Une bonne communication entre le risque et la résilience renforce la culture du risque et construit une entreprise plus résiliente. Comprendre le risque est essentiel pour la résilience. Et une organisation résiliente est mieux positionnée pour résister aux risques.

Pourtant, ces équipes fonctionnent souvent de manière indépendante, chacune avec ses propres objectifs, son propre langage et ses propres indicateurs. Cette déconnexion peut saper les deux fonctions et avoir de réelles implications en termes de coûts pour l’organisation.

Le coût caché de la déconnexion

Au fil du temps, de nombreuses organisations ont élargi leur vision du risque, passant de ses racines en assurance aux menaces au niveau de l’entreprise, provoquant l’éclipse des orbites de la gestion des risques et de la résilience.

Bien que ces fonctions proviennent de perspectives différentes, l’objectif du risque et de la résilience est essentiellement d’éliminer les obstacles qui pourraient entraver la performance. Le problème survient lorsqu’elles parviennent à des conclusions contradictoires sur ces obstacles parce qu’aucune ne pouvait voir l’image complète.

Voici pourquoi la déconnexion est coûteuse :

Priorités conflictuelles. Les équipes de risque hiérarchisent les risques en fonction de leur probabilité et de leur impact, s’appuyant souvent fortement sur l’expérience passée. Les équipes de résilience priorisent les efforts en fonction de la plausibilité d’un scénario et de sa crédibilité, même sans preuve historique. C’est un problème lorsque ces priorités sont en contradiction.

Barrière linguistique. Les équipes de risque et de résilience utilisent-elles le même terme pour mesurer des choses différentes – ou des termes différents pour mesurer la même chose ? Quelque chose d’aussi simple qu’une équipe utilisant « personnes » et l’autre utilisant « employés » peut causer une confusion qui fait perdre du temps. Termes à surveiller :

  • Incident/crise
  • Menace/risque
  • Fournisseur/vendeur
  • Localisation/zone
  • Risque organisationnel/résilience organisationnelle/résilience opérationnelle

S’accorder au préalable sur la taxonomie et les critères peut accélérer la communication et minimiser les malentendus.

Désalignement des mesures. Les équipes de résilience examinent la tolérance à l’impact – le niveau de perturbation que l’organisation peut gérer avant que les clients, les employés, l’entreprise et les marchés ne soient intolérablement lésés. Les équipes de risque mesurent les risques par rapport à l’appétit pour le risque – le niveau de volatilité acceptable pour atteindre les objectifs. Lorsque ces concepts sont considérés isolément, il est difficile d’évaluer l’impact réel d’un risque ou de déterminer quels contrôles sont les plus significatifs. Deux histoires rendent également difficile pour le conseil d’administration de comprendre sur quoi se concentrer.

Travail redondant. Les deux équipes demandant aux autres les mêmes – ou presque les mêmes – informations sur les fournisseurs, les risques, les impacts, etc. gaspille du temps, dilapide des ressources et ralentit la réponse aux menaces émergentes. Et les demandes peuvent être particulièrement agaçantes si un travail supplémentaire doit être effectué pour ajuster les données aux particularités de chaque équipe.

Comment entamer la conversation

Une meilleure communication entre le risque et la résilience rend les deux équipes plus efficaces en éliminant le travail en double et en supprimant les barrières linguistiques. Mais ce n’est que le début. Une collaboration plus étroite aidera l’équipe de risque à réfléchir de manière plus pratique aux résultats potentiels. Et cela aidera l’équipe de résilience à apporter une orientation stratégique aux tests de scénarios.

Voici six étapes pour lancer le processus :

  1. Créez une équipe interfonctionnelle. Constituez une équipe avec des représentants des deux fonctions. Ce groupe peut travailler ensemble pour identifier les risques, prioriser les actions et développer des solutions. Ils peuvent établir des flux de travail communs qui intègrent dès le départ une collaboration croisée. Vous pourriez même constater qu’avec vos efforts combinés, les données recueillies pour une exigence peuvent être exploitées pour se conformer à une autre, économisant du temps et des efforts pour tous.
  2. Obtenez l’adhésion de la direction. Un sponsor exécutif qui peut défendre le travail du groupe interfonctionnel est un atout. Cette personne aura l’autorité pour obtenir un large soutien de la direction et s’assurer des ressources nécessaires.
  3. Établissez une cadence régulière pour les discussions. N’attendez pas que les problèmes surviennent. Réunissez régulièrement l’équipe interfonctionnelle pour créer un forum permettant de soulever des questions, discuter des solutions et établir la confiance.
  4. Décidez d’un langage commun et de métriques partagées. Rassemblez-vous pour instaurer une taxonomie commune et des critères de mesure pour toutes les parties prenantes – incluant à la fois les équipes de risque et de résilience ainsi que les partenaires internes. Des objectifs et des indicateurs de performance clés partagés peuvent motiver les équipes à collaborer sur des solutions. Un langage commun aidera également à éliminer les divergences et les malentendus – ce qui est particulièrement important face aux pressions liées aux perturbations.
  5. Incluez les deux fonctions dans les tests d’exercice. Ne limitez pas les tests de scénarios à la seule équipe de résilience. Impliquer l’équipe interfonctionnelle aide chacun à réfléchir au-delà de son rôle et à partager différentes perspectives pour apporter des améliorations. Cela permet également à tous de se familiariser avec le plan – et les uns avec les autres – ce qui peut améliorer la performance et la communication lors d’une crise réelle. La pratique mène à la perfection.
  6. Utilisez un logiciel intégré. Les logiciels actuels donnent à toutes les parties prenantes accès aux mêmes données de haute qualité afin qu’elles puissent échanger des connaissances et collaborer sur des actions. Cela renforce le vocabulaire convenu, standardise les processus et établit une source unique de vérité pour tous, de la direction opérationnelle au conseil d’administration.

Supprimer les cloisons entre le risque et la résilience permettra de libérer les connaissances, d’éliminer le travail en double et d’aligner les priorités stratégiques. Une vision collaborative vous donne le pouvoir d’anticiper pour minimiser les risques, les perturbations et les coûts. Et une entreprise qui perdure quelles que soient les conditions inspire confiance aux employés, aux clients, au conseil d’administration, aux auditeurs et à tous ceux qui comptent.

Pour en savoir plus sur la construction d’une organisation plus résiliente, téléchargez notre livre électronique, Getting Started with Business Resilience, et consultez les solutions GRC de Riskonnect et de Continuité des Activités & Résilience.