Gouvernance, appétence au risque et performance durable

Par : Béatrice BON-MICHEL

La gestion des risques s’est invitée de manière explicite depuis quelques années au sein des instances de gouvernance. La crise de 2008 a sans doute été un accélérateur pour renforcer d’une part les exigences réglementaires en matière de gestion des risques et d’autre part faciliter les prises de conscience de l’intérêt de gérer les risques. Gouverner aujourd’hui suppose de concilier gestion des risques, statistiques et conformité. Le contexte actuel de gestion de crise liée à la pandémie en est une illustration.

La gestion des risques se concentre principalement sur deux paramètres : la mesure du risque et la préférence au risque (appétence, tolérance, profil de risque). Les normes de gestion se renforcent et accordent une place significative aux indicateurs et autres révélateurs de la probabilité du risque.

La mesure du risque, au travers notamment des outils telle la cartographie des risques, s’est développée dans les années 2000 dans le cadre des démarches Enterprise Risk Management (ERM). La pression réglementaire et les soft laws ont également contribué à la mise en place d’une approche par les risques structurée et pilotée au sein des entreprises.

La préférence au risque s’invite dorénavant en complément de la mesure afin d’impliquer la gouvernance dans ces sujets et la responsabiliser. Il s’agit d’assumer non seulement ses choix stratégiques mais également les conséquences sur le profil de risque de l’entreprise. Comprendre la notion d’appétence au risque devient ainsi essentielle pour le maintien de la valeur de l’entreprise et l’alignement de la perception des risques sur ses objectifs.

Qu’est-ce que l’appétence au risque ?

De manière simple, l’appétence au risque correspond au niveau de risque que l’entreprise souhaite prendre. Dès lors qu’il y a un objectif, il y a un risque, aussi minime soit-il ; dès qu’il y a un risque potentiel, la question de l’appétence se pose. L’appétence au risque correspond à la question suivante : dans tel contexte, dans quelle mesure souhaitons-nous prendre un risque compte tenu de la rentabilité attendue ? Derrière la notion d’appétence au risque se dessine le rapport coûts-bénéfices attendus, c’est-à-dire la valeur espérée des décisions prises. Cette appétence est inhérente à nos comportements. Cependant, elle se norme progressivement pour en faire un élément de justification de la prise en compte des risques dans le cadre des décisions stratégiques.

L’histoire des crises que traversent les entreprises illustre que la prise en compte des risques en tant qu’outil de gouvernance n’est pas si systématique ; la notion de risque est parfois, à juste titre, assimilée à l’aversion au risque, au coût des contrôles, en un mot à des freins au business.

Depuis quelques années, sous l’influence notamment des autorités de supervision, les risques s’invitent de manière plus fréquentes et systématiques au sein des Conseils (dont le comité d’audit, voire comité d’audit et des risques). L’appétence au risque détermine les actions à mener et incite à intégrer les risques dans les réflexions stratégiques pour les suivre.

Comment appréhender l’appétence au risque ?

L’appétence au risque peut être influencée par divers facteurs :

  • L’expérience de l’entreprise, son vécu par rapport au risque
  • La culture de l’entreprise
  • Et enfin (et surtout) sa « capacité » en risque (risk capacity).

La capacité en risque repose sur les exigences de capital, de liquidité (la capacité à se financer sur les marchés financiers par exemple), les capacités en ressources humaines (compétence, taille des effectifs) et techniques (adéquation des système), les attentes des parties prenantes (dont les superviseurs, les citoyens, l’Etat).

Définir l’appétence au risque suppose d’intégrer l’ensemble de ces éléments pour évaluer les conséquences potentielles de cette appétence.

L’appétence au risque : un engagement responsable

La notion de « rendre compte » est prégnante dans la société civile. Dès qu’un risque survient, la question de la responsabilité se pose et il est demandé à l’entreprise de rendre compte de sa responsabilité. Le dirigeant et les membres du Conseil ne peuvent plus se permettre de dire qu’ils n’étaient pas au courant. Cette responsabilité suppose alors de mettre en œuvre un dispositif qui permette de définir le contour de cette responsabilité. Si la gouvernance se prononce sur la définition et l’approbation de la stratégie, il n’est plus envisageable que cette définition se fasse sans prise de conscience des risques embarqués avec la stratégie.

La formalisation du cadre d’appétence constitue à ce titre un témoignage de cet engagement, cadre qui se décline ensuite au sein de l’entreprise. L’objectif est de définir des limites et des seuils de tolérance qui seront approuvés par le Conseil et constitueront le périmètre de jeu de la stratégie. Décider de développer en interne une nouvelle technologie ou recourir à un prestataire qui maîtrise cette technologie suppose de réfléchir aux conséquences des deux options en termes de risque et d’arbitrer. Se développer sur un marché émergent suppose également la prise en compte des enjeux que ce développement peut générer. En cas de crise liée à ces choix stratégiques, la question se posera de savoir comment la gouvernance a-t-elle appréhendé son appétence au risque.

Le fameux ‘tone from the top’ s’exprime très clairement au travers de la déclaration d’appétence au risque. La formalisation de cette appétence est donc essentielle. Ce cadre, défini par les instances dirigeantes, est approuvé par le Conseil et engage celui-ci sur le profil de risque ; engagement sur un niveau de risque et son impact sur la valeur de l’entreprise, eu égard à sa capacité en risque de l’entreprise. L’équilibre à trouver entre la recherche de rentabilité à court terme et l’inscription de la stratégie de l’entreprise dans une performance durable se reflète dans l’appétence au risque.

Décliner l’appétence au risque

Définir un niveau d’appétence suppose de pouvoir évaluer le profil de risque de l’entreprise. C’est là où se situe le véritable enjeu de la gestion des risques et le rôle du risk management. En effet, le suivi du profil de risque est essentiel pour évaluer la cohérence de la stratégie avec l’appétence au risque.

La notion de profil de risque est intrinsèquement liée à celle d’appétence. Ce profil de risque correspond au niveau de risque de l’entreprise avant et après prise en compte des éléments de maîtrise des risques.

Une entreprise qui décide de couvrir telle activité à 50% par une assurance influe sur le profil de risque net. Il aurait pu être décidé de ne rien faire ou de couvrir une part plus importante ; il en est de même de décisions prises sur la mise en place de dispositifs de contrôle.

Le profil de risque reflète ainsi l’aversion ou non au risque, aversion et appétence étant liées. Cependant, l’appétence est porteuse d’actions alors que l’aversion au risque s’assimile au danger et aux freins. L’appétence intègre l’aversion au risque par le dispositif qui sera mis en œuvre.

Construire l’appétence au risque

Construire ce cadre suppose d’embarquer des notions essentielles :

  • L’identification et la compréhension des risques significatifs de l’entreprise
  • Le rôle des indicateurs
  • La qualité de la maîtrise des risques (qui peut également se traduire en indicateurs)

L’appétence nécessite en premier lieu d’identifier les risques associés à la stratégie et de se prononcer sur le caractère a priori significatif de certains d’entre eux, en prenant en compte les facteurs externes (pandémie, contexte économique, réglementaire etc.) et internes (spécificités opérationnelles, organisation, processus, gestion des ressources etc.).

La construction des indicateurs constitue la deuxième étape essentielle. A l’instar d’un avion ou d’un pilote de Formule 1, la vitesse ne peut se concevoir sans tableau de bord pertinent. Les indicateurs doivent être adaptés, facilement valorisables et simples à appréhender au regard des risques sous-jacents.

La construction des indicateurs n’est pas un exercice simple car un indicateur est rarement prédictif en tant que tel. Il permet de raconter des histoires qui deviennent crédibles et donc audibles. L’indicateur sert la prise de décision, pas forcément la prédiction (les indicateurs en matière de pandémie en sont une bonne illustration). En effet, si certains risques se prêtent bien à l’exercice (notamment les risques mesurables, qui peuvent se probabiliser) d’autres plus qualitatifs sont difficiles à mesurer (conséquence d’un risque sanitaire, d’une sanction, d’une cyberattaque par exemple).

Construire des outils de mesures répond aux exigences de pilotage du profil de risque ; le cas échéant, il est difficile de définir le niveau d’alerte de la jauge. Les indicateurs sont essentiels à la construction des limites et des seuils d’alerte qui se déclineront ensuite au sein de l’organisation.

Piloter le cadre d’appétence : un enjeu d’information et de communication

Le pilotage de l’appétence au risque suppose de disposer régulièrement d’une visibilité sur le profil de risque de l’entreprise, au travers notamment de la cartographie des risques majeurs.

Le dispositif d’escalade constitue également un des éléments essentiels du pilotage. Il s’agit de définir d’une part la typologie d’information qui doit être communiquée dès que possible (dépassement de limites par exemple) et d’autre part les modalités de cette communication.

La gouvernance donne la tonalité au cadre d’appétence. L’enjeu est de pouvoir disposer rapidement de tout élément significatif de nature à révéler le dépassement des limites, voire des seuils de résilience qui auront été définis et approuvés. La disponibilité et l’accessibilité de l’information sont au cœur des enjeux de risque. Le dispositif d’escalade doit être conçu pour servir la remontée d’alertes, selon la criticité des enjeux, et pouvoir être activé autant que nécessaire. Ce dispositif se construit, se formalise et s’évalue régulièrement pour en apprécier l’efficacité. Ce dispositif doit également prouver sa réactivité par la mise en place, si nécessaire de plan de remédiation adapté, approuvé par le Conseil.

Conclusion

La définition et l’approbation par les instances de gouvernance du cadre d’appétence au risque de l’entreprise constituent indéniablement un élément essentiel pour la gouvernance de demain : cette appétence traduit la responsabilisation accrue de la gouvernance et elle réconcilie risque et création de valeur. Elle reflète également la culture de l’entreprise avec qui elle est indissociablement liée. La normalisation de ce cadre d’appétence et l’implication croissante des instances de gouvernance dans sa pertinence doivent permettre aux entreprises de continuer à prendre des risques, en ayant l’assurance raisonnable qu’elles sont conscientes du profil de risque de l’entreprise et capables, si nécessaire, de le prouver.

 

  1.  Nous utiliserons le terme ‘appétence’ comme traduction du mot ‘appetite’.
  2.  Dans le secteur financier, l’Autorité Bancaire Européenne (ABE) a notamment publié un guide de bonne pratique 
  3.  La notion d’appétence au risque a été notamment définie par des référentiels tels le COSO Enterprise risk management framework. Understanding and communicating risk appetite. Committee of Sponsoring Organizations, 2010 et la norme ISO 31000 (ISO Risk Management—Principles and Guidelines. ISO 31000:2009)

Partager

Share on facebook
Share on twitter
Share on reddit
Share on linkedin
Share on whatsapp
Share on email