Détectabilité du risque – Extrait du livre « Le Facteur Risque de l’entreprise »

Le premier enjeu à considérer repose tout d’abord sur la capacité de l’entreprise, de l’entité organisationnelle, du service, du département, du processus opérationnel à détecter le risque entrant identifié.

L’enjeu de la détectabilité va constituer une clé de critérisation fondamentale dans la réflexion puis dans la détermination du Facteur Risque individuel de chaque risque. En effet, si l’entreprise est capable de détecter le risque entrant, grâce à des mécanismes opérationnels internes, des processus robustes, une démarche de collecte et de traitement approprié des dysfonctionnements, des problèmes rencontrés, des incidents, des erreurs etc.., elle saura d’autant mieux a priori en gérer les impacts.

Il y a donc lieu dans un premier temps de s’interroger : l’entreprise est-elle capable de détecter le risque entrant ?

Cette question, triviale à première vue, n’est pas simple. Elle peut s’avérer, dans de nombreux cas, très complexe. En effet, savoir détecter un risque entrant ne sera pas forcément et systématiquement aisé pour une organisation. Et encore moins la capacité de valoriser sa propre capacité de détection des risques entrants.

Prenons quelques exemples. Vous êtes dirigeant d’une entreprise de taille intermédiaire. Essayons de répondre à quelques questions d’apparence anodine. À supposer que vous disposiez des ressources normalement déployées dans une entreprise de cette nature :

  • sauriez-vous aisément détecter qu’une référence dans votre stock a été volée ? Qu’elle n’est plus disponible suite à une rupture d’approvisionnement imprévue ? Sauriez-vous identifier que votre méthode de traçabilité et de valorisation des stocks s’avère défaillante ?
  • sauriez-vous aisément détecter un cas de harcèlement moral au sein du service Commercial ? Une intrusion externe dans vos systèmes d’information ? Une note de frais falsifiée ? L’existence de rétrocommissions versées en espèces par des fournisseurs peu scrupuleux à un de vos collaborateurs en charge des achats ?
  • sauriez-vous facilement détecter qu’un processus opérationnel défaillant a engendré cinq réclamations clients pour le même motif le mois dernier ? Que l’un des vingt principaux clients de l’entreprise a résilié votre contrat pour un concurrent il y a moins d’une semaine ? En connaissez-vous le motif ? Savez-vous ce que pensent vos clients de votre service Client ?
  • sauriez-vous facilement identifier que le tableau de bord commercial que vous commentez chaque semaine intègre une erreur dans une macrocommande de calcul ? Qu’il fait référence à une source de données incorrecte, en allant collecter les données de bases non qualifiées ?
  • sauriez-vous identifier que vos clauses contractuelles contiennent une clause léonine ? Que vos produits ne respectent pas la dernière réglementation prudentielle en vigueur ?
  • sauriez-vous identifier que votre situation de trésorerie courante ne passera pas les prochaines semaines ? Connaissez-vous le solde actuel de votre trésorerie ? Savez-vous que l’échéance importante que devait régler votre principal client ne sera pas honorée ce mois-ci ?
  • sauriez-vous facilement identifier que le segment stratégique que vous attaquez, et pour lequel vous mobilisez d’importantes ressources de commercialisation, ne répondra pas à vos sollicitations avant dix mois ?
  • bref, sauriez-vous détecter les risques de votre entreprise ?

Au-delà de ces quelques exemples, la question posée de la détection du risque en entreprise mérite que l’on s’y arrête, car l’enjeu posé par la détectabilité des fragilités latentes dans l’entreprise n’est pas forcément simple à appréhender.

Mesurer la capacité de détection d’un risque consiste donc pour l’essentiel et en premier lieu, à questionner les mécanismes internes d’entreprise et identifier notamment la capacité de l’entreprise à détecter les signes précurseurs, les signaux forts ou faibles de l’émergence potentielle d’un risque puis à en assurer la visibilité aux instances opérationnelles, organisationnelles et décisionnelles pour prise de décision future adaptée quant à son traitement.

La question de la détectabilité n’est pas uniquement liée à la loyauté, à la transparence ou à l’intégrité des équipes qui remontent logiquement – et normalement – les incidents, dysfonctionnements et autres problèmes rencontrés. La capacité de détection des risques résulte pour l’essentiel de la cohérence, de la performance et de la pertinence des sondes de détection et des mécanismes opérationnels d’identification, de remontée, de traçabilité et de traitement effectif des risques.

Pour mesurer cette capacité de détection du risque entrant, nous vous proposons de vous appuyer sur une appréciation simple mais pragmatique de la capacité de détection du risque. Cette appréciation est bâtie sur une dimension sémantique. Elle peut être ensuite validée par des éléments factuels, statistiques, ou simplement empiriques.

Mais cette grille de détectabilité du risque a le mérite de la clarté, de la simplicité et de la facilité d’utilisation. Identifions les principaux niveaux de détection du risque que nous vous préconisons d’utiliser :

  • nous limitons à 10 le nombre des différents niveaux de capacité de détection à qualifier. Par expérience, l’utilisation d’une granularité plus élevée n’apporte que peu de valeur supplémentaire à l’exercice tant la mesure de la capacité de détection peut être tenue ;
  • pour simplifier, la mesure de la détectabilité du risque évolue d’une capacité de détection certaine (absence d’incertitude de détection) à une impossibilité de détection (incertitude absolue traduisant la détection du risque uniquement quand celui-ci se concrétise effectivement et en produit les impacts effectifs) ;

La grille de valeurs proposées est la suivante :

CAPACITÉ

DESCRIPTION

SCORE

IMPOSSIBLE

Incapacité de détection

10

TRÈS IMPROBABLE

Quasi-incapacité de détection

9

TRÈS IMPROBABLE

Capacité minime

8

FORTEMENT IMPROBABLE

Marginale

7

IMPROBABLE

Très basse

6

PROBABLE

Moyenne

5

PROBABLE

Normale

4

TRÈS PROBABLE

Détection Élevée

3

QUASI CERTAINE

Détection Très élevée

2

CERTAINE

Détection Permanente

1

Si la détection du risque est permanente, le facteur d’évaluation peut être considéré comme limité en contribution à la gravité du risque car un risque détecté par défaut sera a priori traité, à supposer que l’entreprise ait déployé les démarches de traitement adapté. Il n’y aura pas, en tout état de cause, d’aggravation du risque causé par sa découverte improbable d’occurrence.

De fait, le facteur de détectabilité du risque ne va pas accroître la contribution du facteur au risque global. Il sera donc attribué d’un facteur multiplicateur neutre, égal à 1. Le risque ne sera pas « amplifié », sa détection permanente « sécurisant » a priori l’entreprise dans sa démarche de traitement.

Considérons la capacité de détection du risque de forclusion en entreprise. Il s’agit du risque de production, hors délai légal, des créances clients détenues sur un débiteur placé en redressement judiciaire ou en liquidation judiciaire.

Si l’entreprise ne produit pas ses créances liquides et exigibles dans les délais impartis (deux mois à partir de l’occurrence de la situation de défaillance constatée), sa créance ne sera pas jugée recevable ; elle ne sera pas inscrite au passif de l’entreprise défaillante. Et il ne restera plus au créancier que ses yeux pour pleurer… et passer définitivement par pertes et profits (par perte !) sa créance, sans espoir aucun de recouvrement partiel…

À partir du moment où l’entreprise décide, par exemple, de s’abonner à une base de renseignements juridique ou commercial externe l’informant au quotidien des entrées en redressement judiciaire, en liquidation judiciaire ou sous plan de sauvegarde des entreprises et en croisant cette information avec sa propre base client, l’entreprise peut mécaniquement détecter au quotidien les entreprises clientes sur lesquelles elle doit potentiellement produire ses créances si ces derniers venaient à déposer leur bilan.

Ainsi, en mettant en œuvre cette démarche de gestion proactive de l’information de défaillance des organisations, l’entreprise se met en capacité de détecter ainsi, et en permanence, le risque potentiel de forclusion.

Bien sûr, il conviendra que cette mécanique d’alerte légale sur défaillance client soit effectivement suivie d’actions opérationnelles appropriées au contexte  :

  • identification exhaustive du passif client à produire ;
  • production effective des créances ;
  • suivi des versements de dividendes etc.

Mais dans ce cas de figure, le critère de détection du risque « forclusion des créances clients » pourra ainsi être qualifié de situation de « détections permanente », et ainsi retenir le facteur 1 pour ce risque financier ou juridique particulier.

Autre exemple trivial : nul besoin d’organiser la détection effective du versement effectif des salaires dans l’entreprise : une détection permanente et immédiate du risque sera native par défaut ! Le risque de « défaillance de contrôle effectif du versement des salaires » sera, lui aussi, critérisé d’un facteur 1 au titre de la détectabilité !

Détection impossible ?

Au-delà de ces exemples et à l’inverse, certains risques seront très difficilement détectables en amont par l’entreprise. Certaines capacités de détectabilité du risque seront nulles.

Ainsi, la disparition d’un cadre dirigeant dans un accident d’avion, le risque de sur-qualité associé à un processus opérationnel sécuritaire trivial ou la découverte d’une rétrocommission versée en nature à un acheteur indélicat peuvent constituer des exemples de risques dont la détection peut apparaître quasi impossible a priori.

Les enjeux de la détection des risques se posent ou se trouveront amplifiés notamment lorsque les acteurs masquent la réalité de l’occurrence effective de certains risques par peur, par crainte, par négligence, par erreur involontaire ou par démarche volontaire et délibérée de maquiller la réalité opérationnelle de certaines fragilités organisationnelles, opérationnelles ou de concrétisation effective de dysfonctionnements gênants.

La question de la détection du risque n’est donc pas forcément des plus simples. L’entreprise va donc devoir s’atteler à ce vaste chantier de mesure de sa capacité de détection des risques en présence.

La mesure de la capacité effective de l’entreprise à détecter les risques en présence constitue la première étape de la démarche proposée, une fois les risques individuels identifiés. Cette tâche n’est pas forcément la plus simple, certains risques étant très difficilement détectables de par leur nature intrinsèque ou suite à un habillage fréquent de la réalité, consciemment ou non, par les acteurs.

La plus grande lucidité de l’entreprise sera donc à mobiliser, car il est toujours compliqué d’accepter, consciemment ou non, certaines fragilités opérationnelles et notamment accepter l‘idée que son entreprise, son service, son unité, l’un de ses processus clé soit susceptible de ne pas autoriser ou faciliter la détection des risques majeurs.

L’enjeu de la détection du risque se pose donc tant sur ses dimensions opérationnelles (suis-je outillé pour détecter et tracer le risque entrant de manière efficace et pertinente ?) que sur ses dimensions comportementales (les acteurs sont-ils sensibilisés à l’enjeu de la remontée effective de tous les risques en présence, et notamment les plus sensibles : erreurs humaines, atteinte à l’intégrité etc.).

La question de la détectabilité du risque dans l’entreprise doit donc être appréhendée de la manière la plus large possible car elle met en lumière nombre de zones d’inconfort potentiel et de fragilités latentes :

  • rapport à l’autorité, à la sanction, à la responsabilité individuelle ;
  • valorisation de l’enjeu et du risque effectif à détecter ;
  • mécanismes opérationnels de détection et de remontée des risques, des signaux faibles, des signaux forts ;
  • etc.

Qualification de la détectabilité

À titre indicatif, nous essayons de qualifier ce critère de détectabilité des 365 risques proposés en partie précédente dans l’hypothèse standard d’appréciation d’une entreprise spécialisée dans le service aux entreprises, dimensionnée à hauteur de 100 personnes. Cette qualification sera proposée dans le tableau de synthèse présenté dans une partie ultérieure.

La critérisation proposée n’est bien évidemment qu’indicative. Elle ne doit pas être considérée comme un référentiel, encore moins une base de comparaison ou de travail. Elle permettra simplement de positionner la réflexion et de montrer notamment l’importance de la variabilité du critère de la détectabilité du risque en entreprise.

Première action à envisager donc : la mesure de la détection du risque par l’entreprise.

Il appartient désormais à chaque entreprise de qualifier, pour chacun des risques proposés dans notre démarche, la capacité de détection du risque dans l’entreprise, avec humilité, lucidité et pragmatisme.