Comment Roche a rehaussé le profil de la gestion des risques dans l'ensemble de son organisation et a introduit un langage commun lors des discussions sur les risques.

INDUSTRIE
Soins de santé

LOCATION
Suisse

NOMBRE D'EMPLOYÉS
101,200

Le contexte et le défi

Depuis plus de 110 ans, Roche joue un rôle de pionnier dans le domaine des soins de santé. Innovatrice dans le domaine des produits et services destinés à la détection précoce, à la prévention, au diagnostic et au traitement des maladies, Roche contribue sur de nombreux fronts à améliorer la santé et la qualité de vie des gens. Roche est le leader mondial du diagnostic in vitro et des médicaments contre le cancer et la transplantation, et est active dans d'autres domaines thérapeutiques majeurs présentant un besoin médical élevé, tels que les maladies auto-immunes, les maladies inflammatoires, la virologie, les troubles métaboliques et les maladies du système nerveux central.

Roche s'engage à respecter des normes éthiques élevées et à se conformer à toutes les lois locales, nationales et internationales applicables. Les normes éthiques de la société sont incarnées dans ses valeurs d'entreprise. La conduite responsable des affaires inclut l'approche de l'organisation en matière de gestion des risques.

En 2007, Roche a mis en place une nouvelle fonction de gestion des risques au niveau du groupe afin de consolider les informations sur les risques provenant de différentes parties de son activité considérable. À l'époque, les différentes unités commerciales utilisaient une variété d'outils et de processus pour identifier et atténuer les risques. Le nouveau groupe de gestion des risques avait besoin d'une plateforme commune pour rassembler les différents outils et processus d'information, qui serait suffisamment flexible pour soutenir les pratiques de travail locales. Outre la gestion globale des risques de l'entreprise, l'outil devait également convenir à la gestion des risques au sein des projets.

Le Dr Daniel Imhof, directeur des risques chez Roche, explique : "Chez Roche, nous aimons adopter une approche pragmatique. Nous avions besoin d'une solution de gestion des risques pratique, facile à utiliser, facilement accessible, qui recueille toutes les données dont nous avons besoin pour soutenir une bonne prise de décision. En outre, l'outil devait être entièrement compatible avec des normes telles que COSO et ISO 31000."

Gestion du risque d'entreprise

L'équipe de gestion des risques du groupe Roche adopte une approche globale de la gestion des risques de l'entreprise en s'engageant auprès des principales unités commerciales de l'organisation couvrant des domaines tels que le marketing, les ventes, les opérations techniques, la recherche et le développement, l'informatique, les RH, les finances et le juridique, soit environ 25 unités au total, réparties dans le monde entier.

Chaque unité commerciale dispose d'un gestionnaire de risques désigné qui coordonne toutes les informations sur les risques à l'aide de Project Risk Manager (PRM). Toutefois, le profil du gestionnaire de risques peut varier d'une unité commerciale à l'autre en fonction des besoins individuels. Les informations sur les risques sont recueillies de différentes manières selon les unités, en fonction de la culture, et comprennent un mélange d'ateliers, de réunions en face à face et de questionnaires. Une fois les informations recueillies, le Risk Manager les saisit dans PRM en précisant les dates de révision et les responsables des risques. Les informations sont consolidées pour chaque unité commerciale puis envoyées à la gestion des risques du groupe où les informations pour l'ensemble de l'organisation sont fusionnées et finalement présentées au comité exécutif et au conseil d'administration.

Nous recevons des demandes d'assistance de la part de différentes fonctions pour identifier, évaluer et documenter les risques et développer des stratégies d'atténuation des risques. Nous avons travaillé avec des domaines aussi variés que l'informatique, la communication, la tarification, la conformité et le développement de produits. Il est important que nous disposions des outils qui nous permettent de travailler de la manière la plus adaptée à chaque fonction ou projet.

Dr Daniel Imhof, Directeur des risques, Roche

Risque du projet

L'un des rôles de l'équipe de gestion des risques du groupe est de fournir des services de conseil en matière de risques. Toute personne au sein de Roche peut faire appel à elle pour obtenir une expertise, des outils et des ressources en matière de gestion des risques.

Nous voulons que les unités opérationnelles et les filiales utilisent la gestion des risques pour elle-même, pour les avantages qu'elle apporte, plutôt que de la considérer comme une forme de surveillance ou de contrôle." Imhof a déclaré : "C'est pourquoi nous avons tenu à préserver et à soutenir les pratiques de travail locales, ce que PRM nous a permis de faire avec succès.

Dr Daniel Imhof, Directeur des risques, Roche

Risque lié aux affiliés locaux

Roche compte environ 150 filiales dans le monde, qui consistent en des organisations locales de marketing et de vente, de distribution et de production. Ces organisations ne sont pas tenues d'utiliser la gestion des risques, mais elles ont la possibilité de le faire si elles le souhaitent.

Dans cette optique, l'équipe de gestion des risques du groupe a mis au point un programme d'apprentissage en ligne qui permet à toute personne souhaitant utiliser PRM au niveau local d'en savoir plus sur la gestion des risques et le logiciel PRM et d'évaluer s'il lui convient. Il présente le produit et fournit un bon niveau d'informations de base.

Pour les affiliés qui décident d'accepter l'offre, l'équipe de gestion des risques du groupe entreprend une évaluation de deux semaines en rendant compte des risques qu'elle découvre et en proposant des stratégies d'atténuation des risques. Les conclusions sont transmises à l'équipe de gestion de la filiale pour qu'elle continue à gérer localement.

Surveillance centrale de la gestion des risques

La PRM est également utilisée par l'équipe de gestion des risques du groupe pour contrôler et améliorer ses propres performances et le processus de gestion des risques lui-même. De cette manière, ils s'assurent que l'ensemble de la fonction de gestion des risques de l'entreprise est itérative et continuellement améliorée.

Dans le cadre de ce processus, l'équipe a la possibilité d'analyser des événements qui se sont déjà produits. Le système permet aux utilisateurs de remonter dans le temps pour examiner les risques perçus, ce qui s'est réellement produit et la manière dont on y a fait face. Par exemple, l'impact correspondait-il au résultat prévu ? Cet élément rétrospectif du système permet à l'équipe de Roche de comprendre dans quelle mesure elle a su gérer les risques dans le passé et d'évaluer les leçons apprises.

Une fonctionnalité de PRM que l'équipe de Roche trouve particulièrement utile est la possibilité de réévaluer un risque à tout moment, lorsque de nouvelles informations externes apparaissent. Cela peut être, par exemple, lorsqu'un concurrent achève un essai clinique et publie des résultats qui pourraient avoir un impact direct sur l'un des produits de Roche.

Gestion des risques du groupe consolidé

Le principal avantage pour Roche a été la consolidation du processus de gestion des risques du groupe grâce à l'utilisation d'un outil commun, d'un langage commun et de critères de notation clairement définis dans Project Risk Manager. Les rapports, dont certains ont été personnalisés pour le groupe, constituent un moyen précieux de communication avec les unités commerciales. Les gestionnaires peuvent recevoir des informations sur les risques sans avoir besoin d'accéder à l'outil lui-même, ce qui rend les renseignements plus pertinents et plus faciles à assimiler pour les propriétaires de risques individuels.

Les fonctions d'alerte de PRM contribuent également à améliorer la communication et la sensibilisation aux risques. Les alertes peuvent être envoyées de manière centralisée par la gestion des risques du groupe aux utilisateurs respectifs, ou elles peuvent être diffusées aux gestionnaires de risques de chaque unité opérationnelle, qui transmettent ensuite les alertes aux responsables des risques et des plans de risques concernés.

PRM est accessible via le web, de sorte que les utilisateurs individuels peuvent utiliser le système depuis n'importe quel endroit et sur n'importe quel appareil, sans avoir à télécharger de logiciel localement. Tout en offrant une accessibilité facile, cela permet également de maintenir la base de données centrale des données sur les risques de l'entreprise, en évitant les silos d'informations détenus localement.

Daniel Imhof résume : "Nous sommes désormais en mesure de connaître notre profil de risque à l'échelle mondiale. La PRM nous a permis de rehausser le profil de la gestion des risques dans toute l'organisation et nous a aidés à introduire un langage commun lorsque nous discutons des risques, ce qui est extrêmement utile. Nous disposons d'un système pragmatique de gestion des risques d'entreprise qui couvre l'ensemble de l'organisation. PRM centralise les informations sur les risques, ce qui permet à l'organisation de mesurer les performances, les indicateurs clés de performance, les risques ou les réponses en retard, et, d'une manière générale, de voir si nous gérons bien nos risques, et donc de prendre de meilleures décisions commerciales."