Comment Roche a rehaussé le profil de la gestion des risques dans l’ensemble de l’organisation et a introduit un langage commun pour discuter des risques.

INDUSTRIE
Soins de santé

LOCATION
Suisse

NOMBRE D’EMPLOYÉS
101 200

Le contexte et le défi

Depuis plus de 110 ans, Roche joue un rôle pionnier dans le domaine des soins de santé. En tant qu’innovateur de produits et de services pour la détection précoce, la prévention, le diagnostic et le traitement des maladies, Roche contribue sur de nombreux fronts à l’amélioration de la santé et de la qualité de vie des personnes. Roche est le leader mondial du diagnostic in vitro et des médicaments pour le cancer et la transplantation, et est active dans d’autres domaines thérapeutiques majeurs à fort besoin médical tels que les maladies auto-immunes, les maladies inflammatoires, la virologie, les troubles métaboliques et les maladies du système nerveux central.

Roche s’engage à respecter des normes éthiques élevées et à se conformer à toutes les lois locales, nationales et internationales applicables. Les normes éthiques de l’entreprise sont incarnées dans ses valeurs d’entreprise. La conduite responsable des affaires inclut l’approche de l’organisation en matière de gestion des risques.

En 2007, Roche a mis en place une nouvelle fonction de gestion des risques au niveau du groupe pour consolider les informations sur les risques provenant de différentes parties de son activité considérable. À l’époque, les différentes unités opérationnelles utilisaient une variété d’outils et de processus pour identifier et atténuer les risques. Le nouveau groupe de gestion des risques avait besoin d’une plateforme commune pour rassembler les différents outils et processus d’information qui seraient suffisamment flexibles pour soutenir les pratiques de travail locales. En plus de gérer les risques de l’entreprise à l’échelle mondiale, l’outil devait également être adapté à la gestion des risques au sein des projets.

Le Dr Daniel Imhof, directeur des risques chez Roche, a expliqué : « Chez Roche, nous aimons adopter une approche pragmatique. Nous avions besoin d’une solution de gestion des risques pratique qui serait facile à utiliser, facilement accessible, qui collecterait toutes les données dont nous avions besoin pour soutenir une bonne prise de décision. De plus, l’outil devait être entièrement compatible avec des normes telles que COSO et ISO 31000. »

Gestion du risque d’entreprise

L’équipe de gestion des risques du groupe chez Roche adopte une approche globale de la gestion des risques d’entreprise en collaborant avec les principales unités opérationnelles de l’organisation couvrant des domaines tels que le marketing, les ventes, les opérations techniques, la recherche et le développement, l’informatique, les ressources humaines, les finances et le juridique, soit environ 25 au total, réparties dans le monde entier.

Chaque unité opérationnelle dispose d’un gestionnaire de risques désigné qui coordonne toutes les informations sur les risques à l’aide de Project Risk Manager (PRM), cependant, pour chaque unité opérationnelle, le profil du gestionnaire de risques peut être distinctif en fonction des besoins individuels. Les informations sur les risques sont collectées de différentes manières dans les unités en fonction de la culture et comprennent un mélange d’ateliers, de réunions en face à face et de questionnaires. Une fois les informations recueillies, le gestionnaire de risques les saisit dans PRM avec des détails sur les dates de révision et les propriétaires des risques. Les informations sont consolidées pour chaque unité opérationnelle, puis envoyées à la gestion des risques du groupe où les informations pour l’ensemble de l’organisation sont fusionnées et finalement présentées au comité exécutif et au conseil d’administration.

Nous recevons des demandes d’assistance de la part de différentes fonctions pour l’identification, l’évaluation et la documentation des risques, ainsi que pour l’élaboration de stratégies d’atténuation des risques. Nous avons travaillé avec des domaines aussi variés que l’informatique, la communication, la tarification, la conformité et le développement de produits. Il est important que nous disposions des outils qui nous permettent de travailler de la manière la plus adaptée à chaque fonction ou projet.

Dr Daniel Imhof, Directeur des risques, Roche

Risque lié au projet

L’un des rôles de l’équipe de gestion des risques du groupe est de fournir des services de conseil en matière de risques. Toute personne au sein de Roche peut faire appel à elle pour obtenir une expertise, des outils et des ressources en matière de gestion des risques.

Nous voulons que les unités opérationnelles et les filiales utilisent la gestion des risques pour elle-même, pour les avantages qu’elle apporte, plutôt que de la considérer comme une forme de surveillance ou de contrôle ». M. Imhof a ajouté : « C’est pourquoi nous avons tenu à préserver et à soutenir les pratiques de travail locales, ce que la PRM nous a permis de faire avec succès.

Dr Daniel Imhof, Directeur des risques, Roche

Risque lié à l’affiliation locale

Roche compte environ 150 filiales dans le monde, qui se composent d’organisations locales de marketing et de ventes, de distribution et de production. Il n’y a pas de mandat obligeant ces organisations à utiliser la gestion des risques, mais l’option est disponible si elles le souhaitent.

Dans cette optique, l’équipe de gestion des risques du groupe a développé un module d’apprentissage en ligne, qui permet à toute personne souhaitant utiliser PRM localement d’en apprendre davantage sur la gestion des risques et le logiciel PRM et d’évaluer s’il leur conviendra. Il offre une introduction au produit et fournit un bon niveau d’informations de base.

Pour les filiales qui décident d’accepter l’offre, l’équipe de gestion des risques du groupe entreprend une évaluation de 2 semaines, rapportant tous les risques qu’elle trouve et proposant des stratégies d’atténuation des risques. Les résultats sont fournis à l’équipe de direction de la filiale pour qu’elle continue à les gérer localement.

Gestion centrale des risques Suivi

PRM est également utilisé par l’équipe de gestion des risques du groupe pour surveiller et améliorer ses propres performances et le processus de gestion des risques lui-même. De cette manière, ils s’assurent que l’ensemble de la fonction de gestion des risques de l’entreprise est itérative et continuellement améliorée.

Dans le cadre de ce processus, l’équipe a la capacité d’analyser les événements qui se sont déjà produits. Le système permet aux utilisateurs de remonter dans le temps pour examiner quels étaient les risques perçus, ce qui s’est réellement passé et comment cela a été géré. Par exemple, l’impact correspondait-il au résultat anticipé ? Cet élément rétrospectif du système permet à l’équipe de Roche de comprendre dans quelle mesure ils ont historiquement bien géré les risques et d’évaluer les leçons apprises.

Une fonctionnalité de PRM que l’équipe de Roche trouve particulièrement utile est la possibilité de réévaluer un risque à tout moment, lorsque de nouvelles informations externes sont mises en lumière. Par exemple, cela pourrait se produire lorsqu’un concurrent termine un essai clinique et publie des résultats qui pourraient avoir un impact direct sur l’un des produits de Roche.

Gestion des risques du groupe consolidé

Le principal avantage pour Roche a été la consolidation du processus de gestion des risques du Groupe grâce à l’utilisation d’un outil commun, d’un langage commun et de critères de notation clairement définis dans Project Risk Manager. Les rapports, dont certains ont été personnalisés pour le groupe, offrent un moyen précieux de communiquer avec les unités opérationnelles. Les gestionnaires peuvent recevoir des informations sur les risques sans avoir besoin d’accéder à l’outil lui-même, rendant ainsi les renseignements plus pertinents et plus faciles à assimiler pour les propriétaires individuels de risques.

Les fonctionnalités d’alerte au sein de PRM contribuent également à améliorer la communication et la sensibilisation aux risques. Les alertes peuvent être envoyées de manière centralisée par la gestion des risques du groupe aux utilisateurs concernés, ou être diffusées aux gestionnaires de risques de chaque unité opérationnelle qui les transmettent ensuite aux propriétaires appropriés des risques et des plans de risque.

PRM est accessible via le web, permettant ainsi aux utilisateurs individuels d’utiliser le système depuis n’importe quel endroit et sur n’importe quel appareil sans avoir besoin de télécharger localement le logiciel. Tout en offrant une accessibilité aisée, cela garantit également que la base de données centrale des risques de l’entreprise est maintenue, évitant ainsi les silos d’informations conservées localement.

Daniel Imhof a résumé : « Nous sommes maintenant dans une position où nous avons une visibilité globale de notre profil de risque. PRM nous a permis d’accroître la visibilité de la gestion des risques dans toute l’organisation et nous a aidés à introduire un langage commun lors des discussions sur les risques, ce qui est extrêmement utile. Nous disposons d’un système pragmatique de gestion des risques d’entreprise qui couvre l’ensemble de l’organisation. PRM centralise les informations sur les risques, permettant à l’organisation de mesurer la performance, les indicateurs clés de performance, les risques ou les réponses en retard, et de voir généralement comment nous gérons nos risques, et ainsi prendre de meilleures décisions commerciales. »