Risques non-financiers : un enjeu majeur pour les entreprises

Les risques non-financiers concernent peu ou prou toutes les entreprises. L’évolution des règles de conformité, en particulier, entraîne la nécessité d’un nouveau cadre plus efficace pour la gestion et le contrôle de ces risques. Mais, pour aboutir, la démarche doit impliquer l’ensemble de l’organisation, suggère un récent article de McKinsey.

Mieux vaut prévenir que guérir. L’adage vaut aussi en matière de risques non-financiers — ceux qui ne sont pas directement en relation avec le bilan comptable, comme les risques de non-conformité – par exemple, la nécessité de respecter les règles en vigueur – ou les risques opérationnels, dont le cyber-risque. Car le coût de la guérison se révèle en général largement supérieur à celui de l’investissement consenti pour la prévention. Outre des pertes financières élevées (plusieurs centaines de milliards de dollars ces dix dernières années, selon McKinsey), l’atteinte à la réputation, difficile à mesurer mais dont les effets peuvent perdurer, constitue l’une des autres conséquences potentielles parmi les plus ennuyeuses pour les entreprises.

 

Renforcer la culture du risque et de la conformité au sein de l’entreprise

 

Pour limiter les risques non-financiers, une approche globale est préférable à des initiatives ponctuelles et isolées. Celle-ci, inscrite dans un cadre spécifique de gestion du risque et du contrôle, doit refléter le contexte commercial de l’entreprise, tout en assurant son intégration à l’ensemble de l’organisation. Ce cadre a pour objectifs de faciliter une prise décision informée, basée sur une vue transversale de la chaîne de valeur et des processus métiers ; de démontrer l’adéquation des contrôles mis en place pour toutes les parties prenantes ; et enfin, de renforcer la culture du risque et de la conformité au sein de l’entreprise.

D’après McKinsey, une gestion du risque efficace peut rapporter jusqu’à dix fois le montant des investissements engagés, grâce aux économies réalisées sur les pertes évitées et sur le coût du contrôle. Dans le cas d’une société de télécommunication, par exemple, il peut s’agir de prévenir les attaques par déni de service ou de s’assurer contre les cyberattaques, ce qui permet de réduire les coûts de remédiation et les pénalités réglementaires. Les investissements dans le contrôle — activité qui peut concerner jusqu’à 5 % de la masse salariale — doivent être concentrés là où l’impact du risque est le plus important.

En pratique, une gestion efficace repose sur un langage commun, des instruments d’évaluation, des outils d’analyse de données et de reporting, et elle doit être une préoccupation quotidienne de la vie de l’entreprise. Concrètement, il est d’abord nécessaire que des définitions claires des risques soient partagées à travers l’organisation. Ensuite, il convient d’établir un niveau de granularité approprié dans le diagramme de processus, basé sur la chaîne de valeur. L’évaluation des risques doit reposer sur des sources de données multiples et des indicateurs-clés de contrôle hiérarchisés. Enfin, un reporting intégré au système d’information permet à l’entreprise de définir les contrôles prioritaires.

 

Lire l’article (en anglais)

 

En complément :

Un article (en anglais) au sujet de l’impact des risques non-financiers pour les banques européennes,

et un autre (en anglais) à propos de la démarche adoptée par Goldman Sachs pour lutter contre ces mêmes risques.