Management, NewLearn

Gestion des risques internes

Written by

Gestion des risques internes

La gestion des risques consiste pour un dirigeant à organiser son entreprise (ou son unité opérationnelle) afin de se préparer à toute éventualité et de prévenir tout incident. La gestion des risques est l’une des branches les plus complexes du management, car elle exige des dirigeants qu’ils soient capables d’évaluer les situations inconnues et de se préparer à toute éventualité. Il s’agit d’une technique permettant d’identifier, d’analyser et de reconnaître l’incertitude et les choix de gestion spéculatifs. En résumé, la gestion des risques intervient lorsqu’un spécialiste financier ou un gestionnaire de fonds analyse et tente de déterminer le potentiel de perte d’une situation donnée, puis prend les mesures appropriées pour minimiser ce risque.

Contrôles internes et externes

Les outils de gestion des risques se répartissent généralement entre les contrôles internes, qui visent à prévenir les problèmes internes à l’organisation, et les contrôles externes, qui visent à se préparer à faire face aux menaces et aux problèmes externes.

Contrôles internes

Les contrôles internes sont les procédures et processus mis en place au sein d’une organisation pour garantir le bon fonctionnement de l’entreprise et la réduction des erreurs. Ils incluent notamment l’élaboration de procédures opérationnelles normalisées (PON), l’assurance qualité (AQ) et l’audit. Ils incluent également des vérifications et des enquêtes visant à garantir le respect effectif de ces PON et processus d’AQ, et non pas seulement la non-utilisation de documents. La plupart des exemples présentés dans cet article porteront sur la gestion des risques internes.

Contrôles externes

Les contrôles externes visent à protéger une organisation contre les dommages causés par des facteurs extérieurs. Ils consistent notamment à évaluer la probabilité qu’un nouveau produit ne se vende pas, l’ampleur des dommages en cas d’accident et à s’assurer que l’organisation est correctement assurée en cas de catastrophe. Les contrôles externes incluent des aspects relativement mineurs, comme la sécurité des bâtiments (afin de garantir la protection des secrets industriels) grâce à la couverture des risques de change, afin de garantir que l’organisation ne subisse pas de dommages excessifs en cas de fluctuations des taux de change.

Nature du contrôle interne des risques

risk form

Le contrôle interne des risques est ce qu’un manager et une organisation mettent en place pour minimiser les risques internes. Ces contrôles se répartissent en quatre grandes catégories :

  1. Surveillance : Il s’agit de contrôles mis en place pour surveiller les opérations et identifier les problèmes avant qu’ils ne s’aggravent.
  2. Environnement de contrôle : Il s’agit d’organiser le lieu de travail afin de minimiser les risques. Cela peut aller de l’installation d’équipements de sécurité dans une usine à la mise en place de pare-feu par le service informatique pour se protéger des virus.
  3. Information et communication : Il s’agit de la mise en place de rapports réguliers et de canaux de communication entre les services, les employés et les responsables. Parfois, les employés et les responsables pensent avoir un problème « sous contrôle », mais il pourrait être sur le point de dégénérer en catastrophe ; une bonne communication et un reporting efficace permettent d’éviter que cela ne se produise.
  4. Évaluation des risques : Il s’agit de la méthode utilisée par une organisation pour évaluer le risque que chaque aspect des opérations représente pour l’ensemble.

L’évaluation des risques est la plus délicate, mais aussi la plus importante. Chaque organisation dispose de ressources limitées qu’elle doit répartir pour minimiser les risques dans leur ensemble, et ce processus d’évaluation permet de guider ces efforts. Parallèlement, chaque fois qu’une entreprise renforce les tâches de surveillance, de contrôle et de reporting de ses équipes, celles-ci consacrent davantage de temps à la gestion des risques et moins à la génération de revenus. Chaque nouveau contrôle interne mis en place doit être mis en balance avec le coût qu’il impose à l’équipe qu’elle tente de protéger.

Le contrôle interne des risques est appliqué à tous les niveaux hiérarchiques. Les managers les plus bas s’efforcent de minimiser les risques inhérents à leur équipe pour atteindre leurs objectifs, tandis que les niveaux supérieurs examinent les risques encourus par l’ensemble de l’organisation. Des contrôles efficaces s’exercent aussi bien de bas en haut que de haut en bas, en créant des canaux de communication directs avec les collaborateurs pour signaler tout manquement aux contrôles internes ou la nécessité de nouveaux contrôles pour faire face à de nouveaux risques.

Contrairement au contrôle des risques externes

Le contrôle des risques externes est plus libre, car les risques externes à une organisation ne sont pas aussi facilement quantifiables. Il commence généralement par une analyse SWOT (Forces, Faiblesses, Opportunités et Menaces) et se concentre sur la gestion des menaces identifiées. Le contrôle des risques externes est généralement assuré par les managers de haut niveau, qui donnent ensuite des directives aux niveaux hiérarchiques inférieurs pour gérer ces risques.

Alors que les contrôles internes sont mis en place pour assurer le bon fonctionnement de l’organisation, les contrôles des risques externes visent à gérer les menaces qui pèsent sur l’entreprise elle-même. Par exemple, les compagnies aériennes sont constamment exposées au risque de hausse du prix du pétrole, ce qui entraîne une forte hausse de leurs dépenses d’exploitation. L’un des principaux moyens de contrôle des risques externes qu’elles utilisent consiste à acheter des contrats à terme sur le pétrole, qui fixent un prix fixe pour plusieurs mois à venir, supprimant ainsi une partie de l’incertitude. Les contrôles des risques externes examinent tous les aspects, de l’évolution des prix des intrants à l’adoption de nouvelles lois et réglementations, en passant par tout ce qui se situe entre les deux.

Méthodes d’évaluation des risques

L’évaluation des risques ne repose sur aucune règle établie. Cependant, quelques règles générales sont à suivre. L’évaluation des risques se déroule en cinq étapes, garantissant une évaluation précise. Ces cinq étapes sont les suivantes :

Étape 1 : Détecter les dangers

Avant d’évaluer un risque, la première étape consiste à l’identifier précisément. L’objectif de cette première étape est de définir clairement et brièvement les problèmes potentiels et les dommages potentiels. Par exemple, les machines dangereuses sur un lieu de travail présentent un risque avéré de nuire aux travailleurs, ce qui entraîne une baisse de productivité et des poursuites judiciaires.

De nombreux dangers sont initialement très vagues, mais des contrôles efficaces ne peuvent être mis en place tant que les responsables n’ont pas identifié précisément ce qu’ils cherchent à contrôler. Les dangers peuvent être identifiés en utilisant diverses procédures, par exemple en se promenant sur le lieu de travail ou en interrogeant les travailleurs. Certains dangers peuvent être facilement identifiés, tandis que d’autres peuvent nécessiter l’intervention d’experts externes.

Étape 2 : Identification des parties prenantes

Cette étape s’appuie sur les dangers et les risques identifiés à l’étape 1. Un problème sur le lieu de travail implique différents niveaux de parties prenantes. Par exemple, dans le cas de machines dangereuses, les travailleurs risquant d’être blessés sont des parties prenantes évidentes. Parmi les autres parties prenantes, on peut citer les autres unités de l’entreprise qui subiront des retards en cas d’incident en amont de la chaîne de production. Cela aura également un impact sur les familles des personnes potentiellement blessées, ainsi que sur les actionnaires de l’entreprise, qui pourraient se retirer de leur investissement suite à la mauvaise presse suite à un accident.

Étape 3 : Évaluation des dangers et choix des mesures de contrôle

Évaluer les dangers revient à tenter d’attribuer une probabilité à la survenance du danger. Aucun danger ne peut être totalement éliminé, seulement minimisé. Cela signifie que les entreprises doivent d’abord identifier la probabilité qu’un problème survienne suite à ce danger et dans quelle mesure les mesures de contrôle potentielles réduiront cette possibilité.

Les contrôles potentiels sont évalués en comparant leur coût de mise en œuvre (en dollars et en temps/efforts nécessaires au personnel pour les appliquer) avec le niveau de réduction du risque réel. Après avoir comparé plusieurs alternatives, de nouveaux contrôles peuvent être mis en place.

Étape 4 : Enregistrer les résultats

Des contrôles efficaces sont mis en œuvre à titre expérimental. L’équipe suit alors une formation pour définir les dangers et les nouveaux contrôles mis en place pour les gérer. Au fil de l’expérimentation, toute l’équipe (des employés de base aux cadres concernés) enregistre l’impact de la mise en œuvre sur son travail, tant en termes de gestion des risques que de coûts réels.

Étape 5 : Réviser l’évaluation et actualiser

L’efficacité des contrôles des risques doit être continuellement évaluée et actualisée, et une communication adéquate doit être assurée à toutes les parties prenantes concernées. Cette tâche est généralement confiée à l’équipe de direction, avec un « évaluateur » spécifique chargé de réaliser une revue ou un audit du contrôle et de son évolution. Des modifications doivent être apportées à chaque type de contrôle au fil du temps pour tenir compte des nouveaux risques et des évolutions de l’environnement opérationnel.

Importance de l’audit du contrôle des risques

Les audits sont des examens plus approfondis des contrôles internes des risques mis en place par une entreprise. Ils sont distincts des procédures habituelles d’évaluation des risques, mais suivent une feuille de route similaire quant à leur déroulement.

Des audits réguliers des contrôles internes des risques sont essentiels au bon fonctionnement d’une organisation. Leurs deux principaux avantages sont de garantir la mise en œuvre des contrôles internes comme prévu, tout en offrant une vue d’ensemble des contrôles globaux de l’organisation. Cette vue d’ensemble permet d’identifier les redondances dans les contrôles internes et de rationaliser les processus, les rendant ainsi plus économiques, plus simples et plus efficaces.

Identification et évaluation des risques

Cette étape est identique aux étapes 1 à 3 de l’évaluation des risques classique, mais elle considère les opérations commerciales dans leur ensemble, plutôt que les unités individuelles. L’objectif est d’identifier les risques présents et les contrôles existants pour les gérer. En l’absence de contrôles adéquats, l’équipe d’audit formulera des recommandations aux parties prenantes concernées pour y remédier.

Amélioration de l’efficience et de l’efficacité des processus

Il s’agit d’harmoniser les contrôles internes des risques déjà mis en œuvre au sein d’une organisation. L’objectif principal de ces exercices est de faciliter le maintien de contrôles efficaces par les unités opérationnelles. Cela implique généralement de fusionner les procédures opérationnelles standard (SOP) des différentes unités opérationnelles, d’améliorer les canaux de communication et de recueillir davantage d’informations auprès des managers sur les types de contrôles qui leur prennent le plus de temps. Des audits de contrôle interne efficaces permettent aux collaborateurs de consacrer moins d’efforts à la conformité et davantage à la création de valeur pour l’entreprise, sans compromettre la protection contre les risques.

Quiz surprise