POINT DE GESTION Les risques face auxquels les organisations peuvent se trouver sont de plus en plus nombreux et leurs impacts de plus en plus importants.
Les TI ne sont jamais très loin du sinistre, soit par une application servant d’outil, soit comme responsable, suite à une défaillance. Les organisations doivent donc assurer une gestion proactive des risques, et en réduire les effets.
La problématique
La notion de gestion des risques est un concept récent. Il a d’abord été adapté à la gestion des risques spécifiques : gestion des risques financiers, gestion des risques des TI. Puis, il est apparu dans la notion de gouvernance, avec la notion de gestion des risques corporatifs.
Les faits
Il est acquis qu’il n’y a plus de limite de taille aux organisations susceptibles de tomber sous le butoir répété de risques cumulatifs. Même des géants de la finance n’ont pas su se protéger et réagir efficacement, sans une méthode éprouvée de gestion des risques corporatifs. La gestion des risques a été propulsée avec vigueur et au premier plan par les faillites retentissantes aux États-Unis et l’apparition de la loi Sarbanes-Oxley.
L’évolution
Les TI ont la malchance de devoir confronter deux types de risques différents et cela à deux niveaux différents. Tout d’abord, les risques spécifiques aux TI, en tant que Direction, et dont les impacts sont départementaux. Ensuite, ce sont les risques dont les impacts sont corporatifs. Là, les TI peuvent être soit l’outil utilisé, comme lors de célébrissimes cas de fraudes et de malversations des salles de transactions (trading), soit la cause du problème, comme un arrêt de fonctionnement de l’organisation, pendant une journée, dû à une défaillance du système informatique. C’est seulement les risques de type corporatif qui seront traités dans ce propos.
Création de valeur
La création de valeur est une notion assez récente. Elle a été universalisée par le COSO (Committee of Sponsoring Organisations), principalement dans sa publication COSO-2 (Enterprise Risk Management). Pour le COSO, la notion de création de valeur est un élément fondamental. Le COSO considère que toutes les organisations, qu’elles soient publiques ou privées, ont toutes pour objectif initial de créer de la valeur. Par conséquent, la notion de valeur ne peut plus être limitée aux seuls éléments financiers. Ainsi, un ministère, qui diffuse des services aux citoyens, lorsqu’il met en place des normes, des procédures et des façons de faire qui le rendent plus efficace, tout en maintenant un coût de fonctionnement raisonnable et acceptable pour la société, crée alors de la valeur.
Toutes les activités doivent, à différents moments de leur réalisation, faire faces à de multiples menaces. Ces menaces constitueront des atteintes potentielles à la création de valeur de l’organisation. Ces atteintes se manifesteront par une suppression ou un ralentissement significatif de la création de valeur. Il s’agit là de risques potentiels qui gravitent autour de l’organisation, prêt à se transformer en sinistres. Aussi, lorsqu’une organisation entreprend de gérer ses risques corporatifs, elle va rechercher un soutien méthodologique. C’est généralement le référentiel COSO qu’elle utilise, en tout ou partie, comme elle le fait avec COBIT, pour sa gouvernance des TI, toute chose étant égale par ailleurs. Dans COSO, la notion de risques est appréhendée à partir de la notion d’incidents, plus large que la notion de menaces.
Facteurs de gestion des risques
Au sein de la publication de COSO-2 huit facteurs de base ont été identifiés comme critiques. Il s’agit de : l’identification des éléments contextuels, l’élaboration des objectifs stratégiques, la surveillance des incidents, la catégorisation des risques retenus, le traitement des risques, le contrôle, la communication, et le suivi. Ces huit éléments forment un ensemble lié dans le cadre de référence du COSO. Ce dispositif de gestion des risques est structuré de façon hiérarchique et interdépendante. Cette hiérarchie impose un ordre systématique de réalisation des activités, impératif dans la démarche de gestion des risques. Ainsi, au cours de la gestion des risques corporatifs, pour pouvoir réaliser l’identification des incidents, il est impératif d’avoir au préalable réalisé l’analyse des éléments contextuels puis d’avoir procédé à l’élaboration des objectifs stratégiques.
Éléments contextuels
Les éléments contextuels internes forment essentiellement le cadre de référence à partir duquel tous les autres éléments vont être mis en œuvre. Ils sont donc une composante de première importance. Ils sont définis d’une part par l’adoption et le goût des risques, que présentent les gestionnaires, ainsi qu’au travers des valeurs éthiques qui meuvent l’évolution de l’organisation. Le goût des risques présentés par les gestionnaires se définit comme le niveau maximal de risques auquel l’organisation acceptera de s’exposer afin de tenter d’atteindre ses objectifs stratégiques. Ces éléments contextuels internes conduisent généralement à l’établissement d’un plan corporatif de « gestion stratégique des risques » et d’un « code d’éthique » à l’usage des gestionnaires.
Objectifs stratégiques
Les objectifs stratégiques sont un élément charnière dans la gestion des risques corporatifs. Il est impératif que la haute direction ou le conseil d’administration de l’organisation aient procédé à l’élaboration des objectifs stratégiques à atteindre. Il est important de s’assurer que les objectifs stratégiques émis soient cohérents avec la mission de l’organisation. Qu’ils soient également conformes avec le niveau de risques maximal que les gestionnaires de l’organisation acceptent de lui faire prendre, pour atteindre les objectifs. Et enfin, que ce niveau de risques ne mette pas en danger la survie de l’organisation, advenant un sinistre. L’élaboration des objectifs et leur validation sont capitales dans le cheminement de la gestion des risques, car elles déterminent a priori l’espace et les valeurs des facteurs subséquents.
Incidents
Il s’agit d’identifier, de façon aussi précise et exhaustive que possible, les incidents potentiellement susceptibles de se produire, compte tenu du type d’activités de l’organisation et de ses objectifs stratégiques. Ces incidents potentiels peuvent rationnellement être de deux types. Les incidents négatifs qui présagent une menace pour l’organisation. Et les incidents positifs, qui représenteront, pour leur part, des opportunités organisationnelles. Les menaces, les incidents négatifs, sont en fait ceux qui s’inscriront en faux, dans l’atteinte des objectifs stratégiques par l’organisation. C’est la liste de ces menaces qui constituera la liste des risques que l’organisation devra gérer. A contrario, les incidents positifs, les opportunités, seront une aide appréciée par l’organisation pour atteindre ses objectifs.
Catégorisation des risques
La catégorisation formelle des risques permet, après identification des incidents, de déterminer individuellement le type d’objectifs qu’ils affectent : stratégiques, tactiques, opérationnels, de publication (reporting), de conformité, etc. Mais également de définir les impacts potentiels qu’ils auront et leurs probabilités de déclenchement.
Traitement
Le traitement a pour but de définir une contre-mesure appropriée à partir de l’évaluation qui a été faite d’un risque spécifique. Le traitement des risques intègre deux dimensions : les contre-mesures aux risques concernés, la réduction du niveau résiduel de danger des risques, à un seuil acceptable. La gestion des risques corporatifs dispose de plusieurs solutions possibles, pour procéder au traitement des risques. Cela va de l’évitement du risque, en passant par sa réduction significative, son partage, son acceptation telle quelle, jusqu’à son transfert à une tierce partie. Ces solutions doivent être évaluées tant au niveau des bénéfices apportés que des pertes subies, que ce soit en termes de coûts humains ou financiers pour l’organisation.
Contrôle
Les activités de contrôle sont destinées à garantir l’application pleine et effective des traitements retenus par les gestionnaires pour faire face aux risques inhérents. Ces contrôles sont définis par des politiques et des procédures précises et doivent être mis en place à tous les niveaux de l’organisation.
Communication
Dans la pratique de la gestion des risques, l’information qui circule dans l’organisation doit être en premier lieu identifiée, puis collectée et enfin communiquée, conformément aux responsabilités des participants concernés. C’est le système d’information corporatif qui doit être responsable de faire transiter les informations cruciales, de l’interne comme de l’externe, et de les délivrer efficacement et en toute sécurité. Le système d’information est responsable de fournir des moyens de communication sûrs et rapides entre les principaux acteurs impliqués.
Suivi
La procédure de gestion des risques est réalisée dans un contexte d’amélioration continue du système. Pour ce faire, le suivi s’appuie sur les résultats des évaluations des multiples éléments, par la réalisation de procédures de mesure, de contrôle et d’audit. Ces évaluations sont destinées à la détection des défaillances et des dysfonctionnements du système. Les informations émanant de ces actions doivent être immédiatement publiées (reporting) et remontées aux instances hiérarchiques supérieures concernées par la gestion des risques.
Conclusion
Le référentiel COSO-1 a connu un succès lors d’actions concertées de vérification et d’audit. COSO-2 s’adresse spécifiquement à la gestion des risques corporatifs. Son appropriation et sa mise en œuvre ne sont pas si compliquées. Aussi, nombre d’organisations, encore démunies sur le sujet, devraient envisager d’y recourir. D’autant qu’il s’agit d’un « quoi faire » et non pas d’un « comment faire », ce qui laisse aux organisations une latitude assez large dans l’adaptation et la mise en application, sans perdre les bienfaits méthodologiques apportés. Certes, parallèlement, il ne faudra pas négliger la gestion du changement.
Gérard Blanc est associé principal de GBA conseil, une firme conseil en gestion et en systèmes d’information.
