Une mise en œuvre difficile

La gestion des risques devient de plus en plus importante dans les entreprises et les organisations. La nécessité d'une gestion active et consciente des risques, adaptée aux besoins individuels, devient évidente (par exemple "Deepwater Horizon" et "crise financière"). Les exigences légales et les réglementations obligent à agir. De nouvelles approches telles que la GRC (Governance, Risk & Compliance) cherchent déjà à intégrer les différentes disciplines de la gestion des risques (gouvernance, EH&S, risques financiers, conformité, risques SCI, etc.) La GRC vise à ancrer la gestion des risques de manière plus consciente et donc à générer plus d'impact, à prévenir les redondances et à exploiter les synergies entre des systèmes de gestion positionnés de manière similaire.

L'ERM comme outil de gestion

Les systèmes de gestion des risques devraient être mis en œuvre pour deux raisons : Premièrement, pour se conformer aux exigences légales (assurer la conformité juridique), et deuxièmement, pour générer une valeur ajoutée dans l'entreprise ou l'organisation.

Dans le cadre de la définition des concepts de gestion des risques aujourd'hui, des modèles de mise en œuvre compliqués sont souvent proposés lorsque les avantages sont difficiles à voir. Les systèmes de gestion sont des produits de service et

L'avantage est difficile à voir

comment les concevoir et les appliquer. Ceux-ci doivent être intégrés dans les processus de l'entreprise en utilisant des approches pratiques. Ils doivent être efficaces sur le plan des ressources en soutenant l'"entreprise" dans ses opérations quotidiennes par des informations appropriées sur les risques. En règle générale, les systèmes de gestion des risques comportant des vues d'ensemble agrégées des risques et des solutions de mesures ajustées aux risques devraient aider la direction à prendre des décisions, à élaborer des stratégies, à planifier l'entreprise et à gérer des projets.

En outre, la gestion est constamment couverte par de nouveaux systèmes de gestion. Une saturation dans la direction générale ainsi que chez les propriétaires des processus d'affaires respectifs est clairement perceptible. Un véritable engagement de la direction envers sa ligne et son personnel n'est possible que si la direction perçoit la gestion des risques non seulement comme un outil de gestion, mais aussi comme un avantage pratique. La poursuite du développement d'une structure de gestion des risques inadéquate dans la plupart des organisations actuelles ne peut réussir que du haut vers le bas et avec la participation de la direction générale (PDG) et du conseil d'administration. D'après l'expérience pratique, il s'agit avant tout d'idées qui font réfléchir dans quatre domaines :

1. manque de responsabilité / d'engagement

Il existe diverses raisons pour lesquelles la gestion des risques n'est pas ou n'est que rudimentairement appliquée au plus haut niveau dans le monde de l'entreprise, notamment le fait que les opportunités sont au premier plan et que les responsabilités des cadres supérieurs ne sont pas encore ou pas suffisamment appliquées. Est-ce que ce sont les opportunités tentantes qui se présentent et qui, sans considérer le côté risque, semblent être beaucoup plus élevées et plus accessibles ? Le secteur financier confirme exactement l'image selon laquelle tout processus de gestion des risques (y compris les systèmes de contrôle interne) n'est délibérément pas appliqué et que la direction générale se présente rétrospectivement comme totalement naïve et naïve. C'est aussi un fait que des milliards de valeur sont perdus pour les actionnaires, que le public intervient et que la direction ne doit pas assumer suffisamment de responsabilités.

La base juridique suisse pour la gestion des risques (voir encadré) est très brève et peu claire ; il n'y a aucune référence explicite à la manière dont la gestion des risques doit être mise en œuvre. Les normes actuelles ne répondent guère non plus au "comment". En particulier, il y a un manque de "meilleures pratiques" claires dans les principaux domaines à risque. Les systèmes de GRE devraient se concentrer sur la planification des mesures et le développement de solutions de type modèle. Une grande partie des principaux risques sont intersectoriels et similaires. Des normes d'action généreraient ici d'importants avantages supplémentaires. Par exemple, des risques tels que la perte de personnel clé ou les risques d'achat, pour ne citer que deux exemples, peuvent se retrouver dans de nombreux secteurs différents. Les tendances actuelles telles que "Governance, Risk & Compliance" sont de nature théorique et conviennent particulièrement bien comme base de consultation, mais n'apportent que peu d'avantages pratiques supplémentaires dans la pratique (l'élimination des doubles emplois n'est certainement pas un effet clé).

Souvent, il n'y a pas de véritable engagement de la part de la direction générale. Dans la plupart des cas, une bonne vue d'ensemble des risques n'a que peu d'importance pour le PDG, qui est mesuré par la maximisation du profit et non par la minimisation des risques. Souvent, l'existence d'une carte des risques rudimentaire suffit pour les exigences d'une direction générale ou du conseil d'administration, ce qui est également tout à fait suffisant selon la base juridique en Suisse (aucun auditeur ne demande d'informations plus détaillées).

L'engagement de la direction dépend trop souvent des préférences personnelles et de l'agenda du membre de la direction concerné. L'engagement détermine également la capacité du gestionnaire de risques à évoluer avec succès au sein de l'organisation.

2. une organisation insuffisante de l'ERM

Aujourd'hui, la gestion des risques est pratiquée avec plus ou moins de profondeur et de rigueur dans les entreprises, souvent comme un processus isolé, ce qui est en soi une contradiction (les approches de contrôle ne sont pas non plus menées séparément et de manière intégrée).

Une évaluation des risques est généralement effectuée par la direction générale dans les rapports trimestriels et annuels, une à quatre fois par an. Un processus continu de gestion intégrée des risques impliquant tous les niveaux hiérarchiques et traitant des responsabilités n'est généralement pas en place.

Seules l'intégration et l'inclusion dans les processus stratégiques, opérationnels et de soutien, ainsi que l'examen des responsabilités, peuvent être considérées comme des éléments essentiels de la stratégie de l'UE.

les lacunes en matière de formation

Cela permet d'avoir une vue d'ensemble des risques, comme l'exige un ERM (Enterprise Risk Management). Bien entendu, les disciplines spécialisées telles que les systèmes de contrôle interne, la santé et la sécurité au travail, la sécurité, la gestion de la continuité des activités, la trésorerie, la gestion des crises, la gestion des risques financiers, la sécurité de l'information, etc. doivent également être intégrées en conséquence.

La gestion des risques est une discipline jeune, du moins en ce qui concerne la mise en œuvre consciente des processus de gestion des risques. Par conséquent, les approches de gestion des risques et les plans d'action standardisés sont très hétérogènes. Malgré l'application de plus en plus répandue de la gestion des risques, les gestionnaires de risques généralement formés sont encore rares. La formation doit être basée sur les besoins pratiques actuels et les domaines de risque existants et fournir aux étudiants des normes et des méthodes de gestion (mesures de risque). Cela ne peut être garanti que si la recherche fondamentale et un échange d'expertise de l'enseignement à la pratique sont effectués. Aujourd'hui, l'éducation manque de méthodes sur la manière dont des catégories de risques spécifiques devraient être gérées en fonction de leur potentiel de risque. Les exceptions, où un grand nombre d'experts bien qualifiés sont disponibles, comprennent des domaines tels que la sécurité informatique, la sécurité au travail, la protection contre les incendies, le crédit et les risques du marché. Cependant, ces derniers comprennent rarement l'avantage d'une solution intégrée pour l'entreprise ou l'organisation concernée.

Étant donné que les risques évités ne peuvent être mesurés et que les comparaisons des états de risque avant ou après l'introduction de mesures possibles (comparaisons brutes-net) ne résistent pas à un examen plus approfondi, les mesures de risque et leur valeur ne peuvent pas non plus être mesurées directement. Avec l'impossibilité de mesurer la valorisation, la mise à disposition de ressources au niveau de l'entreprise ne sera pas non plus facile à mettre en œuvre.

La valeur ajoutée ne peut être générée que si, outre les principaux risques, des normes de mesures et des

Des outils qui ne conviennent que dans une mesure limitée

des méthodes pratiques sont mises à disposition. Cependant, cette tâche incombe aux universités et non aux entreprises.

3. des méthodes compliquées à faible valeur ajoutée

Les méthodes de gestion des risques pour l'enregistrement et l'analyse approfondie des risques et de leurs mesures sont longues et non normalisées. Ces attributs surtaxent non seulement les gestionnaires de risques, mais aussi généralement les organes de gestion. Bien sûr, il y a des exceptions, par exemple, il existe des modèles de risque sophistiqués pour les risques financiers. Toutefois, comme l'ont démontré de nombreux événements survenus dans le secteur des services financiers ces dernières années, ces modèles ne peuvent être utilisés que de manière limitée dans la réalité et présentent trop de lacunes pour permettre une gestion durable des risques financiers.

Pour des raisons pratiques, l'évaluation des différentes catégories de risques dans les entreprises n'est souvent pas effectuée sur une base transversale. Les évaluations des risques sont très difficiles à comprendre et ne sont effectuées que sur une base qualitative (sauf dans les domaines dits facilement quantifiables des risques financiers, etc.) Les outils ne sont adaptés que dans une mesure limitée. Les risques dans les processus d'entreprise sont traités de manière intuitive, rarement consciente et approfondie, détachée de la gestion des risques. Les outils de GRE ne fournissent pas de soutien aux processus d'entreprise.

Lien culturel

Aujourd'hui, même dans les grands groupes internationaux, les rapports sont établis manuellement, c'est-à-dire sans utiliser ou en utilisant seulement partiellement les outils de GRE. Les rapports intégrés - dans lesquels les différentes catégories de risques sont présentées de manière intégrée - sont rarement préparés. L'effort requis pour rendre compte au conseil d'administration et au directoire est donc très élevé et l'applicabilité des outils de GRE pour rendre compte dans la pratique est encore beaucoup trop peu développée. Aujourd'hui, les outils sont principalement des bases de données, mais ils peuvent également être exploités sur la base d'Excel, Share Point. Les possibilités de simulation des outils de GRE sont également très limitées dans certains cas ; là aussi, des concepts orientés vers l'utilisateur créeraient une valeur ajoutée.

4. absence de culture du risque

La culture d'entreprise qui prévaut est liée aux activités menées dans l'entreprise. En outre, la culture dépend très fortement de l'histoire de l'entreprise et de la culture dont fait preuve la direction.

En outre, la culture du risque est également fortement influencée par des modes de pensée qui ont tendance à être représentés dans les professions individuelles. Le gestionnaire des risques doit donc s'adapter à ces modes de pensée, et les résultats de l'analyse des risques sont donc différents. Une analyse de risque doit donc être effectuée par une unité d'organisation aussi hétérogène que possible afin d'éviter de se laisser guider par des résultats trop unilatéraux.

La culture d'entreprise offre souvent trop peu de base pour pouvoir établir un lien culturel entre la gestion des risques. Les erreurs et les risques localisés par les employés peuvent souvent être librement discutés et ne sont pas communiqués à la direction. Les méthodes de dénonciation ne fonctionnent que dans une mesure limitée et peuvent avoir des conséquences sur le plan du droit pénal.