#2 Comment développer un cadre de gestion des risques effectif

Publié parThomasPublié dansRisk managementÉtiquettes :, , ,

Lorsque l’on veut concocter un petit plat mijoté, il faut rassembler plusieurs éléments. Il est d’abord nécessaire de connaître une recette, que l’on sélectionnera en fonction de nos propres ambitions, de notre énergie et nos connaissances mais aussi de nos contraintes. Ensuite, il faut rassembler les ingrédients. A-t-on besoin de produits basiques qui suffiront à réaliser un bon plat ou, au contraire, devons-nous choisir des ingrédients d’exceptions pour un repas extraordinaire? Enfin, nous devrons disposer de temps suffisant car un plat mijoté ne se fait jamais en deux temps trois mouvements!

Comme pour n’importe quel objectif métier, il est nécessaire de définir un plan et de se fixer une ligne directrice

Développer un cadre de gestion des risques efficace, c’est un peu comme pour la cuisine. Il est nécessaire de définir un plan clair et adapté, de sélectionner les outils qui conviennent le mieux à notre situation et, évidemment, de se donner le temps d’y arriver. Nous développerons aujourd’hui le premier point et partirons sur quelques exemples concrets. Attention, chaque situation est différente et il n’est pas possible de décrire une solution ‘one-fits-all’, c’est pourquoi nous nous poserons ensemble les questions utiles pour affiner votre approche. A vous d’y répondre!

Établir son plan

Construire un plan adapté n’est pas quelque chose de forcément compliqué bien que cette activité puisse être consommatrice de temps. Il est toutefois absolument nécessaire d’en définir un afin de se fixer une ligne directrice et de mettre en place les bonnes actions, adaptées à notre contexte.

La bonne nouvelle, c’est qu’il existe énormément de littérature décrivant la manière de définir une stratégie puis un plan1,2. Ne réinventons pas la roue, et piochons dans ce qui existe en l’adaptant au domaine de la gestion des risques!

Le point de départ

Démarrons par fixer le niveau de départ, ou la maturité. Il s’agit de réaliser une évaluation de la manière dont les risques sont gérés aujourd’hui. Plusieurs méthodes existent à ce sujet avec différents niveaux de complexité, de profondeur et de précision. Citons par exemple, la méthode CMMI (Le modèle CMMI définit une échelle de mesure de la maturité à cinq niveaux, ainsi que les indicateurs nécessaires pour évaluer les activités menées par une entreprise par rapport à cette échelle), la méthode SWOT (L’analyse SWOT, matrice SWOT ou synthèse SWOT est un outil de stratégie d’entreprise permettant de déterminer les options offertes dans un domaine d’activité stratégique. Il vise à préciser les objectifs de l’entreprise ou du projet et à identifier les facteurs internes et externes favorables et défavorables à la réalisation de ces objectifs.) ou, directement adaptés à la gestion des risques, les RMMs (Risk Maturity Models : La maturité du risque est une mesure de la façon dont une organisation identifie, évalue, gère et surveille les risques. Cela fait référence au niveau de qualité et d’intégration des pratiques de gestion des risques d’une organisation3) dont la version la plus connue (payante) est celle développée par le Risk Management Society ou RIMS4 ou encore la méthode (gratuite, celle-là, moyennant création d’un compte utilisateur) du Risk Maturity Model Org5.

Le plus important dans cette première étape sera de se sentir confortable avec la méthode d’évaluation. Alors, pourquoi ne pas ré-utiliser une méthode déjà éprouvée dans votre organisation? De mon côté, j’ai pris le parti d’utiliser un Risk Maturity Model, une méthode relativement simple, inspirée de mon expérience et des modèles d’évaluation de la maturité de gestion des risques.

Tips : Si vous pensez que rien ou presque n’est en place, le tableau ci-dessous est un bon début. Si, par contre, vous êtes déjà plus avancé dans le domaine de la gestion des risques, il peut être intéressant d’utiliser l’outil d’évaluation du Risk Maturity Model Org.

Les objectifs à atteindre

Une fois le point de départ fixé, il faut se poser la question de la destination. Autrement dit, à quel niveau de maturité dois-je amener mon organisation pour lui permettre de sécuriser ses objectifs stratégiques. Cela dépendra d’énormément de facteurs comme la complexité et la taille de la structure, le cadre réglementaire, les objectifs métier, etc. Il n’est en effet pas forcément nécessaire de vouloir atteindre une maturité très haute si une gestion des risques basique est suffisante étant donné le contexte. Nous pouvons résumer les objectifs à atteindre en quatre propositions qui correspondent aux niveaux de maturité.

Niveau 1 – Prendre conscience de son environnement

À ce stade, je vise à développer une conscience initiale des risques au sein de mon organisation. Mon approche est plutôt réactive, où je réagis aux risques au fur et à mesure qu’ils se présentent. Je ne dispose pas encore d’un processus formalisé pour anticiper ou gérer activement les risques. Mon objectif principal est de prendre conscience des conséquences potentielles des risques et de décider au cas par cas comment y faire face, même si cela peut entraîner des pertes financières ou des impacts sur la réputation.

Niveau 2 – Minimiser les pertes et les échecs

À ce niveau, je vise à mettre en place une approche structurée pour la gestion des risques au sein de mon organisation. Je commence à identifier et à évaluer systématiquement les risques potentiels. J’adopte des méthodes de base pour prioriser ces risques en fonction de leur probabilité et de leur impact. Mon objectif est de réagir de manière cohérente à chaque risque identifié, en mettant en place des plans d’atténuation préétablis pour minimiser les perturbations et les impacts négatifs. Toutefois, j’ai conscience qu’un manque d’exhaustivité peut se présenter et entraîner des conséquences car les personnes concernées ne sont pas forcément impliquées.

Niveau 3 – Optimiser les coûts liés aux risques et évaluer les opportunités

À ce stade, je m’efforce d’optimiser ma gestion des risques en mettant en œuvre des processus plus élaborés. Mon objectif étant d’anticiper le plus possible, j’ai établi une méthodologie complète pour l’identification, l’évaluation et la gestion continue des risques. Je collabore avec les parties prenantes concernées pour élaborer des stratégies d’atténuation spécifiques à chaque risque majeur. Je surveille activement les indicateurs de performance liés aux risques et j’ajuste mes approches en conséquence pour minimiser les impacts négatifs et saisir les opportunités.

Niveau 4 – Soutenir les décisions stratégiques et augmenter la performance

Mon objectif à ce niveau est d’intégrer la gestion des risques dans tous les aspects de l’entreprise. Je considère les risques comme faisant partie intégrante de la prise de décision stratégique. J’ai mis en place une culture de gestion des risques au sein de l’organisation, où tous les membres comprennent l’importance de l’identification précoce et de la gestion proactive des risques. Je dispose de systèmes et d’outils avancés pour la collecte de données, l’analyse prédictive des risques et l’automatisation des processus de gestion des risques. Mon objectif ultime est de créer une organisation résiliente qui peut anticiper, s’adapter et prospérer face à l’incertitude.

Les activités à mettre en oeuvre

Maintenant que nous avons établi les objectifs à atteindre pour chaque niveau de maturité, il est temps de discuter des activités à mettre en œuvre pour progresser dans le développement de votre cadre de gestion des risques. Chaque niveau nécessite des actions spécifiques pour atteindre l’objectif visé mais nous ne fixerons pas de plan générique. Comme écrit plus haut, chaque situation est différente et il n’est pas possible de décrire une solution ‘one-fits-all’. Toutefois, j’évoquerai ici certaines pistes qui peuvent donner les premières idées et vous permettre d’orienter vos choix.

Niveau 1 – Ad-hoc :

  • Commencez par sensibiliser l’équipe à l’importance de la gestion des risques et aux conséquences potentielles.
  • Mettez en place un mécanisme simple pour signaler les incidents et les problèmes liés aux risques.
  • Identifiez les risques les plus évidents et définissez des actions réactives pour y faire face.
  • Encouragez la communication ouverte sur les risques au sein de l’organisation pour apprendre des expériences passées.

Niveau 2 – Structuré :

  • Développez un cadre de gestion des risques de base, y compris les étapes clés de l’identification, de l’évaluation et de la réponse aux risques.
  • Formalisez les rôles et les responsabilités liés à la gestion des risques au sein de l’organisation.
  • Élaborez des plans d’atténuation préétablis pour les risques courants et définissez des critères pour prioriser les risques.
  • Mettez en œuvre des indicateurs clés de performance (KPI) pour suivre l’efficacité de vos actions de gestion des risques.

Niveau 3 – Optimisé :

  • Adoptez des méthodologies avancées d’identification et d’évaluation des risques, telles que l’analyse quantitative.
  • Élaborez des plans d’atténuation spécifiques pour chaque risque majeur, en tenant compte des impacts financiers et opérationnels.
  • Mettez en place des comités de gestion des risques pour examiner régulièrement la situation et prendre des décisions éclairées.
  • Investissez dans des outils logiciels de gestion des risques pour suivre les risques de manière plus proactive.

Niveau 4 – Intégré :

  • Intégrez la gestion des risques dans les processus décisionnels stratégiques de l’entreprise.
  • Utilisez des techniques d’analyse prédictive pour anticiper les tendances et les évolutions des risques.
  • Automatisez les processus de gestion des risques autant que possible, en utilisant des technologies telles que l’intelligence artificielle.
  • Favorisez une culture du risque forte en fournissant une formation continue, en reconnaissant les bonnes pratiques et en encourageant la collaboration interdépartementale.

Ci-dessous, un exemple concret de trajet qui peut être suivi lorsque rien n’a encore été mis en place. L’objectif est de se familiariser avec les principes de la gestion des risques et de construire une première image de son profil de risques tout en commençant à impliquer des collaborateurs clés.

Rappelez-vous que chaque niveau de maturité est une étape progressive, et il est important de prendre le temps nécessaire pour consolider chaque niveau avant de passer au suivant. Adaptez ces moyens à votre contexte spécifique, en tenant compte de la taille de votre organisation, de son domaine d’activité et de ses ressources disponibles. En mettant en œuvre ces moyens de manière stratégique, vous pourrez développer un cadre de gestion des risques robuste et efficace pour sécuriser les objectifs stratégiques de votre organisation.

  1. Competitive Strategy: Techniques for Analyzing Industries and Competitors by M. Porter ↩︎
  2. Playing to Win : How Strategy Really Works ↩︎
  3. Explaining risk maturity models and how they work ↩︎
  4. RIMS Risk Maturity Model ↩︎
  5. Risk Maturity Model Org ↩︎

Laisser un commentaire