Ancré dans le long terme

De cabinet de conseil i-Risk a accompagné plus de 100 entreprises dans l'introduction et la poursuite de la gestion des risques au cours des dernières années. Grâce à cette expérience, les influences décisives pour un ancrage réussi de la gestion des risques peuvent être divisées en trois catégories, qui se déroulent chronologiquement en trois phases :

• Gestion des risques pendant la mise en œuvre
• La gestion des risques au cours de la première année
• Gestion des risques dans les années suivantes

Introduction - Création d'un registre des risques

Au début du processus de gestion des risques, la direction de l'entreprise doit définir clairement les conditions cadres. Celles-ci doivent être adaptées à la taille et à la structure de l'entreprise afin de pouvoir poursuivre la gestion des risques à long terme avec les ressources existantes. L'industrie et la nature des menaces potentielles jouent également un rôle. Trois facteurs sont étroitement liés les uns aux autres lors de la définition des paramètres initiaux :

• L'ampleur de l'étendue des dommages pour l'évaluation des risques
• Le niveau de vol de l'évaluation des risques
• Le nombre de risques évalués

La limite inférieure de l'échelle de l'étendue des dommages pour l'évaluation des risques définit le nombre de risques qui sont enregistrés dans le système. Par exemple, si la valeur seuil est de 300 000 CHF, davantage de risques sont inclus que si la valeur seuil est de 500 000 CHF. Le niveau de vol de l'évaluation des risques détermine la granularité des risques : Par exemple, une défaillance de l'ensemble de la production ou, à un niveau inférieur, de chaque unité de production individuellement, peut être répertoriée comme un risque. Une granularité uniforme de l'ensemble de la liste des risques simplifie la comparaison des risques entre eux. Par conséquent, le nombre de risques dans le registre des risques est influencé d'une part par la manière dont l'échelle de notation est définie et d'autre part par le niveau de vol choisi. Ces deux facteurs doivent être maintenus aussi constants que possible au fil des ans afin de pouvoir enregistrer l'évolution à long terme des risques.

Dans la pratique, il a été démontré qu'il est plus efficace de n'inclure que quelques risques dans le registre des risques, mais de les examiner en profondeur. Pour la plupart des PME suisses, le nombre de risques est de l'ordre de 20.

Moins nombreux, mais plus approfondis

En se concentrant sur les menaces les plus importantes, la qualité de l'évaluation des risques peut être garantie dans le détail. Si une altitude plus basse est délibérément choisie pour l'identification des risques, davantage de risques sont automatiquement pris en compte. Il arrive souvent que ces risques soient déjà enregistrés dans d'autres systèmes de gestion et soient donc gérés deux fois, ce qui est source d'inefficacité.

Un autre point clé d'une gestion efficace des risques est de formuler chaque risque sous forme de scénario et de désigner une personne responsable au sein du personnel dans chaque cas. Ces propriétaires de risques informent le gestionnaire de risques des changements et sont toujours informés de l'état des mesures de réduction des risques. Avec une sélection d'environ 20 risques, le niveau de vol est tel que chaque membre de la direction peut faire des commentaires sur toutes les questions et que tous les risques peuvent être évalués en un seul atelier d'une demi-journée. Cela permet d'obtenir une classification objective des risques.

Au cours de la première année - assurer l'impact

Au terme de la mise en œuvre d'un processus de gestion des risques, la politique de risque est définie et approuvée, ce qui établit le système légalement prescrit pour le long terme. Il est conseillé de rédiger un document d'une dizaine de pages dans lequel trois points principaux sont décrits :

• La périodicité de l'évaluation des risques
• La périodicité du suivi des mesures
• Le processus de gestion des risques, y compris les responsabilités

Dans la plupart des PME suisses, l'analyse des risques est effectuée une fois par an et le suivi des mesures a lieu tous les trimestres. De nombreuses entreprises ont tendance à augmenter la fréquence afin d'accroître l'actualité des informations contenues. Il est toutefois important que la fréquence du suivi des mesures soit supérieure à celle de l'évaluation des risques, car ce n'est que de cette manière que la gestion des risques peut produire tous ses effets. La mise en œuvre des mesures définies permet d'économiser de l'argent et d'accroître les avantages concurrentiels. Les entreprises utilisent souvent un système de feux tricolores pour le suivi des mesures. Lors des réunions trimestrielles au cours desquelles les mesures sont discutées, l'accent est alors mis sur les mesures jaunes et rouges qui sont en retard de paiement.

Il doit toujours y avoir un flux direct d'informations tout au long du processus de gestion des risques : Il faut veiller à ce que les employés communiquent les risques directement au gestionnaire des risques afin qu'il puisse prendre les mesures nécessaires. En particulier dans les PME, il convient donc d'éviter l'introduction de nombreux niveaux de responsabilité dans le processus. Dans certaines entreprises, on rencontre des employés qui communiquent les risques à leurs collègues.

DirectCommunication

de la division, les filtrer et les transmettre au gestionnaire des risques. Cependant, il est impossible pour tout le monde de communiquer rapidement et directement avec le gestionnaire de risques. Une solution pragmatique pour assurer une connexion directe avec le gestionnaire de risques consiste à mettre en place une boîte aux lettres pour communiquer les risques et les menaces.

Gestion des risques dans les années suivantes

Les personnes sont au cœur du processus de gestion des risques. Il faut faire preuve de créativité, notamment dans l'analyse des risques. Il propose des risques nouvellement identifiés et les évalue. Pour éviter les répétitions, la direction doit toujours impliquer d'autres personnes dans le processus. L'exposition au risque d'une entreprise est donc examinée sous un nouvel angle chaque année.

Dans le cas d'une analyse annuelle des risques, un cycle de trois ans pour l'ajustement des risques s'est avéré efficace dans la pratique : Année 1 : Identification des risques sur la base d'entretiens et de listes de contrôle, et évaluation des risques dans le cadre d'un atelier commun.

2ème année : L'ajout, la suppression et l'ajustement des risques ainsi que l'évaluation des risques dans un atelier commun. Dans ce processus, les plus grands changements dans les risques sont analysés en particulier.

3ème année : Prise en compte des tendances dans l'industrie et dérivation de nouveaux risques ainsi que l'analyse des changements dans l'évaluation des risques (graphique 1).

Les risques changent

La première année, on commence par enregistrer à nouveau les risques sur la base d'entretiens structurés, puis on les évalue. Les risques déjà présents dans le système ou l'expérience industrielle des consultants externes lors de la mise en œuvre initiale sont consultés comme listes de contrôle. Lors de l'atelier d'évaluation, la direction évalue les risques et définit les priorités pour la mise en œuvre des mesures.

La deuxième année, l'accent est mis sur l'évolution des risques par rapport à l'année précédente. Le temps nécessaire à l'identification des risques est relativement faible, car la situation dans la plupart des industries change peu au cours d'une année. La direction réévalue ensuite les risques et les compare avec l'évaluation de l'année précédente. L'accent est mis sur les principaux changements, pour chacun desquels une justification est documentée. L'évaluation des risques change généralement de manière significative lorsque des mesures ont été introduites ou que des changements importants sont intervenus sur le marché ou dans l'organisation. L'examen de l'évolution du risque permet de démontrer et de mesurer l'efficacité des mesures introduites.

La troisième année, les tendances sont intégrées dans l'analyse. Au cours des premières années, il est judicieux d'adopter une vision interne afin de ne pas trop se focaliser sur les risques externes et de se concentrer sur les problèmes que l'entreprise peut réduire elle-même. Les années suivantes, la direction peut se tourner davantage vers l'avenir et vers l'extérieur. L'influence des macro-tendances sur l'entreprise est analysée. La troisième année, par exemple, on peut analyser les tendances du secteur et identifier les risques pertinents pour l'entreprise. Dans l'évaluation des risques, l'accent est mis encore plus sur les changements que l'année précédente.

Conclusion

Afin d'ancrer la gestion des risques dans la durée et de la rendre aussi enrichissante que possible pour les personnes concernées, il convient d'éviter la répétition pure et simple. Dès que la répétition s'installe, la gestion des risques risque de dégénérer en un exercice d'alibi. Seuls les risques identifiés peuvent être traités. Par conséquent, le processus de pensée créative doit être entretenu par de nouvelles perspectives. Il est également avantageux d'impliquer de temps en temps différents acteurs dans le processus afin d'absorber de nouvelles opinions. Dans ce contexte, les penseurs latéraux sont plus que bienvenus.