PwC 2020 Global Risk Study est une étude qui a été menée auprès d’un panel de dirigeants d’entreprises et membres de conseils d’administration, afin de mieux comprendre leurs enjeux et attentes en matière de gestion des risques, et en particulier à l’égard des fonctions qui en sont en charge.
Au cœurs de leurs préoccupations réside la nécessité d’une collaboration renforcée entre les fonctions ciblées, (Direction des risques, de la conformité, de l’audit interne, etc.) afin de bénéficier d’une vision globale des risques, et d’une meilleure compréhension des connexions entre ces dernières.
Découvrez dès à présent 3 actions clés pour faire évoluer les fonctions risques sur le chemin de la collaboration.
« Cette enquête est basée sur des entretiens menés fin 2019. Nous avons choisi d’en publier les enseignements car ils nous paraissent encore plus nécessaires à prendre en compte par les fonctions risques pour aider les entreprises à traverser cette crise. Coordonner les efforts en optimisant les moyens n’a jamais été aussi urgent. »
Jean-Pierre Hottin, Associé responsable des activités Gestion des risques, PwC France1. Collaborer au plus haut niveau
Les parties prenantes attendent un meilleur alignement des fonctions sur les risques prioritaires, leur hiérarchisation et sur les responsabilités de chacun.
L’étude révèle que différents aspects d’un même risque peuvent être portés par plusieurs directions ou comités, qu’ils soient exécutifs ou émanant des organes de gouvernance. Cela est particulièrement vrai lorsque l’on parle de risques transverses comme la cybersécurité ou la protection des données. Pour autant, les régulateurs et autres parties prenantes insistent de plus en plus sur l’importance d’une vision partagée des enjeux au sein de l’organisation, ainsi que sur la nécessité d’une définition claire des responsabilités dans des domaines tels que : la protection des données du public ou la résilience opérationnelle.
Cette situation est d’autant plus complexe lorsque les dirigeants reçoivent, pour les mêmes risques, des perspectives divergentes de la part de différentes fonctions risques, voire des perspectives qui ne sont pas toujours alignées, avec la stratégie de l’entreprise ou avec son appétence aux risques.
Les perspectives sur les risques peuvent être différentes entre les parties prenantes, mais il est nécessaire de faire évoluer la gouvernance des programmes de gestion des risques pour s’assurer que chacun a une bonne compréhension des risques et de ses propres responsabilités à leur égard.
La première étape est donc la mise en place d’une réelle collaboration entre les fonctions impliquées : les dirigeants et les organes de gouvernance ont un rôle majeur à jouer pour favoriser cette collaboration.
Au delà d'une vision partagée des risques, il est également nécessaire de définir les risques prioritaires et de communiquer clairement sur l'appétence aux risques.
Définir les risques prioritaires
Les parties prenantes et les fonctions risques doivent s'accorder sur les priorités. Le reporting consolidé permet d'obtenir une vision globale favorisant ces discussions et la prise de décision. Il s’agit du meilleur moyen pour prendre des décisions rapides, qui peuvent ainsi être communiquées formellement auprès de ceux qui portent et contribuent à la gestion des risques au sein de l'organisation.
Définir et communiquer clairement sur l’appétence aux risques
Toute organisation devrait s'assurer que l'appétence aux risques est définie, comprise par l'ensemble des équipes de management et sert de point d'appui à toute l'organisation pour effectuer les bons arbitrages lors des prises de décision. Une fois cette appétence aux risques déterminée, il appartient aux fonctions risques d'aider à mesurer l'écart avec la prise de risques et de recommander, lorsque nécessaire, les actions devant être prises. Cela peut être le cas, par exemple, lorsque se produisent des évènements ou des circonstances susceptibles d'accroître le niveau de risque au delà de l'appétence définie par l’organisation.
Découvrez les enjeux stratégiques des administrateurs et des dirigeants
2 - Construire des fondations communes
Passer de l’échange d’information à la collaboration requiert des fondations communes en évitant notamment, les approches en silo aussi bien sur les outils que sur l’utilisation des informations.
Il est difficile, voire impossible pour les fonctions risques d’être pleinement entendues et d’adopter une vision claire et exhaustive des risques. Cela s’illustre notamment lorsque chaque fonction dispose de sa propre méthode d’évaluation des risques, utilise ses propres outils digitaux, se base sur différentes sources de données, construit ses propres analyses et définit ses propres indicateurs. Pourtant cette situation se retrouve dans la plupart des organisations.
Chaque fonction utilise souvent ses propres données et technologies, sans réelle cohérence avec la stratégie digitale de l’organisation et celle des autres fonctions risques. Seule la moitié (51%) des organisations ayant répondu à notre enquête déclare aujourd’hui disposer des données adéquates pour la gestion de leurs risques.
Parmi les étapes nécessaires pour obtenir une meilleure compréhension des risques, partagée par tous, il est nécessaire de construire un langage et des éléments de mesure communs en matière de risque. Il également clé d'harmoniser les technologies par le recours à une plateforme unique et de s'intégrer dans la stratégie data de l’organisation.
S’intégrer dans la stratégie data de l’organisation
Nous faisons plus que jamais face à une abondance de données au sein de l'organisation mais également en dehors, grâce auxquelles il est possible d’obtenir des éclairages de plus en plus pertinents en matière de risques. Le temps de la collaboration est venu entre les fonctions risques, avec une vision partagée des données qui pourraient être mieux utilisées par toutes les lignes de défense. Pour cela, les fonctions risques devraient s'impliquer davantage dans les stratégies data de leur organisation et dans les développements associés afin de s’assurer que leurs besoins sont pris en compte. Cette priorité est notamment reconnue par les Chief Data Officer comme le montre notre étude « Rôles et défis du CDO 2020 ».
« Notre système d'information unique ainsi qu’un langage et un référentiel communs permettent une meilleure collaboration. Les équipes de la seconde ligne de défense s’appuient sur des technologies et l’audit interne utilise l'information qui en découle pour l'élaboration de son plan d’audit. Consolider nos données et visions sur la base de fondations communes nous est très utile pour faire le lien entre tous les signaux provenant de nos différentes activités. »
Tricia Bartylla, Vice President and Chief Audit Executive, Target Corporation3 - Améliorer l’efficacité de chacune des fonctions
Assurer une meilleure performance de chacune des fonctions permet de renforcer l’ensemble et d’éviter que des alertes liées aux risques soient ignorées ou passent inaperçues.
Les fonctions risques doivent s’appuyer sur leurs travaux respectifs pour éliminer les zones de risque insuffisamment couvertes et améliorer l’efficacité d’ensemble des dispositifs. Pour cela, il est nécessaire d’optimiser chaque fonction afin de consolider leur confiance mutuelle et celle des parties prenantes. L’optimisation et la confiance faciliteront des approches plus intégrées, qui en retour permettront d’accroître la couverture des risques et d’éviter les « trous dans la raquette » : moins de chevauchements entre les risques couverts pour plus d’efficience et d’éclairages utiles sur les risques aussi bien pour les parties prenantes que pour le Conseil d’Administration.
Pour améliorer la performance de chacune des fonctions, la digitalisation est l'automatisation sont une première étape. Il convient également d'attendre davantage des équipes, de leur donner les compétences nécessaires et de concentrer les efforts là où cela fait le plus de sens.
Digitaliser et automatiser
La qualité et l'accessibilité aux données progressent dans les entreprises, et les fonctions risques peuvent ainsi mieux s'appuyer sur ces informations, et envisager plus d'automatisation. Plusieurs fonctions risques dans cette enquête – même s’il ne s’agit pas de la majorité - s'appuient notamment sur la robotisation pour accéder aux données. Plus d'automatisation des tâches routinières devrait libérer du temps pour se focaliser sur des domaines plus complexes, et à plus forte valeur ajoutée. Cela devait également laisser plus de place pour la collaboration entre les différents acteurs de la gestion des risques.
Attendre davantage des équipes et leur donner les compétences nécessaires
Avec un accès plus large aux données et aux analyses, les équipes risques seront à même de regarder les risques différemment et d'exercer davantage leur esprit critique. Les équipes pourront être challengées pour penser différemment et développer de nouvelles perspectives. Pour de nombreuses fonctions, cela se traduira par des investissements dans la montée en compétence : non seulement sur des compétences techniques mais aussi sur des domaines liés aux "soft-skills" comme l'esprit critique.
Abonnez-vous à la newsletter Gestion des Risques !
Pour aller plus loin
Suivez-nous !
Contactez-nous
