Synergies dans la gestion des risques
Lorsque plusieurs personnes discutent du contenu de la gestion des risques dans les organisations, un consensus se dégage rapidement sur l'application du processus de gestion des risques (cadre, identification des risques, analyse, évaluation, adaptation, etc.) Cela devient plus difficile lorsqu'il s'agit de répartir les applications individuelles de la gestion des risques et de la synergie organisationnelle réelle.
Sous le terme générique de gestion des risques, l'ERM (Enterprise Risk Management), ainsi que des sous-domaines tels que le SCI (Système de contrôle interne), le BCM (Business Continuity Management), le CMS (Compliance Management), le QMS (Quality Management), le SMS (Security Management), etc. sont souvent subordonnés. Malheureusement, il existe différents silos de perception.
Une solution trop simple, mais difficilement réalisable, consisterait à utiliser la gestion des risques comme terme générique afin d'intégrer tous les autres sous-domaines. Cependant, la "gestion totale des risques" est difficile à mettre en œuvre dans la réalité informatique parce que chaque sous-domaine poursuit un objectif différent, comprend un contenu spécifique, a des exigences techniques différentes, a un champ d'application différent ou utilise une méthodologie différente.
Comment éviter les chevauchements coûteux et le gaspillage de ressources au lieu de synergies et de simplifications ?
Les explications suivantes poursuivent deux objectifs : Premièrement, clarifier les domaines d'application et les interfaces entre les domaines d'application de la gestion des risques ; deuxièmement, démontrer des solutions conceptuelles afin d'éviter les doubles emplois et d'apporter des simplifications.
Gestion des risques et sous-domaines
Les organisations utilisent la gestion des risques comme un outil de gestion. Cela n'est pas seulement le fait d'entreprises privées, mais aussi, de plus en plus, d'institutions et d'administrations publiques. La gestion des risques est parfois prescrite par la loi. Des normes telles que la norme internationale "ISO 31000 Risk management - Guidelines" ou la norme américaine "COSO Enterpri se Risk Management Framework" sont utilisées pour la mise en œuvre. Le risque est défini comme "l'impact de l'incertitude sur les objectifs, les activités et les exigences".
Les normes de gestion des risques peuvent être appliquées à toutes les organisations, à toutes les situations décisionnelles et à tous les processus d'entreprise. On parle souvent de "gestion des risques d'entreprise" ou de "gestion des risques d'entreprise (GRE)".
La gestion des risques au sens large comprend de nombreux sous-domaines qui sont similaires, mais différents. Vous trouverez ici les domaines les plus importants :
- Gestion de la conformité (CMS) consiste à s'assurer que l'organisation se conforme aux lois, aux exigences réglementaires, aux normes et aux lignes directrices pertinentes. Selon la norme internationale ISO 19600, la gestion de la conformité doit être "fondée sur les risques". Cela signifie que les lois et règlements dont le non-respect constitue un risque (négatif) pour l'organisation sont particulièrement importants.
- Dans le système de contrôle interne (SCI) Les contrôles (principe des quatre yeux, vérifications ponctuelles, contrôles des systèmes, etc.) devraient garantir le bon fonctionnement des f inanciers, ce qui devrait conduire à des f inanciers sans erreur.
En outre, l'accent est mis sur l'utilisation prudente des ressources financières et la prévention des fraudes et des pertes. Les systèmes de contrôle interne portent également sur le respect des réglementations légales et des directives internes, en veillant à ce qu'il n'y ait pas de chevauchement ou de double emploi avec la gestion de la conformité.
- En cas d'urgence, de crise et de gestion de la continuité (connu dans le monde anglophone sous le nom de Business Continuity Management / BCM) consiste à s'assurer que l'organisation réagit correctement après que des incidents graves se sont produits et prépare des mesures pour rétablir rapidement les fonctions opérationnelles interrompues.
Afin d'identifier les points névralgiques de l'organisation qui sont particulièrement critiques pour l'assurance des processus opérationnels, la norme ISO 22301, par exemple, recommande de réaliser une analyse d'impact sur l'entreprise, qui crée un lien direct avec le processus de gestion des risques.
- Dans le domaine de la sécurité de l'information lors de l'utilisation des systèmes informatiques Il est important que la disponibilité, l'intégrité et la protection des données soient garanties. Les normes internationales ISO 27001 et ISO 27005 fournissent le système de gestion de la sécurité de l'information et donnent des conseils spécifiques sur la nécessité d'une analyse des risques.
- Dans la gestion de la sécurité nous rencontrons de nombreux domaines individuels spécifiques à l'industrie. Ils comprennent la sécurité au travail (nouvelle norme ISO 45001) et la sécurité environnementale (ISO 14001) ainsi que la sécurité des produits (par exemple, ISO 14971) et la sécurité des patients (EN 15224). Les analyses de risque sont obligatoires dans tous ces domaines.
Néanmoins, il est nécessaire que les nombreux spécialistes travaillent ensemble afin d'éviter les doubles emplois et de créer des synergies.
La gestion des risques dans les entreprises complexes
Le système d'ordre dans la gestion des risques exige une approche systématique : d'une part, il s'agit de prendre en compte les aspects liés au risque. D'autre part, les contenus et les méthodes propres à chaque sous-domaine doivent être maintenus.
Si vous placez la gestion des risques de l'entreprise au centre d'une organisation complexe et que vous l'associez aux sous-systèmes fondés sur les risques, vous pouvez trouver les solutions dans la conception de l'approche descendante et ascendante. La gestion des risques de l'entreprise est l'approche descendante, qui englobe la survie à long terme, la sauvegarde de l'existence de l'entreprise, la "préservation de son existence" ou - pour utiliser une très belle expression française - la "pérennité". Cette approche est ancrée dans le droit allemand des sociétés par actions à l'article 91 (2) AktG du KonTraG ("développements qui mettent en danger la pérennité de l'entreprise").
La direction générale, c'est-à-dire le conseil d'administration / conseil de surveillance et le directoire, doit faire face à ces risques régulièrement. Ce faisant, il faut s'assurer que les risques sont correctement identifiés, analysés avec leurs causes et leurs effets, décrits de manière compréhensible, correctement évalués et régulièrement contrôlés et surveillés.
La gestion des risques dans les activités quotidiennes
Même si un risque ne menace pas l'existence de l'entreprise, il doit présenter un certain "caractère exceptionnel" afin de se distinguer comme un risque des affaires courantes. Dans les affaires courantes, il y a beaucoup de perturbations, d'irrégularités et d'écarts. En aucun cas, il ne faut en faire l'objet d'une gestion des risques ou d'une approche fondée sur les risques, car cela créerait une énorme bureaucratie qui n'apporterait aucun avantage. Ici, l'instrument d'amélioration continue doit garantir que les processus de performance sont continuellement améliorés et optimisés.
Il convient de faire une distinction entre cette situation et la gestion des erreurs. Les erreurs peuvent entraîner un risque majeur pour la sécurité en raison d'une "chaîne de circonstances malheureuses". Ici, le traitement des erreurs est une méthode de gestion des risques souvent appelée "signalement des incidents critiques" ou système de signalement des erreurs.
En règle générale, une organisation ne présente que quelques risques qui menacent son existence, peut-être une dizaine. Il s'agit non seulement des risques stratégiques d'une organisation, mais aussi des risques opérationnels.
Il est utile, pour l'attribution d'éventuels écarts à la gestion des risques, à un sous-domaine basé sur les risques ou aux activités quotidiennes, d'analyser les incidents en termes de fréquence d'occurrence et de leur impact, illustré dans l'exemple suivant avec la dimension financière.
Le graphique (à gauche) montre que, du point de vue des risques, les risques d'entreprise qui menacent la continuité de l'exploitation peuvent avoir un impact qualitatif et quantitatif considérable sur les objectifs de l'entreprise, bien qu'ils ne se produisent qu'avec une faible probabilité d'occurrence (faible fréquence / haute gravité).
En revanche, les risques des sous-secteurs correspondants ont généralement une fréquence élevée mais un impact plutôt limité sur les objectifs de l'entreprise. Cela ne s'applique pas aux risques qui mettent en péril l'existence de l'entreprise. Le traitement des risques à fréquence élevée et à impact limité dans le cadre de sous-domaines (par exemple dans le système de contrôle interne) peut être intéressant ou rentable.
Résumé des risques
La conception d'un système de gestion synergétique des risques est une tâche difficile. Elle exige non seulement une connaissance approfondie des domaines de gestion énumérés ci-dessus, mais aussi un degré élevé de communication et de coordination internes. Malheureusement, les normes n'offrent guère de soutien à cet égard, car elles sont disponibles dans une architecture séparée ou dans une structure partiellement intégrée.
Les organisations qui ont réussi à structurer la gestion des risques d'une manière compréhensible auront non seulement une "gouvernance" appropriée, mais s'assureront en particulier un avantage clair dans l'utilisation efficace et efficiente de leurs ressources.
