Dix moyens d’améliorer la gestion des risques

Dix moyens d’améliorer la gestion des risques
Source : site de PRIMO Europe. Article du 29 Octobre 2013. Auteur : Marinus de Pooter.

Ayant conscience de défauts communs, les vérificateurs internes peuvent aider leur organisation à mieux répondre aux attentes des investisseurs et à assurer les objectifs de l’entreprise.

Pourquoi la mise en œuvre et les fonctions de la gestion des risques ne livrent-elles pas ce qu’on en attend ? Comment un directeur se rend-il compte que son investissement dans un système de risk-management n’est pas amorti correctement ? Potentiellement, beaucoup de facteurs peuvent être coupables, découlant de diverses parties de l’organisation et de son système. Mais le plus souvent, les fautifs sont réduits à une poignée de dysfonctionnements communs.

Dix pratiques essentielles, en particulier, sont régulièrement négligées dans les organisations, que ce soit industriellement ou géographiquement, à la fois dans les petites et grandes entreprises. S’occuper avec succès de ces domaines peut aider l’organisation à augmenter sa capacité à faire face à un futur incertain, à améliorer la prise de décision et à augmenter la fiabilité de prévisions  régulières. En conséquence, ces mesures augmenteront le « pouvoir de prédiction » de l’organisation, avec pour résultat une plus grande confiance des investisseurs. Comprendre les écueils, recommander les solutions appropriées, tout cela peut fournir aux vérificateurs internes une base solide pour aider à améliorer la gestion du risque dans l’organisation.

1- Poser des questions.
Observation : les débats sur la gestion des risques évitent typiquement la question « Comment pouvons-nous mieux répondre aux attentes des investisseurs ? ». En fait, la perspective du client extérieur est souvent entièrement occultée. Des questions comme « Dans quelle mesure nos clients vont-ils profiter de nos mesures de contrôle ? » ne sont pas mentionnées, bien que les clients soient des parties prenantes essentielles et que l’organisation soit tenue de créer et de préserver la valeur des investissements de ces derniers.

Recommandation: Garder le contrôle est un concept relatif dans un monde largement imprévisible. Il n’y a pas d’organisations sans risques, ni de gestion sans fautes.  Quand on présente les stratégies et plans, les chargés de gestion devraient admettre que le futur est intrinsèquement incertain et que ses infinies possibilités sont trop complexes pour que quiconque puisse le prédire avec exactitude. Au lieu de maintenir l’illusion selon laquelle le futur peut être pleinement compris et contrôlé, les chargés de gestion devraient faire preuve de courage et d’honnêteté quand ils informent leurs principaux investisseurs, d’après les dernières prévisions.

2- Créer la bonne culture
Observation : L’organisation est conduite par un individu dominant qui a peu d’intérêt ou de tolérance envers les opinions divergentes. Lorsque des évènements négatifs se produisent, la réponse primaire du chef est de chercher qui blâmer, plutôt que d’apprendre de ses erreurs. Par conséquent,  les directeurs et les autres membres de l’équipe préfèrent garder les problèmes sous silence le plus longtemps possible, créant ainsi une culture où l’apprentissage n’est pas valorisé et où l’instinct de conservation est le comportement le plus répandu. De plus, le conseil ne communique pas clairement ses attentes quant à une exposition à un risque acceptable.

Recommandation : La culture d’organisation va bénéficier de la clarté concernant ce qu’on attend des directeurs et des employés.  Une communication claire sur ce qui constitue un comportement acceptable ou non, aussi bien que sur les déviations acceptables des objectifs énoncés (à savoir, les tolérances de risque) doit être pourvue. Le conseil d’administration devrait amorcer des discussions ouvertes sur le niveau de contrôle interne requis pour gérer les attentes des principaux investisseurs, tandis que les chargés de gestion devraient encourager l’apprentissage par les erreurs de l’entreprise plutôt que simplement décontenancer les responsables. Par-dessus tout, les chargés de gestion et le conseil d’administration devraient diriger par l’exemple, un prérequis pour une gestion des risques efficace.

3 – Clarifier les responsabilités et les règles
Observation : Les cadres gestionnaires n’ont pas clairement déterminé les responsabilités de chacun pour atteindre les objectifs de l’entreprise, y compris ceux associés à la réponse aux exigences de conformité. L’incertitude existe quant à celui qui est responsable de développer les procédures et politiques, au sens large, de l’organisation. La direction place plus de confiance sur les politiques et procédures détaillées que dans les gens expérimentés avec un jugement fiable, et les supérieurs hiérarchiques assimilent la notion de « garder le contrôle » avec celle de suivre des protocoles et des directives étendus, prescrits par les fonctions centrales ; et ce, même si ces procédures ne produisent pas les résultats désirés. De plus, la direction n’est tenue responsable que de ses résultats, jusqu’à un certain point. Les superviseurs posent rarement la question simple, essentielle : « Dans quelle mesure êtes-vous sûr d’arriver aux objectifs fixés, et du fait qu’il n’y aura pas de mauvaise surprise dans la période à venir ? »

Recommandation : L’organisation bénéficiera de l’instauration d’un processus structuré pour gérer ses chartes, protocoles, instructions et ses autres politiques-clés et documents de procédure. Les directeurs de gestion devraient éviter de disperser la capacité de publier ces « règles de maison »  à trop de régulateurs internes différents et à des équipes spécialisées, indépendamment, sans coordination étendue ni consistance dans leurs approches. Ils devraient aussi faire la lumière sur ce qui est décidé au niveau de l’entreprise (par ex., une centralisation des achats)  laissant ce qui leur est réservé à la discrétion des directeurs locaux. De plus, la haute direction devrait arranger des « vérifications de réalité » avec les chefs d’entreprise quand ils conçoivent et mettent en œuvre de nouvelles règles d’organisation, dans un effort d’empêcher « une prolifération des règles ». Une politique de gestion efficace élimine les écarts, les chevauchements et incohérences dans les règles d’organisation, qui serviront effectivement comme cadre de contrôle de l’entreprise. A son tour, cette politique permettra aux auditeurs internes d’utiliser ce cadre comme une référence claire avec laquelle ils effectueront leurs audits.

4 – Utiliser un système de récompense adéquat
Observation : Les chefs d’entreprise ploient sous la pression arbitraire d’atteindre des buts qui ne sont pas réalistes. En outre, la haute direction promeut une prise de risques excessive en la récompensant par de l’attention, des bonus, des promotions, et d’autres formes de compensation.

Recommandation : Des politiques de rémunération adéquates sont nécessaires pour orienter les comportements vers la direction désirée. La haute direction devrait diriger par l’exemple et n’accepter pour eux que des systèmes de compensation qui soient cohérents avec les intérêts à long terme de l’organisation.  Faire ainsi encouragera les directeurs et les autres employés à adopter les objectifs énoncés et à s’engager à les atteindre.

5 – Se concentrer sur les objectifs de l’entreprise
Observation : Les activités de gestion des risques de l’organisation ne sont pas liées à l’ordre du jour stratégique du conseil d’administration, qui inclut typiquement les aspirations d’icelui quant à la croissance, l’efficacité, l’innovation, l’uniformisation et la durabilité.  De plus, la confusion existe sur la façon dont l’organisation va valoriser chaque segment d’investisseur individuel et les objectifs de l’entreprise  ne sont pas assez SMART [Specific, Measurable, Achievable, Relevant and Timely = Spécifiques, Mesurables, Accessibles, Pertinents et Opportuns]  pour permettre de juger d’un réel progrès par rapport aux objectifs. La haute direction a peu de motivation d’aborder cette situation, car des objectifs mal-définis rendent la difficulté plus grande à les tenir responsables de résultats de performance.

Recommandation : Le but primaire de toute gestion du risque, que ce soit par le contrôle interne, l’audit externe ou tout autre support de fonction de l’activité, est de contribuer à la réalisation des objectifs de l’organisation. La haute direction devrait mettre l’accent sur le fait que ces objectifs, à leur tour, ont pour but de créer et préserver la valeur des portefeuilles des actionnaires-clés. Car ces derniers sont essentiels à l’existence de l’entité.

6- Reconnaître les limites de l’évaluation des risques
Observation : Le programme de gestion des risques est concentré sur l’identification, la catégorisation et la mesure de toutes sortes de risques, et non sur la gestion active des incertitudes associées à l’accomplissement des buts fixés par l’entreprise. Du fait de l’usage abondant de profils de risques-types,  de classement des risques les plus probables et d’autres outils, les catégories de risques deviennent la finalité, au lieu d’être le moyen.  De plus, la haute direction croit, ou prétend croire, qu’une large quantification d’exposition au risque dans l’entreprise est faisable, manquant considérer que la conception de modèles englobant tous types de risques est impossible.  En réalité, les corrélations parmi les multiples facteurs de risques sont difficiles à définir, des informations essentielles manquant souvent, suite à des pertes de bases de données, et sont d’usage limité pour aider à prédire le futur. L’efficacité passée de mesures de contrôle n’est pas une garantie pour le futur.

Recommandation : les évaluations de risques finissent par être de simples opinions sur le futur. Ces analyses sont nuancées de façon significative par des facteurs tels que les préférences personnelles, le savoir, les expériences récentes et les traits de caractère de ceux qui y sont mêlés. De plus, l’évaluation des risques ne devrait pas être partiale. Pour déterminer si l’entreprise est prête à gérer le futur, ces analyses ont besoin d’inclure un contenu qui aiderait à la réalisation des objectifs de l’entreprise (les opportunités), en plus de celles qui pourraient potentiellement entraver ces objectifs (les risques). Sans compter que la haute direction devrait traiter de concert la gestion des risques (gérer des évènements qui pourraient arriver) et la gestion des incidents (gérer des évènements qui sont déjà arrivés). Ils devraient poser des questions telles que : « Notre organisation est-elle assez entraînée pour gérer des incidents graves quand ils se produisent ? » Ils devraient aussi convaincre les chefs d’entreprise qu’une approche anticipée, intégrée, à la fois pour les risques et les incidents est nécessaire afin de garder un cadre de contrôle prêt à fonctionner dans l’entreprise.

7- Mettez les directeurs au volant
Observation : Les systèmes de gestion des risques comprennent essentiellement des fonctions de support, tels que la gestion du risque, le contrôle interne, la gestion de qualité, la santé et la sécurité, les informations de sécurité, les assurances de revenus et l’audit interne. Les supérieurs hiérarchiques, qui doivent équilibrer les risques et les récompenses en prenant leurs décisions, sont visiblement absents du processus. Tout au plus, les directeurs de projet sont tenus d’inclure une section ‘risque’ séparée dans les plans de projets. Cependant, le plus souvent, cette section n’inclut que des risques évidents, génériques. Les fonctions de support tendent à se concentrer sur la présentation et le rodage des mesures de conformité, et semblent avoir une considération limitée pour les luttes quotidiennes des directeurs d’entreprise lorsqu’ils servent leurs exigeants  clients. Ces fonctions tendent à catégoriser le monde en « lignes de défense ». Ainsi, elles parlent une autre langue que celle de leurs collègues qui font l’interface avec le client, occupés à « attaquer le marché » et à en « conquérir les parts».

Recommandation : Les analyses de risque devraient prodiguer une vision plus équilibrée du futur, celle que les chefs d’entreprise préfèrent ; en d’autres termes, elles devraient inclure les opportunités. Les senior-managers devraient empêcher les fonctions de support de voir la réduction des risques comme la stratégie la plus importante. Ils devraient expliquer qu’il y a des alternatives au ralentissement du processus d’affaires par des mesures préventives, et de meilleurs moyens d’aborder les risques qu’un simple ajout de contrôles. Les chefs de service ne devraient pas croire que les obligations de gestion des risques sont de simples réflexions ou distractions de leur « vrai métier ». Le conseil d’administration devrait orchestrer des revues « pré-mortem » de stratégies importantes, des plans et projets pour établir si le contrôle en place est assez robuste pour atteindre les objectifs annoncés par l’organisation de façon fiable. Le conseil devrait également demander aux hauts dirigeants d’expliquer l’ampleur d’incertitude quant à l’atteinte de ces objectifs (en termes de qualité, temps et argent): c’est un problème central pour les investisseurs.  Dans le même temps, la haute direction devrait  encourager les chefs d’entreprise à se servir de l’expertise des gestionnaires de risques et auditeurs internes. Ces « généralistes » devraient siéger au conseil lors de la planification des acquisitions, du développement de nouveaux produits ou lors d’entrée sur un nouveau marché. La poursuite de ces nouvelles opportunités devrait aller de pair avec de sérieuses discussions sur les risques associés aux projections toujours plus élevées de résultats promis.

8 – Un management de l’information intégré à la demande
Observation : La haute direction reçoit des rapports périodiques séparés de multiples supports fonctions sur les niveaux de performance, l’exposition des risques, les incidents et tendances. Cependant, on ne produit aucun rapport intégré qui diffuserait une vue partagée des contrôles d’efficacité actuels et futurs de l’organisation, classés par entité, division, pays, ligne de service, localisation, etc. Ainsi, la haute direction pourrait avoir une compréhension claire de la véritable situation plutôt que plusieurs rapports séparés, qui peuvent se contredire entre eux.

Recommandation : La haute direction devrait demander des rapports intégrés uniques, forçant ainsi les différentes fonctions distribuant ces informations à travailler ensemble. Son but devrait être de construire une vision partagée de la hauteur des atteintes d’objectifs dans la période précédente et les prévisions pour la prochaine. La haute direction devrait insister pour que ceux qui distribuent l’information utilisent des outils et techniques pour analyser les données de business disponibles. Ils devraient surveiller l’efficacité du cadre de contrôle, qui ne serait pas fondé sur la vérification d’échantillons, mais sur l’analyse de larges volumes de transaction. Ils devraient utiliser une surveillance continue de flux de transactions pour repérer les irrégularités et les tendances négatives à temps, et développer des capacités de renseignement commercial robustes, visant à réduire l’incertitude pour la prise de décision.

9- Etre sûr que les règles puissent être applicables
Observation : L’organisation est abondante en règles minutieusement conçues, développées par des spécialistes qui sont capables d’inventer les procédures et politiques les plus avancées techniquement (par ex. sur la sécurité de l’information). Cependant, ces règles sont trop complexes pour que les chefs de service puissent les traduire et les incorporer dans leurs opérations quotidiennes, rendant ainsi leur application difficile. De plus, il y a des décalages significatifs dans l’étendue de la vérification des contrôles essentiels, car d’importantes conclusions d’audit ne sont pas prises au sérieux, et les managers s’en sortent sans suivre de façon adéquate les plans d’amélioration.

Recommandation : Les chefs d’organisation devraient insister pour que les règles de la maison soient claires et appliquées de façon réaliste. Le niveau de détail que ces règles contiennent dépend de facteurs tels que la philosophie du management, la maturité du processus d’affaires, les pratiques de l’industrie, les attentes des régulateurs et les exigences de certification. La direction devrait aménager un support pour les directeurs d’unité débordés, quand elle transmet sa politique corporative dans des mesures de contrôle spécifiques à son processus d’affaires. Si elle veut que les règles soient prises au sérieux, elle doit aussi montrer que toute transgression aura des conséquences.

10- Aligner l’audit interne et les affaires
Observation : l’évaluation des risques préparée pour le plan d’audit annuel n’est pas alignée avec les analyses de risque effectuées sur toute l’organisation pour le compte du business management. L’audit interne doute de la capacité des autres fonctions supports à conceptualiser collectivement et à mettre en œuvre les contrôles internes appropriés. Par peur de perdre leur objectivité, les auditeurs internes se retiennent de donner leur opinion sur la conception du cadre de contrôle. Quand ils effectuent leurs audits, ils préfèrent utiliser leurs propres normes et ce qu’ils estiment être les meilleures pratiques, plutôt que le cadre de contrôle fixé, à la grande surprise et irritation de leurs clients et collègues des autres fonctions support.

Recommandation : Le responsable de l’audit devrait être clair sur les contributions qu’il attend de l’audit interne concernant la réalisation des objectifs de l’organisation. La direction devrait mêler la fonction de l’audit interne à un conseiller fiable pour aider à établir les règles de la maison.  Plus les règles s’affineront et mieux l’audit interne pourra livrer une assurance indépendante. Les auditeurs internes devraient démontrer qu’ils comprennent quels risques, s’ils sont bien gérés, peuvent donner à l’organisation les plus grands avantages de compétitivité. Ils devraient volontiers accepter le défi de gérer activement l’information portant sur la façon dont l’organisation gagne la confiance, le respect et le support financier d’actionnaires-clés.

Gérer les attentes au moyen du pouvoir prévisionnel.
Les chefs d’entreprise voient que le risk-management est utile dans le sens où il leur permet de mieux gérer les attentes de leurs actionnaires-clés. Par conséquent, une analyse poussée sur les actionnaires devrait toujours être le premier pas dans tout processus de risk-management. Les objectifs énoncés par l’entreprise devraient refléter les choix faits par la haute direction concernant la valeur spécifique qu’elle veut créer pour chaque genre d’actionnaires. L’évaluation des risques devrait viser en premier lieu une estimation de probabilité et l’impact des objectifs une fois atteints.

Les activités de risk-management devraient servir à l’amélioration constante du pouvoir prévisionnel d’une organisation, s’articulant autour de la qualité des prévisions périodiques préparées par les chefs d’entreprise responsables. Pronostiquer des prédictions fiables requiert de ces managers une conscience des opportunités disponibles, des niveaux d’exposition aux risques, et de la qualité du contrôle interne. Plus ces prédictions seront proches de la réalité, plus haut sera le niveau de contrôle des managers.

Suivre cette approche détourne l’attention des chefs d’entreprise du calibrage des résultats réels (par rapport aux prévisions, au budget, etc.), et permet une gestion des attentes des actionnaires  de manière plus anticipatrice. En fin de compte, l’amélioration du pouvoir prévisionnel d’une organisation mène à une réduction de l’incertitude globale à laquelle l’entité est exposée.  Ceci, à son tour, mène à une confiance augmentée dans la haute direction. Et c’est le meilleur retour qu’une direction puisse recevoir au vu du temps, des efforts et des fonds investis dans la gestion des risques.
Lien vers l’article original :

http://www.primo-europe.eu/?p=5419
Traduction fournie par Sophie Gauthier, Chargée de communication PRIMO France