La fin de l’année approche et une nouvelle s’annonce : alors quelles bonnes résolutions les Risk Managers et dirigeants pourraient-ils bien prendre ?
Nous vous proposons ici quelques idées sous la forme – très classique – des dix commandements. Ces dix commandements ne vont pas adresser la technicité du traitement risque – comment les identifier, les qualifier, les quantifier, décider des priorités et mettre en place des plans d’actions – mais adresser une vision encore souvent en recherche dans le management des risques : la gouvernance des risques. S’il est évident que la gouvernance des risques doit être intégrée à celle de l’entreprise, comment y parvenir l’est beaucoup moins.
Dans le cas du management de projets, on s’appuiera bien entendu sur la structuration des projets et de l’organisation du management des programmes et des projets : quels sont les indicateurs clés (KPI), quels sont les devoirs et missions en matière de risques du chef de projet, du PMO, du directeur programme … jusqu’au Comex, en passant par les comités de pilotages et autres comités opérationnels et exécutifs. Mais chaque entreprise à sa propre culture, son propre fonctionnement, sa propre sémantique. A chacun donc de décliner dans son contexte.
1. Ne pas tomber dans le piège de la seule conformité
Si l’ISO 31000, qui adresse la gouvernance, n’est pas certifiante, bien d’autres normes adressant les risques sont certifiantes. Et le risque est … de tomber dans la satisfaction d’une conformité en oubliant des risques majeurs ! En effet, trop souvent les RM s’appuient sur des listes détaillées de risques : on coche en s’assurant que la ligne concernée est bien traitée. Il n’y a alors plus de recherche active, juste un contrôle de conformité. Or le risque naît souvent de l’imprévu, de la conjoncture exceptionnelle, de l’innovation … i.e. ce que la conformité ne connaît pas par essence. La solution est, d’une part, d’avoir des typologies de risques (de l’ordre de quelques dizaines au plus) comme soutien méthodologique, les typologies étant en lien avec les métiers et le contexte de l’entreprise, et, d’autre part, de procéder à une approche systémique sur les objets traités. Les Référentiels doivent être de bons esclaves, et non de mauvais maîtres.
2. Apporter de la valeur ajoutée
Il faut reconnaître que les procédures de gestion des risques sont trop souvent vécues par les responsables comme des obligations administratives, sans valeur ajoutée, comme une perte de temps à formaliser ce qui est pour eux bien connu. Dans leurs activités de gestion des risques, les concernés ont besoin d’y trouvent une valeur ajoutée. L’une des méthodes les plus classiques est transformer les risques en opportunités, voire d’identifier des opportunités lors des analyses. Une autre est d’en faire un outil de maîtrise des coûts, car les risques avérés sont toujours des générateurs de coûts. Enfin, une communication bilatérale positive l’activité : informer les acteurs de terrain des résultats obtenus par leurs propositions de traitement des risques est toujours apprécié et créateur de retours à valeur ajoutée.
3. Intégrer l’analyse des risques à la culture des opérationnels
Les opérationnels sont presque toujours la tête dans le guidon, obsédés par les objectifs courts termes, à résoudre l’équation contradictoire des KPI exigés et des budgets. Le risque, ils le vivent au quotidien au travers de tous les aléas et de toutes les défaillances qui impactent leurs activités. D’ailleurs, souvent, ils n’ont pas conscience de la notion du risque entreprise ou du risque projet : ils pensent d’abord risques produits. A titre d’exemple, dans l’automobile, le risque, c’est d’abord la notion sécuritaire de la voiture, puis des process industriels, et enfin, le cas échéant, ceux du projet (d’un nouveau véhicule, …). Un changement de culture se révèle nécessaire : il concerne aussi le vocabulaire et la sémantique, comme la différenciation entre management des risques et gestion de la sécurité.
4. Penser entreprise étendue
Avec le piratage de données, la notion d’entreprise étendue revient. Or elle n’existe guère que depuis un demi-siècle ! C’était quand les grandes industries ont commencé à connecter leurs systèmes de production à ceux de leurs fournisseurs … Et d’ailleurs le piratage de données ne concerne pas que les codes des cartes de crédit. Rentre aussi dans ce risque toutes les données stratégiques de l’entreprise ! Le client en B2C, avec le phénomène du buzz sur les réseaux sociaux, est membre de l’entreprise étendue. Le législateur, qui change si régulièrement les réglementations, est un générateur de risques, donc aussi membre de l’entreprise étendue. On ne compte plus tous les tiers membres de l’entreprise étendue ! Ils sont légions ! La mise en place du management des (réputés) nouveaux risques comme les cyber risques et les risques d’image s’avère impératif. C’est souvent plus une question d’organisation que d’investissements. Traiter les risques d’image générés par un buzz négatif, c’est par exemple donner le droit à une cellule de communication de déclencher une alerte crise majeure sur événement buzz négatif.
5. Créer une synergie avec les entités cousines de l’entreprise
L’audit interne et le contrôle interne participent intrinsèquement de par leurs missions à la maîtrise des risques. Les risques les plus graves sont parfois, et même souvent, cachés dans l’exécution des activités de l’entreprise, ressorts de ces services. L’échange d’informations entre audit interne, contrôle interne et management des risques est devenu une nécessité : tant pour améliorer l’analyse et le traitement des risques, et mieux atteindre ainsi les objectifs, que pour ne pas faire deux fois le même travail d’analyse sur les processus.
Continuer à lire
Les projets adressent souvent des ambitions de l’entreprise : ambitions stratégiques, ambitions commerciales, ambitions organisationnelles, et aussi des faiblesses. Mettre accessible des informations sur les risques des ambitions stratégiques présente un … risque majeur pour la pérennité ! Soyons conscients que dans tous les cas, les informations gérées dans des fiches risques sont a minima sensibles. La confidentialité sur les informations « risques » doit être donc être traitée de façon stricte et permanente. La concurrence ne doit pas y avoir accès, que ce soit par une communication trop transparente, par des actes de piratage ou par des corruptions internes. Or la corruption interne est ce qu’il y a de plus difficile à anticiper : avoir ou ne pas avoir confiance ? Des principes de bases telles que la classification de l’information en termes de confidentialité et la mise en place de barrières étanches entre périmètres organisationnelles s’appliqueront donc tout naturellement au management des risques au quotidien, comme pour tout autre activité de l’entreprise. La mise en place d’outils de traçabilité dans les SI sur les informations est un moyen pertinent pour stopper à temps des fuites, et a minima identifier les ‘balances’. Se pose aussi la question de la consanguinité des conseils d’administration de certaines grandes entreprises : informer le CA revient à informer des concurrents …
Associé VALUE 360, © Value 360
Denis Zandvliet
Consultant en Organisation, expert en
Management des Risques et Engagement de résultats. Il possède une solide expérience dans la direction de projets stratégiques et l’accompagnement au changement organisationnel. Il a dirigé de nombreux projets de dimension internationale, a défini des schémas directeurs, et a mené des audits opérationnels, techniques et financiers dans divers secteurs (pharmaceutique, banque-assurance, pétrole, énergie, transports, ministères…).