Contrôles de gestion des risques
La gestion des risques est un élément essentiel de toute entreprise, car elle permet d’identifier les risques et les pertes associées (exposition aux pertes). Concrètement, cela signifie que les dirigeants mettent en place des contrôles de gestion des risques.
La plupart des activités commerciales se concentrent sur la fidélisation de la clientèle et la croissance. Les contrôles de gestion des risques sont différents : ils visent à protéger les actifs et à empêcher que les problèmes ne nuisent aux autres activités.
Gérer les risques avec les objectifs commerciaux
Les entreprises sont confrontées à des risques : s’ils ne sont pas correctement gérés, elles sont vouées à la faillite.
La première étape du processus de gestion des risques consiste à identifier les pertes auxquelles l’entreprise est exposée. Ces pertes peuvent provenir de biens, comme les structures des bâtiments, ou d’éléments appartenant à l’entreprise, comme les documents financiers. Elles peuvent également provenir de la responsabilité civile liée à des produits de mauvaise qualité ou aux plaintes des employés. Des pertes peuvent également survenir lorsque l’entreprise perd des sources de revenus essentielles. Les pertes peuvent provenir de nombreux facteurs, mais une fois identifiées, leur montant et leur probabilité de dommages peuvent être évalués.
L’équipe de gestion des risques sera ensuite en mesure de développer des outils, des techniques et des méthodes que les employés de l’entreprise pourront utiliser pour gérer les risques et les pertes. La première étape de la mise en place de contrôles de gestion des risques consiste à définir les objectifs : chaque niveau de risque nécessite des approches différentes.
Objectifs avant la survenance d’un sinistre
Avant qu’un sinistre ne survienne, la meilleure chose à faire pour une entreprise est de s’assurer qu’elle dispose de plans et de structures pour atténuer les risques. Cela implique généralement de mettre en place des contrôles pour prévenir les pertes. Par exemple, une entreprise devrait disposer d’un code d’éthique, d’un manuel des opérations et d’un manuel de l’employé décrivant ce qui est approprié et inapproprié sur le lieu de travail. Cela permettra d’éviter que des conflits éthiques ne nuisent à l’entreprise. De plus, l’organisation devrait disposer d’un service juridique, d’auditeurs internes, de responsables de la conformité et d’une division de gestion des risques pour réguler les activités internes, offrir une vision et une compréhension approfondies des complexités du fonctionnement de l’entreprise et dissiper toute confusion.
Objectifs en cas de sinistre
Lorsqu’un sinistre survient, le programme et le processus de gestion des risques doivent être réévalués et ajustés afin de prévenir de futures pertes similaires. La première chose à faire est de réduire la perte réelle avant qu’elle ne se propage ou ne s’aggrave. À ce stade, le risque de sinistre est inévitable, car il se produit immédiatement. Par exemple, pour réduire la perte de données informatiques due à un piratage informatique, vous pouvez utiliser des données de sauvegarde stockées sur des serveurs externes pendant que le personnel compétent s’occupe de la destruction du virus informatique. Une entreprise doit accepter la situation et ne pas se laisser paralyser par la peur ou l’indécision lorsqu’un sinistre survient.
Il est utile de disposer de plans d’urgence et d’un leadership déterminé, qui permettent à l’entreprise de rester flexible même lorsque les pertes changent la donne.
Objectifs après sinistre
Une fois le sinistre subi et réparé, l’entreprise doit en maîtriser les conséquences et éviter qu’il ne se reproduise. En cas de manquement à l’éthique à l’origine du sinistre, la presse et les médias chercheront à ternir la réputation de l’entreprise par des reportages négatifs. Ne pas empêcher un événement ou laisser un incident se produire ne fera que nuire à l’image de l’entreprise auprès du public. Une entreprise doit assurer sa pérennité en assumant la responsabilité des événements, en affrontant la menace, en identifiant les problèmes sans rejeter la faute sur les autres, en expliquant comment le problème est géré, en montrant comment il a été résolu et en faisant preuve de responsabilité sociale afin de préserver les personnes et l’environnement.
Systèmes de contrôle des risques
Après avoir identifié et évalué les risques de pertes, des techniques de gestion des risques sont sélectionnées et mises en œuvre. Le contrôle des risques constitue la troisième et la quatrième étape du processus de gestion des risques, car un mécanisme de contrôle des risques est sélectionné puis mis en œuvre. Une entreprise peut contrôler les risques et les pertes de trois manières :
Éviter
Il s’agit du système de contrôle des risques le plus simple et le moins coûteux, car il suffit à une entreprise de se tenir à l’écart de toute personne, chose, entité, activité, événement ou autre susceptible de la mettre en danger et d’entraîner inévitablement une perte. Par exemple, une organisation devrait éviter de soutenir une célébrité constamment présentée dans les médias comme un fêtard, un toxicomane, un criminel, etc., car cela pourrait nuire à l’image de marque de l’entreprise. Dans le domaine opérationnel, l’exemple le plus clair est celui des mesures de sécurité : s’assurer que les accidents ne se produisent pas. Évitez les économies, privilégiez la sécurité et les personnes.
Réduire
Ayant déjà subi la perte, l’entreprise doit se protéger contre sa propagation et son accroissement. Ce phénomène se manifeste dans une entreprise mondiale où les usines, entrepôts et autres infrastructures sont répartis dans de nombreux endroits du monde. Si une usine à Lima, au Pérou, explose et que tous les stocks et fournitures sont détruits, il reste une usine à Rio de Janeiro, au Brésil, pour honorer les commandes des clients. Autre exemple : en indemnisant les travailleurs victimes d’accidents du travail avec le salaire qu’ils auraient pu gagner, plus un complément pour couvrir les frais liés à l’accident, un temps de convalescence suffisant et tout ce dont l’employé pourrait avoir besoin, ce qui implique également une modification des conditions de travail, l’entreprise réduira les pertes supplémentaires liées aux amendes et pénalités imposées par les autorités gouvernementales, les organismes de santé et de sécurité en agissant correctement envers les personnes lésées et en respectant la loi. Dans ce cas, dépenser plus d’argent dès le départ réduit la probabilité d’une perte plus importante par la suite.
Redistribution
Redistribuer le risque consiste à le transférer à un tiers. La méthode la plus courante consiste à souscrire une assurance contre le risque. La création de partenariats et de coentreprises avec d’autres entreprises, qui partagent les risques et les bénéfices, est également une méthode courante.
Considérations juridiques
Les risques juridiques sont généralement les plus coûteux. Il s’agit de prévenir la fraude interne au sein de votre entreprise ou le non-respect des règles et réglementations. La responsabilité juridique est engagée lorsqu’une organisation manque à son devoir de servir au mieux les intérêts de ses employés, de ses clients et du public en général, en causant intentionnellement ou non un préjudice moral (à une personne) ou physique (à une personne ou à des biens). Dans tous les cas, une entreprise doit rendre des comptes au public, à la loi et aux organismes gouvernementaux et réglementaires. Les infractions sont classées en trois catégories : délits, contrats et délits.
Crimes
Lorsqu’une entreprise commet un délit, les conséquences peuvent aller de lourdes amendes à une peine d’emprisonnement (si des individus spécifiques sont formellement liés au délit). Par exemple, cela se produit lorsque de nombreuses personnes tombent malades ou décèdent en utilisant un produit ou un service d’une entreprise et que la direction a sciemment autorisé l’inclusion de substances potentiellement mortelles. Il s’agit plus fréquemment de fraude comptable, où la direction d’une entreprise manipule sciemment ses états financiers.
Contrats
Une entreprise viole un contrat, qu’il soit implicite (lorsqu’elle se fie fortement à sa parole) ou écrit (sur papier), lorsqu’elle ne respecte pas ses promesses. Le non-respect de ses promesses donne lieu à des réparations financières qui dépendent de ce qui a été promis, de la date à laquelle la promesse aurait dû être tenue et de son montant. Dans le cadre de la gestion des risques, la plupart des entreprises font appel à un avocat pour examiner tout contrat avant sa signature afin de s’assurer qu’elles sont en mesure de respecter toutes leurs obligations.
Responsabilité civile délictuelle
En matière de responsabilité civile délictuelle, une personne se réserve le droit de poursuivre l’entreprise pour les préjudices qu’elle estime avoir subis de la part de l’organisation chargée de prouver la négligence. Cela inclut également les poursuites pour licenciement abusif, si une personne estime avoir été licenciée pour discrimination ou pour d’autres motifs protégés. Les entreprises organisent souvent des formations fréquentes en ressources humaines avec la direction afin d’éviter les délits. La gestion des risques et les programmes de gestion des risques en place devraient se concentrer davantage sur la prévention ou la contestation des délits, car ils sont plus coûteux (plus de 200 milliards de dollars) et chronophages (de quelques semaines à plusieurs années) en termes de responsabilité financière.
La négligence est au cœur des délits : toute personne poursuivant une entreprise doit prouver que l’entreprise lui avait une obligation de prendre des mesures pour la protéger, démontrer qu’elle avait cette obligation et en quoi l’entreprise a manqué à ses obligations, et que la négligence a causé des dommages et préjudices. Malheureusement, il n’existe pas beaucoup de défenses solides contre une négligence présumée si ces trois facteurs sont retenus devant le tribunal et même si l’entreprise gagne le procès, elle doit toujours indemniser la victime (le plaignant) avec de l’argent même si elle prouve une négligence contributive (la personne blessée a joué un rôle dans la cause de sa blessure) et une négligence comparative (la personne blessée reconnaît avoir causé une partie de sa blessure).
Intégrer la gestion des risques à tous les aspects
Toute entreprise doit se doter d’un programme de gestion des risques rigoureux, couvrant les biens, la responsabilité civile, les clients, l’emploi, les produits, les services et tous les autres aspects de l’organisation. Ce programme doit prévoir des mécanismes de contrôle interne adéquats pour l’accès, la modification et la saisie des données dans les systèmes informatiques, notamment l’utilisation d’ingrédients respectueux de l’environnement et de l’homme dans les produits, le respect intégral des lois et réglementations, le maintien d’un environnement de travail sûr et exempt de dangers, la responsabilité sociale en toutes circonstances, et bien d’autres aspects encore. De nombreuses entreprises disposent de responsables ou de divisions spécifiques chargés de superviser une stratégie globale de gestion des risques. Parallèlement, il est essentiel que chaque niveau hiérarchique s’efforce constamment d’identifier et de gérer les risques grâce à des contrôles appropriés.