La gestion des risques est devenue un sujet crucial au cours des dernières années, qui devrait être à l’ordre du jour de toutes les organisations. Cependant, une majorité des organisations n’y est pas sensible ou bien n’a pas encore osé y toucher. Pour nombre d’autres, il s’agit toujours d’une grande « nébuleuse ». Pourtant, les impacts organisationnels des risques sont de plus en plus importants. La survie même des organisations est parfois menacée.
La problématique
Si la notion de risque est ancienne, celle de la gestion des risques est un concept récent qui a d’abord été accolé à des thèmes spécifiques, notamment du côté de la finance et des T.I. Puis, est apparue la notion globale de gouvernance, qui a introduit de façon conceptuelle la gestion des risques organisationnels. Comme tout nouveau concept, il faut un temps de latence suffisant avant qu’il ne soit compris dans son ensemble et que des outils méthodologiques efficaces soient disponibles.
Les faits
Maintenant, il est mondialement acquis qu’il n’y a plus de limite de taille aux organisations susceptibles de tomber sous le butoir des risques organisationnels. Même des géants de la finance n’ont pas pu se protéger de la crise qui a éclaté à la fin de 2008. Il a fallu attendre les retentissantes faillites aux États-Unis, les contraintes de l’incontournable conformité à la loi Sarbanes-Oxley et l’introduction des IFRS (International Financial Reporting Standards) pour voir la gestion des risques organisationnels être propulsée en avant, avec vigueur, pour les plus grandes entreprises.
L’évolution
Les T.I., par leur position stratégique, se voient confrontées simultanément à deux types de risques différents et à deux niveaux organisationnels. En premier lieu, les risques spécifiques aux T.I. dont les impacts sont départementaux. En second lieu, les risques dont les impacts sont organisationnels. Dans ce second cas, les T.I. peuvent être un outil utilisé comme levier au déclenchement d’un sinistre ou être la cause même du problème, par un dysfonctionnement.
Plateforme organisationnelle Toutes les organisations, publiques ou privées, ont pour objectif initial de créer de la valeur. C’est leur plateforme organisationnelle. Ainsi, pour un organisme public qui diffuse des services aux citoyens, une rationalisation des activités par la mise en place de nouveaux procédés tout en maintenant un coût de fonctionnement acceptable crée de la valeur. Par conséquent, la notion de valeur ne peut plus être limitée aux seuls éléments financiers. D’ailleurs, le COSO ( Committee of Sponsoring Organisations ) reprendra ce concept dans les publications et l’élèvera au rang des bonnes pratiques.
Toutes les activités doivent faire face, à divers moments, à différents risques potentiels. Ces risques constituent des atteintes à la création de valeur de l’organisation. Aussi, lorsqu’une organisation entreprend de gérer ses risques, afin de préserver sa création de valeur, elle devrait requérir un soutien méthodologique.
Facteurs critiques de la gestion des risques En y regardant bien, la plupart des approches de la gestion des risques présentent les mêmes étapes ou facteurs critiques. De façon générique, on retrouve globalement les facteurs critiques suivant : les éléments contextuels, les objectifs stratégiques, les incidents, la catégorisation des risques, le traitement des risques, le contrôle, la communication, et le suivi. Ces huit éléments forment un ensemble indissociable.
Géographie de l’environnement contextuel L’environnement contextuel interne forme essentiellement le cadre de référence à partir duquel tous les autres éléments vont être mis en œuvre. Il est une composante de première importance. Il s’agit d’une part du niveau maximal de risques acceptable pour les gestionnaires, dans l’atteinte des objectifs stratégiques, et de l’ensemble des valeurs éthiques qui meuvent l’évolution de l’organisation. Ces éléments contextuels internes conduisent donc à l’établissement d’un plan organisationnel de « gestion stratégique des risques » et d’un « code d’éthique » à l’usage des gestionnaires.
Élaboration des objectifs stratégiques La détermination des objectifs stratégiques est un élément charnière dans la gestion des risques organisationnels. Il est impératif que la haute direction et le conseil d’administration de l’organisation aient procédé à l’élaboration des objectifs stratégiques à atteindre. À ce stade, il est important de s’assurer que les objectifs stratégiques soient cohérents avec la mission de l’organisation et qu’ils soient conformes au niveau maximal de risque acceptable et ne mettent pas en danger la survie de l’organisation advenant un sinistre. Les objectifs sont cruciaux dans la gestion des risques, car ils sont à la base de la détermination de tous les autres facteurs.
Cartographie des risques Il s’agit d’identifier, de façon aussi active que possible, les incidents potentiellement susceptibles de se produire, compte tenu du type d’activités de l’organisation et de ses objectifs stratégiques. Ces incidents potentiels sont de deux types : les incidents négatifs qui présagent une menace pour l’organisation, et les incidents positifs qui représenteront des opportunités.
Catégorisation et évaluation des risques La catégorisation formelle et l’évaluation précise des risques permettent, après l’identification des éléments déclencheurs, de déterminer le type d’objectifs qu’ils affectent (stratégiques, tactiques, opérationnels, etc.) mais également, de définir leurs impacts potentiels et leurs probabilités de déclenchement.
Traitement des risques Cette activité a pour but d’appliquer une contre-mesure appropriée, à partir de l’évaluation qui a été faite d’un risque spécifique. Le traitement des risques intègre deux aspects : les contre-mesures aux risques concernés, et la réduction du niveau résiduel de danger à un seuil acceptable. La gestion des risques organisationnels pourra déployer diverses solutions possibles pour procéder au traitement approprié.
Activités de contrôle Les activités de contrôle ont pour but de garantir l’application pleine et effective des actions retenues par les gestionnaires pour faire face aux risques inhérents. Ces contrôles doivent être définis par des politiques et s’appuyer sur des procédures précises. Ils doivent être mis en place à tous les niveaux de l’organisation.
Canaux de communication Dans la gestion des risques, la communication est un élément crucial. L’information qui la concerne doit être identifiée et transmise aux intervenants concernés. C’est le système d’information organisationnel qui doit être responsable des communications, de l’interne comme de l’externe.
Procédure de suivi Le processus de gestion des risques doit se réaliser dans un contexte d’amélioration continue. Pour ce faire, le suivi doit appuyer les évaluations des divers éléments, au moyen de diverses procédures. Ces évaluations servent à la détection des défaillances et des dysfonctionnements du système. Les informations ainsi collectées doivent être immédiatement remontées jusqu’aux niveaux hiérarchiques les plus élevés concernés par la gestion des risques.
La conclusion
Étant donné que les T.I. ne sont jamais bien loin des sinistres organisationnels, elles y sont largement impliquées. Comme les impacts des divers risques sont devenus de plus en plus organisationnels, l’utilisation d’un référentiel est assurément une bonne pratique en la matière et les recommandations du COSO ne sont pas si inaccessibles.
Aussi, nombre d’organisations, encore démunies sur le sujet, devraient envisager d’y recourir. Face à ces risques devenus organisationnels, la haute direction, le conseil d’administration ou le patron de la PME doivent s’assurer d’une saine gouvernance et d’une gestion proactive des risques, afin d’en réduire les effets.
Gérard Blanc est associé principal d’une firme conseil en gestion et en systèmes d’information.
