Comment Roche a rehaussé le profil de la gestion des risques dans l’ensemble de l’organisation et a introduit un langage commun pour discuter des risques.

INDUSTRIE
Soins de santé

LOCATION
Suisse

NOMBRE D’EMPLOYÉS
101 200

Le contexte et le défi

Depuis plus de 110 ans, Roche joue un rôle de pionnier dans le domaine de la santé. En tant qu’innovateur de produits et de services pour la détection précoce, la prévention, le diagnostic et le traitement des maladies, Roche contribue sur un large éventail de fronts à l’amélioration de la santé et de la qualité de vie des personnes. Roche est le leader mondial des diagnostics in vitro et des médicaments pour le cancer et la transplantation, et est actif dans d’autres domaines thérapeutiques majeurs où les besoins médicaux sont importants, tels que les maladies auto-immunes, les maladies inflammatoires, la virologie, les troubles du métabolisme et les maladies du système nerveux central. Roche s’engage à respecter des normes éthiques élevées et à se conformer à toutes les lois locales, nationales et internationales applicables. Les normes éthiques de la société sont incarnées par ses valeurs d’entreprise. La conduite des affaires de manière responsable inclut l’approche de l’organisation en matière de gestion des risques. En 2007, Roche a mis en place une nouvelle fonction de gestion des risques au niveau du groupe afin de consolider les informations sur les risques provenant des différentes parties de son activité considérable. À l’époque, les différentes unités d’affaires utilisaient une variété d’outils et de processus pour identifier et atténuer les risques. Le nouveau groupe de gestion des risques avait besoin d’une plateforme commune pour rassembler les différents outils et processus d’information, qui soit suffisamment flexible pour s’adapter aux pratiques de travail locales. Outre la gestion globale des risques de l’entreprise, l’outil devait également être adapté à la gestion des risques au sein des projets. Le Dr Daniel Imhof, directeur des risques chez Roche, explique : « Chez Roche, nous aimons adopter une approche pragmatique. Nous avions besoin d’une solution de gestion des risques pratique, facile à utiliser et à consulter, qui recueille toutes les données dont nous avons besoin pour prendre de bonnes décisions. En outre, l’outil devait être pleinement compatible avec des normes telles que COSO et ISO 31000 ».

Gestion du risque d’entreprise

L’équipe de gestion des risques du groupe Roche adopte une approche globale de la gestion des risques de l’entreprise en s’engageant auprès des principales unités commerciales de l’organisation couvrant des domaines tels que le marketing, les ventes, les opérations techniques, la recherche et le développement, l’informatique, les ressources humaines, les finances et le service juridique, soit environ 25 unités au total, réparties dans le monde entier. Chaque unité opérationnelle dispose d’un gestionnaire de risques désigné qui coordonne toutes les informations sur les risques à l’aide du Project Risk Manager (PRM), mais le profil du gestionnaire de risques peut être différent pour chaque unité opérationnelle en fonction des besoins individuels. Les informations sur les risques sont collectées de différentes manières dans les unités en fonction de la culture et comprennent un mélange d’ateliers, de réunions en face à face et de questionnaires. Une fois les informations recueillies, le gestionnaire des risques les saisit dans le PRM en indiquant les dates de révision et les responsables des risques. Les informations sont consolidées pour chaque unité opérationnelle, puis envoyées à la gestion des risques du groupe, où les informations relatives à l’ensemble de l’organisation sont fusionnées et finalement présentées au comité exécutif et au conseil d’administration.

Nous recevons des demandes d’assistance de la part de différentes fonctions pour l’identification, l’évaluation et la documentation des risques, ainsi que pour l’élaboration de stratégies d’atténuation des risques. Nous avons travaillé avec des domaines aussi variés que l’informatique, la communication, la tarification, la conformité et le développement de produits. Il est important que nous disposions des outils qui nous permettent de travailler de la manière la plus adaptée à chaque fonction ou projet.

Dr Daniel Imhof, Directeur des risques, Roche

Risque lié au projet

L’un des rôles de l’équipe de gestion des risques du groupe est de fournir des services de conseil en matière de risques. Toute personne au sein de Roche peut faire appel à elle pour obtenir une expertise, des outils et des ressources en matière de gestion des risques.

Nous voulons que les unités opérationnelles et les filiales utilisent la gestion des risques pour elle-même, pour les avantages qu’elle apporte, plutôt que de la considérer comme une forme de surveillance ou de contrôle ». M. Imhof a ajouté : « C’est pourquoi nous avons tenu à préserver et à soutenir les pratiques de travail locales, ce que la PRM nous a permis de faire avec succès.

Dr Daniel Imhof, Directeur des risques, Roche

Risque lié à l’affiliation locale

Roche possède environ 150 filiales dans le monde, qui se composent d’organisations locales de marketing et de vente, de distribution et de production. Ces organisations ne sont pas tenues d’utiliser la gestion des risques, mais elles ont la possibilité de le faire si elles le souhaitent. Dans cette optique, l’équipe de gestion des risques du groupe a mis au point un programme d’apprentissage en ligne qui permet à toute personne souhaitant utiliser le PRM au niveau local d’en savoir plus sur la gestion des risques et le logiciel PRM, et d’évaluer s’il lui convient. Cette formation présente le produit et fournit un bon niveau d’informations générales. Pour les affiliés qui décident d’accepter l’offre, l’équipe de gestion des risques du groupe entreprend une évaluation de deux semaines pour rendre compte des risques constatés et proposer des stratégies d’atténuation des risques. Les conclusions sont communiquées à l’équipe de gestion des affiliés pour qu’elle continue à les gérer localement.

Gestion centrale des risques Suivi

La PRM est également utilisée par l’équipe de gestion des risques du groupe pour contrôler et améliorer ses propres performances et le processus de gestion des risques lui-même. Elle veille ainsi à ce que l’ensemble de la fonction de gestion des risques de l’entreprise soit itérative et continuellement améliorée. Dans le cadre de ce processus, l’équipe a la possibilité d’analyser des événements qui se sont déjà produits. Le système permet aux utilisateurs de remonter dans le temps pour examiner quels étaient les risques perçus, ce qui s’est réellement passé et comment cela a été traité. Par exemple, l’impact a-t-il correspondu au résultat escompté ? Cet élément rétrospectif du système permet à l’équipe de Roche de comprendre dans quelle mesure elle a su gérer les risques dans le passé et d’évaluer les leçons tirées de l’expérience. Une fonction du PRM que l’équipe de Roche trouve particulièrement utile est la possibilité de réévaluer un risque à tout moment, lorsque de nouvelles informations externes apparaissent. Par exemple, lorsqu’un concurrent termine un essai clinique et publie des résultats susceptibles d’avoir un impact direct sur l’un des produits de Roche.

Gestion des risques du groupe consolidé

Le principal avantage pour Roche a été la consolidation du processus de gestion des risques du groupe grâce à l’utilisation d’un outil commun, d’un langage commun et de critères de notation clairement définis dans Project Risk Manager. Les rapports, dont certains ont été personnalisés pour le groupe, constituent un moyen précieux de communication avec les unités opérationnelles. Les gestionnaires peuvent recevoir des informations sur les risques sans avoir besoin d’aller dans l’outil lui-même, ce qui rend l’information plus pertinente et plus facile à assimiler pour les propriétaires de risques individuels. Les fonctions d’alerte du PRM contribuent également à améliorer la communication et la prise de conscience des risques. Les alertes peuvent être envoyées de manière centralisée par la gestion des risques du groupe aux utilisateurs respectifs, ou elles peuvent être diffusées aux gestionnaires de risques de chaque unité opérationnelle, qui les transmettent ensuite aux responsables des risques et des plans de risques concernés. Le PRM est accessible via le web, de sorte que les utilisateurs individuels peuvent utiliser le système à partir de n’importe quel endroit et sur n’importe quel appareil, sans avoir à télécharger le logiciel localement. Tout en facilitant l’accès, ce système permet également de maintenir une base de données centrale sur les risques de l’entreprise, évitant ainsi les silos d’informations conservés localement. Daniel Imhof résume : « Nous sommes désormais en mesure de connaître notre profil de risque à l’échelle mondiale. Le PRM nous a permis de mieux faire connaître la gestion des risques dans l’ensemble de l’organisation et nous a aidés à introduire un langage commun pour parler des risques, ce qui est extrêmement utile. Nous disposons d’un système pragmatique de gestion des risques qui couvre l’ensemble de l’organisation. Le PRM centralise les informations sur les risques, ce qui permet à l’organisation de mesurer les performances, les indicateurs clés de performance, les risques ou les réponses en retard et, d’une manière générale, de voir dans quelle mesure nous gérons nos risques, et donc de prendre de meilleures décisions commerciales.