Stratégie risk management et objectifs (Pr Jean-Paul Louisot)

« Etre stratégique, c'est se concentrer sur ce qui est important, sur les quelques objectifs qui peuvent nous donner un avantage comparatif, sur ce qui est important pour nous plutôt que pour les autres et planifier et exécuter le plan qui en résulte avec détermination et constance. » (Richard Koch)

Trop de programmes de gouvernance, de gestion des risques et de conformité (GRC) sont fondamentalement dépassés. Au lieu de commencer par les objectifs, ils se concentrent sur des listes de vérification de la conformité ou des registres de risque, reléguant souvent les objectifs à une réflexion ultérieure (balises pour un risque) — s'ils sont pris en compte. Ce que beaucoup d'organisations pratiquent n'est pas vraiment GRC mais plutôt CRG (Conformité, Risque et Gouvernance à l'envers), ou pire, juste CR (Conformité et Risque) ou même tout simplement C (Conformité).

Ce n'est pas ce que le GRC était censé être. La définition officielle de GRC, telle qu'elle se trouve dans le modèle de capacité du GCGO en matière de GRC, est : « La GRC est une capacité d'atteindre de façon fiable les objectifs (gouvernance), de gérer l'incertitude (gestion du risque) et d'agir avec intégrité (conformité) ».

Cette définition souligne l'ordre correct des opérations dans un programme de GRC – les objectifs viennent en premier. La vraie GRC consiste à s'assurer qu'un organisme fixe et atteint ses objectifs de manière fiable. Le risque et la conformité sont importants, mais ils servent principalement à permettre à un organisme d'atteindre ses objectifs tout en gérant l'incertitude et en maintenant l'intégrité.

On rappelle que la norme ISO 31000 :2018 définit le risque comme l'effet de l'incertitude sur les objectifs. Cela signifie que sans une compréhension claire des objectifs, la gestion du risque n'a pas de sens. Les objectifs définissent ce que l'organisation essaie d'atteindre, et les risques sont des incertitudes qui pourraient avoir une incidence sur ces objectifs.

Les objectifs existent à plusieurs niveaux au sein d'un organisme :
-Objectifs au niveau de l'entité – Objectifs stratégiques et organisationnels globaux
-Objectifs divisionnaires et ministériels – Objectifs propres aux unités d'affaires et aux équipes
-Objectifs de processus et de projet – Performance et objectifs opérationnels dans les flux de travail
-Objectifs liés aux actifs et aux tiers – Attentes et indicateurs de rendement pour les ressources et les partenaires externes

La gouvernance consiste à fixer les bons objectifs et à s'assurer qu'ils sont atteints de façon fiable. Cela signifie que la gouvernance ne concerne pas seulement la surveillance, mais aussi le rendement. Des structures de gouvernance efficaces définissent et suivent les objectifs, en veillant à ce que les risques soient gérés d'une manière qui permet à l'organisation d'atteindre ses objectifs.

La grande différence entre l'Europe et les États-Unis dans les approches de gestion des risques met en évidence ce problème :
-Europe – La gestion des risques est étroitement alignée sur la norme ISO 31000 et se concentre sur les objectifs de l'entreprise.
-Etats Unis – La gestion des risques tend à être davantage axée sur la conformité, souvent réduite aux listes de contrôle principalement pour la conformité SOX.
En Europe, les cadres de conformité sont davantage fondés sur des principes et axés sur les résultats, ce qui oblige les organisations à démontrer comment elles atteignent leurs objectifs de conformité. En revanche, le paysage de la conformité aux États-Unis est souvent normatif, avec une forte dépendance sur les cases à cocher plutôt que d'atteindre des résultats commerciaux significatifs.

Sans imputer la faute à un président américain, force est de prendre en compte cette différence d'approche entre l'Europe et les États-Unis ; il y a une orientation et un message différents. C'est pour cela que de nombreux fournisseurs de solutions américaines échouent dans leur marketing en Europe.

Les initiatives environnementales, sociales et de gouvernance (ESG) sont un autre exemple de la façon dont les objectifs devraient guider la GRC. Les facteurs ESG consistent essentiellement à établir et à atteindre des objectifs de développement durable et d'éthique commerciale. Les risques et les exigences de conformité découlent de ces objectifs, et non l'inverse. Un organisme a pour objectif d'être neutre en carbone à une certaine date, d'éliminer les SPFA (produits chimiques pour toujours) de ses produits ou d'avoir une tolérance zéro pour l'esclavage moderne. Ce sont des objectifs. Les organismes qui commencent avec les risques ESG sans définir d'objectifs clairs ne comprennent pas la problématique.

La grande majorité des programmes de GRC au sein des organismes et de la technologie de GRC qui les appuie ne sont pas conformes à cette définition. Ils commencent par des registres de risques, des contrôles ou des exigences de conformité, laissant les objectifs comme une éventuelle considération secondaire. Cette …

Cliquez ICI pour lire la suite dans le numéro 831 du magazine RiskAssur-hebdo