Les ateliers sur les risques sont un élément indispensable d’un programme efficace de gestion des risques de l’entreprise. Ils constituent un outil puissant pour impliquer les décideurs dans le processus de gestion des risques et pour construire une culture plus mature, plus transparente et plus consciente des risques.

Selon Rob Quail, expert renommé en GRE, auteur et conférencier fréquent de Risk@Work, les ateliers sur le risque permettent d’avoir des conversations et de fixer des priorités. Ils réunissent les principaux décideurs autour d’une table dans le cadre d’une plateforme structurée afin de discuter du paysage des risques, d’identifier les points forts et les lacunes en matière de préparation, d’appliquer un raisonnement analytique et de prendre des décisions. Les ateliers sur les risques constituent un lieu sûr pour poser des questions, obtenir des réponses, avoir des discussions ouvertes et assister aux décisions prises. Ils constituent le meilleur moyen d’amener les décideurs à intégrer la réflexion sur les risques dans leurs activités quotidiennes.

Préparation d’un atelier sur les risques

La présence d’un sponsor est essentielle à la réussite d’un atelier sur les risques. Le sponsor est la personne qui est responsable du risque et qui a le pouvoir de prendre des décisions relatives à la tolérance et aux actions à entreprendre. Le sponsor identifie les objectifs, décide de l’ordre du jour, met en avant les critères de risque, pose des questions approfondies au groupe et attribue les actions. Le sponsor doit être présent dans la salle pendant toute la durée de l’atelier pour assister à la discussion, poser des questions, vérifier les hypothèses et prendre des décisions sur la manière d’aller de l’avant. À la fin, le sponsor partage les conclusions de l’atelier avec la direction et les autres parties prenantes.

Les autres éléments essentiels sont les suivants :

Objectifs. Pourquoi organiser un atelier sur les risques ? Quel est le problème que vous essayez de résoudre ? Une matrice est un moyen d’identifier les objectifs. Cette matrice peut vous aider à déterminer si l’atelier doit se concentrer principalement sur la prise de décisions concernant les risques ou plutôt sur l’apprentissage des risques. Réfléchissez également à la question de savoir si votre objectif est large ou restreint. Un objectif large explore les risques stratégiques, tandis qu’un objectif étroit se concentre sur des risques spécifiques, en faisant un usage intensif des données pour évaluer les risques et l’adéquation des mesures d’atténuation.

L’ordre du jour. De quels risques allez-vous parler ? Le sponsor peut souhaiter solliciter l’avis des participants avant ou au début de l’atelier sur les risques, mais c’est à lui qu’il incombe en dernier ressort de décider de ce qui sera discuté. En plus de l’ordre du jour, vous devrez peut-être fournir aux participants des informations et/ou des données de base. Si c’est le cas, veillez à ce qu’elles soient très structurées et simples.

Critères de risque. Qu’allez-vous faire face à ces risques ? Comment allez-vous mesurer vos risques ? Qu’est-ce qui est tolérable ? Les critères de risque sont le principal instrument permettant de ralentir et de décomposer la pensée afin de surmonter les préjugés individuels et collectifs et d’établir un lien entre les jugements individuels sur les risques et les objectifs globaux de l’organisation. Ils constituent également un moyen cohérent d’évaluer si les contrôles en place sont complets compte tenu de l’ampleur du risque et de la probabilité qu’il se produise dans un délai donné. Ils doivent être calibrés de manière à permettre une évaluation cohérente des risques et une appréciation de leur degré de tolérance dans l’ensemble de l’organisation.

Facilitateurs. Idéalement, un atelier devrait avoir deux animateurs. L’un dirige la circulation et l’autre enregistre ce qui est dit. Les animateurs ont autorité sur le processus. Ils gèrent l’ordre du jour, résument les points de vue et contrôlent le temps. Ils n’expriment pas d’opinions, n’émettent pas d’éditoriaux et ne portent pas de jugement.

Installation. L’organisation d’un atelier hors site offre un environnement neutre et évite aux participants de retourner à leur bureau pendant une pause. Il est déconseillé d’organiser un atelier virtuellement, mais cela peut s’avérer nécessaire pour accueillir les personnes qui ne peuvent pas assister à l’atelier en personne.

Équipement. Utilisez un outil de vote anonyme, tel qu’un clavier de vote, pour évaluer les opinions des participants et accroître leur engagement. Les résultats du vote stimulent la discussion et aident à minimiser la pensée de groupe.

Il est utile d’avoir deux écrans dans la salle. L’un sert à suivre les points de l’ordre du jour et à afficher les résultats des votes. Le second écran sert à présenter les documents pertinents et/ou à afficher la discussion enregistrée par un facilitateur.

« Je n’organiserai pas d’atelier sur les risques sans vote anonyme », déclare M. Quail. « Cela permet de s’assurer que tout le monde participe individuellement. Il est efficace. En cinq secondes, vous savez ce que tout le monde pense de ce risque et vous pouvez vous en servir pour orienter la discussion.

Les personnes. Prévoyez d’inviter entre 8 et 18 personnes à votre atelier. Cela permet une représentation complète des personnes connaissant les risques de l’organisation, tout en restant un groupe gérable.

Le temps. Une durée de quatre heures est optimale pour que le groupe reste concentré et sur la bonne voie. Une durée plus longue peut s’avérer épuisante et l’engagement commence à s’amenuiser. Avec une bonne planification, vous devriez pouvoir discuter d’un risque en 20 à 30 minutes. Ainsi, dans un atelier de quatre heures, vous pouvez probablement couvrir huit à douze risques. Doublez le temps nécessaire pour chaque risque si l’atelier est virtuel.

Cinq étapes pour un atelier sur les risques réussi

« Au lieu de dire à quelqu’un comment faire de la gestion des risques avec une pile de diapositives, [in a risk workshop] Nous prenons un vrai problème d’entreprise avec de vraies décisions à prendre et nous l’examinons ensemble », explique M. Quail. « C’est en le faisant qu’ils apprennent ce qu’est la gestion des risques d’entreprise.

L’objectif d’un atelier sur le risque n’est pas nécessairement de parvenir à un consensus sur chaque sujet. Il s’agit plutôt de fournir au sponsor suffisamment d’informations pour qu’il puisse prendre des décisions et aller de l’avant. Voici cinq étapes pour évaluer chaque risque à l’ordre du jour :

  1. Comprenez le risque. Demandez aux participants de décrire des scénarios sur la façon dont un risque pourrait se produire. Il se peut que vous obteniez une douzaine de variantes. Vous obtiendrez ainsi un large éventail de ce à quoi le risque pourrait ressembler et vous aiderez à construire une compréhension collective du risque. Tous les faits seront sur la table, ce qui rendra la discussion beaucoup plus productive. « L’avantage des scénarios par rapport à la rédaction d’une définition, par exemple, est qu’ils sont beaucoup plus amusants et engageants », explique M. Quail.
  1. Mesurez le risque. Discutez de l’impact que le risque pourrait avoir sur l’ensemble de l’organisation. Le risque pourrait-il affecter les finances, la réputation, les employés, les clients et les autres parties prenantes ? Demandez aux participants de voter anonymement sur la pire issue possible de la menace en fonction des critères de risque établis. Lancez la discussion en demandant à un participant atypique d’expliquer les raisons de son vote. L’idée est de susciter la conversation et le débat. Procédez ensuite à un second vote et voyez si les participants ont changé d’avis. Encore une fois, l’objectif n’est pas de parvenir à un accord, mais de fournir au sponsor suffisamment d’informations pour qu’il puisse prendre des décisions.
  1. Examinez la solidité des contrôles. Avez-vous mis en place des plans, des politiques, des actions et des indicateurs ? Cette étape se concentre sur les contrôles existants, ainsi que sur leurs forces et leurs faiblesses. Orientez la conversation vers des questions telles que la responsabilité des risques, les ressources disponibles, la coordination et le suivi des contrôles. Le facilitateur peut utiliser les modèles de contrôle comme point de référence pour s’assurer que vous avez une vue d’ensemble des contrôles et des lacunes éventuelles. Les participants votent à nouveau de manière anonyme sur l’efficacité des contrôles.
  1. Évaluer la probabilité d’occurrence. Demandez aux participants quelle est, selon eux, la probabilité que le risque se produise au cours des cinq prochaines années, par exemple, puis demandez-leur de voter sur une échelle de probabilité. Alors que les estimations de la probabilité de chaque risque sont simplement la meilleure supposition de chaque participant (qui peut ne pas être très précise dans l’absolu), la valeur est l’estimation par le groupe de la probabilité relative d’un risque par rapport à d’autres.
  1. Décidez si ce risque est tolérable. Une fois que le facilitateur a résumé les principaux points soulevés au cours de la discussion, le sponsor peut décider si le risque est tolérable sur la base des contrôles actuels ou si des mesures doivent être prises pour mieux gérer le risque. Le sponsor assignera alors les actions nécessaires à prendre. La dernière étape consiste à préparer un rapport pour les autres cadres et les parties prenantes.

À la fin de l’atelier sur les risques, les participants auront une meilleure compréhension des risques et de leur interaction. Et le sponsor disposera de l’éclairage nécessaire pour prendre des décisions judicieuses.

M. Quail insiste sur le fait que les ateliers sur le risque ne sont pas réservés aux chefs d’entreprise ou aux conseils d’administration. « La beauté des ateliers sur le risque est qu’ils convainquent les gens de la valeur de la GRE. Si vous voulez que la GRE perdure, vous devez aller plus loin dans l’organisation et trouver des moyens de l’intégrer dans la manière dont les décideurs opèrent à tous les niveaux de l’entreprise. »

Pour en savoir plus sur l’ERM, téléchargez notre ebook « Charting a Course for Enterprise Risk Management » et découvrez la solution logicielle ERM de Riskonnect.