- Risques organisationnels
-
Les transactions et les pratiques de gestion sont plus complexes de même que les risques qui en découlent; le coût d’une erreur stratégique et la vitesse de ses conséquences sur l'entreprise ont augmenté ; les nouvelles technologies introduisent de nouveaux risques organisationnels ; les contrôles traditionnels sont mis de côté à la suite des changements organisationnels ; la fraude continue d’être un problème pour plusieurs organisations.
Ces constats se traduisent pour la direction d’une entreprise par un changement de perception et par un changement dans les pratiques de gestion.
Changements de perception et des pratiques de gestion
Les changements de perception et des pratiques de gestion impliquent que :
- Le contrôle passe d’un contrôle réactif à un contrôle préventif et proactif.
- Le contrôle se transforme en un processus de gestion des risques organisationnels.
- La gestion des risques organisationnels déborde l’aspect financier pour s’étendre à tous les aspects et à tous les niveaux de l'entreprise.
- La responsabilité du contrôle passe d’une responsabilité unique et centralisée à une responsabilité décentralisée et partagée par tout le personnel.
- Le contrôle devient une pratique d’autocontrôle.
- L’autocontrôle s’effectue dans le cadre d’un processus continu.
Définition des risques organisationnels
Pour bien comprendre ce qu’on entend par risques organisationnels, on peut les définir comme étant des menaces, des effets négatifs ou des problèmes qui peuvent se produire suite à un événement ou une action dans une entreprise ou une organisation.
Sources des risques organisationnels
Les risques peuvent provenir de deux sources principales : de l’extérieur de l'entreprise (risques externes) et de l’intérieur de l'entreprise (risques internes).
Les risques externes proviennent des changements dans l’environnement de l'entreprise (changements politiques, économiques, technologiques, sociologiques) qui peuvent exercer une influence négative sur les objectifs et les stratégies de l'entreprise.
Les risques internes peuvent provenir soit des processus, soit de l’information de gestion. Les risques liés aux processus surviennent lorsque les processus ne sont pas performants. Les exemples suivants illustrent des risques découlant de processus non performants :
- Le processus n’est pas aligné correctement sur les stratégies de l'entreprise;
- Le processus ne donne pas satisfaction aux clients;
- Le processus n’opère pas de façon efficiente.
Des risques dans les processus peuvent également survenir lorsque l'entreprise apporte des changements dans ses processus, dans sa structure organisationnelle, dans son personnel clé, dans ses systèmes d’information, etc.
L’information de gestion peut représenter aussi un risque lorsque l’information servant à prendre des décisions est incomplète, pas à jour, erronée, en retard, non pertinente, etc.
Programme d'action
Pour modifier ses pratiques de contrôle, la direction d’une entreprise devra réaliser un programme d’action comprenant quatre volets :
- Définir un cadre de gestion pour faciliter la communication entre les intervenants dans la gestion des risques organisationnels.
- Mettre en place les processus de contrôle qui permettront une meilleure gestion des risques et qui viseront à réduire les risques à un niveau acceptable.
- Instaurer un style de gestion fondé sur la responsabilisation, l’autocontrôle et la communication.
- Élaborer une structure organisationnelle pour appuyer toute la démarche de gestion des risques organisationnels.
Cadre de gestion
Le cadre de gestion vise à servir de guide dans le développement des processus de contrôle et dans la gestion des risques organisationnels. Il comprendra une politique de gestion des risques organisationnels et une classification des risques organisationnels.
Processus de contrôle des risques organisationnels
Pour gérer les risques organisationnels d’une façon efficace à la grandeur de l'entreprise, la direction a besoin d’un ensemble de processus de contrôle des risques incluant :
- un processus de contrôle stratégique (pour les risques externes),
- un processus de contrôle organisationnel et un processus de contrôle opérationnel (pour les risques internes liés aux processus d’affaires et à l’information de gestion).
Pour chaque catégorie de risques, l'entreprise devra disposer :
- d’un processus continu d’évaluation des risques
- et d’un processus continu d’évaluation et de développement des pratiques de contrôle permettant de réduire les risques à un niveau acceptable.
Style de gestion
Le style de gestion devra refléter la nouvelle façon de gérer les risques organisationnels. Si on désire que le personnel soit davantage impliqué, celui-ci devra davantage être responsabilisé ce qui signifie de déléguer des responsabilités et l’autorité décisionnelle à des personnes qui peuvent évaluer et gérer les risques organisationnels, améliorer les processus de contrôle et agir dans le meilleur intérêt des clients externes et internes.
Structure organisationnelle
La structure organisationnelle aura pour objectif d'appuyer la mise en œuvre de la nouvelle approche de gestion des risques organisationnels.
La nouvelle structure organisationnelle devra :
- s’aligner sur les objectifs et les stratégies de l'entreprise;
- favoriser la délégation d’autorité et la responsabilisation du personnel;
- valoriser la gestion des risques organisationnels à travers toute l'entreprise.
Politique de gestion des risques organisationnels
La politique de gestion des risques organisationnels devrait comprendre les éléments suivants :
- Les objectifs d’évaluation et de contrôle des risques organisationnels.
- Les principes directeurs de gestion des risques.
- Le responsable pour implanter la politique de gestion des risques.
- Les stratégies pour gérer les différents types de risques.
- L'autorité pour gérer les risques.
- Les rôles et responsabilités de chaque directeur responsable à travers l’organisation.
- Les rapports d'évaluation de la performance.
Classification des risques organisationnels
- Classez les risques selon leur importance et leur probabilité.
- Identifiez le niveau des risques :
- Importance
- Élevée
- Faible
- Probabilité
- Élevée
- Faible
- Importance
- Corrigez à la source les risques dont l'importance et la probabilité sont élevées.
- Vérifiez les risques dont l'importance est élevée et dont la probabilité est faible.
- Analysez les risques dont l'importance est faible et dont la probabilité est élevée.
- Ignorez temporairement les risques dont l'importance et la probabilité sont faibles.
Processus d'évaluation des risques organisationnels
Identifiez les risques
- Quels sont les changements dans l’environnement ?
- Quels sont les risques qui peuvent survenir ?
Établissez les causes
- Est-ce que les risques viennent de l’extérieur? Si oui, où ?
- Est-ce que les risques viennent de l’intérieur? Si oui, dans quel processus ?
- Quelles sont les causes des risques dans les processus ?
Mesurez les risques
- Quelle est l’importance des risques ?
- Quelle est la probabilité qu’ils se produisent ?
- Quel est le niveau de risque acceptable ?
Évaluez les risques
- Comment décider d’accepter ou de rejeter tel risque ?
- Pouvons-nous établir les facteurs qui nous guideront dans l’évaluation des risques et qui détermineront les risques acceptables et les risques inacceptables ?
- Est-ce que nous pouvons gérer les risques inacceptables pour savoir s’ils demeurent à un niveau acceptable ?
- Pouvons-nous gérer les risques actuellement acceptables à leur niveau actuel ?
Développez les contrôles
Pour les risques incontrôlables :
- Devrions-nous rejeter les risques en discontinuant les activités qui ont permis de les identifier ?
Pour les risques contrôlables et inacceptables à leur niveau actuel :
- Pouvons-nous les transférer ?
- Avons-nous un processus pour les contrôler ?
- Si oui, est-ce que nos processus de contrôle opèrent efficacement ? Comment se comparent-ils aux meilleures pratiques ?
- Si non, de quoi avons-nous besoin pour réduire les risques à un niveau acceptable ?
Source
WikiPractice : Risques organisationnels
Articles connexes
Wikimedia Foundation. 2010.