Plus généralement appliqué aux entreprises, la gestion du risque s'attache à identifier les risques qui pèsent sur les actifs de l'entreprise, ses valeurs au sens large, y compris, et peut être même avant tout, sur son personnel. On distingue généralement deux catégories d'actifs : les financiers et les non financiers.
Les dirigeants d'entreprises ont pour mission de rendre leur exploitation viable (équilibrer les charges avec les ressources) voire de la développer (ressources supérieures aux charges = production de richesse). Le résultat obtenu leur permettra de survivre (résultat nul) voire d'en assurer la pérennité en la développant (résultat positif).
Au-delà de la gestion financière des risques et du clivage risques financiers/non financiers, l'analyse approfondie des risques de l'entreprise impose une veille étendue qui peut s'assimiler à de l'intelligence économique. Cette prévention des risques pesant sur les actifs aboutit à établir grille des risques avec à chaque fois des veilles ciblées adaptées à chaque type de risques (politique, juridique, social, environnemental, etc.).
Le phénomène de cause à effet est de plus en plus délicat à analyser avec l'effet systémique que peut présenter désormais la mondialisation financière et l'économie ouverte ou globalisée.
Toute activité économique entraîne des risques, que les dirigeants doivent gérer et avant tout évaluer. Pour cela, il faut les identifier puis les réduire au minimum, assumer financièrement la charge de ceux qu'ils jugeront acceptables (en fonction de la taille et des capacités financières de l'entreprise), traiter par des tiers selon des processus d'externalisation les risques liés à certaines activités, et enfin transférer certains risques auprès de professionnels de l'assurance qui assureront une garnatie financière.
L'identification des risques passe aujourd'hui par la compréhension du cycle de gestion, qui intégre les partenaires amont et aval (clients et fournisseurs), mais aussi, dans un environnement en interaction complexe avec l'entreprise, les autres parties prenantes (banques, société civile). Dans cette optique, l'évaluation des risques passe également par une analyse du cycle de vie des produits.
Cette démarche d'analyse et d'identification systématique est assez traditionnelle dans le monde industriel : maritime, aviation, nucléaire, pétrolier, industrie chimique… mais cela n'élimine pas totalement le risque (voir l'explosion de l'usine AZF à Toulouse). Elle se développe également dans le domaine de la santé, et plus précisément dans les établissements de santé, publics ou privés, où la gestion des risques et des vigilances sanitaires est devenue indissociable de la démarche qualité.
En revanche, l'analyse de risque est beaucoup plus récente dans le domaine de la gestion et de l'économie, qui en était relativement écarté du fait de l'absence (apparente) de risques directs sur la vie humaine. D'autre part, il existe, à l'intérieur des entreprises, une certaine déconnexion entre le domaine de la gestion pure, et celui de l'industrie, mais les liens existent néanmoins, puisque toutes les grandes entreprises industrielles doivent gérer leur activité, et cela se fait aujourd'hui à l'aide de l'informatique de gestion. D'autre part, la gestion des connaissances a tendance aujourd'hui à faire tomber les frontières entre la gestion et la technique pure, puisqu'elle s'intéresse aux connaissances et aux compétences de l'entreprise.
Dans les grandes entreprises, on trouve des équipes spécialisées à la tête desquelles œuvre un gestionaire du risque ou risk manager. Il a donc vocation à gérer les risques de l'entreprise qui l'emploie.
Pour les PME, " Les entreprises de taille moyenne sont encore peu préoccupées de gestion des risques. Selon une étude du cabinet d'audit Mazars, qui a interrogé environ 200 entreprises affichant des chiffres d'affaires de 100 millions à quelques milliards d'euros, les risques qui les inquiètent le plus sont ceux qui peuvent entraîner une sanction du client, suivis des risques techniques ou opérationnels. Viennent ensuite les risques industriels, juridiques, fiscaux et informatiques." (Les Echos 09/05/2007 "La gestion des risques s'installe aussi dans les entreprises de taille moyenne").
Quelle que soit la taille de l'entreprise, chaque type de risque nécessite une réponse appropriée avec des ressources humaines dédiées externes et/ou internes. On a vu, avec le passage informatique à l'an 2000, qu'il était nécessaire de mettre en place dans les entreprises des équipes spécialisées dans la gestion du risque sous l'angle de l'informatique de gestion. Aujourd'hui, les questions de responsabilité sociétale des entreprises nécessitent, de la même manière, la prise en compte d'un risque global, vis-à-vis de la société civile (impacts de l'activité, risques liés aux produits défectueux, etc,), la dématérialisation impose un traitement attentif des dirigeants.
On distingue quatre manières de gérer le risque, par ordre croissant de coût :
Ce sont les actifs " non circulant " ou immobilisés de l'entreprise : bâtiments, véhicules, machines,… auxquels s'ajoute le personnel employé dans le cadre de l'activité y compris les sous traitants (voir la responsabilité des mandataires sociaux)
Les outils de gestion du risque sont
La notion d'actif financier est une notion comptable. Par opposition, on parlera des passifs financiers.
Ce sont les liquidités financières de l'entreprise ou actif circulant.
Les principaux risques financiers peuvent être listés et couvrent généralemement quatre risques, à savoir :
Il y a d'autres risques mais la plupart se rapprochent de ceux-là. Par exemple, on parle de risque pays. Si un pays connaît une crise très grave (guerre, révolution, faillite en cascade, etc.) alors même les entreprises de confiance, malgré leur crédibilité vont se retrouver en difficulté. C'est un risque de contrepartie lié à l'environnement de la contrepartie.
Pour les entreprises cotées soumises à des obligations de communication financière de plus en plus lourdes, les experts estiment avec les autorités boursières que cette communication est arrivée à "maturité".
Ce thème est systématiquement abordé dans les documents de référence, témoin d'une gestion globale des risques en interne (Enterprise Risk Management).
Si la trame varie en fonction du droit applicable à l'entreprise, les entreprises françaises cotées à Paris suivant la grille de l'Autorité des Marchés Financiers qui définit cinq rubriques :
Le degré d'information peut en tous les cas varier suivant la famille de risques considérée, le profil sectoriel de l'entreprise, la typicité de ses métiers, produits et services et de ses implantations géographiques.
Pour les entreprises non cotées, leur capacité financière sera déterminée souvent à la lumière de leur profil de risque dont la trame plus simplifiée est assez proche de celle des entreprises cotées.