Accueil > Thèmes > Sécurité & risk management > Management des risques : comment mettre en place une organisation de gestion des risques ?

Gérôme Billois
Gérôme Billois | Manager
@gbillois

Management des risques : comment mettre en place une organisation de gestion des risques ?

Publié le 25 | 07 | 2012    Imprimer le contenu de la page Envoyer à un ami

Les précédents articles consacrés à la thématique de la gestion des risques nous ont permis de décrire un modèle d’organisation facilitant une gestion des risques intégrée : la « tour de contrôle ».  Dans ce dernier article, nous aborderons la question de sa mise en place,  que l’on peut découper en 4 étapes :  utilisation d’une échelle commune, définition d’un portefeuille de risques,  optimisation du travail avec les métiers et mise en commun des plans d’actions.

Étape 1 : utiliser une échelle commune, un pré-requis à la démarche

Disposer d’une échelle commune visant à mesurer les risques semble une évi­dence. Pourtant, il est rare que cette bonne pratique soit en place, ce qui complexifie la collaboration entre les filières. Cette lacune rend impossible une lecture d’ensemble des cartogra­phies des risques élaborées. C’est donc la pre­mière étape pour intégrer les filières ! La collecte des échelles en vigueur, leur analyse et la rencontre des porteurs des filières doivent permettre d’iden­tifier les points de dépendance clés.

Cette phase d’analyse passée, il s’agit ensuite de construire les échelles cibles, en trouvant un compromis entre les visions des différents acteurs. L’atteinte d’un consensus n’est pas toujours aisée, mais il est nécessaire de rester ferme sur l’utilisation d’une échelle commune pour permettre la suite de la démarche.

Étape 2 – Construire un portefeuille de risques : un référentiel de pilotage unique

La constitution d’un portefeuille de risques commence par l’analyse de l’existant : quels sont les objectifs de chacun ? Quels types de risques sont traités ? Cette première étape permet de structurer les types de risques gérés au sein de grands domaines constituant le portefeuille, dans une logique de « catalogue » de risques génériques.

Il convient ensuite d’identifier les zones de recouvrement. En effet, il est bien souvent impossible de posi­tionner un risque dans une seule et unique filière. Une fois ces recouvrements identifiés, il devient possible de formaliser les responsa­bilités sur ces risques pour éviter, dans le meilleur des cas, un travail redondant et dans le pire des cas des démarches contradictoires.

Étape 3 : transformer la relation avec les métiers

Les métiers souffrent des nombreuses sollicitations des filières risques qui créent une lassitude et leur rejet. La coordination et l’optimisation de la relation avec les métiers est donc un enjeu majeur, l’objectif étant de repositionner les filières risques en conseillers et non en demandeurs.

Plusieurs leviers d’optimisation sont à mettre en œuvre :

  •  Le travail sur les zones d’adhérence des risques doit être remis à profit pour anticiper les redondances et les contourner au tra­vers d’entretiens ou de questionnaires communs sur ces périmètres.
  • L’échange des informations collectées auprès des métiers doit permettre d’enrichir la réflexion de tous et de garantir une sollicitation efficace des métiers.
  • La mutualisation de la restitu­tion et du reporting doit permettre la mise en perspective des risques et les éventuels arbitrages lors de la valida­tion des risques.

Étape 4 : partager les plans d’actions

En intégrant la vision des risques, la définition des plans d’ac­tions est plus simple à optimiser. Les actions identifiées par chaque filière sont partagées, des synergies peu­vent être dégagées et les budgets mieux alloués sur l’ensemble du périmètre :

  • Les actions de réduction des risques sur les zones d’adhé­rence peuvent ainsi être défi­nies collégialement, chaque filière traitant d’une compo­sante du risque ;
  • Les actions redondantes, voire contradictoires, peuvent être identifiées et arbitrées.

Chaque filière dispose alors de sa feuille de route projet, dont elle porte la mise en œuvre et/ou le suivi selon les cas. Un suivi régu­lier et commun doit alors être mis en place, afin de mesurer l’évolution du niveau de risque en intégrant l’en­semble des composantes des plans de traitement.

La démarche de gestion des risques SI se doit donc d’être transverse : c’est seulement en avançant ensemble vers une organisation intégrée et en se dotant d’outils partagés que la maîtrise globale des risques pourra s’améliorer. La transformation des filières nécessitera une mise en œuvre progressive en s’appuyant sur les périmètres les plus mûrs pour amorcer la dynamique et ensuite étendre la démarche à d’autres domaines de risques. Comme tous les changements d’organisation associés, elle nécessitera un accompagnement par une conduite du changement.

Lire les précédents articles une gestion des risques SI au cœur de l’innovation et des métiers et casser les silos en articulant les filières de gestion de risques.

Pour en savoir plus, vous pouvez également consulter notre synthèse :  « Management des risques : plaidoyer pour une vision unifiée »

Tags : filière risque, Gestion des risques, Management des risques, portefeuille de risques, sécurité,

Partager

Viadeo Facebook LinkedIn Twitter delicious RSS Imprimer le contenu de la page Envoyer à un ami

Autres articles

Voir tous les articles