Risk Manager : réaliser une cartographie des risques

Avoir une approche solide de la gestion des risques est plus important que jamais dans l’environnement de risque dynamique d’aujourd’hui. Dans cet article vous trouverez dix types de stratégies de gestion des risques pour mieux préparer votre entreprise aux risques de demain. Vous trouverez aussi un article complet sur la réalisation d’une cartographie des risques, les enjeux, la place du risk manager dans l’organisation et des conseils sur le traitement des risques. Vous prenez votre poste de risk manager : lisez cet article de fond car en entrant dans le monde du risque vous entrez dans celui de l’imprévisibilité !

La crise de la pandémie n’a fait qu’empirer le sentiment que les risques sont imprévisibles : 81% des professionnels de l’audit et du risque que nous avons interrogés parmi nos clients (directeurs d’audit / risk manager) pensent que le risque continuera d’être dynamique et imprévisible en 2022.

Quel que soit le secteur, la rapidité et l’efficacité avec lesquelles les risques peuvent être identifiés et gérés déterminera dans quelle mesure les entreprises et les institutions se rétabliront et se reconstruiront, ce qui nécessite de repenser les stratégies de gestion des risques. Alors que les organisations se concentrent davantage sur l’identification, l’atténuation et la surveillance des risques en réponse à un environnement de risque de plus en plus volatil, vous pouvez vous demander qui est responsable de l’élaboration d’une stratégie de gestion des risques et quelles sont les différentes stratégies de gestion des risques ? Voici tout ce que vous devez savoir pour mieux traiter les zones à haut risque d’aujourd’hui.

système de management des risques

 

Qu’est-ce qu’une stratégie de gestion des risques ?

Une stratégie de gestion des risques est une approche structurée pour gérer les risques et peut être utilisée dans des entreprises de toutes tailles et dans tous les secteurs. La gestion des risques est mieux comprise non pas comme une série d’étapes, mais comme un processus cyclique dans lequel les risques nouveaux et permanents sont continuellement identifiés, évalués, gérés et surveillés. Cela permet de mettre à jour et d’examiner les évaluations au fur et à mesure que de nouveaux développements se produisent, puis de prendre des mesures pour protéger l’organisation, les personnes et les actifs face à ces nouveaux risques. Ce processus est l’objet de la création d’une cartographie des risques connectée avec l’audit interne et le contrôle interne afin d’assurer une vision globale des risques et un suivi systématique.

Identification des risques et cartographie des risques

L’identification des risques peut résulter de la découverte passive de vulnérabilités ou de la mise en œuvre d’outils et de processus de contrôle interne qui déclenchent des signaux d’alarme lorsqu’il existe des risques potentiels identifiés. Être plus proactif que réactif est toujours la meilleure approche pour réduire les points à risque. L’identification des risques est l’étape numéro un d’une démarche de gestion des risques. Les processus d’identifications des risques sont du ressort du risk manager qui doit collecter les risques à travers différentes sources : entretiens exploratoires, benchmarck, réseau de contrôle interne, constats des audits internes.

Le risk manager doit par ailleurs entretenir son réseau avec différents manager opérationnels afin d’identifier et évaluer les risques en cours. Cette étape est la moins inné pour un jeune risk manager car le manager opérationnel lui apportera très rarement des risques correctement modélisés : ce sera au risk manager, lors d’entretien parfois informels d’avoir une oreille attentive permettant d’identifier les risques au travers du discours du manager. En effet, le manager n’est pas « cablé » risques et seul le risk manager responsable de sa cartographie des risques aura une écoute ciblée sur l’identification des risques.

cartographie des risques

Évaluation des risques – consolider sa cartographie des risques

Une fois les risques potentiels identifiés, chaque risque doit être évalué pour déterminer la probabilité qu’il devienne une préoccupation, son niveau de gravité et l’impact probable – cela aide les équipes d’audit à hiérarchiser chaque risque mais aussi les manager à prendre les décisions en fonction des risques. Que votre équipe d’audit procède à une évaluation des risques pour Sarbanes Oxley (SOX) ou se concentre sur d’autres types de risques plus opérationnels et adaptés à votre organisation, vos évaluations de risques doivent être systématiques, documentées et, en fonction de votre entreprise, revues au moins une fois par an.

La fréquence à laquelle les évaluations des risques sont effectuées variera en fonction de la taille et de la complexité de chaque entreprise. Un bon risk manager pourra se fixer une règle simple de réévaluation des risques graves et modérés tous les 6 mois et définir un pas de 18 mois pour les risques les mieux maitrisés. Il faut toutefois garder en tête qu’en matière de gestions des risques, les risques les plus impactant sont ceux qui surviennent alors qu’on les a sous-estimés. En effet, lorsque qu’on établit sa cartographie des risques, l’évaluation des risques n’est pas une science exacte et la graduation du risque peut être impactée par l’appréciation humaine : qui aurait pensé il y a deux ans qu’une pandémie fermerait les entreprises et durerait plus d’un an ?

Des différentes cartographies des risques que nous avons analysées dans des entreprises possédant une organisation structurée en matière de gestion des risques (présence de risk manager dans différentes entités, cartographie des risque piloté en central et rattachée à la direction d’audit – type direction d’audit Danone, direction d’audit SNCF, direction d’audit Renault), toutes avaient correctement identifiées le risque de pandémie depuis plus d’une décennie et avaient identifié un risque de paralysie du pays affectant la productivité, mais aucune n’avait identifié que cela durerait plus d’un an. L’évaluation des risques est donc un processus complexe dans la gestion d’une cartographie des risques. Il convient alors de laisser le moins de place à l’appréciation humaine pour peser ses risques et se baser sur des éléments factuels.

Traiter les risques – faire vivre sa cartographie des risques

Après avoir évalué les risques, la prochaine étape du processus consiste à développer et à mettre en œuvre des traitements et des contrôles, permettant à l’organisation de gérer les risques de manière appropriée et de gérer efficacement chaque risque en temps opportun. Pour ce faire, le risk manager doit établir un plan de gestion des risques et s’appuyer sur un réseau de personnes sensibilisé aux risques. Le contrôle interne est un bon support car il est habitué à prendre en compte les risques et contrôler la mise en place de mesures barrières. Une bonne méthode consiste à identifier les mesures barrières aux risques grâce à la méthode papillon.

Il s’agit d’identifier les causes et les conséquences des risques et de réfléchir à quelles seraient les mesures qui empêcheraient la survenance de la cause de l’évènement redouté ou bien comment atténuer sa conséquence. Certains risques sont facilement identifiables : par exemple, alors que la CICC (commission interministérielle de coordination des contrôles) recrute de nombreux auditeurs dans le secteur des contrôles sur les financements européens, il est relativement facile de penser que le volume d’auditeurs spécialisés dans ce domaine est restreint (à la fois audit et fonds européens, mais aussi fonctionnement de l’appareil administratif français dans ce domaine avec la gestion des responsables d’audit par les régions). Dans cet exemple, une barrière au risque d’erreur de contrôle ayant pour conséquence un reversement des fonds par l’autorité de gestion serait de mettre en place une formation adaptée à cette population fraichement recrutée. Cet exemple montre que le traitement du risque peut parfois être simple et n’est pas forcément toujours à percevoir comme une contrainte : la formation est également l’occasion de participer à une démarche managériale.

Surveillance des risques par le risk manager et le superviseur de la mission d’audit

La surveillance des risques est le processus continu de gestion des risques en suivant l’exécution de la gestion des risques et en continuant d’identifier et de gérer les nouveaux risques. La surveillance des risques permet une action rapide si la probabilité, la gravité ou l’impact potentiel d’un risque dépasse les niveaux acceptables. La surveillance des risques peut se faire grâce au travail des risk manager dans le cadre du suivi de la cartographie des risques. Aussi, le risk manager peut mettre en place en collaboration avec les directions d’audit interne des missions de suivi des audits. L’audit interne pourra y voir une manière d’effectuer le suivi de ses missions et la correcte mise en place de ses recommandations, mais il pourra également réaliser un suivi des risques majeurs identifiés dans les audits. A cette fin, il est toujours de bon ton pour un risk manager de se rapprocher du directeur de l’audit interne pour faire intégrer dans tous les audits une mini cartographie des risques. A chaque début d’audit, le chef de mission se rapproche du risk manager pour établir les risques identifiés dans la cartographie des risques et susceptibles d’apparaitre dans l’audit. Un point réalisé en fin de mission entre le superviseur de la mission d’audit et le risk manager permet de surveiller les risques au fil de l’eau. Ainsi, le superviseur de l’audit doit veiller à ce que chaque mission d’audit présente un slide avec une matrice des risques de l’audit en cours.

Pourquoi est-il important d’avoir une stratégie de gestion des risques ?

Les risques de projet et opérationnels ne sont pas rares dans la plupart des entreprises, administrations ou collectivités, mais il est essentiel de disposer de processus et de stratégies de gestion des risques pour identifier les forces, les faiblesses, les opportunités et les menaces (SWOT) de votre entreprise, également appelée analyse SWOT. Il existe de nombreux autres avantages à gérer efficacement les risques.

Garantir l’efficacité opérationnelle et la continuité des activités

Peu importe à quel point votre entreprise est bien préparée, les risques opérationnels peuvent survenir à tout moment, et à partir de sources dont vous n’aviez peut-être pas connaissance par le passé. Les risques peuvent prendre la forme d’une nouvelle menace de cybersécurité, d’un fournisseur ou d’un prestataire de services qui n’est plus en mesure de desservir votre entreprise ou d’une panne d’équipement. Avec toutes les parties mobiles à la fois dans une entreprise et en dehors de celle-ci qui ont un impact, avoir un processus de gestion des risques établi et une stratégie en place qui vous permet de garantir que des contrôles internes pour prévenir la fraude ou la survenance d’un risque identifié sont en place ou pour faire face à d’autres types de risque au fur et à mesure qu’ils surviennent.

La gestion des risques permet la protection des actifs de votre entreprise

Qu’il s’agisse d’équipements physiques, de fournitures ou d’informations, la protection des actifs de votre entreprise est impérative. Un rapport récent d’IBM montre que plus de 8,5 milliards d’enregistrements ont été compromis lors de violations de données entre avril 2019 et 2020, le coût moyen d’une violation de données de grande taille étant de 3,86 millions de dollars américains. Au cours de la période d’un an se terminant en avril 2020, 80% des vols étaient des informations personnellement identifiables (PII) liées au client. Il est donc impératif d’établir une stratégie de gestion des risques solide et réalisable du point de vue de l’assurance des entreprises. Les administrations sont également concernées par cette gestion des risques. Nous avons l’exemple de régions françaises travaillant avec un volume de 80 alternants en direction sur un total de 650 cadres, ayant accès à des informations diverses. Autre exemple : un ancien directeur de la stratégie d’un grand groupe automobile qui part à la retraite sans clause de non concurrence et se retrouve embauché pour une mission de consultant chez son ancien concurrent !

Satisfaction et fidélité des clients intégrées dans votre cartographie des risques

Le logo, la marque, la présence numérique et la réputation de votre entreprise sont également un atout – et vos clients sont rassurés de les voir et d’interagir avec eux quotidiennement. Lorsque votre entreprise dispose d’un plan de gestion des risques bien pensé et élaboré et qu’elle agit en conséquence, vos clients peuvent maintenir un sentiment de sécurité et de confiance en votre réputation et votre marque. Vos stratégies et processus de gestion des risques vous aident à protéger votre marque et votre réputation en protégeant ces actifs. Cela garantit également que les clients peuvent garder confiance en votre capacité à être là et à fournir les produits et services auxquels vous vous êtes engagé. Le résultat est un degré plus élevé de satisfaction et de fidélité de la clientèle. Mais pour atteindre ce résultat, alors le risk manager doit prendre en compte tous les aspects de l’interaction entre les risques et le client. Certaines enseignes n’avaient pas mis en place un système de vente en ligne pouvant supporter un volume d’achats important, ceux-ci ont été pénalisé par les flux serveurs lorsque pendant la pandémie il a fallu livrer en mase en raison de la fermeture des points de vente physiques.

La cartographie des risques permet de mettre en évidence vos avantages et atteindre les objectifs

Une partie importante de l’achèvement des projets à temps et de la réalisation des objectifs visés dépend de l’efficacité avec laquelle les risques sont gérés. Les pratiques d’identification, d’évaluation et de gestion de la gestion des risques exposent les vulnérabilités plus rapidement et permettent à votre entreprise de supprimer les projets et les activités qui ne produisent tout simplement pas de retour sur investissement. Cela augmente les chances d’atteindre votre portefeuille de projets attendu et les performances commerciales plus larges et de récolter les avantages escomptés.

Dans l’administration nous avons l’exemple d’un fonctionnement sans cartographie des risques : la direction s’est évertuée à mettre en place de nouveaux projets, de nouvelles feuilles de suivis. Mais cette direction n’avait pas compris où était le risque majeur. Certains de ses contributeurs sont placés dans d’autres administrations placées partout en France avec des missions qui ne sont pas 100% dédiés à la direction centrale. La direction centrale nationale n’a pas fait de cartographie de ses propres risques liés à l’atteinte de ses objectifs. Si elle avait fait cet exercice, elle aurait noté quels étaient les points qui mettaient en difficulté les auditeurs en régions avec l’impact que cela peut avoir sur la tenue des délais en termes de réalisation de leurs audits et en termes de qualité. Au bilan, la direction nationale a rajouté une couche administrative supplémentaire faisant croitre la survenue du risque chez les auditeurs locaux. Une autre façon de faire consistait à identifier avec ces auditeurs les risques auxquels ils faisaient face, puis de comprendre quelles pouvaient être les conséquences et enfin de voir quelle barrière pourrait permettre à ces auditeurs d’éviter la survenue du risque. Une correcte identification des risques en collaboration avec les auditeurs en local aurait pu conduire à leur donner des outils au lieu d’ajouter une couche ne faisant que croitre le risque.

Cet exemple est très significatif, car en se trompant dans ce mode de gestion on accroit également un risque RH lié à la satisfaction de l’auditeur dans son travail avec toutes les conséquences imaginables. Le risque RH est d’ailleurs très souvent oublié des cartographies des risques et les cartographies des risques oublient aussi de traiter de leurs propres risques. Dans cet exemple, la direction d’audit nationale a établi une cartographie des risques des contrôles qu’elle exerçait (risque de non-paiement, de défaut) mais elle n’a pas fait de cartographie des risques sur son fonctionnement interne alors que gérer ses propres risques pour une direction d’audit c’est garantir de meilleurs contrôles et un meilleur fonctionnement des auditeurs en région permettant de mieux servir toute l’organisation.

 

processus de maitrise des risques

Stratégie de gestion des risques : les 4 réponses habituelles

La gestion des risques peut impliquer l’application de différentes réponses aux risques pour faire face à divers types de risques. Tous les risques ne justifient pas la même réponse. Vous avez probablement entendu l’adage : « L’évitement n’est pas une stratégie ». Eh bien, croyez-le ou non, lorsqu’il s’agit de stratégies de gestion des risques, l’évitement est une réponse courante au risque, avec la réduction, l’acceptation et le transfert. Voici ce que vous devez savoir sur chaque réponse au risque et quand elle pourrait fonctionner le mieux.

Éviter les risques

L’évitement est une option qui permet d’éliminer le risque qu’un risque devienne réalité ou constitue une menace. Si un produit ne fonctionne pas bien mais ne présente aucun risque potentiel pour la santé ou la sécurité des employés ou de l’entreprise, éviter le risque peut être la meilleure option. Un exemple peut être d’éviter l’utilisation d’un équipement défectueux – mais seulement s’il n’est pas nécessaire et n’a pas d’impact sur les performances, la productivité ou la sécurité. L’évitement ne doit pas nécessairement être utilisé fréquemment ou pour des menaces à plus long terme. À terme, cette réponse devrait être réévaluée pour trouver d’autres réponses durables aux risques qui répondent aux problèmes sous-jacents. Dans le cadre d’un projet, la stratégie d’évitement peut être utilisée pour créer un calendrier projet plus souple qui offre de meilleures garanties pour la planification, les phases de test et les changements potentiels, tout en atténuant le risque de problèmes de planification.

Parfois, l’évitement n’est pas une réponse appropriée, et l’acceptation peut être la meilleure pratique. Lorsqu’un risque est peu probable ou si l’impact est minime, alors accepter le risque peut être la meilleure réponse. Le timing joue également un rôle : il se peut qu’un risque ne pose pas de problème imminent ou qu’il n’ait pas d’impact sur les perspectives stratégiques de votre entreprise. Un exemple pourrait être une modification des prix des fournisseurs ou de la livraison en cours de route. Il est important de continuer à réévaluer périodiquement ces types de risques : leur impact sur votre entreprise et ses projets pourrait changer. Voici un exemple actuel d’acceptation des risques. Des risques tels que les pandémies mondiales affectent la productivité des équipes ou la performance des produits. Il s’agit d’identifier et d’accepter les risques dans le cadre du plan de projet afin que toute l’équipe comprenne les menaces potentielles sur le rendement. De nombreuses entreprises n’ont eu que le choix d’accepter le risque.

Atténuer les risques

L’atténuation des risques est la réponse au risque la plus souvent discutée, mais elle n’est pas toujours pratique ou possible. Cela peut être la meilleure option si un risque constitue une menace ou un problème réel, et l’évitement ou l’acceptation ne suffira pas. Si un risque crée un impact négatif et qui pourrait être coûteux pour votre entreprise, vos employés, vos fournisseurs ou vos clients, alors ce risque doit être atténué. Cela signifie identifier le risque, évaluer toutes les solutions possibles, élaborer un plan, prendre des mesures et surveiller les résultats. Dans le cadre de l’exemple de la CICC citée plus en avant, une formation à l’audit et aux processus européens est une méthode d’atténuation des risques. Il est difficile de définir la gravité du risque dans le cas et son risque de survenance en raison de personnels insuffisamment formés, mais une simple formation aura dans tous les cas un effet sur l’atténuation du risque.

Transférer les risques

Il y aura des moments où des défis ou des problèmes surgiront et vous ou votre équipe ne pourrez peut-être pas les éviter, les accepter ou les atténuer. Un exemple peut être un manque d’expertise ou de formation nécessaire pour faire face aux risques. Dans ce cas, il peut être judicieux d’externaliser ou de transférer le risque à une autre partie, parfois en interne, tandis que d’autres fois, cela peut nécessiter l’aide d’un tiers ou d’un quatrième tiers. Les exemples les plus traditionnels relèvent du transfert vers l’assurance mais en optant pour cette voie il faut garder à l’esprit que le transfert de risque ne garantit par toujours un meilleur contrôle du risque. Dans le domaine administratif ou des grandes entreprises par exemple, il est facile de transférer une mission à un autre organisme prestataire, ce qui ne garantit pas la correcte réalisation de la mission.

  

Qui est responsable de l’élaboration d’une cartographie des risques ?

Déterminer qui sera la meilleure personne ou fonction pour identifier, évaluer et développer une stratégie de gestion des risques ne sera pas nécessairement la même à chaque fois – cela dépendra de la portée, de la nature, de la structure de l’entreprise, de la complexité, de la disponibilité des ressources et des capacités de l’équipe. Alors, qui est responsable de l’élaboration d’une stratégie de gestion des risques ? Cela peut être la responsabilité d’un membre du comité de gestion des risques, d’un membre de l’équipe d’audit, d’un chef de projet, d’un spécialiste des risques ou de quelqu’un d’autre, comme un consultant externe.

Au moment de décider dans quelle direction aller, d’autres éléments à considérer incluent :

  • Les moteurs et les avantages du développement d’une stratégie de gestion des risques.
  • Le processus de bout en bout, du début à la fin.
  • D’autres parties qui peuvent apporter un aperçu et une valeur supplémentaires.
  • Comment et où documenter la stratégie de gestion des risques.
  • Logiciels et outils de gestion des risques qui peuvent simplifier et rationaliser le travail.
  • Effectuer un examen formel des conclusions.
  • Moment de présentation des conclusions.

 

Dans la plupart des cas que nous observons et dans une majorité des cas observés par l’IFACI, la gestion des risques est réalisée par un risk manager directement rattaché au directeur de l’audit. Dans le cas des organisations les moins matures, le risk manager est hébergé dans le département méthodes. Mais lorsqu’il s’agit de directions d’audit plus matures, alors le risk manager et son équipe sont indépendants du pôle méthode et rattachés au directeur de l’audit. Pourquoi une telle décision ? Parce qu’un processus de management des risques vise à donner un outil décisionnel à celui qui élabore la stratégie : le directeur. C’est la raison pour laquelle la cartographie des risques en tant qu’aide à la prise de décision stratégique doit se trouver au plus proche de l’organe décisionnaire. Le risque à ce qu’elle soit placée dans le pôle méthode est évident : on ne peut être dans l’opérationnel en tant que support et avoir suffisamment de recul pour établir sa cartographie des risques.

 

Quels sont les 10 types de stratégies de gestion des risques à suivre en 2021 ?

Il est important de savoir qu’il existe de nombreuses stratégies de gestion des risques différentes, chacune avec ses propres avantages et utilisations. Voici dix types de gestion des risques à suivre en 2021.

Type 1 : Expériences commerciales

Cette stratégie de gestion des risques est utile pour exécuter des scénarios de simulation pour évaluer les différents résultats des menaces potentielles. Des équipes informatiques aux équipes marketing, de nombreux groupes fonctionnels sont bien familiarisés avec la conduite d’expériences commerciales. Les équipes financières mènent également des expériences pour évaluer le retour sur investissement ou évaluer d’autres mesures financières tout comme les équipes RH peuvent conduire des tests.

Type 2 : Validation de la théorie

Les stratégies de validation de la théorie sont menées à l’aide de questionnaires et d’enquêtes auprès de groupes pour obtenir des commentaires basés sur l’expérience. Si un nouveau produit ou service a été développé ou s’il y a des améliorations, il est logique d’obtenir des commentaires directs, opportuns et pertinents des utilisateurs finaux pour aider à gérer les défis potentiels et les défauts de conception, et ainsi mieux gérer les risques.

Type 3 : Développement de produit minimum viable

Développer des systèmes complexes qui offrent des fonctionnalités agréables n’est pas toujours la meilleure voie. Une bonne stratégie de gestion des risques envisage de créer un logiciel à l’aide de modules et de fonctionnalités de base qui seront pertinents et utiles pour la majeure partie de leurs clients – c’est ce qu’on appelle un produit minimum viable (MVP). Cela aide à garder les projets dans la portée ateignable, minimise le fardeau financier et aide les entreprises à se lancer plus rapidement sur le marché. Ce système du minimum viable est également très instructif en matière de gestion des ressources humaines ou de pilotage des équipes. A vouloir se lancer dans de grands défis il arrive que les projets ne se lancent pas, il arrive que cela prenne beaucoup de temps entre l’identification des risques et la mise en œuvre du projet, au bilan les risques identifiés ont disparu mais de nouveau sont apparus et ne sont pas traités. Avancer pas à pas est parfois le plus sûr moyen de gérer les risques et de les prendre en charge dès leur survenance.

Type 4 : Isoler les risques identifiés

Les équipes informatiques sont habituées à faire appel à une aide interne ou externe pour isoler les failles de sécurité ou les processus défectueux qui pourraient laisser place à des vulnérabilités. Ce faisant, ils deviennent proactifs dans l’identification des risques de sécurité avant un événement plutôt que d’attendre qu’une violation malveillante et coûteuse se produise.

Type 5 : Construire des tampons

Qu’il s’agisse d’un projet technologique ou d’audit, les chefs de projet reconnaissent la nécessité de créer un tampon. Les tampons réduisent les risques en garantissant que les initiatives restent dans la portée prévue. Selon le projet, les tampons peuvent être financiers, basés sur les ressources ou sur le temps. L’objectif ici est de s’assurer qu’il n’y a pas de surprises ou de risques imprévus.

Type 6 : Analyse des données

La collecte et l’analyse des données sont des éléments clés de l’évaluation et de la gestion des risques. Par exemple, l’analyse qualitative des risques peut aider à identifier les risques potentiels du projet. La réalisation d’une analyse qualitative approfondie des risques permet d’isoler et de hiérarchiser les risques, et d’élaborer des stratégies pour les traiter, les surveiller et les réévaluer.

Type 7 : Analyse risque-rendement

Mener une analyse des risques par rapport aux récompenses est une stratégie de risque qui aide les entreprises et les équipes de projet à découvrir les avantages et les inconvénients d’une initiative avant d’investir des ressources, du temps ou de l’argent. Il ne s’agit pas seulement des risques et des avantages d’investir des fonds pour saisir des opportunités, il s’agit également de fournir un aperçu du coût des opportunités perdues.

Type 8 : Leçons apprises

Avec chaque initiative ou projet que votre entreprise réalise ou ne réalise pas, il y aura inévitablement des leçons à tirer. Ces leçons sont un outil précieux qui peut réduire considérablement les risques dans les projets ou entreprises futurs, mais les leçons ne sont utiles que si les équipes prennent le temps de les documenter, d’en discuter et d’élaborer un plan d’action pour l’amélioration basé sur ce qui a été appris. C’est ici que les retours d’expériences prennent tout leur sens. Les risk manager doivent systématiquement intégrer un volet risques dans les REX.

Type 9 : Planification d’urgence

Les choses se passent rarement comme prévu, et bien qu’avoir un plan soit génial, c’est rarement suffisant. Les entreprises doivent prévoir plusieurs plans ou options en fonction de divers scénarios. La planification d’urgence consiste à anticiper que les choses vont mal tourner et à planifier des solutions alternatives pour le type de risques qui peuvent faire surface et déjouer votre plan initial.

Type 10 : Tirer parti des meilleures pratiques

Il y a une raison pour laquelle les meilleures pratiques sont mentionnées dans les stratégies de gestion des risques. Les meilleures pratiques sont généralement des façons de faire éprouvées et testées – et bien qu’elles puissent différer d’un secteur à l’autre et d’un projet à l’autre, les meilleures pratiques garantissent que les entreprises n’ont pas à recréer la roue. En fin de compte, cela réduit les risques. Une pratique par exemple est d’effectuer sa certification auprès d’un organisme tel que l’IFACI pour ce qui concerne l’audit, cela permet justement de se baser sur un cadre de construction de sa cartographie des risques déjà établi.

La gestion efficace des risques a toujours été essentielle au succès de toute entreprise et secteur, mais jamais autant qu’aujourd’hui. Être capable d’identifier et d’évaluer correctement les risques réduit les erreurs et permet d’économiser de l’argent, du temps et des ressources précieuses. Il clarifie également les décideurs et leurs équipes et aide les dirigeants à reconnaître les opportunités et les actions qu’ils doivent prendre. Une partie importante de votre stratégie de gestion des risques doit également impliquer la gestion des risques de votre entreprise en facilitant la collaboration et la visibilité sur les risques afin d’augmenter l’efficacité de vos programmes de gestion des risques.

Si vous avez besoin d’accompagnement en matière de gestion des risques ou simplement d’un regard extérieur, venez nous en parler. Nous intervenons pour les entreprises et administrations et formons les futurs auditeurs et risk manager à l’université d’Orléans.

Je passe à  l’action

© copyright image Unsplash