La gestion des risques

La gestion des risques est devenue un sujet crucial au cours des dernières années, qui devrait être à l’ordre du jour de toutes les organisations. Cependant, une majorité des organisations n’y est pas sensible ou bien n’a pas encore osé y toucher. Pour nombre d’autres, il s’agit toujours d’une grande « nébuleuse ». Pourtant, les impacts organisationnels des risques sont de plus en plus importants. La survie même des organisations est parfois menacée.

La problématique

Si la notion de risque est ancienne, celle de la gestion des risques est un concept récent qui a d’abord été accolé à des thèmes spécifiques, notamment du côté de la finance et des T.I. Puis, est apparue la notion globale de gouvernance, qui a introduit de façon conceptuelle la gestion des risques organisationnels. Comme tout nouveau concept, il faut un temps de latence suffisant avant qu’il ne soit compris dans son ensemble et que des outils méthodologiques efficaces soient disponibles.

Les faits

Maintenant, il est mondialement acquis qu’il n’y a plus de limite de taille aux organisations susceptibles de tomber sous le butoir des risques organisationnels. Même des géants de la finance n’ont pas pu se protéger de la crise qui a éclaté à la fin de 2008. Il a fallu attendre les retentissantes faillites aux États-Unis, les contraintes de l’incontournable conformité à la loi Sarbanes-Oxley et l’introduction des IFRS (International Financial Reporting Standards) pour voir la gestion des risques organisationnels être propulsée en avant, avec vigueur, pour les plus grandes entreprises.

L’évolution

Les T.I., par leur position stratégique, se voient confrontées simultanément à deux types de risques différents et à deux niveaux organisationnels. En premier lieu, les risques spécifiques aux T.I. dont les impacts sont départementaux. En second lieu, les risques dont les impacts sont organisationnels. Dans ce second cas, les T.I. peuvent être un outil utilisé comme levier au déclenchement d’un sinistre ou être la cause même du problème, par un dysfonctionnement.

Plateforme organisationnelle Toutes les organisations, publiques ou privées, ont pour objectif initial de créer de la valeur. C’est leur plateforme organisationnelle. Ainsi, pour un organisme public qui diffuse des services aux citoyens, une rationalisation des activités par la mise en place de nouveaux procédés tout en maintenant un coût de fonctionnement acceptable crée de la valeur. Par conséquent, la notion de valeur ne peut plus être limitée aux seuls éléments financiers. D’ailleurs, le COSO ( Committee of Sponsoring Organisations ) reprendra ce concept dans les publications et l’élèvera au rang des bonnes pratiques.

Toutes les activités doivent faire face, à divers moments, à différents risques potentiels. Ces risques constituent des atteintes à la création de valeur de l’organisation. Aussi, lorsqu’une organisation entreprend de gérer ses risques, afin de préserver sa création de valeur, elle devrait requérir un soutien méthodologique.

Facteurs critiques de la gestion des risques En y regardant bien, la plupart des approches de la gestion des risques présentent les mêmes étapes ou facteurs critiques. De façon générique, on retrouve globalement les facteurs critiques suivant : les éléments contextuels, les objectifs stratégiques, les incidents, la catégorisation des risques, le traitement des risques, le contrôle, la communication, et le suivi. Ces huit éléments forment un ensemble indissociable.

Géographie de l’environnement contextuel L’environnement contextuel interne forme essentiellement le cadre de référence à partir duquel tous les autres éléments vont être mis en œuvre. Il est une composante de première importance. Il s’agit d’une part du niveau maximal de risques acceptable pour les gestionnaires, dans l’atteinte des objectifs stratégiques, et de l’ensemble des valeurs éthiques qui meuvent l’évolution de l’organisation. Ces éléments contextuels internes conduisent donc à l’établissement d’un plan organisationnel de « gestion stratégique des risques » et d’un « code d’éthique » à l’usage des gestionnaires.

Élaboration des objectifs stratégiques La détermination des objectifs stratégiques est un élément charnière dans la gestion des risques organisationnels. Il est impératif que la haute direction et le conseil d’administration de l’organisation aient procédé à l’élaboration des objectifs stratégiques à atteindre. À ce stade, il est important de s’assurer que les objectifs stratégiques soient cohérents avec la mission de l’organisation et qu’ils soient conformes au niveau maximal de risque acceptable et ne mettent pas en danger la survie de l’organisation advenant un sinistre. Les objectifs sont cruciaux dans la gestion des risques, car ils sont à la base de la détermination de tous les autres facteurs.

Cartographie des risques Il s’agit d’identifier, de façon aussi active que possible, les incidents potentiellement susceptibles de se produire, compte tenu du type d’activités de l’organisation et de ses objectifs stratégiques. Ces incidents potentiels sont de deux types : les incidents négatifs qui présagent une menace pour l’organisation, et les incidents positifs qui représenteront des opportunités.

Catégorisation et évaluation des risques La catégorisation formelle et l’évaluation précise des risques permettent, après l’identification des éléments déclencheurs, de déterminer le type d’objectifs qu’ils affectent (stratégiques, tactiques, opérationnels, etc.) mais également, de définir leurs impacts potentiels et leurs probabilités de déclenchement.

Traitement des risques Cette activité a pour but d’appliquer une contre-mesure appropriée, à partir de l’évaluation qui a été faite d’un risque spécifique. Le traitement des risques intègre deux aspects : les contre-mesures aux risques concernés, et la réduction du niveau résiduel de danger à un seuil acceptable. La gestion des risques organisationnels pourra déployer diverses solutions possibles pour procéder au traitement approprié.

Activités de contrôle Les activités de contrôle ont pour but de garantir l’application pleine et effective des actions retenues par les gestionnaires pour faire face aux risques inhérents. Ces contrôles doivent être définis par des politiques et s’appuyer sur des procédures précises. Ils doivent être mis en place à tous les niveaux de l’organisation.

Canaux de communication Dans la gestion des risques, la communication est un élément crucial. L’information qui la concerne doit être identifiée et transmise aux intervenants concernés. C’est le système d’information organisationnel qui doit être responsable des communications, de l’interne comme de l’externe.

Procédure de suivi Le processus de gestion des risques doit se réaliser dans un contexte d’amélioration continue. Pour ce faire, le suivi doit appuyer les évaluations des divers éléments, au moyen de diverses procédures. Ces évaluations servent à la détection des défaillances et des dysfonctionnements du système. Les informations ainsi collectées doivent être immédiatement remontées jusqu’aux niveaux hiérarchiques les plus élevés concernés par la gestion des risques.

La conclusion

Étant donné que les T.I. ne sont jamais bien loin des sinistres organisationnels, elles y sont largement impliquées. Comme les impacts des divers risques sont devenus de plus en plus organisationnels, l’utilisation d’un référentiel est assurément une bonne pratique en la matière et les recommandations du COSO ne sont pas si inaccessibles.

Aussi, nombre d’organisations, encore démunies sur le sujet, devraient envisager d’y recourir. Face à ces risques devenus organisationnels, la haute direction, le conseil d’administration ou le patron de la PME doivent s’assurer d’une saine gouvernance et d’une gestion proactive des risques, afin d’en réduire les effets.

Gérard Blanc est associé principal d’une firme conseil en gestion et en systèmes d’information.

Gérard Blanc
Gérard Blanc
Gérard Blanc est directeur conseil.

Articles connexes

Adoption du projet de loi no 38 sur la cybersécurité et la transformation numérique de l’administration publique

Le projet de loi no 38, connu sous le nom de Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives, a été adopté plus tôt cette semaine par l'Assemblée nationale.

Investissements majeurs de 500 M$US de Microsoft au Québec

Au cours des deux prochaines années, Microsoft investira 500 millions de dollars américains dans l'expansion de son infrastructure infonuagique et d'intelligence artificielle à grande échelle au Québec.

Balado Hashtag Tendances, 23 novembre 2023 — Crise chez OpenAI, des puces Microsoft et investissements majeurs au Québec pour Microsoft

Cette semaine : Grave crise à la tête d’OpenAI, Microsoft conçoit ses propres processeurs et investissements de 500 M$ de Microsoft au Québec.

Consultation publique sur la cybersécurité

Le ministère de la Cybersécurité et du Numérique lance cette semaine une consultation publique sur la cybersécurité. Celle-ci permettra au gouvernement du Québec de solliciter un grand nombre d'intervenants ainsi que la population générale sur les enjeux et les besoins en cybersécurité.

Plus de six PME québécoises sur dix touchées par la cybercriminalité au cours de la dernière année

Un nouveau sondage mené par KPMG au Canada le mois dernier révèle que plus de six PME sur dix au Québec ont été attaquées par des cybercriminels au cours de la dernière année, et près des trois quarts d'entre elles affirment que leurs anciens systèmes d'information et de technologie opérationnelle les rendent vulnérables aux attaques.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.