Globaliser la gestion des risques : vers la mise en place d’un cadre unique

Cyberrisk Management & Strategy

Publié le

[Tribune rédigée en collaboration avec Marion Couturier]

Historiquement, la gestion des risques est abordée par silos au sein des entreprises. Chaque filière (SI, qualité, continuité, RH,…) traite son périmètre en toute autonomie et sans réels échanges avec les autres. Cette gestion très cloisonnée rencontre aujourd’hui ses limites car elle n’apporte pas de réponses satisfaisantes aux questions clés qui régissent la gestion des risques pour toute entreprise :

  • Quelles actions de réductions des risques dois-je initier en priorité ?
  • Comment mutualiser mes efforts pour un maximum d’efficacité et un minimum de coût ?
  • Quel niveau de réduction de mes risques ai-je atteint ?

Aligner les démarches pour un partage et une consolidation des risques

La Direction des risques, acteur majeur de la démarche, se retrouve dès lors confrontée à un enjeu de taille : comment traiter globalement les risques de l’entreprise en s’affranchissant de cette structure par filière. Notre conviction est qu’elle doit, pour ce faire, mettre en place un cadre global de gestion en travaillant principalement sur deux axes :

–       Aligner et faire converger les pratiques : si la notion de risque et les concepts associés sont  très proches d’une filière à l’autre, il arrive trop souvent que les méthodes, les langages, les échelles,… divergent rendant ainsi la consolidation des risques remontés par chacune des filières difficile voire impossible.

–       Elaborer ou Rationaliser la gouvernance des risques : la mise en place d’une organisation intégrant les différentes parties et les faisant interagir permettra non seulement de décloisonner la gestion des risques mais aussi d’optimiser les plans de traitement et la maîtrise globale du risque.

Cette rationalisation doit également concerner les canaux de remontées des risques qui sont aujourd’hui extrêmement nombreux (au moins autant que de filières) entraînant une sur-sollicitation des opérationnels.

Au-delà du travail sur la méthode et l’adaptation de l’organisation, cette réponse globale doit s’appuyer sur un portefeuille de risques commun, réceptacle unique pour l’ensemble de l’entreprise. Véritable outil de pilotage, le portefeuille doit permettre, à la cible, un traitement plus adapté des risques par les différentes filières, basé sur des plans d’actions complémentaires et partagés.

S’appuyer sur l’existant pour une mise en place progressive

On ne passe pas d’une réponse éclatée à une approche globale en une seule étape, ou en faisant table rase de l’organisation et de ses contraintes. Face à ce challenge, la stratégie gagnante est, au contraire, celle qui implique l’ensemble des parties prenantes dans la réflexion pour en garantir l’acceptation et construire une véritable « culture du risque » au sein de l’entreprise. C’est également celle qui élargit pas à pas le spectre des risques couverts en commençant par la consolidation de risques de nature similaire, tels que les risques de sécurité et ceux liés au SI, avant d’inclure l’ensemble des risques opérationnels.

C’est en construisant sur l’organisation, en apportant de la cohésion entre les différentes filières et en appliquant une démarche progressive que les entreprises réussiront à transformer leur approche des risques.