Le « risk management » est un processus de gestion des risques devenu indispensable au fil des années. Cela consiste à identifier et évaluer les risques que comporte l’activité d’une entreprise. Celle-ci pourra ensuite prendre les mesures adéquates. Au sein d’une société, le management des risques est confié à un data risk manager. Ce spécialiste porte une lourde responsabilité, tant les données ont pris une place prépondérante dans le système économique ces dernières années.

Risk management : définition

En français, « risk management » signifie littéralement « management des risques ». Ce terme renvoie à la gestion des risques qui jalonnent le quotidien d’une entreprise. Selon ce qu’en dit le manuel de gestion des risques de Deloitte, la gestion des risques correspond : 

  • À l’identification, dans un premier temps, des risques ;
  • Puis à la quantification de ces derniers ;
  • Et enfin à la détermination des actions devant être mises en place afin de maîtriser les dangers et/ou leurs conséquences.

En d’autres termes, le « risk management » est une politique d’entreprise de gestion des risques. L’adopter permet à la société d’identifier, d’évaluer et de gérer les risques associés à son activité. Une des façons de faire est de simuler des scénarios d’incidents et d’évaluer la capacité de l’entreprise à faire face à ces complications. De cette façon, elle minimise les conséquences négatives qui viendraient de pair avec les difficultés.

La notion de « risque » : changement de paradigme

Ces dernières années, les entreprises ont fait évoluer leur opinion sur ce que sont les risques. Auparavant, le risque était par essence extérieur à l’entreprise : quand il se matérialisait, c’était uniquement dû aux circonstances extérieures. Dès lors, personne au sein de la société n’était responsable s’il venait à se concrétiser. De plus, il était forcément connoté négativement, ce qui n’est plus le cas aujourd’hui. 

En effet, de nos jours, certains risques peuvent toujours désigner une menace, tandis que d’autres désignent plutôt des opportunités. Par exemple, apporter des modifications à un produit maîtrisé pour se positionner sur un nouveau marché constitue une opportunité. Prendre ce risque n’est alors pas que connoté négativement : il désigne également une chance à saisir. On parle de « risque positif ». Ce dernier, s’il est pris, est susceptible d’augmenter la valeur de la société. À l’inverse, ne pas le prendre pourrait la mettre en péril. De même, le « risk management » est une réflexion ne se limitant pas qu’aux problématiques extérieures. Il intègre également les problématiques internes à l’entreprise.

Risk management : exemples de risques d’entreprise

Quelles typologies d’événement engendrent des risques que pallie le « risk management » ? Ce sont les risques : 

  • Opérationnels impliquant des facteurs internes ou externes qui interrompent l’activité d’une entreprise (exemples : accidents, désastres naturels, erreurs humaines ou techniques) ;
  • Économiques et financiers qui englobent les micro et macro événement économiques comme les crises et les fluctuations économiques (entre autres) ;
  • Liés à ladite compliance, soit tous les risques conduisant l’entreprise à devoir payer des amendes et des pénalités ;
  • Informatiques (vol de données, sinistre électrique, intrusion, piratage, etc.) ;
  • Commerciaux, en cas d’impayés par exemple ;
  • Liés à la réputation de la marque, qui sont de plus en plus présents à cause de l’émergence des réseaux sociaux ;
  • Stratégiques, c’est-à-dire les difficultés que rencontre une société qui sont imputables à des erreurs dans la stratégie d’entreprise ;
  • Et bien d’autres.

Pourquoi le risk management prend-il de plus en plus d’ampleur ?

D’après Statista, entre 2010 et 2020, la quantité de données ayant été créées, stockées, copiées et consommées a été multipliée par plus de trente, passant de 2 à 64 zettaoctets. Ce rapport, réalisé en 2021, prévoit qu’en 2024, ce chiffre aurait plus que doublé. Si les prédictions ne sont que des suppositions, cela révèle tout de même une tendance qui va vers la croissance exponentielle du nombre de données circulant. Dès lors, les quantités de données qu’ont à traiter les entreprises sont sans commune mesure avec ce qu’elles furent. 

Pourquoi le risk management est-il important pour les entreprises ?

Pour une entreprise, avoir à traiter une quantité de données sans précédent engendre des risques inédits. En effet, désormais : 

  • Une perte de données peut entraîner l’arrêt de l’activité de l’entreprise, avec les conséquences économiques que cela implique ;
  • Une entreprise subissant une fuite de données peut voir ses concurrents en tirer profit ;
  • Enfin, la perte de données d’entreprise peut entamer la confiance que les clients ont en la société, entraînant une réticence à poursuivre la collaboration.

De fait, la gestion des risques n’a jamais été aussi importante, car les risques n’ont jamais été aussi grands. Et d’après les prévisions de Statista, les quantités de données vont continuer d’augmenter dans les années à venir et donc, avec elles, les risques. 

Adopter une politique de gestion des risques revient donc, pour une entreprise, à se prévenir de tels désagréments. Elle révèle également les opportunités, ce qui permet de les saisir potentiellement avant ses concurrents. Ainsi, un bon management des risques contribue à garantir la continuité de l’entreprise

En quoi consiste le « risk management » en pratique ?

La gestion des risques désigne une procédure répétée à intervalles réguliers par une entreprise, à la manière de la customer due diligence continue. Elle comprend quatre étapes : 

  • L’identification des risques ; 
  • L’évaluation de ces derniers ; 
  • Mise en œuvre des mesures ; 
  • Surveillance et réévaluation des risques.

Identification des risques

Avant de s’interroger sur les risques entourant son activité, une entreprise doit établir le contexte dans lequel elle s’inscrit. Cela passe par :  

  • La définition de ses objectifs derrière la mise en place d’une politique de gestion des risques ;
  • La compréhension fine de son environnement, aussi bien d’un point de vue interne qu’externe ;
  • L’identification des parties impliquées ;
  • La compréhension des contraintes entourant cette procédure et des enjeux de cette politique.

Ensuite seulement, l’entreprise pourra entamer la collecte d’informations. Cela lui permettra d’identifier les risques que comporte son activité.

 

Important

Afin d’avoir un panel le plus complet des risques, une société devra collecter les informations à partir de plusieurs sources. Cela peut être des : 

  • Documents internes ; 
  • Réglementations ; 
  • Rapports financiers ; 
  • Audits techniques ; 
  • Etc. 

Évaluation des risques

L’évaluation des risques consiste à déterminer si l’entreprise doit prendre des mesures préventives ou bien accepter le risque spécifique. Pour ce faire, il y a plusieurs méthodes. 

Un premier exemple consiste à commencer par classer les risques identifiés selon leurs probabilités et leurs conséquences. Cela fait, ils seront mis en perspective avec le plan d’affaires de l’entreprise pour se projeter sur les conséquences que ces risques peuvent avoir sur les objectifs de la société.

Un autre exemple consiste à se référer à une cartographie des risques. Celle-ci permettra d’attribuer à chacun des risques un score allant de 1 à 10, reflétant l’étendue des impacts éventuels.

Mise en œuvre des mesures

En fonction de l’évaluation, la société pourra décider soit : 

  • D’accepter le risque ; 
  • De le diminuer ; 
  • De le transférer ;
  • Ou de l’éliminer.

Si les coûts d’atténuation du risque sont trop grands, une entreprise peut également décider de l’ignorer. Quelle que soit la décision, tous les départements de la société devront s’accorder sur la direction prise afin que les décisions des collaborateurs soient cohérentes. De même, chaque service devra être bien au fait des mesures à prendre afin de pouvoir réagir rapidement en cas de besoin.

Surveillance et réévaluation des risques

La gestion des risques exige une vigilance constante, condition sine qua none au maintien de l’efficacité et de la pertinence des stratégies face à des risques changeants. Ces derniers évoluent en effet en fonction de facteurs comme les : 

  • Mutations économiques ;
  • Progrès technologiques ;
  • Nouvelles lois. 

Ainsi, il est primordial d'établir une veille continue pour repérer les évolutions des menaces existantes et découvrir de nouveaux dangers. Cela peut nécessiter de réunir de nouvelles informations, de définir des KPI et d'analyser les conditions internes et externes à l'entreprise. L'objectif est de mesurer en permanence comment ces changements pourraient affecter les buts de l'entreprise.

À qui est confié le risk management dans une société ?

Au sein d’une société, le « risk management » est assuré par le « data risk manager ». Ce spécialiste de la data est chargé de surveiller et contrôler les données de la société. Ces processus de surveillance et de contrôle de la data lui permettent de prévenir les risques de cyberattaque, entre autres. Il est également chargé de négocier les contrats d’assurance avec les assureurs. Certaines entreprises peuvent même avoir défini un CRO (chief risk officer), un poste dont les responsabilités varient en fonction de la taille de la société.