Gestion des Risques Internes
La gestion des risques est lorsque un manager essaie d’organiser son entreprise (ou unité commerciale) pour se préparer en cas de problème et essayer de prévenir que quelque chose ne tourne mal. La gestion des risques est l’une des branches les plus compliquées de la gestion, car elle exige des managers qu’ils soient capables d’évaluer des situations inconnues et d’essayer d’être préparés à tout. C’est la technique de distinction, d’investigation et de reconnaissance des choix de gestion de l’incertitude et de la spéculation. Essentiellement, la gestion des risques se produit chaque fois qu’un spécialiste financier ou un gestionnaire de fonds analyse et essaie de déterminer le potentiel de perte dans une situation donnée, puis prend les mesures appropriées pour essayer de minimiser ce risque.
Contrôles Internes versus Externes
Les outils de gestion des risques sont généralement divisés entre les contrôles internes, c’est-à-dire les outils pour prévenir les problèmes venant de l’intérieur de l’organisation, et les contrôles externes, qui signifient se préparer à faire face à des menaces et des problèmes venant d’ailleurs.
Contrôles Internes
Les contrôles internes sont les procédures et processus en place dans une organisation pour s’assurer que tout fonctionne sans accroc et que les erreurs restent rares. Cela inclut des choses comme la création de procédures opérationnelles standard (SOP), l’assurance qualité (AQ) et l’audit. Cela inclut également des vérifications et des enquêtes pour s’assurer que ces SOP et processus AQ sont suivis correctement, et ne sont pas juste des documents inutilisés. La plupart des exemples dans cet article se concentreront sur la gestion des risques internes.
Contrôles Externes
Les contrôles externes sont en place pour protéger une organisation des dommages causés par une force extérieure. Cela inclut des choses comme évaluer la probabilité qu’un nouveau produit échoue à se vendre, combien de dommages seraient subis en cas d’accident, et s’assurer que l’organisation est correctement assurée en cas de catastrophes. Les contrôles externes incluent des choses relativement mineures comme la sécurité des bâtiments (pour s’assurer que les secrets industriels sont gardés en sécurité) jusqu’à la couverture des devises pour s’assurer que l’organisation n’est pas trop endommagée si les taux de change commencent à fluctuer.
Nature du Contrôle des Risques Internes
Le contrôle des risques internes est ce qu’un manager et une organisation mettent en place pour minimiser les risques venant de l’intérieur de l’organisation. Ces contrôles se répartissent en 4 grandes catégories :
- Surveillance : Ce sont des contrôles mis en place pour garder un œil sur les opérations et identifier les problèmes avant qu’ils ne s’aggravent.
- Environnement de Contrôle : Cela signifie organiser le lieu de travail pour minimiser le risque. Cela peut être n’importe quoi, d’une usine installant des équipements de sécurité à un département informatique mettant en place des pare-feu pour se protéger contre les virus.
- Information et Communication : C’est l’établissement de rapports réguliers et de canaux de communication entre départements, travailleurs et managers. Parfois, les travailleurs et les managers croient avoir un problème “sous contrôle”, mais cela pourrait être sur le point de se transformer en désastre – une bonne communication et des rapports aident à prévenir cela.
- Évaluation des Risques : C’est la méthode qu’une organisation utilise pour mettre un montant en dollars sur combien de risque chaque aspect des opérations ajoute au tout.
L’évaluation des risques est la plus délicate, mais aussi la plus importante. Chaque organisation a des ressources finies qu’elle doit répartir pour minimiser le risque dans son ensemble, et ce processus d’évaluation aide à guider ces efforts. En même temps, chaque fois qu’une entreprise ajoute plus de surveillance, de contrôles et de devoirs de reporting à son personnel, le personnel passe plus de temps à se concentrer sur la gestion des risques, et moins sur ce qui génère des revenus. Chaque fois qu’un nouveau contrôle interne est imposé, il doit être équilibré avec le coût qu’il impose à l’équipe qu’il essaie de protéger.
Le contrôle des risques internes se fait à tous les niveaux de la gestion. Les managers de niveau le plus bas essaient de minimiser les risques inhérents à leur équipe pour atteindre leurs objectifs, tandis que les niveaux supérieurs de la gestion examinent les risques à l’échelle de l’organisation dans son ensemble. Des contrôles efficaces sont également de bas en haut ainsi que de haut en bas, en ajoutant des voies de communication directes pour que les travailleurs de base puissent signaler chaque fois qu’ils estiment que les contrôles internes sont ignorés, ou si de nouveaux contrôles peuvent être nécessaires pour faire face à de nouveaux risques.
Contraste avec le Contrôle des Risques Externes
Le contrôle des risques externes est plus libre, car les risques venant de l’extérieur d’une organisation ne peuvent pas être quantifiés aussi facilement. Cela commence généralement par une analyse SWOT (Forces, Faiblesses, Opportunités et Menaces), et se concentre sur l’adressage des menaces identifiées. Le contrôle des risques externes est généralement abordé par les managers de niveau supérieur, qui émettent ensuite des directives aux niveaux inférieurs de la gestion pour traiter ces risques.
Tandis que les contrôles internes sont mis en place pour garantir que l’organisation continue de fonctionner sans accroc, les contrôles des risques externes essaient de faire face aux menaces pesant sur l’entreprise elle-même. Par exemple, les compagnies aériennes sont toujours à risque de voir le prix du pétrole augmenter, ce qui entraîne une énorme augmentation de leurs dépenses d’exploitation. Une forme majeure de contrôle des risques externes qu’elles exercent est l’achat de contrats à terme sur le pétrole, qui fixe un prix déterminé pour plusieurs mois à venir, éliminant ainsi une partie de l’incertitude. Les contrôles des risques externes essaient de prendre en compte tout, des variations des prix des intrants aux nouvelles lois et réglementations adoptées, et tout ce qui se trouve entre les deux.
Façons d’évaluer le risque
L’évaluation des risques n’a pas de directives établies sur la manière dont elle doit être effectuée. Cependant, il existe quelques règles générales qui sont suivies. Il y a cinq étapes à l’évaluation des risques qui peuvent être prises pour garantir que l’évaluation des risques est effectuée avec précision. Ces cinq étapes sont :
Étape 1 : Détection des dangers
Avant qu’un risque puisse être évalué, la première étape consiste à identifier ce qu’est exactement ce risque. L’objectif de l’étape 1 est d’avoir une définition claire et concise de ce que sont exactement les problèmes potentiels et quels types de dommages pourraient être causés. Par exemple, des machines dangereuses dans un lieu de travail présentent un risque défini de nuire aux travailleurs, ce qui entraîne à la fois une perte de productivité et des poursuites judiciaires.
De nombreux dangers sont initialement très vagues, mais des contrôles efficaces ne peuvent être mis en place tant que les responsables n’ont pas identifié ce qu’ils essaient exactement de contrôler. Les dangers peuvent être reconnus en utilisant diverses procédures variées, par exemple, en se promenant dans l’environnement de travail ou en interrogeant les travailleurs. Certains dangers peuvent être faciles à identifier et d’autres peuvent nécessiter de l’aide d’autres experts en dehors de l’entreprise.
Étape 2 : Identifier les parties prenantes
Cette étape s’appuie sur les dangers et les risques trouvés à l’étape un. Un problème sur le lieu de travail a plusieurs niveaux de parties prenantes. Par exemple, avec des machines dangereuses, les travailleurs à risque d’être blessés sont des parties prenantes évidentes. D’autres parties prenantes seraient les autres unités de cette entreprise qui seront retardées s’il y a un incident plus tôt dans la chaîne de production. Cela aura également un impact sur les familles de ceux qui pourraient être blessés, ainsi que sur les actionnaires de l’entreprise qui pourraient retirer leur investissement à la lumière de la mauvaise presse suite à une blessure.
Étape 3 : Évaluer les dangers et choisir des mesures de contrôle
Évaluer les dangers signifie essayer d’assigner une probabilité de la façon dont il est probable que le danger se produise. Aucun danger ne peut être complètement éliminé – seulement minimisé. Cela signifie que les entreprises identifient d’abord à quel point un problème est susceptible de surgir de ce danger, et dans quelle mesure les mesures de contrôle potentielles réduiront cette possibilité.
Les contrôles potentiels sont évalués en équilibrant leur coût de mise en œuvre (à la fois en valeur monétaire et en temps/effort du personnel nécessaire pour appliquer le contrôle) avec le risque réellement réduit. Une fois plusieurs alternatives comparées, de nouveaux contrôles peuvent être introduits.
Étape 4 : Enregistrer les résultats
Des contrôles efficaces sont mis en œuvre sur une base d’essai. Cela signifie que l’équipe a une session de formation pour définir quels sont les dangers et les nouveaux contrôles mis en œuvre pour y faire face. Pendant que l’essai progresse, toute l’équipe (des travailleurs de base à la direction impliquée) enregistre comment la mise en œuvre impacte leur travail, tant en termes de traitement réel des risques que des coûts réalisés de leur mise en œuvre.
Étape 5 : Réviser l’évaluation et actualiser
Les contrôles des risques doivent être continuellement révisés pour leur efficacité et actualisés, avec une communication correspondante à toutes les parties prenantes impliquées. Cela est généralement fait par l’équipe de direction, avec un “Évaluateur” spécifique chargé de mener une révision ou un audit du contrôle et de son évolution au fil du temps. Des changements doivent être mis en œuvre pour chaque type de contrôle au fil du temps afin de faire face à de nouveaux risques et à des environnements commerciaux changeants.
Importance de l’audit du contrôle des risques
Les audits sont des examens plus larges des contrôles internes des risques qu’une entreprise a mis en œuvre. Les audits sont distincts des procédures normales d’évaluation des risques, mais suivent une feuille de route similaire pour leur réalisation.
Des audits réguliers des contrôles internes des risques sont essentiels pour maintenir une organisation en bon état de fonctionnement. Leurs deux principaux avantages sont de s’assurer que les contrôles internes sont mis en œuvre comme prévu, tout en obtenant une “vue d’ensemble” des contrôles globaux dans une organisation. Cette vue d’ensemble peut aider à identifier les redondances avec les contrôles internes et à rationaliser les processus, les rendant moins chers, plus faciles et plus efficaces.
Identification et évaluation des risques
C’est la même chose que l’Étape 1 à l’Étape 3 dans l’évaluation normale des risques, mais cela examine les opérations commerciales dans leur ensemble, plutôt que des unités commerciales individuelles. L’objectif est d’identifier quels risques sont présents et quels contrôles existent déjà pour y faire face. Si des contrôles adéquats ne sont pas présents, l’équipe d’audit fera des recommandations aux parties prenantes concernées pour y remédier.
Efficacité et efficacité des processus améliorés
C’est le processus qui consiste à essayer d’harmoniser les contrôles internes des risques déjà mis en œuvre dans une organisation. L’objectif principal de ces exercices est d’essayer de faciliter la tâche des unités commerciales pour maintenir des contrôles efficaces. Cela signifie généralement fusionner les SOP de différentes unités commerciales, améliorer les canaux de communication et obtenir plus d’input des responsables sur les types de contrôles qui prennent le plus de leur temps. Des audits de contrôle interne efficaces signifient que les travailleurs doivent consacrer moins d’efforts à la conformité et plus d’efforts à créer de la valeur pour l’entreprise, sans sacrifier la protection contre les risques.