Dans son livre intitulé Decision Making: Risk Management, Systems Thinking and Situation Awareness (Prise de décision : Gestion des risques, approche systémique et conscience de la situation), le Dr Alan McLucas introduit la notion de paradoxe de la gestion des risques :
« Réussir à gérer les risques efficacement est une tâche contrecarrée par un paradoxe des plus classique : si une gestion routinière des risques est mise en place, il y aura peu de surprises. Personne ne se rend soudainement compte à quel point la mise en place de mesures de précautions liées à la gestion des risques est efficace. Personne ne donne une claque dans le dos du responsable en le félicitant d'avoir trop bien travaillé. À l'inverse, cependant, si la gestion des risques est médiocre, le monde entier se ligue pour crier au scandale. »
Ce paradoxe est révélateur de deux points essentiels. Le premier, et le plus évident, c'est que le métier de responsable de la gestion des risques est ingrat : s'ils ne reçoivent que peu d'éloges, ces derniers sont en première ligne lorsque les résultats ne correspondent pas aux attentes de la direction. Le deuxième point réside dans le fait que les entreprises mesurent rarement le résultat de la gestion des risques, et n'ont par conséquent qu'une vague idée de sa valeur.
Mesurer les avantages qu'une entreprise retire d'une politique de gestion des risques représente un réel défi. Pour que cette analyse soit complète, il est capital de tenir compte d'un certain nombre de facteurs.
La mesure des résultats peut se diviser en trois catégories distinctes :
Comme tous les programmes mis en place dans une entreprise, la politique de gestion des risques doit faire l'objet d'un audit de conformité. Ce dernier a pour but de vérifier que les exigences fondamentales détaillées dans la politique de gestion des risques de l'entreprise sont bien respectées.
Pour certaines sociétés, le critère de conformité est le seul mesuré. La performance de la politique de gestion des risques, lorsqu'elle se base uniquement sur l'évaluation de sa conformité, peut toutefois être mise en doute.
Il est tout à fait possible qu'une entreprise qui se conforme à 100 % à sa politique de gestion des risques ne contribue néanmoins pas à la réalisation de résultats probants. C'est ce que j'appelle « faire de la gestion des risques » plutôt que gérer les risques.
L'une des premières étapes de la mise en place d'un cadre pour la gestion des risques, toutes entreprises confondues, consiste à évaluer les processus et systèmes de gestion déjà en place. Le moyen le plus efficace de comprendre l'actuel statut des processus de gestion des risques au sein d'une société passe par l'évaluation de la maturité du programme de gestion des risques.
Les donnés ci-dessous sont extraites de l'évaluation réalisée par le cabinet Paladin Risk Management Services.
Les niveaux de maturité sont présentés dans la matrice ci-après :
Niveau 1 | Niveau 2 | Niveau 3 | Niveau 4 | Niveau 5 |
---|---|---|---|---|
Sensibilisation | Compréhension | Première utilisation | Intégré | Mature |
Il y a dans l'entreprise une conscience générale des bénéfices de la gestion des risques. Toutefois, à ce stade, aucune démarche n'a été entreprise dans le but de mettre en place un cadre de gestion des risques. | Un cadre de gestion des risques a été conçu et sa mise en œuvre a débuté, ou a été programmée dans un avenir proche. Il se peut qu'un certain degré de gestion des risques soit opéré au sein de l'entreprise, mais uniquement de façon ponctuelle et sur l'initiative de certains employés : l'équipe dirigeante n'en est pas à l'origine. |
Un cadre de gestion des risques a été mis en œuvre au niveau de tous les principaux domaines fonctionnels de l'entreprise. Néanmoins, certains services doivent encore doter leurs processus de pratiques solides en matière de gestion des risques. | Un cadre de gestion des risques a été mis en œuvre au niveau de tous les principaux domaines fonctionnels de l'entreprise. Cependant, certains d'entre eux ont encore une marge de progression. Des mesures sont prises visant une amélioration continue. | Un cadre de gestion des risques a été mis en œuvre au niveau de tous les principaux domaines fonctionnels de l'entreprise, et on considère qu'ils en maîtrisent tous les aspects. |
Au fil du temps, les entreprises doivent s'efforcer d'améliorer leur critère de maturité. Elles ne doivent toutefois pas perdre de vue le fait que l'intégration d'un cadre véritablement efficace pour la gestion des risques prend du temps.
Si la mesure de la conformité et de la maturité de la politique de gestion des risques est essentielle, l'information clé dont la majeure partie des structures ne tient pas compte est la suivante : dans quelle mesure ce poste contribue-t-il à la réalisation des objectifs de l'entreprise ?
Ironiquement, les indicateurs actuellement mesurés par les entreprises pour connaître leurs performances peuvent tout à fait leur donner une idée de la réponse à cette question.
Si une société continue d'améliorer la maturité de son programme de gestion des risques au fil du temps, on constate que sa performance se retrouve également optimisée. Bien qu'il ne s'agisse en aucun cas d'une relation linéaire, l'amélioration de la maturité entraîne celle de la performance.
Les diagrammes suivants donnent un aperçu de ce à quoi peuvent ressembler des évaluations successives de la maturité (voyez la nette amélioration mise en relief par les indicateurs clés de performance) :
Mesure de la performance | Performance |
---|---|
Nombre d'incidents de sécurité (annuel) | 20 |
Rotation du personnel | 27% |
Satisfaction des clients | 73% |
Bénéfice après impôts | 4.50% |
Nombre d'incidents de conformité à signaler | 8 |
Amendes pour non-respect des règles de conformité | 850 000 $ |
Temps moyen requis pour pourvoir les postes vacants | 10 semaines |
Mesure de la performance | Performance |
---|---|
Nombre d'incidents de sécurité (annuel) | 12 |
Rotation du personnel | 19% |
Satisfaction des clients | 84% |
Bénéfice après impôts | 6.50% |
Nombre d'incidents de conformité à signaler | 4 |
Amendes pour non-respect des règles de conformité | 250 000 $ |
Temps moyen requis pour pourvoir les postes vacants | 6 semaines |
Mesure de la performance | Performance |
---|---|
Nombre d'incidents de sécurité (annuel) | 6 |
Rotation du personnel | 14% |
Satisfaction des clients | 92% |
Bénéfice après impôts | 9.77% |
Nombre d'incidents de conformité à signaler | 1 |
Amendes pour non-respect des règles de conformité | 50 000 $ |
Temps moyen requis pour pourvoir les postes vacants | 4 semaines |
Ce que ces diagrammes mon/images/default-source/gxp-lifeline/fr-de-global-blog-images/2021/february/ue l'entreprise évalue la maturité de sa politique de gestion des risques, elle doit également évaluer la mesure de ses performances.
Il faut cependant noter qu'il ne s'agit pas d'une science exacte, et qu'aucune relation directe ne peut être établie entre ces deux données. Cela montre simplement une nette corrélation entre une gestion des risques améliorée et de meilleures performances.
Mesurer les résultats d'une politique de gestion des risques n'est pas une science exacte ; on peut tout au mieux établir une corrélation.