Billet de Daf - Quand le Daf devient Risk Manager
Publié par Philippe Hellich, ancien financier, fondateur de Risk & Trust le | Mis à jour le
Particulièrement en période de crise, le risque management doit être une priorité pour le Daf. Dans ce billet Philippe Hellich rappelle l'importance de cette fonction à part entière.
Président, DG ou Daf, tous pris par l'urgence ! Le court terme prime, en particulier lorsqu'une crise frappe. Il faut pourtant savoir lever la tête du guidon et préparer l'avenir, identifier les opportunités et percevoir les risques émergents. Même si, pour l'instant, c'est la trésorerie ou le carnet de commandes qui donnent des maux de tête.
A part dans les grands groupes, on a rarement le luxe d'avoir un directeur de la stratégie ou un Chief Risk Officer. Ailleurs, c'est le Daf qui porte ces casquettes. Ces deux rôles sont tournés vers l'avenir. La stratégie est focalisée sur les opportunités, tandis que la gestion des risques s'intéresse aux aléas et aux menaces. Complémentaires et bien utiles pour éclairer la vision du Pdg, les espoirs du VP Marketing et les promesses du Directeur Commercial.
La gestion des risques est d'abord affaire de bon sens. Bien sûr, il existe des méthodologies, des outils, des référentiels, des formations, et même une certification. Cela fait plus de 20 ans que l'Enterprise Risk Management (ERM) s'est structuré comme fonction à part entière. Mais la démarche commence par des questions simples, posées aux opérationnels clés : " Qu'est-ce qui vous empêche de dormir? ", " Quelles mauvaises surprises pourraient impacter l'activité? " Grâce à une écoute attentive, c'est en Business Partner que le Risk Manager identifie les risques et soutient avec le Comité de Direction les initiatives nécessaires à leur maitrise.
Si la fonction ERM n'existe pas, c'est donc le Daf qui peut jouer ce rôle. C'est dans ses cordes, car cela repose sur une approche transversale, au service du business, tout en " challengeant " les autres fonctions. Cela demande tout de même de s'extraire des chiffres et des business plans, pour penser plus large : sécurité des collaborateurs, conformité, valeur de marque, réputation ...
Mais certains se demandent s'il est encore utile de recenser les risques, lorsqu'on n'a pas pu anticiper l'émergence d'une pandémie mondiale. Oui, trois fois oui, car cela ne sera pas perdu. Même si les événements ou leurs causes premières diffèrent des prédictions, les simulations pratiquées et les " Plans de Reprise après Sinistre " ébauchés s'avéreront toujours d'un grand secours.
Le monde qui nous entoure est tellement VICA (Volatile, Imprévisible, Complexe, Ambigu) qu'il est vain de construire des scénarios de crise précis- on tombe rarement juste. Sans faire l'autruche, il s'agit d'anticiper les effets de divers événements imprévus, car ces effets sont souvent similaires. Exemple d'effet numéro 1: les collaborateurs ne peuvent se rendre sur leur lieu de travail, que ce soit pour cause de grève, de manifestations, de chute de neige ou de ... pandémie. Effet 2: un fournisseur clé ne peut plus livrer, que ce soit pour cause de bug informatique, de faillite, de Brexit, de guerre commerciale ou de... pandémie. On travaillera donc (1) à la mise à disposition d'ordinateurs portables équipés de webcam, et (2) à l'analyse de sa chaîne d'approvisionnement amont sur plusieurs niveaux.
Ceci mène à l'élaboration des différentes " briques " d'un plan de continuité d'activité (PCA). On instille une culture du risque aux collaborateurs, on gagne en agilité en gestion de crise ... et on améliore la résilience de l'organisation. Votre n'aviez pas de Risk Manager, vous l'avez incarné !