Pourquoi l’appétit pour le risque est-il important?

Written by Manu Steens in Gestion des risques 
L’appétit pour le risque d’un individu ou d’un groupe est la tendance de cet individu ou de ce groupe à prendre des risques dans chaque situation. C’est important car travailler vers le risque zéro est une utopie. Moins vous prenez de risques, plus les mesures sont coûteuses pour y parvenir. À l’inverse, si le risque résiduel que vous prenez est trop important, il est dangereux pour l’organisation, le projet, le processus ou le service fourni par votre organisation. Donc, l’optimum se situe quelque part entre les deux.Auteur : Manu Steens   Dans cet article, je donne ma propre opinion, pas celle d’une organisation.

L’appétit pour le risque, un chiffre obligatoire ?

Une affirmation qui peut sembler audacieuse est que vous ne pouvez pas faire de la gestion des risques sans avoir une bonne détermination de votre appétit pour le risque et sans connaître la capacité de risque de votre organisation ou de votre unité d’affaires.

La capacité de risque est la capacité d’une organisation à supporter des risques, quantifiés en fonction de ses objectifs.

(Ces définitions viennent de « A short guide to risk appetite » de David Hillson et Ruth Murray-Webster)

Pourquoi l’appétit pour le risque et la capacité sont-ils importants ?

Permettez-moi d’abord d’expliquer pourquoi ces concepts sont nécessaires dans la gestion des risques.

Le raisonnement est simple : si vous ne connaissez pas les limites de votre gestion des risques et que vous ne les déterminez pas de manière responsable, vous ne pouvez pas faire de la gestion des risques de manière significative. Dans ce cas, la gestion des risques reste un tigre de papier, qui peut être coché en termes d’audit, mais qui n’a aucun pouvoir d’expression lorsque des problèmes surviennent.

Le principal risque de l’incapacité de la direction à prendre au sérieux l’appétit pour le risque et la capacité de risque, si tant est qu’elle mette un chiffre sur ces termes, est que lorsqu’un risque se matérialise, les dommages sont plus importants que l’appétit pour le risque et peut-être aussi la capacité réelle de risque. Cela peut entraîner des problèmes financiers pour l’organisation. Sa réputation est alors entachée et elle est reconnue comme une organisation qui ne parvient pas à se préparer à l’adversité. Cependant, sur le papier, cela semblait bien. Mais l’exercice sur papier s’est avéré insuffisant et, en plus d’une coche d’audit, a nécessité une ergothérapie coûteuse.

Cela signifie que la gestion des risques peut être très inefficace si l’on ne définit pas de manière responsable l’appétit pour le risque et la capacité à prendre des risques.

Qu’est-ce que cela signifie si la direction refuse de déterminer l’appétit pour le risque et la capacité à prendre des risques ?

Cela signifie que si le top management ne remplit pas ces définitions, il considère que la gestion des risques n’a pas d’importance. C’est pourquoi elle considère probablement que la mise en œuvre de l’ensemble du travail de résilience, qui comprend également la GCA et la gestion de crise, n’a pas d’importance. Cela signifie que la livraison de produits et de services de haute qualité au client est considérée par la direction comme sans importance. On attend de la direction qu’elle ait une très bonne idée des intérêts, des souhaits et des besoins des clients. (Il détermine donc également la mission, la vision et les objectifs stratégiques.) Par conséquent, cela signifie que la direction croit savoir que le client ne considère pas ces services et produits comme importants. Cela soulève automatiquement la question de savoir si l’organisation est importante et si elle a le droit d’exister.

Une réponse possible à ce raisonnement pourrait être que la direction n’était pas au courant de cela. J’aurais cru cette réponse il y a 30 ans. Mais compte tenu des circonstances risquées dans un monde de plus en plus VUCA dont on parle de plus en plus dans les médias, ce n’est plus un argument suffisant.

Quelles mesures prenez-vous en ce qui concerne l’appétit pour le risque et la capacité de risque ?

Tout d’abord, vous déterminez certaines choses.

  • Vous déterminez la capacité de risque maximale de l’organisation ou par unité commerciale.
  • Ensuite, vous déterminez l’appétit pour le risque par projet, processus et service.
  • Il s’agit de savoir si la somme de tous les appétits pour le risque reste dans la limite de la capacité maximale de risque, ou si l’on peut s’assurer que c’est le cas.

Déterminer la capacité de risque.

Il n’est pas toujours facile de déterminer la capacité de risque. Une grande institution financière ou une entreprise pétrochimique n’a pas les mêmes options qu’une PME plus petite dont le capital financier et humain est limité.

Une possibilité est de mettre en place une captive. Ce faisant, l’organisation construit en partie sa propre assurance.

Une autre possibilité est que les objectifs soient fixés chaque année et régulièrement révisés pour décider quels projets, processus et services sont « must haves » et lesquels sont « nice to haves ». Au sein des projets, il est également possible d’examiner quels livrables sont des « must haves » et lesquels sont « nice to haves ». Les ressources destinées à ces « must haves » feront partie de la capacité de gestion des risques. Si un risque survient sur un projet ou à un autre niveau, l’organisation peut se cannibaliser sur les « nice-to-haves » au profit des « must-haves ». Cela signifie, entre autres, que les projets qui sont « nice to haves » devraient pouvoir être reportés après les projets qui sont « must haves ». Donc, commencent relativement plus tard dans l’année. Et c’est un travail pour le top management, qui doit alors prendre des décisions difficiles.

Déterminez l’appétit pour le risque.

Tous les projets, processus et services comportent des risques. À cette fin, il existe des techniques de gestion des risques qui permettent d’identifier, d’analyser, d’évaluer, de proposer des mesures, de déterminer le risque résiduel, etc. L’impact (financier) de ces risques résiduels détermine l’indicateur (financier) de l’appétit pour le risque de ces projets, processus et services. Cette évaluation est contenue dans des indicateurs de risque, dont la somme ne peut excéder la capacité de risque. Cet impact sur le risque doit être fourni par le chef de projet / le maître d’ouvrage au top management, qui doit le porter sous un regard critique. En collaboration avec le CRO et, si nécessaire, le chef de projet et le responsable du processus, la direction discute de la manière dont le risque total de l’unité commerciale ou de l’organisation peut rester dans les limites de la capacité de risque.

Aligner l’appétit pour le risque sur la capacité à prendre des risques.

Si l’appétit pour le risque dépasse la capacité de risque, des mesures de risque supplémentaires doivent être prises, ou des processus et des projets ou des services doivent être réduits. Peut-être que les « incontournables » peuvent être revisités, ou qu’ils peuvent devenir des « nice to haves ». Peut-être pourront-ils être reportés à une date ultérieure afin que les budgets puissent être débloqués au cours de l’exercice en cours.

Conclusion

Si nous renversons le raisonnement ci-dessus, l’idée que les besoins du client sont importants est une raison suffisante pour s’engager dans la gestion des risques et pour déterminer l’appétit pour le risque et la capacité de la direction à prendre des risques.

Notez que ces concepts ne sont pas entièrement élaborés dans la plupart des normes et standards si tant est qu’ils les mentionnent du tout.

C’est en partie pour cette raison que cette mission a longtemps été une terra incognita pour le CRO et les chefs de projet, les responsables de processus et le top management. Ces dernières années, ces concepts ont pris de l’ampleur, mais sans beaucoup de conseils sur la façon de procéder. On peut donc toujours savoir qu’il s’agit d’aspects importants de la gestion des risques. Mais cela reste un défi à mettre en œuvre.

Dans ce blog, j’ai suggéré quelques idées pour créer une capacité de risque, et l’exigence que la somme de tous les appétits pour le risque devrait rester à l’intérieur de celle-ci.

Question au lecteur

J’aimerais avoir une meilleure idée des organisations dans lesquelles l’appétit pour le risque est appliqué et de la manière dont vous procédez. Pouvez-vous répondre à cela dans les commentaires ci-dessous ?

Manu Steens

Manu travaille au sein du Gouvernement flamand dans la gestion des risques et la gestion de la continuité des activités. Sur ce site Web, il partage ses propres opinions sur ces domaines et sur des domaines connexes. Depuis 2012, il travaille au Centre de crise du Gouvernement flamand (CCVO), où il a progressé en BCM, gestion des risques et gestion de crise. Depuis août 2021, il est travailleur du savoir pour le CCVO. Depuis janvier 2024, il travaille au Département de la Chancellerie et des Affaires étrangères du Gouvernement flamand. Il combine ici BCM, gestion des risques et gestion de crise pour créer une forme de gestion de la résilience sur mesure répondant aux besoins du gouvernement flamand.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts