Trois conseils pour présenter les risques au conseil d’administration

Il est parfois difficile de savoir quand signaler les risques à votre conseil d’administration. Les grandes entreprises font généralement figurer dans leurs circulaires de sollicitation de procurations la promesse que la direction générale informera fréquemment le conseil d’administration des risques encourus. Certaines entreprises – dont Staples, American Express, Alliance Data Systems et SLM (l’ancienne Sallie Mae) – évoquent même ces politiques dans leurs déclarations.

Pourtant, de nombreuses entreprises ne disposent pas de protocoles formels ou de déclencheurs prédéterminés pour signaler – ou “escalader” – les risques au conseil d’administration.

Selon les administrateurs et les professionnels de la gestion des risques, il n’est pas forcément mauvais de laisser aux cadres le soin de faire remonter les risques au conseil d’administration. Elle exige toutefois que les administrateurs donnent des instructions claires aux cadres sur le type de risques dont ils attendent d’être informés.

Les conseils d’administration étant de plus en plus intéressés et impliqués dans la gestion des risques de l’entreprise, il est important que vous disposiez des outils nécessaires pour présenter les risques de manière concise et efficace. Cela permettra une meilleure prise de décision au sommet et consolidera votre place à la table des dirigeants, ce qui garantira le succès de votre organisation et de votre carrière.

Comment présenter les risques à votre conseil d’administration :

Voici trois conseils pour présenter les risques à votre conseil d’administration et comment la bonne technologie de gestion des risques peut vous aider :

Souligner l’interdépendance des risques

Les risques ne sont pas isolés et les données sur les risques ne doivent pas l’être non plus. Vous devez expliquer clairement au conseil d’administration comment un risque affecte le suivant afin que toutes les parties puissent résoudre les problèmes de manière adéquate – plutôt que de créer des risques encore plus importants qui pourraient résulter d’un fonctionnement en silos. Toutefois, il est difficile de le faire si toutes vos informations sur les risques critiques sont enfermées dans des feuilles de calcul disparates ou dans différents départements.

La technologie de gestion des risques existe pour permettre aux organisations de consolider les données sur les risques et les assurances provenant de l’ensemble de l’entreprise, de faire remonter les informations pertinentes d’où qu’elles se cachent, de les relier à d’autres données internes et externes, puis de normaliser les données pour qu’elles puissent toutes être reliées entre elles. Avec les fonctionnalités adéquates, la technologie de gestion intégrée des risques peut exploiter ses liens étroits avec des données étendues sur les risques et les assurances et créer automatiquement des visualisations en temps réel qui tiennent compte de l’ensemble du spectre des risques.

Montrez ce qui fonctionne… et ce qui ne fonctionne pas

Il est tout aussi important de montrer l’interdépendance des risques que de montrer l’efficacité des programmes d’atténuation des risques. Cela peut aider le conseil d’administration à hiérarchiser les dépenses liées aux efforts d’atténuation, à comprendre le rendement réel de ces investissements et même à réaliser la valeur que vous apportez à l’organisation en créant des programmes et en offrant un aperçu tangible de ce qui fonctionne et de ce qui ne fonctionne pas.

La technologie de gestion des risques fournit non seulement des visualisations de données accrocheuses – sous forme de tableaux de bord, de diagrammes et de graphiques – pour illustrer l’efficacité du programme, mais elle permet également l’analyse comparative automatique des sinistres internes et externes en temps réel. Cela vous permet, ainsi qu’aux membres du conseil d’administration, de déterminer quels programmes ont un impact et méritent plus d’attention, ainsi que de comparer les demandes de votre organisation (par exemple, les demandes d’indemnisation des travailleurs) à celles d’autres organisations. Pour en savoir plus sur la manière de gérer les bons risques au bon moment, consultez notre livre blanc.

Parlez avec le conseil d’administration, pas au conseil d’administration

Les meilleures présentations sont des conversations. Si vous voulez avoir un impact dans la salle du conseil d’administration, vous devez engager la conversation avec les membres du conseil, et non pas vous contenter d’énoncer des faits sur les principaux risques ou sur votre programme global de gestion des risques. Cela signifie que si les membres du conseil d’administration ont des questions, vous devez avoir des réponses… et sur-le-champ.

La technologie de gestion des risques peut rendre la visualisation des données dynamique, permettant aux utilisateurs de manipuler instantanément (et facilement) les images et d’approfondir les recherches avec des requêtes plus spécifiques pour n’importe quel type d’information. Les visualisations de données sont complètes et actualisées, comportent de nombreuses couches et sont faciles à produire à la volée et dans l’instant. Ces capacités sont essentielles pour présenter les risques aux parties prenantes au niveau du conseil d’administration. La technologie de gestion des risques prend en compte la myriade de données et les transforme en priorités exploitables. Ceci est extrêmement utile lorsque vous essayez de transmettre une histoire significative au conseil d’administration.

Des outils obsolètes équivalent à une analyse inadéquate

Si vous ne disposez pas des bons outils, la présentation au conseil d’administration peut s’avérer un véritable défi. Franchement, les feuilles de calcul et les logiciels de présentation que beaucoup d’organisations continuent d’utiliser ne peuvent pas répondre aux exigences d’aujourd’hui. Les expositions rudimentaires destinées aux conseils d’administration et à la direction générale ne permettent pas de discuter ou de comprendre efficacement les risques et les relations entre les risques.

Ces outils non techniques ne permettent pas d’agréger le coût cumulé des risques et les interdépendances entre les risques, ni d’effectuer des recherches sur les objets et d’afficher des informations supplémentaires et connexes, le cas échéant.

Lorsque vous vous adressez à votre conseil d’administration, les attentes sont élevées et une communication efficace est essentielle. Le temps de présentation étant généralement très court, vous devez être en mesure de donner une image claire et convaincante des risques importants qui pèsent sur les objectifs de votre entreprise. La technologie de gestion des risques peut clairement mettre en évidence les relations entre les risques qui affectent votre organisation, montrer les activités d’atténuation des risques clés et faciliter un dialogue constructif entre vous et le conseil d’administration.

“La raison pour laquelle il n’existe pas de norme est qu’il n’est pas logique d’avoir une liste de choix. L’organisation doit décider quels facteurs sont pertinents pour elle”, explique Russell McGuire, directeur des services de risque d’entreprise chez Riskonnect, société de conseil et de logiciels en matière de risques

Pourquoi les technologies patrimoniales doivent-elles effrayer les cadres dirigeants ?

En plus d’être tenue au courant des informations sur les risques, la direction doit également être consciente de la manière dont les technologies héritées freinent son activité et comprendre que les dommages potentiels d’une technologie archaïque dépassent de loin les “simples inconvénients” pour les employés confrontés aux processus lourds et inefficaces qui en résultent.

Maintenant que vous connaissez les meilleurs moyens de présenter des informations à votre conseil d’administration, voici les trois réalités les plus effrayantes qui découlent de l’utilisation d’une ancienne technologie de gestion des risques pour tenir les membres du conseil d’administration informés :

La peur des systèmes patrimoniaux #1 : Risques de sécurité accrus

Les violations de données sont de plus en plus fréquentes. La cybersécurité est régulièrement citée comme un risque majeur pour les entreprises, la cybercriminalité coûtant à l’économie mondiale environ 445 milliards de dollars par an, selon un rapport du Center for Strategic and International Studies intitulé “Net Losses : Estimating the Global Cost of Cyber-Crime”.

Les organisations victimes de violations de données peuvent subir d’énormes pertes sous la forme d’une réputation compromise, de dommages juridiques et d’une baisse du chiffre d’affaires et de la valeur actionnariale. Les organisations doivent donc chercher des moyens de minimiser l’impact d’une atteinte à la cybersécurité sur leurs activités, et le déploiement d’une technologie sécurisée est une solution évidente.

Mais les systèmes existants, quels qu’ils soient – y compris ceux utilisés pour les risques, les assurances et les sinistres – sont souvent un frein à la sécurité, plutôt qu’une solution. Tout d’abord, ils ne disposent pas des contrôles de sécurité supplémentaires offerts par les technologies plus modernes, y compris celles qui sont basées sur l’informatique en nuage. Deuxièmement, elles détournent souvent les services informatiques de leurs efforts en matière de cybersécurité, car ils doivent consacrer beaucoup de temps à la mise à jour ou à l’application de correctifs à d’innombrables applications pour qu’elles puissent fonctionner sur un serveur interne.

Cependant, la bonne technologie de gestion avancée des risques offrira une sécurité de bout en bout, y compris des contrôles tels que :

• Politiques de mot de passe pouvant être définies en fonction des normes du client, notamment en ce qui concerne les délais, la longueur et la force du mot de passe.
• Rôles de sécurité définis/assignés par le client pour les utilisateurs, jusqu’au niveau du champ, afin d’empêcher l’accès non autorisé à toute partie de votre système, y compris les objets, les rapports, les mises en page et les vues, ainsi que des champs spécifiques.
• Protection des serveurs dans des centres de données de premier plan avec des contrôles d’accès physiques adéquats
• Pare-feu avec des périmètres étroitement contrôlés, des systèmes de détection d’intrusion et une surveillance proactive des journaux.
• Services de validation par des tiers qui attestent de la nature sécurisée du logiciel

En outre, une technologie de gestion des risques véritablement intégrée peut en fait consolider ou réduire le nombre d’applications utilisées (des solutions de gestion des risques d’entreprise et Sarbanes-Oxley aux solutions de gestion des sinistres et de gestion de la conformité et de la réglementation, en passant par les solutions de gestion de la santé et de la sécurité), ce qui se traduit par des gains d’efficacité considérables pour le service informatique.

En passant moins de temps à gérer de multiples applications, vous pourriez consacrer plus de temps à des efforts plus vastes et plus significatifs en matière de cybersécurité. En outre, moins d’applications signifie probablement moins de risques qu’une ou plusieurs de ces applications soient à l’origine d’une infraction ou d’une non-conformité.

Peur des systèmes hérités #2 : Données de faible qualité

La qualité des données est une priorité pour la plupart des dirigeants, car ils veulent éviter de prendre de mauvaises décisions basées sur des données erronées ou incomplètes et d’en être tenus pour responsables. Pourtant, dans une étude récente de KPMG, 84 % des chefs d’entreprise se sont dits préoccupés par la qualité des données sur lesquelles ils fondent leurs décisions.

Les anciens systèmes de gestion des risques peuvent contribuer à cette méfiance à l’égard des données. Souvent, ces systèmes ne sont pas en mesure d’importer ou d’exporter des données en temps réel de manière transparente, en particulier dans des formats standardisés qui seraient utiles à toutes les parties prenantes de l’entreprise.

En outre, les données peuvent rarement être intégrées. Cela signifie que les différents ensembles de données ne “se parlent pas” et que les modifications apportées à un ensemble de données ne se reflètent pas dans un autre ensemble de données, même si les données sont en fin de compte liées et qu’elles s’influencent mutuellement. Cela signifie également que les données doivent généralement être mises à jour manuellement ou saisies à nouveau plusieurs fois.

Ces limitations se traduisent au mieux par des “données dans le rétroviseur” et au pire par des données totalement inexactes. Quoi qu’il en soit, les tendances sont difficiles à identifier et il est difficile de prendre des décisions en toute confiance, que ce soit au nom des gestionnaires des risques, de la sécurité ou des sinistres, ou au nom des dirigeants qui supervisent leurs programmes et leurs initiatives.

Outre les données inexactes et inopportunes, les données des systèmes existants sont également difficiles à rapporter, ce qui nécessite presque toujours la création manuelle de graphiques et de diagrammes à partir de données statiques représentant un instantané fugace dans le temps. Ainsi, la création de rapports prend du temps, et les données contenues dans ces rapports sont encore plus obsolètes lorsqu’elles arrivent entre les mains des décideurs, ce qui entrave également la prise de décision en toute confiance.

À l’inverse, la technologie de gestion intégrée des risques permet de faire remonter les informations pertinentes sur les risques, où qu’elles se cachent dans l’organisation, de les analyser, de les relier à d’autres données internes et externes et de les normaliser en toute sécurité dans le nuage. Il rend également les données sur les risques dynamiques – mises à jour et visualisées en temps réel. Les questions peuvent être posées et répondues sur place, au cours de la même réunion, sans qu’il soit nécessaire d’attendre des semaines pour rédiger un nouveau rapport. Avec une technologie aussi avancée, il est aussi facile de créer des informations exploitables que de les consommer.

La peur des systèmes hérités #3 : Une main d’œuvre improductive

Trop souvent, les avantages de l’engagement et de la productivité des employés sont considérés comme “mous” ou “intangibles”, alors qu’en réalité, des coûts réels et un retour sur investissement précis peuvent être attribués à des effectifs improductifs et productifs respectivement.

Par exemple, l’investissement dans la technologie au-delà d’un système hérité peut sembler être une “bonne chose” de la part des dirigeants, parce qu’ils veulent évidemment le meilleur pour leurs employés. Mais lorsque les dirigeants ne voient dans cette mise à niveau qu’un moyen d’épargner des désagréments aux employés – au lieu d’une solution qui permettra de réduire les coûts et de générer des revenus dans l’ensemble de l’entreprise – il peut s’avérer difficile de justifier l’investissement.

Une main-d’œuvre productive n’est pas constituée d’ employés qui se contentent de “siffler en travaillant” et de cocher agréablement les cases de leur liste de tâches quotidiennes. Une main-d’œuvre productive est innovante – d’une manière que la technologie ne peut pas et ne pourra jamais être. Or, pour être productifs, les salariés doivent disposer des ressources et des outils nécessaires pour accomplir les tâches qui les rendent improductifs.

Voyez les choses sous cet angle : les inefficacités engendrées par les systèmes existants peuvent empêcher les services informatiques de travailler à la prévention des failles de sécurité, même si les coûts élevés associés à une faille et son impact négatif potentiel sur toute organisation ont déjà été évoqués plus haut.

Des inefficacités similaires peuvent également signifier que les gestionnaires de sinistres passent plus de temps à traiter les sinistres qu’à les examiner, ce qui les empêche de détecter des sinistres frauduleux coûteux ou de découvrir des tendances en matière de sinistres qui pourraient conduire à une réduction de la fréquence ou de la gravité des sinistres et des coûts qui y sont associés.

Il en va de même pour les responsables de la gestion des risques et de la sécurité : Les systèmes existants peuvent les contraindre à être réactifs plutôt que proactifs, ce qui entraîne une augmentation des incidents, des frais d’assurance et des frais juridiques, pour n’en citer que quelques-uns. Non… la productivité des employés n’est pas une simple initiative de bien-être. Les coûts de l’improductivité sont bien réels.

La technologie de gestion intégrée des risques favorise la productivité et l’innovation en automatisant et en rationalisant les tâches administratives, de sorte que les employés disposent de plus de temps pour effectuer des tâches à plus forte valeur ajoutée. Elle leur fournit également des données de meilleure qualité et une meilleure visibilité de ces données afin d’améliorer la prise de décision à tous les niveaux de l’organisation.

Conclusion

En conclusion, si les réalités posées par les systèmes existants peuvent être effrayantes, il existe aujourd’hui une technologie avancée de gestion des risques qui peut transformer un cauchemar organisationnel en un rêve devenu réalité.

Certaines parties de cet article ont été publiées à l’origine sur Agendaweek.com.