« Je gère des risques au quotidien Monsieur ! » et il ou elle a raison.
La gestion des risques fait désormais partie de l’univers de gestion des bailleurs sociaux.
La littérature et notamment le COSO (Committee of Sponsoring Organization) qui fait référence en la matière en France et à l’international distingue bien le contrôle interne (COSO I) et la gestion des risques (COSO II).
Les deux démarches ne sont pas concurrentes mais complémentaires. Le contrôle interne permet d’adresser la gestion des risques dits opérationnels, c’est-à-dire les risques attachés aux processus courants de gestion : la gestion locative, la gestion du patrimoine, la maitrise d’ouvrage, les fonctions RH et finances… soit environ la vingtaine de processus qui structure les bailleurs sociaux. Ces risques sont souvent des risques avec une probabilité d’occurrence assez forte mais d’une gravité plutôt faible.
Malheureusement, ils ne sont pas seuls et il existe d’autres risques à maîtriser que ces risques opérationnels, et notamment des risques plus exogènes, stratégiques, réglementaires, de financement, de continuité d’activité…. Ces risques sont quant à eux d’une occurrence plus faible mais d’une gravité bien plus forte, qui impose de fait d’en assurer aussi la maîtrise. Cette autre nature de risque relève de la gestion globale des risques.
Les outils et la démarche restent en revanche les mêmes.
Le modèle de gestion des risques dit des 3 lignes de maîtrise, qui s’est imposé auprès des acteurs économiques, a fait la synthèse de ces deux approches afin d’assurer une maîtrise globale de tous les risques de l’entreprise. D’un côté, les risques opérationnels (contrôle interne, RGPD, Sapin 2, ...) sont pris en charge par le management de proximité (première ligne de maîtrise) mais aussi en partie par la deuxième ligne de maitrise composée des services fonctionnels et transversaux qui opèrent des contrôles de deuxième niveaux.
Cette même deuxième ligne de maitrise assure en outre la prise en charge des risques globaux. Enfin, une troisième ligne de maîtrise, l’audit interne, s’assure, de manière indépendante, que les démarches de maitrise des risques, quels que soient les risques, sont sous contrôle.
Dans ces conditions, faisons-nous plaisir : fromage et dessert !
