La gestion des risques : le plan de continuation !
Beaucoup de sociétés, surtout celles soumises à la surveillance de l’état (institutions financières, etc.) ou celles d’une certaine taille, définie par le code des obligations ont le devoir d’avoir un plan de continuation.
Il s’agit des sociétés ouvertes au public, des sociétés qui ont l’obligation d’établir des comptes de groupe, ainsi que des sociétés qui, au cours de deux exercices successifs, dépassent deux des valeurs suivantes:
- total du bilan: 10 millions de francs,
- chiffre d’affaires: 20 millions de francs,
- effectif : 50 emplois à plein temps en moyenne annuelle.
Mais qu’est-ce qu’un plan de continuation ?
C’est littéralement un plan en cas de catastrophe. Une partie est une sorte de stress test financier en cas d’événement qui met en péril la continuation des opérations et l’autre est un plan organisationnel en cas de survenance d’un tel événement !
La gestion des risques
Les responsables de contrôle interne et de la gestion des risques font un inventaire des risques, auxquels la société est exposée. Il est important de prendre non seulement en compte les facteurs externes, par exemple les facteurs de marché, mais aussi des événements extraordinaires en dehors du domaine de maîtrise de la société elle-même.
Étude de cas
Prenons un exemple. La société active dans le domaine de l’assurance, dont j’étais un des dirigeants a mis en place son plan de continuation, il y a quelques années de cela. La société était passablement basée sur les nouvelles technologies et avait passé le cap de la digitalisation. Mais, elle devait garantir un service téléphonique d’assistance médical 24h/24. De ce fait, le plus grand risque était que physiquement nous ne pouvions plus accéder aux locaux. Pour nous, le risque le plus grand aurait donc été que le bâtiment disparaisse tout simplement.
Le problème était l’organisation de travail. La société avait toutes ses données sur le cloud, hébergé chez un grand opérateur téléphonique avec toute les normes d’audit suisse nécessaire à la FINMA. La téléphonie consistait en du VoIP, c’est-à-dire que toutes les données téléphoniques passaient par internet. La société utilisait également PBX, qui permet de basculer les appels vers l’externe ! Le tour de main était donc facile ! Les appels étaient déroutés vers plusieurs numéros de téléphone portable. En ce qui concerne les paiements, etc. les accès au divers comptes bancaires étaient gardés chez deux responsables de la société en dehors des bureaux, soit chez nous à la maison.
Il restait une chose à définir : le point de « replis » ! Nous étions plusieurs représentants de l’équipe technique (IT), des opérations, et de la direction. Et à ce moment la solution était évidente et assez rigolote au fond : Nous nous avions décidé de nous donner rendez-vous au premier Starbucks, car il y a du café et le wifi gratuit. A partir de là, nous pouvions être opérationnels, puis l’organisation de travail depuis la maison pouvait se mettre en place.
Ceci est un exemple de plan de continuation opérationnel que de nombreuses sociétés ont mis en place.
Malgré une gestion des risques très hautement mise en avant dans certains domaines, comme celui de l’assurance par exemple, il est toutefois impossible de tout prévoir. C’est le cas, avec les mesures prises face au COVID-19.
Un scénario en cas de pandémie est prévu, mais il ne prend sans doute pas en compte les mesures actuelles prises par les autorités fédérales. Et il est peu probable qu’une société aie prévu un plan en adéquation avec celles-ci.
Que faut-il en conclure ?
Au fond, la culture de la gestion des risques ne consiste pas à avoir une solution à tout, comme nous l'a expliqué le professeur Fragnière dans la gestion des risques et les systèmes de contrôle interne (SCI).
Il ne faut pas se voiler la face et penser qu’une culture de la gestion des risques limiterait les pertes de la société par rapport à celles qui n’en ont pas. La vraie plus-value est la capacité à « rebondir », à s’adapter à une nouvelle situation en trouvant des solutions. Pour en trouver de nouvelles, cela est d’autant plus « facile » pour ne pas dire efficace, si vous impliquez le plus de personnes possibles dans le processus de gestion des risques et surtout si vous les faites interagir afin qu'ils réfléchissent ensemble.
Que retenir ?
Au fond, les sociétés qui ont une gestion des risques et un contrôle interne en place, ne sont pas tellement meilleures face à la survenance de risques extraordinaires, mais les acteurs de la bourse font en sorte que la valeur de leurs actions « remonte » plus vite.
Cependant, et c’est pour le moins des plus importants, ces sociétés seront plus amenées à s’adapter aux nouvelles règles du jeu ! Ce point est primordial et il ne dépend que d’un seul facteur. D’ailleurs, c’est le même facteur qui génère le risque, l’être humain. Une bonne équipe avec, à chaque échelon, une structure éduquée aux risques et aux possibles solutions trouvera toujours une solution efficace et efficiente aux challenges auxquels elle sera confrontée !
Sur ce, restez chez vous, lavez-vous les mains et comportez-vous de manière responsable !
Photo credit : Mohamed Hassan de Pixabay
Lectures complémentaires :
La gestion des risques et les systèmes de contrôle interne (SCI)
Le risk management pour tous !
