Bien que de plus en plus d’organisations et de secteurs adoptent progressivement des programmes de gestion des risques d’entreprise (GRE) depuis le paroxysme de la crise financière en 2009, de nombreuses entreprises hésitent encore à adopter des programmes de GRE à part entière, craignant un investissement substantiel avec peu de retour sur investissement.
Toutefois, avec les ressources et les outils appropriés, les organisations qui mettent en œuvre la GRE peuvent éviter bon nombre des pièges qui entraînent l’échec des initiatives… ou du moins un écart décevant entre ce que la GRE promet et ce qu’elle produit réellement.
Les initiatives de GRE se développent, s’améliorent
Des études récentes indiquent que davantage d’entreprises ont adopté la GRE depuis la dernière fois qu’elles ont été interrogées il y a quelques années, et que leurs programmes de GRE sont de plus en plus robustes et efficaces.
Selon le rapport, « 2018 L’état de la surveillance des risques : Une vue d’ensemble des pratiques de gestion des risques, » 31 % des organisations (48 % des grandes organisations) ont mis en place des processus GRE complets. L’enquête, menée auprès de 474 dirigeants d’entreprises de divers secteurs, a été publiée conjointement par l’initiative ERM de l’État de Caroline du Nord et l’American Institute of CPAs.
Selon l’enquête de référence 2017 ERM Benchmark SurveySelon la dernière enquête ERM publiée par RIMS, 24 % des personnes interrogées ont indiqué que leur organisation avait mis en place des programmes ERM totalement intégrés. Les résultats sont issus d’une enquête menée auprès de 397 répondants issus de plus de 14 secteurs d’activité différents.
Indépendamment des progrès réalisés, les deux études indiquent que les taux d’adoption et de réussite des programmes ERM sont inférieurs à ce qu’ils devraient être, en particulier si l’on considère les avantages avérés que les organisations ont tirés d’une véritable intégration de l’ERM dans leurs activités.
Les erreurs courantes dans les initiatives de gestion des risques d’entreprise
Mais le succès s’accompagne aussi d’échecs… ou, peut-être, d’un manque de succès. Les initiatives ERM les moins fructueuses découlent souvent des trois faux pas suivants :
1. Manque de données convaincantes et exploitables : Les gestionnaires de risques ont souvent du mal à trouver et à fournir des informations relatives aux risques provenant de l’ensemble de l’organisation. Cela s’explique souvent par le fait que les données pertinentes sont enfermées dans des systèmes multiples et manuels, dont l’intégration est un véritable défi. Ainsi, les données ne sont pas opportunes, transparentes ou normalisées. Il est donc extrêmement difficile de démontrer le coût total du risque. et le retour sur investissement de la gestion des risques de l’entreprise – en d’autres termes, la valeur de la prévention des risques qui ne se sont jamais concrétisés ou la valeur de la prise de risques qui ont permis de générer des revenus.
Lire « Comment les feuilles de calcul nuisent à la gouvernance et à la conformité ».
2. Le manque de soutien organisationnel : L’absence de données fiables et actualisées se traduit souvent par un manque de soutien organisationnel à la gestion des risques de l’entreprise. Souvent, l’échelon supérieur n’adhère pas parce que, sans preuve concrète de la valeur de la prévention ou de la prise de risques, il ne peut pas comprendre pourquoi la GRE est plus importante que toutes les autres initiatives qu’il doit mettre en œuvre. En outre, les employés qui se trouvent au bas de l’échelle de l’organisation n’y adhèrent souvent pas parce qu’ils supposent que la collecte et la saisie de données associées à la GRE vont les empêcher de faire leur travail.
3. Absence de stratégie et de tactique: Lorsque des données inadéquates sont associées à un soutien organisationnel insuffisant, il y a fort à parier que la gestion des risques ne sera pas une entreprise stratégique. Dans un tel scénario, il est extrêmement difficile pour un gestionnaire de risques de s’asseoir à la table des décisions. D’un autre côté, les organisations qui disposent de données et de stratégies de gestion des risques exploitables doivent également être en mesure de mettre en œuvre des tactiques. Sans exécution tactique, la stratégie ne peut pas avancer. Cependant, les organisations ont souvent du mal à accomplir les nombreuses tâches de gestion des risques réparties entre une multitude de départements et un nombre incalculable d’employés.
Comment éviter l’échec de la GRE
La bonne nouvelle, c’est que La bonne nouvelle est que la technologie de gestion intégrée des risques peut aider les organisations à éviter bon nombre de ces faux pas en donnant aux utilisateurs la possibilité d’évaluer et de gérer facilement des éléments à jour liés au risque à partir d’une source unique de vérité.
Tout d’abord, il fait remonter les informations ERM pertinentes de l’endroit où elles se cachent dans votre organisation, les relie à d’autres données internes et externes, puis les normalise à l’aide d’outils de traitement des données afin de garantir la cohérence des données que vous comparez. Comme la technologie fonctionne dans le nuage, les données sont automatiquement collectées et mises à jour en temps réel.
Ainsi, il est facile d’accéder et d’analyser en quelques clics des données de gestion des risques actualisées provenant de l’ensemble de l’organisation, au lieu de rassembler plusieurs feuilles de calcul dans une méga feuille de calcul, ou de rassembler des données provenant d’autres systèmes obsolètes dans un document ou un rapport qui sera essentiellement obsolète une fois qu’il sera temps de faire un rapport.
Ensuite, la bonne technologie de gestion intégrée des risques permettra d’automatiser les processus, de la saisie des incidents et des rapports à l’intégration des processus, en passant par la mise en place de systèmes de gestion des risques.
Ensuite, la bonne technologie de gestion des risques permet également d’automatiser les flux de travail-En effet, le système peut automatiquement déclencher des notifications, des étapes suivantes et des rappels, tout en assurant le suivi et la remontée des problèmes non résolus. Plutôt que de s’appuyer sur des appels téléphoniques manuels et des courriels adressés à d’autres services pour faire avancer le travail, le système peut déclencher automatiquement des notifications, des étapes suivantes et des rappels, tout en assurant le suivi et l’escalade des problèmes non résolus. Tout cela encourage la collaboration et la responsabilité, et permet aux initiatives de gestion des risques d’aller de l’avant.
Enfin, la bonne technologie de gestion intégrée des risques peut être spécifiquement adaptée à la gestion du programme ERM unique de votre organisation, en fournissant toute une série d’applications pour améliorer l’efficacité et la cohérence de tous les processus et décisions de l’entreprise (y compris ceux liés à la gouvernance d’entreprise, au risque et à la conformité, à la gestion des fournisseurs, à la gestion de la santé et de la sécurité, à la gestion de la continuité des activités, et bien plus encore).
En fin de compte, la technologie de gestion intégrée des risques peut simplifier et automatiser votre programme de gestion des risques, vous permettant de mettre en œuvre, d’adapter, d’étendre et de faire évoluer vos capacités de gestion des risques. Ainsi, les organisations sont mieux à même d’éviter les faux pas qui entravent un programme ERM performant et de connaître un véritable succès.
