Intégrer la gestion des risques dans les processus de gestion

La complexité s'accroît, que ce soit en raison du paysage des processus internes ou des exigences imposées aux entreprises de l'extérieur (telles que les règlements et les règles).

Il est difficile de s'y retrouver dans ce flot de données, de tirer les bonnes conclusions et de développer des stratégies à partir de la richesse d'informations qui en résulte. Ainsi, les systèmes de traitement des connaissances deviennent de plus en plus importants. La gestion des risques devrait également être intégrée dans ces processus. Cependant, cela suscite également un certain nombre de questions.

L'objectif de cet article est de déterminer dans quelle mesure l'intelligence économique (BI) peut soutenir la gestion des risques (RM) au niveau exécutif. Quels sont les risques pertinents pour les cadres supérieurs ? A-t-elle même besoin de son propre département des risques ?

Est-il possible de gérer le risque en utilisant uniquement des procédures automatisées ? Ne serait-ce pas plus objectif que de se fier à l'évaluation des experts ? Où les produits logiciels peuvent-ils être bien utilisés et où sont les limites de ces applications ? Quels sont les domaines d'application de la gestion des risques qui peuvent être cartographiés avec eux ?

Qui s'occupe de la gestion des risques ?

La RM est sur toutes les lèvres. On a l'impression que presque tout le monde dans l'entreprise fait vraiment du RM. Chaque département : contrôle de gestion, sécurité, juridique, conformité, développement commercial, informatique, les chefs de projet jusqu'au directeur financier, le PDG et le conseil d'administration. Pourquoi avons-nous besoin d'un gestionnaire de risques et d'un gestionnaire de gestion des risques distincts ? Tous les risques semblent être déjà gérés plusieurs fois. Ou pas ?

Avec une telle protection contre les risques, on peut comprendre si l'opinion se fait au niveau de la direction que vous pouvez tout aussi bien vous passer de votre propre RM.

Néanmoins, une distinction précise doit être faite entre la conscience des risques des différents services et la tâche d'un RM neutre et indépendant.

Un processus de gestion fait partie des processus de gestion et influence et définit les processus de base. Cela inclut également la gestion des risques.

La RM automatisée - une alternative ?

Des mots à la mode comme "intelligence artificielle" (IA) ou "gestion des cyber-risques à grande échelle", "processus robotiques", etc. suggèrent qu'avec l'installation de logiciels appropriés, les risques peuvent être maîtrisés.

Certaines solutions logicielles prétendent que la direction peut immédiatement voir les KPI pertinents ou les expositions aux risques dans un "cockpit des risques" en un clic de souris. Cela semble tentant, mais demande beaucoup d'efforts et de préparation.

Et rien ne fonctionne tout seul. L'exploitation continue nécessite une maintenance, une adaptation, un développement supplémentaire et des contrôles de plausibilité. Après tout, les données ne peuvent pas simplement être reprises, mais doivent être replacées dans un contexte significatif. Sinon, le système utilisé devient lui-même un risque qui suggère une fausse précision.

"Chaque outil a besoin de son fou" ; comme on le dit si succinctement dans le milieu des logiciels. Il est donc important qu'une personne soit responsable de l'entretien des outils et prenne cette tâche au sérieux. Sans tenir compte de la maintenance des données et des contrôles de plausibilité, de nombreuses données peuvent être générées. Ce phénomène est repris dans l'expression GIGO en informatique - "garbage in - garbage out". Et enfin, il devrait être possible d'interpréter correctement les résultats : "Un fou avec un outil est toujours un fou.

Quiconque a déjà programmé connaît le principe selon lequel des instructions sous forme de code machine sont nécessaires pour obtenir un résultat des programmes. Une source d'erreur réside déjà dans la saisie du problème. Quel est le but recherché ? L'interprétation des données contient déjà la question suivante : quelle est la signification des résultats ?

Dans quelle mesure les interfaces sont-elles adaptées au paysage informatique existant ou à des sources externes (telles que les cours de la bourse, les courbes de prix) et dans quelle mesure le système reconnaît-il les erreurs de saisie ? Il y a beaucoup à analyser, même avec des solutions logicielles standard.

Ce n'est pas négligeable. Il devient évident que les informations peuvent être incomplètes ou incorrectes, que les modifications et les extensions ne sont pas toujours facilement possibles et peuvent entraîner des coûts élevés.

Les erreurs dans les systèmes peuvent provenir de différents domaines : de l'acquisition de la tâche, de la logique du programme, de la syntaxe, des interfaces avec d'autres systèmes, des erreurs de saisie des utilisateurs jusqu'aux problèmes de matériel.

Même les systèmes informatiques les plus puissants ne sont pas à l'abri de cette situation. Les processus de transformation numérique sont coûteux, mais peuvent également apporter une forte valeur ajoutée s'ils sont judicieusement intégrés à l'entreprise.

Quand l'automatisation a-t-elle un sens ? Et quand ce n'est pas le cas ?

L'automatisation en RM est indispensable pour le traitement de grands volumes de données, comme dans le secteur financier ("courbes de prix à terme", "notations", contrôles de plausibilité, etc. Les mécanismes utilisés sont extrêmement importants dans des domaines tels que la gestion des liquidités, la gestion des devises et le suivi financier.

Les outils utilisés peuvent détecter des anomalies (par exemple dans les opérations de paiement), mettre en marche des mécanismes "stop loss" et envoyer des avertissements.

Mais il y a certainement des limites à l'automatisation.

Qu'est-ce que cela signifie pour la gestion des risques de l'entreprise (CRM) ? La tâche du Corporate Risk Manager est de porter à l'attention de la direction générale les risques qui menacent l'existence de l'entreprise et de définir les mesures à prendre pour leur gestion. Cette tâche comprend la prise en compte de tous les risques, tant les risques opérationnels que les risques stratégiques. Les entretiens avec les experts se sont avérés extrêmement précieux et efficaces pour déterminer la situation globale des risques.

Bien que les données puissent certainement être saisies dans des outils de gestion des ressources humaines pour effectuer des simulations et des calculs analytiques, le degré d'automatisation est faible. L'enregistrement et la description des risques relèvent généralement de la responsabilité du gestionnaire de risques ou d'experts en risques sélectionnés. Il s'agit plutôt de stocker les risques pertinents à l'abri des audits, de les analyser et de les préparer, et de produire un rapport sur les risques.

Exigences en matière de RM

La compétence en matière de gestion des risques est bien sûr aussi très importante pour le succès du processus de gestion des risques. Les exigences (réglementaires et économiques) peuvent être très différentes d'une entreprise à l'autre. Un traitement rigoureux selon un schéma peut simplement satisfaire aux obligations réglementaires, mais, mis à part la charge de travail supplémentaire et la frustration, il n'apporte pas grand-chose aux unités opérationnelles et à la direction de l'entreprise.

L'art du gestionnaire de risques consiste à agir avec méticulosité, astuce, analyse et systématique d'une part, et d'autre part à appliquer le bon sens et la diplomatie. Des connaissances spécialisées approfondies, la flexibilité, l'endurance et un haut niveau de tolérance à la frustration complètent le profil d'exigences. Bien entendu, le gestionnaire de risques doit également faire preuve d'intégrité et de loyauté et ne pas être un destinataire consentant des commandes. Enfin, il est également important de pouvoir filtrer de manière plausible les dangers importants qui menacent l'existence de l'entreprise à partir de l'abondance d'informations et de les documenter.

Conclusion

L'intelligence économique ne signifie pas que tout peut être cartographié dans des processus standard. Dans le domaine des risques en particulier, des dangers spécifiques à l'entreprise peuvent surgir qui ne s'inscrivent pas dans un schéma et peuvent soudainement gagner en importance en raison d'un environnement modifié. La crise financière avec ses effets dévastateurs peut bien sûr être prise comme exemple ici. Mais généralement, les effets ne sont pas aussi globaux, mais ne touchent alors qu'une seule entreprise ou un seul secteur. La BI n'inclut pas seulement l'installation d'une solution logicielle, mais aussi la capacité des employés à collaborer, à analyser et à se remettre constamment en question de manière critique, ainsi que des actions ciblées orientées vers des solutions. En RM, les systèmes représentent un soutien important et en partie indispensable, si l'on est conscient des limites et des dangers.

Les performances des systèmes informatiques sont en constante augmentation ; dans ce contexte, on assiste par exemple au développement des ordinateurs quantiques qui, grâce à leur puissance de calcul, peuvent rendre obsolètes les méthodes de cryptage actuelles en quelques années seulement, puisqu'ils peuvent effectuer des opérations de calcul des millions de fois plus vite que les ordinateurs classiques.

Cependant, le défi consistant à tirer les bonnes conclusions d'une telle richesse d'informations s'accroît également. Les fausses certitudes peuvent causer de grands dégâts. La responsabilité des décisions et des mesures stratégiques incombe toujours à la direction générale, et aucun superordinateur ne s'en chargera.