Facteurs de succès pour les entreprises
Aujourd'hui, dans la plupart des cas, un processus de gestion des risques à l'échelle de l'organisation pour contrôler les risques est fermement ancré en tant qu'outil de gestion. Trop souvent, cependant, des approches sont mises en place qui ne correspondent pas à la structure et à la taille de l'entreprise. La gestion des risques nécessite un système adapté, comme le montre l'exemple d'un groupe suisse.
Le processus de gestion des risques a été mené par le groupe suisse en collaboration avec i-Risk à deux niveaux. Dans un premier temps, les cinq unités commerciales de l'entreprise ont été considérées individuellement. Les résultats des unités opérationnelles ont ensuite été consolidés, et une analyse globale a été effectuée au niveau du groupe. À ces deux niveaux, le processus est passé de l'analyse des risques à l'analyse des actions. Enfin, les risques ont été intégrés et documentés dans l'ensemble du groupe.
Analyse des risques et mesures
Dans l'analyse des risques, les risques ont été identifiés au moyen d'entretiens individuels avec les membres du conseil d'administration, puis résumés dans un catalogue des risques. L'évaluation des risques a eu lieu dans le cadre d'un atelier de groupe avec la direction. Chaque participant a évalué les risques en termes de dommages
Ateliers avec les patrons
Le risque a été évalué de manière séquentielle en faisant d'abord la moyenne des notes individuelles de gravité des pertes pour chaque risque. L'évaluation a été réalisée de manière séquentielle en faisant d'abord la moyenne des évaluations individuelles de l'étendue des dommages pour chaque risque. S'il y avait un écart important entre les différentes notations, elles étaient discutées et ajustées si nécessaire. Ensuite, pour chaque risque, les participants ont évalué la probabilité d'occurrence avec l'ampleur prédéterminée des dommages et, enfin, l'impact de l'événement sur la réputation. En outre, chaque risque a été attribué à un propriétaire de risque et à une zone. Dans l'analyse des mesures qui suit, les propriétaires des risques respectifs ont été impliqués dans une première étape. En ce qui concerne leurs risques, ils ont élaboré une proposition de stratégie de gestion. Il y est mentionné si le risque doit être accepté ou réduit. Dans la même étape, les mesures centrales existantes et les nouvelles mesures proposées ont été enregistrées et définies avec le début, la fin, l'effort interne, les coûts externes ainsi que la responsabilité. Pour la définition et la planification de nouvelles mesures, un atelier de groupe a de nouveau été organisé avec la direction.
Après que les analyses aient été effectuées dans les cinq unités opérationnelles et consolidées au niveau du groupe, la poursuite du processus a été assurée. Dans l'étape d'intégration et de documentation, une politique de risque, un rapport de risque et une description des processus avec les responsabilités ont été établis et le contrôle des mesures a été défini et introduit.
Des risques uniformes grâce à la méthode du nœud papillon
Pour que le système de gestion des risques puisse continuer à être mis en œuvre efficacement dans l'ensemble du groupe à l'avenir, il faut veiller à ce que l'identification et la description des risques soient uniformes. Dans le cadre du processus d'identification des risques, un registre des risques a été successivement constitué au cours des entretiens. Il a ensuite été complété par des risques provenant de références d'autres entreprises du secteur et sert de liste de contrôle au sein de l'entreprise. Même s'il existe différentes unités commerciales présentant un large éventail de risques au sein de l'entreprise, une certaine harmonisation des risques représente une réduction significative de l'effort nécessaire à la consolidation au sein de l'entreprise.
Lors de l'élaboration du registre des risques, l'accent doit être mis sur la création de scénarios de risques. Dans ce cas, la méthode du nœud papillon a été utilisée, qui structure les risques en cause-événement-effet. Un événement est analysé en fonction de ses causes et de ses effets possibles. Des scénarios de risque sont ensuite formulés pour les causes et les effets les plus probables, chacun représentant une chaîne d'effets de cause à effet. Cette structuration apporte des avantages à l'ensemble du processus de gestion des risques. L'évaluation des risques est facilitée et gagne en précision en évaluant la probabilité qu'un événement se produise pour la cause et l'étendue des dommages et l'impact de l'événement sur la réputation pour l'effet.
En termes de mesures, la méthode Bow-Tie permet de séparer les mesures liées à la cause et celles liées à l'effet. De cette manière, la gestion des risques appropriée peut être sélectionnée pour le risque respectif.
Evaluer les risques avec précision
La stratégie de gestion des risques doit être définie et introduite. Les mesures liées aux causes, telles que les mesures structurelles et de processus, réduisent la probabilité d'occurrence et l'étendue des dommages lorsque le risque se produit. Les mesures liées à l'impact, telles que l'assurance et la gestion de crise, sont généralement plus favorables, mais ne réduisent que les dommages causés par l'événement, et non la probabilité d'occurrence (figure 1).
Le facteur réputation
En raison de la composition du groupe à partir de différentes unités commerciales, différentes marques sont associées à la société en même temps. Afin de pouvoir opérer avec succès sur le marché, l'entreprise est tributaire d'une excellente image de ces marques. L'inclusion des dommages durables en considérant la réputation comme un paramètre d'évaluation est de plus en plus ancrée dans la gestion des risques et permet d'évaluer et de catégoriser les risques avec plus de précision. Dans ce contexte, on peut distinguer les risques ayant un faible impact externe et de petits dommages durables, comme une perte de devises à court terme, des risques ayant un impact externe élevé et des dommages durables élevés, comme la pollution de l'eau. L'inclusion de la réputation est particulièrement importante pour donner plus de poids aux risques stratégiques à long terme. Dans le système de gestion des risques du groupe suisse, une matrice de réputation a donc été élaborée en plus de la matrice de risque classique, qui consiste en une évaluation de la probabilité d'occurrence sur un an et de l'étendue des dommages. Dans la matrice de réputation, la valeur attendue de chaque risque (produit de la probabilité d'occurrence et de l'étendue des dommages) est comparée à l'impact sur la réputation. Le coin supérieur droit montre les risques de première priorité, qui ont à la fois une valeur escomptée élevée à court terme et un impact élevé sur la réputation à long terme. Les risques de deuxième priorité ont soit une valeur escomptée élevée, soit un impact important sur la réputation.
L'évaluation de l'influence de la réputation est toujours effectuée de manière qualitative. Une échelle de un à six est préférable ici, car les gens savent intuitivement comment gérer six gradations.
Vue au niveau du groupe et de l'unité d'affaires
Dans le cas présent, le groupe combine cinq unités commerciales différentes. Afin de pouvoir
Structuration du scénario
Afin de cartographier et de comparer les risques centraux au niveau des unités commerciales, deux matrices différentes ont été utilisées pour évaluer les risques. Une matrice de risque 6×6 a été utilisée au niveau du groupe et une matrice de risque 6×8 au niveau des unités opérationnelles. Pour les trois paramètres d'évaluation que sont la probabilité d'occurrence, l'impact sur la réputation et l'étendue des dommages, les échelles diffèrent en ce qui concerne l'étendue des dommages. Au niveau des unités opérationnelles, deux autres niveaux ont été utilisés pour atteindre la profondeur nécessaire. Au niveau du groupe, les risques n'ont été consolidés qu'au-delà d'une valeur seuil. Pour déterminer la valeur seuil, les risques sont évalués quantitativement.
Une échelle logarithmique est utilisée à la fois pour la probabilité d'occurrence et l'étendue des dommages. D'une part, cela permet de représenter un plus large éventail de risques et, d'autre part, la perception humaine est logarithmique et non linéaire. L'expérience montre qu'avec une classification linéaire, les risques figurant sur la matrice des risques ne sont guère précis. Une fois qu'une classification logarithmique est choisie, les personnes impliquées dans le processus peuvent beaucoup mieux évaluer les risques. Dans le cas du groupe suisse, une échelle avec un logarithme de deux a été choisie à la fois pour l'étendue des dommages et la probabilité d'occurrence. Par conséquent, dans la représentation de la matrice des risques, les risques équivalents sont situés sur des lignes d'équivalence parallèles de haut en bas à droite (figure 2).
Consolidation après la valeur maximale escomptée
Il existe quatre approches différentes de la consolidation des risques, qui peuvent être combinées ou adaptées selon les besoins :
- Définition du seuil : dans cette procédure, les risques dont la valeur attendue (multiplication de l'étendue des dommages et de la probabilité d'occurrence) dépasse une certaine limite sont pris en compte.
- Catégorisation : la catégorisation des risques présuppose que le niveau auquel le risque est pertinent (par exemple, équipe, département, division, entreprise entière, conseil d'administration) a été déterminé dans chaque cas lorsque les risques sont identifiés. Seuls les risques de la catégorie concernée sont alors pris en considération.
- Consolidation des scénarios : dans cette approche, les risques ayant la même cause sont combinés dans de nouveaux scénarios de risque afin de parvenir à un regroupement et à une réduction des risques. Par la suite, les scénarios de risque créés sont réévalués à un niveau supérieur.
- Simulation : il s'agit d'effectuer des milliers de simulations à l'aide de modèles quantitatifs. Des données historiques et des évaluations d'experts sont incluses pour créer le modèle.
Dans cet exemple, la consolidation des risques au niveau du groupe a déjà commencé par l'identification des risques au niveau des unités opérationnelles en décrivant les risques de la manière la plus identique possible. Par la suite, le filtre de l'étendue des dommages pertinents pour le groupe a été appliqué. Pour les autres risques, le risque ayant la valeur attendue la plus élevée a été transféré à la matrice de groupe pour chacun des risques décrits de la même manière. Les risques ainsi consolidés à partir des unités d'affaires ont été complétés par des risques supérieurs à l'échelle du groupe. Le
Valeurs communes attendues
Par conséquent, la consolidation par définition de seuil avec ajout de risques de niveau supérieur a été appliquée ici.
Conclusion
La gestion des risques a considérablement évolué ces dernières années. Dans de nombreuses entreprises, le sujet a évolué, passant d'une introduction juridique obligatoire à un outil de gestion stratégique. Quelques facteurs déterminent le succès ou l'échec du système de gestion des risques. Dans un groupe composé de différentes unités commerciales, un processus d'identification, d'évaluation et de consolidation des risques sur mesure est particulièrement important. Ce n'est que si la valeur ajoutée et l'efficacité du processus sont reconnues et préconisées par la direction que la gestion des risques peut être appliquée de manière durable et valorisante.
