Trois pièges courants que les entreprises rencontrent lorsqu'elles évaluent le coût total de leur risque
Les cygnes noirs sont des risques imprévus qui remettent en question la planification de la plupart des organisations, mais cela ne doit pas décourager les gestionnaires du risque de tenter de mieux comprendre comment les menaces potentielles peuvent affecter leur organisation et d'identifier des moyens efficaces de gérer ces situations.
Pour les entreprises qui planifient judicieusement et disposent d'un programme de gestion du risque capable de s'adapter à mesure que de nouveaux risques affectent l'organisation, les bénéfices peuvent être importants. Les organisations qui donnent la priorité à la mise en place de programmes de gestion du risque matures qui se déclenchent en temps de crise ont tendance à surpasser celles qui ne le font pas.
Une meilleure gestion du risque commence par la compréhension du coût total du risque d'une organisation, qui comprend le montant total des coûts de rétention du risque, les primes de transfert du risque et les coûts administratifs pour évaluer, atténuer et gérer tous les aspects du risque. Calculer le coût total du risque peut être un exercice difficile pour toute entreprise. Si vous pouvez éviter trois pièges courants, vous prendrez un bon départ.
Assurez-vous que votre programme de gestion du risque s'harmonise à la stratégie de l'entreprise
Quels sont vos cinq principaux risques en tant qu'organisation aujourd'hui? Maintenant, réfléchissez à cette liste et comparez les risques à vos objectifs stratégiques. Vos principaux risques correspondent-ils aux objectifs à long terme de votre organisation? Si ce n'est pas le cas, il est peut-être temps d'examiner plus largement comment votre programme de gestion du risque s'inscrit dans votre stratégie globale.
De nombreuses organisations considèrent la gestion du risque dans un silo distinct de la stratégie et, de ce fait, s'exposent à négliger des éléments essentiels de leurs activités et de leur écosystème opérationnel, comme la chaîne d'approvisionnement. La gestion du risque doit s'inscrire dans la stratégie globale de l'organisation. La manière dont le risque est identifié, hiérarchisé et quantifié est liée à l'impact que chaque risque peut avoir sur une organisation et sur les objectifs stratégiques globaux.
Relier la gestion du risque à la stratégie modifie l'orientation d'une organisation. Une pratique de gestion du risque centrée sur la stratégie globale de l'organisation abordera les possibilités et les défis de manière systématique. Elle examinera les risques les plus importants susceptibles d'avoir un impact sur les objectifs à long terme d'une organisation plutôt que de se concentrer sur des revers temporaires. Cette solide approche de la gestion du risque ne peut se faire sans une évaluation cohérente de l'appétit pour le risque d'une organisation dans le temps.
La gestion de la chaîne d'approvisionnement, par exemple, est souvent un élément négligé de l'évaluation du risque. De nombreuses organisations qui dépendent de fournisseurs mondiaux ont probablement été perturbées par la pandémie de COVID-19. En attendant, les entreprises qui ont élaboré des plans d'urgence pour s'approvisionner auprès de fournisseurs locaux en cas de ralentissement du commerce étaient moins susceptibles d'être affectées.
Évaluations du risque incohérentes dans toute l'organisation
Les organisations ne consacrent souvent pas le temps nécessaire à vraiment comprendre leur profil de risque et leur appétit pour le risque et, par conséquent, dépensent inefficacement les ressources consacrées à la protection de l'organisation. Les organisations devraient avoir un large contrôle sur l'ensemble des risques liés à leurs activités, ainsi que sur la manière dont ils sont traités.
Certains segments internes de plusieurs d'organisations ont une bonne maîtrise des processus de risque et de protection, mais cela peut ne pas se trouver dans d'autres segments de l'entreprise. Le fait de compartimenter la façon dont une organisation aborde la gestion du risque peut être préjudiciable.
Les évaluations régulières sont cruciales pour gérer l'ensemble du portefeuille de risques d'une organisation. Ces exercices peuvent aider les entreprises à comprendre quelles pratiques de gestion du risque sont efficaces et lesquelles pourraient être améliorées. L'évaluation doit être intégrée à l'exploitation quotidienne, de sorte que les gestionnaires et les cadres supérieurs puissent classer les menaces par ordre de priorité en fonction de l'appétit de l'organisation pour le risque, qui doit être fondé sur des objectifs stratégiques globaux.
Les entreprises peuvent avoir une meilleure connaissance de leurs activités en faisant en sorte que différentes parties de l'organisation utilisent la même évaluation. Par exemple, les gestionnaires du risque peuvent voir comment les fonctions juridiques, financières et opérationnelles approcheraient la même menace potentielle. La base de référence à l'échelle de l'organisation permet de voir plus facilement les domaines qui doivent être abordés.
Que vous adoptiez une approche descendante ou ascendante, l'objectif est d'utiliser les données d'évaluation provenant de diverses sources pour quantifier le coût total du risque d'une organisation. Avec ces données, vous pouvez créer un manuel de gestion du risque d'entreprise qui peut aider une organisation à atteindre les objectifs stratégiques qu'elle se fixe.
Rappelez-vous que les évaluations ne sont pas quelque chose à faire une fois pour toutes et à oublier. La nature évolutive du risque signifie que de solides programmes recueillent continuellement des données et améliorent leurs techniques d'atténuation du risque, ce qui peut aider à reconnaître les risques émergents avant qu'ils ne deviennent des menaces.
Planification de scénarios superficielle
Il est facile de dire qu'une crise n'aurait pas pu être évitée, mais dans de nombreux cas, un plan aurait pu être mis en place pour aider à aborder la situation. Pour évaluer avec précision le coût total du risque, il faut une approche approfondie et systématique de la planification des scénarios.
L'élaboration de scénarios doit permettre d'identifier, d'évaluer et de quantifier l'impact des pertes majeures, comme les dommages potentiels résultant de catastrophes naturelles, les violations de données et les responsabilités juridiques. Les scénarios devraient aider les organisations à examiner les politiques actuelles et à identifier les lacunes en matière de couverture.
Identifier les risques les plus menaçants et quantifier ces impacts financiers est la clé d'une planification de scénario solide. Les scénarios doivent utiliser les données sur les demandes d'indemnisation et les risques des assureurs pour évaluer comment les dommages environnementaux, une perte d'exploitation importante ou une cyberattaque peuvent générer des pertes pour l'organisation. La planification de scénarios devrait ensuite guider l'harmonisation des processus internes à la capacité financière, au moment de décider de prendre ou non des risques.
Poussez les professionnels du risque de toute votre organisation à aller au-delà des menaces évidentes et du passé récent. Par exemple, après la crise financière mondiale, de nombreuses organisations ont réévalué leur exposition au risque de crédit. Après la pandémie, les entreprises investiront dans des stratégies visant à apporter un soin particulier à leurs chaînes d'approvisionnement et à leurs pratiques de sécurité. L'élaboration d'une réaction à ces scénarios ne doit être que le début de votre planification.
Une meilleure planification des scénarios conduit à une meilleure prise de décision au niveau des unités fonctionnelles et des conseils d'administration. Des scénarios précis peuvent motiver les gestionnaires d'unités fonctionnelles à assumer davantage de responsabilités pour les risques individuels que ces scénarios présentent pour l'entreprise, puis aider ces gestionnaires à développer une vision stratégique de leur exploitation. La planification de scénarios permet également de limiter les coûts en faisant correspondre la couverture à l'exposition réelle d'une organisation au risque.
Les pièges courants peuvent être évités grâce à un cadre de gestion du risque qui s'inscrit dans la stratégie globale d'une organisation et qui comporte à la fois des évaluations fréquentes du risque et une planification plus réfléchie des scénarios.