour chaque entreprise 5. Contrôle central de la complexité RISQUES JURIDIQUES 1. Définition des risques juridiques 2. Pertinence juridique des risques 3. Connaissance approfondie et actualisée de la réglementation 4. Évolution des règles et, donc, des risques 5. Expertise juridique CASE Studio 100 Droits et sécurité 6. Gestion des contrats 7. Corporate governance 8. Responsabilité des administrateurs 9. Assurer la responsabilité RISQUES OPÉRATIONNELS CASE Noordzee Helikopters Vlaanderen (NHV) Les chiffres ne font pas tout RISQUES IT ET CYBERCRIMINALITÉ CASE Proximus De victime à expert
53 53 54 54 55 56 59 59 60 60 61 61 62 64 64 64 65 66 70 72 80
Que faire en cas d’incident ?
82
1. Crisis readiness 2. Approche et principes de la gestion de crise 3. Vers une gestion de crise réussie
83 86 87
CONCLUSION
91
NOUVELLES TENDANCES MONDIALES, NOUVEAUX DÉFIS, NOUVEAUX RISQUES Le monde est en constante évolution, les tendances changent et modifient aussi l’économie et les rapports entre différents pays. Ainsi, les échanges commerciaux, qui ont connu une chute importante après la crise de 2008, ont renoué avec une forte croissance à travers le monde ces dernières années. Le nombre de participants au commerce extérieur a aussi augmenté: les économies émergentes occupent désormais une place sur ce marché. Les parts de marché à l’exportation des pays BRIC (Brésil, Russie, Inde et Chine) ont connu la plus forte hausse entre 2003 et 2013, augmentant respectivement de 37%, 58%, 102% et 122%. L’Union européenne reste une économie importante malgré la croissance forte des pays émergents. Elle était le premier contributeur au produit mondial brut en 2013, à hauteur de 23,44%, suivi des États-Unis (22,5%) et de la Chine (12,7%). Mais la composition de l’économie a également évolué et diffère fortement de par le monde. Par exemple, les États-Unis, le Canada et l’UE sont désormais des économies très tournées vers les services. Plus de 70% du PIB de l’UE provient du secteur des services, tandis que la production industrielle n’a toujours pas retrouvé son niveau d’avant la crise. Au contraire, la Chine, l’Indonésie, la Corée du Sud et l’Arabie Saoudite ont plus de 30% de leur PIB qui provient de l’industrie. Nous assistons également à une révolution technologique et numérique. La numérisation de l’économie est d’ailleurs considérée comme un levier essentiel de la croissance économique. La voie électronique est de plus en plus utilisée, que ce soit pour les formalités administratives, pour la communication et l’information, ou encore les modes de paiement. L’évolution du numérique permet des économies d’échelle, augmente l’efficacité et accélère le rythme auquel des services peuvent être fournis ou des données peuvent être échangées. Le monde est désormais un grand réseau marqué par une interaction croissante (notamment dans les échanges commerciaux). Toutes ces nouvelles tendances influencent également le monde des entreprises ; que ce soit via les acteurs, les biens et services concernés, l’environnement interne et externe ou encore la façon de faire des affaires. Cela crée de nouveaux défis mais aussi de nouvelles opportunités. D’un côté, la concurrence s’est fortement renforcée, vu que le marché ne se limite désormais plus au pays de résidence ou aux pays voisins. Les nouvelles technologies, 6
FEB GESTION DES RISQUES
notamment en matière de communication et de logistique, ont facilité les échanges commerciaux et permettent aux entreprises de fournir des services de l’autre côté du globe. Et ce à une vitesse beaucoup plus rapide qu’auparavant. Deux exemples chiffrés : quelque 180 milliards d’e-mails sont échangés quotidiennement dans le monde et la Belgique exporte pour près de 916 millions EUR en biens et services chaque jour. Si notre pays veut suivre ces évolutions, il doit agir d’urgence afin de maintenir une place concurrentielle en continuant de proposer des services et biens qui répondent aux besoins du marché, et sont à la pointe de la technologie. D’autre part, ce renforcement des échanges commerciaux crée aussi de nouvelles opportunités. Le nombre de partenaires commerciaux est en hausse, et les exportations sont de plus en plus géographiquement diversifiées. De plus, on observe également une plus forte spécialisation dans de nouveaux processus améliorant encore la productivité et dans de nouveaux services et produits répondant à des besoins spécifiques. En d’autres mots, la mondialisation et l’évolution technologique influencent non seulement la vitesse, l’intensité et la diffusion géographique des échanges, mais aussi la concurrence et les opportunités des économies.
Évolution de l’économie belge La Belgique n’échappe pas à ces tendances mondiales. La Belgique reste encore et toujours un pays très ouvert au commerce extérieur, les exportations de biens et de services ne cessent d’augmenter. Tout comme il y a une dizaine d’années, les membres de l’UE restent nos partenaires privilégiés, mais on constate que la Belgique exporte de plus en plus de biens et services vers des pays hors de l’Union : un tiers de nos exportations étaient destiné aux pays hors de l’UE en 2014, contre un quart en 2004. La numérisation de notre économie est aussi un sujet d’actualité politique en Belgique, avec entre autres le lancement d’un plan global d’actions au niveau fédéral. La Belgique s’en sort relativement bien dans certains domaines tels que la connectivité et l’accès aux réseaux. Cependant, la technologie évolue rapidement, et notre pays doit déjà travailler au développement de technologies encore plus rapides (par exemple le haut débit mobile et au haut débit ultrarapide), dont l’importance ne cesse de croître. L’économie pourrait mieux tirer parti des évolutions numériques. En effet, sans de nouvelles innovations, nous ne pourrons pas garder notre position actuelle. GESTION DES RISQUES
FEB
7
Notre économie s’oriente davantage vers le secteur tertiaire, ce qui se remarque dans la valeur ajoutée de l’économie : elle a baissé de 6% depuis 2008 dans l’industrie, tandis qu’elle a augmenté de 5,2% dans les services aux entreprises. Cette tendance se reflète aussi dans nos échanges commerciaux. Les biens représentaient plus de 80% des exportations au début des années 2000. Ils ne concernent aujourd’hui plus que 75% des exportations, le reste étant dédié aux services. On voit également que nos exportations de services augmentent plus vite que celles des biens. Nos parts de marché mondiales à l’exportation de services sont restées assez stables ces dix dernières années, tandis que les celles à l’exportation de biens ont baissé, souffrant entre autres du handicap concurrentiel qui affecte les entreprises belges. La mondialisation, l’innovation et le développement incessant du numérique ont permis aux entreprises belges d’offrir des produits et services spécialisés et différenciés dans le reste du monde. Mais il y a encore des efforts à faire pour garder une place compétitive, même si des signes positifs de réduction du déficit commercial et de légère augmentation des parts de marchés se sont profilés dernièrement. Il appartient aux chefs d’entreprise et aux autorités de saisir les opportunités avant qu’elles ne deviennent pas des menaces. Et il faut s’assurer que les conditions nécessaires soient remplies afin de pouvoir continuer à offrir des biens et services à un prix favorable.
Évolution des risques Toutes ces tendances et leurs influences sur le monde des entreprises ont également changé les risques et le goût du risque des entreprises. Selon notre sondage mené auprès de quelques centaines d’entreprises, ce sont en général les grandes entreprises qui sont le plus confrontées aux risques, sauf en ce qui concerne les risques de financement (stratégiques et opérationnels), qui touchent plus de moyennes entreprises. Tout d’abord, la catégorie de risque la plus importante selon les entreprises interrogées concerne les risques opérationnels (production, logistique, qualité, contrefaçon…): plus de 65% des entreprises sondées y sont confrontées (et jusqu’à 83% des grandes entreprises). Au vu des développements économiques mondiaux et de l’intensité des liens commerciaux entre les pays, cela paraît logique que ces risques concernent beaucoup d’entreprises. Les développements technologiques ont par exemple facilité l’imitation et la contrefaçon. De plus, la logistique est devenue plus complexe étant donné la diversification des partenaires commerciaux. Vu la facilité avec laquelle un client peut changer de fournisseur, il est indispensable de parvenir à lui fournir un service de qualité, rapide et compétitif à n’importe quel niveau de la chaîne. Cela met une pression supplémentaire sur l’anticipation de la production et sur la nécessité d’avoir un fonctionnement opérationnel efficace.
8
FEB GESTION DES RISQUES
La rapidité des évolutions technologiques crée aussi un nouveau risque. Les technologies disruptives (disruptive technological change) sont plus fréquentes, elles peuvent complètement transformer le marché et rendre le service ou produit créé par une entreprise rapidement obsolète. En effet, il est possible qu’une innovation technologique (de produit, de procédure, ou autre) soit plus efficace ou remplisse une fonction supplémentaire, et qu’elle remplace ainsi une autre technologie qui dominait auparavant le marché. Plus de 65% des entreprises sondées sont confrontées aux risques stratégiques et externes. Là encore, ce n’est pas étonnant de constater que la situation (géo) politique et économique externe puisse créer un risque majeur. C’est d’ailleurs cette catégorie de risque qui a augmenté pour une grande partie des entreprises interrogées (43%), et ce, indépendamment de leurs tailles. Il est indéniable que la situation en Ukraine et en Russie et, dans une moindre mesure, la situation au Moyen-Orient affectent nos échanges commerciaux dans ces régions. Le risque de Grexit n’est toujours pas entièrement enrayé, et il peut encore déstabiliser les marchés, même si la plupart des prêts appartiennent et sont dus aux institutions telles que le FMI et la BCE plutôt qu’aux marchés. De plus, l’évolution de la croissance de certains pays partenaires n’est pas encore tout à fait claire; une soudaine régression pourrait aussi influencer négativement l’activité en Belgique. Enfin, le risque existe toujours qu’une nouvelle agitation sociale (manifestations, grèves) mine le fragile rétablissement de la confiance des ménages et des entreprises dans notre pays et freine la reprise. Plus de 1 entreprise sur 2 est aussi confrontée à des risques juridiques. Cela confirme un problème déjà souligné par les employeurs: les charges administratives sur les entreprises ont fortement augmenté ces dernières années. De plus, beaucoup d’entreprises estiment que les réglementations sont de plus en plus nombreuses et plus difficiles à comprendre. Ensuite, la cybercriminalité a fortement augmenté ces dernières années. Au moins 1 entreprise sondée sur 3 déclare encourir plus de risques liés à la cybercriminalité (phishing, fraude, piratage de données…) qu’auparavant. Cette problématique est particulièrement importante pour les grandes entreprises interrogées, plus de 70% de celles-ci estiment y être confrontées, contre 50% des petites ou moyennes entreprises. En Belgique, des centaines de milliers d’ordinateurs sont infectés chaque année, et ce nombre est en augmentations. Le coût de la cybercriminalité est estimé à 3,5 milliards EUR dans notre pays, soit plus de 1% du PIB. En résumé, plus de 1 entreprise sur 3 trouve que les risques auxquelles elle est confrontée ont augmenté. Il y a encore 10% des entreprises qui maîtrisent moins bien ces risques qu’avant. C’est pour cette raison que cette brochure suggère des bonnes pratiques et des solutions pour la gestion des risques.
GESTION DES RISQUES
FEB
9
Maîtriser les risques, c’est gérer des opportunités L’apparition de nouveaux risques et le renforcement de certains ont poussé les entreprises à adapter leur façon d’agir. Cela a aussi engendré nombre d’opportunités pour les entreprises innovantes et créatrices qui ont réussi à profiter de ces nouvelles tendances pour relever des défis et atteindre de nouveaux marchés. Par exemple, l’arrivée de l’e-commerce a ouvert des possibilités d’exploitation de niches grâce à l’accès à un plus grand marché et à plus de clients. Cela a nécessité une adaptation rapide des procédures traditionnelles, et une innovation importante pour se développer sur ces nouvelles niches. De nouveaux sous-secteurs sont ainsi apparus, tels que le webdesign, l’impression 3D, l’e-marketing… Avec ses clusters et autres formes de collaboration – entre entreprises mais aussi au niveau des universités et avec d’autres institutions – pour favoriser la recherche et l’innovation, la Belgique possède un atout pour profiter des évolutions et faire des risques une opportunité. Ces systèmes de collaboration contribuent à une meilleure diffusion des connaissances et à la création d’innovation, ce qui à son tour permet aux entreprises de générer des activités et des produits plus sophistiqués, donc plus difficiles à copier par d’autres. Les clusters efficaces réduisent également les délais de mise sur le marché (‘speed to market’) d’un nouveau produit ou service. Le crowdfunding est un autre exemple de solution innovante répondant à un nouveau risque (le crowdfunding est un concept dans lequel de nombreux petits investisseurs ou personnes intéressées investissent ou donnent de petits montants pour des projets qui les touchent). Le crowdfunding facilite le financement d’entreprises et permet aussi une diversification des risques pour les investisseurs. Afin d’essayer de réduire leurs risques, les entreprises interrogées informent surtout les collaborateurs sur les risques, et font de la prévention en établissant par exemple des règles de contrôle interne. Enfin, en ce qui concerne les risques juridiques et de cyber sécurité, les entreprises font appel à des experts externes. Cela engendre des coûts supplémentaires pour les entreprises. En résumé, il ressort des propositions et solutions des entreprises qu’il reste beaucoup à faire pour gérer ces risques efficacement et à un coût acceptable. Le secteur public pourrait y contribuer en facilitant le cadre dans lequel agissent les entreprises. Selon les entreprises sondées, les trois priorités du gouvernement pour diminuer ces risques sont 1. la simplification administrative, 2. l’information et la prévention, 3. et dans une moindre mesure, la concrétisation des lignes directrices sur la gouvernance d’entreprise.
10
FEB GESTION DES RISQUES
COMMENT S’ARTICULE CETTE BROCHURE ? Le risque est inhérent à l’entreprise et étroitement lié à la création de valeur. Chaque activité crée donc un risque, mais également un potentiel ou une opportunité. Prendre des risques et les maîtriser englobe bon nombre de facettes dans divers domaines. Cette brochure vous offre en quatre chapitres un aperçu et des points de repère dans cette matière très actuelle mais complexe. Nous illustrons les principes théoriques par des exemples pratiques et des témoignages de chefs d’entreprise qui expliquent l’impact stratégique des risques propres à leur entreprise.
Le premier chapitre est consacré à l’ABC de la gestion des risques. Chacun sait ce qu’est un risque et pourtant il n’est pas si facile d’en donner une définition claire. Nous nous concentrons plus précisément sur l’importance de notions telles que l’impact et le degré de probabilité. Nous traçons ensuite le cadre de la gestion des risques. Des concepts comme l’identification, l’analyse et l’évaluation des risques sont essentiels pour développer et mettre en place une gestion des risques efficace. Gérer efficacement les risques, tel est le thème central du deuxième chapitre. L’accent
y est mis sur les procédures internes de contrôle et sur l’impact et le rôle des TI dans ce contexte. Nous vous y présentons également ‘COSO’, un fil conducteur international pour la gestion des risques. Quel est l’objectif ? Prendre suffisamment de risques pour pouvoir exploiter les opportunités, tout en prévoyant des contrôles suffisants pour ne pas ‘perdre le contrôle’. Nous clôturons ce chapitre par une description du rôle et des responsabilités de chacun dans la gestion des risques. Les risques peuvent être classés de diverses manières. Au chapitre 3, nous les classons en six grands
domaines, en tenant compte des types de risque les plus courants : les risques stratégiques et externes, les risques financiers, les risques de compliance, les risques juridiques, les risques opérationnels et, bien évidemment, les risques informatiques, qui sont exposés au moyen d’une table ronde avec quatre experts. Pour chaque type de risque, nous avançons quelques solutions concrètes. Nous ne parlons pas dans cette brochure des risques en matière de sécurité, de santé, de bien-être et d’environnement. Les crises sont des défis, mais comment (avec quelle rapidité et quelle précision) votre entreprise réagit-elle en cas d’incident ? En d’autres termes, quel est le ‘crisis-readiness’ de votre entreprise ou de votre organisation ? Comment communique-t-elle et évite-t-elle les atteintes à sa réputation ? Une bonne approche requiert la connaissance de principes de base en matière de gestion des risques. Dans le chapitre 4, nous vous indiquons quelques principes de base pour une gestion des risques réussie. Nous vous y exposons aussi, pas par pas, l’importance du Business Continuity Planning.
GESTION DES RISQUES
FEB
11
L’abc de la gestion de risque
Le risque est inhérent à l’entreprise et étroitement lié à la création de valeur. En effet, lorsqu’une entreprise veut lancer un nouveau produit ou service, elle est confrontée à des paramètres inconnus et à des incertitudes. Chaque activité crée donc un risque, mais également un potentiel ou une opportunité. Il existe aussi des risques qui ne sont pas liés à la création de valeur. Pensons aux amendes et à tous les aspects de sécurité. Un seul conseil pour ce type de risques : les limiter au maximum !
Toute action comporte des risques. La prudence, ce n’est pas éviter le danger (c’est impossible), mais c’est calculer les risques et agir avec détermination. Il est préférable de faire des erreurs par ambition que par manque d’initiative. Développez votre audace, pas votre effondrement Niccolò Machiavelli, Le Prince, 1532
Peu d’opportunités sont dépourvues de risques. La gestion des risques ne consiste pas tellement à les éliminer, mais bien à les reconnaître (identification et analyse des risques) et à chercher des méthodes appropriées pour les rendre maîtrisables. Plus que les analyses de risques détaillées ou les modèles mathématiques complexes, l’intégration du risque dans les processus de décision stratégiques et opérationnels est très importante. C’est là que réside la véritable valeur ajoutée de la gestion de risque. Le réflexe du risque doit être inscrit dans la culture de l’entreprise : la direction doit susciter la discussion sur les risques au lieu de balayer les incertitudes ou les signaux d’échec. Cela signifie qu’un rôle spécial revient au conseil d’administration qui doit veiller à ce que l’entreprise développe une culture de risque appropriée et doit définir les risques qu’elle est disposée à prendre.
Dans ce domaine, le comité d’audit apporte un soutien important au conseil d’administration plénier et il sert de caisse de résonance pour le gestionnaire des risques et la direction dans l’analyse des risques et la définition de la meilleure stratégie de gestion des risques. Outre le comité d’audit, le contrôle interne, l’audit interne et l’auditeur externe sont aussi des piliers importants. La gouvernance d’entreprise a pris un grand essor ces dernières années, entraînant une attention accrue pour certains aspects comme la gestion et le contrôle des risques. Les causes de cette attention accrue pour la gestion des risques sont évidemment la crise financière, mais aussi la prise de conscience croissante des risques accrus, tant dans l’entreprise que dans la société en général. Parler de gestion des risques aujourd’hui implique d’ailleurs de ne pas se limiter aux risques opérationnels ou financiers
GESTION DES RISQUES
FEB
13
classiques. Il faut également prendre en considération les défis stratégiques plus grands liés aux nouvelles technologies, à la volatilité des marchés et à la mondialisation. Face à l’incertitude croissante, les codes de corporate governance et la législation imposent des exigences toujours plus importantes au conseil d’administration et au management. Il appartient aux administrateurs, soutenus par le management et l’ensemble de l’entreprise, de se préoccuper de la gestion professionnelle et du contrôle des risques. La transparence accrue concernant les risques et les systèmes et processus destinés à les gérer donne aux actionnaires (externes) des sociétés cotées une meilleure vision de la santé de l’entreprise. Cela leur permet de prendre leurs décisions d’investissement en connaissance de cause et de remplir plus efficacement leur rôle d’actionnaire actif.
1 QU’EST-CE QU’UN RISQUE ?
une influence négative sur la réalisation des objectifs de l’entreprise. Ce n’est certainement pas une définition parfaite, mais elle contient l’essentiel : l’incertitude et les conséquences négatives ou limitatives possibles. Dans le domaine de la gestion de risque, les spécialistes définissent le risque comme la combinaison d’un impact et de la probabilité d’une menace. La menace est en l’occurrence un événement qui peut empêcher l’entreprise ou l’organisation d’atteindre ses objectifs. Un exemple : un incendie dans le hall de production constitue une menace. L’impact est défini en examinant les conséquences financières et opérationnelles de cet incendie. La probabilité est évaluée en fonction de données historiques et de l’éventuelle inflammabilité des produits stockés ou de la sensibilité au feu du hall de production (dans quelle mesure est-il construit avec des matériaux inflammables ?). Le risque est la combinaison des conséquences potentielles de l’incendie (‘impact’) et de la possibilité qu’il se déclenche effectivement (‘probabilité’). RISQUE = IMPACT x PROBABILITÉ
Chacun sait ce qu’est un risque et pourtant il n’est pas si facile d’en donner une définition claire. Le risque est souvent défini comme un événement futur incertain qui peut avoir
2 CATÉGORIES DE RISQUES Une approche mathématique des risques permet de les pondérer et de les comparer. Le principal avantage est qu’il est alors possible de les classer par ordre de priorité, sachant que l’entreprise a intérêt à se concentrer sur les plus grands risques. Les risques auxquels une organisation est confrontée peuvent être la conséquence de facteurs externes et internes. Cette distinction 14
FEB GESTION DES RISQUES
est extrêmement importante pour la manière de concevoir les plans et actions prévus pour couvrir les risques. En effet, les menaces venant de l’extérieur sont plus difficiles à limiter ou à maîtriser que celles dont la cause se trouve à l’intérieur de l’organisation.
sécurité, la qualité, la chaîne de valeur, etc.
À côté de cette première répartition (interne versus externe), les risques peuvent également être groupés par domaine. Les catégories souvent utilisées sont les suivantes : risques stratégiques – Ils sont liés aux choix stratégiques ou à l’absence de stratégie claire ; risques financiers – Ce sont tous les risques liés aux aspects financiers de l’organisation, y compris les risques de fraude ; risques opérationnels – Ces risques sont directement liés à la gestion de l’entreprise ou à la chaîne de valeur (production, achats, logistique…). Ils peuvent encore être subdivisés en fonction de la nature de la gestion ; risques informatiques – Ils découlent du fonctionnement de l’environnement informatique, y compris les actifs, l’organisation et les processus informatiques ; risques juridiques et de compliance – Ces risques sont liés au respect et au suivi de la législation, des contrats et autres obligations spécifiques, des règles et normes qu’une entreprise ou organisation doit appliquer ; risques de réputation – Ils menacent le nom et la renommée de l’entreprise ou de ses produits et services. Il faut parfois des années pour se construire une renommée. À l’inverse, celle-ci peut être détruite très rapidement.
Autant il existe de définitions du risque, autant il en existe de la gestion du risque et de tout ce qui y est lié. Des instances comme l’International Organization for Standardization (ISO), le Committee of Sponsoring Organizations of the Treadway Commission (COSO) et l’Institute of Risk Management (IRM) ont élaboré un certain nombre de normes internationales. Celles-ci sont une aide précieuse parce qu’elles tracent un cadre général et font une distinction claire entre le processus de gestion de risque et son intégration dans l’organisation.
La liste présentée ici n’est pas exhaustive et peut être complétée ou adaptée en fonction de la situation spécifique. D’autres catégories envisageables sont l’environnement, la
3 QU’EST-CE QUE LA GESTION DES RISQUES ?
Le graphique suivant illustre le processus de gestion de risque selon la norme ISO.
PROCESSUS DE GESTION DE RISQUE*
ESTIMATION DES RISQUES Identification des risques
Analyse des risques
Monitoring et contrôle
Communication et consultation
Établissement du contexte
Évaluation des risques
Traitement des risques
* Source : basé sur la norme ISO 31000:2009
GESTION DES RISQUES
FEB
15
La gestion de risque est le processus par lequel les organisations abordent méthodiquement les risques liés à leurs activités dans le but d’obtenir un avantage durable pour chaque activité et pour l’ensemble de celles-ci. En d’autres termes, la gestion de risque est un processus continu indissociable de l’activité entrepreneuriale et qui doit en faire partie intégrante. Une réflexion unique sur les risques peut apporter quelques idées nouvelles, mais si on n’en fait rien par la suite, la plus-value sera très minime. La gestion de risque est aussi un processus continu et évolutif, qui se reflète tant dans la stratégie de l’organisation que dans son exécution. Elle doit gérer de manière systématique tous les risques liés aux activités des organisations dans le passé, le présent et surtout l’avenir. Comme nous l’avons déjà indiqué, la gestion de risque doit faire partie intégrante de la culture de l’organisation et être portée et soutenue par la direction générale (‘tone at the top’). Une gestion de risque efficace traduit la stratégie en objectifs tactiques et opérationnels qui attribuent des responsabilités transversales dans l’organisation et qui intègrent la gestion de risques dans la description de fonction de chaque collaborateur. Bref, la gestion de risque est la tâche et la responsabilité de chacun dans l’organisation. Enfin, une bonne gestion de risque se concentre sur l’identification et le traitement des risques. Elle identifie les aspects positifs et négatifs de tous les facteurs qui peuvent influencer l’organisation. Elle augmente la chance de réussite et réduit le risque d’échec et l’incertitude concernant la réalisation des objectifs généraux de l’organisation. 16
FEB GESTION DES RISQUES
4 COMMENT CONCEVOIR LA GESTION DE RISQUE ? Comme le montre le graphique en page 15, la première étape de l’élaboration d’une gestion de risque est la réalisation d’une ‘estimation des risques’. Selon l’ISO/ IEC Guide 73, ce processus regroupe l’identification, l’analyse et l’évaluation des risques. Nous détaillons ici ces trois étapes.
Étape 1 : identification des risques Pour mener à bien l’étape d’identification des risques, il faut une connaissance approfondie de l’organisation et de ses activités. Dans ce cadre, il est utile de d’abord ‘cartographier’ les différentes catégories de risques qui s’appliquent à l’organisation. Celles-ci constituent ensemble l’univers de risques de l’organisation. Pour tracer les contours de cet univers de risques, vous pouvez partir d’une liste de catégories de risques comme mentionné plus haut. Vous pouvez regrouper ces catégories pour étayer la discussion sur la gestion de risque et l’identification des risques en particulier. C’est ce que fait le tableau de la page 17, qui donne un exemple de ce que pourrait être l’univers de risque d’une entreprise de production moyenne.
UNIVERS DE RISQUE EXEMPLE DE LA PRODUCTION Facteurs Externes Circonstances économiques
Orientation & Gouvernance Orientation
Gouvernance
Vision & Mission
Structure de direction
Compétition
Stratégie
Transparence
Calamité
Culture d’entreprise
Monitoring & Auditing
Utilisateurs finaux
Processus de soutien Financier
Opérationnel
Réglementation & compliance
RH
Juridique
IT
Commandes
Embauche
Gestion des contrats
Disponibilité
Législation
Stocks
Administration salariale
Propriété intellectuelle ?
Gestion du changement
Contrôle interne
Planification
Formation
Syndicats et réglementation
Protection de l’information
Budgétisation
Qualité
Gestion des prestations
Fraude
Infrastructure
Facturation & Suivi
Livraisons/ placement
Comptabilité Liquidité Fixation de prix
Protection de la vie privée et protection des données
Source : BDO
Étape 2 : analyse des risques Si l’on veut piloter quelque chose, il faut pouvoir le mesurer. C’est pour cette raison qu’il est important d’attribuer une valeur ou un score aux risques. Comme indiqué plus haut, on peut pondérer un risque en fonction de l’impact d’un événement déterminé et de la probabilité qu’il survienne. L’analyse de risque consiste donc à concrétiser cet impact et cette probabilité. Certains éléments seront connus, d’autres devront être estimés le plus correctement possible. Sur la base de toutes les informations disponibles, un score aussi fidèle que possible est attribué à chaque risque. En cas d’incertitudes, il est impossible de procéder à une estimation exacte. C’est pourquoi on utilise souvent des classes pour estimer l’impact et la probabilité, par exemple de la classe 1 (très faible) à la classe 5 (très important). Pour objectiver au maximum l’estimation, nous décomposons l’impact en plusieurs dimensions, comme la dimension financière. Compte tenu de la situation spécifique de l’entreprise, on détermine de cette manière à partir de quel montant une perte éventuelle (impact) reçoit un score de 1 à 5 (voir tableau ci-contre).
EXEMPLE DE DIMENSION FINANCIÈRE DE L’IMPACT D’UN RISQUE En dessous de 2.500 EUR
Score 1 (impact : très faible)
Entre 2.500 et 5.000 EUR
Score 2 (faible)
Entre 5.000 et 10.000 EUR
Score 3 (modéré)
Entre 10.000 et 25.000 EUR
Score 4 (important)
Au-delà de 25.000 EUR
Score 5 (très important)
Outre la dimension financière, on peut utiliser des dimensions comme le ‘préjudice causé à l’image’, la ‘perte de qualité’ ou le ‘retard opérationnel’. Il importe de ne pas retenir plus de trois ou quatre dimensions. Car si la liste est trop longue, chaque risque sera important du point de vue de l’une des dimensions et cela n’aidera évidemment pas à fixer des priorités. Sélectionnez donc en conscience les principaux risques que vous voulez éviter et estimez leur impact et leur probabilité le plus correctement possible.
FEB
17
Étape 3 : évaluation des risques
Le résultat de l’analyse de risques peut être utilisé pour établir un profil de risque dans lequel chaque risque reçoit une pondération et est classé selon ce score. On peut ainsi classer chaque risque identifié et se faire une idée de son importance relative. Grâce à ce processus, on peut désigner les domaines de l’organisation pour lesquels le niveau de gestion des risques peut être augmenté, réduit ou redistribué.
Potential Impact
Puisqu’il n’est ni possible ni souhaitable de maîtriser tous les risques, il est important de fixer des priorités. C’est en effet sur la base de l’analyse des risques que l’on décide des actions futures. Cette décision peut être d’effectuer des analyses complémentaires, d’entreprendre des actions pour réduire le risque ou de ne rien faire (par exemple parce qu’il est très peu probable que le risque se produise), pour autant que l’on procède toujours en connaissance de cause.
RISK ‘HEAT MAP’ Extreme
15
19
22
24
25
High
10
14
18
21
23
Medium
6
9
13
17
20
Low
3
5
8
12
16
Negligible
1
2
4
7
11
Remote
Unlikely
Possible
Likely
Probable
0-10%
> 10-25%
> 50-90%
> 90-100%
Likelyhood % ranges
> 25-50%
Source : BDO
Graphiquement, les risques s’inscrivent dans une matrice ou ‘heat map’, où leur impact et leur probabilité apparaissent sur l’axe des X et l’axe des Y (voir l’exemple de ‘heat map’ en page 19).
GESTION DES RISQUES DANS LE RAPPORT ANNUEL En vertu de l’article 95 du Code des sociétés, les administrateurs ou gérants de sociétés doivent rédiger un rapport (le rapport annuel) dans lequel ils rendent compte de leur politique. Ce rapport annuel de l’organe de gestion doit au moins aborder les points qui donnent un aperçu fidèle de l’évolution et des résultats de l’entreprise et de sa position. Il décrit en outre les principaux risques et incertitudes auxquels la société est confrontée.
Le commissaire ou reviseur d’entreprise veille à ce que la description des principales caractéristiques des systèmes internes de contrôle et de gestion de risque relatifs au processus de rapport financier figure dans la déclaration de bonne gouvernance. Il contrôle aussi si la description correspond aux comptes annuels et que le rapport annuel – y compris la déclaration de bonne gouvernance – ne contient pas d’incohérences matérielles importantes par rapport à l’information dont il dispose dans le cadre de sa mission.
18
FEB GESTION DES RISQUES
EXEMPLE “HEAT MAP” ENVIRONNEMENT DE PRODUCTION Facteurs Externes Circonstances économiques
Orientation & Gouvernance Orientation
Gouvernance
Vision et mission
Structure de direction
Compétition
Stratégie
Transparence
Calamité
Culture d’entreprise
Monitoring et auditing
Utilisateurs finaux
Processus de soutien Financier
Opérationnel
Réglementation & compliance
RH
Juridique
IT
Commandes
Embauche
Gestion des contrats
Disponibilité
Législation
Stocks
Administration salariale
Propriété intellectuelle ?
Gestion du changement
Contrôle interne
Planification
Formation
Syndicats et réglementation
Protection de l’information
Budgétisation
Qualité
Gestion des prestations
Fraude
Infrastructure
Facturation et suivi
Livraisons/ placement
Comptabilité Liquidité Fixation de prix
Protection de la vie privée et protection des données
Source : BDO
Une autre manière de représenter le résultat de l’analyse de risques est l’univers de risque dont nous avons parlé précédemment. On y utilise un code de couleur pour indiquer l’importance du risque (par exemple risque relativement limité ou risque majoré) dans différents domaines. Cette présentation graphique est souvent utilisée pour préparer les discussions sur la gestion de risque, au sein du comité d’audit par exemple.
Les étapes décrites ci-dessus aboutissent à une liste de risques prioritaires. Sur la base de celle-ci, l’entreprise ou l’organisation peut ensuite élaborer un plan d’action concret. Celui-ci a pour objectif de prendre des mesures pour les risques prioritaires afin qu’ils restent dans les limites acceptables pour l’entreprise (‘risk appetite’). Vous en lirez plus à ce sujet dans le chapitre ‘Gestion des risques’ en page 20.
GESTION DES RISQUES
FEB
19
Gestion des risques
Une analyse des risques a été effectuée dans le chapitre précédent, donnant lieu à une liste des risques à prendre en compte en priorité. La manière de procéder est définie dans un plan d’action concret. Celui-ci contient des mesures qui garantissent que les risques ne dépassent pas les limites acceptables pour l’entreprise.
1 LE PLAN DE GESTION DES RISQUES Comme dans tout bon plan d’action, les tâches, responsabilités et délais de réalisation sont clairement définis et suivis. En général, le plan est élaboré pour une période d’un an, qui correspond à l’exercice comptable de l’entreprise. En effet, les risques ne sont pas une donnée statique, mais ils évoluent en fonction de la dynamique de l’entreprise et de ses marchés. Dès lors, il doit chaque année être remis à jour.
Les risques évoluent en fonction de la dynamique de l’entreprise et de ses marchés Les actions que vous pouvez entreprendre pour maîtriser les risques sont très diverses. Pour l’essentiel, elles peuvent être ramenées à une des solutions suivantes : les accepter – Habituellement, les petits risques sont acceptés comme ‘cost of doing business’ (ils font partie des affaires) et on n’investit ni temps ni moyens pour les éviter proactivement. Si un petit risque survient néanmoins, on le résout en temps réel ;
les éviter – L’entreprise ou l’organisation décide alors de ne pas réaliser une activité donnée afin d’éviter les risques qui y sont liés. Elle peut ainsi décider de ne pas procéder à un rachat étranger en raison de l’instabilité économique ou politique, de la fraude, de la corruption, etc. dans ce pays ; les transférer – L’exemple le plus connu de transfert de risque est l’assurance. Contre paiement, on repousse le risque vers un tiers. Un autre exemple de transfert de risque est la collaboration avec une société de factoring ; les mitiger – Dans ce cas, l’entreprise tente activement d’endiguer (ou d’atténuer) le risque via des contrôles internes. C’est cette solution qui requiert la plus grande adaptation de l’entreprise. Par ailleurs, l’organisation des contrôles internes doit être bien réfléchie de manière à couvrir un maximum de risques avec un minimum de contrôles (il faut limiter les coûts !). Nous en reparlerons au point 2 (contrôle interne) de ce chapitre.
Une entreprise peut accepter, éviter, transférer ou mitiger les risques Ce qui importe, c’est que les décisions soient prises en connaissance de cause, sur la base d’une analyse des risques et de tous les aspects pertinents : l’importance du risque, son impact potentiel et les coûts des mesures de prévention. Dans certains cas, l’entreprise fait même un business case pour les investissements requis. Certains risques sont acceptables, notamment lorsqu’ils sont petits (et peu probables) ou lorsque les coûts de prévention sont trop élevés. En général, la direction prépare les décisions relatives à la prévention des GESTION DES RISQUES
FEB
21
risques et les fait valider par le conseil d’administration. En effet, c’est ce dernier qui a la responsabilité finale et qui décide quels sont les risques acceptables et ceux qui ne le sont pas. Il est important que les décisions soient bien documentées, afin que les acteurs puissent s’y référer lorsqu’un incident survient effectivement. À ce moment, on peut prouver, grâce à la documentation, que toutes les décisions ont été bien pensées, en tenant compte de tous les éléments pertinents disponibles.
2 CONTRÔLE INTERNE ET GESTION DES RISQUES Les risques peuvent être limités au moyen de mesures de contrôle interne, également appelées mesures de gestion.
22
FEB GESTION DES RISQUES
Le contrôle interne est défini comme ‘un système développé par l’organe de gestion et mis en œuvre sous sa responsabilité par le management exécutif. Il contribue à la maîtrise des risques et des activités de la société, à l’efficacité de ses opérations, à l’utilisation efficiente de ses ressources, à la protection de ses actifs et à la prévention de la fraude. Cela en fonction des objectifs, de la taille et de la complexité des activités de la société’. Au sens plus strict, des mesures de gestion sont développées et mises en œuvre pour réduire les risques. Voici quelques exemples de mesures de contrôle interne et des risques y afférents : la limite de crédit pour réduire le risque de crédit des clients (risque financier – nous vous renvoyons au chapitre consacré à ce sujet, p. 40) ; le 3-way match pour approuver les factures de fournisseurs à l’aide du bon de commande, du bon de livraison et de la facture ; le recours à plusieurs fournisseurs et à des clauses contractuelles en vue d’éviter une rupture de stock ou de livraison de matières premières (risque opérationnel – nous vous renvoyons au chapitre consacré à ce sujet, p. 66) ; la maintenance préventive des machines de production (risque opérationnel); l’application de procédures d’injonction de payer pour suivre le recouvrement de factures de clients (risque financier) ; la répartition ou la séparation des fonctions et des responsabilités dans le processus d’acquisition (risque de fraude – nous vous renvoyons au chapitre ‘Risques financiers’, p. 40) ; un générateur de secours pour faire face aux pannes d’électricité (risque opérationnel) ; un Business Continuity Plan (BCP) pour garantir la continuité des activités en cas
d’incidents majeurs (risque de continuité) ; un firewall en guise de protection contre les attaques des systèmes IT par des hackers (risque informatique – nous vous renvoyons au chapitre consacré à ce sujet, p. 72) ; … Nous établissons en outre une distinction entre les mesures préventives et les mesures correctives : les mesures préventives empêchent que survienne effectivement un risque donné. Il s’agit notamment de la séparation des fonctions, des limites de crédit ... ; les mesures correctives limitent quant à elles l’impact d’un risque lorsqu’il survient. Les rapports des contrôles sont un exemple typique de mesure corrective pour détecter des anomalies. Un BCP en est un autre. Les assurances sont également considérées comme des mesures correctives.
3 IMPACT DES TI SUR LE CONTRÔLE INTERNE ET LA GESTION DES RISQUES L’automatisation des processus d’entreprise a un impact considérable sur la gestion des risques et le contrôle interne. D’une part, les contrôles automatisés permettent de réduire les risques mais, d’un autre côté, ils introduisent de nouveaux risques en raison de la dépendance accrue aux TI. Un système ERP (Enterprise Resource Planning) doit consacrer suffisamment d’attention au contrôle interne afin de réduire sensiblement les risques. Ainsi, dans un cycle de vente, les étapes suivantes peuvent être introduites par exemple :
la vérification automatique du crédit lors de l’introduction d’un ordre de vente ; l’utilisation des prix de vente imposés par le système ; la gestion des listes de prix par une personne autorisée ; des rapports en cas de prix de vente modifiés et de faibles marges ; la facturation automatique après la livraison des marchandises. Dès que ces mesures de gestion sont correctement implémentées, elles sont mises en œuvre de manière cohérente par le système ERP. Les modifications éventuelles sont gérées de manière contrôlée, de sorte que les contrôles restent pertinents et appliqués. En cas de fraude, les logs du système ERP peuvent être consultés en vue de tracer les actions et leurs exécutants.
L’automatisation des processus d’entreprise a un impact considérable sur la gestion des risques et le contrôle interne En revanche, la dépendance accrue des TI introduit également de nouveaux risques. Ainsi, l’indisponibilité des systèmes (en cas de panne de courant par exemple) peut avoir un impact considérable sur la continuité des processus critiques de l’entreprise (l’expédition de marchandises par exemple). Par ailleurs, les systèmes doivent bien sécuriser les informations confidentielles. Les listes de clients et de prix surtout sont des informations fortement prisées par la concurrence. Et, dans le cadre de la loi sur la vie privée, il faut également sécuriser les données personnelles des collaborateurs et des clients. GESTION DES RISQUES
FEB
23
CASE CMI GROUP
COCKERILL MAINTENANCE & INGÉNIERIE NO RISK, NO BUSINESS
© CMI
La reprise d’un acteur indien coté en bourse a représenté un énorme saut en avant pour la gestion intégrée des risques au sein du groupe wallon CockeCockerill Maintenance & Ingénierie (CMI). “En Occident, la gestion des risques repose sur la gouvernance d’entreprise. En Inde, elle a force de loi, plus encore qu’aux USA”,, explique le CFO du groupe, Yves USA” Honhon. Dans son entreprise axée sur la gestion des projets, les risques sont le moteur de l’innovation. “Nous ne les évitons pas, mais les rendons maîtrisables grâce à un encadrement stratégique et opérationnel de la base au sommet.” “Notre business est fondé sur un solide appétit en termes de risques”, déclare Yves Honhon, CFO du groupe. Que CMI conçoive une chaudière pour une centrale solaire à tour, développe une tourelle ‘hightech’ pour un véhicule blindé léger ou conçoive un système novateur de
traitement des déchets, chaque projet génère de nouveaux risques à tous les niveaux (juridique, géopolitique, financier, performances, propriété intellectuelle …). “C’est la nature même de notre métier. Surmonter les risques de manière réfléchie et judicieuse contraint nos concepteurs et gestionnaires de projets à rester vigilants et propulse notre groupe à la pointe du progrès. Je n’appelle pas cela prendre des risques, mais entreprendre avec une audace calculée.” La protection de son savoir-faire est un des risques les plus critiques pour CMI. “En effet, ce savoir-faire est humain et donc extrêmement sensible”, explique l’auditeur interne Christophe Quiévreux. Lorsqu’un ingénieur invente une solution innovante, il est important de partager ce savoir avec ses collègues de la manière la plus détaillée et la plus documentée possible. “Il faut s’assurer que ces connaissances ne disparaissent pas avec les personnes.” COMITÉ DE GESTION DES RISQUES
Imaginons qu’un gestionnaire de première ligne doive faire un devis pour la construction d’une installation de traitement des déchets. Lorsqu’il lit l’énorme quantité de conditions, normes, exigences… auxquelles doit satisfaire le projet, il y a beaucoup de chances qu’il surestime les risques en raison de son manque d’expérience et refuse dès lors le projet. “Il s’agit d’un réflexe sain, mais pas le plus performant pour CMI”, explique Yves Honhon. “C’est la raison pour laquelle nous encadrons nos collaborateurs avec des structures composées de spécialistes qui les aident à placer les risques liés au projet dans leur juste perspective ou même à les réduire,
Yves Honhon, CFO CMI
24
FEB GESTION DES RISQUES
par exemple en proposant d’adapter les termes contractuels en concertation avec le client.” Ainsi, les projets supérieurs à 2 millions EUR, et tous les projets présentant des caractéristiques appelées ‘risques exclus’ sont examinés par un ‘Comité d’engagement’, qui va accompagner
“La gestion des risques vous permet de prendre plus de risques en connaissance de cause et de consolider ainsi votre position concurrentielle” Yves Honhon, CFO CMI l’équipe de projet. Pour les projets à long terme, on s’intéresse tout particulièrement aux risques opérationnels de financement (cashflow, taux de change, garanties de paiement, conformité fiscale, etc.). Si le projet est extrêmement sensible, comme les missions dans les domaines nucléaire ou militaire par exemple, CMI met en place une équipe spéciale de gestion des risques. “Si le projet ne satisfait pas aux conditions définies, c’est le CEO qui décide d’accepter ou non le projet. Bref, on n’élude pas les risques, mais on tente de les neutraliser au maximum. Dès lors, on ne refuse que très rarement un projet. Il est essentiel que chaque collaborateur soit convaincu que prendre des risques
fait partie de notre métier et qu’il est soutenu jusqu’au niveau le plus élevé.” CMI détermine le degré ou la gravité du risque sur la base de quatre paramètres : l’impact financier sur le compte des pertes et profits, la continuité du groupe, sa réputation et la conformité avec la réglementation. L’ACCENT EST MIS SUR L’IMPACT PLUS QUE SUR LA PROBABILITÉ
Outre le Comité de gestion des risques et les équipes de risque spécialisées, CMI a engagé un gestionnaire des risques chargé exclusivement d’examiner tous les risques assurables et qui
Christophe Quiévreux, auditeur interne CMI
GESTION DES RISQUES
FEB
25
rapporte directement au CFO. Ensuite “il existe un comité d’audit qui, outre la supervision des états financiers, pilote la stratégie de gestion de risques. Ce comité supervise également le bon fonctionnement de l’environnement de contrôle interne, à l’aide d’une équipe d’audit interne, qui couvre les 45 divisions opérationnelles du groupe dans un plan triannuel”, ajoute Christophe Quiévreux. “Après des années de sensibilisation et la mise à disposition d’instruments et d’un cadre de gestion des risques, CMI a développé une culture où chacun, en connaissance de cause, ‘hopes for the best and prepares for the worst’.” La stratégie de gestion interne des risques du groupe privilégie en effet l’analyse d’impact plutôt que celle de la probabilité de survenance. Un risque élevé avec une probabilité faible sera si possible maîtrisé grâce à une couverture d’assurance. “La plupart des risques sont en effet assurables, ce que nous faisons bien sûr. Mais ce n’est pas la seule solution.” La valeur ajoutée de la gestion des risques dépasse le cadre opérationnel. Le fait que
26
FEB GESTION DES RISQUES
les risques soient suivis de bas en haut et inversement de manière transparente renforce la confiance de toutes les parties concernées, tant en interne qu’en externe. Yves Honhon: “Une banque ou un actionnaire qui sait que l’entreprise est consciente, jusqu’au plus haut niveau, de la sensibilité aux risques de chaque projet pourra dormir sur ses deux oreilles. Un bon conseil : connaissez vos risques, ou mieux encore : connaissez les risques que vous ne voulez pas prendre.”
Cockerill Maintenance & Ingénierie Secteur : Maintenance et ingénierie Marchés : Énergie, défense, industrie et services Quartier général : Seraing Collaborateurs (2014) : Plus de 4.600 Chiffres d’affaires consolidé (objectif exercice 2015) : 1,4 milliard EUR www.cmigroupe.com
4 NORMES ET STANDARDS - COSO ERM En 2004, le Committee of Sponsoring Organizations of the Treadway Commission (COSO) a lancé un guide pour la gestion des risques, utilisé dans le monde entier par de nombreuses organisations mettant en place une gestion des risques. Sous forme de cube (graphique 2), le modèle COSO présente la relation entre : les objectifs d’une organisation ; les composantes de gestion ; et les entités/unités nécessitant une gestion interne. L’idée sous-jacente du modèle COSO ERM (Enterprise Risk Management) est que chaque entreprise doit pouvoir trouver son ‘sweet spot’ (voir graphique 1). Cela implique, d’une part, de prendre suffisamment de risques pour pouvoir exploiter des opportunités et, d’autre part, d’introduire des contrôles suffisants pour ne pas déraper complètement. Selon le COSO, l’objectif ultime de toute entreprise doit être d’atteindre ce niveau de risque optimal. Le modèle COSO ERM peut aider à y parvenir. FIGURE 1 : COSO ERM SWEET SPOT
Source : COSO ERM
Selon le COSO, la gestion des risques comporte 8 composantes reliées : 1. l’environnement interne : il englobe la nature d’une organisation et la façon dont les risques sont appréhendés et pris en compte par l’ensemble des collaborateurs, à l’inclusion de la gestion des risques et du taux d’acceptation des risques, de l’intégrité, des normes et valeurs éthiques et de l’environnement dans lequel les collaborateurs opèrent ; 2. la fixation des objectifs : sans objectifs, la direction ne peut identifier les événements potentiels susceptibles d’en affecter la réalisation. La direction met en place un processus de fixation des objectifs qui veille à ce que ceux-ci soient en ligne avec la mission et avec le taux d’acceptation des risques ; 3. l’identification des événements : les événements internes et externes qui affectent la réalisation des objectifs d’une entreprise doivent être identifiés. On établit pour cela une distinction entre risques et opportunités. Les opportunités sont prises en compte lors de l’élaboration de la stratégie ou au cours du processus de fixation des objectifs ; 4. l’évaluation des risques : les risques sont analysés, tant en fonction de leur probabilité que de leur impact. Cette analyse sert de base pour déterminer la façon dont ils doivent être gérés ; 5. le traitement des risques : le management définit les réactions à certains risques : évitement, acceptation, réduction ou partage. Pour ce faire, il élabore un ensemble de mesures permettant de mettre en adéquation le niveau des risques avec le seuil de tolérance et le taux d’acceptation des risques ; 6. les activités de contrôle : l’entreprise formule et déploie des politiques et procédures afin de veiller à l’application effective des mesures de traitement des risques ; GESTION DES RISQUES
FEB
27
7. l’information et la communication : l’entreprise identifie, collecte et communique les informations sous un format et dans des délais permettant aux collaborateurs d’assumer leurs responsabilités. Plus globalement, une communication efficace doit être horizontale, verticale et bilatérale au sein de l’entreprise ; 8. le pilotage : le processus de gestion des risques est piloté dans sa globalité et modifié en fonction des besoins. Le pilotage s’effectue au travers des activités permanentes de management ou par le biais d’évaluations indépendantes ou encore par une combinaison de ces deux modalités. FIGURE 2 : LE MODÈLE COSO SOUS FORME DE CUBE
Source : COSO
5 RÔLES ET RESPONSABILITÉS C’est le conseil d’administration qui est, in fine, responsable de la mise en place de systèmes efficaces de gestion des risques et 28
FEB GESTION DES RISQUES
de contrôle interne. L’organisation, la mise en œuvre et le contrôle de ces systèmes sont délégués à la direction. Il appartient au conseil d’administration de veiller à ce que la direction ait effectivement les choses en main et de s’assurer régulièrement que les risques importants auxquels est exposée l’organisation soient effectivement identifiés. Et aussi que le système de contrôle interne réduise effectivement les risques à un niveau acceptable. En bref, le contrôle de l’efficacité des systèmes relève de la responsabilité du conseil d’administration. L’évaluation de l’efficacité de ces systèmes est, quant à elle, souvent déléguée au comité d’audit. Le comité d’audit est érigé par le conseil d’administration et a un rôle purement consultatif. D’un point de vue juridique, toutes les compétences décisionnelles restent collégialement aux mains du conseil d’administration. Le comité d’audit est chargé des tâches suivantes : surveillance du rapportage financier ; suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques de la société ; s’il y a un audit interne, suivi de celui-ci et de son efficacité ; suivi du contrôle légal des comptes annuels et des comptes consolidés, en ce compris le suivi des questions et recommandations formulées par l’auditeur externe ; examen et suivi de l’indépendance de l’auditeur externe. L’organisation, la mise en œuvre et le contrôle de l’efficacité des systèmes de gestion des risques et de contrôle interne relèvent, pour leur part, de la responsabilité de la direction.
Celle-ci doit veiller à ce que les risques soient gérés de manière adéquate dans le cadre de ses responsabilités. Et aussi à la mise en œuvre de mesures de contrôle interne lorsque cela s’avère nécessaire pour maîtriser les risques. La direction est souvent considérée comme la première ligne de défense contre les risques.
La direction fait souvent office de première ligne de défense contre les risques Il arrive de plus en plus fréquemment que l’équipe de direction compte également un gestionnaire des risques. Il ou elle dresse l’inventaire des risques de l’organisation, veille à bien définir les responsabilités en termes de gestion des risques et surveille la mise en œuvre d’une stratégie efficace de gestion des risques. Dans bon nombre d’entreprises ou d’organisations, le gestionnaire des
risques tient un registre des risques et tous les incidents doivent lui être rapportés. Le gestionnaire des risques est souvent considéré comme la deuxième ligne de défense contre les risques. Enfin, certaines organisations ont un auditeur interne. Il examine et évalue la pertinence et l’efficacité de la gestion des risques et du contrôle interne de l’organisation. Si le gestionnaire des risques appartient à l’équipe de direction et lui apporte son soutien pour la gestion des risques, l’aspect de l’audit interne mis en avant est l’appréciation indépendante des risques et des processus de contrôle interne. En vue de consolider son indépendance, il ou elle ne fait pas partie de l’équipe de direction et fait directement rapport au conseil d’administration ou au comité d’audit. L’audit interne est souvent considéré comme la troisième ligne de défense contre les risques.
GESTION DES RISQUES
FEB
29
Typologie des risques
QUELS RISQUES ET COMMENT LES MAÎTRISER ? Il existe différentes manières de cataloguer les risques. On peut les classer sur la base de leur origine et de leurs conséquences sur le fonctionnement de l’organisation, de l’entreprise ou même d’un système ou processus déterminé. On peut aussi les classer selon la probabilité que survienne une anomalie ou un incident. Il n’existe toutefois pas de panacée pour répartir les risques. Chaque entreprise doit déterminer elle-même comment elle veut le faire, pourquoi et à quel niveau ou pour quel aspect de sa gestion. Indépendamment de la répartition que l’entreprise choisit, les catégories doivent être appliquées de manière uniforme dans toute l’organisation afin que l’analyse, l’évaluation et le suivi de tous les risques puissent se faire de manière cohérente. Dans ce chapitre, nous classons les risques en six grands domaines, en tenant compte des types de risque les plus courants : 1
2
3
4
RISQUES EXTERNES ET STRATÉGIQUES (situation politique, évolution macroéconomique, influence démographique, événement naturel…) RISQUES FINANCIERS (financement à long terme et opérationnel, fluctuations des devises et des intérêts, gestion des débiteurs…) RISQUES DE COMPLIANCE (règles fiscales, facturation, comptabilité, administration…) RISQUES JURIDIQUES (contrats, législation sociale, propriété intellectuelle …)
5
6
RISQUES OPÉRATIONNELS (production, achats, transports, logistique, environnement, contrefaçon, approvisionnement énergétique, qualité, supply chain…) RISQUES IT (données, protection de la vie privée, continuité, cybercriminalité, phishing, fraude…)
Nous ne parlons pas dans cette brochure, sinon indirectement, des risques en matière de sécurité, de santé, de bien-être et d’environnement. Quelques exemples concrets : la sécurité au travail (prévention et protection contre les accidents du travail, incendie, explosion…), la protection de la santé du travailleur, la charge psychosociale causée par le travail (stress, harcèlement, satisfaction professionnelle…), l’ergonomie (adaptation des équipements de travail et du poste de travail aux possibilités du travailleur), l’hygiène du travail (aération, éclairage, température, substances nocives …), l’embellissement des lieux de travail (sanitaires, réfectoire…), etc. Ces risques ne sont pas abordés dans cette brochure parce qu’ils relèvent du domaine spécifique du Comité de prévention et de protection au travail ou du coordinateur environnemental.
Solutions Pour chaque domaine ou type de risque, nous suggérons des solutions que votre entreprise peut appliquer pour se protéger contre les risques. Précisons toutefois qu’il s’agit chaque fois de pistes et non de solutions toutes faites sur mesure, étant donné qu’une solution spécifique peut être élaborée pour maîtriser chaque risque spécifique. GESTION DES RISQUES
FEB
31
1
RISQUES EXTERNES ET STRATÉGIQUES
Les risques externes et stratégiques constituent une catégorie à part dans la typologie des risques. La grande différence avec les risques financiers, juridiques, opérationnels ou de compliance est que les risques stratégiques et, plus encore, les risques externes sont moins maîtrisables. Autrement dit : il n’est pas évident de les éviter parce qu’ils se situent souvent en dehors de la sphère d’influence de l’organisation et sont donc plus difficiles à contrôler via des processus ou des règles. Mais difficile ne signifie pas impossible.
1 RISQUES EXTERNES : AIGUS OU LARVÉS Les risques externes sont des risques qui viennent de l’extérieur de l’entreprise et sur lequel elle n’a pas ou guère d’influence. Citons les catastrophes naturelles, les facteurs macro-économiques, politiques ((in)sécurité juridique, grèves), législatifs, démographiques, le terrorisme, l’évolution climatique, la concurrence croissante … Selon le gourou du management, Robert Kaplan, il existe deux sortes de risques externes 1
qui se distinguent en fonction du rythme auquel ils se produisent. Le ‘Big Bang’ est un problème aigu et grave. On parle aussi de ‘cygnes noirs’ 1 ou d’événements imprévisibles auxquels personne ne s’attendait, que presque personne n’a vus arriver, mais qui ont des conséquences énormes. On citera comme exemples un krach boursier ou la catastrophe nucléaire de Fukushima, qui a remis en question la politique nucléaire partout dans le monde. Mais le comportement ad hoc des parties prenantes, des politiques ou des concurrents peut aussi donner lieu à un incident grave. Le deuxième groupe de risques externes est celui des ‘Slow Risks’. Le nom est éloquent : ces risques sont la conséquence de situations ou de phénomènes qui traînent depuis des années à l’intérieur ou à l’extérieur de l’entreprise. Ils constituent une menace larvée. Ainsi, la crise du crédit dans le secteur bancaire a joué des tours à la politique d’investissement de nombreuses entreprises. Ou encore, l’émergence de la communication numérique a contraint la poste à réinventer son businessmodel.
Des situations qui traînent depuis des années peuvent devenir une menace aiguë
Le terme vient du bestseller financier de Nassim Nicholas Taleb ‘Le cygne noir : la puissance de l’imprévisible’. Le cygne noir est une métaphore pour des événements imprévisibles qui ont un impact considérable et qui a posteriori sont considérés comme plausibles et prévisibles. L’auteur estime que les cygnes noirs déterminent de plus en plus l’histoire en raison de la complexité croissante de la société.
32
FEB GESTION DES RISQUES
LES RISQUES EXTERNES D’UNE INSTITUTION DE SOINS Le tableau ci-dessous est un bel exemple de la manière dont une institution de soins a identifié ses principaux risques externes. ÉCONOMIE
MARCHÉ
R Possibilités de financement externe insuffisantes R Augmentation des taux
R Augmentation du pouvoir des assureurs soins R Augmentation de la concurrence
POLITIQUE
SOCIÉTÉ
R Économies des autorités en relation avec des exigences accrues de soins R *BHIB<EF CH5?<6F <@CE[I<F<5?8F
R 0<8<??<FF8@8AG R [I8?BCC8@8AG 78 ?4 6H?GHE8 78 ?4 C?4<AG8 R #@4:8 74AF ?8F @[7<4F
Il y a longtemps, le management considérait les risques externes comme des ‘cas de force majeure’, contre lesquels ils ne pouvaient rien entreprendre, ce qu’on appelle en jargon des ‘Acts of God’. Actuellement, la direction de l’entreprise ne peut plus s’en tirer avec une telle attitude. Malgré le fait que les risques externes sont souvent imprévisibles ou échappent aux radars, une entreprise ou une organisation peut toujours mieux s’armer pour faire face à leur éventualité. Les moyens technologiques actuels sont des outils utiles, mais ils ne sont pas la panacée. En effet, gérer les risques externes exige une nouvelle manière de penser ‘en scénarios’ qui dépasse la gestion de risque classique. Une entreprise peut s’armer : en réagissant à temps et proactivement aux évolutions du marché. Ainsi, on peut désigner une personne responsable de suivre et de surveiller toutes les évolutions (politiques, sociétales) qui ont une influence sur la stratégie de l’entreprise. Et de planifier des scénarios sur la base de ces connaissances ; en menant une politique du personnel à long terme qui tient compte des évolutions futures, comme le vieillissement, les
économies des pouvoirs publics, la flexibilité et la mobilité, etc. ; en identifiant et en inventoriant les risques externes potentiels qui concernent l’entreprise. Le fait que l’entreprise soit consciente des risques possibles est un premier pas important pour y parer. L’évaluation de ces risques au moyen d’indicateurs spécifiques à l’entreprise est aussi importante ; en déterminant le poids de ces risques, leur rapport avec d’autres risques et leur impact sur l’organisation (par exemple par des stresstests ou le ‘war gaming’). Et, en corollaire, en élaborant des stratégies avec ou sans la collaboration de spécialistes ou partenaires externes ; …
GESTION DES RISQUES
FEB
33
RISQUE DE TRANSFERT Le risque de transfert fait aussi partie des risques externes. En effet, il peut arriver que votre partenaire soit solvable et qu’il soit en mesure d’effectuer le paiement en monnaie locale, mais que la banque centrale de son pays ne mette aucune devise à sa disposition en raison d’une pénurie.
Comment se prémunir ? R Exiger l’ouverture d’un crédit documentaire confirmé par votre banque. Dans ce cas, votre banque s’engage irrévocablement – avec la banque émettrice – à payer le montant du crédit contre remise des documents exigés. Elle couvre le risque commercial de la banque qui ouvre le crédit ainsi que le risque politique du pays et la défaillance de cette banque. R Exiger l’ouverture d’une lettre de crédit stand-by confirmée par votre banque. Cette garantie de paiement est délivrée par la banque de l’acheteur. Cette banque s’engage à payer l’exportateur à sa première demande, sans condition. R Demander à votre banque une garantie de paiement (soumise aux ‘Uniform Rules for Demand Guarantees’) en contrepartie d’une garantie du banquier de votre acheteur. R Contracter une assurance-crédit.
2 RISQUES STRATÉGIQUES : DÉLIBÉRÉS ET CIBLÉS Les risques stratégiques sont liés à la stratégie de l’entreprise et sont donc des risques que l’entrepreneur choisit délibérément. Il met en balance le risque (la menace) et le rendement (l’opportunité). Bref, les risques stratégiques sont pris dans un but précis. Ainsi, les banques prennent un risque de crédit en prêtant de l’argent. Ou une entreprise s’installe sur un nouveau marché pour augmenter son chiffre d’affaires. Certaines entreprises prennent délibérément des risques stratégiques pour se positionner ou se distinguer de la concurrence – par exemple lorsqu’elles développent un nouveau produit. Ces entreprises audacieuses doivent élaborer une bonne stratégie de gestion des risques si elles ne veulent pas être victimes de leur propre goût du risque. Les risques stratégiques ne vivent pas leur propre vie. Les risques externes, comme les risques maîtrisables (opérationnels, financiers, juridiques, IT…) peuvent devenir des risques stratégiques. Ainsi, les risques opérationnels qui s’accumulent peuvent devenir une menace stratégique. Un risque externe peut aussi devenir stratégique. La reprise d’une entreprise X par une entreprise Y peut avoir un impact sur la stratégie d’une entreprise Z (qui n’a pas prise sur la reprise) du même secteur. Les risques stratégiques ne peuvent être maîtrisés par des règles, des procédures et des systèmes (‘rule-based model’). La gestion des risques stratégiques doit surtout veiller à minimiser l’impact négatif possible. En effet, plus la menace stratégique est faible, plus l’entreprise peut prendre de nouveaux risques. C’est pourquoi il est important que l’entreprise surveille en continu l’évolution de ses risques stratégiques et qu’elle les garde à
34
FEB GESTION DES RISQUES
l’ordre du jour. Dans ce cadre, il est essentiel que les risques soient identifiés de manière très concrète et tangible. Car pour maîtriser les risques, il faut d’abord les connaître. Chacun sait-il clairement ce que l’on entend par risque ? Car chaque risque stratégique en cache de nombreux autres.
Les risques stratégiques ne peuvent être maîtrisés par des règles, des procédures et des systèmes
Toutefois, dans de nombreuses organisations, l’accent de la gestion des risques est mis sur les aspects ‘operation’ et ‘compliance’. Les risques stratégiques ne reçoivent pas toujours l’attention qu’ils méritent. Une étude de Robert Kaplan et David Norton montre même que 85% du senior management consacre moins d’une heure par mois à la concertation stratégique. Or, une bonne gestion des risques commence par la compréhension du contexte et de la stratégie de l’organisation. L’entreprise peut la concrétiser à l’aide d’une carte stratégique qui fait le lien entre la stratégie, les activités opérationnelles et les indicateurs mesurables.
LA CARTE STRATÉGIQUE DU RISQUE Nous fournissons à temps des produits qualitatifs à la grande satisfaction de nos clients
Mission
Objectifs
Finance
Nos produits sont visiblement qualitatifs
A. 10% du budget pour l’innovation
13 6
Clients
Personnes, Innovation et apprentissage
Satisfaction des collaborateurs minimum un 8
Solvabilité de 40%
B. Politique de prix concurrentielle
C. Régimes de garantie 9 2
D. Réduction overhead 4
H. Cas pratiques 6 13
I. Gestion des débiteurs 11
E. Panels de clients actifs 13 dans l’innovation F. Gestion des plaintes
Processus internes
3
Satisfaction du client minimum un 8
G. Account management
5
J. Gestion de la qualité 6
M. Collaboration active avec les universités techniques
10 2
K. CRM 5 11
N. Job rotation 4 8 9
8
O. Coaching personnel 2
8
L. Investissement d’analyse des risques
P. Conscience accrue des coûts
Les numéros en couleur correspondent aux risques liés à cette activité. Source : http://robertthart.risicomanagement.nl/2014/10/28/risico-strategiekaart-sturen-op-strategie-en-risicos/
GESTION DES RISQUES
FEB
35
La carte stratégique constitue la base de l’identification et de la gestion systématique des risques. Elle concrétise tous les objectifs stratégiques et leurs relations mutuelles. Un récapitulatif clair offre une structure et facilite la concertation et le dialogue de sorte que la gestion des risques s’intègre dans la culture de l’organisation. Une carte stratégique efficace change d’ailleurs régulièrement parce que de nouvelles activités, de nouveaux risques et de nouvelles visions amènent à adapter les priorités de la stratégie.
Enfin, la carte stratégique offre un point de repère qui permet au management de se concentrer sur les risques liés à la réalisation des objectifs qu’elle reprend. Bref, la carte stratégique offre le cadre naturel pour identifier les risques, les atténuer et les gérer de manière systématique grâce à une approche intégrée.
MANAGEMENT DE LA RÉPUTATION La valeur d’une entreprise repose sur trois éléments : sa valeur comptable, la valeur de sa marque/de son actionnariat et … sa réputation. La force de la réputation dépend du degré de correspondance entre les paroles et les actes. Celui qui ne dit pas ce qu’il fait et inversement compromet sa réputation et donc aussi son activité. Comment votre entreprise est-elle perçue dans le pays où vous opérez ? C’est la définition de la réputation. Plus cette perception est positive, mieux cela vaut pour la confiance et donc pour votre activité. Heureusement, il existe de nombreux accords et règlements internationaux auxquels l’entreprise peut se référer pour élaborer un code d’entreprise responsable. Songeons à des thèmes comme le travail des enfants, la sécurité environnementale, les conditions de travail, la protection sociale, la corruption, la qualité du produit ou du service… Tous ces thèmes impliquent un risque supplémentaire pour votre réputation lorsque les normes et valeurs étrangères s’opposent à celles de votre pays d’origine. L’entreprise qui opte pour la norme ‘la plus haute’ (par exemple appliquer les normes environnementales strictes du pays d’origine dans un pays où il n’existe pratiquement pas de normes) risque de compromettre sa position concurrentielle sur ce marché local étranger. Inversement, l’entreprise qui déroge trop aux normes et valeurs nationales à l’étranger risque d’entacher sa réputation sur son marché domestique. L’essentiel est de trouver un équilibre entre limite supérieure et inférieure. Sachez enfin que le risque de préjudice porté à la réputation a fortement augmenté du fait de la croissance exponentielle des moyens de communication et technologiques. Une bonne compréhension des risques est donc essentielle pour un bon management de la réputation.
36
FEB GESTION DES RISQUES
CASE FNG GROUP
CHAQUE RISQUE CACHE UNE OPPORTUNITÉ La maison de mode belge qui chapeaute les marques Fred & Ginger et Claudia Sträter a repris huit marques en douze ans. Aujourd’hui, ce sont cinq concepts. “Être plus pertinent que les acteurs dominants”, dominants”, c’est la meilleure garantie pour rester comcompétitif, affirme le CEO Dieter Penninckx. “Nous vendons un produit émotionnel dont nous essayons de gérer les risques le plus rationnellement possible.”
© FNG Group
FNG Group crée et distribue des articles de mode pour dames, enfants et bébés via ses propres concept-stores situés dans les meilleurs endroits en Belgique et aux Pays-Bas, et via un réseau de boutiques multimarques chez nous et à l’étranger. Toutes les collections sont créées en interne. Si l’une d’entre elles plaît moins, FNG ne peut en faire porter le préjudice par un tiers. Le CEO Dieter Penninckx étale ce ‘risque de collection’ en différentiant fortement l’offre, allant jusqu’à 15 collections par marque et par an. “La mode n’est pas une science exacte ; elle est soumise aux tendances et aux caprices du consommateur. Dieter Penninckx, CEO FNG Group
38
FEB GESTION DES RISQUES
L’important est de commercialiser le bon produit, au bon moment et au bon endroit du marché. Mais la conception de ces produits demande du temps : 8 à 9 mois de l’idée jusqu’au magasin. D’où l’importance de s’entourer de professionnels qui ont du nez pour les styles futurs, de personnes sensibles aux ‘signaux faibles’ (n.d.l.r.: métatags de la réalité qui donne un sens à une réalité plus profonde).” Il faut aussi être fort dans la planification des collections. En effet, dès que le succès d’une collection est passé, le reliquat ne peut être vendu qu’au rabais. Enfin, FNG opère dans un contexte ‘open to buy’. Cela signifie qu’à côté des ‘collections de long terme’, le groupe peut réaliser très rapidement de petites collections. L’organisation internationale des achats joue un rôle clé dans cette stratégie. “Pareille stratégie n’est réalisable que si l’on connaît et maîtrise parfaitement l’ERP (enterprise resource planning). Vendre au détail, cela marche toujours. Vendre avec une optimalisation de marge, c’est une autre affaire.” INTÉGRATION VERTICALE FORTE
Comme société internationale, FNG court aussi des risques stratégiques du niveau des achats. FNG pare aux risques fournisseurs et qualité par une excellente politique d’achat qui maintient la continuité, la rapidité, les prix et la qualité en équilibre d’une manière socialement responsable. “Les vicissitudes géopolitiques ont moins d’impact sur la relation avec nos ateliers de production et de confection que les risques de change euro/dollar.” La hausse du dollar face à l’euro est un problème pour une entreprise de mode qui fait confectionner ses vêtements
dans les pays asiatiques liés au dollar. “Nous pouvons rapidement déplacer la production vers la Turquie. Nous instaurons ainsi une certaine compétition interne dans notre organisation.” Mais la dispersion n’efface pas tous les risques. Une intégration verticale forte est tout aussi efficace. “Il faut littéralement être présent chez le fournisseur et suivre les processus et les activités avec des locaux, sans pour autant créer des filiales soi-même. On évite ainsi le risque lié à une entreprise locale.”
“La mode est comme un fruit ; à la fin de la saison, il pourrit et ne vaut plus rien. Il est capital de planifier efficacement les délais de réalisation” Dieter Penninckx considère la qualité comme un risque ‘minimum-maximum’. Chaque bureau de l’organisation d’achat de FNG (Istanbul, New Delhi et Hongkong) gère une vingtaine de fournisseurs. “Nous ne pouvons pas en avoir beaucoup plus si nous voulons garder la maîtrise des 7 à 8 millions de pièces que nous commercialisons chaque année. Nous minimalisons le nombre de fournisseurs et construisons avec eux une relation à long terme contrôlable. Et ce groupe, nous le dispersons au maximum.” De plus, en supprimant les intermédiaires, FNG offre un prix correct à ses fournisseurs tout en restant compétitif. L’EXPÉRIENCE MÈNE À UNE VISION
Le groupe de mode ne se profile pas comme casseur de prix ; il offre plus de
pertinence. “L’innovation constante évite le risque d’être chassé du marché par des acteurs qui cassent les prix. C’est pourquoi nous vendons un concept et non un produit.” Le nouveau conceptstore F.R.E.D., ouvert à Anvers, est une expérience de ce type. Dieter Penninckx y vend ses propres marques, mais aussi des créations de nouveaux talents qu’on ne vend nulle part ailleurs. Nous y travaillons avec des designers, des artistes. Il y a un mur où on peut échanger des livres ou des plantes. Chacun peut jouer sur le piano à queue. “Tous ces éléments se renforcent mutuellement et misent sur les ‘early adopters’. Ceux-ci peuvent être source d’inspiration.” Fondamental : gérer les risques sans une bonne vision de l’univers et des motivations du marché est un nonsens stratégique. “Chaque risque cache une opportunité. Pour celui qui cherche les opportunités dans la menace, les risques peuvent être une bénédiction.”
FNG Group Activité : Mode Marchés : 300 magasins propres dans le Benelux et des collections vendues dans 1.800 magasins multimarques Siège : Malines Collaborateurs (2014) : Environ 1.800 Chiffre d’affaires (objectif exercice 2015) : 225 millions EUR www.fng.eu
GESTION DES RISQUES
FEB
39
2
RISQUES FINANCIERS Investissements à long terme Pour se développer, une entreprise doit investir, que ce soit sur fonds propres ou avec des moyens externes. Ces investissements peuvent revêtir de nombreuses formes. Par exemple des biens d’équipement ayant une durée de vie déterminée, ou un nouveau projet qui doit être préfinancé. Quelle que soit leur forme, les investissements se font normalement sur le long terme et impliquent des risques financiers qui appellent une réponse stratégique. Mais il n’y a pas que les investissements qui génèrent des risques. Le fonctionnement quotidien, le préfinancement de ventes réalisées et la gestion optimale du capital de l’entreprise ... aussi. Heureusement, il existe une solution pour chaque risque financier.
1 FINANCEMENT STRATÉGIQUE Qu’il s’agisse du financement de leurs investissements à long terme ou de leurs contrats commerciaux à long terme, il est important que les entreprises connaissent les risques auxquels elles s’exposent et s’assurent de manière adéquate
Il existe différentes formules pour assurer le risque lié aux financements à long terme. Vous pouvez en outre opter pour un taux fixe ou variable. Un taux fixe pour toute la durée du contrat Un taux fixe pour toute la durée du contrat offre bien entendu beaucoup de sécurité puisque l’entreprise est protégée contre les fluctuations de taux durant toute la période du financement, qui est généralement de 5 à 15 ans. Mais cette sécurité a un prix : si elles souhaitent rembourser leur prêt anticipativement, les PME doivent payer une indemnité de remploi de six mois (pour les contrats jusqu’à un million d’euros) ou un ‘funding loss’ (pour les contrats de plus d’un million d’euros). Dans ce dernier cas, l’entreprise rembourse les frais engagés par la banque pour garantir un taux fixe Un taux variable avec swap de taux d’intérêt Cette formule assure les fluctuations de taux au moyen d’un swap. L’entreprise conclut deux contrats distincts : un prêt à taux variable, généralement sur la base d’un taux d’intérêt de référence à court terme (Euribor pour les prêts en euros) ; et un swap de taux d’intérêt pour couvrir les fluctuations éventuelles du taux d’intérêt de référence pour la durée totale du prêt. Cette formule coûte autant à l’entreprise qu’un remboursement du prêt sur la durée
40
FEB GESTION DES RISQUES
totale du contrat. Mais la ventilation entre crédit et swap offre plus de flexibilité si l’entreprise souhaite solder son crédit par anticipation. En effet, elle peut le faire à un taux plus avantageux et maintenir le swap pour couvrir un nouveau prêt. De plus, elle peut renoncer au swap si les conditions du marché s’avèrent plus intéressantes que prévu. Taux variable révisible Une troisième option est un taux variable pouvant être révisé tous les x temps, permettant à l’entreprise de fixer le taux lorsqu’il menace de croître. Déterminer la formule qui répond le mieux à l’appétence au risque de votre entreprise requiert évidemment une bonne connaissance des marchés financiers. Il est dès lors recommandé de consulter un expert (votre banquier par exemple) pour bien évaluer les risques.
Contrats commerciaux à long terme Les risques encourus par les entreprises lorsqu’elles concluent des contrats commerciaux à long terme ne sont bien entendu pas nouveaux : il y a, d’une part, le risque politique, tel qu’un cadre légal et administratif précaire et insolite selon nos normes, l’instabilité politique ... ;
et, d’autre part, le risque commercial. Le partenaire local est-il fiable ? Paiera-t-il en temps voulu, etc. ?
Déterminer l’assurance qui répond le mieux à l’appétence au risque de votre entreprise requiert une bonne connaissance des marchés financiers Pour les contrats d’équipement (matériel, pièces détachées, machines pour travaux de terrassement ...) ou de travaux d’infrastructure (dragage, stations d’épuration, installation de machines ...), ces risques perdurent pendant toute la durée du contrat, soit facilement 10 ans ou plus. Tout comme pour les financements à long terme, plusieurs solutions s’offrent à votre entreprise pour couvrir ces risques. Transférer le risque à la banque Un financement adéquat peut offrir aux deux parties la sécurité qu’elles recherchent. Cette solution peut s’appliquer aussi bien au financement qu’au risque encouru. Cela fonctionne comme suit : la banque belge de l’exporta-
QUELLE DEVISE CHOISIR POUR SON FINANCEMENT ? La meilleure façon de se prémunir contre les risques de fluctuations des devises – encore plus à long qu’à court terme – consiste à opter pour un financement dans la devise des recettes générées par l’investissement financé. Exemple : si la société mère finance un investissement dans sa succursale britannique et si celui-ci génère principalement des recettes en livres sterling, il est conseillé de faire un prêt en livres. En effet, le coût d’une assurance avec swaps de devises peut s’avérer plus élevé que le bénéfice que pourrait éventuellement faire l’entreprise sur les taux d’intérêt en contractant un financement en euros plutôt qu’en livres.
GESTION DES RISQUES
FEB
41
CASE JAN DE NUL GROUP
L’AVERSION DES RISQUES DANS LES GÈNES
© Jan De Nul Group
Autant le business model ‘hit and run’ du spécialiste des travaux de dragage Jan De Nul Group est typique, autant sa gestion des risques est atypique. Pas de plans de gestion des risques formels, encyclopédiques, mais des checklists documentées fondées sur des décennies d’expérience. Jan De Nul a l’aversion et la gestion des risques dans les gènes. “Tout ce que nous pouvons couvrir au préalable est assuré”, souligne le CFO Paul Lievens. “Ainsi, lorsque le projet est dévedéveloppé, nous devons surtout nous concentrer sur les véritables inconnues.” Le spécialiste des travaux de dragage se pose où se trouve le travail et quitte les lieux en moyenne après deux ou trois ans. Chaque projet est différent et a sa propre courbe d’apprentissage, “et ses risques spécifiques”, explique Paul Lievens. Sur le plan géopolitique, notre chiffre d’affaires dépend de la conjoncture mondiale (si l’économie chinoise ralentit, l’approvisionnement en matières premières et le développement portuaire diminuent et il y a donc moins de travail maritime et de dragage) et du climat politique
(pensez à ce qui se passe en Russie ou en Iran). Les risques de compliance sont, pour leur part, fortement tributaires de la culture (l’Australie est très réglementée, l’Inde très bureaucratique et en Afrique, les risques financiers sont importants). “C’est la raison pour laquelle nous utilisons le plus possible les principes contractuels internationaux anglais. Mais il faut savoir que nos principaux risques sont de nature opérationnelle. En effet, nos activités sont très sensibles et liées aux navires, à la technologie, à l’homme ... Un incident se chiffre vite à quelques millions EUR de coûts et de risques pour notre réputation. C’est pourquoi chaque projet est dirigé par nos expatriés qui connaissent la culture de la maison mère et le soutien logistique (y compris les fournitures, jusqu’au papier toilette) et l’aspect financier sont gérés de manière entièrement centralisée.” Jan De Nul tente toujours de négocier les contrats en euros. Si c’est quand même dans une autre devise, le groupe assure systématiquement les risques d’exécution Forex. “Idem pour le prix des carburants. Dans nos projets internationaux, nous sommes en effet confrontés à tant d’imprévus que nous ne laissons au préalable aucune place aux risques maîtrisables, en encore moins aux positions spéculatives.” LES FONDS PROPRES D’ABORD
Au cours des huit dernières années, le groupe a investi quelque 2,7 milliards EUR dans de nouveaux navires construits en Espagne, en Croatie, en Corée, en Chine, ... Il s’agit de projets à long terme, ayant un impact financier considérable, allant de 25 à 250 millions EUR par navire. “Dans la comptabilité, nous avons en permanence environ
Paul Lievens, CFO Jan De Nul Group
42
FEB GESTION DES RISQUES
900 millions EUR en moyenne de risques de construction navale. L’art consiste à investir dans le bon matériel au bon moment. Cela implique d’évaluer correctement le marché à moyen terme et d’investir dans des technologies ‘durables’.”
“Faire des affaires signifie minimiser en permanence les mauvaises expériences” D’un point de vue financier, c’est loin d’être évident dans un des secteurs les plus cycliques au monde. “Une telle opération requiert donc une infrastructure complexe de garanties financières, telles que des garanties de remboursement. De plus, nous ne travaillons jamais sur des chantiers navals spécialisés dans le dragage afin de rester maîtres du design et de la production de notre technologie de dragage spécifique. Pour diversifier les risques et maintenir une concurrence des prix aigüe, nous travaillons généralement sur quatre ou cinq chantiers simultanément.” Au niveau de la stratégie financière, Paul Lievens résume le groupe en trois chiffres:
deux milliards EUR de chiffre d’affaires, deux milliards EUR de fonds propres et deux milliards d’euros d’actifs fixes. “Cela signifie donc que nous avons 2 milliards EUR d’actifs fixes - à savoir les navires - qui se renouvellent à concurrence d’environ 300 millions EUR par an. Autrement dit : chez Jan De Nul, la culture est de tâcher de financer nos investissements à long terme sur fonds propres.” Le groupe ne s’adresse à ses banquiers pour un crédit à long terme qu’en cas de pic d’investissements. Et il les apure ensuite le plus rapidement possible. “Nous voulons ainsi éviter de nous retrouver dans une spirale de crédit et de devenir trop dépendants de moyens externes.” TENDER RISK ASSESSMENT
Qu’il s’agisse du financement de leurs investissements à long terme ou de leurs contrats commerciaux à long terme, il est important que les entreprises connaissent les risques auxquels elles s’exposent et s’assurent de manière adéquate. “Chaque projet, n’importe où dans le monde, est d’abord confié à un juriste interne qui, avec le soutien des divers départements, dresse le tableau de tous les aspects vulnérables au risque (financier, fiscal, juridique, techniques de l’assurance ...). Ce TRA ou ‘tender risk assessment’ est le fil conducteur de toutes les étapes ultérieures du processus, jusqu’aux négociations commerciales.” La gestion des risques fait partie de l’ADN du groupe Jan De Nul. “Nous n’avons pas de gestionnaire des risques ou de comité des risques ou d’audit formel. Entreprendre à l’international signifie acquérir en permanence de l’expérience et tirer les leçons des mauvaises expériences. C’est une rude mais très enrichissante école de
GESTION DES RISQUES
FEB
43
la vie. Cette connaissance est dans les gènes de nos collaborateurs est est formellement documentée par des checklists exhaustives.” C’est d’ailleurs le conseil que voudrait donner Paul Lievens à ses collègues : “Gardez vos connaissances au sein de l’entreprise. On ne peut capitaliser sur les seuls avis d’experts externes. Surtout pas si vous opérez à l’international de manière récurrente.”
Jan De Nul Group Activité : Travaux de dragage, services maritimes spécialisés pour l’industrie offshore du pétrole, du gaz et de l’énergie renouvelable, génie civil, services environnementaux et développement de friches industrielles Marchés : Actif dans 25 pays partout dans le monde Siège : Capellen, Luxembourg Collaborateurs (2014) : 5.990 Chiffre d’affaires (2014) : 2,04 milliards EUR www.jandenul.com
44
FEB GESTION DES RISQUES
teur octroie, au nom de ce client, un crédit à l’acheteur étranger (l’importateur). L’exportateur reçoit le montant de la transaction lors de la livraison ou de l’exécution des travaux, et l’acheteur rembourse la banque en vertu du calendrier de remboursement convenu. C’est doublement intéressant pour l’entreprise exportatrice : d’une part, parce qu’elle dispose rapidement des moyens nécessaires et, d’autre part, parce que la banque prend à son compte le risque politique et commercial inhérent à l’acheteur étranger. Pour la mise en œuvre efficace d’une telle formule, la banque doit évidemment être présente lors des négociations préalables à la conclusion du contrat. Concrètement, cela implique : une analyse préalable des risques sur le pays de destination et le secteur. Pour ce faire, la banque se base à la fois sur sa propre expertise et sur les analyses de risques de l’Office du Ducroire (voir cadre en page 45) ; une analyse du partenaire commercial : le nom, la structure juridique du groupe dont fait partie le partenaire, ses données financières des deux dernières années. Le Ducroire effectue parallèlement les mêmes contrôles; une analyse des aspects financiers du contrat, sur laquelle la banque se fondera pour conseiller son client, puisqu’elle sera ensuite en charge du financement. Ainsi, il se pourrait que la banque suggère de scinder un contrat en différentes phases afin de réduire ainsi le risque lié au crédit. Letter of interest : atout important lors des négociations Lorsque la banque de l’exportateur est contactée bien à l’avance, elle peut faire une enquête préalable et rédiger une ‘letter of interest’. Il s’agit d’un document officiel, signé par la banque, mais pas encore d’un véritable engagement d’octroi du crédit. Une telle ‘let-
ter of interest’ constitue néanmoins un atout lors des négociations ou des procédures de marché. Car si vous prouvez que vous pouvez non seulement fournir le matériel ou l’infrastructure, mais aussi proposer un financement du contrat, vous aurez incontestablement une longueur d’avance lors des négociations.
Une ‘letter of interest’ constitue un atout lors des négociations commerciales DUCROIRE : ÉVALUER ET ASSURER LES RISQUES POLITIQUES Le Ducroire, l’assureur-crédit à l’exportation public belge, est un assureur-crédit particulier. Il assure non seulement les risques commerciaux, mais aussi les risques politiques partout dans le monde. Sur son site web (www.delcredereducroire.be), il évalue le risque politique et commercial dans plus de 200 pays, tant pour les exportations que pour les investissements directs. Sur demande, ces données sont complétées par une analyse plus détaillée par secteur et par débiteur. Elle indique en outre les couvertures possibles, ainsi que leur coût. Les entreprises peuvent contacter le Ducroire soit directement soit via leur institution financière.
2 FINANCEMENT OPÉRATIONNEL La vente de biens comporte certains risques. Les risques inhérents aux contrats de vente peuvent toutefois être ramenés à un niveau acceptable moyennant un financement et une
assurance adéquats, et ce même au niveau international. La solution retenue par votre entreprise pour chaque risque dépend de nombreux facteurs.
Commercial finance Le ‘commercial finance’ – anciennement ‘factoring’ – peut aider les entreprises à se protéger contre les risques commerciaux. L’entreprise vend ses factures ou créances commerciales à l’institution financière. En échange d’une ristourne sur le montant des factures, l’entreprise reçoit directement des liquidités (une avance sur le montant des factures à recevoir) qui peuvent être utilisées comme fonds de roulement. Grâce au transfert de la totalité ou d’une partie des créances commerciales : l’entreprise contrôle mieux les défauts de paiement, grâce aux mesures prises par la banque ; l’entreprise peut éventuellement s’assurer partiellement ou en complément contre l’insolvabilité de ses clients ; l’entreprise est mieux protégée au niveau des contrats de vente tant nationaux qu’internationaux (en Europe et ailleurs). Les grandes PME et grandes entreprises utilisent également le ‘commercial finance’ comme technique de gestion des risques. Dans ce cas, leur but consiste à diversifier les risques pour répondre à leurs directives prudentielles internes. Ces directives interdisent aux entreprises de prendre trop de risques – lire : trop de créances – sur un débiteur individuel, même s’il s’agit d’un débiteur fiable. Ainsi, les créances sur l’administration de la TVA d’un autre pays peuvent faire l’objet d’un contrat de ce genre.
GESTION DES RISQUES
FEB
45
CASE SOLTECH
D’UN MARCHÉ LOCAL VERS L’INTERNATIONALISATION La société Soltech, spécialisée dans le phophotovoltaïque haut de gamme, a récemment réorienté ses activités sur des projets interinternationaux. Michel Callerami, administrateur délégué, finalise actuellement l’installation d’une centrale solaire photovoltaïque de 20 mégawatts en Azerbaïdjan. Il accorde une attention particulière à la sécurisation finanfinancière de l’opération. La probabilité d’un incident financier est inversement proporproportionnelle à l’efficacité de la préparation.
© Soltech
Chevronné dans les activités internationales, Michel Callerami a repris la gestion de Soltech en septembre 2014. La société s’est spécialisée dans des marchés de niche. Soltech développe des systèmes photovoltaïques conçus sur mesure – esthétiquement et fonctionnellement – pour chaque bâtiment. Citons les cellules photovoltaïques intégrées dans les tuiles ou dans les façades en verre et quasi invisibles. Ou encore : les garde-corps photovoltaïques. Toute la R&D se fait en interne.
Par ailleurs, Soltech conçoit et construit des centrales à énergie solaire. Début 2015, la PME a signé un contrat pour l’étude, la fourniture et l’installation d’une centrale de 20 mégawatts en Azerbaïdjan. “Nous centrons notre croissance sur la Russie, le Moyen-Orient, les pays d’Asie centrale et l’Afrique. À l’inverse de ce qu’on pourrait penser, les risques commerciaux (nonpaiement) et politiques (risques de transfert, instabilité juridique, confiance bancaire…) n’y sont pas plus grands que sur les marchés occidentaux. C’est la manière dont on approche le marché qui est différente et importante pour la sensibilité au risque.”
“Grâce au crédit documentaire, chaque projet a toujours été payé. Même en cas d’arrêt” La force d’un réseau local est cruciale pour le développement d’une activité à faible risque. “Des partenaires locaux fiables sont essentiels. Sur le plan financier, ce sont moins les risques que les techniques de financement qui diffèrent. Il vaut mieux ne pas faire de transactions sans un partenaire bancaire fort et expérimenté et sans crédit documentaire.” Grâce à celui-ci, Soltech bénéficie de l’engagement de la banque de l’importateur, qui soutient l’opération, et de l’engagement de son partenaire banquier belge, qui couvre les risques politiques liés au pays et à la banque étrangère. Cette garantie irrévocable permet à l’exportateur de réaliser son projet de manière plus sereine. “Selon la complexité ou la sensibilité au risque du
Michel Callerami, administrateur délégué Soltech
46
FEB GESTION DES RISQUES
différente, encore bien plus complexe, avec d’autres risques. Mais pas impossible.” OPÉRATIONS SÉCURISÉES
projet, nous avons éventuellement recours en plus à l’assurance-crédit à l’exportation du Ducroire. Pour la centrale en Azerbaïdjan par exemple, nous négocions des avances garanties et des crédits documentaires avec le donneur d’ordre, mais aussi avec nos propres fournisseurs.” DES PARTENAIRES BANCAIRES COMPÉTENTS ET EXPÉRIMENTÉS
La complexité de ces techniques financières et des risques commerciaux et politiques inhabituels dans les régions spécifiques sont impossibles à gérer sans le soutien d’un partenaire bancaire expérimenté et compétent tant en Belgique qu’à l’étranger. “De plus, il faut le convaincre de votre solvabilité et de votre savoir-faire, de la valeur commerciale de votre projet et de la fiabilité de votre partenaire commercial. Je peux m’imaginer qu’une grande banque belge ne saute pas d’impatience pour accepter une lettre de crédit d’une banque d’un pays à risques, où le climat politique est très tendu. Une autre possibilité avec un pays politiquement stable mais qui n’est pas en mesure de financer directement un projet est de le financer sur fonds propres, ou par tiers investisseurs, que vous récupérez en exploitant la centrale vous-même. Mais c’est une option très
Aux missions économiques ou diplomatiques, Soltech préfère travailler sur son propre réseau relationnel, avec lequel il peut évaluer sans détour la faisabilité des opportunités commerciales. Il respecte toujours quatre règles fondamentales : “Me tenir à mon corebusiness sur les marchés que je connais (c’est pour cette raison que je ne fais jamais d’affaires avec les USA ou le Canada), éviter les pays à risque (genre Libye, Iran, Irak), ne jamais agir sans garantie de paiement et être éthique (je veux faire des affaires, pas me retrouver en prison).” Un conseil ? Callerami en donne deux : “Refusez les contrats en monnaie locale. Toujours en euros. En effet, aucune banque ne couvrira le risque de change de devises exotiques. Deuxièmement : simplifiez autant que possible le crédit documentaire. Moins il y a de clauses, moins on risque de divergences lors de la présentation des documents.”
Soltech Activité : Énergie solaire Marchés : Europe, Moyen-Orient, Russie, Asie centrale et Afrique Siège : Tirlemont Collaborateurs (2015) : 10 Chiffre d’affaires (2015) : 35 millions EUR www.soltech.be
GESTION DES RISQUES
FEB
47
Matières premières, taux de change et taux d’intérêt Trois risques sont inhérents aux activités de chaque entreprise : le prix des matières premières, les risques de change et les risques de taux d’intérêt. Il existe des solutions spécifiques pour limiter chacun de ces trois risques. Matières premières. Au sein de l’institution financière, les ‘commodity specialists’1 peuvent offrir la couverture la plus appropriée contre les fluctuations de prix. Ils peuvent avoir recours à des ‘contrats forward’2, des options, des warrants, des swaps. Le choix dépend du risque, mais aussi de la durée de la couverture. Risque de change. De nombreuses transactions internationales se font actuellement en euros, en dollars ou, dans une moindre mesure, en renminbis (la devise officielle de la République populaire de Chine). Si une entreprise conclut un contrat d’achat ou de vente dans une autre devise, elle s’expose à de fortes fluctuations. Plus le contrat est long, plus le risque est grand. Risque de taux d’intérêt. Grâce aux différentes possibilités de couverture, les entreprises peuvent ‘fixer’ les prix de leurs matières premières, ainsi que les taux auxquels elles se financent et les taux de change des devises dans lesquelles elles importent et exportent.
Trade finance : assurer l’exportation Toute transaction d’exportation comporte un risque tant pour l’exportateur que pour son client à l’étranger. Ce risque est lié au fait que les marchandises voyagent pendant plusieurs jours ou semaines d’un pays à l’autre. L’encaissement documentaire et le crédit documentaire offrent une solution pour ces risques d’exportation spécifiques : L’encaissement documentaire est la méthode la plus simple et elle est conseillée si les parties se connaissent depuis quelque temps ou si les montants en jeu ne sont pas trop élevés. L’entreprise exportatrice exporte les marchandises, mais le client ne peut les recevoir que lorsqu’il soumet certains documents prédéfinis qui confirment son identité et montrent qu’il a payé la facture ou accepté formellement la dette. Le crédit documentaire est plus complexe, mais il offre plus de sécurité lorsque les parties ne se connaissent pas ou lorsque le montant en jeu est élevé. Les marchandises ne sont expédiées que lorsque l’exportateur reçoit la preuve, via sa banque, que le partenaire commercial a accepté le contrat de crédit. Le paiement est effectué seulement après que l’exportateur a prouvé – via des documents prédéfinis conformes à ce que les parties ont convenu – que les marchandises commandées ont bien été expédiées. L’importateur quant à lui n’a accès aux marchandises que lorsque sa banque remet les documents nécessaires qui prouvent le paiement ou l’acceptation de la dette.
Commodity specialists : spécialistes de l’évolution des prix des matières premières. Ils analysent l’exposition spécifique de chaque entreprise aux fluctuations des prix des matières premières pour déterminer la stratégie de hedging envisageable. Par le hedging, on essaie de couvrir le risque financier d’un investissement (entièrement ou partiellement) au moyen d’un autre investissement. 2 Contrats forward : contrats par lesquels une entreprise peut se couvrir contre l’augmentation ou la perte de valeur d’une devise par rapport à une autre. Ce type de contrat permet à l’entreprise de déterminer le prix auquel elle pourra vendre ou acheter ultérieurement un volume déterminé d’une devise en échange d’une autre. 1
48
FEB GESTION DES RISQUES
Grâce au mécanisme de la confirmation, l’exportateur dispose d’un moyen supplémentaire de limiter le risque politique et commercial. La confirmation signifie que le paiement est définitif quoi qu’il advienne par la suite (erreur de la banque, faillite de l’autre partie, naufrage, saisie par les autorités, révolution …).
commercial et de sa banque. Le coût de cette confirmation dépend du risque estimé de l’opération. Une confirmation est non seulement utile pour limiter le risque, elle peut aussi aider l’entreprise exportatrice à obtenir un financement en présentant la lettre de crédit confirmée à son institution financière (pour la monnayer).
Avant que la banque de l’exportateur confirme le crédit, elle analyse évidemment le risque du pays, du secteur, du partenaire
Grâce au mécanisme de la confirmation, l’exportateur dispose d’un moyen supplémentaire de limiter le risque politique et commercial
POURQUOI S’ASSURER ? La décision de s’assurer ou non contre n’importe quel risque dépend, pour les entreprises, de facteurs qui sont propres au secteur dans lequel elles opèrent. Plus la probabilité du risque est grande, plus il est important de s’assurer. Jusque récemment, le risque de change, et plus particulièrement le risque lié aux fluctuations du cours de l’euro par rapport au dollar, était assez limité. À la suite du Quantitative Easing (QE)1 de part et d’autre de l’Océan atlantique, les cours ont commencé à fluctuer davantage. Plus l’entreprise a la possibilité de répercuter ses frais supplémentaires sur ses clients, moins il est nécessaire de s’assurer contre ces risques. Plus la marge bénéficiaire de l’entreprise est faible, plus le risque de pertes en cas de problèmes est grand et plus une assurance devient importante. Inversement, des marges bénéficiaires importantes peuvent servir de filet de sécurité. Toutefois, chaque situation est unique : la nature et l’importance des couvertures dépendent de facteurs variés. Il est donc conseillé de faire appel à un expert ou au savoir-faire de votre institution financière pour faire les choix qui correspondent le mieux aux besoins de votre entreprise et à la nature de vos activités.
1
Quantitative Easing : l’assouplissement quantitatif signifie que la banque centrale augmente la réserve de liquidités en achetant des titres, tels que des obligations d’État.
GESTION DES RISQUES
FEB
49
GESTION DES RISQUES DÉBITEURS : OPTIMALISEZ VOS FONDS DE ROULEMENT …dans la pratique Avant la crise financière de 2008, la gestion des risques débiteurs était un élément perturbant dans de nombreuses entreprises. La maximalisation du chiffre d’affaires était la devise et on se souciait peu ou pas de la solvabilité et de la relation clients. Aujourd’hui, de nombreuses entreprises utilisent des procédures de gestion de crédit pour limiter les risques de la gestion clients.
Une gestion efficace des débiteurs … Grâce à la gestion de crédit, l’entreprise minimise ses risques crédits et maximalise son cashflow. Les principaux éléments d’une politique des débiteurs efficace sont (1) l’estimation du risque débiteurs, (2) l’évaluation de la solvabilité d’un client potentiel, (3) la perception en temps voulu des créances en attente et (4) l’entretien de la relation clients à long terme. Il est important que la politique des débiteurs soit soutenue par toute l’organisation. Une bonne entente avec les départements de vente et opérationnels est cruciale, tout comme l’intégration dans les objectifs globaux et la stratégie de l’entreprise. Un client refusé représente en effet une perte en termes de chiffre d’affaires et de bénéfice. Un client qui ne peut pas payer ses factures constitue, quant à lui, une menace pour la rentabilité de l’entreprise.
50
FEB GESTION DES RISQUES
Une gestion efficace des débiteurs repose sur l’élaboration et l’application de procédures claires concernant les quatre éléments précités.
1 Estimation du risque débiteurs Une bonne connaissance des hommes, l’empathie et la persévérance assertive sont indispensables à ce premier stade. Un bon vendeur ou contrôleur de crédit (directeur financier) peut sonder la situation financière du client potentiel lors des entretiens exploratoires. Il entend s’il y a effectivement des problèmes ou comprend quand le client potentiel essaie d’obtenir du crédit ‘gratuitement’ en négociant son DSO (Days Sales Outstanding ou nombre de jours de crédit client). La segmentation du portefeuille de clients peut faire partie d’une politique efficace d’acceptation des clients. L’entreprise adopte une approche distincte pour chaque segment. Elle peut ainsi décider, sur la base de son expérience, de ne pas servir/fournir un segment déterminé. Ou d’estimer le risque d’un autre segment à un niveau supérieur et d’adapter, en conséquence, les conditions de vente ou les garanties demandées. Une entreprise pourrait par exemple prévoir que les clients étrangers doivent, par défaut, souscrire une assurance-crédit.
2 Évaluation de la solvabilité La rédaction (éventuellement par un prestataire spécialisé) d’un rapport financier est la conséquence logique de l’estimation du risque débiteurs. Ce rapport rend compte
entre autres du comportement de paiement et du retard de paiement d’une entreprise et il donne une image plus fiable du client potentiel. Sur la base de ce rapport, l’entreprise peut fixer les conditions de vente de manière objective et en accord avec le département de vente. Par exemple, accorder un délai de paiement ou exiger au contraire le paiement au comptant. Ou encore : décider quelle est la limite budgétaire acceptable pour les livraisons à ce client.
3 Perception en temps voulu des créances en attente Des sondages montrent qu’une facture sur trois n’est pas payée en temps voulu. Le bon suivi du comportement de paiement est donc crucial. Un comportement de paiement correct exige, d’une part, de bons accords systématiques sur les conditions de paiement dès le début de la relation avec le client et, d’autre part, des procédures de facturation précises. Si le client ne respecte pas les accords conclus et s’il en résulte – contractuellement – des frais et intérêts ou même l’arrêt de la collaboration, vous devez aussi appliquer ces accords de manière cohérente. Par ailleurs, il est important que les prestations fournies soient facturées le plus vite possible. Tout retard entraîne déjà un allongement du délai de paiement. De nombreuses entreprises ne facturent leurs services qu’à la fin du mois. Le recours à des factures d’acompte peut apporter une solution.
bureau de recouvrement ou à un avocat. De nombreuses entreprises se concentrent dans ce contexte sur leurs gros clients et utilisent un logiciel spécifique de gestion de crédit pour le suivi de la masse des plus petits clients. D’autres entreprises choisissent de sous-traiter le processus à une société de factoring.
4 Maximaliser la relation clients Le contrôleur de crédit moyen entretient des contacts presque quotidiens avec les clients. L’enjeu est surtout d’obtenir le paiement des factures, plutôt que de renforcer la relation clients. Toutefois, il est prouvé qu’une bonne relation avec les clients contribue à la satisfaction de ces derniers et à un DSO plus faible. De même, le traitement des plaintes est étroitement lié à la gestion des débiteurs. En identifiant clairement les plaintes et en les évitant, une entreprise peut améliorer structurellement ses prestations et augmenter la satisfaction du client. Et plus celle-ci est grande, plus le DSO est faible.
… crée des fonds de roulement supplémentaires Grâce à une gestion et un suivi efficaces des débiteurs, l’entreprise générera assez vite des fonds de roulement supplémentaires. Un exemple : lorsqu’une entreprise ayant un chiffre d’affaires de 50 millions EUR raccourcit son DSO de cinq jours, elle génère 694.000 EUR de fonds de roulement supplémentaires.
Pour la perception proprement dite, l’entreprise doit également développer des procédures d’arriérés et de recouvrement. Prévoyez l’envoi de lettres de rappel ou d’une sommation et déterminez à quel moment la créance sera transmise à un GESTION DES RISQUES
FEB
51
3
RISQUES DE CONFORMITÉ
Le mot ‘compliance’ est dérivé du verbe anglais ‘to comply’ et signifie ‘conformité’. Cela veut dire qu’une personne, une organisation ou une entreprise travaille en conformité avec la législation et la réglementation en vigueur. Autrement dit, celui qui est en conformité respecte les normes et conventions. Et connaît et suit les règles et les lois. Celui qui ne le fait pas s’expose à un risque.
1 CONTEXTE Les risques ont existé de tout temps, mais leur dimension (souvent internationale) et leur impact sur le fonctionnement des entreprises et organisations, et donc sur le ciment économique d’un pays, sont aujourd’hui d’un autre ordre de grandeur. Pensons notamment à la crise financière et du crédit dans le sillage de la chute de quelques banques systémiques, aux scandales comptables après la chute d’Enron (entreprise énergétique américaine), à la réputation d’entreprises ternie par la pollution qu’elles occasionnent, aux cyberattaques sur les entreprises et grandes organisations ou encore tout récemment à la manipulation logicielle dans le secteur automobile.
Même si la maîtrise des risques n’est pas un thème vraiment neuf, elle n’en demeure pas moins d’une actualité brûlante et figure au sommet de l’agenda économique (et politique). La prise de conscience des risques grandissants, tant au niveau des entreprises que de la société, a conféré plus de poids à l’appel en faveur d’une attention accrue pour la gestion des risques. La pression exercée sur les entreprises pour prendre la gestion des risques au sérieux et élaborer et entretenir un système adéquat de mesures de gestion s’est fortement accentuée. En effet, il s’agit – surtout dans le chef du monde financier – de regagner la confiance ébranlée de la société. Les entreprises ne sont pas seules pour relever ce défi. Elles sont soutenues et bénéficient d’incitants au travers de lois nouvelles ou adaptées (parfois aussi en trop grand nombre), tant au niveau national qu’international. Grâce à la globalisation, le monde devient un marché potentiel pour chaque entreprise. Dans un même temps, l’offre de produits et de services évolue à une vitesse fulgurante, et parallèlement aussi le cadre légal et réglementaire dans lequel les entreprises doivent opérer aux niveaux national et international. À lui seul, le Moniteur belge publie chaque année plus de 100.000 pages de législation belge nouvelle ou modifiée. Et aucun Belge n’est censé ignorer la loi… Une mission impossible.
GESTION DES RISQUES
FEB
53
Celui qui souhaite rester au courant de toute la réglementation doit faire preuve de sens des priorités et d’organisation. Car sans connaissances approfondies, il est impossible de respecter correctement toutes les règles et lois, d’être ‘en conformité’ autrement dit. Or, celui qui ne le fait pas s’expose à d’importants risques.
2 ORIGINE ET SIGNIFICATION DE LA ‘COMPLIANCE’ La notion de ‘compliance’ indique qu’une personne, organisation ou entreprise travaille en conformité avec la législation et la réglementation en vigueur. Le terme provient du verbe anglais ‘to comply’ et signifie ‘conformité’. Il s’agit donc de ‘respecter’ des normes ou de ‘s’y conformer’. Le droit anglo-saxon est le berceau de la compliance et celui-ci se situe plus particulièrement aux États-Unis, où les autorités étaient convaincues dans les années 1930 de la nécessité d’une régulation poussée du secteur financier (déjà à l’époque !), entre autres. Le concept a surtout gagné en actualité après les grands scandales financiers, tels ceux d’Ahold, d’Enron et de Worldcom. Le but final de la compliance est de prévenir qu’une organisation viole la législation et la réglementation, s’expose à des plaintes, encoure des amendes et essuie ainsi l’opprobre public. La compliance constitue donc le domaine de spécialité des personnes qui, au sein d’une organisation, sont responsables du respect de toute la législation et de toute la réglementation, de la traduction de celles-ci dans des procédures et conventions adéquates. Cette 54
FEB GESTION DES RISQUES
même équipe veille à ce que les activités soient menées selon les normes et règles fixées par l’organisation même et surveille l’intégrité de l’organisation ou de l’entreprise.
3 INSTANCES DE CONTRÔLE Certaines missions de compliance sont sous contrôle prudentiel. Diverses instances de contrôle belges veillent au respect correct et intègre d’une législation donnée, principalement dans les secteurs des finances, de l’énergie, de la communication, des médias et de l’alimentation. Citons notamment : la Banque nationale de Belgique (BNB) ; l’Autorité des services et marchés financiers (FSMA, ex-CBFA) ; la Commission de régulation de l’électricité et du gaz (CREG) ; l’Institut belge des services postaux et des télécommunications (IBPT) ; l’Agence fédérale pour la sécurité de la chaîne alimentaire (AFSCA) ; … L’Autorité des services et marchés financiers, par exemple, a pour mission d’assurer la surveillance des marchés financiers et des sociétés cotées, d’agréer et de contrôler certaines catégories d’établissements financiers, de veiller au respect des règles de conduite par les intermédiaires financiers et de superviser la commercialisation des produits de placement pour le grand public, et d’exercer le contrôle dit ‘social’ des pensions complémentaires. Pour certains secteurs (énergie, par ex.), il existe des instances de contrôle régionales. Au niveau européen, divers organismes de contrôle sont également actifs, comme la Communauté européenne de l’énergie atomique (EURATOM), la Banque centrale
européenne (BCE) et l’Autorité européenne de sécurité des aliments (EFSA).
4 LARGE SPECTRE POUR CHAQUE ENTREPRISE La mise en œuvre concrète de la conformité diffère d’un secteur à l’autre et même d’une société à l’autre (que celle-ci opère au niveau national ou international, soit de grande ou petite taille). Les sociétés cotées et les institutions financières évoluent dans un cadre réglementaire plus strict qu’une PME locale. Vous ne serez pas surpris du fait que la conformité revêt surtout une importance cruciale dans le secteur financier, en raison de son rôle dans les transactions financières internationales. Les règles de conduite qui protègent les droits du ‘consommateur financier’ occupent une place centrale à cet égard. De plus, au lendemain de la crise financière et du crédit, le secteur est confronté à de grands défis. Il doit se conformer à une réglementation internationale contraignante complexe et très exigeante. Ainsi doit-il satisfaire aux exigences en matière de capital de la législation européenne de Bâle III (établissements financiers) et Solvency II (assureurs), qui entrera en vigueur le 1er janvier 2016. À cela, il faut encore ajouter la loi américaine FATCA1 qui contraint les institutions financières du monde entier à déclarer les contribuables américains. Outre les grandes entreprises (internationales), les PME locales doivent aussi être ‘compliant’. Chaque entreprise, quels que soient sa taille et son terrain d’action, doit respecter une multitude de lois et de règles : 1
locales, régionales, nationales, européennes et mondiales. Ce large spectre trouve son origine dans les diverses fonctions et tâches présentes dans l’entreprise qui interagissent généralement entre elles et avec d’autres parties prenantes. Pensons notamment aux départements RH, Finances, Fiscalité, TIC, Santé, Sécurité, Environnement, Juridique, Ventes, etc. Dans de nombreuses entreprises, la complexité de la législation a pour conséquence que toutes les connaissances et expériences ne sont pas présentes (dans une mesure suffisante) en interne pour respecter précisément toutes les règles. C’est la raison pour laquelle beaucoup d’entreprises font appel à des externes (agences d’intérim, outsourcing, spécialistes externes…). Comme exemples typiques, citons les secrétariats sociaux, qui se chargent du volet administratif de la politique du personnel, ou l’assistance offerte par les comptables et conseillers fiscaux dans la tenue de la comptabilité, l’établissement des comptes annuels et la réalisation des obligations et formalités en matière de TVA et d’impôt des sociétés. Le département TIC est, lui aussi, de plus en plus concerné par les enjeux de la conformité. Vu les risques de sécurité (les cyberattaques touchent 10% des entreprises, voir le chapitre ‘Risques IT et cybercriminalité’ en page 72), les connaissances TIC (internes ou externes) sont devenues indispensables, d’autant plus que la numérisation toujours plus poussée des processus et formalités renferme aussi une dimension stratégique. L’environnement, les subsides et la sécurité constituent d’autres domaines sensibles pour
Le Foreign Account Tax Compliance Act (FATCA) est une loi américaine qui impose une déclaration annuelle à l’administration fiscale américaine (IRS) des comptes détenus par des contribuables américains en dehors des États-Unis.
GESTION DES RISQUES
FEB
55
la conformité. Les questions de santé, de sécurité et d’environnement (Health, Security & Environment ou HSE) revêtent une grande importance pour chaque entreprise, quel que soit le secteur. Pour faire des affaires (à l’international), il est nécessaire que les règles en matière de santé, de sécurité et d’environnement soient suivies et mises en œuvre de manière correcte et précise. Ce n’est pas une mission simple. Cela requiert des connaissances et une expertise poussées. En effet, l’absence des permis nécessaires peut bloquer le fonctionnement et la continuité d’une entreprise ou freiner les investissements prévus.
5 CONTRÔLE CENTRAL DE LA COMPLEXITÉ Il est extrêmement important non seulement que chaque département soit en conformité pour ses activités et responsabilités, mais aussi que l’entreprise dans son ensemble respecte toutes les règles et normes. La conformité n’est pas une démarche sans engagement (la non-conformité constitue en effet un risque sérieux) et doit dès lors être structurée, coordonnée et respectée dans toutes les composantes de l’entreprise. De plus en plus d’entreprises engagent un Risk Manager pour guider les procédures de conformité sur la bonne voie. Les institutions financières sont en outre tenues d’engager un Compliance Officer indépendant. D’autres entreprises le font volontairement ou intègrent cette fonction dans la politique globale de gestion des risques. Le Compliance Officer est généralement désigné par l’organe d’administration supérieur de l’entreprise (conseil d’administration ou direction centrale). Il travaille en totale indépendance et 56
FEB GESTION DES RISQUES
jouit d’un degré élevé de protection juridique. Les missions du Compliance Officer sont parfois très diverses : prodiguer des conseils au sujet d’adaptations à apporter à la gestion interne de l’entreprise ; renforcer la sensibilisation à la conformité par la communication et la formation ; signaler, identifier et apprécier les risques de conformité ; fournir des conseils de manière proactive sur les risques de conformité ; établir et introduire des mesures de maîtrise des risques ; contrôler les transactions des travailleurs ; résoudre des incidents de conformité ; maintenir le contact avec les instances de contrôle. Dans le contexte économique actuel (globalisation, réglementation complexe, numérisation, évolution constante), les entreprises doivent intégrer la conformité dans leur gestion quotidienne. Le ton donné au sommet de l’organisation et la culture d’entreprise revêtent à cet égard une importance cruciale. La politique de gestion des risques (et donc aussi la politique de compliance) relève en définitive de la responsabilité finale du conseil d’administration, du comité exécutif et des autres comités participant activement à la politique de gestion des risques (comité d’audit, par ex.). Heureusement, les organes d’administration ont davantage pris conscience de ces enjeux. La responsabilité accrue, les amendes souvent astronomiques, la réputation à sauvegarder, la médiatisation croissante et la perception du public conduisent automatiquement à une plus grande vigilance.
TAX RISKMANAGEMENT L’érosion de la base d’imposition et le transfert de bénéfices (Base Erosion and Profit Shifting – BEPS) figurent actuellement en haut de l’agenda politique et font presque quotidiennement les gros titres de la presse (internationale). Dans leur lutte contre le phénomène BEPS, les autorités entendent bannir les stratégies de planification fiscale (qui sont totalement conformes sur le plan juridique) visant à transférer des bénéfices des juridictions à forte imposition vers des juridictions à faible imposition. L’arsenal fiscal actuel (conventions préventives de la double imposition, par ex.) n’est plus adapté aux récentes tendances que sont la globalisation et l’économie numérique. Dans l’opinion publique règne en outre l’impression que les entreprises multinationales ne paient pas leur ‘part équitable’ des impôts en tirant parti des incohérences dans la législation fiscale. Pour rectifier cette situation, l’OCDE a élaboré, avec le soutien du G20, 15 points d’action qu’elle a présentés au monde entier le 5 octobre dernier. Ce plan d’action est considéré comme une des principales révolutions que le monde fiscal international a connues ces 50 dernières années – à condition qu’il soit aussi appliqué par les pays du monde entier. La présentation formelle a été précédée par un tour de consultations qui a débouché au final sur des rapports totalisant plus de 1.000 pages. COHERENCE
SUBSTANCE
TRANSPARENCY
Hybrid mismatch arrangements (2)
Preventive tax treaty abuse (6)
Methodologies and data analysis (11)
Interest deductions (4)
Avoidance of PE status (7)
Disclosure rules (12)
CFR rules (3)
TP aspects of intangibles (8)
TP documentation (13)
Harmful tax practices (5)
TP/Risk and Capital (9)
Dispute resolution (14)
TP/High risk transactions (10)
Digital economy (1) Multilateral instruments (15)
Source: OCDE, www.oecd.org/ctp/beps.htm
L’illustration montre schématiquement les 15 points d’action du plan BEPS. Exposer chacun de ces points dans cette brochure nous conduirait trop loin. En résumé, nous pouvons dire que les actions s’articulent autour de trois thèmes centraux :
1. Cohérence Lorsqu’un coût est déductible dans le pays 1, le revenu correspondant dans le pays 2 devrait être imposable (par ex., un intérêt déductible dans le pays 1 ne peut plus être considéré comme un dividende exonéré dans le pays 2).
GESTION DES RISQUES
FEB
57
Des régimes fiscaux (trop) avantageux peuvent nuire à la cohérence.
2. Substance Les prix de transfert entre entreprises doivent être conformes à la création de valeur (le nombre de contrôles des prix de transfert 1 croît déjà de manière substantielle en Belgique actuellement). Substance et consistance économique sont nécessaires, et pas uniquement la forme juridique (notamment aussi pour éviter l’abus de conventions préventives de la double imposition).
3. Transparence Il devient beaucoup plus important d’étayer et de documenter le Transfer pricing (notamment par le biais d’un rapportage pays par pays 2). Échange international d’informations sur les structures fiscales et les rulings fiscaux (ainsi existe-t-il déjà un tel échange avec le Luxembourg dans le cadre du LuxLeaks). Cette (r)évolution fiscale vise en premier lieu les plus grands acteurs opérant à l’international. La PME belge ayant des activités internationales est toutefois aussi concernée. Les nouvelles mesures vont très vraisemblablement conduire à des exigences complémentaires en matière de compliance (et à des coûts plus élevés) pour les entreprises. Les entreprises et leurs conseillers doivent dès lors anticiper cette révolution en : réexaminant leurs structures fiscales actuelles ; tenant compte des actions BEPS lors de la création de nouvelles structures ; se tenant informés de l’avalanche à venir de nouvelles lois fiscales dans le sillage du plan BEPS, tant en Belgique que dans les autres pays où les entreprises sont actives ou entendent déployer des activités dans le futur ; étayant et documentant très scrupuleusement les transactions entre entreprises.
Transfer pricing : se rapporte à tous les types d’opérations entre établissements dans différents pays qui appartiennent au même groupe ou holding. Dans le cas des transactions financières et autres entre entreprises liées, le risque existe que la fixation des prix ne s’effectue pas de manière conforme au marché et ne soit par conséquent pas acceptée par les différentes administrations fiscales. Le fait que certaines entreprises aient osé utiliser le Transfert pricing (ou en abuser) pour déplacer des bénéfices vers des pays pratiquant une imposition moindre a incité de nombreux pays à adopter une législation en matière de Transfer pricing. Le fisc tente ainsi de préserver ses recettes fiscales. 2 ‘Country-by-Country reporting’ : une des 15 mesures BEPS prévoit que chaque multinationale doit établir un rapport qui donne par pays un aperçu des actifs, de l’emploi, des bénéfices, etc. La maison-mère devra établir cet aperçu chaque année et l’introduire auprès de sa propre administration fiscale. Tous les pays échangeront spontanément ces rapports entre eux. 1
58
FEB GESTION DES RISQUES
4
RISQUES JURIDIQUES
Dans l’exécution de leurs activités, les entreprises doivent tenir compte d’un large éventail de réglementations et de prescriptions légales. La mondialisation de l’économie et, en corollaire, la complexité juridique croissante confrontent sans cesse les entreprises à des nouveaux défis et risques juridiques.
Les entreprises doivent tenir compte à la fois du droit national, européen et international. La réglementation qui s’applique à l’entreprise et à ses activités détermine le terrain juridique sur lequel elle doit opérer. Les sanctions qui s’appliquent à ceux qui enfreignent les règles du jeu juridique sont très diverses : elles vont de la responsabilité civile et pénale (amendes, dédommagements) au retrait d’autorisations et à la perte de droits et d’actifs. Ces sanctions, qui sont la conséquence d’une infraction aux obligations et normes juridiques, peuvent avoir un impact important sur l’activité et menacer directement ou indirectement la survie de l’entreprise. Les sanctions affectent parfois même la vie privée des dirigeants, particulièrement en cas de responsabilité des administrateurs.
1 DÉFINITION DES RISQUES JURIDIQUES De manière générale, les risques juridiques sont décrits comme les risques liés au respect et au suivi de la législation, des contrats et autres obligations et normes spécifiques que l’entreprise doit respecter. Dans d’autres termes, les risques juridiques découlent de la réglementation qui s’applique à l’entreprise ou des contrats conclus par celle-ci. Pour avoir prise sur ces risques juridiques, l’entreprise doit d’abord les identifier, les reconnaître et les évaluer. En effet, il est impossible de gérer, et encore moins de maîtriser, des risques que l’on n’a pas identifiés. La cartographie des processus organisationnels est essentielle pour pouvoir identifier les risques liés à la gestion de l’entreprise. Ce n’est pas seulement vrai pour les risques juridiques, mais aussi pour les risques technologiques (concernant les biens d’investissement et l’environnement), les risques sociaux (concernant le personnel), les risques économiques (sur les marchés et dans l’organisation proprement dite) et les risques financiers (concernant les clients, la fraude, le vol, etc.). Chaque processus de l’entreprise peut comporter un risque juridique. Songeons à des transactions d’achat erronées et à des livraisons tardives de vos produits qui entraînent des problèmes de responsabilité GESTION DES RISQUES
FEB
59
contractuelle. Ou à la résiliation tardive du loyer d’un bâtiment qui vous engage pour un nouveau bail (peut-être contre votre gré).
intellectuelle. Plus votre activité est fondée sur la PI, plus grand est l’impact d’un incident ou d’une infraction.
Bref, une entreprise qui veut identifier ses risques juridiques ne peut le faire sans une connaissance approfondie des processus concrets. Cette connaissance est un premier pas nécessaire, mais certainement pas suffisant pour détecter les risques juridiques pertinents, et encore moins pour les couvrir utilement.
3 CONNAISSANCE APPROFONDIE ET ACTUALISÉE DE LA RÉGLEMENTATION
Chaque processus de l’entreprise peut comporter un risque juridique 2 PERTINENCE JURIDIQUE DES RISQUES Pour identifier les risques juridiques pertinents – tous les risques juridiques n’ont pas la même gravité – l’entreprise doit pouvoir situer ses activités concrètes sur le terrain juridique. En d’autres termes, elle doit traduire les différents processus et activités en fonction de leur pertinence juridique respective. Clarifions : si le succès de votre entreprise repose en grande partie sur le travail physique, votre entreprise court un risque plus important au niveau de la réglementation du travail (par ex. les risques du travail avec des collaborateurs temporaires et des intérimaires). Dans ce cas, il est logique qu’une violation de cette réglementation ait un impact plus important que si votre business a une moins grande intensité en main-d’œuvre. Il en va de même pour la réglementation de la propriété 60
FEB GESTION DES RISQUES
Comme on l’a dit, les risques juridiques découlent de la réglementation qui s’applique à votre entreprise ou des contrats qu’elle conclut. Si les risques juridiques dépendent du respect des obligations légales (non contractuelles), votre entreprise peut éviter ces risques, en théorie du moins, en respectant simplement les règles. Le vrai défi est toutefois d’être effectivement informé de toutes les règles qui s’appliquent à l’entreprise – indépendamment du fait que l’objectif ou l’application des règles n’est pas toujours univoque. La connaissance et le suivi permanent de la législation applicable ne sont pas évidents. Particulièrement pour les matières à haute technicité juridique qui sont peu accessibles par nature. Plus la réglementation est complexe, plus le risque juridique est important parce que la probabilité de ne pas respecter les règles correctement augmente. Songeons à la complexité de la réglementation environnementale et aux obligations qui s’imposent lorsque l’entreprise change ses activités par exemple. Ainsi, l’extension de votre capacité de production (par ex. par l’installation d’une ligne de production supplémentaire ou le passage à un système de 4 ou 5 équipes) peut nécessiter, légalement, une modification du permis
d’exploitation. Sans une connaissance approfondie de la réglementation concernée, c’est impossible à exécuter de manière précise et correcte. Il arrive encore trop souvent que des entreprises ne disposent pas (plus) du permis d’exploitation approprié ou que leur permis d’exploitation est annulé à la demande de riverains (ou d’autres parties prenantes). Elles auraient pu l’éviter en préparant ou en suivant le dossier d’autorisation en connaissance de la réglementation applicable et des risques juridiques correspondants. Il va sans dire que les investissements rendus inutiles par le retrait du permis d’exploitation ont un impact grave sur le succès de l’entreprise
Le vrai défi est d’être informé de toutes les règles qui s’appliquent à votre entreprise 4 ÉVOLUTION DES RÈGLES ET, DONC, DES RISQUES La connaissance et le suivi constant de la législation en vigueur ne vont pas de soi. D’une part, à cause de la rapidité d’évolution de la réglementation et, d’autre part, parce que la législation est souvent en retard sur la réalité et n’apporte pas une réponse suffisamment claire aux nouvelles technologies et aux activités modernes. Ainsi, l’utilisation des réseaux sociaux par les entreprises et leurs collaborateurs reste un embrouillamini juridique, avec tous les risques qu’entraîne cette complexité. La réglementation relative à l’e-commerce illustre bien comment l’évolution rapide de la législation génère aussi des risques juridiques. Sur la base de cette réglementation, l’entre-
prise doit satisfaire à un arsenal d’obligations d’information, de mentions concernant les cookies et la protection de la vie privée, de formulaires obligatoires à envoyer … aux clients. Il faut savoir toutefois que des obligations qui étaient encore en vigueur il y a un an peuvent entraîner des sanctions aujourd’hui, comme le droit de rétractation prolongé pour les clients en ligne. Avec pour conséquence que ces ventes peuvent toujours être annulées. Heureusement, il y a aussi l’autre face de la médaille. Le respect des obligations légales offre en effet une opportunité intéressante, à savoir la conformité aux normes. On peut l’utiliser comme avantage concurrentiel ou USP (unique selling point). Celui qui respecte strictement les obligations légales peut en faire un argument pour gagner la confiance des clients futurs.
5 EXPERTISE JURIDIQUE Les exemples précités montrent clairement qu’au moins en cas de décisions ou d’investissements ayant une influence significative sur l’entreprise, le coût d’une expertise juridique interne ou externe contrebalance l’impact financier du risque. Disposer de l’expertise juridique nécessaire, en interne ou en externe, est un pas important pour maîtriser les risques juridiques. De plus, c’est une manière de renforcer la conscience des risques juridiques à l’intérieur de l’entreprise. Enfin, la connaissance de la législation en vigueur est indispensable pour traduire la gestion des risques en politiques internes.
GESTION DES RISQUES
FEB
61
CASE STUDIO 100
DROITS ET SÉCURITÉ Chez Studio 100, la gestion des risques commence par le respect des valeurs fondamentales. “Si, au sein du groupe, tout le monde a une attitude positive, commucommunique ouvertement, vise les résultats … les risques s’en trouvent réduits”, réduits”, souligne Koen Peeters, CFO du Disney du plat pays. En effet, à quoi servent les règles et procéprocédures si personne ne s’y tient ?
© Studio 100
Le modèle d’entreprise de Studio 100, principalement connu du grand public pour ses séries télévisées, ses spectacles théâtraux et ses parcs à thèmes, subit la pression de la numérisation croissante. “Le contenu audiovisuel que nous produisons est consommé autrement qu’il y a 5 ans”, explique Koen Peeters. “Les chaînes de télévision ‘free to air’ ou les DVD ne sont plus des canaux incontournables. D’autres acteurs, tels que YouTube, entrent en concurrence sur le marché.” Cela a un impact à la fois sur la manière dont Studio 100 doit offrir du contenu et sur les revenus. “Le bénéfice des publicités n’augmente pas, mais doit être réparti entre plus d’acteurs.” L’aspect positif est que tous ces nouveaux canaux de distribution cherchent du contenu. Cela génère des opportunités pour un producteur comme Studio 100, notamment un
contact plus direct avec le groupe cible (les enfants), dont les goûts évoluent également sous l’influence des autres ‘formes de visionnage’. “Au mieux nous connaissons nos clients, au mieux nous pourrons adapter notre offre à leur demande.” Les risques liés au modèle d’entreprise des parcs d’attractions sont d’une tout autre nature. “Les parcs ont une très forte intensité en capital et absorbent la majorité des capitaux investis. Mais ensuite, ils génèrent un cashflow très stable.” Dans ce secteur, les risques moins maîtrisables sont les fluctuations saisonnières sur le marché du voyage et du tourisme, les accidents et les incidents de sécurité, etc.
“Si l’on s’en tient au cadre légal sans tenter de franchir les limites, on encourt peu de risques juridiques” Studio 100 tente de compenser les risques saisonniers – l’activité se concentre principalement durant les périodes de vacances pour les parcs d’attractions et au 4e trimestre pour le merchandising et les shows – via une diversification de son offre. “Ainsi, nous proposons des parcs tant extérieurs qu’intérieurs, dispersés géographiquement et, pour chaque parc en extérieur, une vaste offre d’activités à l’intérieur ou en plein air pour des groupes cibles b2c et b2b. Cela nous permet de prolonger la saison et de mieux étaler les risques climatiques et saisonniers.” VALORISER LES DROITS INTELLECTUELS
Le rendement du groupe est largement tributaire de l’existence et de l’exploitation des droits
Koen Peeters, CFO Studio 100
62
FEB GESTION DES RISQUES
de propriété intellectuelle (PI) de ses produits et services. À cet égard, deux dimensions sont essentielles, explique Koen Peeters. “Les droits de PI sont protégés par la législation en vigueur dans les régions et pays concernés. Lorsque les règles changent, cela a également un impact – positif ou négatif – sur les recettes et les coûts. Par ailleurs, les nouvelles technologies facilitent toujours plus la contrefaçon. Un risque accru signifie que Studio 100 doit investir plus d’énergie et de moyens pour protéger ses droits de PI, les valoriser au maximum et pour limiter le plus possible la perte de recettes liée à une utilisation non brevetée.” C’est la raison pour laquelle une équipe de six spécialistes se concentre à temps plein sur la gestion, la rentabilisation, la protection et le contrôle des droits et brevets du groupe. Par ailleurs, chaque marque est enregistrée en vue de protéger les créations propres, sauf en termes de droits d’auteur. Et, pour ce qui est de ses principaux marchés (Benelux et Allemagne), Studio 100 exerce lui-même des contrôles proactifs sur les abus potentiels. ÉTHIQUE ET CORPORATE GOVERNANCE
Vu l’activité fortement axée sur des projets, les contrats de travail y sont principalement de durée déterminée et free-lance. “Tant en Belgique que pour nos studios d’animation en France et en Australie, nous appliquons des statuts spécifiques en matière de droit du travail. Cela vaut également pour les
travailleurs saisonniers de nos parcs d’attractions ou pour les enfants qui jouent dans les spectacles. Si l’on s’en tient au cadre légal sans tenter de franchir les limites, on encourt peu de risques juridiques.” Studio 100 respecte aussi les codes éthiques et de gouvernance d’entreprise en vigueur et l’exige également de ses fournisseurs. “Le financement via un emprunt obligataire accroît la pression (positive) sur notre gouvernance d’entreprise, ce qui génère plus de transparence et de stabilité.” PAS DE PARDON
Plus encore que les risques juridiques ou saisonniers, la sécurité figure à l’ordre du jour de chaque conseil d’administration. “Il ne faut jamais dire jamais. Même si nous sommes plus stricts que les normes légales, nous avons quand même eu un accident mortel en 2014 dans un parc d’attractions. Chaque incident est un incident de trop. Et même si on vous acquitte en tant qu’entreprise, votre réputation en pâtit sérieusement. On ne peut prendre absolument aucun risque en termes de sécurité !”
Studio 100 Activité : divertissements et loisirs Marchés : Belgique, Pays-Bas et Allemagne Siège social : Schelle Collaborateurs (2014 - Belgique) : 160 salariés + jusqu’à 2.000 contrats temporaires/an Chiffre d’affaires (2014) : 176,5 millions EUR www.studio100.tv
GESTION DES RISQUES
FEB
63
6 GESTION DES CONTRATS Si les risques sont liés au respect des obligations contractuelles de l’entreprise, celle-ci peut les maîtriser grâce à une gestion correcte des contrats. Les contrats boiteux et les accords imprécis sont le terreau de la méfiance et des dommages financiers. La première manière de les éviter est de ne pas entamer les discussions contractuelles avant de connaître et de pouvoir évaluer correctement les risques juridiques pertinents pour votre entreprise. Après la conclusion du contrat, le deuxième objectif d’une bonne gestion des contrats est : ‘getting what you agreed’. En d’autres termes, évitez que vos contrats ne perdent de la valeur en veillant de manière proactive au respect et à la mise en œuvre de ceux-ci. Ne perdez toutefois pas de vue la bonne relation avec votre partenaire commercial (client ou fournisseur).
7 CORPORATE GOVERNANCE En raison de la juridisation croissante de la société, malgré toutes les tentatives de dérégulation, il est plus important que jamais d’intégrer l’identification et la maîtrise des risques juridiques dans la stratégie de l’entreprise. Le Code de Corporate Governance (Code 2009, pour les sociétés cotées) comme le Code Buysse 2 (pour les sociétés non cotées) stipulent explicitement qu’une bonne gouvernance doit veiller à l’identifi64
FEB GESTION DES RISQUES
cation, à l’évaluation et au contrôle corrects et complets des risques. Les administrateurs doivent veiller à ce que le management élabore un système valable de contrôle interne, adapté à la taille et à la complexité de la société. Il est très important que les principaux risques, y compris ceux liés au respect de la législation et des règles en vigueur, soient correctement identifiés, gérés et portés à la connaissance des administrateurs.
8 RESPONSABILITÉ DES ADMINISTRATEURS La bonne gouvernance assure une identification et une maîtrise satisfaisantes des risques juridiques courus par l’entreprise. Malgré les bonnes intentions, les administrateurs doivent être conscients des risques qu’ils courent en matière de responsabilité des administrateurs. De manière générale, un administrateur de société peut être rendu responsable pour différents motifs, à savoir (1) simple faute d’administration, (2) infraction au Code des sociétés ou aux statuts, (3) avantage financier abusif, (4) acte abusif, (5) faute grave manifeste qui a contribué à la faillite, (6) responsabilité pour des dettes fiscales ou de sécurité sociale et (7) responsabilité pénale.
En cas de violation des règles du Code des sociétés, les administrateurs peuvent être rendus solidairement responsables
En cas de violation des statuts ou des règles du Code des sociétés, les administrateurs peuvent être rendus solidairement responsables (donc chacun séparément pour l’ensemble), tant par leur propre entreprise que par des tiers, de l’intégralité du dommage résultant de cette infraction. Un administrateur dans un organe collégial, comme le conseil d’administration, risque d’être rendu responsable de ce qu’il perçoit comme étant des actes d’un autre administrateur. Exemple : supposons que l’administrateur fasse partie de la minorité qui doit accepter une décision de la majorité. Le caractère collégial des délibérations du conseil d’administration a effectivement pour conséquence que, lorsque la décision est prise, elle est considérée comme une décision de l’ensemble du conseil. Chaque administrateur est donc responsable de cette décision en raison de la responsabilité collégiale.
9 ASSURER LA RESPONSABILITÉ Malgré toutes les mesures prises pour limiter et maîtriser les risques, il est évidemment recommandé de contracter des assurances suffisantes pour couvrir tant les (principaux) risques de responsabilité de l’entreprise que les risques de responsabilité des administrateurs. Tout risque peut être assuré, à condition d’y mettre le prix. Un argument de plus pour commencer par identifier intelligemment vos risques et les faire assurer ensuite de la manière la plus efficace en termes de coûts.
GESTION DES RISQUES
FEB
65
5
RISQUES OPÉRATIONNELS
Dans toute la chaîne de valeur, c’est au niveau de l’exécution opérationnelle de la stratégie de l’entreprise que l’essence de la gestion des risques apparaît le plus clairement. Aucune entreprise, petite ou grande, n’échappe aux risques opérationnels. Ce chapitre décrit comment ils se manifestent et avance quelques règles pratiques pour pouvoir les gérer de manière efficace.
Un risque opérationnel est le risque de pertes résultant de processus internes, de collaborateurs et de systèmes inadéquats ou déficients, ou d’événements externes. C’est à ce niveau opérationnel que l’essence de la gestion des risques est la plus perceptible. Cela précisément parce que l’exécution opérationnelle est une succession d’actions réalisées par divers individus ou parties (internes ou externes), simultanément ou consécutivement, avec plusieurs points de contact où l’input d’une partie est tributaire ou influencé par l’output d’une autre.
LES CAUSES DES RISQUES OPÉRATIONNELS PEUVENT ÊTRE CLASSÉES EN 7 TYPES : 1. Fraude interne C’est la fraude où au moins une personne de l’entreprise ou de l’organisation est impliquée. Pensons par exemple à l’évasion fiscale ou à la corruption.
2. Fraude externe C’est la fraude par des personnes externes à l’entreprise ou à l’organisation, comme le vol de secrets d’affaires.
3. Pratiques en matière d’emploi et sécurité sur le lieu de travail La discrimination, le harcèlement au travail ... en sont des exemples.
inhérents à la nature d’un produit. Exemples : violation de contrat, ententes, pratiques de blanchiment ...
5. Dommages aux biens physiques Citons par exemple les dommages causés par le terrorisme, les catastrophes naturelles ...
6. Interruption d’activité et pannes de systèmes Pensons aux pannes de courant ...
7. Exécution des opérations, livraisons de biens et de services et processus incomplets ou incorrects
4. Pratiques concernant les clients, les produits et l’activité commerciale Ce sont les risques résultant du non-respect de ses responsabilités à l’égard de clients ou
66
FEB GESTION DES RISQUES
Source : Définition et causes selon le Comité de Bâle, www.bis.org
Une évaluation et une gestion correctes des risques opérationnels déterminent donc directement le succès de la stratégie de l’entreprise, de la production de biens ou de la fourniture de services. Il faut toutefois savoir qu’un processus n’est qu’aussi solide que son maillon le plus faible. Par ailleurs, il est évident qu’une gestion adéquate des risques au niveau opérationnel peut sensiblement booster le développement et la croissance durables de l’entreprise. Si la vision stratégique de l’entreprise et la possibilité de la mettre en œuvre coïncident parfaitement, tous les éléments sont réunis pour la réussite. Cela ne signifie toutefois pas que rien ne peut arriver en cours de processus.
Une évaluation et une gestion correctes des risques opérationnels déterminent donc directement le succès de la stratégie de l’entreprise Ci-dessous, nous examinons comment les risques opérationnels surgissent et comment les entreprises peuvent les gérer efficacement. Nous avançons pour cela 4 règles pratiques.
RÈGLE 1 : une bonne compréhension des processus implique une bonne compréhension des risques qui y sont liés C’est logique car, comme nous l’avons déjà dit, les risques font partie intégrante de la gestion de l’entreprise. Et, tout comme il est important que les différents processus soient décrits clairement et précisément, il est important d’identifier aussi les risques inhérents à chaque
processus. À cet égard, vous ne devez pas vous laisser tenter, en tant que chef d’entreprise, de trop vous fier aux connaissances inhérentes ou aux bonnes intentions et à la créativité des collaborateurs ou des départements chargés de la mise en œuvre des processus. En effet, une bonne gestion des processus ne peut dépendre des individus qui les surveillent. Tout comme une bonne évaluation des risques ne peut dépendre de l’affinité individuelle avec l’ensemble du processus. Il est donc nécessaire de définir les risques en temps utiles et de s’adapter aux circonstances ou aux besoins changeants. Exemple : une entreprise peut rapidement accepter des commandes via divers circuits de vente (direct sales, vente, en ligne) et ensuite disposer d’un backoffice bien organisé pour traiter ces commandes rapidement et correctement. Un point critique dans ce processus est évidemment la réception rapide, correcte et complète de toutes ces commandes. Il suffit qu’un de ces transferts ne s’effectue pas assez vite ou incomplètement pour perturber, à court terme, le reste de l’organisation (la gestion des stocks, le service après-vente, l’organisation du marketing et des ventes), portant ainsi atteinte à la ‘promesse’ de disponibilité et de fiabilité du produit. Dans cet exemple, le risque opérationnel porte donc spécifiquement sur le traitement des commandes (informations incomplètes ou tardives), mais a des conséquences sur les autres processus de l’entreprise. C’est pourquoi le backoffice doit savoir très clairement quand il reçoit quelles informations en provenance des circuits de vente. Et quand il doit s’inquiéter de ne pas recevoir toutes les informations ou de les recevoir en retard. Dans ce cas, la gestion des risques représente une chance inouïe pour les entreprises qui font précisément de la fiabilité et de la GESTION DES RISQUES
FEB
67
ponctualité leur marque de fabrique. Elles peuvent ainsi, pour un coût négligeable, accroître la valeur intrinsèque de leur produit ou service.
RÈGLE 2 : une entreprise se trouve très rarement dans une position isolée ou stationnaire. Les risques opérationnels évoluent et doivent donc être suivis et adaptés à intervalles réguliers. Lorsqu’une entreprise croît fortement et rapidement à court terme, le nombre de rôles et de fonctions augmente souvent aussi de façon organique. Il est toutefois important d’évaluer régulièrement les responsabilités et profils au sein de l’entreprise. On peut ainsi vérifier si l’on dispose encore des connaissances et de l’expérience suffisantes pour gérer les risques inhérents à un environnement externe plus vaste (impliquant plus de tiers ou de partenaires et ayant une pertinence et un contrôle sociétaux plus importants). Parallèlement, il y a les profils de fonction pour les processus internes. Là aussi, il est essentiel de vérifier sur base régulière si les utilisateurs ayant un profil défini ont encore les pouvoirs qui s’imposent en termes d’accès et de décisions. Ces processus sont également sensibles aux risques informatiques et de fraude, mais la pratique montre que les risques portent surtout sur l’exécution opérationnelle des processus (comme le traitement et l’approbation de commandes, de factures d’achat et de paiements).
Les risques opérationnels évoluent et doivent donc être suivis et adaptés à intervalles réguliers Exemple : lorsqu’une entreprise voit son nombre de véhicules de société augmenter suite à la croissance rapide de son personnel, il faut a priori plus de compétences pour gérer ces véhicules. Si l’entreprise souhaite soustraiter la gestion de sa flotte, elle ne peut le faire pour des motifs purement économiques. Elle doit également tenir compte de la gestion de l’entretien, du règlement des dégâts ... et du contrôle de l’utilisation correcte des cartes de carburant par exemple.
RÈGLE 3 : comment gérer concrètement les risques dans la pratique ? Même s’il faudrait, comme indiqué plus haut, que l’identification des risques fasse partie intégrante de la description générale des processus de l’entreprise, il arrive fréquemment qu’un incident (même découlant d’un risque connu) survienne en dehors des activités normales des acteurs concernés. C’est la raison pour laquelle il est fondamental d’avoir une bonne feuille de route qui décrit précisément les réactions requises pour chaque partie. Il faut laisser le moins possible de choses au hasard. La résolution de la ‘situation de crise’ doit être au maximum prévisible et traçable (lire plus à ce sujet au chapitre ‘Que faire en cas d’incident’, en page 82). Exemple : une installation de production est hors service ou une société de services est injoignable suite à un dérangement de son central téléphonique ou de son serveur. Il faut alors rapidement évaluer ce qui est à l’origine
68
FEB GESTION DES RISQUES
du dérangement, combien de temps le problème va durer et quelles actions doivent être entreprises par les différents ‘responsables’ pour limiter au maximum la panne. Au plus chaud de la crise, il est essentiel que ces étapes se succèdent rapidement, de manière prévisible et correcte. La meilleure garantie pour y parvenir est une feuille de route qui explique clairement le rôle, la responsabilité, l’autorité et le pouvoir décisionnel de chaque participant (et, en son absence, de la personne à qui ses prérogatives sont déléguées). Cela permet aux dirigeants et aux collaborateurs de faire face aux imprévus avec plus de confiance et donc de manière nettement plus efficace.
RÈGLE 4 : une gestion efficace des risques, y compris des risques opérationnels, est tributaire d’une évaluation régulière de l’effectivité de la réactivité et de l’implication des collaborateurs et de la direction Appliquer le modèle des ‘trois lignes de défense’ (lire plus à ce sujet au chapitre ‘Gestion des risques’, en page 20) implique de facto que l’ensemble du personnel de l’entreprise est concerné. Il est important de tester et d’évaluer régulièrement son plan de risque. Par précaution, la direction (ou la personne en charge du suivi de la gestion des risques) adopte une attitude du ‘voir pour le croire’. Cela signifie que les différents départements doivent à intervalles réguliers évaluer dans quelle mesure ils comprennent et maîtrisent les risques susceptibles de menacer leurs processus. Ils doivent en outre apporter la preuve des tests étayant leur bon droit ou leur position. C’est la seule façon d’émettre un jugement final objectif sur l’état des risques au niveau de l’entreprise, dont le chef d’entreprise est
in fine responsable.
La direction devrait adopter une attitude du ‘voir pour le croire’ Exemple : lors de la concertation trimestrielle, le responsable de département parcourt avec son directeur l’aperçu des tests réalisés dans le cadre de l’évaluation des risques. Lorsque l’aperçu indique par exemple que la procédure d’urgence en cas de panne d’électricité a été testée avec succès, le directeur peut demander où se trouve la feuille de route papier (nécessaire si les ordinateurs tombent en panne). Et s’assurer que l’information est complète et correcte en appelant au hasard quelques-uns des numéros d’urgence mentionnés afin de vérifier que les bonnes personnes puissent être contactées.
Conclusion : les risques opérationnels se présentent sous des formes diverses et à bien des niveaux, certains étant plus sérieux que d’autres. Un aperçu clair du ‘poids’ de chaque risque, un plan d’action solide pour y faire face et la garantie que tout est régulièrement évalué, testé et documenté sont des éléments capitaux pour une gestion effective des risques. On peut ainsi maîtriser le taux de risque d’une situation d’une manière qui profite aussi bien à l’entreprise et aux collaborateurs qu’aux clients et autres parties prenantes.
GESTION DES RISQUES
FEB
69
CASE NOORDZEE HELIKOPTERS VLAANDEREN (NHV)
LES CHIFFRES NE FONT PAS TOUT Le fournisseur ostendais de services par hélicoptère NHV est actif sur plus de 20 bases, dans 9 pays répartis sur 2 conticontinents. “Entreprendre est risqué, mais ne pas entreprendre l’est tout autant”, sou sou-ligne le CEO Eric Van Hal. Le tout est de trouver l’équilibre le plus sain. Dans notre cas, il s’agit de trouver un juste équilibre entre sécurité, rendement et satisfaction du personnel.
© NVH Helikopters
La société NHV est active sur terre comme en mer. Quelque 75% du chiffre d’affaires proviennent du transport d’hommes et de matériel depuis et vers des plateformes de forage ou des parcs éoliens. Conduire des pilotes-lamaneurs à bord par gros temps fait également partie des activités offshore, de même que les opérations de recherche et de sauvetage. Sur le marché onshore, NHV assure principalement des transports médicaux d’urgence. Chaque jour, quelque 60 appareils sillonnent les airs. Il s’agit là d’une activité intensive en CAPEX (investissements dans des projets de modernisation) nécessitant une vision à (très) long terme. “Notre monde suit une dynamique de croissance particulière”, explique Eric Van Hal.
“De lourds investissements sont nécessaires – un nouvel hélicoptère coûte entre 7 et 25 millions EUR – et ne sont rentabilisés que plusieurs années plus tard. Et pour croître de manière naturelle, il convient avant tout de générer une plus grande capacité au moyen d’appareils et de personnel supplémentaires.” Les collaborateurs hautement qualifiés issus d’une filière technologique, comme des pilotes ou des techniciens de maintenance, ne sont pas légion. Nous ne pouvons pas nous permettre d’opter pour du milieu de gamme, étant donné les normes de sécurité et de qualité extrêmement strictes. “Afin de garantir la disponibilité de personnel de haut niveau, nous avons fondé notre propre école technique certifiée et développé une formation de pilote. Pour notre marché africain (environ 40% du chiffre d’affaires), nous formons depuis peu les collaborateurs locaux nous-mêmes. Nous considérons cela comme un transfert de connaissances qui nous permet dans le même temps de réduire les coûts d’expatriation. Il faut compter 100.000 EUR par pilote. Nous essayons de garantir cet investissement sur une période allant jusqu’à cinq ans par un engagement (à rester) dans le chef du pilote, mais aussi et surtout en offrant des opportunités d’évolution et un certain confort de travail aux collaborateurs.”
“Celui qui est capable d’objectiver les risques peut également les éliminer” RATIONALISER ET OBJECTIVER
Les risques sont calculables, mais les chiffres ne font pas tout. Ne rien entreprendre revient
Eric Van Hal, CEO NHV Helikopters
70
FEB GESTION DES RISQUES
sensibles au risque en raison de la routine. C’est pourquoi ils volent avec de jeunes pilotes, ce qui permet en même temps à ces derniers d’apprendre de leurs collègues plus expérimentés.” OSEZ PRENDRE DES RISQUES
à se condamner à une mort lente ; dès lors, il faut prendre des risques. “Plus vous parvenez à rationaliser et objectiver ces risques – comprenez : chiffrer – plus vous pouvez les maîtriser. Ils sont essentiels pour pouvoir apporter à temps des changements opérationnels ou stratégiques”. Ainsi, pour des raisons de sécurité, NHV ne vole qu’exceptionnellement avec des appareils monomoteurs. De même, l’entreprise ne cherche pas à développer son activité dans des pays comme l’Irak ou l’Afghanistan. “N’oubliez jamais que les chiffres révèlent avant tout la conséquence d’une action. Pas la source.” Les données améliorent également la transparence, fondement de la gouvernance d’entreprise. Depuis que la société d’investissement française Ardian a repris 75% des parts fin 2013, NHV accorde une attention encore plus proactive à la gouvernance d’entreprise. “L’analyse et la gestion des risques à travers l’ensemble des niveaux de l’entreprise font partie intégrante de notre activité principale. Celui qui est capable d’objectiver les risques peut également les éliminer… et les convertir en opportunités. Un exemple simple : contrairement à ce que l’on pense, les pilotes plus âgés sont plus
“Ne faites jamais l’autruche”, conseille Eric Van Hal. Osez mettre un nom sur les risques et transformez-les en fonction des opportunités. “Que faire par exemple lorsqu’un client rompt d’un claquement de doigts un contrat de longue durée ou souhaite imposer une réduction supplémentaire de 15% ? Lisez l’ouvrage de Daniel Kahneman intitulé ‘Système 1, système 2 : les deux vitesses de la pensée’. Un incontournable. Selon ce psychologue israélien et prix Nobel d’économie, nous partons de manière presque intuitive des informations disponibles. Or, bien d’autres aspects dont nous ne tenons le plus souvent pas compte entrent en jeu : le contexte, les motivations, la perspective d’autrui, les informations de fond… Spontanément, nous pensons que les pertes ont plus de poids que les bénéfices. Ce n’est pas toujours le cas.”
NHV Noordzeehelikopters Activité : Transport par hélicoptère Marchés : Europe et Afrique Siège : Ostende Collaborateurs (2014) : 650 dont 360 chez NHV
Chiffre d’affaires (2014) : 210 millions EUR www.nhv.be
GESTION DES RISQUES
FEB
71
6
RISQUES IT ET CYBERCRIMINALITÉ
Espionnage industriel, vol de données, vol d’identité, blocage des ordinateurs de l’entreprise, tels sont les challenges auxquels doivent faire face les entreprises aujourd’hui. Sécuriser l’IT est indispensable, mais pas suffisant. D’après une étude de Trends Micro (publiée en avril 2015), 91% des attaques ciblées contre les entreprises sont menées par envoi d’un email ciblé. En d’autres termes, un employé va cliquer sur un lien ou ouvrir une pièce attachée et infecter l’organisation. Cela peut coûter très cher. Cela sans parler de l’impact sur la réputation de l’entreprise. Une table ronde de quatre experts explique pourquoi.
Georges Ataya Professor & Academic Director IT Management Education (Solvay Brussels School)
Christian Van Heurck Coordinateur (CERT.be)
Alexandre Pluvinage Cybercrime Coordination Manager et chef de la Cybercrime Awareness Team (ING)
Dirk Beynaerts Security Business Leader BeNeLux (IBM) 72
FEB GESTION DES RISQUES
Les entreprises parlent sans cesse de risques IT. Mais que couvre cette notion ? La protection des données ? La protection de la vie privée ? La garantie de la continuité de l’activité ? La fraude/tromperie via des canaux IT ? Le phishing ? L’espionnage industriel ? Georges Ataya (GA): “Nous devons faire une distinction entre protection informatique et protection de l’information. L’une vise la protection de la technologie, logiciels et matériel, et relève surtout de la compétence des techniciens informatiques. Tandis que la protection de l’information doit assurer la sécurité des données de l’entreprise au sens le plus large du terme et relève de la responsabilité de la direction de l’entreprise. L’informatique est un outil technologique pour protéger l’information. Renforcer le pare-feu humain est un autre aspect.” Alexandre Pluvinage (AP): “Ce point est très important. Protéger les systèmes informatiques est une nécessité. Toutefois, il ne faut pas oublier de former les employés. Car le plus souvent, c’est en envoyant un email à
une personne physique que les cybercriminels vont entrer. Pas en essayant de briser les défenses informatiques. Les employés des entreprises doivent aujourd’hui avoir une connaissance de base sur le bon comportement à adopter en matière de cybersécurité. Cela vaut pour l’envoi et la réception d’emails, le transport de données sur une clé USB, ou encore l’utilisation de réseaux wifi ouverts. Une étude menée au niveau fédéral a montré qu’un Belge sur trois utilise le même mot de passe pour le privé et le professionnel. Il y a donc encore beaucoup de travail à faire en matière de conscientisation des travailleurs.”
taille de l’entreprise et il est moins lourd que le coût de préjudice éventuel.”
Christian Van Heurck (CVH): “De plus, on oublie souvent que les cybercriminels piratent la structure IT de l’entreprise pour atteindre leur véritable objectif. Ils procèdent à des watering hole attacks – les lionnes se mettent à l’affût à proximité du point d’eau et pas en pleine brousse où il ne passe presque pas de gibier – sur un point vulnérable (humain ou technique) pour en attaquer d’autres ensuite. Plus ils utilisent d’étapes intermédiaires, plus il est difficile de tracer l’origine de l’attaque.”
CVH: “De plus, les motivations ne sont pas toujours criminelles. Certains utilisent le chantage comme moyen de protestation. Les activités – songeons à Anonymous – ne demandent pas d’argent, mais exigent par exemple qu’une entreprise ou une autorité publique revoie sa stratégie.”
Dirk Beynaerts (DB): “Ou ils utilisent le système d’un intermédiaire qui est toujours disponible, comme celui des institutions financières par exemple. Lorsque mon PC est infecté, je l’éteins le soir pour le relancer. L’infrastructure d’une banque tourne 24/7.” Un phénomène plus récent est le chantage en ligne ? CVH: “En effet. Si vous ne me payez pas une somme déterminée, je pirate votre système et révèle les données extorquées.” AP: “Le montant du chantage est fixé de manière à ce que la victime soit prête à payer. Le montant est ‘abordable’ en fonction de la
GA: “C’est devenu un businessmodel. Le prix est fixé comme chez un marchand de chaussures. S’il est trop élevé, on ne vend rien.” AP: “Depuis quelques mois, on voit une recrudescence des « ransomwares », ces logiciels malveillants qui bloquent votre ordinateur ou votre réseau informatique et vous demandent une rançon en échange du code qui permet de tout débloquer. Ici encore, cela passe le plus souvent par un mail infecté.”
DB: “Et comme tout se passe en ligne, de manière anonyme et à distance, le risque de se faire prendre est minime. Le risque de se faire prendre avec un virus informatique est bien moins grand qu’avec 5 grammes de cocaïne.”
Le chantage en ligne est devenu un businessmodel. Le prix est fixé comme chez un marchand de chaussures. S’il est trop élevé, on ne vend rien Georges Ataya (Solvay Brussels School) Quels facteurs augmentent les risques IT ? AP: “Les cybercriminels qui veulent pénétrer votre système informatique vont chercher la faille dans vos protections. Si vous êtes correctement protégé, ils iront chercher la GESTION DES RISQUES
FEB
73
faille ailleurs. Cela peut par exemple passer par une entreprise partenaire qui a accès à votre réseau. Chaque entreprise doit donc veiller à la protection de ses propres serveurs, mais aussi de ceux de ses sous-traitants. Il est donc important que la protection des données soit inscrite dans le contrat commercial.” GA: “Tout à fait d’accord. Mais négocier un accord équilibré entre les attentes du client et les garanties exigées par le fournisseur est un exercice difficile et extrêmement sensible. Tout est une question de confiance. Demander à un fournisseur d’appliquer les mêmes normes de contrôle et d’audit peut être interprété comme un manque de confiance ou comme une mise en doute de son professionnalisme.” DB: “À cela s’ajoute la question de la responsabilité finale. Le propriétaire des données est toujours responsable et il doit l’indiquer dans les contrats de partenariat. Ainsi, une entreprise dont les données clients ont été volées ne peut refiler la patate chaude à son fournisseur IT. C’est sa réputation qui est en jeu et moins celle de son fournisseur.” Les attaques sont aussi de plus en plus complexes et ciblées. Elles ont donc plus de chances de réussir ? DB: “Les cybercriminels prennent leur temps pour atteindre leur cible. Ils utilisent d’innombrables détours et – ce qui est nouveau – effacent leurs traces. Avant c’était hit-and-run : ils enfonçaient la porte avant au bulldozer, chipaient tout ce qu’ils pouvaient et disparaissaient discrètement. Maintenant, ils attendent que vous soyez en vacances, entrent par la porte arrière, ouvrent le coffre, piquent le diamant et le remplacent par une copie en verre. Votre femme la portera pendant des années avant de se rendre compte que la pierre est fausse.” 74
FEB GESTION DES RISQUES
CVH: “C’est ce qui se passe dans les « advanced persistents threats » ou cyberattaques ciblées de longue durée : la voie de pénétration ne relève souvent pas de la haute technologie, mais est un point faible dont on ignore l’existence depuis des années. Mais lorsque le pirate a réussi à l’infiltrer, l’affaire devient ingénieuse et extrêmement complexe.” AP: “C’est exact. De plus, les pirates sont tellement flexibles qu’il est presque impossible de les prendre de vitesse.” CVH: “N’oublions pas non plus la menace interne à force de nous concentrer sur les cybercriminels externes. Le voleur ou espion classique qui charge les secrets de l’entreprise sur un stick et les vend au plus offrant a encore de beaux jours devant lui. La fraude a toujours existé et existera toujours.” AP: “Les données ont d’ailleurs pris de la valeur. D’une part, parce qu’elles sont beaucoup plus critiques pour l’entreprise et, d’autre part, parce que la demande a augmenté et qu’un marché s’est créé (sur le ‘dark web’) pour les négocier.” GA: “Et nous n’avons pas encore parlé de la ‘starification du vol de données’. Songeons au succès du site de dénonciation WikiLeaks, à LuxLeaks, à Edward Snowden...” Cela doit-il empêcher le CEO de dormir ? Au plutôt, comment peut-il s’en protéger ? AP: “Il ne peut l’ignorer. Si l’interconnexion des systèmes informatiques a permis l’avènement de la cybercriminalité, cela a aussi rendu la fraude traditionnelle plus simple et efficace. Par exemple, la fraude au CEO est en très forte augmentation en Belgique. Et les montants perdus se chiffrent en millions d’euros. La fraude à la facture est aussi devenue plus
méthodes pour le faire. La conscientisation en est un. Faites prendre conscience à vos collaborateurs des risques et de la manière de les éviter proactivement. Ensuite, soyez informé. Plus l’entreprise est au courant des dangers, plus le risque d’un incident diminue et mieux elle peut maîtriser le risque. Enfin, installer des procédures et des obstacles technologiques (matériel et logiciels) pour compliquer la tâche des pirates potentiels. Tous ces éléments mis ensemble permettent de minimaliser la probabilité d’un incident.” simple. Ici encore, la meilleure protection est la formation. Si les comptables de l’entreprise savent que toute demande de paiement de la part du CEO, CFO ou CIO décrite comme URGENTE et CONFIDENTIELLE doit être validée discrètement par une tierce personne au sein de l’entreprise, les chances sont grandes que cette personne détecte la fraude. Pour la fraude à la facture, si vous appelez vos fournisseurs en cas de changement de numéro de compte pour valider l’information, vous détecterez la fraude facilement. Et protégez vos factures en les envoyant de deux manières différentes (email et courrier). Une simple vérification par votre créancier avant paiement validera l’authenticité de la facture.” DB: “De cette manière, la responsabilité incombe à l’utilisateur. Que se passe-t-il si un fraudeur utilise un intermédiaire et pirate le secrétariat social, par exemple, pour détourner des paiements vers un faux numéro de compte ?” GA: “Comment une entreprise peut-elle renforcer, stabiliser et pérenniser sa protection ? C’est la question principale. En se préparant à un incident de sécurité et en prévoyant les connaissances et les moyens pour détourner ou empêcher une intrusion. Et pour être en mesure de relever rapidement le niveau de protection. Il existe de nombreux leviers et
Aucune entreprise, petite ou grande, ne peut se protéger à 100%. Ou comme le dit Fabrice Clément de Proximus : “La question n’est pas de savoir si votre entreprise sera piratée ou abusée un jour, mais bien quand et comment vous réagirez à ce moment-là.” (lire aussi le case à la page 80) CVH: “La force de la protection dépend de la prise de conscience et de l’attitude de chaque collaborateur. Chacun doit avoir conscience qu’il est relié de l’une ou l’autre manière au monde extérieur et peut servir de trait d’union. Le marché criminel veut aussi minimiser ses coûts et il cherche la voie d’entrée qui offre le moins de résistance. Pourquoi concevoir un piratage sophistiqué et complexe si le mot de passe d’un collaborateur est à portée de main? Les ‘faux positifs’ (les fausses alertes que le système IT détecte) sont un grand problème tant pour ‘l’attaquant’ que pour ‘la victime’. Parmi les milliers d’alertes et de connexions, il est difficile de distinguer une ‘vraie’ attaque d’une fausse alarme. Il faut beaucoup de temps et de travail au pirate pour convaincre des gens de lui verser un montant. C’est un investissement en moyens humains et matériels. Les pirates essaient aussi de limiter le nombre de ‘faux positifs’ et misent pour ce faire sur les techniques qui leur offrent le plus de chances de réussite.” GESTION DES RISQUES
FEB
75
La force de la protection dépend de la prise de conscience et de l’attitude de chaque collaborateur Christian Van Heurck (CERT.be) Les entreprises ont-elles suffisamment conscience des dangers de la cyber(in) security ? DB: “La prise de conscience augmente, mais trop lentement et à des vitesses variables. Traditionnellement, les institutions financières prennent le leadership. En raison de la nature et de la sensibilité de leur activité, elles sont très matures, conscientes et extrêmement bien préparées, protégées et organisées. D’autres secteurs deviennent plus attentifs, mais principalement au niveau du conseil d’administration. Le collaborateur individuel est et reste le maillon faible.” AP: “La cybersécurité est un sujet brûlant dans tous les domaines et tous les secteurs. Il importe cependant d’élaborer des solutions concrètes adaptées aux différents secteurs. Ainsi, il existe depuis peu des assurances cybercrime pour la Belgique. Un expert peut donner à l’entreprise des conseils personnalisés (analyse SWOT) sur ce qu’elle peut faire concrètement pour renforcer sa sécurité et couvrir les risques. Ce besoin est plus marqué dans les PME, qui ne disposent pas des mêmes moyens qu’une institution financière, un opérateur télécom ou un géant des logiciels pour se protéger contre la cybercriminalité.” CVH: “La confiance est un facteur clé. À quelle institution ou quel fournisseur confier la mise au point de votre cybersécurité ? Comment gérer un incident ? On constate que plus des entreprises s’expriment dans les médias – je songe au cas de Proximus – plus elles sont suivies et plus les effets de sensibilisation d’autres entreprises sont positifs.” 76
FEB GESTION DES RISQUES
Une obligation de notification a-t-elle un sens ? CVH: “Nous insistons pour que les entreprises signalent les incidents. Elles peuvent le faire en toute confidentialité auprès de CERT. be. Nous ne jugeons pas, mais essayons de mettre l’entreprise en contact avec les bons experts (nationaux et internationaux) et de les convaincre de déposer une plainte. L’obligation de notification est importante, mais la conscientisation l’est encore plus. Partager ses expériences permet d’éviter que d’autres entreprises tombent dans le même piège. L’obligation de notification n’est d’ailleurs applicable que s’il y a des garanties de confidentialité.” DB: “Chaque entreprise doit partir du principe qu’elle peut être victime un jour. Il est capital d’être préparé, prêt à réagir. Et cela ne signifie pas seulement renforcer en urgence le pare-feu, mais aussi savoir comment et quoi communiquer. Faut-il s’adresser à la police ou à CERT ? Peut-on faire intervenir des spécialistes ? Faut-il informer les sous-traitants ou autres parties prenantes, le conseil d’administration …? En cas d’incendie, on ne se contente pas d’appeler les pompiers, n’est-ce pas ?” CVH: “La règle 80/20 s’applique aussi en matière de sécurité. Une entreprise peut faire beaucoup avec de petites interventions simples. Les entreprises américaines sont plus avancées parce que les autorités imposent un modèle de ‘maturité’ à leurs fournisseurs. Ainsi, elles doivent soumettre leurs systèmes à un monitoring continu. Cela va plus loin qu’un simple compte-rendu. Cette évolution prend du temps et personne ne peut passer de 0 à 100% de sécurité en un clin d’œil.”
Chaque entreprise sera un jour ou l’autre victime. Il est donc essentiel d’être préparé, prêt à réagir Dirk Beynaerts (IBM) Les risques IT n’offrent-ils pas aussi des opportunités ? La cybersécurité, un moteur de l’innovation ? GA: “De nombreuses entreprises utilisent leur degré élevé de sécurité comme argument de vente pour leurs nouveaux produits ou services. La force et l’impact de l’argument varient d’un secteur à l’autre.” AP: “Cela peut aussi avoir l’effet inverse. Celui qui crie sur tous les toits que son entreprise est bien protégée pourrait bien être le premier mis à l’épreuve. D’un autre côté, cela peut créer des opportunités. Une entreprise comptable par exemple peut faire la différence face à la concurrence si ses employés ont les connaissances de base en anti-fraude. Il en va de même pour un chercheur d’emploi qui aurait suivi une formation sur les bases de la cybersécurité.” CVH: “Tout dépend de la valeur et de l’efficacité des mesures de protection qui sous-tendent le discours commercial. Et de l’existence éventuelle d’une assurance spécialisée. Si la combinaison est bonne, ce type de service peut effectivement offrir des opportunités commerciales. Les sociétés d’hébergement font souvent du businessdevelopment avec des solutions de protection innovantes. Elles s’adressent donc souvent à CERT.be pour obtenir de l’aide pour sensibiliser leurs clients à l’importance d’une protection forte. Le message d’une institution publique est plus crédible, parce que non commercial.” DB: “L’offre de solutions de protection augmente, mais la demande augmente aussi.
RISQUES DE FRAUDE Les délits économiques contre les entreprises et autres organisations ne cessent d’augmenter dans le monde. Selon une récente enquête, 50% des organisations belges interrogées ont déclaré des délits économiques ou des fraudes. La Belgique est donc au top pour la notification des fraudes et elle dépasse largement la moyenne mondiale de 37% et la moyenne européenne de 35%. Les principaux risques de fraude révélés par l’enquête sont : Vol d’information. Pas uniquement des documents, mais de plus en plus souvent des informations stockées dans l’ordinateur ; Fraude aux comptes annuels. Se produit surtout lorsque l’entreprise utilise des systèmes où la partie variable de la rémunération des managers, par exemple, dépend du résultat. C’est également monnaie courante en cas de reprises auxquelles une prime est liée pour le management du vendeur ; Confusion d’intérêts et corruption. Il est fréquent que des partenaires commerciaux soient choisis pour une raison inexplicable à première vue, alors qu’ils ne présentent certainement pas le meilleur dossier ; Circuits parallèles. Il s’agit généralement de collaborateurs qui utilisent les moyens de l’entreprise pour leur enrichissement personnel. Ou de chefs d’entreprise qui omettent d’inscrire une partie des ventes dans la comptabilité ; Vol et recel de marchandises. Cela peut aller de l’introduction de factures falsifiées (ou adaptées) à la disparition organisée d’une partie de la production dans les poubelles (sans comptabilisation) ; Tricherie sur les frais et les notes de frais ; Blanchiment et carrousels à la TVA.
GESTION DES RISQUES
FEB
77
De plus en plus de (grandes) entreprises imposent des exigences à leurs fournisseurs et leur demandent de se rallier à leur environnement et leurs opérations de sécurité. De cette manière, elles ont une vision de ce qui se passe chez le fournisseur et ils se renforcent mutuellement.” CVH: “Les grandes entreprises aident indirectement les plus petites à renforcer leur protection. Elles ouvrent leurs solutions à d’autres et partagent leurs connaissances et leur expérience.” D’où aussi l’importance d’une plateforme comme la Cyber Security Coalition? (voir cadre en page 79) AP: “En effet. L’échange de connaissances et d’expérience entre les entreprises membres de la coalition est un pilier important. Le groupe de travail sur la formation et l’information au sein de la Coalition prépare des
packages de formation basés sur l’expérience de certains membres plus expérimentés. Ces informations sont mises à disposition de tous les membres de la Coalition pour la formation de leurs employés. Attention, il n’est pas question d’en faire de spécialistes en sécurité, seulement de leur donner les bases afin de reconnaître un risque et de bien réagir.”
Les données valent beaucoup plus qu’autrefois sur le marché ‘criminel’ Alexandre Pluvinage (ING) CVH: “La cybersécurité relève de la responsabilité de chacun, citoyens, entreprises, milieux académiques et pouvoirs publics. La force de la coalition réside dans la confiance mutuelle entre les membres, les connaissances (sensibles) et les expériences qu’ils partagent en toute transparence et la crédibilité que rayonne cette équipe d’experts vers le monde extérieur. Le but ultime ? Qu’un entrepreneur
CONSEILS ET BONNES PRATIQUES En conclusion, nous avons demandé à nos quatre experts un conseil en or ou une bonne pratique. Georges Ataya (Solvay Brussels School): “Un CEO responsable reconnaît les risques et les défis. Il sait quels scénarios catastrophes il faut éviter et quel en est le prix. Celui qui est conscient a déjà résolu la moitié du problème.” (lire l’article sur www.regional-it.be/2014/12/19/le-dirigeant-face-a-la-cybersecurite-de-son-entreprise/). Christian Van Heurck (CERT.be): “Signalez les incidents à CERT.be. En toute confidentialité. Nous ne sommes pas magiciens, mais nous pouvons aider. Plus nous pouvons identifier des incidents, plus nous avons de moyens pour élaborer des solutions et sensibiliser. Vos collaborateurs peuvent s’informer sur les risques qu’ils courent sur www.safeonweb.be.” Dirk Beynaerts (IBM): “Je ne peux que confirmer et ajouter : ‘prepare to respond’. Soyez prêts et intelligents. Deux clés pour une lutte réussie contre le cybercrime.” Alexandre Pluvinage (ING): “Utilisez votre bon sens. Consultez un spécialiste ou CERT.be au moindre doute. Il vaut mieux jouer la sécurité que courir un risque. Ne cliquez jamais sur un message suspect et si vous l’avez fait, informez-en votre équipe IT. Ne rien signaler est la plus grosse erreur qu’on puisse faire.”
78
FEB GESTION DES RISQUES
sache en cas de crise à quels spécialistes ou conseillers il peut s’adresser en toute confiance. Cette confiance et cette dynamique sont le fruit d’un travail de longue haleine ou comme le dit le proverbe : la confiance se gagne en gouttes et se perd en litres.” DB: “Si chacun continue à travailler dans son coin, on n’avancera pas beaucoup. Il est crucial que chaque entreprise soit consciente que l’information sur une crise qu’elle a traversée peut être utile à d’autres et inversement. Ce qui se passe aujourd’hui aux States ou en Chine peut être important pour nous demain. Dans un monde de big data, faire des liens entre les informations peut être décisifs pour
éviter des attaques, y compris au niveau local. Cela nécessite en effet une grande confiance. La coalition offre une plateforme où des informations sensibles et pratiques peuvent être partagées en toute confiance.” GA: “La cybersécurité est un des rares domaines où la coalition parvient à faire collaborer les acteurs des secteurs privé et public et du monde académique dans un modèle d’’open innovation’. Et l’intérêt général prime les thèmes individuels ou sectoriels. La volonté est bien présente. Nous ne pouvons laisser passer cette occasion.”
UNE COALITION UNIQUE EN BELGIQUE S’ATTAQUE AU CYBERCRIME Des centaines de milliers d’ordinateurs sont infectés dans notre pays chaque année. Les coûts de la cybercriminalité sont estimés à 3,5 milliards EUR, soit plus de 1% du PIB. Or, la lutte contre la cybercriminalité est dispersée. Un sondage de la FEB révèle en outre que 66% des entreprises interrogées n’ont pas une vision claire de toutes les implications d’une approche efficace de la cybersécurité. Plus de 75% d’entre elles ne s’y retrouvent pas dans la réglementation et les instances compétentes. Malgré de nombreuses initiatives bien intentionnées, chacun mène sa lutte de son côté. Malgré de nombreuses initiatives bien intentionnées, chacun mène encore sa lutte de son côté. Or le progrès en cybersécurité n’est possible qu’avec la collaboration de tous : les entreprises, le monde académique et les pouvoirs publics. C’est pourquoi une série d’acteurs clés (Proximus, FEB, CERT.be, B-CCENTRE et Solvay Brussels School) ont créé la Cyber Security Coalition. Cette association doit donner une nouvelle impulsion à l’économie numérique et faire de la Belgique un pays soucieux de la cybersécurité. Premièrement, la coalition réunit une cinquantaine d’acteurs clés issus du monde académique, du monde des entreprises et des pouvoirs publics pour échanger des connaissances et des expériences et se faire une image globale du paysage de la cybersécurité. Parallèlement, la coalition entend engranger des progrès significatifs sur trois fronts : les échanges et le partage de la connaissance, la sensibilisation des citoyens et des entreprises et les recommandations pour une politique plus efficace. Plus d’info : www.cybersecuritycoalition.be
GESTION DES RISQUES
FEB
79
CASE PROXIMUS
DE VICTIME À EXPERT Selon Fabrice Clément, responsable ‘sécurité de l’information’ chez Proximus, la cybercricybercriminalité figure dans le top dix des risques business. Aucune entreprise, petite ou géante, n’y échappe. “La question n’est pas de savoir si votre entreprise sera un jour pirapiratée ou abusée, mais bien quand et comment vous réagirez dans ce cas.” La cybercriminacybercriminalité évolue de manière tellement dynamique et organique qu’une politique de risque zéro n’existe pas. Ce qui est primordial aujourd’hui, c’est une bonne préparation et une réponse forte en cas d’incident.
© Proximus
“La cybersécurité est moins une question de ‘compliance’ que de gestion du risque”, estime Fabrice Clément, responsable ‘sécurité de l’information’ chez Proximus. Depuis que ce géant des télécoms a été victime d’une cyberattaque de grande envergure en 2013, il s’est constitué une forte expertise dans la lutte contre les cybercriminels qu’il met au profit de ses clients. Quels sont les risques ? “Une attaque ou une violation peut causer un préjudice grave en termes d’image, de réputation, de continuité opérationnelle, de santé financière, de conformité réglementaire… Elle peut
même affecter des tiers parce que l’entreprise ne remplit plus ses obligations contractuelles par exemple.” La cybersécurité est devenue un impératif business, bien plus qu’une contrainte ou un centre de coûts. L’AFFAIRE DE TOUTE L’ENTREPRISE
La protection contre la cybercriminalité est l’affaire de toute l’entreprise et non pas seulement une question qui incombe au département IT. Elle doit faire partie d’un plan global, présenté et soutenu par le senior management “et incluant toutes les facettes de l’entreprise : gestion de risque, communication, réglementation, culture, formation et attitude des travailleurs, gestion des fournisseurs, gestion d’alarmes et d’incidents, développement de produits et de services, collaboration avec les autorités…”.
“Piratez votre propre système pour pouvoir mieux le protéger” Proximus investit chaque année plus de 15 millions EUR pour offrir à ses clients des solutions de télécoms sécurisées et protéger les données des clients et de l’entreprise. Son plan ‘cybersécurité’ repose sur cinq piliers : 1. Des mesures organisationnelles et de gouvernance. Pour développer des connaissances, pour impliquer activement le management, pour aligner les fournisseurs, pour mettre à jour les politiques de sécurité, pour sécuriser les processus de l’entreprise, etc. 2. Le développement d’une culture de la sécurité parmi les collaborateurs et autres
Fabrice Clément, responsable sécurité de l’information chez Proximus
80
FEB GESTION DES RISQUES
stakeholders, notamment via des campagnes de sensibilisation et des formations à la Proximus ICT Academy. Pour sensibiliser, informer, proposer des solutions et aiguiser la vigilance. 3. Une sécurisation renforcée des plateformes IT. Par ex. via le cryptage des données, la gestion des accès, des environnements serveurs distincts… 4. Des mesures de sécurité renforcées pour les réseaux télécoms et les plateformes de services. Entre autres via des tests de vulnérabilité. 5. La création d’un centre de cyberdéfense. Mission : détecter et désamorcer les cyberincidents. Une équipe spécialisée ‘Cyber Security Intelligence & Incident Response’ réunit, par le biais d’un réseau international, des informations sur les menaces potentielles pour pouvoir réagir de manière proactive et prompte. Un service de surveillance et d’alerte (Security Operations Center) est aussi offert aux clients ‘entreprises’. NE JAMAIS IMPROVISER
“L’improvisation n’est jamais appropriée”, souligne Fabrice Clément. “L’entreprise doit se préparer comme un bloc solide et le calcul des risques et la réaction aux cyberincidents doivent faire partie intégrante du plan de crise.” Le succès de la lutte dépend dans une large mesure de la
collaboration nationale et internationale et de l’échange de connaissances entre entreprises, pouvoirs publics, experts, opérateurs... “Une entreprise ne peut affronter seule les menaces d’une cybercriminalité puissante et sans frontière. D’où l’importance d’une plateforme de coopération comme la ‘Cyber Security Coalition’ (voir cadre en page 79). Mes conseils aux chefs d’entreprise ? 1. Ne considérez pas la cybersécurité comme un simple problème IT; elle nécessite une approche globale supportée par le top management. 2. Considerez la cybersécurité comme un impératif pour votre business. 3. Ne vous repliez pas sur vousmême, collaborez et osez demander l’aide d’experts externes.”
Proximus (Belgacom) Activité : télécommunications Marchés : B2C, B2B Marchés : Bruxelles Collaborateurs (2014) : 14.200 Chiffre d’affaires (2014): 6.112 millions EUR www.proximus.com
GESTION DES RISQUES
FEB
81
Que faire en cas dâ&#x20AC;&#x2122;incident ?
Comment réagissez-vous (ou réagit votre entreprise) pendant ou après un incident pour limiter les dégâts ? Ou, mieux encore, pour éviter que cette même menace frappe de nouveau votre entreprise ? Quels que soient le degré de préparation et les actions de l’entreprise, elle doit se laisser guider par trois principes en cas de crise : il faut réagir vite, durablement et de manière responsable.
1 CRISIS READINESS Plus de 90 % des chefs d’entreprise ont peu ou pas d’expérience avec des situations de crise, indique l’enquête 1. Dès lors, faut-il s’étonner que, dans la plupart des cas, ils ne réagissent pas de façon adéquate aux signes précurseurs d’une crise ? Soit ils ne les identifient pas, soit ils les reconnaissent mais ne réagissent pas ou prennent des mesures dans la panique. Les raisons de ces réactions sont très diverses et leur analyse nous mènerait trop loin dans cette brochure. L’accent est plutôt mis ici sur la résolution des problèmes. L’essentiel est de savoir dans quelle mesure votre entreprise est prête à affronter une crise. Ce ‘crisis readiness’ est la faculté à apporter une réponse effective et à réparer les conséquences d’événements tant externes (attentats terroristes, catastrophes naturelles ..., lire le chapitre ‘Risques externes et stratégiques’, en page 32) qu’internes (accidents industriels majeurs, incendie dans une entreprise). Dans cette optique, le crisis readiness est l’objectif final souhaité sur la base de la préparation organisationnelle, 1 2
de la gestion de crise, du Business Continuity Planning 2 et d’autres activités et processus organisationnels. Le crisis readiness a six composantes fixes, liées à : 1. une réactivité rapide en cas de crise ; 2. une connaissance suffisante des scénarios de gestion de crise ; 3. l’accès de la direction au registre de gestion de crise ; 4. l’exactitude du plan de crise stratégique au sein de l’entreprise ; 5. une grande communication interne et externe (les médias !) ; 6. la perception de la probabilité qu’une crise touche l’organisation.
TESTEZ VOTRE ‘CRISIS READINESS’ Votre entreprise ou organisation est-elle suffisamment préparée à un incident ou une situation d’urgence ? Nous posons, cidessous, cinq questions pour tester votre crisis readiness. Si toutes vos réponses sont positives, votre organisation est déjà bien préparée à un éventuel incident majeur. En revanche, si vous répondez non à une des questions, il y a encore du pain sur la planche. 1. Pouvez-vous spontanément nommer quelques caractéristiques d’une crise dont vous avez tenu compte lors de l’élaboration du plan de gestion de crise de votre entreprise ? 2. Avez-vous analysé, avec votre équipe de direction, la ‘criticité’ des processus de l’entreprise en relation avec les risques qu’elle encourt ? 3. Disposez-vous d’une checklist générique servant de fil conducteur pour la gestion d’une crise ?
Drs. H.C. van Eyck van Heslinga, ‘Hands-on crisismanagement’, Berenschot Interim Management/Kluwer, 2002, p. 23. Un Business Continuity Plan (BCP) est un plan qui veille à redémarrer l’activité le plus rapidement possible après une situation de crise..
GESTION DES RISQUES
FEB
83
4. Pouvez-vous nommer cinq principes de base qui déterminent votre stratégie en matière de communication de crise ? 5. Impliquez-vous au moins une fois par an l’équipe de direction dans l’évaluation, le contrôle et l’adaptation du plan de crise ? Source : Paul Robrechts, Jeroen Wils, ‘Gestion de crise. Guide pratique pour une gestion de crise efficace’, FEB, Bruxelles, 2015
La probabilité qu’une menace ou un risque débouche sur une crise et engendre des dégâts est bien entendu déterminante pour définir le sens et le niveau de votre crisis readiness
Utilité et justification Ainsi, vous pouvez vous demander s’il est utile et justifié de préparer l’entreprise à l’imprévisible, de se préparer à des risques futurs dont personne n’a encore aucune idée aujourd’hui. Des événements passés prouvent qu’anticiper l’avenir s’avère effectivement utile. Pensons par exemple aux attentats du 11 septembre. Grâce à un bon plan d’urgence, de nombreuses vies ont pu être sauvées. Cela vaut aussi pour un scénario catastrophe tel qu’un incendie d’entreprise.
Risque minimisé de survenance Il est évident qu’à mesure que vous identifiez les menaces et risques pour votre entreprise, cela génère automatiquement un effet préventif. Cela vaut surtout pour les risques internes. Être conscient de l’existence de risques vous permet aussi d’aborder les risques de manière responsable. Réfléchir aux risques potentiels génère une certaine attitude et surtout une culture de la sécurité au sein de l’entreprise. Des valeurs comme l’ouverture d’esprit, la transparence, la communication et la confiance mutuelle favorisent une détection rapide des points faibles et 84
FEB GESTION DES RISQUES
empêchent de camoufler de petits incidents ou erreurs humaines qui pourraient par la suite se transformer en crise sérieuse.
Infrastructure critique L’impact d’une crise est sectoriel. Certaines entreprises revêtent une telle importance stratégique que leur dysfonctionnement peut paralyser l’ensemble de la société. Ainsi, les secteurs stratégiques sont notamment l’approvisionnement énergétique (centrales nucléaires, raffineries de pétrole), la communication (téléphonie, internet, stockage de données) ou les transports (ports maritimes, aéroports). Ces entreprises critiques ont l’obligation et la responsabilité sociétale de prévoir les menaces, de les détecter dès leur état embryonnaire, de les traiter et de rétablir au plus vite la continuité des services
Dispositions légales Dans bon nombre de situations, la gestion des risques, la gestion de crise et le Business Continuity Planning sont imposés par la loi. Plus concrètement, trois ‘réglementations’ régissent l’analyse des risques et des mesures préventives : la ‘loi sur le bien-être’ : la loi du 4 août 1996 relative au bien-être des travailleurs lors de l’exécution de leur travail ; l’arrêté royal du 27 mars 1998 relatif à la politique du bien-être des travailleurs lors de l’exécution de leur travail ; l’accord de coopération du 21 juin 1999 entre l’État fédéral et les Régions concernant la maîtrise des dangers liés aux accidents majeurs impliquant des substances dangereuses.
Responsabilité Les dirigeants qui ne sont pas préparés à une crise ou à un scénario catastrophe au sein de leur entreprise peuvent être déclarés juridi-
quement responsables de leur négligence, par analogie avec d’autres responsabilités, comme en cas d’environnement de travail non sécurisé.
Considérations financières Une crise peut engendrer de sérieux dommages de réputation à l’entreprise et occasionner ainsi de lourdes pertes financières. Une étude internationale menée par la Oxford University auprès d’entreprises actives dans divers secteurs révèle qu’une crise a dans tous les cas, dès le départ, un impact négatif sur la valeur de l’action. En moyenne, les entreprises touchées ont enregistré une perte de 8%. Un deuxième constat important était que les marchés évaluent réellement la valeur de l’action après 10 ou 15 jours en fonction de la réaction de l’entreprise à la crise L’interruption complète ou partielle des processus peut en outre avoir des conséquences
néfastes aussi bien sur la situation financière que sur la position de l’entreprise sur le marché. Les clients n’attendent pas et chercheront d’autres alternatives. L’interdépendance des entreprises dans la chaîne d’approvisionnement signifie que si un fournisseur fait défaut, la continuité de l’acheteur est également en péril. Les dommages aux processus de production ou d’exportation sont généralement source de coûts importants liés notamment aux retards de livraison. Les coûts (liés aux risques) imprévus peuvent, à leur tour, affecter les liquidités de l’entreprise. Pensons aux situations où des heures supplémentaires doivent être prestées, aux coûts de management, aux coûts de réparation, aux amendes, aux coûts d’assurance croissants ou aux coûts juridiques.
Une crise a, dès le départ, un impact négatif sur la valeur de l’action
IMPACT ON SHAREHOLDER VALUE 20
Cumulative abnormal results (%) ie. change in market cap adjusted for market movement
15
After initial reflex (10 days), market begins to assess company’s response.
10
+ 7%
5 EFFECTIVE CRISIS RESPONSE 0 INEFFECTIVE CRISIS RESPONSE -5
- 15%
-10
-15
-20 25
50
75
100
125
150
175
200
225
Trading days after the event Source : ‘Protecting Value in the Face of Mass Fatality Events’, www.oxfordmetrica.com
GESTION DES RISQUES
FEB
85
Impact des médias et détérioration de l’image Si, au cours d’une crise, vous négligez vos relations avec les médias, fournissez des informations lacunaires ou erronées ou vous entêtez à refuser de communiquer, vous vous exposez à de sérieux problèmes. Dans ce cas, les journalistes vont euxmêmes chercher des informations (pas nécessairement les plus exactes) et l’entreprise perd tout contrôle de la communication avec le public. Une attitude ouverte, transparente et correcte à l’égard des médias et du public est souvent la meilleure tactique dans ces circonstances. Les dommages à la réputation d’une entreprise que peut occasionner une crise peuvent difficilement être sous-estimés. Lorsque la méfiance publique
2 APPROCHE ET PRINCIPES DE LA GESTION DE CRISE 1 La manière de gérer une crise dépend de divers facteurs et est tributaire du contexte dans lequel l’incident se produit et de la faculté d’apprentissage de l’entreprise ou de l’organisation. Les éléments ayant un impact sur la manière dont vous pouvez maîtriser la crise sont : Contraintes de temps : quelle est la gravité de la situation ? Combien de temps avezvous ou vous donne-t-on ? Différence et position de pouvoir : une partie peut-être déterminer le comportement de l’autre ? Y a-t-il un ou plusieurs centres de pouvoir ou des conflits d’intérêts ? Dans quelle mesure quelqu’un se cramponne-t-il à sa position ? 1
Escalade : jusqu’où est montée la tension ? Les parties sont-elles encore en mesure d’analyser les problèmes ensemble et d’appréhender le conflit de manière objective ? Dépendance de la fonction : dans quelle mesure les personnes, les départements ou les divisions opérationnelles sont-ils interdépendants ? Réglementation présente : y a-t-il des règles et des procédures internes ou externes dont il faut tenir compte ? Identification : dans quelle mesure les collaborateurs s’identifient-ils à l’organisation ? Quel est leur niveau (élevé ou faible) d’implication ? Faculté de réflexion : la direction et les collaborateurs sont-ils en mesure de procéder à un examen critique du fonctionnement de l’organisation et de leur propre rôle en son sein ? Compétences et qualifications : les compétences requises sont-elles présentes pour analyser les problèmes complexes et en avoir une bonne compréhension ? …
La manière de gérer une crise dépend du contexte et de la faculté d’apprentissage de l’entreprise Quoi qu’il en soit, une entreprise doit axer sa gestion de crise sur trois principes : rapidité, durabilité et responsabilité. Il vous appartient de définir les priorités les plus adéquates en fonction de la situation. Pour ce faire, il faut notamment se poser les questions suivantes : Quel est l’impact de la mesure sur la rentabilité ? Quels sont les coûts/investissements découlant de la mesure ?
Drs. H.C. van Eyck van Heslinga, ‘Hands-on crisismanagement’, Berenschot Iterim Management/Kluwer, 2002, pp. 18-19
86
FEB GESTION DES RISQUES
Quelle est la période couverte par la mesure ? Quelle est la durabilité de son effet ? Quel est le risque d’échec ? Qu’est-ce que cela implique pour les collaborateurs ? Quels sont les effets secondaires d’une mesure ? …
3 VERS UNE GESTION DE CRISE RÉUSSIE Gestion de crise et Business Continuity Planning (BCP) peuvent être sous-divisés en six phases. Début de l’incident
100
Rétablissement complet
Gestion de crise et BCP
MESURES PRÉVENTIVES PRÉPARATION BCP
Incident sous contrôle
Début du rétablissement
ÉVALUATION DE LA CRISE
Opérationnalité
Début de l’intervention
Mise en sécurité des valeurs Lutte contre l’incident
Détection Vérification
Protection des activités
Rapportage
Évaluation de la situation
Reprise des activités
0 T0
T1
T2
Temps
T3
T4 Avec actions
PHASE 1 : préparation La préparation d’un Business Continuity Plan comprend une phase théorique consistant à élaborer un profil de risque qui définit la straté-
Sans actions
gie et les procédures concrètes à suivre. Dans la seconde phase, pratique, elles sont mises en œuvre, testées, évaluées et le cas échéant adaptées. GESTION DES RISQUES
FEB
87
PHASE 2 : détection, vérification et rapportage Il faut tout d’abord identifier le ‘problème’. Le règlement de problèmes ou d’une situation anormale pouvant entraîner des dommages relève des activités normales des services compétents. Si le problème ne peut être résolu à court terme, il devient un ‘incident’. Dans ce cas, cela dépasse le cadre de la réactivité normale de l’entreprise et de la responsabilité individuelle des départements concernés. Une approche coordonnée sera probablement la seule réponse adéquate. Si l’incident est difficile à maîtriser ou ne peut l’être à l’aide des moyens prévus et appliqués, il se transforme en crise. Il est recommandé de déterminer au préalable à partir de quel stade (quelle gravité) l’équipe de gestion de crise prend la direction des opérations. Dans cette phase, l’entreprise convoque l’équipe de gestion de crise. En cas de crise très grave, le Business Continuity Plan est activé, de même que tous les organes et procédures prévus à cet effet.
PHASE 3 : mise en sécurité des valeurs, lutte contre l’incident et protection des activités Après avoir constaté la crise et ses premières conséquences, l’entreprise doit agir rapidement et de manière réfléchie. La première priorité consiste à limiter les dégâts. Au moment de la crise, une organisation a surtout besoin d’un leadership solide. L’organisation doit, dans les plus brefs délais, passer de son mode de fonctionnement normal à une situation de ‘gestion exceptionnelle’. C’est l’équipe de gestion de crise qui prend les rênes. Les valeurs de l’entreprise et les convictions de ses dirigeants sont déterminantes pour 88
FEB GESTION DES RISQUES
l’effectivité de la réaction à une crise. Les actions découlant d’une notion commune des valeurs de l’entreprise lient tous ses membres à l’objectif visé par les actions entreprises. C’est grâce à une telle réaction et à un tel suivi que l’entreprise et sa direction peuvent sortir de la crise fortes d’une image et d’une réputation meilleures. La phase 3 peut être clôturée dès que la situation est jugée ‘sous contrôle’. Elle débouche alors sur un contrôle et un suivi permanents, associés à l’adaptation et la mise en œuvre de diverses mesures.
Les valeurs de l’entreprise sont déterminantes pour la gestion de la crise PHASE 4 : évaluation de la situation Ce processus itératif relie les phases 3 et 5. Ce qui le caractérise, c’est le contrôle et le suivi permanents des mesures et décisions prises. L’accent est essentiellement mis ici sur leur impact sur l’évolution de la crise et, plus particulièrement, sur le rétablissement attendu
PHASE 5 : reprise des activités Pour pouvoir reprendre rapidement ses activités, l’entreprise tente ici de garantir la continuité de sa gestion et de revenir le plus rapidement possible à une gestion et à des procédures normales. Si les mesures adoptées produisent de l’effet, l’entreprise peut reprendre ses activités normales. Progressivement, les activités sont réintégrées dans la gestion normale de l’entreprise et l’équipe de gestion de crise rend la gestion journalière aux responsables de l’entreprise.
Dès que la situation est complètement rétablie, la mission de l’équipe de gestion de crise est terminée. Il ne lui reste plus qu’à procéder à une évaluation et, si nécessaire, à prendre les mesures qui s’imposent en vue de prévenir d’autres incidents ou crises similaires.
PHASE 6 : évaluation de la crise Chaque crise est clôturée par une évaluation, en vue de tirer les leçons de : l’apparition de la crise; la manière dont elle a été gérée : l’impact et les conséquences des décisions et mesures prises; la valeur des mesures proactives et préventives; … Ces informations et connaissances permettent de peaufiner le plan de crise et d’adapter les mesures préventives et proactives.
GUIDE PRATIQUE Ce chapitre est basé sur les informations de la brochure ‘Gestion de crise. Guide pratique’ de Paul Robrechts et Jeroen Wils, publiée en juin 2015 par la FEB. Cette publication a pour objet de vous familiariser avec certaines notions de la gestion de risque et d’amorcer une prise de conscience des risques dans votre entreprise. Outre la gestion des risques, les deux spécialistes se penchent largement sur la gestion de crise proprement dite et sur le Business Continuity Planning. Enfin, la brochure énumère dix facteurs de réussite qui sont essentiels pour maîtriser une crise. Vous pouvez télécharger gratuitement la brochure sur www.feb.be > Publications > Publications gratuites.
GESTION DES RISQUES
FEB
89
CONCLUSION Les risques et les crises ont toujours existé. Pour preuve, la récente crise financière et du crédit, les scandales comptables, les préjudices portés à la réputation par la pollution, les cyberattaques visant les entreprises et les grandes organisations. Ou plus récemment, la manipulation des logiciels dans le secteur automobile. En raison de leur dimension (souvent internationale) et de leur impact considérable sur le fonctionnement des entreprises et des organisations – et donc sur le tissu économique du pays – les risques actuels (et les crises correspondantes) sont d’un tout autre ordre de grandeur que ceux de la fin du siècle dernier. De plus, la rapidité des évolutions technologiques crée un nouveau risque, celui des technologies disruptives (‘disruptive technological changes’). Celles-ci transforment complètement le marché et peuvent rendre un service ou produit rapidement obsolète. Il n’est donc pas étonnant que la maîtrise des risques fasse partie des priorités économiques (et politiques). Un exemple très récent est l’approche internationale coordonnée des constructions fiscales, à l’initiative du G20 et de l’OCDE, dans le cadre du ‘BEPS’ (Base Erosion and Profit Shifting) et la grande attention médiatique réservée à ce thème.
Prise de conscience des risques croissants Il ressort de notre sondage mené auprès de quelques centaines d’entreprises que les grandes entreprises sont généralement les plus confrontées aux risques. À l’exception des risques de financement (stratégiques et opérationnels) qui affectent plus souvent les moyennes entreprises.
Ce sondage montre aussi que plus d’une entreprise sur trois trouve que les risques auxquels elle est confrontée ont augmenté. 10% des entreprises indiquent aussi qu’elles maîtrisent moins bien ces risques qu’autrefois. La prise de conscience de ces risques accrus, tant dans l’entreprise que dans la société en général, a stimulé l’appel à être plus attentif à la gestion de risque. Mais plutôt que de considérer ces risques uniquement comme des difficultés et des problèmes, voyons les possibilités qu’ils offrent. Chaque activité crée un risque, mais également une opportunité pour les entreprises innovantes et créatives, qui transforment la menace en opportunité et renforcent ainsi leur position concurrentielle ou explorent de nouveaux marchés. L’e-commerce et la numérisation sont des exemples typiques. Ils modifient certes le commerce traditionnel, mais génèrent aussi des sous-secteurs innovants, tels que le webdesign, l’impression 3D, l’e-marketing. Ou encore, le crowdfunding comme réponse innovante au manque de capitaux à risque. La gestion des risques ne consiste pas tellement à les éliminer, mais bien à les reconnaître et à chercher des méthodes appropriées pour les rendre maîtrisables. Plus encore, le réflexe du risque doit être inscrit dans la culture de l’entreprise (qu’elle soit grande ou petite, active au niveau local ou international) et dans toutes ses divisions. La direction doit susciter la discussion sur les risques au lieu de balayer les incertitudes ou les signaux d’échec. Grâce à cette brochure pratique, nous voulons aider à identifier les risques (qui sont un ‘fait de la vie’) dans votre entreprise et à les convertir autant que possible en opportunités. GESTION DES RISQUES
FEB
91
92
FEB GESTION DES RISQUES
LA FEB ET SES MEMBRES
Antwerp World Diamond Center
Creamoda
Association belge des centres de contact
Association des fabricants de pâtes, papiers et cartons de Belgique
Fédération belge de la brique
Fédération belge de l’industrie de l’automobile et du cycle
Fédération belge des industries chimiques et des sciences de la vie
Fédération belge des industries graphiques
Fédération de l’industrie cimentière belge
Fédération de l’industrie du béton
Fédération d’employeurs pour le commerce international, le transport et la logistique
Fédération des entreprises du gestion de l’environnement
Fédération belge du commerce et des services
Fédération de l’industrie du textile, du bois et de l’ameublement
Cigarette Manufacturers of Belgium and Luxembourg
Confédération Construction
Fédération belge des entreprises électriques et gazières
Fédération des gestionnaires de réseaux d’électricité et de gaz
Fédération belge du secteur financier
Fédération de l’industrie alimentaire
Fédération de l’industrie du verre
Fédération de l’industrie technologique
Fédération de l’industrie extractive et transformatrice de Belgique
Fédération des industries transformatrices de papier et de carton
Fédération pétrolière belge
Fédération Royale Belge des transporteurs et des prestataires de services logistiques
Groupement de la sidérurgie
Organisation des bureaux d’ingénieurs-conseils, d’ingénierie et de consultance
Union des secrétariats sociaux
Union générale belge du nettoyage
Fédération des prestataires de services RH
FEBUCO Federation of business consultants
Fédération patronale des ports belges
Mobility retail and technical distribution
Union professionnelle de courtiers d’assurance
Union professionnelle des entreprises d’assurances
Union royale des armateurs belges
Voucher Issuers Association
GESTION DES RISQUES Les risques et les crises ont toujours existé. Pour preuve, la récente crise financière et du crédit, les scandales comptables, les préjudices portés à la réputation par la pollution, les cyberattaques visant les entreprises et les grandes organisations. Ou plus récemment, la manipulation des logiciels dans le secteur automobile. En raison de leur dimension (souvent internationale) et de leur impact considérable sur le fonctionnement des entreprises et des organisations – et donc sur le tissu économique du pays –, les risques actuels (et les crises correspondantes) sont d’un tout autre ordre de grandeur que ceux de la fin du siècle dernier. Et la maîtrise des risques fait partie des priorités économiques (et politiques). La prise de conscience de ces risques accrus, tant dans l’entreprise que dans la société en général, a stimulé l’appel à être plus attentif à la gestion de risque. Mais plutôt que de n’y voir que les difficultés et les problèmes qui en découlent, voyons comment gérer ces risques et les utiliser à notre avantage. Car chaque activité crée un risque, mais également une opportunité. La gestion des risques ne consiste pas tellement à les éliminer, mais bien à les reconnaître et à chercher des méthodes appropriées pour les rendre maîtrisables. Plus encore, le réflexe du risque doit être inscrit dans la culture de l’entreprise. Dans cette brochure, rédigée par les experts de la FEB, de BDO et d’ING, nous abordons de manière intelligible les principaux aspects d’une bonne politique de risque. Des témoignages issus de la pratique rendent la ‘théorie’ tangible. Avec cette brochure pratique, nous voulons aider à identifier les risques (qui sont un ‘fait de la vie’) et à les convertir autant que possible en opportunités.
La Fédération des entreprises de Belgique est le porte-parole d’une cinquantaine de fédérations professionnelles sectorielles, qui représentent au total plus de 50.000 entreprises, dont 41.000 PME. À ce titre, la FEB est la plus grande organisation interprofessionnelle de notre pays et sa représentativité peut être évaluée à 75% de l’emploi dans le secteur privé. www.feb.be