La création en avril 2008 de l'Association Marocaine pour le Risk Management (AMRIM) est venue accompagner et sensibiliser les entreprises aux mérites de la démarche.
Une enquête menée par le cabinet de conseil franco-marocain INGEA, auprès d'un panel de 40 entreprises, révèle à ce titre un réel intérêt des dirigeants et un bon niveau de maturité chez les praticiens. On apprend donc que les entreprises pionnières ont créé la fonction Risk Manager il y a quatre ou cinq ans et que les éléments déclencheurs de la pratique sont variés. La majorité des interviewés évoque des obligations réglementaires en faisant référence à Bâle II. On évoque également l'influence des autres pays ou encore l'exigence des actionnaires privés ou publics.
Au-delà des modes et des effets d'annonce, l'enjeu est rappelé en permanence par l'actualité nationale ou internationale: catastrophes naturelles, industrielles, financières. Il s'agit donc de protéger ses engagements, de prévenir et maîtriser tout impact négatif sur les objectifs. Pour la grande majorité des personnes rencontrées, le management des risques vise non seulement la protection des ressources (financières, humaines, image, …), mais aussi et surtout la continuité de l'activité ou de service. Le Management des risques s'intègre parfaitement dans le système global de management. Il s' agit d'affiner les analyses de risque de manière à les rendre plus exhaustives, mieux structurées, traitant des risques connus ou non connus, des risques assurables, des risques internes ou externes.
Pour aborder tout cela, les décideurs se montrent conscients qu'il leur fallait des fonctions dédiées. En revanche, il ressort de l'enquête une certaine confusion sur les périmètres, les rôles et les missions de ces fonctions. L'audit interne est certes en pleine expansion, bien qu'on note un manque de référentiels ou de manuels susceptibles de jouer le rôle de vérificateurs périodiques des mesures de sécurité et de contrôle.
S'agissant du contrôle interne, quand il existe et qu'il est structuré, il œuvre de concert avec l'audit interne et le Risk Management. Les fonctions «Ingénierie Assurance», «Conformité » sont à peine émergentes et les entreprises n'en comprennent pas tout à fait l'utilité.
Les fonctions Qualité / Sécurité / Environnement (QSE) existent formellement dans de nombreux organigrammes, mais l'enquête n'est pas en mesure de révéler leur champ réel d'action. Le grand défi qui se présente est de savoir comment articuler entre les différents supports du risk management ? Comment faire fonctionner les équipes et à qui doit-on les rattacher et quelles interactions envisager avec les autres fonctions de l'entreprise ? Les schémas sont à ce jour très variés.
Dans la majorité des cas, l'Audit Interne se situe en parallèle du Risk Management et reporte directement soit à la Présidence, soit au Directoire, soit à la Direction Financière, dans des entreprises de taille assez souvent plus modeste. Finalement, dans de très rares cas (8%), les 3 grandes fonctions (Contrôle Interne, Audit et Gestion des Risques) sont totalement distinctes et dépendent de différentes instances de gouvernance comme le recommandent d'ailleurs les grands référentiels internationaux. Si les dirigeants ont de plus en plus conscience des risques opérationnels de leur entreprise, ils n' ont pas tous atteint la maturité de créer une fonction dédiée et surtout d'entreprendre le véritable «projet d' entreprise» qui consiste à déployer le management des risques en s' appuyant sur la fonction. Dans trois cas sur quatre, ce dispositif n'est pas défini, et surtout n'est pas construit comme étant un processus itératif amené à s'enrichir, dont l'efficacité est auditée périodiquement par un acteur indépendant. C'est là où réside probablement la principale piste d'amélioration.
Il est à préciser que l'enquête menée par INGEA ne prétend pas être une photographie exhaustive des usages en cours, mais plutôt un panorama des pratiques, des enjeux et des initiatives pertinentes.
Les chiffres présentés sont à prendre avec précaution car le panel de 40 entreprises n'en représente finalement qu'une faible partie même si, en chiffres d'affaires cumulés, l'ensemble pèse lourd. Une enquête pareille ne présentera un intérêt que lorsqu'elle sera conduite de manière périodique. Autrement dit, le jour où elle débouchera sur un « baromètre» du Management des risques au Maroc ».
Cadre référentiel
La gestion des risques est une discipline en développement rapide. De nombreuses définitions et différents points de vues existent sur ce qu'elle représente ou implique ainsi que sur la manière de la conduire. Une forme de cadre de référence est donc nécessaire pour préciser la terminologie,le processus de déploiement de la gestion des risques,l'organisation de la gestion des risques, l'objectif de la gestion des risques .Il est important de souligner que ce cadre de référence prend en compte le fait que certains risques comportent à la fois une part positive et une part négative. La gestion des risques concerne les entreprises privées et les organismes publics, mais aussi toutes les organisations dont l'activité entraîne des conséquences à court ou long terme.
