Une évaluation des pratiques de risk management dans les entreprises marocaines

(1)

Vol(1), No (1) 2021

Journal of Integrated Studies In Economics, Law, Technical Sciences & Communication

Une évaluation des pratiques de risk management dans les entreprises marocaines

An assessment of risk management practices in Moroccan companies

El Mehdi KERRAOUS

^{1 /}

Jihane BAKKALI

²

1Enseignant – chercheur, FSJES-Tétouan, Université Abdelmalek Essaadi, kerraous.el.mehdi@gmail.com

2Enseignante – chercheur, FSJES-Tétouan, Université Abdelmalek Essaadi, jibakma@gmail.com

Résumé

Les entreprises essayent tant bien que mal de survivre après les effets désastreux de la crise que traverse le monde actuellement, ainsi que les mesures prises sur le plan national et international pour la contrecarrer. Ceci souligne l’importance de la présence d’un processus de risk management au sein des entreprises pour les protéger contre différents risques et améliorer éventuellement leurs valeurs.

Néanmoins, on constate que même si les entreprises utilisent ce processus, la crise a eu quand même des conséquences négatives et parfois catastrophiques sur celles-ci. Peu de travaux empiriques ont analysé de manière approfondie les pratiques de risk management au Maroc. Par conséquent, nous cherchons à travers cet article à analyser les pratiques de risk management dans les entreprises marocaines avant la crise afin d’identifier leurs faiblesses. De ce fait, nous avons mené une étude exploratoire auprès d’un échantillon de 39 grandes et moyennes entreprises de Casablanca et Rabat. Nos résultats ont permis de déceler plusieurs faiblesses concernant les pratiques de risk management chez ces entreprises. Ces résultats contribueront à une meilleure prise de conscience des entreprises marocaines de la nécessité d’améliorer leurs pratiques de risk management pour éviter de nouvelles crises dans le futur ou du moins d’en limiter leurs conséquences.

Mots-clés : entreprises ; risque ; crise ; gestion des risques ; processus.

Abstract

Companies try as much as they can to survive after the disastrous effects of the crisis which the world is currently going through, as well as the actions taken nationally internationally to counteract it. This stresses the importance of the presence of a risk management process within the companies to protect them from various risks and eventually to improve their values. Nevertheless, we note that even if the companies use this process, the crisis still had negative and sometimes catastrophic consequences on them. Few empirical studies analyzed in depth risk management practices in Morocco. Therefore, we seek through this article to analyze risk management practices in Moroccan companies before the crisis in order to identify their weaknesses. Thus, we conducted an exploratory study on a sample of 39 large and medium companies in Casablanca and Rabat. Our results enabled us to detect several weaknesses regarding risk management practices in these companies. These results will contribute to a better awareness in Moroccan companies regarding improving their risk management practices to avoid new crises in the future or at least to limit their consequences.

Keywords : companies ; risk ; crisis ; risk management, process.

(2)

2 Introduction

Les entreprises à travers le monde évoluent aujourd’hui dans un environnement très difficile caractérisé par les répercussions diverses de la COVID-19 sur plusieurs volets comme : la production, la consommation, mais aussi l’investissement.

Après l’annonce des premiers cas de la COVID-19 en Chine en décembre 2019, l’Organisation mondiale de la santé l’a déclarée par la suite comme une pandémie. On constate aujourd’hui qu’il s’agit d’une véritable crise que ce soit sur le plan sanitaire, social ou économique.

Une crise peut être définie comme : « une situation où de multiples organisations, aux prises avec des problèmes critiques, soumises à de fortes pressions externes, d’âpres tensions internes, se trouvent brutalement et pour une longue durée sur le devant de la scène […] le tout dans une société de communication de masse » (Lagadec, 1994).

La crise peut être le résultat d’un événement majeur se produisant de manière instantanée. Mais, elle peut avoir comme origine une succession d’incidents moins importants certes, mais qui vont détériorer la situation normale et produire un accident. Si la gravité de l’accident est élevée, ça provoquera une crise. Si la gravité de l’accident est moyenne, ses dommages peuvent faire passer l’entreprise d’une situation normale à une situation dégradée. En outre, les cibles touchées par cet accident se fragiliseront et seront confrontées à d’autres risques. Ces risques provoqueront d’autres accidents par la suite et feront passer l’entreprise d’une situation dégradée à une situation de crise. La crise actuelle correspond plutôt à la première situation.

Le Maroc n’a pas été épargné par cette crise. Après la déclaration d’un premier cas de la COVID-19 le 02/03/2020, les autorités marocaines ont déclaré l’état d’urgence sanitaire et le début du confinement au Maroc à compter du 20/03/2020. Les mesures de confinement, d’arrêt total ou partiel des activités consécutives audit confinement, mais aussi de fermeture des frontières ont impacté tous les secteurs d’activités et ont causé une réelle récession économique.

En effet, cette crise a provoqué : une baisse de la production, des exportations et des revenus, une aggravation du déficit budgétaire et une hausse du chômage et de la dette publique (Oudda et al., 2020).

La crise actuelle montre une défaillance du processus de risk management chez les entreprises marocaines. En effet, même avec le développement rapide de la crise en Chine, puis au niveau mondial, les mesures pour limiter cette crise n’ont pas été entreprises à temps. Les risques sont multiples, certains sont moins fréquents comme le cas échéant des risques extrêmes, mais ont une gravité élevée. Ces risques ne doivent pas être ignorés, bien au contraire il faudra anticiper des solutions pour y faire face (Trainar, 2020).

Le risk management peut être défini comme : « un processus mis en œuvre par le Conseil d’administration, la direction générale, le management et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation » (COSO, 2004).

(3)

3 L’origine du risk management remonte à la théorie moderne du portefeuille (Acharyya and Mutenga, 2013; Alviniuissen and Jankensgard, 2009; Ballantyne, 2013; Beasley et al., 2008;

Eckles et al., 2014). En effet, ce processus présente certaines similitudes à la théorie moderne du portefeuille. Le risk management considère les risques comme un portefeuille qui est géré de manière globale et structurée. (Cumming and Hirtle, 2001; Daud et al., 2011; Golshan et al., 2012; Gordon et al., 2009; Kleffner et al., 2003; Liebenberg and Hoyt, 2003; McShane et al., 2011; Meulbroek, 2002). En outre, le risk manager quantifie les risques et analyse les corrélations possibles entre eux. Enfin, grâce à l’agrégation des risques dans le risk management, ils sont diversifiés. De ce fait, le risque global est désormais inférieur aux risques individuels (Nocco and Stulz, 2006). L’entreprise deviendra plus efficiente dans sa gestion des risques, puisqu’en regroupant ses risques elle pourra choisir des contrats moins coûteux couvrant les risques agrégés (Eckles et al., 2014).

Néanmoins, contrairement à la théorie moderne du portefeuille, les partisans du risk management considèrent que les imperfections de marché existent et que le risk management permet aux entreprises d’atteindre leurs objectifs stratégiques et de créer de la valeur actionnariale à travers une meilleure quantification des risques, un meilleur arbitrage entre le risque et le rendement et une amélioration de la culture des risques dans les entreprises (Froot et al., 1993; Meulbroek, 2002; Nocco and Stulz, 2006; Smith and Stulz, 1985; Stulz, 1996).

Malgré les efforts déployés afin d’identifier les risques, certains sont difficilement identifiables et peuvent éventuellement provoquer une crise. Si cette dernière n’est pas rapidement maîtrisée, ses effets peuvent évoluer très rapidement et s’aggraver. Par conséquent, il faudra se préparer à celle-ci en amont par le biais du risk management et prévoir un plan de gestion des crises au préalable qui fixe les responsabilités et actions à entreprendre lors d’une éventuelle crise (Shenkir et al., 2010).

Il est possible de se préparer à des crises à travers la prévision de scénarios catastrophes. Les scénarios permettent d’anticiper les risques majeurs, de rechercher leurs causes, d’y répondre en proposant des solutions afin de diminuer leurs fréquences ou leurs gravités, d’en tirer des enseignements et d’imaginer de nouvelles procédures organisationnelles efficaces (Véret and Mekouar, 2005).

Les scénarios retenus par l’entreprise vont constituer le plan de continuité d’activité. Ce plan permet de contenir la crise avant qu’elle n’affecte d’autres activités de l’entreprise. Ça permet aussi de reprendre rapidement son activité et de retrouver une situation relativement normale.

Le plan de continuité d’activité doit être testé périodiquement à travers des simulations qui vont tester ses hypothèses. Les résultats de ces simulations doivent être enregistrés et analysés pour déceler d’éventuelles faiblesses. Puis, ils permettront de mettre à jour les scénarios, ainsi que les plans de continuité d’activités et de mettre en place des actions pour limiter les faiblesses constatées (Le Ray, 2006).

Le processus de risk management a été spécialement élaboré pour réduire les effets des risques et des crises sur les entreprises. Néanmoins, on constate que même après avoir intégré ce processus, aucun secteur d’activité n’a été épargné par la crise de la COVID-19, même le secteur financier qui est généralement connu par sa solidité et ses pratiques de risk management avancées.

(4)

4 Peu de travaux empiriques ont étudié les pratiques de risk management au Maroc. L’objectif de cet article est donc d’évaluer les pratiques de risk management au sein des entreprises marocaines avant la crise pour identifier leurs forces, mais aussi leurs faiblesses. Nous essayons de répondre à la question de recherche suivante : quelles sont les pratiques de risk management au sein des entreprises marocaines et quelles sont les forces et les faiblesses de celles-ci ? On présentera en premier lieu une revue de la littérature des principaux référentiels et travaux analysant les pratiques de risk management. Puis, on présentera la méthodologie utilisée dans ce travail. On présentera par la suite les résultats de notre recherche. Finalement, on présentera nos principales conclusions concernant l’état des pratiques de risk management au sein des entreprises marocaines.

1. Revue de la littérature

Dans notre revue de la littérature, on s’intéressera aux principaux référentiels et travaux relatifs aux pratiques de risk management au sein des entreprises.

Le référentiel FERMA (2003) a été élaboré par les principaux organismes de la gestion des risques au Royaume-Uni à savoir : l’Institute of Risk Management (IRM), l’Association of Insurance and Risk Managers (AIRMIC) et le National Forum for Risk Management in the Public Sector (ALARM). Ce référentiel également ne fixe pas des principes de base pour une certification, mais présente un aperçu des meilleures pratiques de risk management, ce qui permet aux entreprises qui utilisent ce référentiel de se mesurer par rapport à ces pratiques.

Le référentiel COSO (2004) présente les principes clés du risk management et des illustrations pratiques pour les entreprises souhaitant intégrer ce processus. Dans ce référentiel, le risk management est constitué des 8 éléments suivants : l’environnement interne, la fixation des objectifs, l’identification des évènements, l’évaluation des risques, le traitement des risques, les activités de contrôle, l’information et communication et le pilotage. Ce référentiel a été actualisé en 2013 pour prendre en considération les changements perpétuels de l’environnement (nouveaux risques, sophistication des technologies, attentes accrues en matière de gouvernance et de reporting, etc.). Néanmoins, les modifications apportées par ce référentiel concernent plus le contrôle interne que le risk management.

En 2009, L’ISO qui est une fédération mondiale d’organismes nationaux de normalisation a publié la norme ISO 31000 relative au risk management. Ladite norme établit certains principes à appliquer afin d’améliorer l’efficacité du risk management dans les entreprises qui l’adoptent.

Cette norme peut être appliquée par n’importe quelle entreprise (publique ou privée) et concerne tous les secteurs d’activités. Elle ne vise pas à uniformiser le risk management dans les entreprises, puisque la stratégie et la structure organisationnelle du risk management doivent considérer les besoins spécifiques de chaque entreprise (ISO 31000, 2009).

L’enquête de Colquitt et al. (1999) concerne les pratiques de risk management dans 379 entreprises entre 1995 et 1996. Ils ont trouvé que 46,7 % des entreprises utilisent des produits dérivés et que cela est plus ressenti lorsque la taille de l’entreprise est grande. Les principaux produits dérivés utilisés sont les swaps (60,5 %), les forwards (58,8 %), les options (45,8 %) et les futures (39,5 %). De plus, ils ont trouvé que les instruments de financement des risques les plus utilisés sont : les contrats pluriannuels (70,4 %), les captives (38,3 %), les finites (26,6 %), la création d’un pool (15,6 %) et la rétention (10,3 %).

(5)

5 Altuntas et al. (2011) ont mené une enquête sur les pratiques de risk management chez 95 assureurs allemands entre 1999 et 2008. Ils ont trouvé que 89 % des assureurs allemands ont une stratégie globale de gestion des risques en 2009 contre 82 % en 2008 et 32 % en 2007. Pour ce qui est de l’influence du département de risk management, ils ont trouvé que 97,56 % des entreprises ont l’autorisation pour demander des informations additionnelles et 97,56 % ont l’autorité d’inspecter d’autres départements. Les techniques utilisées pour identifier les risques sont : des checklists (93,7 %), le contrôle de l’environnement de l’entreprise (92,6 %), l’analyse des exigences réglementaires (88,4 %), l’analyse statistique des données des réclamations (86,3 %), l’analyse des processus (70,5 %), le brainstorming (54,7 %), la recherche des informations dans les médias (51,6 %), les groupes de discussion (47,4 %) et d’autres techniques (19,0 %). En ce qui concerne les techniques d’évaluation des risques, la plupart des entreprises utilisent des techniques quantitatives pour les risques d’investissement, les risques des souscriptions, les risques des catastrophes naturelles, les risques de concentration et les risques de liquidité. Néanmoins, elles utilisent des techniques d’évaluation qualitatives pour les risques opérationnels, les risques de réputation et les risques stratégiques.

L’enquête de Beasley et al. (2012) concerne les pratiques de risk management chez 618 entreprises en 2012. Pour ce qui est des demandes du conseil d’administration pour une meilleure supervision des risques de la part du management, ils ont trouvé que : dans 13,5 % des entreprises, ces demandes sont de manière extensive, dans 28,9 % elles sont majoritaires et dans 29,1 % elles sont légères. Quant aux demandes des parties prenantes pour des informations plus fréquentes sur les risques de l’entreprise : dans 11,2 % des entreprises, elles sont de manière extensive, dans 24,4 % de ces entreprises elles sont majoritaires et dans 28,7 % de celles-ci elles sont légères. En outre, 26,7 % des entreprises ont une politique générale de gestion des risques. Quant à l’identification des risques, ils ont trouvé que 37,9 % des entreprises maintiennent les risques identifiés aux niveaux souhaités par la direction. Pour ce qui est de la fréquence de mise à jour de l’inventaire des risques, elle est mensuelle, hebdomadaire ou quotidienne pour 5,2 % des entreprises, elle est trimestrielle pour 15,3 % de ces entreprises, semi-annuelle pour 10 % d’entre elles, annuelle pour 38,7 % de ces dernières, alors que pour 30,8 % de ces entreprises l’inventaire des risques n’est pas du tout mis à jour.

En termes de reporting des risques, 29,6 % des entreprises ont des processus de risk management systématiques, robustes et reproductibles avec des reportings réguliers des principales expositions aux risques à leurs conseils d’administration. Pour ce qui est des méthodes utilisées pour communiquer les risques aux hauts dirigeants, 62,6 % des entreprises ont des discussions ad hoc dans les réunions des dirigeants, 33,3 % ont des discussions avec des agendas programmés dans les réunions des dirigeants, 47,6 % ont des rapports écrits préparés mensuellement, trimestriellement ou annuellement et 16,5 % intègrent les données sur les risques dans des bases de données de risk management au moins trimestriellement.

S’agissant de l’implication du conseil d’administration, dans 58,8 % des entreprises les conseils d’administration évaluent et échangent lors de réunions spécifiques autour de leurs principales expositions. En outre, 49,9 % des entreprises ont indiqué qu’elles communiquent les principales expositions aux risques à leurs conseils d’administration au moins annuellement. Quant à l’intégration du processus de risk management dans la planification d’une stratégie, 51,4 % des entreprises prennent en considération leurs expositions aux risques quand elles choisissent une

(6)

6 stratégie, 35,1 % d’entre elles ont défini leurs appétences aux risques et les prennent en considération lors de la fixation d’une stratégie et 38 % des entreprises prennent en considération leurs expositions aux risques pour l’allocation des capitaux. Finalement, pour le lien entre la rémunération et le processus de risk management, 26 % des entreprises n’incluent pas les activités de ce processus dans la détermination de la rémunération sur la performance du management, alors qu’elles sont faiblement incluses pour 30,2 % des entreprises enquêtées.

L’enquête El Maguiri and Ibenrissoul (2014) concerne les pratiques de risk management chez 45 entreprises casablancaises. Ils ont trouvé que les risques sont considérés chez ces entreprises comme : un événement accidentel (28 %), une malveillance (24 %), une incertitude (23 %), un danger (20 %) ou autres (6 %). Pour ce qui est de l’identification des risques, ces entreprises utilisent : des audits (48 %), des check-lists (24 %), des ateliers (12 %) et d’autres outils et techniques (16 %). Quant à l’évaluation des risques, elle est réalisée par le biais des mesures des probabilités d’occurrence (45 %), d’une cartographie des risques (42 %) et d’autres techniques (13 %). Finalement, pour le financement des risques elles utilisent : des assurances (32 %), des fonds spécifiques (26 %), des méthodes de transfert (21 %) et d’autres techniques de financement des risques (21 %).

Errabih (2014) a conduit une enquête sur les pratiques de risk management et de continuité d’activité dans 33 entreprises marocaines de Rabat/Casablanca. Pour les outils de gestion des risques utilisés, 93,9 % des entreprises utilisent le contrôle permanent, 87,9 % utilisent des procédures, 54,5 % utilisent des dispositifs techniques divers et 39,4 % utilisent des techniques de financement des risques. Pour la cartographie des risques, 84,8 % des entreprises en disposent déjà, 9,1 % n’en disposent pas et 6,1 % des entreprises restantes sont en cours de son élaboration. Les approches les plus utilisées pour établir cette cartographie des risques sont des approches semi-quantitatives (63,6 %) et des approches qualitatives (27,3 %). 48,5 % des entreprises déclarent avoir des plans de continuité d’activité, 27,3 % des entreprises n’ent disposent pas et 24,2 % des entreprises sont entrain de les élaborer. En outre, 57,7 % des entreprises testent leurs plans de continuité d’activité, alors que les 42,3 % des entreprises restantes ne les testent pas. Finalement, 66,7 % des entreprises ont formulé des scénarios, alors que 33,3 % des entreprises n’ont pas formulé ces derniers.

Grace et al. (2015) ont utilisé les enquêtes de Tillinghast Towers Perrin de 2004 et de 2006 pour étudier les pratiques de risk management chez 532 assureurs américains. Ils ont trouvé que dans 28,2 % des entreprises la rémunération des dirigeants est basée sur le processus de risk management.

On constate à travers cette revue de la littérature que les pratiques de risk management diffèrent fortement d’une étude à une autre. Cependant, on remarque une évolution favorable des pratiques au fil des années, ce qui confirme le réel intérêt des entreprises pour ce processus.

(7)

7 2. Méthodologie

Nous avons mené une étude exploratoire antérieure à la crise de la COVID-19 pour évaluer les pratiques de risk management au sein des entreprises marocaines. Il s’agit d’une étude quantitative à travers l’administration de notre questionnaire à l’échantillon d’entreprises ciblées. Thiétart (2014) considère que le questionnaire est l’outil de collecte de données primaires le mieux adéquat pour mener des enquêtes à partir d’informations quantitatives ou qualitatives. Il permet la collecte de plusieurs informations selon les modalités préétablies par le chercheur et une meilleure comparabilité entre les réponses.

Notre questionnaire est constitué de questions fermées. Ce type de question offre : une grande facilité de réponse, une simplification de l’administration et du traitement, une réduction des biais relatifs à la variabilité d’enregistrement des réponses et la facilitation de la comparabilité des réponses (Gavard-Perret et al., 2012).

Nous avons élaboré notre questionnaire sur la base des principaux référentiels et normes de risk management à savoir : le référentiel COSO (2004), la norme ISO 31000 (2009) et le référentiel FERMA (2003). Ces derniers présentent les principes clés du risk management et des guides pratiques pour les entreprises qui veulent l’intégrer.

Dans notre questionnaire, on s’intéresse tout d’abord aux caractéristiques des entreprises de notre échantillon afin de collecter des informations sur leurs secteurs d’activités et leurs chiffres d’affaires. Puis, on s’intéresse aux pratiques de risk management dans ces entreprises. Plus précisément, il s’agit de : la nature des risques rencontrés, les activités confiées au risk manager, l’environnement interne, la cartographie des risques, le traitement des risques, le pilotage des risques, les activités de contrôle, l’information et la communication.

Il est difficile de dresser une liste complète des entreprises marocaines qui utilisent le risk management, puisqu’elles ne communiquent pas toujours ces informations dans leurs rapports annuels et notes d’informations. De ce fait, nous utilisons la méthode d’échantillonnage par convenance, qui permet de sélectionner un échantillon selon les opportunités disponibles aux chercheurs. Puis, nous utilisons la technique de la boule de neige qui permet d’identifier un premier répondant correspondant aux critères de sélection définis, puis de demander à ce dernier d’identifier d’autres répondants correspondants aussi aux mêmes critères de sélection (Thiétart, 2014).

Notre échantillon est composé d’entreprises appartenant à différents secteurs d’activités afin d’analyser les pratiques de risk management de tout type d’entreprise et pour collecter le maximum de réponses possibles.

Notre échantillon est composé exclusivement de grandes et moyennes entreprises opérant dans Casablanca et Rabat pour avoir plus de chance d’observer des entreprises avec des pratiques de risk management et afin d’avoir des entreprises de taille importante et avec une influence significative sur l’économie marocaine, ce qui augmentera la représentativité de nos résultats.

La taille d’une entreprise est généralement positivement corrélée à l’intégration du risk management dans celle-ci (Beasley et al., 2005). En effet, l’intégration d’un processus de risk management est coûteuse pour une entreprise. De ce fait, plus l’entreprise est grande, plus elle est susceptible de disposer de ce processus.

(8)

8 L’administration du questionnaire a été réalisée avant la crise de la COVID-19, elle s’est achevée en février 2017. Donc nos résultats ne comportent pas des biais liés aux effets de cette crise sur les entreprises puisque son administration a été réalisée bien avant ladite crise. Après avoir éliminé les questionnaires incomplets ou avec des entreprises n’adoptant pas une démarche globale et structurée de risk management, on s’est retrouvé avec 39 grandes et moyennes entreprises de Casablanca/Rabat composant l’échantillon utile à notre étude.

Nous utilisons des statistiques descriptives pour présenter les résultats de notre enquête. Le tableau n° 1 présente la composition de notre échantillon. On a : le secteur bancaire (20,51 %), le secteur des assurances (17,95 %), le secteur industriel (17,95 %), le secteur public (17,95 %), le secteur des services (10,26 %), le secteur informatique/télécommunications (7,69 %), le secteur immobilier (2,56 %) le secteur de commerce/distribution/négoce (2,56 %) et le secteur du leasing (2,56 %).

Tableau n° 1 : Secteur d'activité

Effectif Pourcentage

Services 4 10.26%

Informatique/ Télécommunications 3 7,69 %

Banques 8 20,51 %

Leasing 1 2,56 %

Assurances 7 17,95 %

Industrie 7 17,95 %

Commerce / Distribution / Négoce 1 2,56 %

Immobilier 1 2,56 %

Secteur public 7 17,95 %

Total 39 100 %

Source : Préparé par nos soins

Le tableau 2 dresse la composition de notre échantillon par chiffre d’affaires. 71,79 % des entreprises ont un chiffre d’affaires annuel supérieur ou égal à 1,5 milliard (MAD), ce qui confirme le poids important de ces dernières. Puis, on a 12,82 % d’entreprises avec un chiffre d’affaires annuel compris entre 100 millions (MAD) et 500 millions (MAD), 10,26 % d’entreprises avec un chiffre d’affaires annuel entre 500 millions (MAD) et 1,5 milliard (MAD) et finalement 5,13 % d’entreprises avec un chiffre d’affaires annuel inférieur à 100 millions (MAD).

Tableau 2 : CA annuel HT en MAD, toutes activités confondues de l'année 2015

Moins de 100 millions 2 5,13 %

Entre 100 millions et 500 millions 5 12,82 %

Entre 500 millions et 1,5 milliard 4 10,26 %

1.5 milliard et plus 28 71,79 %

Total 39 100 %

(9)

9 3. Résultats et discussion

La présentation de nos résultats suit l’enchaînement des rubriques qui figurent dans notre questionnaire à savoir : la nature des risques rencontrés, les activités confiées au risk manager, l’environnement interne, la cartographie des risques, le traitement des risques, le pilotage des risques, les activités de contrôle, l’information et la communication.

3.1. Nature des risques et domaines d’intervention du risk manager Tableau 3 : Types de risques

Risques opérationnels 31 100 %

Risques financiers 25 81 %

Risques de conformité 23 74 %

Risques stratégiques 18 58 %

Risques de réputation 18 58 %

Autres risques 4 13 %

On constate que toutes les entreprises (100 %) sont confrontées aux risques opérationnels. Ceci est dû à la sévérité des conséquences de ce risque, aux exigences réglementaires importantes concernant ce risque et à la multitude des causes pouvant le provoquer aussi bien internes qu’externes.

Puis, on trouve les risques financiers (81 %). Notre échantillon est composé de plusieurs entreprises financières et ce type de risques constitue un volet important de leurs activités. En outre, notre échantillon est composé d’entreprises d’une taille très importante. Ces dernières font généralement appel au marché des capitaux ce qui les exposent aux risques financiers.

On a également trouvé parmi les risques les plus cités les risques de conformité (74 %). Les entreprises doivent respecter les dispositions législatives et réglementaires pour ne pas être confrontées à des sanctions administratives ou judiciaires.

On constate que les entreprises de notre échantillon ne négligent pas les risques de réputation (58 %). Une mauvaise réputation peut gravement nuire à une entreprise et provoquer une perte de confiance de ses différentes parties prenantes.

Puis, on a trouvé les risques stratégiques (58 %). Les entreprises prennent ces risques quand elles appliquent des stratégies pour maximiser leurs valeurs. Ces risques ne doivent pas être ignorés puisqu’ils sont une importante source de maximisation de leurs valeurs et de renforcement de leurs avantages compétitifs.

Finalement, on a trouvé d’autres risques comme le risque de crédit par exemple (13 %).

(10)

10 Tableau 4 : Activités dans lesquelles le risk manager joue un rôle actif

Gouvernance 27 69 %

Audit interne 22 56 %

Le choix d’une stratégie 18 46 %

Évaluation des projets 15 38 %

L’évaluation des performances de l’entreprise 14 36 % L’élaboration des budgets et le reporting financier

Le développement ou le lancement d’un nouveau produit ou services L’allocation des ressources

L’élaboration de prévisions

La sélection des partenaires et des fournisseurs L’expansion géographique

Les fusions-acquisitions La procédure de recrutement

L’investissement dans les nouvelles technologies La sélection des assureurs

Autres activités Aucune de ces activités

13 11 9 8 8 7 6 5 5 4 2 1

33 % 28 % 23 % 21 % 21 % 18 % 15 % 13 % 13 % 10 % 5 % 3 % Source : Préparé par nos soins

Pour pouvoir identifier la plupart des risques des entreprises et les traiter, le risk manager doit être impliqué dans les principales activités de l’entreprise, car elles peuvent en être la source.

On constate que la plupart des entreprises ont des risk managers contribuant au moins à l’une des activités listées dans le tableau 4. La plupart de ces activités sont des activités stratégiques, ce qui montre l’intérêt accordé par ces entreprises au risk management, mais aussi le pouvoir important accordé par les dirigeants au risk manager et la légitimité de ce dernier dans ces entreprises.

3.2. L’environnement interne

La majorité des entreprises enquêtées (92 %) disposent d’une politique générale de gestion des risques. Lorsque la politique générale de gestion des risques est bien formulée, elle joue un rôle important dans la réussite d’un processus de risk management. À travers celle-ci, l’entreprise peut présenter ses motivations et les objectifs de son processus de risk management.

De plus, ça permet de définir les rôles et les responsabilités de chaque individu et de partager un langage commun de risque avec l’ensemble des parties prenantes de l’entreprise, ce qui permet une meilleure compréhension de ce processus et favorise leur implication dans celui-ci.

Tableau 5 : Présence d’une politique générale de gestion des risques

Non 3 8 %

Oui 36 92 %

Total 39 100 %

On s’intéresse par la suite à l’appétence au risque. Le référentiel COSO (2004) définit celle-ci comme : « le niveau de risque global auquel l’organisation accepte de faire face, en cohérence avec ses objectifs de création de valeur ».

(11)

11 Les deux tiers des entreprises enquêtées (67 %) ont défini leurs appétences aux risques.

L’appétence au risque varie généralement d’une entreprise à une autre. Elle est fixée selon les objectifs poursuivis, les philosophies des dirigeants et leurs expériences. Elle constitue la base d’un processus de risk management puisqu’elle a une influence conséquente sur toutes les étapes de celui-ci. En effet, lors de l’évaluation des risques le risk manager considère l’appétence de l’entreprise au risque. Si l’appétence au risque n’est pas fixée, le risk manager pourra prendre des risques très élevés, ce qui pourra gravement impacter l’entreprise. De plus, la fixation de l’appétence au risque permet de mieux décider des stratégies à adopter face aux risques. Celles-ci devront permettre de réduire les risques à des niveaux adéquats à ceux de l’appétence fixée au préalable.

Tableau 6 : Définition de l’appétence aux risques

Non 13 33 %

Oui 26 67 %

Total 39 100 %

77 % des entreprises enquêtées déclinent l’appétence par nature de risque. Généralement, il n’y a pas un niveau standard d’appétence qui convient à tous les risques. Tout risque à sa propre nature, fréquence, conséquences et traitements éventuels. Par conséquent, le fait de décliner l’appétence selon les risques permettra d’augmenter sa précision et la performance du processus de risk management.

Tableau 7 : Manière de définition de l’appétence au risque

De manière globale 6 23 %

Déclinée par nature de risque 20 77 %

Total 26 100 %

On constate que chez plus de la moitié des répondants (54 %), l’appétence au risque est fixée par les comités des risques ou par les conseils d’administration. Vu les enjeux de l’appétence au risque, elle doit être fixée par de hauts responsables.

Nos résultats montrent aussi que c’est le risk manager qui fixe l’appétence au risque dans 19 % des entreprises enquêtées. Ce pourcentage reste faible, mais montre quand même une certaine confiance accordée à ce celui-ci par la direction.

Tableau 8 : Responsable de la définition de l’appétence au risque

Conseil d’administration 7 27 %

Direction générale 5 19 %

Direction financière 1 4 %

Risk manager 5 19%

Comité des risques 7 27 %

Autre 1 4 %

Total 26 100 %

(12)

12 3.3. La Cartographie des risques

La majorité des entreprises enquêtées (95 %) ont une cartographie des risques. La cartographie des risques est un outil permettant de classer les risques de l’entreprise selon leur criticité. Elle améliore les décisions en permettant le choix des traitements à appliquer aux différents risques.

Elle améliore aussi la communication aux différents responsables, puisqu’ils pourront suivre les risques de l’entreprise, identifier ceux susceptibles d’empêcher l’atteinte des objectifs stratégiques et de vérifier s’ils sont bien maîtrisés.

Tableau 9 : Présence d’une cartographie des risques

Non 2 5 %

Oui 37 95 %

Total 39 100 %

La nature et la gravité des risques évoluent. La cartographie des risques doit fréquemment être mise à jour pour considérer ces évolutions. Pour Valtat and Besson (2010), il n’est pas suffisant de réaliser une cartographie des risques tous les 2 ou 3 ans.

Nos résultats montrent que 70 % des entreprises enquêtées mettent à jour leurs cartographies des risques annuellement. De plus, la mise à jour est semestrielle pour 8 % des entreprises enquêtées, trimestrielle pour 5 % des entreprises et même mensuelle pour les 3 % des entreprises restantes. Néanmoins, 14 % des entreprises enquêtées indiquent mettre à jour leurs cartographies des risques moins fréquemment (de manière biennale ou triennale).

Tableau 10 : Fréquence de mise à jour de la cartographie des risques

Mensuelle 1 3 %

Trimestrielle 2 5 %

Semestrielle 3 8 %

Annuelle 26 70 %

Autre 5 14 %

Total 37 100 %

Après l’élaboration de la cartographie des risques, elle doit être diffusée au sein de l’entreprise.

Ceci permet d’améliorer la culture de risque dans l’entreprise et permet de prendre de bonnes décisions pour maîtriser les risques.

Les destinataires de la cartographie des risques chez les entreprises enquêtées sont : la direction générale (73 %), chaque direction opérationnelle concernée par le risque (65 %), l’audit interne (57 %), le comité de direction (51 %), le conseil d’administration (49 %), la direction financière (19 %) et d’autres destinataires (8 %).

(13)

13 Tableau 11 : Diffusion de la cartographie des risques

Chaque direction opérationnelle concernée par le risque 24 65 %

Comité de direction 19 51 %

Direction financière Autre

7 3

19 % 8 % Source : Préparé par nos soins

La majorité des entreprises de notre échantillon (97 %) identifient leurs risques de manière formelle.

Les rapports d’audits sont les outils d’identification des risques les plus utilisés avec 79 % des réponses. Ces rapports identifient les faiblesses constatées après une mission d’audit.

En deuxième lieu, on a trouvé les groupes de travail, les entretiens et l’analyse du déroulement des processus avec 67 % des réponses. Généralement, les opérationnels sont les mieux placés pour identifier les risques liés à leurs activités, donc les entretiens avec ces derniers sont une importante source d’information concernant les risques de l’entreprise. En ce qui concerne les analyses des déroulements des processus, c’est une réflexion approfondie permettant d’identifier les points de rupture possibles des processus et de mettre en place des outils de prévention pour diminuer leurs fréquences ou des outils de protection pour diminuer la gravité de leurs impacts.

Puis, on a trouvé les historiques des sinistres avec 64 % des réponses. Ces derniers permettent aux entreprises d’apprendre des événements antérieurs en identifiant leurs causes, ce qui évitera leur survenance dans le futur. Ces outils sont d’importantes sources d’informations pour faire des analyses quantitatives des risques.

Nos résultats montrent que les entreprises utilisent aussi d’autres documents pour identifier leurs risques, comme les états comptables et financiers (49 %) et d’autres documents internes ou externes (59 %). Néanmoins, ces documents ne sont pas suffisants, car ils doivent être combinés avec d’autres méthodes pour vérifier l’exactitude des informations y figurant.

Vu la complexité de l’identification des risques, le risk manager est souvent appelé à consulter des experts externes. Nos résultats montrent que 41 % des entreprises enquêtées recourent à ces experts pour identifier leurs risques.

On a trouvé que 41 % des entreprises enquêtées utilisent les visites des sites pour identifier leurs risques. Ces visites permettent d’identifier des risques qui n’apparaissent pas lors de la consultation des documents internes et externes.

Pour le reste des outils utilisés pour identifier les risques on a : les benchmarks (41 %), les questionnaires (36 %), les seuils de déclenchement (18 %) et les arbres des causes (18 %).

(14)

14 Tableau n° 12 : Outils d’identification des risques

Rapports d’audits 31 79 %

Groupes de travail et les entretiens 26 67 % Analyse du déroulement des processus 26 67 %

Historique des sinistres 25 64 %

Autres documents internes et externes 23 59 % États comptables et financiers 19 49 %

Visite des sites 16 41 %

Consultation d’experts externes 16 41 %

Benchmarks 16 41%

Questionnaire Seuils de déclenchement

Arbres des causes De manière informelle

14 7 7 1

36 % 18 % 18 % 3 % Source : Préparé par nos soins

Nos résultats montrent que les principales méthodes utilisées par les entreprises enquêtées pour évaluer leurs risques sont les méthodes qualitatives (82 %) et les méthodes quantitatives (77 %).

Les méthodes quantitatives sont plus objectives pour évaluer les risques, mais sont plus coûteuses, plus complexes et requièrent des données historiques suffisantes. Les méthodes qualitatives quant à elles sont plus faciles, mais sont moins objectives que les méthodes quantitatives. Néanmoins, elles permettent de bénéficier des avis de différents experts.

Généralement, il est préférable de combiner ces deux méthodes pour mieux évaluer les risques.

Pour ce qui est des autres méthodes utilisées pour évaluer les risques on a trouvé : les méthodes inductives et déductives (21 %) et les méthodes semi-quantitatives (10 %). Les entreprises qui ne disposent pas de l’expertise technique nécessaire pour utiliser des techniques d’évaluation quantitatives choisissent ces autres méthodes.

Tableau 13 : Méthodes d’évaluation des risques

Méthodes qualitatives 32 82 %

Méthodes quantitatives 30 77 %

Méthodes inductives et déductives Méthodes semi-quantitatives

8 4

Nous nous sommes intéressés par la suite aux horizons de l’évaluation des risques chez les entreprises enquêtées. La définition de l’horizon des risques permet une meilleure visibilité à l’entreprise sur l’importance de ses risques (COSO, 2004).

Nos résultats montrent que les horizons de l’évaluation des risques chez les entreprises enquêtées sont : jusqu’à un an (46 %), jusqu’à trois ans (46 %), jusqu’à cinq ans (3 %) et supérieur à cinq ans (5 %). On remarque que les entreprises enquêtées s’intéressent plus aux risques à court ou à moyen terme que les risques à long terme. Les risques à long terme sont difficilement évaluables du fait des changements incessants de l’environnement des entreprises.

Certaines entreprises vont juger que l’occurrence de ces risques dans le futur est faible et vont

(15)

15 se concentrer sur les risques qui ont un horizon proche, ce qui peut les confronter à de graves conséquences s’ils se réalisent.

Tableau 14 : Horizon de l’évaluation des risques Effectif Pourcentage

Jusqu’à un an 18 46 %

Jusqu’à trois ans 18 46 %

Jusqu’à cinq ans 1 3 %

Supérieur à cinq ans 2 5 %

Total 39 100 %

Source : Préparé par nos soins 3.4. Le traitement des risques

Nos résultats montrent que les outils de traitements des risques les plus utilisés par les entreprises de notre échantillon pour le traitement de leurs risques sont les outils de réduction (prévention et protection). Les outils de prévention qui permettent de réduire la fréquence des risques représentent 85 % des réponses et les outils de protection qui permettent de réduire la gravité des risques représentent 72 % des réponses.

Puis, on a les techniques de financement des risques résiduels. On remarque que les entreprises enquêtées recourent plus aux assurances (62 %) pour financer leurs risques, plutôt que d’utiliser la rétention des risques (3 %). En outre, 8 % des entreprises enquêtées utilisent d’autres transferts pour financement. Les techniques d’assurance permettent aux entreprises de transférer leurs risques aux assureurs en contrepartie d’une prime, mais sont plus coûteuses que la rétention. Les entreprises enquêtées préfèrent payer la prime d’assurance et utiliser leurs liquidités dans d’autres activités au lieu de les immobiliser à travers la rétention pour financer des risques qui pourront ne pas se réaliser.

Tableau 15 : Techniques de traitement des risques

Outils de prévention 33 85 %

Outils de protection 28 72 %

Assurances 24 62 %

Autres transferts pour financement 3 8 %

Autre 2 5 %

La rétention 1 3 %

En ce qui concerne les différentes méthodes utilisées pour le choix des traitements des risques, on constate que la considération des effets des traitements sur les probabilités et les impacts des risques est la méthode la plus citée avec 82 % des réponses. Les traitements appliqués par le risk manager doivent permettre de réduire les risques à des niveaux correspondants au seuil d’appétence de l’entreprise aux risques.

Puis, on a trouvé le rapport coûts/bénéfices des traitements avec 54 % des réponses. Les bénéfices de l’application d’un traitement donné doivent être supérieurs à ses coûts, pour ne pas détruire la valeur de l’entreprise.

(16)

16 Nos résultats montrent aussi que 31 % des entreprises enquêtées recourent à des experts pour les aider à choisir les traitements des risques adéquats.

On remarque également que 31 % des entreprises enquêtées utilisent des techniques de benchmarking. Ceci les aidera à adopter des traitements des risques d’autres entreprises réputées par la qualité de leurs processus de risk management.

Finalement, 28 % des entreprises enquêtées indiquent qu’elles utilisent des techniques de brainstorming. Cette technique permet aux différents responsables au sein de l’entreprise de débattre des différents traitements possibles et de choisir les meilleurs d’entre eux.

Tableau 16 : Méthodes utilisées pour le choix des traitements des risques Effectif Pourcentage Effets sur la probabilité et sur l’impact des risques 32 82 %

Coûts/bénéfices 21 54 %

Benchmarking Recours aux experts

Brainstorming

12 12 11

31%

28%

85 % des entreprises enquêtées indiquent qu’elles disposent de plans de continuité d’activités.

L’absence de plans de continuité d’activités peut causer la perte de confiance des différentes parties prenantes envers les entreprises, surtout lors d’une crise. Par conséquent, les entreprises doivent être préparées à d’éventuelles crises en élaborant des plans de continuité d’activités et en les appliquant dès que ces crises surviennent, pour en limiter les conséquences et retourner rapidement à une situation normale.

Tableau 17 : Présence d’un plan de continuité d’activité Effectif Pourcentage

Non 6 15 %

Oui 33 85 %

Total 39 100 %

Source : Préparé par nos soins 3.5. Le pilotage des risques

87 % des entreprises enquêtées indiquent qu’elles ont des indicateurs pour piloter leurs risques dans le temps. Vu l’évolution continue des risques, il faut les suivre à travers des activités de pilotage. Elles permettent de s’assurer que les traitements déjà mis en place maintiennent toujours les risques à des niveaux acceptables. Sinon, il faudra appliquer de nouveaux traitements.

Tableau 18 : Présence d’indicateurs pour le pilotage des risques dans le temps

Non 5 13 %

Oui 34 87 %

Total 39 100 %

(17)

17 On constate que la majorité des entreprises enquêtées (94 %) qui ont des indicateurs de pilotage des risques dans le temps utilisent des tableaux de bord. Les tableaux de bord donnent une présentation plus pertinente des principales informations sur les risques, ce qui facilite leur compréhension. Ceci permet de suivre les risques et les traitements mis en place, ce qui offre la possibilité aux différents responsables de mener à bien leur mission de supervision des risques et de prendre des décisions objectives basées sur des connaissances approfondies des risques.

Tableau 19 : Présence de tableaux de bord Effectif Pourcentage

Non 2 6 %

Oui 32 94 %

Total 34 100 %

Après avoir préparé les tableaux de bord, il faudra les envoyer aux personnes concernées. Ils doivent être présentés avec un niveau adéquat d’informations et envoyés au bon moment pour prendre des décisions rapides.

L’intégralité des entreprises enquêtées qui recourent aux tableaux de bord pour le pilotage de leurs risques indiquent qu’elles les diffusent. Les destinataires de ces tableaux de bord sont : la direction générale (82 %), le comité de direction (52 %), chaque direction opérationnelle concernée par le risque (45 %), le conseil d’administration (45 %), l’audit interne (30 %) et la direction financière (21 %). Dans les autres destinataires (18 %), on trouve les comités d’audits et les comités des risques et des comptes.

Tableau 20 : Destinataires des tableaux de bord

Comité de direction 17 52 %

Chaque direction opérationnelle concernée par le risque 15 45 %

Direction financière Autre

7 6

3.6. Les Activités de contrôle

Le risk management est pris en compte lors du choix d’une stratégie et s’intéresse à toutes les activités d’une entreprise. Les responsables de ce processus ont souvent un pouvoir décisionnel élevé et ont accès à des informations sensibles. De ce fait, il faut qu’il soit contrôlé par des personnes indépendantes, objectives et compétentes afin de garantir le respect des objectifs fixés et l’absence de pratiques frauduleuses. Le tableau 21 montre que 82 % des entreprises enquêtées auditent leurs processus de risk management.

(18)

18 Tableau 21 : Audit du processus de risk management

Non 7 18 %

Oui 32 82 %

Total 39 100 %

Source : Préparé par nos soins 3.7. Information et communication

Tout au long de notre analyse, nous avons souligné l’importance de l’information et de la communication pour toutes les étapes du processus de risk management. Vu la multitude des informations utilisées dans ce processus, les entreprises doivent généralement utiliser des systèmes d’information de gestion des risques. Cependant, on constate que seulement 38 % des entreprises enquêtées utilisent. Ceci peut être causé par le coût plus au moins élevé de ces outils.

Néanmoins, il s’agit d’un investissement que ces entreprises doivent considérer vu l’importance de ses enjeux. En effet, l’absence de systèmes d’information de gestion des risques va faire perdre beaucoup de temps au risk manager pour la collecte et l’analyse des informations vu le niveau important d’informations qu’il devra traiter. Il risque même de ne pas identifier certains risques avec de graves conséquences éventuelles.

De plus, la communication des risques au sein de l’entreprise va aussi être affectée par l’absence de systèmes d’information de gestion des risques, puisque les différents responsables n’auront pas les informations sur les risques à temps et ne pourront pas réaliser leurs activités efficacement.

Tableau 22 : Présence d’un système d’information de gestion des risques

Non 24 62 %

Oui 15 38 %

Total 39 100 %

Finalement, on a voulu identifier les principales activités concernées par les systèmes d’information de gestion des risques chez les entreprises enquêtées qui en disposent. La majorité des entreprises enquêtées (93 %) les utilisent pour centraliser les informations sur les risques, ce qui facilite l’accès à celles-ci et permet un gain de temps important. Ils sont aussi utilisés pour générer des tableaux de bord de reporting (80 %), ce qui permet aux responsables de prendre des décisions objectives. Ils sont également utilisés pour générer des alertes sur les risques (73 %), ce qui permet de les traiter très rapidement avant qu’ils ne s’aggravent.

Nos résultats montrent aussi qu’ils permettent de suivre les traitements des risques mis en place (60 %), ce qui permet de s’assurer de leurs efficacités ou de la nécessité de les changer. Ils sont également utilisés pour établir une cartographie des risques (40 %), ce qui permet de classer les risques par ordre de priorité et d’identifier ceux qui nécessitent un traitement. Enfin, ils sont utilisés pour générer d’autres rapports pour le conseil d’administration et le management (33 %).

(19)

19 Tableau 23 : Activités couvertes par les systèmes d’information de gestion des risques

Effectif Pourcentage Centralisation des informations sur les risques 14 93 %

Génération des tableaux de bord de reporting 12 80 %

Génération d’alertes sur les risques 11 73 %

Suivi des traitements des risques mis en place 9 60 %

Génération d’une cartographie des risques 6 40 %

Génération d’autres rapports pour le conseil d’administration et le management 5 33 % Source : Préparé par nos soins

Conclusion

On constate à travers nos résultats qu’il y a certaines bonnes pratiques de risk management au sein des entreprises enquêtées, comme : la définition d’une politique générale de gestion des risques, la fixation de l’appétence aux risques par des organes importants et sa déclination par nature des risques, l’implication du risk manager dans des activités stratégiques, la présence d’une cartographie des risques et sa mise à jour au moins annuellement ainsi que sa diffusion, l’emploi de méthodes formelles pour identifier les risques, l’utilisation des techniques quantitatives/qualitatives pour les évaluer et des outils de prévention et de protection pour les traiter, la présence de plans de continuité d’activité, d’indicateurs pour piloter les risques dans le temps, de tableaux de bord de reporting bien établis et diffusés et d’un audit du risk management.

Cependant, plusieurs faiblesses ont été constatées chez ces entreprises comme le fait de : mettre à jour la cartographie des risques de manière biennale ou triennale chez certaines entreprises, ne pas considérer les conseils d’administration comme principaux destinataires des cartographies des risques et des tableaux de bord, ne pas se déplacer sur le terrain pour identifier leurs risques et utiliser au lieu de cela des rapports d’audits par exemple, la négligence des risques à long terme, la quasi-absence de la rétention comme forme de financement des risques et la faible utilisation des systèmes d’information de gestion des risques.

Nos résultats participeront sans doute à une meilleure sensibilisation des entreprises marocaines sur la nécessité d’améliorer leurs pratiques de risk management afin de créer plus de valeur et d’éviter de subir des conséquences désastreuses d’une éventuelle crise.

Notre travail comporte quelques limites. La taille de notre échantillon est relativement faible, puisque peu d’entreprises communiquent sur leurs risques. Puis, nous avons intégré des entreprises appartenant à plusieurs secteurs d’activité afin d’obtenir un taux de réponse élevé, ce qui peut rendre la généralisation des résultats difficile.

Compte tenu de ces limites, il serait intéressant de mener d’autres enquêtes afin d’analyser l’évolution des pratiques de risk management sur un échantillon plus élevé d’entreprises marocaines. Il est préférable que chaque enquête soit spécifique à un secteur particulier, pour tenir compte des risques propres à chaque secteur et des méthodes utilisées pour les gérer.

Il est également très important que les organes compétents (COSO, ISO, FERMA, etc.) développent de nouveaux référentiels de risk management qui prennent en considération les changements qui se sont produits dans l’environnement des entreprises de ces dernières années, ainsi que les faiblesses de leurs pratiques de risk management.

(20)

20 Pour conclure, il serait temps d'avoir un référentiel de risk management propre aux entreprises marocaines.

Bibliographie

Acharyya, M. and Mutenga, S. (2013) ‘The benefits of implementing enterprise risk management: evidence from the non-life insurance industry’, Entreprise Risk Management Symposium. Chicago, 22 Avril 2013.

Altuntas, M., Berry-Stölzle, T. R. and Hoyt, R. E. (2011) ‘Implementation of enterprise risk management : Evidence from the German Property-Liability Insurance Industry’, The Geneva papers on risk and insurance-issues and practice, vol. 36, no. 3, pp. 414–439.

Alviniuissen, A. and Jankensgard, H. (2009) ‘Enterprise Risk Budgeting : Bringing Financial Management into the Financial Planning Process’, Journal of Applied Finance, vol. 19, 1/2, pp. 178–192.

Ballantyne, R. (2013) An empirical investigation into the association between enterprise risk management and firm financial performance, Lawrence Technological University.

Beasley, M., Branson, B. and Hancock, B. (2012) ‘Current State of Enterprise Risk Oversight:

Progress is Occurring but Opportunities for Improvement Remain’, The ERM Initiative at North Carolina State University, Raleigh, NC.

Beasley, M., Pagach, D. and Warr, R. (2008) ‘Information Conveyed in Hiring Announcements of Senior Executives Overseeing Enterprise-Wide Risk Management Processes’, Journal of Accounting, Auditing & Finance, vol. 23, no. 3, pp. 311–332.

Beasley, M. S., Clune, R. and Hermanson, D. R. (2005) ‘Enterprise risk management: An empirical analysis of factors associated with the extent of implementation’, Journal of Accounting and Public Policy, vol. 24, no. 6, pp. 521–531.

Colquitt, L. L., Hoyt, R. E. and Lee, R. B. (1999) ‘Integrated Risk Management and the Role of the Risk Manager’, Risk Management & Insurance Review, vol. 2, no. 3, pp. 43–61.

COSO (2004): Enterprise risk management: Integrated framework, New York [Online].

Available at https://www.coso.org/.

Cumming, C. and Hirtle, B. (2001) ‘The challenges of risk management in diversified financial companies’, FRBNY Economic Policy Review, vol. 7, no. 1.

Daud, W. N., Haron, H. and Nasir Ibrahim, D. (2011) ‘The Role of Quality Board of Directors in Enterprise Risk Management (ERM) Practices: Evidence from Binary Logistic Regression’, International Journal of Business and Management, vol. 6, no. 12, pp. 205–211.

Eckles, D. L., Hoyt, R. E. and Miller, S. M. (2014) ‘The impact of enterprise risk

management on the marginal cost of reducing risk: Evidence from the insurance industry’, Journal of Banking & Finance, vol. 49, pp. 409–423.

(21)

21 El Maguiri, D. and Ibenrissoul, N. (2014) ‘Perception du risque et démarche Risk

management: Cas des entreprises marocaines’, International Journal of Innovation and Scientific Research, Vol. 1 No. 2, pp. 83–93.

Errabih, Z. (2014) Management des risques et continuité d'activité: Cas des grandes et moyennes entreprises de la région Rabat - Casablanca, FSJES-FES.

FERMA (2003): Cadre de référence de la gestion des risques [Online]. Available at http://

www.amrae.fr/sites/default/files/2003_cadredereferencegestiondesrisques_

riskmanagementstandardfrench_ferma.pdf (Accessed 2 March 2013).

Froot, K. A., Scharfstein, D. S. and Stein, J. C. (1993) ‘Risk Management: Coordinating Corporate Investment and Financing Policies’, The Journal of Finance, vol. 48, no. 5, pp. 1629–1658.

Gavard-Perret, M.-L., Gotteland, D., Haon, C. and Jolibert, A. (2012) Méthodologie de la recherche en sciences de gestion: Réussir son mémoire ou sa thèse, 2nd edn, France, Pearson Education.

Golshan, N. M., Zaleha, S. and Rasid, A. (2012) ‘Determinants of Enterprise Risk Management Adoption: An Empirical Analysis of Malaysian Public Listed Firms’, International Journal of Social and Human Sciences, vol. 6, pp. 119–126.

Gordon, L. A., Loeb, M. P. and Tseng, C.-Y. (2009) ‘Enterprise risk management and firm performance: A contingency perspective’, Journal of Accounting and Public Policy, vol. 28, no. 4, pp. 301–327.

Grace, M. F., Leverty, J. T., Phillips, R. D. and Shimpi, P. (2015) ‘The Value of Investing in Enterprise Risk Management’, Journal of Risk and Insurance, vol. 82, no. 2, pp. 289–316.

ISO 31000 (2009): Risk management - Principles and guidelines [Online]. Available at https://www.iso.org/obp/ui/ (Accessed 20 April 2013).

Kleffner, A. E., Lee, R. B. and McGannon, B. (2003) ‘The Effect of Corporate Governance on the Use of Enterprise Risk Management: Evidence From Canada’, Risk Management and Insurance Review, vol. 6, no. 1, pp. 53–73.

Lagadec, P. (1994) La gestion des crises: Outils de réflexion à l'usage des décideurs, Paris, Ediscience international.

Le Ray, J. (2006) Gérer les risques: Pourquoi? comment?, La Plaine Saint-Denis, Afnor.

Liebenberg, A. P. and Hoyt, R. E. (2003) ‘The determinants of enterprise risk management:

Evidence from the appointment of chief risk officers’, Risk Management and Insurance Review, vol. 6, no. 1, pp. 37–52.

McShane, M. K., Nair, A. and Rustambekov, E. (2011) ‘Does Enterprise Risk Management Increase Firm Value?’, Journal of Accounting, Auditing & Finance, vol. 26, no. 4, pp. 641–

658.

(22)

22 Meulbroek, L. K. (2002) ‘Integrated Risk Management for the Firm: A Senior Manager's Guide’, SSRN Electronic Journal [Online]. DOI: 10.2139/ssrn.301331 (Accessed 14 April 2014).

Nocco, B. W. and Stulz, R. M. (2006) ‘Enterprise Risk Management: Theory and Practice’, Journal of Applied Corporate Finance, vol. 18, no. 4, pp. 8–20.

Oudda, Y., Idrissi, M. A. and Bennis, L. (2020) ‘Les retombées de la crise sanitaire Covid-19 sur l’Economie Marocaine’, Revue du contrôle, de la comptabilité et de l’audit, vol. 4, no. 2, pp. 452–475.

Shenkir, W. G., Barton, T. L., Walker, P. L., Fraser, J. and Simkins, B. J. (2010) ‘Enterprise risk management: lessons from the field’, Enterprise Risk Management, pp. 441–463.

Smith, C. W. and Stulz, R. M. (1985) ‘The Determinants of Firms' Hedging Policies’, The Journal of Financial and Quantitative Analysis, vol. 20, no. 4, pp. 391–405.

Stulz, R. M. (1996) ‘RETHINKING RISK MANAGEMENT’, Journal of Applied Corporate Finance, vol. 9, no. 3, pp. 8–25.

Thiétart, R.-A. (2014) Méthodes de recherche en management, 4th edn, Paris, Dunod.

Trainar, P. (2020) ‘Les conséquences économiques du Covid-19’, Commentaire, vol. 170, no. 2, pp. 255–264.

Valtat, P.-V. and Besson, B. (2010) Le risk manager et l'intelligence économique, Paris, AMRAE.

Véret, C. and Mekouar, R. (2005) Fonction Risk manager, Bagneux, Numilog.