Intelligence économique et gestion des risques : mieux maîtriser l’incertitude.

Jacqueline Deschamps, Haute Ecole de Gestion, Genève

François Courvoisier, Professeur, Haute école de gestion Arc, Neuchâtel

Françoise Simonot, Chef du département Information-Communication, IUT de Besançon

Intelligence économique et gestion des risques : mieux maîtriser l’incertitude.

L’intelligence des risques, par Bernard Besson

Chargé de mission auprès du haut Responsable à l’Intelligence économique à Paris, co-auteur avec Jean-Claude Possin de l’ouvrage L’intelligence des risques, Bernard Besson présente la notion de risque sous ses différents aspects. Le risque, à ne pas confondre avec une menace, est à concevoir comme une information que l’on a ou que l’on n’a pas. L’intelligence des risques fait parler des risques différents et cela a même donné lieu à un métier, le risk manager. Le risque n’est pas que statistique, il est aussi lié à des émotions.

Selon Bernard Besson, nous sommes dans le temps des risques : Bhopal, Seveso, le tsunami, la grippe aviaire, la crise des subprimes, etc., qui génèrent des angoisses pour l’avenir et des activités de prévention. On observe une évolution des mentalités : aujourd’hui on désigne les coupables. Il y a une pression forte avec le principe de précaution, l’opinion publique est solidaire des victimes. Il y a une évolution du droit et de la jurisprudence. Le risque est une réalité quotidienne. Par exemple, tout propriétaire doit produire plusieurs diagnostics pour la vente d’une maison. Le citoyen est amené à faire de « l’intelligence des risques ». Aucune petite entreprise ne peut assurer seule son intelligence des risques, mais elle peut compter sur le soutien de réseaux.

L’apport de l’intelligence économique dans la prévention des risques consiste à proposer une nouvelle conception du risque. Le danger incite à regarder différemment. L’inquiétude est un aiguillon de ce que l’on ne voit plus. La valeur d’une entreprise, c’est aussi son image, son aspect immatériel. Il y a aussi la maîtrise de la peur : les USA ont été traumatisés par le 11 septembre 2001. Depuis, il y a la norme ISO 28000 pour se préoccuper de la logistique et de la sécurité : c’est devenu un marché, avec un risque d’inflation législative.

Le risque est ce qui altère la performance de l’entreprise. Si on parle de risque, on a résolu 50% de la peur. La prévention du risque n’est pas une lourdeur supplémentaire. Il existe donc une nouvelle vision globale de l’intelligence des risques, qui se compose de quatre éléments interdépendants : la sécurité (safety), relative aux accidents et défaillances techniques ; la sûreté (security), qui relève de la malveillance ; l’environnement, englobant la pollution, les inondations, etc. ; le management, lié aux attitudes et comportements dysfonctionnels, comme par exemple une rupture d’approvisionnement.

D’après Bernard Besson, c’est l’ignorance qui est moteur de l’intelligence économique, ce n’est pas l’information. En France, il y a des associations professionnelles comme AMRAE qui a fait le référentiel pour les risk managers et leur indique en quoi l’intelligence économique les aide à pratiquer leur métier.

Pour commencer une démarche d’intelligence économique, il faut se poser les questions suivantes : « quels dangers courons-nous ? » ; « quels sont nos moyens de protection ? » ; « disposons-nous des meilleurs systèmes ? » ; « quelle est la fiabilité de nos partenariats ? ». Une entreprise qui protège ses membres, ses clients et ses partenaires renforce sa cohésion, son image et augmente sa capacité d’influence. L’intelligence des risques permet de devancer des concurrents moins avancés en la matière.

Pour bien commencer un processus d’intelligence des risques, il faut recenser et analyser tous les incidents et accidents rattachables à la sécurité, à la sûreté, à l’environnement et au management, évaluer les coûts humains et économiques liés à l’occurrence de ces risques et mettre en rapport les budgets dédiés à la protection et les préjudices subis ou évités. Il faut ensuite organiser une réunion de tous les cadres et personnels concernés à un titre ou à un autre. L’intelligence des risques passe par la prévention ou l’occurrence des risques recensés et évalués.

La France et la Suisse, notamment, sont des pays d’ingénieurs de grande qualité cindynique (science du danger). Les travaux de cindynique de l’Ecole polytechnique de Paris ont mis en évidence un processus : avant la catastrophe, il y a une chaîne de l’information et toute catastrophe s’explique par une rupture dans le traitement et l’utilisation de l’information. Les ruptures récurrentes que l’on peut identifier sont dues aux quatre types de problèmes évoqués plus haut : la sécurité, la malveillance, l’environnement ou le management. Toute catastrophe s’explique par ces quatre regards et le risque sécuritaire global est constitué par la somme de ces quatre regards.

Lors d’une catastrophe, on constate souvent que tout le monde a bien fait son métier, mais ce qui a manqué, c’est une vision globale. Dans une PME, c’est le chef d’entreprise qui doit avoir la vision globale, mais il doit être secondé par un réseau d’intelligence collective.

Bernard Besson clôt son exposé en se posant la question : est-ce que le fait de chercher à prévoir les risques peut tuer l’innovation… ?

Perception du risque et méthodes informationnelles, par Clotilde Aubertin

Clotilde Aubertin, Competitive Intelligence Analyst au Nestlé Research Center à Lausanne, présente les résultats d’une recherche sur la perception du risque par les consommateurs avec l’exemple des TFAS : les acides gras « trans ». Internet pourrait être un reflet de l’intérêt des consommateurs et permettrait d’établir une typologie des utilisateurs. Deux sujets clés sont analysés : le e-commerce par Internet et l’alimentation. Le comportement du consommateur est passé en revue, comme sa perception et la sécurité à l’égard du risque. Qu’est-ce qui a été produit sur le plan scientifique ? Quelle est la perception du risque sur une communauté académique ?

Les acides gras trans (Trans Fatty Acids) sont un procédé breveté par Procter & Gamble qui transforme l’huile en solide pour améliorer le goût. Dès 1998, la communauté scientifique émet des hypothèses sur les effets des acides gras transsur le cœur et, en 2000, le risque alimentaire est confirmé. Le Canada et les USA mettent alors en place des mesures restrictives et les restaurants informent des risques cardio-vasculaires. Les associations de consommateurs font du lobbying et sont des relais de l’industrie au consommateur final. La communauté scientifique produit des publications. Dans le processus de diffusion, les chercheurs publient, la presse et les médias relaient les scientifiques. Les consommateurs sont actifs avec le web 2.0 et cela crée une émulation. Lors des recherches en ligne, les outils choisis pour analyser les sources sont les web watchers, les alerts search engines et le text mining. Google trendsest complémentaire de la base de données Factiva. Quelques outils sont utilisés pour voir l’articulation des blogs de consommateurs les uns avec les autres. Ixxo permet de voir l’évolution du sujet à travers la blogosphère, notamment en cartographiant les blogs et leurs interactions. Des experts formulent des recommandations managériales, mais le sujet est trop scientifique et a une faible représentation sur Internet. L’analyse des blogs montre que seuls 0.05% des consommateurs se préoccupent des acides gras trans : le grand public n’a pas encore intériorisé le risque.

En conclusion, les différents types de communautés qui abordent ce sujet sont plutôt des experts, des scientifiques, des diététiciens ou des blogs plus personnels. Le web devient un outil très réactif avec l’accélération du temps, il est le reflet de la perception des consommateurs. On peut donc se poser la question de savoir comment mieux communiquer par l’intelligence économique pour réduire la perception du risque du consommateur. La réponse est peut-être dans l’amélioration de la médiation entre outils et expertise scientifique.

Evaluation des risques et système de contrôle interne (SCI) : quelles nouvelles responsabilités pour les organes de la SA ?, par Benjamin Chapuis et Bertrand Perrin

Benjamin Chapuis et Bertrand Perrin, tous deux professeurs à la Haute école de gestion Arc à Neuchâtel, introduisent leur exposé par l’aspect juridique, le droit ayant une dimension préventive qui s’impose quand il y a problème. La réglementation pour la société anonyme nécessite d’anticiper. Les administrateurs ont des responsabilités et des devoirs dont celui d’exercer personnellement leur mandat ainsi que le devoir de diligence, le devoir de fidélité et celui de respecter l’égalité de traitement entre les actionnaires. Il y a un lien de causalité entre la violation du devoir et le préjudice causé, donc il y a obligation d’exercer les attributions avec la diligence nécessaire. L’annexe aux comptes annuels doit contenir des indications sur la réalisation d’une évaluation du risque. L’évaluation du risque, selon le minimum légal, est celui que fait le conseil d’administration.

Il est important d’adapter son approche à l’exposition de l’entreprise aux risques. Le contrôle interne est un dispositif qui vise à assurer la conformité aux lois et règlements. Diverses lois, en 2002, 2003 et 2008, formalisent le contrôle interne. Le cadre conceptuel comprend diverses notions comme l’évaluation du risque, les activités de contrôle, l’information et la communication, la surveillance, la stratégie et le reporting. Benjamin Chapuis et Bertrand Perrin terminent leur exposé par quelques conseils pratiques pour la mise en place d’un SCI.

Le système de contrôle interne (SCI) et la surveillance des risques : la situation en Suisse romande, par Pierre-Alain Cardinaux

Pierre-Alain Cardinaux, responsable du siège de Lausanne de la société Ernst & Young, présente un état des lieux du système de contrôle interne en Romandie et de son rôle dans la surveillance des risques. Le conférencier nous rappelle que le SCI existe dans la loi suisse. Ainsi, il est indiqué dans cette dernière qu’une annexe aux comptes doit être partie intégrante du rapport. Elle doit indiquer la surveillance des risques dans l’entreprise, car l’organe de contrôle doit appréhender l’environnement de l’entreprise. Un guide de surveillance des risques et de contrôle interne a été édité en 2008. Les PME s’y mettent, de même que le secteur public.

Pierre-Alain Cardinaux fait part des résultats d’une enquête romande menée par Ernst & Young sur la présence des systèmes de contrôle interne dans les entreprises. Cette enquête a été effectuée en mars 2008 auprès des membres du CFO On Board. On a enregistré 60 réponses sur 120 entreprises, dont beaucoup de grandes entreprises, comme Edipresse, Implenia, Kudelski et Pargesa. 81 % des entreprises ont déjà un SCI, ou alors il est en cours d’implantation. 62 % font une évaluation du risque (ER), 55% font le minimum.

Il ressort de l’enquête que les entreprises qui possèdent un SCI suivent certaines règles : il y a intégration avec les objectifs du groupe, avec l’audit interne, avec les normes (ISO, etc.), avec la stratégie. Généralement, le soutien du Conseil d’administration est faible, le CEO est jugé bon. Au niveau de l’efficacité des contrôles, 73% des entreprises répondantes se prononcent pour un oui avec modération. 62% connaissent la nouvelle norme NAS890, contre 38% qui l’ignorent.

Les difficultés majeures rencontrées sont le fait de savoir rester pragmatique : jusqu’où aller dans la connaissance du niveau de détail ? Ou encore, quels sont les bénéfices retirés du SCI ? La mise à jour des directives constitue une difficulté, mais, dans l’ensemble, le SCI permet d’améliorer la prise de conscience des risques, de dialoguer avec les différents départements, d’avoir plus de rigueur et de visibilité, donc globalement une meilleure connaissance et évaluation des risques.

Pierre-Alain Cardinaux conclut en présentant quelques voies d’amélioration qui ont été identifiées : le tableau de bord, le suivi des risques, l’implication des cadres, le développement d’une culture d’entreprise par rapport au métier. Les trois variantes de la commission d’audit de la Chambre fiduciaire sont la description du processus, la description des risques en relation avec les comptes et la description de tous les risques pertinents. Le défi est de produire une documentation raisonnable.

Intelligence économique et risques pays, par Michel-Henry Bouchet

Michel-Henry Bouchet, directeur du Global Finance Center au CERAM à Nice, aborde l’intelligence économique et les risques pays, notamment dans le contexte de la globalisation des marchés, en tenant compte des analyses et des prévisions.

Les principaux composants des risques pays sont les risques sociopolitiques, financiers, le risque de contamination régionale et le risque systémique. Le risque économique est le plus important et l’on voit des risques nouveaux émerger, comme la volatilité et la rumeur. Ni les agences de classement, ni les primes de taux ou les décotes de dette ne sont de bons indicateurs d’imminence de crise ou du type de risque. Les classements du risque pays ont des avantages : simplicité, comparaisons entre pays et à travers le temps, condensé du consensus du marché, par exemple par les agences Moody’s et Standard & Poors.

Les agences de rating n’ont pas vu venir les crises, comme celle des subprimes. Ainsi, les crises financières émergent sans avoir été annoncées. Ces agences font parfois preuve de myopie ou de surévaluation du risque en cas de crise.

En conclusion, Michel-Henry Bouchet affirme que l’utilisation de l’intelligence économique est la clé pour transformer l’information en outil de décision stratégique, afin d’évaluer risques et opportunités et de mesurer la qualité de gouvernance des agents privés et publics. Il faut savoir croiser l’information selon différentes sources.

Par exemple, la Banque mondiale examine la gouvernance de différents pays sous les angles suivants : qualité de la gestion, perception de la corruption (avec Transparency International), indice de liberté économique, indice global de compétitivité (avec le World Economic Forum).

Le risque réputation et le risque social, par Stéphane Koch

Stéphane Koch, président de l’Internet Society à Genève, commence par dire que nous sommes tous des « cyclons » ! Sur le web, il y a du mimétisme, du clonage digital. La protection de la marque et de l’entreprise est plus que jamais d’actualité, car la valeur de l’entreprise, c’est son savoir dans l’entreprise 2.0 orientée services. Dans ce cadre, l’intelligence économique signifie anticiper, s’adapter au changement, être proactif dans la détection des risques. Il faut prendre en compte le facteur humain dans la réputation de l’entreprise.

La diffusion de l’information repose sur l’émotion suscitée chez le lecteur. C’est l’employé 0.0 à l’ère de l’entreprise 2.0. L’humain répond à la pyramide de Maslow : amour, doute, incertitude, trahison ; le web 2.0 est au service de l’individu. Le web viral peut transmettre toutes sortes d’informations. Le temps de traitement de l’information diminue avec une information qui augmente en volume. La société est constituée de blogs et d’hommes : toutes les formes de savoirs sont mobiles et dématérialisées. La blogosphère offre une grande caisse de résonnance. Le social engineering permet de réfléchir sur le sens de l’information : sur Facebook, par exemple, les amis d’aujourd’hui ne sont pas forcément ceux de demain.

Il y a une opposition entre l’entreprise fermée et la société ouverte : les modèles d’auto- organisation spontanée sans leaders se font en fonction d’objectifs, par l’opposition entre le perçu et la réalité, entre le périmètre informationnel et le périmètre stratégique. Il vaut mieux réfléchir par l’information plutôt que par les structures, et déterminer les points d’accès aux savoirs tacites et stratégiques de l’entreprise.

Pour Stéphane Koch, les moyens pour collecter de l’information sont nombreux : détective, pirate, web mercenaire, infrastructures extérieures à l’entreprise, Ethernet… Traçabilité est le maître mot. Risques en cascade et cascades de risques impliquent pour tout un chacun de s’imprégner de la culture digitale. Il faut déterminer et sécuriser les points d’accès stratégiques à l’information de l’entreprise : personnes, documents, logiciels, hardware, réseaux sans fil, clés USB, etc. ; puis évaluer les risques en fonction de la valeur de l’information traitée. Le bon réflexe, quand on sort de l’entreprise, est de n’emporter que l’information utile.

Le benchmarking pour réduire les risques, par Pierre Achard

Pierre Achard, de la Société Lifemap à Bourg-la-Reine, présente le processus du benchmarking pour réduire le risque. A tout moment, une technologie nouvelle peut faire irruption dans l’activité de l’entreprise et la surprendre. Le risque en lui-même n’est pas négatif. L’adaptation doit être permanente. Il peut être d’apparition brusque, inattendue prévisible ou non. Le risque se définit par sa probabilité de survenue. Au tipping point (le point d’inflexion), tout bascule. Le veilleur en entreprise doit maîtriser cela en termes stratégiques. Le risque peut se révéler au cours du projet : il impose une réaction d’adaptation pour retrouver l’équilibre menacé ou perdu. La règle des 4 A est la pratique de l’intelligence économique tournée vers l’ouverture : Analyser, Adopter, Adapter, Avancer.

Selon Pierre Achard, le risque maîtrisé, c’est la résolution de problème, saisie des opportunités, anticipation, avancement, progrès. Le benchmarking, c’est un input et un output avec un processus qualitatif à améliorer : identifier le meilleur de la classe et ses meilleures pratiques. Le benchmarking des risques n’est plus seulement un processus, mais l’identification de tous les risques et de leurs conséquences. Il devient alors le benchsetting, qui est quantitatif, global et tient compte de probabilités d’occurrence des risques à formuler pratiquement : Comment / pourquoi en sommes-nous arrivés là ? Quelles sont les options possibles ? Que fait-on ?

La gestion des risques concurrentiels en B2B, par Fabien Noir

Fabien Noir, marketing manager chez Sonceboz SA à Sonceboz, avance que le principe de base est la détermination des facteurs de risques : c’est un processus holistique (valeur, philosophie, mode de management), un processus technique (organisation de la surveillance des concurrents) et un processus tactique, selon Michael Porter (agir contre ses concurrents). Dans une matrice stratégique, il faut croiser ses domaines d’activités avec ses savoir-faire de base, ses avantages concurrentiels, ses concurrents, les opportunités et les menaces du marché. A certaines intersections, on trouve des thèmes clés de surveillance, associés à des risques.

Par exemple, dans le cas d’une organisation humaine, on se trouve devant le choix d’une organisation centralisée ou décentralisée. Le processus passe par la définition des rôles de collecteur – analyste – animateur, mais aussi le training des personnes ressources et une révision selon une fréquence propre à l’organisation. Dans le cas d’une organisation technique, le processus passe par l’identification et la qualification des sources d’information internes et externes. Le cycle du renseignement reste le fil conducteur, et pour cela, la mise en place d’outils de collecte et d’analyse automatisée est privilégiée (sans négliger l’analyse humaine).

Fabien Noir relate que la mise sous surveillance d’un site web fournisseur de Sonceboz a fait apparaître une alliance stratégique critique. L’analyse des demandes d’offres de prix a mis en lumière une demande spéciale d’un client. La veille brevet donne des indications concurrentielles (qui ? quoi ?). La stratégie d’entreprise doit être définie et communiquée dans l’organisation. L’intelligence économique est un outil d’acquisition des ventes et de défense du patrimoine : elle doit donc être partie intégrante de la culture d’entreprise. Il faut une animation soutenue du processus par le marketing. L’étape du feedback est cruciale pour les outputs décisionnels.

Conclusion de la journée, par François Courvoisier

Les travaux se terminent par des remerciements à l’équipe organisatrice, ainsi qu’à Fabienne Courvoisier, adjointe scientifique, et à Antonia Jaquet, assistante de recherche, toutes deux à la Haute école de gestion Arc, qui ont chacune œuvré dans les coulisses et contribué au bon déroulement de la journée.

On peut trouver les présentations des intervenants, au format powerpoint, sur le site web de la Haute école de gestion Arc en suivant le lien http://www.he-arc.ch/hearc/fr/idma/Prestations_Services/Prestations_Services/compterenduscolloques.html.

Le 6ème colloque franco-suisse en intelligence économique et veille stratégique aura lieu à l’IUT de Besançon, l’Université de Franche-Comté, le jeudi 18 juin 2009, sur le thème :

« Intelligence économique et développement à l’international »