Mettez du confort dans votre zone de risque : neuf principes pour devenir une Risk Intelligent Enterprise

376 lecture(s)

L'ambition de l'étude est de présenter, dans un langage simple, les composantes indispensables à tout dispositif de « Risk Intelligence », et de proposer des pistes de réflexion et des éléments pratiques utiles à la mise en place d'un tel dispositif.

lire la suite replier

Commenter Intégrer Stats et infos du document Retour en haut de page
deloitte
publié par

s'abonner

Vous aimerez aussi

Mettez du confort
dans votre zone de risque
Neuf principes
pour devenir une Risk
Intelligent Enterprise
TM
Consulting & Risk Services
3
Introduction
4
L’inconfort du risque
5
Un référentiel comme point d’ancrage
6
Une gestion symphonique des risques
7
Lire la même carte
8
Un traitement réservé aux champignons
9
« Nous gérons les risques tous les vendredis »
10
Qui est le propriétaire du risque ?
11
Les fonctions support et le risque
12
Les garants du dispositif
13
Restez vigilant en matière de risques
14
Les neuf principes fondamentaux de la « Risk Intelligence »
15
Contacts
Sommaire
Avertissement légal
Ce support et les informations qu’il contient sont fournis par Deloitte Touche Tohmatsu.
Ils sont destinés à la diffusion d’informations d’ordre général sur un ou plusieurs sujets
particuliers et ne prétendent pas en faire un traitement exhaustif.
Par conséquent, l’information contenue dans ce document n’est pas destinée à constituer un conseil ni un service de comptabilité, de fiscalité, de droit, d’investissement, de
consultation ou d’un autre domaine professionnel. Elle ne doit pas constituer le seul fondement de décisions appelées à avoir un impact sur vous-même ou sur votre entreprise.
Nous vous conseillons, avant de prendre quelque décision ou de poser quelqu’acte qu’il soit qui puisse avoir des répercussions sur vos finances personnelles ou sur votre entreprise,
de consulter un conseiller professionnel compétent.
Ce document et l’information qu’il contient sont présentés « tels quels » et Deloitte Touche Tohmatsu ne fait aucune déclaration ni n’accorde aucune garantie, expressément ou
implicitement, à leur égard.
Sans limiter la portée de ce qui précède, Deloitte Touche Tohmatsu ne garantit pas que ce document ou que l’information qu’il contient soient sans
erreur ni qu’ils respectent quelque critère de rendement ou de qualité que ce soit.
Deloitte Touche Tohmatsu ne se reconnaît responsable d’aucune garantie implicite, y compris,
sans s’y restreindre, les garanties sur la qualité marchande, le titre, l’aptitude à une fonction particulière, l’absence de contrefaçon, la compatibilité, la sécurité et l’exactitude.
Vous utilisez ce document et l’information qu’il contient à vos propres risques.
Vous assumez l’entière responsabilité et tous les risques de dommage résultant de leur utilisation.
Deloitte Touche Tohmatsu n’est responsable d’aucun dommage spécial, indirect, accessoire, consécutif ou punitif, ni d’aucun autre dommage quel qu’il soit, que ce soit dans une
action recherchant sa responsabilité contractuelle, juridique ou délictuelle (y compris, sans s’y restreindre, la négligence) ou autrement, relativement à l’utilisation de ce document
ou de l’information qu’il contient.
Si l’une des dispositions précitées ne peut être appliquée intégralement pour quelque raison que ce soit, les autres dispositions continuent de s’appliquer.
Introduction
Cette publication fait partie d’un ensemble de
communications que Deloitte consacre aux principes
fondamentaux de l’intelligence du risque. Notre
ambition est de présenter, dans un langage simple, les
composantes indispensables à tout dispositif de « Risk
Intelligence », et de proposer des pistes de réflexion et
des éléments pratiques utiles à la mise en place d’un tel
dispositif.
Au bas de chacune des pages suivantes est énoncé
un des neuf principes du dispositif d’intelligence du
risque, précédé d’un éclairage sur le thème concerné.
L’application de l’ensemble des ces principes permet la
mise en place d’un dispositif dynamique et pérenne de
gestion des risques, désigné sous l’appellation
The Risk Intelligent Enterprise
.
La mise en œuvre de ces principes peut, bien entendu,
varier selon vos pratiques professionnelles, le cadre
réglementaire et le degré de maturité de votre
entreprise.
Dans certains secteurs économiques, ces principes
sont, pour la plupart, débattus depuis plus de dix ans
et peuvent donc sembler élémentaires mais, dans bien
d’autres, ils commencent seulement à être adoptés.
Quel que soit votre secteur d’activité, les principes
fondamentaux restent valables.
Si cette publication est la première de notre série
« Principes fondamentaux », ce n’est pas la première fois
que nous prenons la parole sur la « Risk Intelligence ».
Nous avons en effet publié plus d’une douzaine de titres
sur le sujet et réalisé de nombreux podcasts et webcasts.
Vous pouvez consulter gratuitement tous ces supports
sur www.deloitte.com/RiskIntelligence.
Une
Risk Intelligent Enterprise
se distingue avant tout
par une communication sans entrave. Nous vous
recommandons donc de partager le contenu du
présent document avec les autres dirigeants de votre
entreprise, les membres de son conseil d’administration
et ses principaux cadres. Les questions soulevées et les
concepts présentés dans cette publication constitueront
un excellent point de départ au dialogue qui doit
impérativement s’instaurer en matière d’amélioration de
la « Risk Intelligence » au sein de votre organisation.
3
L’inconfort du risque
Tout comme la politique ou la religion, le risque est
souvent un sujet polémique qui met les interlocuteurs
dans une situation d’inconfort. Rien d’étonnant à cela
dans la mesure où bon nombre de personnes mettent
plus ou moins consciemment des limites à ce type de
sujet.
Le risque peut être pour vous synonyme de menace ou
signe de mauvais augure pour vos affaires. Ce qui en fait
un sujet de conversation délicat.
La discussion peut cependant prendre une tournure plus
libre si vous envisagez l’autre facette du risque, celle qui
favorise la création de valeur. Autrement dit, une prise
de risques calculée, génératrice de valeur.
Le lancement de nouveaux produits, la conquête de
marchés étrangers, le rachat de concurrents, tous ces
projets constituent de véritables défis. Si vous ne gérez
pas correctement les risques qui y sont associés, vous ne
pourrez pas en retirer les bénéfices potentiels.
Envisagez donc une définition plus large du risque, une
définition qui donnerait la même importance à la gestion
des risques, qu’ils soient liés à la croissance ou à la
rentabilité.
Principe n°1 : dans une entreprise
« Risk
Intelligent
, une définition globale de
l’
«
appétit
pour le risque, qui couvre à la
fois la création et la conservation de valeur, est
utilisée de façon uniforme dans l’ensemble de
l’organisation.
4
Un référentiel comme
point d’ancrage
A quoi suspendez-vous votre imperméable en rentrant
chez vous si ce n’est au crochet d’un porte-manteau ?
Sa résistance varie selon la charge qu’il est supposé
supporter (vêtements lourds d’hiver ou légers comme un
imperméable d’été).
Envisagez votre référentiel de gestion des risques selon
le même principe : un point d’ancrage qui soutient
votre programme de gestion des risques, adapté à votre
« appétit » pour le risque.
Les référentiels de gestion des risques – tels que
COSO ERM, Turnbull et ISO – sont autant d’outils qui
permettent d’identifier les opportunités à exploiter et les
dangers à éviter.
Mais votre référentiel doit se montrer suffisamment
solide pour soutenir les objectifs de votre gestion
des risques. Il doit considérer vos propres stratégies,
vos initiatives et votre structure organisationnelle, et
pouvoir s’adapter à votre secteur d’activité comme à vos
obligations réglementaires.
Inutile de pousser trop loin l’analyse. N’accordez pas plus
de temps que nécessaire au choix de votre référentiel.
Assurez-vous seulement qu’il supportera le poids de
votre « chapeau ».
Principe n° 2 : dans une entreprise
« Risk
Intelligent
, un référentiel de gestion des
risques commun, soutenu par un corpus de
normes adapté, est utilisé par l’ensemble de
l’organisation pour gérer les risques.
Mettez du confort dans votre zone de risque
5
Une gestion symphonique
des risques
Lorsqu’elle est bien menée, la gestion des risques est
un effort coordonné, aussi précisément accordé qu’un
orchestre symphonique. Qu’il s’agisse de risque ou de
musique, les intervenants agissent de concert au fil de
compositions souvent complexes.
Dans votre entreprise, certaines personnes peuvent
même ignorer qu’elles font partie de l’orchestre. Le chef
de produit, le superviseur informatique ou l’adjoint du
directeur des fusions/acquisitions, par exemple, estiment
peut-être que la gestion des risques n’est pas de leur
ressort.
Changer cette mentalité est un préalable au déploiement
de l’intelligence du risque. Vous devez adresser des
messages clairs à chaque niveau de l’organisation
pour expliquer ce qu’est l’intelligence du risque, quelle
est son importance pour l’entreprise en général et les
collaborateurs en particulier, et ce qui est réellement
attendu au quotidien de la part de chacun d’eux.
Ceci suppose une communication lisible, une culture
du risque solide, des plans incitatifs comportant
des objectifs liés aux risques, et des programmes de
formation pour une gestion clairvoyante des risques.
En résumé, la collaboration doit être harmonieuse et
l’ensemble s’organiser comme suit :
Le conseil d’administration donne le ton (page 8).
La direction tient la baguette (page 9).
Les unités opérationnelles jouent de leur instrument
(page 10).
Certaines fonctions (RH, services financiers,
informatiques, juridiques, fiscaux) jouent leur rôle
d’assistance en coulisses (page 11).
D’autres fonctions (audit interne, gestion des risques et
compliance) sont les régisseurs du spectacle (page 12).
6
Principe n°3 : dans une entreprise
« Risk
Intelligent
, les rôles clés, responsabilités et
autorités de tutelle en matière de gestion des
risques sont clairement définis et délimités.
Lire la même carte
Mettez du confort dans votre zone de risque
7
Les spécialistes du risque tendent à se comporter comme
les membres d’une même communauté : ils restent
ensemble, partagent les mêmes croyances, rituels et
habitudes et développent leur propre dialecte.
Mais les pratiques dont se nourrissent ces populations
« indigènes » ne sont pas idéalement adaptées à
tous les gestionnaires du risque que l’on trouve dans
l’organisation d’une multinationale.
Cela ne veut pas dire que toute spécialisation est inutile,
bien au contraire. Sans cela, une gestion efficace des
risques serait impossible. Les spécialistes du risque ont
juste besoin de sortir de temps en temps de l’espace
dans lequel ils sont confinés. Le risque n’existant pas de
façon isolée, il en va de même pour ses gestionnaires.
Pour gérer efficacement les risques et en tirer avantage,
la distance entre les différents silos organisationnels doit
être comblée. Pour ce faire, une infrastructure commune
doit être créée, de sorte que toutes les fonctions et
unités opérationnelles aient recours, autant que possible,
aux mêmes processus et supports technologiques.
Ceci implique une
synchronisation
(assurer une
coordination par-delà les frontières institutionnelles),
une
harmonisation
(veiller à ce que les gestionnaires du
risque parlent tous le même langage et définissent le
risque de la même façon) et une
rationalisation
(éliminer
les tâches dupliquées inutilement).
Utilisez des outils tel que The
Risk Intelligence Map
1
(cartographie de la « Risk Intelligence ») pour faciliter vos
discussions. Vos réflexions et échanges sur les risques
pourraient alors prendre des directions que vous n’auriez
jamais envisagées. Reportez-vous à votre référentiel
de risques pour formaliser votre approche. Dressez
l’inventaire de vos risques majeurs.
Une terminologie, des technologies, des indicateurs
et des processus communs vous permettront de
transcender votre organisation en silos. Un tableau de
bord « Risk Intelligent » vous permettra de piloter vos
risques de façon dynamique.
Principe n°4 : une entreprise
« Risk
Intelligent
est dotée d’un dispositif de
gestion des risques partagé, qui permet aux
fonctions et unités opérationnelles d’assumer
avec professionnalisme leurs responsabilités
dans le domaine des risques.
1
Pour de plus amples informations sur The Risk Intelligence Map ™,
contactez votre interlocuteur chez Deloitte (voir page 15).
Un traitement réservé
aux champignons
8
Les conseils d’administration sont parfois soumis à un
traitement que l’on réserve habituellement à certains
champignons, et qui pourrait se résumer comme suit :
« Gardons-les dans le noir… »
Il va sans dire que ce genre de traitement devrait être
proscrit. Le conseil d’administration ou de surveillance
a la responsabilité de veiller à ce que la direction de
l’entreprise dispose de processus appropriés pour gérer
les risques. Et cette responsabilité ne peut s’exercer en
l’absence d’éclairage.
Pour satisfaire à leurs obligations et créer de la valeur, les
administrateurs doivent :
Mettre le risque à l’ordre du jour de leurs réunions
. Lui
consacrer du temps avant qu’il n’en exige. Discuter du
risque à chaque réunion ne saurait épuiser le sujet.
Evaluer la structure de gestion des risques en
place
. Comment les risques sont-ils gérés ? Les silos
organisationnels sont-ils comblés ?
Mobiliser l’équipe dirigeante
. Entretenir un dialogue
permanent sur les risques. Identifier les risques
susceptibles d’empêcher l’entreprise de mettre en
œuvre ses principales stratégies.
Discuter les différents scénarios de risques
. Où les
meilleures opportunités se trouvent-elles ? Qu’est-ce
qui pourrait contrarier les objectifs stratégiques de
l’entreprise ?
Vérifier l’appétence (ou l’aversion) de la structure
organisationnelle pour le risque
. Déterminer dans
quelle mesure l’entreprise a la
capacité
d’assumer
le niveau de risque choisi. Et dans quelle mesure elle
peut réellement l’assumer
. Le niveau de risque choisi
est-il en cohérence avec l’organisation de gestion des
risques mise en œuvre ?
Disposer d’un tableau de bord de suivi dynamique
des risques de l’entreprise
.
Obtenir une assurance raisonnable
. Quel est le niveau
de confiance de la direction ? Pour quelles raisons ?
Obtenir une revue indépendante
. Faire évaluer par
la direction de l’audit interne ou par un consultant
extérieur l’efficacité de l’ensemble du dispositif
de gestion des risques. L’assurance donnée par la
direction est-elle fiable ?
Principe n°5 : dans une entreprise
« Risk
Intelligent
, les organes de gouvernance
(conseil d’administration, comité d’audit, etc.)
bénéficient, pour remplir leurs obligations,
d’une transparence et d’une visibilité
suffisantes sur les pratiques de gestion des
risques.
M
a
n
a
g
e
R
i
s
k
« Nous gérons les risques
tous les vendredis
Mettez du confort dans votre zone de risque
9
Ne riez pas, ce sont là les propos fidèlement reproduits
d’un chef d’entreprise bien réel. Et voici une autre vérité
qui donne à réfléchir : si vous considérez la gestion des
risques comme un travail à temps partiel, vous risquez
fort de devoir rapidement en trouver un vous-même.
Nous avons vu précédemment que le risque était
l’affaire de tous dans l’entreprise. Si vous êtes membre
de la direction, cette obligation s’impose d’autant plus
fortement à vous : vous êtes chargé de donner le ton,
de diriger, de concevoir et de mesurer.
Votre rôle de dirigeant implique un leadership et une
autorité que vous devez exercer : sensibiliser vos équipes
à la prise de risques comme source d’avantages, imposer
la gestion des risques à tous les échelons de la hiérarchie,
faire connaître vos attentes, responsabiliser, impliquer
votre conseil d’administration ou de surveillance, initier
le changement et établir une culture de l’intelligence du
risque.
Programme ambitieux, certes. Alors comment parvenir
à tout faire ? Pour commencer, constituez une cellule
d’intelligence du risque (un comité de gestion des risques
composé de membres de la direction générale) dont
le rôle sera de faire des commentaires pertinents sur le
risque à la direction de votre entreprise et de contribuer
à l’élaboration d’un programme d’intelligence du risque.
Le plus souvent, la cellule d’intelligence du risque au
niveau de la direction générale est incarnée par le
Chief
Risk Officer
– CRO (directeur des risques). Aux côtés
des autres dirigeants, le CRO coordonne les travaux
d’élaboration d’une politique et d’une approche
communes qui sont ensuite déployées dans les unités
opérationnelles. Il communique sur l’appétence de
l’entreprise pour le risque et en assure le suivi. Il soumet
des rapports sur les risques à la direction et aux organes
de surveillance du conseil. Certaines entreprises peuvent
opter pour un rôle plus étendu. Le style du CRO varie
considérablement d’une organisation à l’autre et
doit être en phase avec la philosophie du risque que
l’entreprise cultive. Certaines entreprises peuvent faire
le choix d’un collaborateur orienté « business », d’autres
d’un animateur de groupe, d’autres enfin d’un simple
« agent de police ».
Quels que soient les contours du rôle assigné, une chose
est sûre : aucun ne travaille que le vendredi.
Principe n°6 : dans une entreprise
« Risk
Intelligent
, la direction générale détient la
responsabilité principale de la conception,
de la mise en œuvre et du maintien d’un
programme efficace de gestion des risques.
Qui est le propriétaire
du risque ?
10
S’il est entendu que le risque est l’affaire de tous dans
l’entreprise, qui est le propriétaire du risque (le « risk
owner ») ? Pour nous, ce sont les unités opérationnelles
qui sont les propriétaires des risques, aussi bien en titre
que dans les actes.
Cette question de l’hébergement peut être source
de grande confusion dans les organisations. On peut
résumer la situation simplement :
Le responsable de l’entité opérationnelle est le
propriétaire du risque.
En d’autres termes, si vous répondez de la réussite
de cette unité, vous êtes le principal responsable de
la gestion quotidienne des risques. Ce qui n’exonère
en rien les autres membres de l’unité de leurs propres
responsabilités en matière de risques.
Quelles sont les conséquences de cette « propriété » ?
Les propriétaires de risques détiennent notamment la
responsabilité d’identifier, de mesurer, de surveiller,
de contrôler et de faire des rapports sur les risques à
la direction générale, d’encourager la sensibilisation
au risque et de réorganiser les priorités en fonction
d’analyses de risques efficaces.
Comme tout propriétaire d’immeuble soumis au respect
d’un plan d’urbanisation, les responsables d’unités
opérationnelles opèrent sous certaines contraintes et ne
peuvent, par exemple, choisir leur référentiel – ils doivent
s’y conformer.
Ils ne déterminent pas l’« appétit » de l’entreprise pour le
risque – ils s’en tiennent au « menu » qui leur est servi.
Et s’ils ont la possibilité de miser sur des objectifs comme
au casino, sans surveillance ni limite, c’est que le dispositif
de gestion des risques de l’entreprise doit être revu.
Principe n°7 : dans une entreprise
« Risk
Intelligent
, les unités opérationnelles sont
responsables des performances de leur activité
et de la gestion des risques qu’elle génère dans
le cadre du référentiel des risques établi par la
direction générale.
Les fonctions support
et le risque
Mettez du confort dans votre zone de risque
11
Certaines fonctions (notamment finance, juridique, RH,
fiscale, informatique, etc.) se distinguent des unités
opérationnelles en ce qu’elles ne sont pas seulement
les propriétaires de leurs propres risques : elles peuvent
aussi être le révélateur des risques d’autres unités
opérationnelles. Leur rôle est intrinsèquement différent
de celui des « garants du dispositif » (voir page suivante)
ou des unités opérationnelles (voir page précédente).
Tout comme les unités opérationnelles, ces fonctions
sont les principales responsables des risques générés
par leurs activités. La direction financière, par exemple,
assume directement les risques qui découlent de la
justification des comptes, le service informatique, ceux
liés aux technologies, le service juridique, ceux liés aux
litiges, et les RH, ceux liés aux ressources humaines.
En parallèle, elles sont également responsables de
risques qui transcendent leurs fonctions. Par sa
connaissance des comptes, la direction financière peut
identifier des risques d’autres unités opérationnelles.
La DSI, quant à elle, est omniprésente dans l’entreprise
et peut aider les autres services à contrôler et à réduire
leurs risques. Les RH peuvent exploiter les enquêtes
auprès des nouveaux entrants, les entretiens préalables
aux licenciements ou toute autre information susceptible
d’aider à identifier les zones de risques imminents.
Ces fonctions transverses sont responsables de
l’élaboration et de l’application des politiques,
procédures et contrôles qui réduisent le risque dans
l’ensemble de l’organisation. Elles servent de support
aux unités opérationnelles et les assistent dans la
compréhension de leurs obligations de prise de risque
raisonnée, avec l’objectif de les aider à en retirer des
bénéfices. Elles collectent des informations importantes
pour la direction générale et réalisent des analyses de
réduction des risques.
Il est important que ces fonctions clés soient associées
à l’équipe de gestion des risques et que leur rôle soit
articulé en phase avec le référentiel des risques. De
même, elles doivent participer au comité de gestion des
risques et à toutes les discussions majeures sur le sujet.
Principe n°8 : dans une entreprise
« Risk
Intelligent
, certaines fonctions (notamment
financière, juridique, informatique, HR, etc.),
de par leur caractère transverse, servent de
support aux unités opérationnelles dans la
mise en œuvre du programme de gestion des
risques.
Soyez le premier à déposer un commentaire !

17/1000 caractères maximum.