Analyser et évaluer les risques
L'analyse et l'évaluation des risques sont le "pain quotidien" de la gestion des risques. C'est trivial, ou pas ? L'article suivant mettra en évidence les défis à relever dans ce domaine. Qu'est-ce qui influence effectivement l'analyse et l'évaluation ?
Tout d'abord, il est important de définir le contexte dans lequel les risques doivent être analysés et évalués. Bien sûr, les risques existent partout, que ce soit dans un projet, dans un processus ou dans une entreprise entière.
Si nous examinons les risques dans les différentes entreprises dans cet article, nous pouvons voir que l'exposition au risque diffère souvent beaucoup. Cela signifie qu'il n'existe certainement pas de "modèle F" dans l'analyse des risques.
Conditions préalables à une analyse des risques
Les institutions financières ont des risques différents de ceux d'une entreprise de construction et même les entreprises d'un même secteur ne peuvent pas nécessairement être comparées. Bien sûr, il y a ce qu'on appelle les risques industriels. Mais certaines sont actives au niveau international et sont donc déjà exposées à des risques complètement différents de ceux des entreprises locales. Qu'il s'agisse de la structure de propriété différente, des exigences particulières du lieu d'implantation de l'entreprise, des ressources financières de l'entreprise, de l'orientation stratégique, de l'âge, de la taille, de l'ancrage politique : tout cela, et bien d'autres choses encore, a une influence sur l'exposition au risque.
Certains risques ne se présentent également qu'à la suite de combinaisons spécifiques. On peut citer comme exemple la force d'innovation d'une entreprise qui ne suit pas son orientation stratégique, ou les risques de liquidité qui découlent de l'atteinte à la réputation, ou encore les incertitudes juridiques qui sont déclenchées par les risques pays. Pour une analyse, il est donc important de procéder de manière holistique et systématique.
Identification des risques
Avant de pouvoir analyser et évaluer les risques, il faut d'abord les trouver. Lorsque nous pensons aux risques, nous pensons spontanément à des événements spectaculaires : Les attaques terroristes, les cyber-risques, les catastrophes naturelles telles que les tremblements de terre ou les inondations, la grippe aviaire, les vagues de migration ou même un impact de météorite ...
Mais s'agit-il vraiment des risques pertinents ? Bien sûr, ces risques peuvent causer de grands dégâts. Mais sont-ils également pertinents dans chaque entreprise ?
Souvent, les risques qui menacent l'existence d'une entreprise ne sont pas nécessairement ces catastrophes spectaculaires et externes, mais surtout les risques internes.
Elles sont ancrées dans le domaine stratégique, dans les processus, dans la gestion des questions juridiques et éthiques de l'entreprise, dans son comportement innovant, etc. Cela ne facilite pas nécessairement la recherche, l'analyse et la documentation. Cela ne facilite pas nécessairement la recherche, l'analyse et la documentation, car de nombreuses lacunes internes sont mises en évidence. D'une part, cette transparence n'est pas toujours souhaitée et peut aussi ouvrir diverses blessures et devenir une question délicate en matière de documentation.
Pour un système global de gestion des risques, il ne faut cependant pas imposer de barrières à l'analyse, à l'évaluation et à la documentation des risques, sinon le travail devient une fonction alibi.
D'autre part, les risques internes peuvent généralement être très bien gérés, car les problèmes internes peuvent également être contrés par des mesures internes. Il en résulte un grand potentiel dans la gestion des risques qui, si elle est appliquée avec succès, peut devenir un facteur de réussite pour l'entreprise.
Quelle que soit la méthode d'analyse utilisée, qu'elle soit ascendante ou descendante, quantitative ou qualitative, inductive ou déductive, il est nécessaire d'évaluer et de documenter les risques en conséquence afin de pouvoir prendre des mesures significatives.
Analogie avec la gestion des connaissances
Plus les défis numériques obligent les entreprises à repenser leurs structures et leurs processus, plus il devient évident que les risques internes, en particulier, doivent être mieux gérés. Par conséquent, non seulement les organisations deviendront plus agiles à l'avenir, mais aussi la gestion des risques.
Le processus de gestion des risques repose sur les règles suivantes : identification des risques, analyse des risques, évaluation des risques et traitement des risques.
Les données sont générées par la collecte et la mesure des observations. Les méthodes quantitatives peuvent générer de grandes quantités de données. Ce n'est qu'en établissant un lien significatif avec un contexte supplémentaire que l'on obtient des informations pertinentes à partir desquelles on peut générer des connaissances applicables. Enfin, on arrive à la réalisation de la meilleure façon d'appliquer ces connaissances.
C'est un processus qui doit être vécu dans la gestion des risques par le gestionnaire des risques, les propriétaires des risques, les experts, les employés et, bien sûr, surtout par la direction générale, qui détermine les objectifs de l'entreprise et leur mise en œuvre. L'analyse et l'évaluation des risques sont fructueuses lorsque les connaissances sur les risques et les mesures correspondantes peuvent être déterminées à partir des données et des informations disponibles. L'accumulation purement quantitative de données ne peut conduire à un résultat orienté vers un objectif.
Facteurs de succès pour l'analyse et l'évaluation des risques
Dans ce contexte, il devient évident que de nombreux facteurs doivent interagir pour qu'une analyse des risques soit valable :
- Définition du système de risque : Une définition claire de ce à quoi l'analyse des risques se réfère. Quelles sont les limites temporelles, spatiales et organisationnelles à prendre en compte ? Où faut-il tracer les limites du système ?
- Évitez les erreurs de méthode : Aucun algorithme défectueux ne peut être utilisé dans la collecte de données et aucune base de données insuffisante ne peut servir de point de départ. Il est important de procéder en permanence à des interrogatoires critiques et à des recoupements afin d'éviter les erreurs systématiques.
- Forme organisationnelle : Il est paradoxal qu'il soit particulièrement difficile de trouver des risques dans des structures peu enclines au risque. D'une part, cela peut être dû au fait que dans les structures strictes, la culture de l'erreur n'est pas très prononcée et que la crainte des sanctions prévaut. D'autre part, on a souvent tendance à ignorer les risques selon la devise "ce qui ne devrait pas être, ne doit pas être".
- Culture d'entreprise : Dans ce contexte, le "ton au sommet" est important, sinon la gestion des risques peut facilement se transformer en un exercice symbolique ennuyeux. En outre, les entreprises ayant une culture de méfiance et des structures hiérarchiques dominantes ne sont pas particulièrement adaptées à l'identification des risques. Il est également possible que les propriétaires de risques dissimulent des risques par peur ou par fausse ambition.
- Personne du gestionnaire de risques : Les gestionnaires de risques contribuent largement au succès de la gestion des risques par leur compétence méthodologique et leur grande compréhension intégrative.
- Ancrer la gestion des risques dans le Organisation : Dans le sens d'une vision neutre et non influencée, la gestion des risques serait mieux ancrée sous la direction générale. Néanmoins, il doit être possible de ne pas être trop détaché des processus opérationnels.
- Des structures et des processus appropriés : L'analyse et l'évaluation sont, comme les activités de la comptabilité, une tâche continue. Comme le bilan, le rapport sur les risques est un instantané. Il faut donc veiller à ce que les risques soient également toujours gérés. Une systématisation trop rigide peut également constituer un obstacle à la détection des risques.
- Évitez la cécité opérationnelle : Au fil des ans, la routine peut conduire à une certaine cécité opérationnelle chez les employés. Ici aussi, il est nécessaire de se remettre constamment en question, de sortir des sentiers battus et d'échanger des idées avec d'autres experts, même en dehors de l'industrie.
- Documentation des risques : Les résultats des analyses et des évaluations doivent être documentés de manière appropriée afin que des mesures appropriées puissent être prises.
En fin de compte, plus tous les acteurs concernés sont motivés dans leurs efforts pour obtenir un bon résultat transparent, plus l'analyse des risques sera réussie. Il faut du courage pour aborder les problèmes, une certaine vue d'ensemble pour garder un œil sur les aspects pertinents, une certaine réflexion latérale pour capter le nouveau et l'inattendu. Néanmoins, cela doit s'accompagner de précision, de méticulosité et d'un questionnement constant.
La documentation doit être courte et concise, mais néanmoins complète. Cela nécessite un travail d'analyse préalable important, car un flot de papier déroutant ne mènera certainement pas au but. Le fait de rester dans un méta-niveau théorique stérile ne mènera pas non plus au succès. En fin de compte, il s'agit d'analyser et de documenter les opportunités, les problèmes, les dangers et les vulnérabilités pertinents, d'en faire prendre conscience aux dirigeants et de permettre à l'organisation d'agir.
Plus les organisations deviennent agiles, plus la gestion des risques doit l'être aussi.