Edition

Gestion stratégique du risque : Comment mobiliser les cadres supérieurs

par Damon Levine

Gestion du risque, septembre 2024

rm-2024-09-levine-hero.jpg

La gestion stratégique du risque (GSR) est généralement définie comme un programme ou un ensemble de processus permettant de cerner, de quantifier et d’atténuer les risques qui influent sur les objectifs stratégiques d’une entreprise et leur exécution. Il peut s’agir d’un cadre autonome ou d’une partie du programme de gestion du risque d’entreprise. Toutefois, il existe des techniques précises que la GSR peut utiliser pour tirer parti de son objectif principal, soit l’exécution stratégique.

Afin de mobiliser les cadres supérieurs et les membres du conseil d’administration, nous mettons l’accent sur les outils et les techniques de GSR qui servent à :

  • énoncer les défis liés à l’exécution stratégique;
  • prioriser les risques afin d’atteindre les objectifs;
  • favoriser des mesures de rendement clés;
  • améliorer les chances de réussite.

Pour concrétiser ces idées, nous utilisons une société d’assurances mondiale comme exemple.

Sondage sur la stratégie

Une étape clé consiste à énoncer les objectifs stratégiques et à déterminer les principaux défis posés à leur exécution. Un sondage de 30 minutes envoyé à la direction, aux chefs de service et aux autres décideurs clés permettra d’accomplir ces tâches sans trop d’efforts.

Nous demandons à chaque participant au sondage d’énumérer deux ou trois objectifs stratégiques sur lesquels il se concentrera au cours des 12 prochains mois. Pour chaque objectif stratégique, le répondant doit tenir compte des principaux projets fondamentaux ou des conditions préalables. Il s’agit de tâches ou de buts qui, une fois réalisés, devraient permettre d’atteindre l’objectif stratégique global. Dans le document I, ceux-ci sont désignés comme des « buts » et le message sous-jacent est que si nous réussissons à accomplir les buts un à cinq, nous sommes convaincus que nous pourrons facilement atteindre l’objectif stratégique.

Document I
Exemple de réponse au sondage concernant un objectif stratégique

rm-2024-09-levine-exhibit-1-fr.jpg

Dans le document ci-dessus, le répondant énonce l’objectif stratégique du lancement d’une nouvelle garantie au Brésil.

Après avoir défini l’objectif, plusieurs tâches fondamentales, intitulées But 1 à But 5, sont énumérées. Enfin, les défis ou les incertitudes se rapportant à chaque but sont formulés.

Il est à noter que nous n’avons pas utilisé le mot « risque », mais nous avons effectué une analyse pratique et détaillée des risques d’exécution liés à cet objectif. Dans de nombreuses circonstances, il est préférable d’éviter le mot risque en raison des opinions divergentes sur ce qu’est le risque. Nous pouvons ensuite facilement obtenir des détails supplémentaires en menant une brève discussion avec des personnes qui connaissent bien les mesures d’atténuation ou les contrôles actuels du risque. Nous obtenons alors un résumé utile des renseignements sur le risque et la réponse au risque, qui est présenté au document II.

Document II
Exemple de risques stratégiques et de réponses au risque
rm-2024-09-levine-exhibit-2-fr.jpg

Commentaires d’experts pour l’évaluation du risque

Nous avons cerné les principaux risques stratégiques, stratégies d’atténuation existantes et mesures potentielles nécessaires pour améliorer la gestion de ces risques. En raison de contraintes en matière de temps et de ressources, il est probablement impossible de traiter toutes ces questions simultanément. C’est pourquoi nous devons prioriser les risques afin d’orienter la décision de la direction sur les investissements financiers et en ressources pour améliorer les réponses aux risques.

Nous avons cerné le défi suivant appelé le risque X: « Nous avons une pénurie de codeurs et de concepteurs lusophones (ndlt : qui parlent portugais) ». Nous rencontrons plusieurs experts en la matière parmi nos collègues des secteurs de la stratégie, des TI et du développement de logiciels, car ils connaissent le mieux ce défi.

Nous communiquons le paramètre avec lequel quantifier le risque, p. ex. l’incidence des résultats financiers selon les principes comptables généralement reconnus sur le lancement de notre produit par rapport aux prévisions de base relatives aux résultats de cette initiative.

Nous posons une question simple aux experts : En supposant que le risque s’est manifesté, quelles sont vos meilleures estimations concernant :

  • l’incidence minimale : a;
  • le mode, qui est simplement une « meilleure estimation » ou l’incidence prévue : b; et
  • l’incidence maximale : c? 

L’incidence devrait tenir compte, par exemple, des effets d’un retard de codage, d’un besoin excessif de débogage ou de mise à l’essai ou d’autres mauvais résultats liés à cette difficulté de développement de logiciels. Nous avons reçu la réponse suivante d’un expert :

Document III
Estimations d’un expert relatives à l’incidence du risque X
rm-2024-09-levine-exhibit-3-fr.jpg

Nous avons reçu trois estimations numériques, comme ci-dessus, de chaque expert. Une façon simple d’utiliser tous ces renseignements est de calculer la moyenne de chacune des trois valeurs ci-dessus. Le document qui suit est fondé sur la moyenne de toutes les réponses des experts :

Document IV
Moyenne des estimations de tous les experts relatives à l’incidence du risque X
rm-2024-09-levine-exhibit-4-fr.jpg

Ces données servent de base à la modélisation du risque X. Comme nous avons établi les paramètres d’incidence minimale, de mode et d’incidence maximale, nous pouvons utiliser une distribution statistique appelée distribution de l’expert ou méthode PERT. « PERT (ndlt : Programme evaluation and review technique) » désigne une technique d’évaluation et de mise à jour des programmes; ; il s’agit de la première application bien connue de cette distribution dans le domaine de la gestion de projet.

La distribution de l’expert est un nom intuitif attribué à cette distribution, car nous devrions être à l’aise de demander à l’expert quels sont les paramètres de ces trois estimations. Cependant, si nous demandions directement une distribution statistique, nous obtiendrions souvent comme réponse un regard vide, ou pire encore, un rire.

Les messages clés du document IV signalent que si le risque X se produit, 1) l’incidence se situera très probablement entre 29 et 513 et 2) notre meilleure estimation de l’incidence du risque X est 147, sachant seulement qu’il s’est manifesté.

À notre avis, 1) signifie : « nous sommes convaincus à 90 % que l’incidence réelle se situerait entre 29 et 513 », mais la valeur « 90 » est arbitraire et nous nous attendons simplement à ce que les experts proposent une fourchette suffisamment large pour couvrir la « plupart » des situations. L’estimation du mode donne à penser que le « voisinage 147 », p. ex. 147 +/- 5 = (142, 152) est le résultat le plus probable dans l’ensemble des autres voisinages.

Quantification du risque qui tient compte de l’incertitude

Nous ne savons jamais quels risques se manifesteront ni les effets des événements. Par définition, l’effet d’un risque est imprévisible. Nous utilisons la distribution de l’expert pour exprimer naturellement cette incertitude, qui est l’essence même du risque. Un plus grand écart entre les paramètres de l’incidence minimale et de l’incidence maximale signale plus d’incertitude ou une compréhension moindre de la nature du risque, ou les deux. Nous établissons une distribution simple du risque qui met en lumière notre vision de la façon dont le risque peut « se concrétiser ». Nous aurons une idée des résultats possibles liés à l’incidence et comprendrons avec plus de certitude que les incidences réelles se rapprochent du mode.

L’approche de quantification du risque est assez simple pour être exécutée sur la plateforme Excel standard ou, au besoin, facilitée au moyen de l’un des nombreux modules complémentaires disponibles sur le marché. Les notions suivantes sont importantes pour que le modélisateur du risque ou le responsable du modèle comprennent ce qui suit :

Les paramètres a, b et c (incidence minimale, mode et incidence maximale) caractérisent pleinement la distribution, et nous pouvons désigner sans ambiguïté la distribution comme PERT (a, b, c). La moyenne et l’écart-type de la distribution sont des fonctions de ces trois paramètres :

rm-2024-09-levine-formula-1-fr.jpg

Il est à noter que la première équation indique que la moyenne (ou la valeur attendue) de la distribution est une moyenne pondérée dont les facteurs de pondération pour a, b et c sont respectivement 1, 4 et 1. De plus, la fonction de densité de probabilité (comme la « courbe en cloche » pour une distribution normale) est la plus élevée à b et nulle aux points d’extrémité à a et b. Le document V présente un graphique des fonctions de densité de quelques différentes distributions PERT.

De plus, la volatilité ou l’incertitude, mesurée par l’écart-type, est proportionnelle à la largeur de l’« intervalle de confiance » de (a, c).

Document V
Fonctions de densité de probabilité pour diverses distributions PERT
rm-2024-09-levine-exhibit-5-fr.jpg

Source: https://commons.wikimedia.org/wiki/File:PERT_pdf_examples.jpg

En nous fondant sur l’analyse ci-dessus, nous pouvons comparer différents risques stratégiques qui affectent notre capacité à lancer le produit au Brésil. Examinons maintenant certaines façons de comparer et de prioriser les divers risques cernés.

Priorisation des risques

Nous pouvons utiliser une approche de priorisation des risques fondée sur l’examen de la moyenne et de l’écart-type de l’incidence de chaque risque sur l’objectif stratégique. Il convient de souligner que les paramètres (positifs) du tableau 1 ci-dessous représentent une réduction des résultats ou du flux de trésorerie (quelle que soit la mesure choisie) par rapport aux prévisions de base relatives à l’objectif.

Tableau 1
Sommaire des distributions PERT utilisées
rm-2024-09-levine-table-fr.jpg

Nous résumons les risques en utilisant la moyenne et l’écart-type au document VI. Nous utilisons la moyenne +/- 1 écart-type pour mettre en évidence une fourchette « assez probable » des résultats potentiels.

Document VI
Exemple d’une perte attribuable aux risques posés aux objectifs stratégiques
rm-2024-09-levine-exhibit-6-fr.jpg

En général, il n’existe pas de méthode pour classer objectivement les risques d’affaires. Les comparaisons globales exigent d’évaluer une distribution statistique au lieu d’une autre. Dans la situation ci-dessus, nous pourrions nous attendre à ce que la direction considère le « marketing » et le risque identifié associé au calendrier de production commerciale et aux défis budgétaires comme étant « classé 1 » ou prioritaire. Cela signifie que des mesures, du temps ou des ressources supplémentaires devraient être priorisés afin d’atténuer davantage ce risque. Il faut aussi envisager une analyse coûts-avantages, car des dépenses supplémentaires sont toujours engagées pour les changements tactiques ou l’amélioration des mesures d’atténuation.

La direction peut considérer les questions de formation comme moins prioritaires et refuser d’affecter d’autres ressources à cet élément en conformité avec le principe de « se contenter de ce qu’on a ».

Plan financier axé sur le risque

Dans l’exemple du lancement du produit, nous ne considérons aucun « avantage » ou bienfait possible des risques indiqués. Cela s’explique en partie par la nature des risques que nous avons examinés. Par exemple, les « obstacles juridiques » ne procurent aucun avantage important. Il n’est pas logique de penser que le lancement du produit se déroulera mieux que prévu parce que le produit est « tout à fait » légal. Un point de vue similaire peut être adopté pour la mise à l’essai, la formation et les dépôts réglementaires. Nous pouvons peut-être avoir une expérience de marketing exceptionnelle, mais en pratique, l’analyse de la possibilité d’une incidence meilleure que prévu du marketing n’influencera pas l’intervention ou ne nous aidera pas à atteindre l’objectif. Ce serait strictement un exercice théorique.

Tout cela fait abstraction d’un élément essentiel de la gestion du risque : l’analyse du risque ou de l’incertitude doit généralement tenir compte à la fois des avantages et des inconvénients. Pour ce faire, on peut utiliser une distribution PERT pour un risque où a < 0 et c > 0, ce qui signifie que la distribution permet une incidence tant négative que positive sur la mesure de rendement.

Un plan financier fondé sur le risque représente une application importante de l’analyse du risque qui tient compte des avantages et des inconvénients. Si nous choisissons d’utiliser des distributions statistiques pour chaque risque affectant les résultats, il en découlera probablement un nombre assez élevé de risques. Dans cette situation, il faut tenir compte des corrélations entre les risques. Si chaque risque est modélisé individuellement, avec des distributions PERT par exemple, il existe des méthodes pour les combiner avec une matrice de corrélation cible. L’auteur a déjà décrit en détail l’approche pour saisir les corrélations entre divers risques qui gardent intactes les distributions « marginales »[1]. Toutefois, nous présentons ici une approche plus simple qui ne nécessite pas de corrélations.

Le plan financier typique d’une organisation repose sur une meilleure estimation ou une prévision de base des résultats. Il est presque impossible, en pratique, d’évaluer à quel point il est difficile d’exécuter le plan ou à quel point il est probable de rater son objectif. Si le chef de la direction est chargé d’établir les primes des cadres en fonction des réalisations par rapport au plan, cela représente un défi de taille.

Si nous déterminons les principaux vecteurs de résultats et les principales causes de variation et si nous estimons la façon dont ils nous aident ou nuisent à réaliser les résultats prévus dans le plan, nous pouvons créer un plan fondé sur le risque qui va au-delà de l’estimation ponctuelle traditionnelle ou de la meilleure estimation à « un chiffre » utilisée dans la plupart des sociétés. Le plan comprendra la meilleure estimation, en plus de présenter un éventail de résultats possibles selon la façon dont les diverses incertitudes sont résolues et de donner un aperçu de l’éventail probable de résultats.

Nous supposons que les prévisions de résultats dans le plan financier sont erronées. Nous sommes conscients de nombreux facteurs opérationnels ou incertitudes (collectivement, les « FOI ») qui influeront sur les résultats financiers réels. Les FOI comprennent les facteurs que nous pouvons influencer et ceux sur lesquels nous n’exerçons aucune influence. Ils comprennent également l’efficacité de la gestion de projet, la réponse au risque, l’exécution des tâches, la conformité, l’offre et la demande, les taux d’intérêt, les traitements comptables effectués, le comportement des clients, les taxes et impôts, les décisions de tarification, l’inflation, les taux de change, le roulement du personnel, les forces macroéconomiques, l’exactitude de l’utilisation des données, les modèles d’entreprise, la concurrence, etc. Nous dressons une courte liste de ceux qui sont jugés les plus critiques : FOI 1, FOI 2, etc. Bon nombre d’entre eux ont un potentiel positif et négatif, et il est important de saisir les deux sans partialité.

Il faut tenter de définir chaque FOI de manière à ce qu’il ait une corrélation faible ou nulle avec les autres FOI. Dans le cas d’un assureur, les sinistres reliés aux inondations plus importantes que prévu ont une faible corrélation avec le rendement des actifs investis et, dans le cas d’une banque, les pertes de crédit plus élevées que prévu dans un portefeuille de prêts ne sont généralement pas corrélées à des dépenses imprévues au titre de la surveillance de la solvabilité des clients à la suite d’une atteinte à la sécurité des données.

Au moyen d’entrevues sur les risques ou de sondages ou dans le cadre du processus de planification financière, nous avons cerné les facteurs d’incertitude qui influent sur les résultats financiers et avons recueilli les points de vue des experts sur leurs répercussions possibles. Si le plan financier suppose un résultat ou un éventail de résultats pour l’un des FOI explicitement et que son comportement réel « est conforme au plan », nous interprétons cela comme ayant une incidence nulle sur les résultats. Nous nous intéressons donc à la façon dont les incertitudes ajoutent aux prévisions du plan ou les réduisent. Il faut d’abord déterminer pour chaque FOI la probabilité de se situer dans la fourchette de réduction ou d’augmentation des résultats du plan. Le document ci-dessous présente les estimations qui sont fondées sur les commentaires des experts et les données disponibles.

Document VII
Probabilité d’effets financiers sur les résultats selon le facteur opérationnel ou l’incertitude
rm-2024-09-levine-exhibit-7-fr.jpg

Nous simulerons séparément les effets possibles de chaque FOI. Prenons l’exemple du FOI 1. Nous pouvons générer un nombre aléatoire à partir de (0,1) dans Excel en tant que « ALEA() », puis utiliser une règle simple pour le mettre en correspondance avec l’entrée appropriée dans la rangée du FOI : l’incidence simulée sur les résultats. Cette règle de correspondance suppose la création de fourchettes dont la largeur correspond aux estimations de probabilité dans la rangée du FOI. Selon la valeur aléatoire, p, à partir de (0,1), nous calculons l’incidence simulée comme suit :

  • Pour p < 0,02, l’incidence se situe dans la cellule rouge la plus à gauche, avec une réduction des résultats financiers de « > 100 ».
  • Pour p dans [0,02, 0,02 + 0,07) ou [0,02, 0,09), la réduction est de « 75 à 100 ».
  • Pour p dans [0,09, 0,09 + 0,10) ou [0,09, 0,19), la réduction est de « 50 à 75 ».
  • Pour p dans [0,19, 0,31), la réduction est de « 25 à 50 ».
  • [...]
  • [...]
  • Pour p dans [0,95, 1), l’augmentation est de « > 100 ».

La même approche permet de mettre en correspondance les règles de tout nombre aléatoire avec l’incidence simulée de ce FOI particulier. Par conséquent, en utilisant 10 nombres aléatoires à partir de (0,1), nous obtenons 10 incidences simulées sur les prévisions de résultats dans le plan financier. Cela compte comme une simulation unique de tous les effets combinés des risques sur les résultats, ce qui est illustré ci-dessous :

Document VIII
Simulation de l’incidence des FOI pour une année simulée
rm-2024-09-levine-exhibit-8-fr.jpg

Le document ci-dessus présente une simulation basée sur 10 valeurs simulées aléatoires dans (0,1). Nous ajoutons l’incidence totale de -132,5 aux prévisions du plan, p. ex. 1 000, pour obtenir le résultat simulé de 867,5. Si nous effectuons cette opération de nombreuses fois, nous pouvons alors examiner les simulations résultantes pour obtenir les centiles pour les résultats financiers. Certaines modifications peuvent être apportées pour accroître la probabilité des résultats extrêmes afin de remédier à l’absence de corrélation, mais en général, cette procédure ne permet pas de modéliser efficacement les extrémités. Toutefois, notre sélection minutieuse des catégories de FOI a fait en sorte que la plupart des corrélations soient faibles, et nous ne tentons pas de modéliser les résultats extrêmes.

Cela nous permet d’indiquer une probabilité estimative des résultats réels qui se situent dans une certaine sous-fourchette ou la probabilité que les résultats soient supérieurs ou inférieurs à un seuil d’intérêt fixe, comme 110 % ou moins de 80 % du plan. Une telle analyse intéresse au premier chef les chefs d’entreprise, les cadres supérieurs et le conseil d’administration, et contribue également à la mise en œuvre des notions de capital économique ou de réserve de sécurité. De plus, c’est un outil précieux pour le chef de la direction qui souhaite a priori établir les primes à accorder en fonction des résultats réels par rapport au plan.

Conclusion

En mettant l’accent sur les quatre attributs souhaités des techniques de GSR, nous sommes en mesure d’analyser l’incertitude associée à l’exécution stratégique. Parce que nous visons le bon objectif dès le départ, les quatre attributs (avec le symbole mnémonique PAID, ndlt : articulate, prioritize, drive and improve) nous permettent d’obtenir l’adhésion dès la conception et de communiquer des renseignements sur les risques qui interpellent les dirigeants. Les détracteurs peuvent toujours dénoncer notre incapacité à faire des prévisions, mais ce n’est pas le véritable enjeu. Le vieil adage de George Box est vrai : [traduction] « Tous les modèles sont faux, mais certains sont utiles ».

Les faits énoncés et les opinions formulées dans le présent document sont ceux de chaque auteur et ne correspondent pas nécessairement à ceux de la Society of Actuaries, des rédacteurs du bulletin ou des employeurs des auteurs..

Damon Levine est spécialiste et consultant en gestion du risque d’entreprise. Vous pouvez le joindre à damonlevineCFA@gmail.com.

Note de fin de document

[1] https://www.soa.org/globalassets/assets/files/resources/essays-monographs/2016-erm-symposium/mono-2016-erm-levine.pdf