Politique de risque : De quoi parle-t-on?

Il est naturel voire salutaire pour les organisations de disposer de politiques formalisant les grandes orientations souhaitées par la gouvernance et ce par domaine d’application.

 

Ainsi, nombre d’entreprises disposent d’une politique financière, d’une politique commerciale, d’une politique de sous-traitance, d’une politique en matière de ressources humaines, etc. En va-t-il de même quant à la politique de risque ? Répondre à une telle question suppose de définir en amont ce qu’est une politique (de maîtrise) des risques.

De nombreux penseurs, dirigeants d’entreprises ou philosophes ont appréhendé le risque dans sa dimension politique. Denis Kessler, dès le début des années 2000, décrivait le caractère nécessairement collectif de l’incertitude entourant la prise de décision. U.Beck, dans les années 80, insistait quant à lui sur l’importance de développer une capacité à organiser la réponse face au risque, alors défini comme « la mesure de l’action ».

Cependant, force est de constater qu’un tel sujet reste peu abordé au travers de politiques de risque à part entière. Dans les secteurs réglementés (banques, assurances et mutuelles, gestion d’actifs), les politiques de maîtrise des risques ont fait l’objet de corpus réglementaires dédiés (sur les risques de marché, les risques de crédit ou les risques opérationnels). Dans le secteur industriel, le sujet est souvent appréhendé par de multiples cadres de référence : politique de sécurité au travail, processus et procédures en matière d’hygiène-sécurité-environnement (EHS), ou engagements en matière de développement durable ou d’éthique. Au-delà de ces cas de figure, l’orientation de l’entreprise face aux risques semble inévitable. Le risque étant consubstantiel à toute démarche de stratégie ou de management (il est coutume de dire : « pas de risque sans objectif »).

 

Moins guide d’action que cadre de référence 

« Beaucoup envisagent la politique de maîtrise des risques comme une déclaration d’intention, mais en pratique cela constitue rarement un véritable guide pour l’action » nous déclare un directeur des risques (entretien réalisé en 2013 auprès de directeurs des risques d’établissements financiers). Le rôle d’une politique formalisée sur les risques est d’apporter des réponses, des orientations voire des règles de gestion sur les risques à accepter en l’état, les risques à suivre dans le cadre des activités de contrôle et d’audit interne et, a fortiori, les risques jugés inacceptables et devant faire l’objet d’actions urgentes. Une politique de maîtrise des risques fixe des limites, clarifie certains objectifs, détermine des priorités, incite à envisager les futurs possibles sur différents axes stratégiques et selon les processus ou objectifs stratégiques impactés.

 

Lire la suite de l’article de Nicolas Dufour sur Harvard Business Review