Michel Elmaleh : « L’appétit au risque est une question d’équilibre »
Publié le 26 avril 2016
Michel Elmaleh est associé, membre du comité exécutif de Deloitte France et responsable des activités de conseil en gestion des risques. Il livre sa vision de l’évolution du métier de risk manager, et explique en quoi la préparation aux risques peut être un véritable avantage compétitif pour l’entreprise.
Qu’est-ce qu’un risque ?
Le risque est un écart par rapport à une norme et à une valeur standard. Certains éprouvent cet écart comme un facteur qu’il faut absolument maîtriser, voire supprimer. D’autres l’envisagent comme la contrepartie inévitable de l’espoir d’un meilleur rendement.
Ces deux visions relèvent d’une dimension culturelle. Aux Etats-Unis, la notion de risque est associée à celle de récompense, d’avantage. Dans notre univers latin, en revanche, le risque est vécu de façon plus péjorative : c’est quelque chose contre lequel il faut se protéger. Cela se ressent tant au niveau des entreprises que du côté des régulateurs.
La gestion des risques est la dialectique entre protection et optimisation de la performance.
Le rapport aux risques des entreprises a-t-il évolué ?
Il s’est modifié sous l’effet des profondes transformations intégrées par les entreprises ces dernières années comme la transition digitale, les ruptures de business models, ou encore les nouvelles attentes des collaborateurs. Nous vivons dans un monde, par définition, plus compétitif et plus exposé où les parties prenantes exigent une meilleure lisibilité des résultats. Dans le cas contraire, l’effet est immédiat sur le cours de bourse. Ce contexte explique la considérable évolution du rapport aux risques des entreprises en termes de mesure, d’appréhension et de maîtrise.
Les entreprises sont-elles davantage exposées aux risques qu’auparavant ?
Certes, la digitalisation, certaines évolutions récentes dans l’organisation du rapport entre fournisseurs de service et client (l’exemple type étant le modèle « Uber ») transforment les business models. Pour autant, les sociétés ont toujours été confrontées à des risques. Je ne pense pas qu’elles en subissent davantage aujourd’hui. En revanche, elles sont soumises à des contraintes plus fortes dans la perception des risques subis. Elles sont tenues de les évaluer avec une meilleure précision et doivent rassurer leurs parties prenantes avec des plans de remédiation clairs. Les entreprises sont toujours plus comparées. Leur capacité à appréhender le changement et à montrer une certaine transparence vis-à-vis des risques auxquels elles sont exposées leur confère un avantage dans leur positionnement relatif.
Cela justifie l’émergence de la fonction de risk manager, qui s’est étoffée et a développé ses propres technologies.
La capacité à prendre des risques est un vecteur de croissance.
Les organisations ont besoin d’ingénieurs capables de techniques d’évaluations, de modéliser et de cartographier les risques. L’invention de modèles intelligents s’impose.
Ce rôle est essentiel. Le dirigeant doit pouvoir mettre en œuvre toutes les actions possibles pour favoriser le développement et l’épanouissement de l’entreprise. Pour le faire sereinement, il a besoin d’un regard détaché, d’un observateur qui ne soit pas partie prenante et qui puisse lui indiquer les risques pris s’il décide de s’engager dans une direction donnée.
Comment faire face à l’incertitude et à la volatilité ?
Les analyses quantitatives prennent généralement en compte les événements les plus probables, concentrés autour d’une moyenne. Le risque représente le possible écart par rapport à cette dernière. Des techniques permettent de le quantifier, de le qualifier et de le modéliser. Lorsqu’il a été évalué, la société peut mettre en place des mesures pour le surveiller et s’en protéger.
Certains événements sont très peu probables et éloignés de cette moyenne. Ce phénomène est appelé « leptokurticité » et renvoie aux événements inattendus. C’est par exemple ce qui s’est passé en 2015 lorsque, contre toute attente, le prix du baril de pétrole a chuté à 30 dollars.
Le rôle du manager consiste à anticiper et à mesurer les scénarios probables avec un bon degré de confiance et, s’agissant des scénarios improbables ou scénarios extrêmes, d’être capable d’identifier ceux qui sont susceptibles de survenir. La première situation relève davantage de la statistique et de la technique tandis que la seconde demande de solides compétences, de l’imagination, de l’audace et une bonne dose de courage (oser mettre sur la table des scénarios que tout le monde aurait tendance à considérer comme farfelus).
L’entreprise qui suscite la confiance n’est pas celle qui entrave l’action, au contraire. C’est celle qui parvient à l’équilibre.
Prenons l’exemple de la crise des subprimes. Avant la crise, les stress-scénarios les plus sévères consistaient généralement à un downgrading des tranches super senior de 1 notch ou 2. Quiconque osait proposer un scénario plus sévère était taxé d’irresponsable.
En réalité, certains avaient prédit la catastrophe, je pense notamment à Nouriel Roubini. Il est d’ailleurs intéressant de remarquer que Roubini n’était pas risk manager mais économiste, un économiste indépendant. Ceci ouvre la discussion intéressante de la capacité d’un établissement à accepter, ne serait-ce qu’en interne, l’éventualité d’un scénario extrême et encore plus à écouter celui qui le soumet. Finalement, dans quelle mesure une organisation a –t-elle réellement compris ce qu’est un risk manager ?
Il ne s’agit pas de créer un climat anxiogène, mais d’être capable de faire face à des éventualités non réellement prévues ou souhaitées.
La mise en place d’un dispositif de suivi des risques est un levier majeur de construction de la confiance et d’optimisation de la performance. Elle donne de la visibilité sur le business model de l’entreprise et rassure ses parties prenantes.
Le zéro accident est-il un objectif ?
Les notions de tout-sécurité et de zéro accident relèvent d’une sorte de désir fou d’annihiler les risques. Toute organisation a besoin d’un juste équilibre entre protection et optimisation de la performance. S’orienter vers le risque zéro rompt cet équilibre en basculant dans la compliance – simple respect des procédures – et supprime toute latitude opérationnelle. Les forces vives et le capital humain sont alors tétanisés.
Il est possible par exemple de supprimer de façon radicale les risques cyber en verrouillant totalement les systèmes d’information. Non seulement cette opération engendre des coûts phénoménaux, mais elle peut empêcher les collaborateurs d’accéder à des informations pertinentes. A l’inverse, une gestion ouverte de la relation client (CRM) en open data permet de bénéficier d’informations intelligentes.
Tout l’enjeu est de trouver le dosage subtil qui empêche les intrus de pénétrer le système sans priver l’organisation des informations dont elle a besoin.
En tout état de cause, je ne pense pas que le risque zéro existe en informatique. Tout système est pénétrable par un pirate : c’est une question de temps et de rapport de force.
Qu’est-ce que l’appétit au risque ?
L’appétit au risque est ce qui permet de fixer le point d’équilibre. Cette notion inclut à la fois la nécessité de se protéger et l’ouverture. C’est la posture d’un entrepreneur qui a le sens du développement et de l’innovation, tout en ayant conscience de l’exposition de son organisation à un certain nombre de risques en raison des optimisations qu’il met en place. Son appétit au risque lui permet d’améliorer ses performances en acceptant de prendre des risques car il dispose de la technique pour les appréhender, les mesurer, et agir de manière raisonnable et responsable.
Dans quelle direction la mission de risk manager évolue-t-elle ?
Les risk managers ont longtemps travaillé à partir d’évaluations et de statistiques, de façon parfois décorrélée de l’activité de l’entreprise. Depuis quelques années, leur travail cadre de plus en plus avec la réalité et les enjeux du métier. Aujourd’hui, le risk manager n’est pas déconnecté du quotidien de l’entreprise et a une vision holistique de l’organisation, de son activité et de ses parties prenantes. Il a l’obligation de faire preuve de recul, mais il doit dans le même temps prendre en compte les modalités de suivi effectif de la gestion des risques.
Citons l’exemple du secteur financier où le front office évalue des portefeuilles à l’aide de techniques de valorisation et de modélisation très évoluées. Le risque de taux est lié au risque de change, qui dépend lui-même des matières premières. Aujourd’hui, le risk manager est proche de la réalité, celle des pertes nettes sur les résultats de change. Il apporte un regard extérieur avec un plan de remédiation.
Comment le régulateur intervient-il ?
Les normes issues de Bâle III ou Solvency II empêchent les institutions financières de s’écarter d’un certain niveau de protection. Elles fixent des montants de fonds propres dans l’optique de protéger leur structure financière. Pour autant, la constitution de réserves n’est pas toujours la solution pour se prémunir des risques. Il est illusoire de penser que la sécurité résiderait dans une forme de surprotection.
Dans ce contexte de marché qui tend vers une régulation accrue, l’entreprise doit chercher la posture adéquate entre le respect de la norme et la possibilité d’agir.
La confiance nécessite-t-elle une part de risque ?
Bien sûr. Il nous faut accepter l’idée d’incertitude en tant que composante fondamentale du réel. Cette incertitude, lorsqu’elle est comprise, acceptée et analysée permet d’être plus intelligent et de mieux agir. L’entreprise qui suscite la confiance n’est pas celle qui entrave l’action, au contraire. C’est celle qui parvient à l’équilibre.
La capacité à prendre des risques est un vecteur de croissance.