Fin du blog français depuis octobre 2016

Pour des raisons de temps, j'ai cessé de traduire mes articles (blogs) en français. Comme la plupart des lecteurs francophones m'ont indiqué qu'ils liraient volontiers la version anglaise des blogs ultérieurs, je me permets de vous la suggérer. Merci pour votre compréhension!

Gestion des risques axée sur les processus

Gestion des risques d’entreprise

Définition

La gestion des risques d’entreprise (Enterprise Risk Management ou ERM en anglais) est une approche – consistant de méthodes & processus – veillant à gérer les risques et opportunités, afin d’atteindre les objectifs et donc de réaliser la mission d’entreprise.

Pourquoi gérer les risques?risk_management

L’identification et la gestion pro-active des risques – biensouvent également des opportunités – permettent à toute organisation de créer mais surtout de protéger la valeur pour les diverses parties prenantes. Les actionnaires, mais aussi le personnel, les fournisseurs, les clients, les éventuels régulateurs, etc.; plus généralement, toute la communauté.

Comment gérer les risques?

Il existe plusieurs concepts (cadres ERM) qui peuvent être envisagés pour toute organisation. Parmi les principaux, on compte:

Gestion des risques d’entreprise et le BPM

L’objectif de ce blog n’est point de vous présenter ces concepts en détails, car vous pourrez en lire davantage via les liens mentionnés. Il est cependant judicieux de savoir pourquoi la connaissance des processus de sa propre organisation contribue à une gestion effective des risques; la neuvième raison pourquoi connaître et modéliser les processus d’entreprise.

Risk management process - FREn fait, la gestion des risques consiste principalement en les activités suivantes; disons le ‘processus de gestion des risques:

Zoom FR1. Identifier les risques: les pires risques sont souvent ceux qui sont inconnus. La première étape est donc leur identification. La bonne nouvelle est que cette identification est bien plus facile lorsque vous avez déjà mappé les processus d’entreprise. Parce que dans ce cas, il s’agit de déterminer quels événements ou quelles activités pourraient occasionner un ou des risques. La figure ici sur la gauche illustre comment documenter un risque dans un modèle de processus; dans ce cas, le risque “oubli de prise d’échantillon” issu du processus “Réception et contrôle de la matière première” (voir le blog du 5 février 2015). Remarquez également la spécification “Contrôler la prise d’échantillon” ainsi que le lien vers l’indicateur de risque ou ‘Key Risk Indicator‘ (KRI) décrivant comment gérer ce risque.

Risk matrix FR2. Evaluer les risques: une fois qu’un risque est connu, on peut alors estimer son impact (ou gravité) ainsi que sa probabilité. Un moyen pratique à cet effet est la matrice d’évaluation des risques, illustrée ici à droite. Lorsque vous avez déterminé à la fois l’impacte et la probabilité d’un risque, on peut même calculer sa valeur. Ex.: un risque ayant un impact de € 1 million et une probabilité de 5 % a comme valeur € 50.000. L’exclusion complète de ce risque vaut donc € 50.000.

Outre la priorité (suivant leur valeur), on peut aussi catégoriser les risques suivant d’autres critères, comme par exemple distinguer les risques internes ou externes, les risques stratégiques ou opérationnels, etc.

3. Atténuer les risques: particulièrement les risques “inacceptables”, doivent être atténués – idéalement exclus. Soit en réduisant leur probabilité, soit leur gravité, ou les deux. On peut même envisager de s’assurer contre certains risques. L’atténuation des risques peut aussi souvent être solutionnée en revoyant le processus. Ainsi, dans l’exemple ci-dessus (oubli de prise d’échantillon), on pourrait forcer le récepteur de matériaux à confirmer l’échantillonnage avant d’imprimer une note de réception. De manière à ce que le récepteur ne puisse oublier de prendre un échantillon, vu que le fournisseur ne va pas s’en aller sans note de réception après le déchargement. Ceci est un exemple type de Poka-Yoke ou détrompeur, une technique qui prévient que le risque ne puisse se produire. 

4. Contrôler les risques: les activités précédentes n’ont du sens que si les risques sont suivis et contrôlés. C’est pourquoi un plan d’action pour le suivi des risques et leurs effets fait partie d’une bonne gestion des risques. En analogie avec les KPIs (= Key Performance Indicators – voir aussi le blog du 5 mars 2015), il est conseillé de définir un ‘Key Risk Indicator’ (KRI) pour les risques les plus importants. Etes-vous intéressé  à recevoir une fiche template déterminant les différents aspects d’un KRI? Demandez-le simplement par la case “Commentaires” ci-dessous ou via le formulaire contact.

La gestion des processus contribue donc aussi clairement à une gestion efficace des risques et donc à l’ERM. J’espère que vous êtes persuadé qu’il est recommendable d’appliquer ce type de gestion des risques axée sur les processus.

Voulez-vous en savoir plus au sujet de l’ERM (gestion des risques d’entreprise)? Communiquez votre expérience dans la case “Commentaires” (par ex. dans quelle mesure on applique la gestion des risques dans votre organisation, quels sont les éventuels défis que vous avez rencontré, etc.) et recevez en retour un nombre de documents intéressants concernant le COSO ERM framework.

P.S.: N’hésitez pas à partager ce blog via Facebook, LinkedIn, Twitter ou Google+ via les boutons respectifs ci-dessous. Merci beaucoup!

Source: Image 1