Le management des risques : plaidoyer pour une vision unifiée

Gratuit
Recevez toutes nos informations et actualités par Email.
Entrez votre adresse email :

vendredi 1 juin 2012

La gestion des risques est l’un des piliers de la gouvernance du système d’information. Pourtant, les DSI ne l’ont toujours pas intégrée dans leurs pratiques courantes de pilotage. À l’ère d’une DSI au service de la stratégie de l’entreprise, elle est un processus clé à mettre en œuvre. Mais que recouvre-t-elle ? Comment l’articuler avec les filières organisationnelles existantes et comment la mettre en place ? Autant de questions auxquelles la nouvelle Synthèse du cabinet de conseil en management et systèmes d’information Solucom se propose de répondre.

L’évolution de la perception du risque

La perception du risque dans la société a changé. Nous vivons dans un monde paradoxalement moins dangereux mais plus risqué, sous-tendu par une utopie née au 20ème siècle, celle du « risque zéro ». Aujourd’hui, notre capacité à identifier les risques croît beaucoup plus vite que notre capacité à les gérer créant ainsi un décalage évidemment anxiogène.

Plus généralement les experts ont tendance à se focaliser sur le risque qu’ils ont à gérer et se rendent moins compte que les individus exposés à ce risque peuvent avoir d’autres contraintes voire aussi d’autres risques.

Une gestion des risques à mettre au service des métiers et de l’innovation

L’entreprise évolue dans un environnement de risques très différents qui touchent sa stratégie, son business, son SI. Ces menaces sont dues à l’écosystème ou liées aux mutations de l’entreprise : exigences croissantes des clients, partenaires et utilisateurs, durcissement de la réglementation, fusions et/ou restructurations, prise de conscience des risques technologiques et environnementaux…

Les démarches de gestion de risques pour parer à ces menaces sont malheureusement perçues le plus souvent comme des contraintes, bridant les métiers créateurs d’initiatives et de valeur. Un difficile exercice d’équilibre doit pourtant être trouvé entre pertes et gains potentiels de la prise de risque, une gestion des risques efficace devant apporter une aide à la décision et une réponse assumée et proportionnée aux menaces. Une collaboration avec les Directions métiers est ainsi nécessaire, elles seules peuvent évaluer les impacts sur leurs activités.

Formaliser les objectifs de l’entreprise pour identifier les risques et leurs porteurs

Pour identifier, évaluer et gérer les risques, l’entreprise doit formaliser ses objectifs afin d’anticiper les menaces et d’empêcher leur concrétisation. De plus, les risques touchant tous les niveaux de l’entreprise, ils sont portés par des acteurs différents : risques stratégiques pour la Direction générale, risques métiers (relatifs aux clients et vente) pour la Direction commerciale, risques liés à l’approvisionnement pour la Direction logistique… qui peuvent différés selon les secteurs et enfin risques opérationnels similaires à toutes les entreprises comme ceux relatifs aux processus, aux personnes et aux systèmes de l’entreprise comme les risques SI, sécurité, continuité de service, RH, fraude…

Le SI, colonne vertébrale de l’entreprise, est au cœur de la gestion des risques

Parmi les risques opérationnels, les risques liés au système d’information ont particulièrement et rapidement évolués ces dernières années. Ils doivent faire l’objet d’une gestion des risques à part entière.

Trois grands domaines de risques interdépendants s’articulent autour de l’information :

· les risques du système d’information, transverses à l’entreprise intégrant les risques métiers et opérationnels ayant une composante SI ;

· les risques sécurité de l’information avec une large composante SI mais intégrant également la dimension orale et papier de l’information ;

· les risques de continuité d’activité qui incluent également le secours utilisateur et les aspects logistiques, RH, juridiques…

Comment orchestrer les quatre acteurs principaux pour gérer les risques liés au SI

Selon une enquête menée auprès d’un panel de 50 grandes organisations françaises, le Directeur des risques, l’IT risk manager, le Responsable de la sécurité SI et le Responsable plan de continuité d’activité apparaissent comme les acteurs principaux de la gestion des risques. Ces multiples acteurs agissent encore trop souvent indépendamment des uns des autres, nuisant à une vision d’ensemble. Cette approche en silo génère par ailleurs des sur-sollicitations des Directions métiers et des redondances. L’orchestration d’une collaboration entre les différents acteurs de la gestion des risques s’avère donc nécessaire pour une gestion efficace des risques SI au sein de l’entreprise.

Dans l’étude menée auprès du même panel, plus de la moitié des entreprises jugent leur démarche de gestion des risques « assez efficace ». Pourtant, pour 95% des entreprises, il reste une marge de progrès à franchir pour renforcer leur maturité et assurer une gestion optimale des risques.

Trois organisations « types » existent au sein des entreprises pour répondre avec plus ou moins d’efficacité aux enjeux de cette gestion des risques : la tour de Babel où chacun parle des langages différents rendant impossible une vision globale des risques ; la tour de Pise, reflet d’une situation déséquilibrée avec des prises de décision en escalier ; la tour de contrôle, l’organisation considérée comme optimale, symbolisant la vision d’ensemble ainsi qu’une information partagée et consolidée.

Les facteurs clés pour bâtir une organisation « tour de contrôle »

Plusieurs étapes sont nécessaires pour poser les premières pierres de l’édifice :

· Utiliser une échelle commune pour mesurer objectivement les risques ;
· Construire un portefeuille de risques en analysant l’existant, en identifiant les zones de recouvrement, définissant ainsi un référentiel de pilotage unique ;
· Mieux coordonner et optimiser la relation avec les métiers ;
· Partager les plans d’actions.

Une instance commune doit être mise en place pour assurer le pilotage de la gestion intégrée des risques, regroupant les représentants des différentes filières de gestion des risques et des métiers sans oublier la DSI. La démarche de gestion des risques se doit donc d’être transverse : c’est seulement en avançant ensemble vers une organisation intégrée de type « tour de contrôle » et en se dotant d’outils partagés que la maîtrise globale des risques pourra s’améliorer.

L’IT risk manager - toute nouvelle fonction à la croisée des filières traitant des risques autour de l’information - est l’acteur tout désigné pour piloter cette démarche. 20% des entreprises l’ont déjà compris en créant un poste dédié.

  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »