Que recouvre exactement la notion de risk management ?

Jo Willaert : « La démarche consiste à identifier et prévenir tous les risques pouvant surgir dans le cadre de l’activité d’une entreprise. Le risk management est l’un des piliers de la stratégie globale de l’entreprise. Le rôle du risk manager n’est pas pour autant de décider cette stratégie, mais bien de participer à son développement et à la définition des objectifs de l’entreprise. Il doit s’assurer que le management soit au courant des risques qu’il court dans la réalisation de cette stratégie. Si une compagnie veut par exemple se développer en Inde, où elle n’est pas encore active, le risk manager doit pouvoir évaluer l’ensemble des risques associés à cette opération. »

 

À quels enjeux spécifiques répond cette discipline ?

J. W. : « Les risques ne se limitent pas à ceux qui sont assurables ou dont on parle dans les médias, comme les risques politiques, économiques ou les régulations locales. L’environnement est de plus en plus volatile et complexe ; le risk management peut jouer un rôle essentiel dans le succès et la compétitivité d’une entreprise. En cas d’incidents comme une cyberattaque ou une pollution, on pense trop souvent à l’argent et à l’élément technique, mais il y a aussi la réputation de l’entreprise, la communication de crise… C’est aussi une forme de risque ! »

 

La digitalisation, les cyberattaques
et l’évolution de la législation
poussent les entreprises
à réfléchir autrement.

 

Quels risques inquiètent le plus les entreprises ?

J. W. : « Les trois principaux risques cités par nos membres sont les incertitudes économiques, la continuité des activités et l’instabilité politique. Ils sont évidemment liés. On le voit par exemple avec les problèmes autour du Brexit ou de la nouvelle attitude économique des Etats-Unis : ils ont des conséquences sur la compétitivité des États, le blocage du commerce international, l’ouverture des frontières, etc. Depuis quelques années, la donne a changé. Auparavant, on connaissait au préalable et avec certitude les zones de dangers ou de difficultés pour les entreprises. Aujourd’hui, tout est devenu extrêmement difficile à prévoir. Les risques proviennent parfois d’événements imprévisibles comme le terrorisme »

 

À quelles entreprises s’adresse en priorité le risk management ?

J. W. : « À l’origine, la discipline est née dans les grandes entreprises. Aujourd’hui encore, le risk management concerne surtout celles-ci. Néanmoins, la discipline s’adresse aux entreprises de toute taille. L’incertitude économique mondiale, par exemple, est encore plus importante pour une petite société que pour une grande, qui a plus de possibilités pour réagir. Les PME ont vraiment le besoin et la volonté de travailler sur cette question. Même si elles n’ont pas les moyens d’engager un risk manager en interne, elles peuvent se tourner vers un professionnel externe, via de l’outsourcing ou de la consultance, ou suivre des formations. Leurs directeurs financiers peuvent par exemple jouer le rôle de risk managers. »

 

Sur quels éléments fondamentaux repose une bonne analyse, puis une bonne gestion des risques ?

J. W. : « Chez les décideurs - conseil d’administration ou management -, il n’est pas souvent de tradition de dévoiler tout ce qu’ils sont en train de faire. C’est assez logique. Toutefois, ils doivent pouvoir accepter le risk manager en tant que partenaire à part entière dès le départ. Le risk manager doit pouvoir se positionner par rapport à la stratégie de l’entreprise, en évaluer les risques et leur importance, déterminer si l’entreprise peut vivre ou non avec ces risques. Pour mener à bien sa mission, il doit notamment avoir accès aux différents départements qui, chacun, sont confrontés à leurs propres risques. Une fois qu’il dispose de toutes les informations pertinentes, il peut identifier et évaluer les risques et ensuite émettre des recommandations, suggérer des mesures de prévention, etc. Il joue en quelque sorte le rôle de garde-fou, d’avocat du diable. Son rôle n’est pas de bloquer l’entreprise mais bien de s’assurer que le management prend des décisions en connaissance de cause. »

 

Quel regard portez-vous sur l’évolution de la législation européenne dans le domaine de la digitalisation ?

J. W. : « La digitalisation, les cyberattaques et l’évolution de la législation poussent les entreprises à réfléchir autrement. Le but de l’Europe est surtout de protéger le consommateur. D’ici mai 2018, les grandes et moyennes entreprises devront avoir toute la protection des données personnelles sous contrôle. Cela va évidemment contribuer à la protection contre les cyberattaques, mais cela ne résoudra pas tout : même des gouvernements sont attaqués ! Le plus important est que, depuis quelques années, on a affaire à une prise de conscience. Il y a trois ans, on considérait que c’était un problème du département IT. Aujourd’hui, les entreprises le voient de manière beaucoup plus large, presque comme un problème de survie. »