Approches normatives du risque
La déclinaison d’une réponse au risque n’étant pas naturelle dans les organisations, il existe de nombreuses normes traitant du risque et concernant directement les entreprises (qu’il s’agisse de hard ou de soft law).
Dans le secteur financier les normes sont principalement issues de la réglementation prudentielle. On citera les accords de Bâle (I, II et III à venir) concernant les activités de banque, les directives Solvabilité I et II (à venir) en assurance, la loi de sécurité financière étant plus englobante. L’objectif de ces normes est d’inciter les établissements financiers à mettre en œuvre les diligences nécessaires pour apporter une réponse organisée face à leurs différents risques.
Dans le secteur industriel, des normes telles que Seveso ou encore la directive Reach ont encadré les conséquences liées aux activités industrielles.
A titre d’exemple, nous revenons sur le cas d’une norme centrée sur les enjeux de risque : La norme ISO 31000 (Management du risque, Principes et lignes directrices) fixe les principes et lignes directrices du management des risques. Elle définit le risque comme l’effet de l’incertitude sur l’atteinte des objectifs. Cette définition, bien que non exhaustive, a le mérite d’être suffisamment générale pour tenir compte de la diversité des risques que doivent traiter les entreprises. Elle est ainsi proche dans la prise en compte des conséquences des approches de risques financiers, de risques opérationnels ou encore de risques à caractère technique. Cette approche présente encore le mérite de corréler la question des risques à celle de la décision et des objectifs. Il y est clairement question de procéder à des arbitrages (coûts-bénéfices d’une décision donnée dans un contexte précis). Une telle vision située et relative du risque apparaît comme fondamentale car en pratique, pour une organisation soumise à des contraintes de temps, un risque n’est pas à rejeter en soi. Un risque est à prendre ou non si ce dernier peut être absorbé, transféré ou encore compensé par la création de valeur occasionnée dans le même temps.
Définition et composantes des politiques de maîtrise des risques
La notion de politique de risque est un concept largement étudié en sciences politiques et en sociologie mais elle reste récente en sciences de gestion et dans le champ de la théorie des organisations. Une politique de risque peut être définie de manière large comme la manière dont un groupe d’individu entend traiter des conséquences d’une activité ou d’un ensemble d’activités. Par des réglementations et des normes, des chartes ou encore par délégation à des individus (experts ou mandataires), la politique de risque entend préciser les risques que le corps social accepte et ceux qu’il désigne comme n’étant pas acceptables . La politique de risque concerne donc l’acceptation des risques et la fixation des limites. Dans le champ des organisations, cette définition est généralement complétée par la désignation des acteurs en charge de coordonner et de suivre ces risques ainsi que des responsabilités associés à ces acteurs. Ce, dans une logique d’intégration de la complexité et d’une nécessité de penser le risque en termes d’allocation de ressources dédiées à sa gestion ainsi que de suivi dans le temps de la capacité d’un système et des acteurs qui le composent à anticiper ses risques ou à les réduire quand ils ne peuvent l’être totalement .
Les politiques de maîtrise des risques en entreprise : le Risk Management moderne
Fondamentalement, les politiques de maîtrise des risques doivent être définies à l’appui d’une double exigence : l’existence d’une vision partagée du risque entre les décideurs principaux de l’entreprise d’une part, et l’impérieuse nécessité pour l’équipe dirigeante d’assurer la plus grande cohérence entre la stratégie globale de l’entreprise et la politique de risque à définir et à déployer d’autre part. De cette affirmation de vision partagée, d’appétence -ou non- aux risques et de cohérence stratégique, découlera une politique de risques adaptée au contexte spécifique de l’entreprise.
La définition de la politique de risque doit s’inscrire comme l’une des composantes à part entière de la vision de l’entreprise. Elle se situe entre stratégie, architecture organisationnelle et définition des procédures de fonctionnement mais aussi recherche de performance globale. Son existence formalisée constitue un acte fondateur essentiel à la mise en œuvre d’une véritable culture du risque cohérente dans l’organisation. Mais cette culture n’existera qu’en présence d’une véritable volonté de mise en œuvre de la part de l’encadrement. Il est clairement question en matière de politique de risque de mettre en place un management, au sens de gestion coordonnée par laquelle certains acteurs définissent les actes d’autres, orientée autour de l’enjeu dédié « risque ». Définir la politique de risque ne suffit pas, trop d’entreprise se limitant à une culture du diagnostic et un « désir » de politique risque. Dans de telles occurrences, il n’est pas question que d’une politique de transfert de risque ou de décision des investissements à réaliser sous contrainte d’indicateurs quantitatifs de risque (quels contrats d’assurance ou mécanismes financiers mettre en place pour couvrir les risques, pour les transférer à des sociétés d’assurance par exemple). Le déploiement effectif de la politique de risque ne se décrète pas, même si la politique de risque existe. Elle doit être animée par des acteurs dédiés, affirmée par des actes récurrents et à la fois symboliques et pratiques et affinée constamment au regard des échanges qu’elle suppose de mettre en place. Définir une politique de risque doit donc s’avérer être un subtil mélange entre constance des actions mises en place et adaptabilité permanente des acteurs aux situations, mais aussi par des actes de sensibilisation, de formation ou encore des actions préventives et curatives concernant les différents risques de l’entreprise. La politique de risque consiste encore à établir une cartographie statique mais aussi un déploiement dynamique d’outils de gestion du risque en couvrant un domaine des possibles presque infini avec des ressources cependant limitées . Définir
une politique de risque n’est pas une fin en soi, mais plutôt le début d’une prise de conscience dans une organisation, au-delà d’une réponse à une norme donnée. Il s’agit de l’affirmation d’une volonté stratégique de la direction de l’entreprise de réduction du coût du risque, mais également et surtout de sauvegarde de la valeur de cette dernière, de fédération des équipes et de différenciation pour l’organisation.
L’ERM : conduire la politique de risque en lien avec la stratégie d’entreprise
La Federation of European Risk Management Associations (FERMA) identifie la gestion des risques comme « un processus continu d’amélioration qui commence avec la définition de la stratégie et se poursuit avec l’exécution de celle-ci. Elle devrait traiter systématiquement de tous les risques qui entourent les activités de l’organisation, que cellesci soient passées, présentes et surtout futures. » La gestion des risques, ou Enterprise Risk Management, peut encore être définie comme « l’ensemble des politiques, des stratégies, des dispositifs de maîtrise, de contrôle et de suivi ainsi que des moyens humains, financiers et matériels mis en œuvre par une organisation afin d’identifier, de détecter, limiter et maîtriser les risques liés directement ou indirectement à ses activités » .
L’Institut Français de l’Audit et du Contrôle Interne (IFACI) et PriceWaterhouseCoopers (PWC), reprenant le référentiel COSO II, définissent le management des risques comme un processus mis en œuvre par le Conseil d’Administration, la Direction Générale, le management et les opérationnels. Ce processus est pris en compte dans l’élaboration de la stratégie et dans toute l’organisation et vise à éviter les évènements potentiels dommageables à l’organisation et à fournir une assurance raisonnable quant à l’atteinte des objectifs. Dans un contexte de flou des frontières de l’entreprise et de ses sous-traitants, notre période fait évoluer l’entreprise dans un monde de plus en plus incertain, un environnement de plus en plus agressif, de moins en moins prévisible. Face à cela, la gestion des risques vise l’atteinte des objectifs en répondant aux risques organisationnels et non seulement au risque pris de manière isolée.
Des stratégies bancaires intégrant le facteur risque
Plusieurs établissements bancaires ciblent la notion de risque au cœur de leur stratégie. On peut citer notamment Société Générale qui dans son document de référence 2013 (ainsi que dans les versions précédentes) évoque « une stratégie de croissance à moindre risque » pour faire référence aux nombreux évènements dommageables auxquels elle peut avoir à faire face (risques souverains, les risques liés à la diversification des activités dans un modèle de banque universelle, les risques liés à la détention mais aussi lors de programmes de cession d’actifs). Pour cet établissement, la question des risques fait partie intégrante du programme de maîtrise des coûts dans la durée. D’autres établissements précisent encore que la déclinaison de l’approche stratégique se fait par l’intégration des conséquences de l’activité sur le long terme. La recherche de croissance sur les marchés émergents intègre la logique de risque notamment dans la recherche d’une bonne gouvernance, de stabilité dans le top management mais aussi d’une politique de rémunération encadrée pour limiter les prises de risques excessives (c’est notamment le cas de BNP-Paribas). A l’instar du groupe Crédit Agricole ou du groupe BPCE (Banque Populaire Caisse d’Epargne), la recherche d’homogénéité du dispositif global de gestion des risques est également avancée comme un facteur d’amélioration de l’efficacité opérationnelle face à une diversité de risques (liés au contexte macroéconomique et financier, au secteur bancaire lui-même et au positionnement spécifique de chaque groupe). D’autres établissements insistent sur la nécessité d’intégrer le risque dans la prise de décisions stratégiques notamment du fait d’une logique de filialisation croissante du secteur bancaire (notamment le cas D’HSBC, de La Banque Postale, de Crédit Mutuel-CIC etc.).
Ces établissements, dans leurs communications institutionnelles mais aussi dans les différents échanges de leurs dirigeants avec la presse, font état de l’importance de développer les efforts en matière de gestion des risques dans un contexte post-crise de 2007-2008 (dite des subprimes) et de 2010-2012 (dite de la dette souveraine).
Table des matières
Chapitre introductif – L’intérêt d’une recherche sur le contrôle des risques opérationnels
1. Un essor du risque opérationnel dans la perception collective
Objet d’étude
Contexte de la recherche
2. Risque opérationnel, Risk Management, politique de risque, des notions complémentaires
Contextualiser le risque : comme mesure du niveau de développement
Risque et cadre entrepreneurial : la politique de risque
Le risque opérationnel, une notion frontière, un enjeu organisationnel
3. Problématique et question de recherche
4. Corps d’hypothèses
Partie I- Contexte professionnel des politiques de maîtrise des risques opérationnels : vers une institutionnalisation du contrôle des risques
Introduction : le secteur financier, un monde de risques
Chapitre premier-Les établissements bancaires et les sociétés d’assurance: une diversité
d’activités et de risques
La finance moderne : une évolution sans précédent affectant banques et compagnies d’assurance
La finance moderne et la financiarisation de l’économie, une ère de risques
1. L’activité de banque
Les activités dans les établissements bancaires aujourd’hui
La chaine de valeur d’un établissement bancaire
Des stratégies bancaires orientées vers la maîtrise des risques
Les politiques générales de gestion des risques des établissements bancaires
2. L’activité d’assurance
L’assureur a plusieurs casquettes
La chaine de valeur et l’organisation d’une société d’assurance
La diversité des risques des sociétés d’assurance
Le contrôle des risques des sociétés d’assurance
3. L’importance de gérer le risque opérationnel dans les établissements financiers
Exemples relatifs au risque opérationnel bancaire
Exemples relatifs au risque opérationnel des sociétés d’assurance
Analyse comparative et spécificités sectorielles du risque opérationnel
Conclusion du chapitre premier – le risque opérationnel, problématique centrale
Chapitre 2-Cadre normatif et réglementaire des politiques de risques opérationnels dans les
secteurs banque et assurance
1. Le cadre normatif et prudentiel au sein des établissements financiers
La réglementation des activités de banque et d’assurance, un débat ancien
La réglementation des activités de banque et d’assurance, un sujet d’actualité
Une approche incrémentale de la régulation sur le contrôle des risques
2. Le cadre prudentiel en banque : de Bâle à Bâle III
De Bâle I à Bâle II puis Bâle III
Focus sur la gestion des risques opérationnels
3. Le cadre prudentiel en assurance
De Solvabilité I à Solvabilité II
Focus sur la gestion des risques opérationnels en assurance
4. Analyse critique : Une approche gestionnaire de la régulation, le contrôle par la norme dans un monde post-crise
Une approche réactive de la régulation prudentielle
Le risque opérationnel : une réalité de l’action, une invention du régulateur visant la prise de
conscience
La tétranormalisation : comment repenser la régulation des sources de risques dans un monde de
normes ?
Conclusion du chapitre deux – Un rôle croissant des normes dans la production de contrôles
socialement organisés
Conclusion de la première partie – Diversité des risques, institutionnalisation de l’évènement non
encore survenu qui guide l’action future
Partie II- Partie Théorique – De la société du risque au Risk Management des sociétés
Introduction de la seconde partie – Vers un Total Risk Management
Chapitre 3 – Approche théorique des politiques de gestion des risques, une lecture
organisationnelle du risque
1. Cadre théorique : de la « Société du risque » à la gestion du risque des sociétés
Les théories économiques et les prémices d’une recherche de gestion des risques
La sociologie des organisations ou le risque comme mesure de l’action humaine
La gestion des risques comme objet d’étude en sciences de gestion
La gestion globale des risques dans le secteur financier, état des recherches et prise en compte du
risque opérationnel
2. Cadre conceptuel, grilles de lecture théoriques mobilisées : De la sociologie des organisations et du contrôle à la théorie socio-économique
Justification et recours à la théorie de la structuration
Justification et recours à la théorie de l’acteur-réseau
Le contrôle interactif des risques
Une « triangulation théorique » : structuration / acteur-réseau / contrôle socio-organisationnel
Conclusion du chapitre premier – La nécessité de grilles de lecture adaptée au contrôle
organisationnelle des risques
Chapitre 4 – Démarche méthodologique, la pertinence de démarches qualitatives tournées vers la pratique dans l’étude du contrôle des risques
1. Conception du protocole de recherche
Posture épistémologique : un « constructivisme aménagé »
Épistémologie constructiviste et triangulation au sein de notre recherche
2. Méthodologie de recherche
Le choix d’une recherche qualitative
La triangulation méthodologique
Le recours à des études de cas en recherche-action
Le détail des cas d’étude
La réalisation d’entretiens confirmatoires
Résumé du protocole de recherche
Conclusion du chapitre – Des méthodologies pragmatiques face à un objet de recherche émergent
Conclusion de la partie théorique – Émergence de l’enjeu risque opérationnel et positionnement
théorique enraciné
Partie III-Cadre empirique et discussion des résultats – De la norme de contrôle à son effectivité, traduction de la norme et structuration du contrôle
Introduction – Vers une approche interactionniste du contrôle des risques
Chapitre 5 – Résultats de la recherche – Résultats de la recherche – L’effectivité du contrôle des risques sous le prisme des approches organisationnelles
Introduction
I-Les résultats issus des études de cas
1. L’étude de cas C1-Société d’assurance
Le diagnostic de la situation initiale : la notion de risque opérationnel chez un assureur généraliste
La formulation des problématiques, les éléments clés de formalisation d’une politique de maîtrise des risques opérationnels
La mise en œuvre d’actions expérimentales pour gérer le risque opérationnel
L’élaboration des conclusions de l’étude
2. L’étude de cas C2-Établissement bancaire
Le diagnostic de la situation initiale : la notion de risque opérationnel en banque
La formulation des problématiques, les éléments clés de formalisation d’une politique de maîtrise des risques opérationnels
La mise en œuvre d’action expérimentale pour gérer le risque opérationnel
L’élaboration des conclusions de l’étude
3. Résultats issus des entretiens confirmatoires : une critique convergente de la norme de
contrôle, un besoin partagé de structuration
La notion de risque opérationnel : l’apport de la recherche pour comprendre un objet complexe
Le rapprochement entre terrains de recherche et grilles de lecture théoriques
L’enjeu de structuration en matière de risques opérationnels
Enjeux de traduction et positionnement du Risk Manager en tant qu’acteur réseau
Résultats émergents relatifs aux contrôles interactifs
Conclusion du chapitre résultats – traduction, structuration, interactions comme leviers de l’effectivité du contrôle
Chapitre 6 – Discussion, perspectives théoriques et résultats – une contribution sous l’angle
gestionnaire aux théories du risque
Introduction
1. Comparaison inter-cas – un rapprochement entre études de cas et témoignages d’experts
Synthèse des cas relatifs aux enjeux de structuration
Synthèse des cas relatifs au rôle du Risk Manager – acteur-réseau
2. Les contributions théoriques et managériales des résultats
Contribution de la recherche sur le plan théorique
Contribution de la recherche sur le plan managérial
3. Limites de l’étude : une démarche incrémentale et d’amélioration continue de notre protocole de recherche
Limites théoriques de l’étude
Limites méthodologiques de l’étude
Limites managériales de l’étude
4. Perspectives de recherches futures en contrôle des risques
Perspectives de recherches relatives au risque opérationnel
Perspectives de recherches relatives au contrôle interactif
Perspectives de recherches relatives aux normes de contrôle
Perspectives de recherches relatives aux politiques de maîtrise de risques
Conclusion – La gestion des risques opérationnels, un contrôle de médiation
Conclusions générales de la thèse – De la normativité à l’effectivité, dépasser l’illusion du
contrôle
Références bibliographiques