Ce qu'un outil peut faire

Gn général, le problème tant évoqué de l'"angle mort" se pose. Cela renvoie au fait que dans la gestion des risques, on peut au mieux identifier les éléments qui ont un impact sur l'activité immédiate. Ce fut le point de départ de la figure du "cygne noir" de Nassim N. Taleb : il a discuté du fait que les gens ne croyaient pas en un cygne noir avant qu'on en découvre un - à l'autre bout du monde. En bref, ce que vous ne pouvez pas voir, vous ne le croyez pas. Elle reste abstraite et plutôt inefficace.

Quiconque a déjà dirigé un atelier interdisciplinaire sur les risques connaît la dynamique de l'identification des risques et les sources de danger associées. La confusion entre risques et dangers est un problème permanent, l'accord sur la bonne "taille de grain" de la description des risques est compliqué, le brainstorming est peu facilité ou méthodologiquement soporifique. En outre, l'application de formulaires préétablis est une prouesse, la détection précoce de nouveaux risques apparaissant souvent impossible ou difficile à évaluer en termes de conséquences. En fin de compte, le temps disponible est généralement insuffisant et la motivation est limitée. La discussion productive sur les risques est finalement abandonnée. Si l'on veut comparer ce processus de manière compréhensible avec une analogie avec la construction d'une voiture de course, alors la plupart des employés aiment travailler sur le moteur et la conception extérieure, mais les systèmes de freinage, de contrôle et d'assistance au conducteur restent sous-développés. Bien, si vous pouvez vous le permettre. En fait, il faut dire que l'économie suisse, souvent connue comme l'économie la plus innovante d'Europe, a constitué des tampons appropriés pour pouvoir absorber les risques de manière exceptionnelle. Mais est-ce suffisant à long terme ? Toute personne ayant déjà été touchée par une faillite ou la liquidation d'une entreprise répondra par la négative. C'est donc une bonne chose pour ceux qui sont conscients des risques qu'ils courent. Cette sensibilisation favorise la robustesse opérationnelle face aux entreprises (en termes modernes, on parlerait de "résilience" ou d'"antifragilité", voir l'encadré "Termes"). Ou en d'autres termes : La sécurité durable des entreprises ne peut être obtenue sans une gestion systématique des risques.

Dynamique organisationnelle des processus de gestion

Une gestion raisonnable des risques est une condition préalable à cet effet. L'analyse de la situation initiale seule et la prise de mesures appropriées pour minimiser le risque sont souvent un défi. Il n'est toujours pas fait mention de la mise en œuvre d'une stratégie appropriée ou du suivi approprié des mesures. En outre, les méthodes et les instruments ne sont généralement pas des "outils" isolés. Dans de nombreux cas, ils sont issus d'autres disciplines ou en sont dérivés. Pour la célèbre analyse de cause à effet, par exemple, le diagramme en arête de poisson (l'"arbre de défaillance") est souvent choisi. Dans le cadre de la gestion de la qualité, ce diagramme est appelé "Ishikawa" par Kaizen.

Il existe également des travaux préliminaires importants pour la gestion intégrale des risques dans diverses disciplines spécialisées, par exemple dans les domaines de la gestion de la continuité, de la gestion des crises et des catastrophes et du système de contrôle interne. Récemment, dans le domaine des "facteurs humains", la gestion de la santé au travail a gagné en importance.

Dans les structures de gestion existantes, il y a donc toujours des connaissances préalables utilisables. Toutefois, ces connaissances doivent également être connues pour pouvoir être utilisées. Et les employés doivent également le mettre à disposition. Cela pose souvent un problème, car les gestionnaires courent souvent un risque de carrière lorsqu'ils divulguent des connaissances. En outre, une bonne part de fierté professionnelle et de patronage joue un rôle dans la coopération, même si elle est explicitement censée porter sur le sujet en question. Le maintien de son propre pouvoir positionnel supprime le partage des connaissances et a été décrit un jour par le psychologue organisationnel Karl Weick comme l'un des principaux obstacles à l'apprentissage organisationnel. Toutefois, la gestion intégrale des risques ne peut être réalisée sans une production significative de connaissances.

Pour le responsable, cela signifie travailler en réseau s'il veut être efficace. Le gestionnaire de risques est donc un spécialiste nécessaire sur tous les fronts : En tant que connaisseur de la carte des risques, en tant que modérateur d'ateliers sur les risques, en tant que compilateur d'un rapport sur les risques, en tant que responsable de l'application d'une stratégie et d'une politique en matière de risques, en tant que "réseauteur" et faiseur de jeux pour d'autres disciplines.

Pourquoi un outil ?

Afin de pouvoir regrouper le contenu spécialisé existant dans une gestion intégrale des risques, on peut se référer au matériel pertinent, qui est déjà très bien documenté. Par exemple, il existe les normes ISO 310xx / ONR 4900x sur la gestion des risques, ISO 223xx sur la gestion de la continuité, ISO 2700x sur la sécurité de l'information, diverses normes appliquées telles que COSO, COBIT, la directive "Machines", etc. qui fournissent des informations détaillées sur le "quoi" et le "comment". Malheureusement, ces connaissances sont déjà trop détaillées pour la plupart des PME. Et une discussion au sein de l'organisation ne conduit généralement pas à une décision sur la norme sur laquelle il faut vraiment s'appuyer. Comme stratégie d'adaptation, l'entreprise peut déléguer le traitement de la gestion des risques à une partie externe, mais sans pouvoir se soustraire à l'obligation d'évaluer soigneusement les risques. La responsabilité reste inaltérable au sein du conseil d'administration. Pour les conseillers en gestion, la préparation et le travail sur des sujets liés à la gestion des risques constituent une source de revenus intéressante, et "parler la langue des PME" garantit l'accès au client en tant que conseiller à domicile et au tribunal pour un large éventail de sujets. Le résultat de cette position de départ est que, bien qu'il existe des modèles, des listes de risques, etc. adaptés aux PME, ceux-ci ont tendance à ne pas être échangés ou partagés. Les consultants spécialisés ont à leur disposition une multitude de méthodes et d'options concrètes. Toutefois, seules des solutions très générales sont mises dans le domaine public et nécessitent une grande adaptation pour être appliquées. On peut également se demander quelles connaissances préalables sont utiles pour traiter les risques de la manière la plus solide et la plus fiable possible sans contribuer à une gestion des risques trop bureaucratique. Dans le cadre d'un projet de recherche financé par la CTI avec la participation de Thomson Reuters, de l'association professionnelle BCMnet.CH ainsi que de la Haute école spécialisée de Lucerne, les bases d'une "gestion intégrale des risques pour la sauvegarde globale des activités commerciales" ont été dégagées et préparées sous forme de méthode. Le résultat visible est une boîte à outils informative, qui contient également un outil d'évaluation comparative ainsi que d'autres listes de contrôle, explications et impulsions pour l'action (voir Fig. 1).

Comparez votre propre gestion des risques

À la fin du processus d'élaboration de l'outil, il y avait six questions centrales sur la gestion intégrale des risques (voir encadré "Six questions centrales"), dont les réponses indiquent si le sujet doit être abordé ou non. C'est le cas aujourd'hui pour la plupart des entreprises régulières, bien qu'il y ait des exceptions.

L'outil de benchmarking lui-même est mis à disposition sur la plate-forme Accelus de Thomson Reuters via Internet. Après s'être connecté à la zone protégée, le traitement peut commencer (voir Fig. 2). Le questionnaire couvre les principaux aspects de la gestion des risques, de la continuité et de la gestion de crise, ainsi que du système de contrôle interne. Les questions sont divisées en différents blocs thématiques et formulées de manière à éviter dans une large mesure les doubles emplois entre les quatre domaines spécialisés. Les blocs thématiques comprennent des questions telles que le champ d'application de la gestion des risques dans le domaine de la stratégie ou les responsabilités dans le domaine de la communication et des responsabilités. Si les aspects des quatre domaines spécialisés sont également couverts, la plupart des agents se sentiront chez eux lorsqu'ils seront actifs dans le domaine de la gestion des risques.

Les possibilités de réponse aux questions sont suffisamment abstraites pour que la personne qui traite la question puisse répondre aux différents aspects par des déclarations grossières. Les réponses sont évaluées à l'aide d'une grille clé et comparées aux réponses anonymes des questionnaires précédemment remplis. Les réponses sont affichées dans huit groupes de sujets différents, qui comprennent des sujets d'interface préalablement définis entre les quatre disciplines intégrées. L'évaluation est enfin disponible sous forme de document électronique et peut servir de point de référence pour l'amélioration de la "gestion intégrale des risques" (voir, par exemple, le graphique d'évaluation de la figure 3). Souvent, par exemple, une politique de risque fait défaut ou n'est qu'implicite et ne s'appuie pas sur les informations existantes.

La réponse aux questions prend environ 45 minutes et peut également se faire avec un accompagnement ou une orientation ; les partenaires du projet impliqués sont disponibles pour un tel accompagnement sur une base individuelle.

Matériel complémentaire utile

En plus de l'outil central d'évaluation comparative, des documents supplémentaires sont accessibles. En plus d'une collection de diverses listes de contrôle, des liens et des adresses sont également disponibles, ainsi qu'un glossaire fortement intégré avec les termes les plus importants (voir sous www.hslu.ch/integrales-rm). L'utilisateur du benchmark peut analyser plus en profondeur la situation initiale sur la base des informations comparatives obtenues. Les listes de contrôle et les documents d'accompagnement élaborés fournissent également des documents pour le développement ultérieur de la gestion intégrée des risques qui peuvent servir de modèle. Il est important de mettre en œuvre un petit nombre de mesures ciblées qui, si l'évaluation comparative est répétée après un certain temps, conduiront à des réponses plus avancées.

Une médiation significative L'outil a été développé sur plusieurs mois avec la participation d'un large éventail d'experts. Le résultat est une solution dans laquelle les questions ont été traitées de manière systématique. À cette fin, les questions spécifiques à chaque industrie et entreprise doivent être approfondies dans des scénarios individuels. Toutefois, une approche systématique et non à double voie est déjà réalisée avec l'outil existant (voir encadré "Producteurs de boissons").

En résumé, cette boîte à outils peut être utilisée pour obtenir une approche systématique avec une évaluation basée sur un modèle des activités individuelles de gestion des risques. De cette manière, il est possible de communiquer de manière significative sur les sujets liés à la gestion des risques aux décideurs et d'établir un contact avec des experts via les liens et les adresses fournis.