L’approche du management des risques

Entreprise et risque sont deux éléments indissociables puisque le risque constitue l’essence de l’entreprise et sa raison d’être. La création d’une entreprise ou d’un projet suppose la prise de risque et la survie de l’entreprise nécessite aussi une gestion des risques quotidienne et efficace. En effet, aucune entreprise n’est à l’abri de la faillite ou des difficultés financières si elle gère mal ses risques, même les multinationales et les entreprises les plus performantes, et les exemples ne manquent pas (Enron, Arthur- Anderson, Alstom, Parmalat, etc.).

A partir de la deuxième guerre mondiale, il y a eu l’apparition de nouveaux systèmes techniques complexes et à haut risque, notamment dans les domaines de l’aéronautique, l’armement et le nucléaire. Ceci a été donc à l’origine de l’apparition de nouveaux risques peu connus et difficiles à gérer. Ainsi, il s’est avéré nécessaire de développer des méthodes de management des risques. C’est dans ce contexte que la compagnie Boeing a élaboré la méthode d’analyse préliminaire des risques, au début des années 1960, et la compagnie américaine des téléphones Bell a développé la méthode de l’arbre des défaillances. Ces deux méthodes sont encore utilisées jusqu’aux nos jours. Ces dernières années, on a remarqué l’utilisation des méthodes de management des risques dans d’autres secteurs industriels (chimie, pétrochimie, etc.) et elles sont même utilisées dans le domaine de la santé et de l’environnement.

L’objectif du management des risques n’est pas d’éviter toute prise de risque, mais plutôt de déterminer quels sont les risques qu’on doit prendre. Toute action contient des risques et c’est l’existence de ces risques là qui est à l’origine du succès ou de l’échec de toute action. Selon Hassid (2008, p.3), « la gestion des risques est une méthode qui aide

l’entreprise à bien connaître ses risques et à mesurer leur importance en vue ensuite de les traiter efficacement ».

127 La gestion de toute organisation revient, essentiellement, à gérer les risques liés à ses activités. En effet, toute organisation a des objectifs à atteindre et des obligations à respecter. Gérer les risques revient à identifier, quantifier et maîtriser les événements qui auront des impacts aussi bien positifs que négatifs sur les objectifs et les obligations.

Il est à noter que la gestion globale des risques est loin d’être une simple tentative de conformité aux règlementations et aux lois. Elle est, plutôt, une gouvernance basée sur des valeurs et des objectifs bien définis et qui vise le respect des contraintes sociétales. La gestion des risques nécessite, tout d’abord, d’avoir une communication efficace et une réactivité permanente, tout en s’adaptant rapidement à la nature évolutive des risques en matière de fréquence, de gravité et de conséquences sur l’activité de l’organisation.

L’attitude de la société est un point crucial à prendre en compte lors du processus de management des risques. En effet, ce processus doit tenir compte des perceptions et des points de vue de tous les acteurs ainsi que l’évolution des attitudes afin d’instaurer une communication efficace entre les parties prenantes. L’OCDE (2003, p.16) considère que « La manière dont les diverses positions sont envisagées et prises en compte dans le

processus de décision, dont les problèmes et les choix sont portés à la connaissance des intéressés et dont les médias et la collectivité au sens large perçoivent et exploitent ces informations est maintenant une composante incontournable de la gestion des risques ».

3.1. Historique du management du risque

A partir des années 2000, le management du risque s’est apparu comme la préoccupation principale des organisations, mais il est loin d’être une préoccupation nouvelle. En effet, Henri Fayol considérait déjà, depuis 1898, « les opérations de sécurité » qui visent la protection des biens et des personnes comme étant l’une des six fonctions principales de l’administration. Fayol (1916), dans son ouvrage « Administration industrielle et générale », explique bien cette fonction de sécurité qui est tout simplement ce qu’on appelle, de nos jours, la fonction gestion des risques.

Les années 1970 et 1980 ont été marquées par la montée de la question du management du risque et l’apparition de la fonction “risk manager” dans les entreprises. Selon Joffre et Koenig (1985), les entreprises ont été obligées pendant ces deux décennies d’élaborer des stratégies de management du risque sous la pression de deux phénomènes qui sont :

128 - L’assurantialisation : le recours de plus en plus aux compagnies d’assurance et la

pression exercée par celles-ci pour que les entreprises effectuent des stratégies de protection et de prévention contre les risques.

- La financiarisation : c’est le fait de passer d’une économie d’endettement à une économie de marchés financiers. Ce passage qui est accompagné de la complexité des nouveaux modes de financement a obligé les entreprises à investir dans la maîtrise des risques financiers.

Cette préoccupation vis-à-vis du management du risque a été renforcée par les graves accidents qui ont eu lieu pendant cette période, notamment l’accident de Saveso, en Italie en 1976, l’accident de Bhopal, en Inde en 1984, et l’accident de Tchernobyl, en Ukraine en 1986. L’intérêt grandissant des entreprises vis-à-vis du management du risque a diminué un peu, au cours de la décennie 1990, et cette question n’a pas eu la même place primordiale dans les stratégies des entreprises. En effet, le traitement des risques reste un rôle mal défini et flou.

A partir des années 2000 et avec la multiplicité des accidents industriels et des catastrophes naturelles, en plus des attentats terroristes, la question du management du risque s’est réapparue sur la surface en intéressant de nouveau aussi bien les entreprises que les institutions publiques. En effet, à partir du début du troisième millénaire, le monde a fait face à plusieurs types d’accidents graves, à titre d’exemple, on peut citer : le Tsunami en Asie du Sud-est (le 26 décembre 2004), l’ouragan de Katrina (le 25 août 2005), les scandales financiers d’Enron et de la Société générale et les attentats terroristes de World

Trade Center et de Madrid. Les conséquences lourdes de ces accidents sont dues à des

fautes humaines ou à une mauvaise organisation, donc elles auraient pu être évitées sinon au moins allégées s’il y avait eu des procédures efficaces de maîtrise des risques. Cette constatation a été le point de départ vers une nouvelle ère où le management du risque devient à la mode et on en entend parler tous les jours dans les discours aussi bien des dirigeants que des hommes politiques lors de leurs campagnes électorales.

Les risques rencontrés par les entreprises ont changé au fil des années. En effet, au cours des années 1980, se sont plutôt les risques politiques, économiques et industriels qui attirent le plus l’attention des gérants. De nos jours, on voit bien l’apparition des risques informationnels, de sabotage médiatique et aussi les risques liés au personnel (sécurité, santé et droits). En effet, avec la montée en force du pouvoir des syndicats, le respect des

129 droits des employés devient une obligation pour les entreprises, sinon elles feront face à des problèmes qui peuvent toucher leurs images de marque et même leurs pérennités. Par exemple, l’entreprise Nike a investi des sommes énormes pour sauver son image de marque, notamment à travers les campagnes publicitaires et la mise en place d’une charte éthique, parce qu’elle a été accusée d’employer des enfants dans ses usines.

3.2. Processus du management du risque

On ne peut pas parler du management du risque sans évoquer la norme élaboré par l’International Organization for Standardization (ISO) qui est « ISO 31000 ». En effet, cette norme présente d’une manière détaillée trois points essentiels qui sont : les principes du management du risque, son cadre organisationnel et le processus du management du risque.

Les principes du management du risque selon la norme ISO 31000 sont les suivants : s’assurer de la création de la valeur, faire partie intégrante des processus organisationnels, être intégré dans la prise de décision stratégique, traiter explicitement de l’incertitude, avoir une approche systématique, structurée et proactive, se baser sur la meilleure information disponible, être construit sur mesure, intégrer les facteurs humains et culturels de l’organisation, être transparent et participatif, être dynamique, itératif et réactif et faciliter l’amélioration et l’évolution continue de l’organisation.

La démarche de management du risque prévue par la norme ISO 31000 (Figure 10) se décompose en cinq points essentiels qui sont les suivants :

- Communication et consultation : cette étape vise l’élaboration d’hypothèses communes avec toutes les parties liées et la communication de ces hypothèses afin d’avoir une vision unique du dispositif du management du risque à mettre en œuvre.

- Etablissement du contexte : cette étape vise à clarifier le contexte aussi bien externe qu’interne dans lequel existe et évolue l’organisation. Ceci va permettre de prendre en compte toutes les contraintes qui s’imposent et les opportunités qui s’offrent à l’organisation.

- Appréciation du risque : cette étape consiste à l’identification, l’analyse et l’évaluation des risques. La norme ISO 31000 concerne aussi bien le “corporate risk management” qui traite les risques purs c'est-à-dire aléatoires que le “business risk management” qui concerne les risques spéculatifs. Identifier les risques revient à identifier aussi bien les risques purs que les risques spéculatifs. L’analyse des risques consiste à identifier les

130 causes des risques, leurs impacts ainsi que les probabilités des faits générateurs. L’évaluation des risques consiste à savoir si un tel risque peut être accepté ou non par l’entreprise, c’est-à-dire s’il dépasse ou non le seuil d’acceptabilité établi par l’organisation lors de l’étape établissement du contexte.

- Traitement du risque : consiste à éviter le risque, réduire le risque (protection ou prévention) ou partager le risque avec d’autres parties prenantes.

- Surveillance et revue : cette étape consiste à mettre en œuvre un système d’information management des risques qui permet de faire la surveillance des procédures déjà mises en œuvre pour le traitement des risques.

Figure 10. Relations entre les principes, le cadre organisationnel et le processus de management du risque

Source : ISO 31000 (2009)26

La famille ISO 31000 contient 4 principaux éléments qui sont :

- ISO 31000 : 2009, Management du risque – Principes et lignes directrices.

- ISO/CEI 31010 : 2009, Gestion des risques –Techniques d’évaluation des risques. - ISO Guide 73 : 2009, Management du risque – Vocabulaire.

131 - ISO/TR 31004 : 2013, Management du risque – Lignes directrices pour

l’implémentation de l’ISO 31000.

Selon la démarche de management du risque, il faut, tout d’abord, déterminer le niveau d’acceptabilité ou de tolérabilité des risques. Ce seuil d’acceptabilité est déterminé par la direction et il reflète le niveau d’appétence des dirigeants face aux risques.

Le dispositif de “corporate risk management” concerne la mise en œuvre des modalités nécessaires afin de maîtriser les risques purs appelés aussi les risques de sinistralité. Parmi les risques purs, on peut citer : le risque produit, le risque client, le risque fournisseur, le risque politique, etc. Par ailleurs le dispositif de “business risk

management” a pour objectif de maîtriser les risques financiers spéculatifs, notamment les

risques de change ou de taux d’intérêt. Pour ce faire, il faut utiliser des instruments financiers tels que les swaps ou les options futures. Ces instruments visent à atteindre des plus-values ou bien d’amener les impacts financiers de ces risques à une valeur nulle.

La mise en œuvre d’un dispositif de management du risque efficace est loin d’être l’application d’une méthodologie bien structurée et rigide. Elle nécessite plutôt une adaptation avec l’activité de l’organisation, son appétence pour le risque et sa création de valeur. Pour cela, il est intéressant d’intégrer la gestion des risques dans le quotidien des employés, c'est-à-dire « réfléchir risques ».

En d’autres termes plus simples, la démarche du management du risque contient les étapes suivantes : la définition du risque acceptable, l’identification des risques, l’évaluation des risques, la réduction des risques et la gestion des risques résiduels. Il est à noter aussi que le risque zéro n’existe pas et de ce fait, il est impossible d’éliminer tous les risques.

Section 2. Le management du risque pour les projets d’énergies