Par Norman Marks, CPA, CRMA
Très peu d’organisations disposent de ce que j’appellerais des systèmes efficaces de gestion des risques : des fonctions et des processus robustes qui permettent de prendre des décisions tenant compte des risques à tous les niveaux afin de soutenir la réalisation des principaux objectifs de l’entreprise. Pourtant, les responsables de la gestion des risques (les praticiens et leurs gestionnaires) ont pour objectif commun d’évaluer et de mesurer la progression de leur organisation vers une gestion des risques améliorée, voire de classe mondiale. Ces dirigeants s’accordent à dire que, quel que soit le statut actuel de l’activité de gestion des risques, il est possible et nécessaire d’en faire plus. Les modèles de maturité de la gestion des risques sont un excellent moyen pour les organisations de voir où elles en sont, de comparer leur situation actuelle à celle qu’elles souhaitent et doivent avoir pour en tirer tous les bénéfices, et de discuter de la valeur et du coût d’un investissement supplémentaire dans la gestion des risques. Plus le système de gestion des risques est mature, plus il sera efficace pour permettre de prendre de meilleures décisions, de prendre les bons risques et d’obtenir de meilleurs résultats pour l’organisation. Certains considèrent toutefois que la mise en œuvre de la gestion des risques prend simplement du temps. Décrire les capacités de gestion des risques sur la base d’une courbe de maturité – au lieu de qualifier l’état actuel de la gestion des risques d’inefficace – est moins décourageant pour les dirigeants. L’évaluation de la maturité sur un continuum est également logique car chaque équipe de direction est engagée dans la gestion des risques d’une manière ou d’une autre, même si les « systèmes » de gestion des risques sont naissants. De même, même un système de gestion des risques de classe mondiale peut être amélioré, en particulier dans l’environnement en constante évolution qui nous entoure et qui est à l’origine de la nature dynamique, itérative et réactive de la gestion des risques. Vous trouverez ci-dessous un modèle de maturité du risque que j’ai élaboré sur la base d’un modèle développé pour une agence gouvernementale locale de l’État de Washington. Selon moi, le niveau cinq du modèle représente une pratique de gestion des risques mature, voire de classe mondiale. Cependant, de nombreux responsables de la gestion des risques semblent se contenter du niveau quatre, voire du niveau trois. Au niveau 3, il peut y avoir une politique de gestion des risques et les méthodes d’évaluation des niveaux de risque (par exemple, élevé, moyen ou faible) sont normalisées. Un rapport résumant les principaux risques est remis à la direction générale et au conseil d’administration. Lorsque vous considérez les capacités supplémentaires du niveau 5 à intégrer le risque dans la définition de la stratégie et dans tout autre processus d’entreprise, où des informations fiables sur ce qui pourrait se produire et son effet sur la réalisation des objectifs de l’entreprise font partie intégrante de toutes les décisions importantes de l’entreprise, vous pouvez voir la valeur supplémentaire qui est créée. Les programmes de gestion des risques de niveau 5 garantissent que les bons risques sont pris lorsque l’organisation s’efforce d’atteindre ses objectifs.
| Niveau de maturité | Description du niveau de maturité | Attributs clés |
|---|---|---|
| Un | Ad hoc | La gestion des risques n’est pas documentée et est en constante évolution ; la gestion et la prise de risques dépendent de l’héroïsme individuel. |
| Deux | Préliminaire | Le risque est défini de différentes manières et géré en silos. Il est peu probable que la discipline du processus soit rigoureuse. |
| Trois | Défini | Un cadre commun d’évaluation des risques et de réaction est en place. Une vision des risques à l’échelle de l’organisation est fournie à la direction générale et au conseil d’administration sous la forme d’une liste de risques dits « prioritaires ». Des plans d’action sont mis en œuvre en réponse aux risques hautement prioritaires. |
| Quatre | Intégré | Les activités de gestion des risques sont coordonnées entre les différents domaines d’activité. Des outils et des processus communs de gestion des risques sont utilisés le cas échéant, avec un suivi, une mesure et un rapport des risques à l’échelle de l’entreprise. Des réponses alternatives sont analysées à l’aide de scénarios et d’autres techniques, telles que la simulation de Monte Carlo. Des indicateurs de processus sont en place. Mais l’accent reste mis sur la gestion d’une liste de risques. La discussion sur les risques au niveau du comité exécutif et du conseil d’administration est distincte de la discussion sur la stratégie et les performances. |
| Cinq | Optimisé | L’accent n’est plus mis sur la gestion d’une liste de risques en dehors du contexte des objectifs de l’entreprise, mais sur la gestion du succès : la réalisation des objectifs. La prise en compte de ce qui pourrait arriver (dans la mesure du possible, on utilise le langage des affaires plutôt que le langage technique du risque) est intégrée dans la planification stratégique, l’affectation des capitaux et d’autres processus, ainsi que dans la prise de décision stratégique et tactique quotidienne. Il existe un niveau raisonnable d’assurance que les décideurs prennent le bon niveau de risques nécessaires à la réussite et ne se contentent pas d’éviter l’échec. Des systèmes d’alerte rapide existent pour informer le conseil d’administration et la direction des risques spécifiques qui dépassent les seuils fixés en matière d’appétit pour le risque ou de capacité de risque, et pour lesquels la probabilité d’atteindre les objectifs de l’entreprise est moins qu’acceptable. Les rapports destinés à la direction et au conseil d’administration intègrent les rapports de performance (où nous en sommes) et les risques (ce qui pourrait arriver) afin de prévoir la probabilité d’atteindre chaque objectif de l’entreprise. La discussion sur les risques au niveau de la direction générale et du conseil d’administration (ce qui pourrait arriver) n’est pas séparée de la discussion sur la stratégie et les performances. |
La majorité des organisations (d’après les enquêtes périodiques des cabinets d’audit et de conseil) indiquent que les conseils d’administration et la direction générale perçoivent la gestion des risques comme une activité de conformité, quelque chose qu’ils doivent faire. Ils ne la considèrent pas comme une activité qu’ils souhaitent réaliser parce qu’elle apporte une valeur ajoutée et les aide à réussir. Ils la considèrent uniquement comme un moyen d’éviter l’échec. Lorsqu’une organisation atteint le niveau de maturité cinq, l’accent est mis sur la prise de décisions quotidiennes qui permettent de prendre les bons risques pour réussir. Le conseil d’administration et la direction générale peuvent comprendre si les objectifs de l’entreprise peuvent ou non être atteints, et pourquoi. D’après mon expérience avec les PDG et les membres du conseil d’administration, la gestion des risques à ce niveau est quelque chose qu’ils souhaitent et pour lequel ils sont prêts à investir du temps et de l’argent. Pour en savoir plus sur l’amélioration de votre maturité en matière de risques, consultez notre blogue intitulé Comment une SIGR peut stimuler votre maturité en matière de risques. Pour plus d’informations de la part de Norman Marks, consultez notre webinaire Risk@Work à la demande, Avez-vous vraiment besoin d’une solution GRC ?
Norman Marks est un leader d’opinion mondialement reconnu dans le domaine de l’audit interne et de la gestion des risques. Il est le chef de file mondial de l’audit interne et de la gestion des risques. travaille avec des individus et des organisations du monde entier, les conseillant sur la gestion des risques, l’audit interne, la gouvernance d’entreprise, les performances de l’entreprise et la valeur de l’information. Norman est l’auteur de neuf ouvrages célèbres sur la gestion des risques, l’audit interne et la conformité à la loi Sarbanes-Oxley.
