Managing Risk and Performance – A Guide for Government Decision Makers

s="meta-nav">← Previous

Auteurs: Thomas H. Stanton et Douglas W. Webster

Ce livre décrit le problème de la gestion des risques d’entreprise au sein du gouvernement fédéral Américain.

Il s’agit essentiellement d’une histoire de “le verre est à moitié vide ou à moitié plein”.

“Le verre est à moitié vide” examine l’impact sur le risque de réputation de la “General Services Administration” et du “Department of Veterans Affairs” pour des dépenses extravagantes lors de conférences, une vue d’ensemble inadéquate du gouvernement fédéral à l’origine de la crise financière, “Deepwater Horizon” Pollution pétrolière de BP, etc. “Le verre est à moitié plein”, comme on le voit dans ce livre, est que les risques eux-mêmes ne peuvent jamais être éliminés, mais qu’ils peuvent être mieux gérés en appliquant de bonnes pratiques … [Douglas Webster, PDG de Cambio Consulting Group]

Selon ce livre, ERM du gouvernement fédéral Américain a pour objectif d’optimiser le fonctionnement du gouvernement Américain et de ses services aux citoyens. En outre, il existe un certain nombre de défis et un plan détaillé qui peuvent être déduits de ces textes:

Défi 1: Soutien permanent du sommet

Le soutien doit continuer à s’appliquer après le remplacement des leaders au sommet lors d’un changement de pouvoir. C’est pourquoi la création d’un ‘CRO’ / responsable de la gestion des risques est importante pour les agences. Cela peut garantir la continuité du risque. Le soutien du sommet est également important pour créer une culture de reconnaissance des risques dans l’organisation. Cela nécessite un changement institutionnel, y compris les documents de politique nécessaires, des processus de gestion des risques à l’appui et l’inclusion des actions requises dans les responsabilités de planification des principaux fonctionnaires. Il est important de souligner que la gestion des risques est prioritaire. L’importance de la gestion des risques doit également être soulignée dans une bonne politique et que la gestion des risques peut être déléguée au CRO. Il est également important d’impliquer la gestion des risques dans toutes les formes de réduction des coûts.

Défi 2: Surmonter le travail en silo

De nombreuses personnes ont toujours travaillé dans la même agence ou effectué les mêmes tâches. Cela rend le changement difficile. Les objectifs des organisations ne sont souvent pas mesurables dans un gouvernement. En conséquence, les objectifs d’appui inférieurs des agences peuvent gagner en importance par rapport aux objectifs à l’échelle de l’entité.

Par conséquent, les agences en matière de la gestion des risques doivent:

  • Se Concentrer sur un nombre limité de risques, mais les plus pertinents
  • Mettre en place un comité de gestion des risques avec un nombre limité de membres
  • Institutionnaliser la gestion des risques
  • Connecter le processus de gestion des ressources à / appliquer à l’allocation des budgets
  • Créer une culture de confiance
  • Le comité de gestion des risques travaillera en étroite collaboration avec les agences.

Défi 3: Dépasser une culture de prudence

Il semble souvent que le gouvernement gère les comportements évitant les risques. Cependant, l’esprit d’entreprise est de prendre des risques. Dans le passé, on mettait trop l’accent sur “éviter les ennuis”. Cela est principalement dû au fait que le gouvernement ne dispose d’aucune incitation au “profit contre perte”, ce qui est l’une des motivations du secteur privé. Cela rend plus difficile pour un gouvernement “d’optimiser” ici. C’est pourquoi une culture de déclaration des risques doit être générée verticalement de haut en bas à travers les agences.

Pour cela, le soutien du sommet est essentiel. Les employés doivent se sentir en sécurité lorsqu’ils signalent un risque.

Défi 4: Concilier la fonction de risque avec celle d’audit

Il est important de veiller à ce que non seulement la fraude et les abus soient évités, mais aussi que le gaspillage et l’inefficacité soient identifiés de manière à aider les organismes à tirer parti d’un processus décisionnel amélioré. Pour cela aussi, un sentiment de sécurité est important pour les employés. La coopération entre les disciplines de l’audit et de la gestion des ressources peut conduire à des pratiques plus strictes pour répondre aux attentes des parties prenantes.

Défi 5: Éduquer les employés en matière de gestion des risques

RM est quelque chose qui nécessite du temps à comprendre. Plus que d’engager des discussions constructives sur les risques, le gouvernement fédéral américain se concentre trop souvent sur les contrôles internes. Cette façon de travailler ne peut garantir une performance équilibrée par rapport aux coûts et aux risques. C’est pourquoi il est important d’exprimer une vision et une déclaration de valeur de la part de la gestion des risques. Une telle déclaration peut avoir une grande importance pour obtenir le soutien nécessaire au sein de l’organisation.

Il est donc important d’accorder plus d’attention à la sensibilisation aux menaces et aux risques que mettre l’accent sur la conformité. L’objectif est donc d’accroître la maturité de la gestion des risques interne et de l’intégrer dans les processus de décision dans toutes les agences. La préparation d’un registre des risques et la hiérarchisation des menaces et des risques peuvent être utiles.

Une bonne gestion du changement de culture et une valeur ajoutée de la gestion des risques pour les employés à tous les niveaux des agences sont également importantes.

Défi 6: Démontrer la valeur (ajoutée) de la gestion des risques

La chose difficile ici est de montrer que vous avez évité un incident coûteux qui ne s’est pas produit. Un problème important est qu’il existe souvent une forte pression pour prendre des initiatives à caractère politique sans comprendre comment ces objectifs peuvent être atteints avec un risque gérable.

Par conséquent, la valeur de la gestion des risques peut être considérée comme une amélioration de la qualité du processus de décision, car les menaces, les obstacles, etc. peuvent donner lieu à un dialogue positif. Sans un tel dialogue, la décision est trop souvent une simple exigence qui dit “nous le faisons” ou “nous ne le faisons pas”.

Un processus de décision amélioré peut être reconnu par:

  • L’identification et la surveillance des risques et le traitement des risques qui se produisent à tous les niveaux de l’agence.
  • Le développement ou la création de nouvelles opportunités pour la direction d’intervenir dans l’affectation des ressources humaines et matérielles si un changement de l’environnement nécessite un changement des plans de traitement des risques.
  • Une réduction importante du nombre de surprises ayant un impact négatif sur l’agence.
  • Une large compréhension de la tolérance au risque au sein de l’agence et le sentiment de la nécessité de prendre un certain risque dans les décisions, en cohérence avec la tolérance au risque.
  • Améliorer la capacité de l’agence à affecter des ressources et du personnel, à gérer les risques dans des domaines fonctionnels et programmatiques, créant ainsi un meilleur retour sur investissement pour l’ensemble de l’entité.
  • Amélioration de la compréhension par l’ensemble de l’entité de la nécessité d’aligner les objectifs fonctionnels et programmatiques sur les objectifs stratégiques.

Le plan pas à pas pour cela:

Étape 1: Créer un cadre de la gestion des risques

Cela implique de définir les rôles et les responsabilités clés, dans le domaine des agences, ainsi que la responsabilité globale du gouvernement.

Au-dessus du gouvernement, il faut prêter attention à:

  • Lors des révisions budgétaires annuelles, il est nécessaire de demander aux agences d’indiquer les principaux risques et d’expliquer comment ils seront traités.
  • Lors de l’établissement des budgets, la gestion des risques doit être impliquée en tant que fonction collaborative pour leurs inspection.
  • Revue régulière des meilleures pratiques de gestion des risques dans les agences par comptabilité.
  • Analyse des pratiques en matière de risques afin d’évaluer de manière indépendante l’évolution des vulnérabilités en cas d’échec des processus de gestion des risques.
  • Évaluez la qualité des décisions lors de l’évaluation des performances, des coûts et des risques afin de maximiser la valeur ajoutée pour les parties prenantes.


Dans le domaine des agences, il faut prêter attention à:

  • Les PDG doivent transformer leur conseil d’administration en une direction qui pense au bien-être de l’agence plutôt qu’à sa propre unité organisationnelle.
  • Les PDG doivent former dans leur agence un comité qui identifie et hiérarchise les grands risques et génère une approche pour ceux dont la priorité est la plus haute.
  • Générez une culture ouverte afin que tous les employés se sentent la possibilité d’exprimer leurs préoccupations à la direction, afin qu’ils puissent en prendre connaissance.
  • Le chef de la direction doit nommer une personne pour diriger l’initiative sur les risques.
  • Le directeur général doit peaufiner le processus de budgétisation de manière à prendre en compte les ressources de manière intégrée, à prendre en compte les performances et les risques.
  • L’audit et la fonction de risque déterminent ensemble la meilleure façon d’évaluer l’efficacité de la fonction de risque sans porter préjudice au flux nécessaire d’informations relatives au risque en direction des unités organisationnelles et du conseil de direction.

Étape 2: Conditionner pour rendre la gestion des risques efficace

L’objectif est de déplacer les informations de risque de l’organisation vers les endroits les plus pertinents pour les traiter, avec les bons décideurs. Pour cela, il faut vaincre la pensée en silo, il faut penser aux risques et aux bénéfices pour l’agence plutôt que pour les composants organisationnels. À cette fin, la fonction de risque doit être réalisée avec des personnes possédant les bonnes compétences, les compétences interpersonnelles étant plus importantes que les compétences analytiques, car la fonction de risque doit être expérimentée par tous comme fiable et familière. En effet, la fonction de gestion des risques doit être en mesure de permettre aux gestionnaires d’identifier les risques au sein de leur unité organisationnelle plutôt que de les cacher. La qualité de la fonction de risque et leur accès à l’information sont plus importants que sa taille et son budget.

Étape 3: Intégrer la gestion des risques dans le processus de décision

La gestion des risques doit pouvoir fournir des informations aux décideurs. L’intégration de la gestion des ressources dans les processus de budgétisation et de gestion des performances permet à l’agence de faire face aux risques majeurs avec des ressources et des effectifs limités. L’intégration de la gestion des risques dans la planification stratégique offre aux décideurs la possibilité d’intégrer des informations sur les risques majeurs dans la planification de l’agence. En outre, le directeur général doit également veiller à ce que la fonction de gestion des risques soit présente dans les comités spécialisés que l’agence juge nécessaires à sa mission et à sa structure.

Étape 4: Protection de la fonction de risque

Il est essentiel que la fonction de risque soit protégée contre les grands acteurs / gestionnaires dont le fief peut mettre en danger l’agence.

Étape 5: Créer une culture consciente des risques

Le PDG a la possibilité de placer le “ténor au sommet” en faveur de la gestion des risques. Cela devrait également inclure le développement d’une culture ouverte dans laquelle les réactions sont entendues et, si cela semble raisonnable, les valider ou les invalider.

De plus, la collaboration est extrêmement importante. Inclure ceci dans l’évaluation des employés est une option pour encourager les employés à le faire. Le PDG doit impliquer publiquement le CRO dans les événements et lorsqu’un responsable vient discuter des vulnérabilités qui ont été révélées.

Étape 6: gestion du processus de changement

Passez d’un processus de gestion des risques avec réflexion en silo à un processus de gestion des risques avec collaboration.

Managing crises before they happen

s="meta-nav">← Previous

Ian I. Mitroff avec Gus Anagnos

Le livre est une collection de faits sur la gestion de crise.

Dans sa définition de la gestion des crises dans le premier chapitre, l’auteur déclare que la gestion des risques et la planification des mesures d’urgence ont trait à des phénomènes naturels, tandis que la gestion des crises concerne principalement les crises causées par des personnes. Cette définition restreinte de la gestion de crise est importante pour une interprétation correcte du reste du livre. Il fait donc valoir que les crises font partie intégrante des communautés modernes. Mais aussi que les crises causées par l’homme peuvent être évitées. Il est important de toujours rechercher des signes de problèmes dans l’environnement. Le déni des problèmes est le plus grand danger.

Dans le deuxième chapitre, l’auteur parle d’échec. Plus précisément, comment l’organisation peut-elle être victime de son propre succès. Parce que certaines actions ont été répétées maintes et maintes fois, telles que la production et la vente de Tylenol, on devient aveugle aux points faibles du processus, qui, pour J & J en 1982, était la sécurité quelque part entre le début et la fin du séjour. Une leçon apprise pour J & J est qu’il faut toujours assumer la responsabilité de son produit. Une organisation doit donc toujours rechercher de nouvelles techniques et remettre en question ses processus, y compris le processus de sécurité. Pour élaborer des plans de sécurité, il faut toujours tenir compte des cinq aspects suivants de l’environnement en relation avec l’organisation: complexité, liens et connexions entre les questions, portée et taille des processus et des systèmes, vitesse et visibilité.

Dans le chapitre trois, l’auteur discute d’un modèle de meilleure pratique pour la gestion de crise, basé sur les risques, les mécanismes, les systèmes, les stakeholders et les scénarios. Il est donc nécessaire d’avoir des plans d’urgence pour les risques économiques, les risques d’information, les risques physiques, la GRH, la réputation, les actions et les actes psychopathiques ou dieu.

Le chapitre quatre explique ce qu’il faut dire ou ne pas dire: l’auteur obtient la «fenêtre de Johari». Un premier conseil en or est le suivant: étudiez la situation et évitez la déception. Acceptez toujours la responsabilité de votre produit et de vos actions. Et sachez qu’il n’y a plus de vrais secrets dans ce monde. Il y a toujours quelqu’un qui sait ce que vous ne voulez pas et un journaliste d’investigation est toujours là. Et il est toujours préférable de prendre l’initiative de dire la vérité, car il faut garder le contrôle.

Le chapitre cinq est lié à la prise de responsabilité: êtes-vous la victime ou êtes-vous le méchant? On est ou sera le méchant rapidement et facilement, on reste ou devient difficilement la victime. La psychologie de la masse joue un rôle majeur à cet égard. Il est important d’assumer ses responsabilités, d’agir et de ne pas jouer activement le rôle classique de victime. Donnez-vous comme porte-parole un rôle compréhensif et empathique et n’utilisez jamais de technicités. Éviter l’aliénation en tant que visage de l’organisation des victimes, des clients et des stakeholders. Et ne supposez jamais que la logique au sein de l’organisation est aussi celle des médias et des masses.

C’est pourquoi le chapitre six est également important: détecter les signaux faibles pour éliminer les crises trop rapidement. Ne jamais les bloquer! Faites attention aux alarmes des personnes sur le lieu de travail. Gardez vos lignes de communication ouvertes. Récompenser les gens quand ils signalent un problème. Et assurez-vous que les gens savent quoi faire en cas de crise.

Pour pouvoir gérer une crise, il faut aussi être capable de penser loin de la boîte. Le chapitre sept est à ce sujet. Une politique de rémunération est donc appropriée. En stimulant cette façon de penser, vous trouverez des solutions nouvelles et originales aux problèmes. Bien sûr, des décisions doivent être prises, où chacun, du haut en bas, doit se tenir. Mais méfiez-vous des serpents connus: veillez à résoudre le mauvais problème. Et vérifiez toujours que ce qui est pris pour acquis.

Le chapitre huit concerne la vision d’ensemble. Quand les choses se complètent, une crise peut en déclencher une autre, mais un seul événement suffit rarement pour jeter le détonateur dans le baril de poudre. Donc, tous les facteurs qui contribuent doivent être pris en compte. Basez les plans d’action sur ce sujet et consultez régulièrement la grande image afin de ne pas aggraver la situation.

Le chapitre 9 indique la voie envisagée pour 2001, à partir de 2002. Le conseil le plus important est «Commencez par concevoir et mettre en œuvre des systèmes de détection de signaux dans l’ensemble de votre organisation» (Start by designing and implementing signal detection systems throughout your organisation).

In Hindsight – A compendium of Business Continuity case studies

s="meta-nav">← Previous

Edité par Robert A Clark

In Hindsight réfléchit à une série de catastrophes du point de vue de la BCM (management de continuation d’activitées). Certaines organisations ont gagné, d’autres pas. Cinq organisations n’étaient pas préparées et ne l’ont pas fait. Un sixième a réussi grâce à une chance extraordinaire. Certaines catastrophes ont eu des proportions et des conséquences extraordinaires. D’autres sont restés locaux. Les causes varient, allant de la malchance brutale comme les actes de Dieu aux éruptions volcaniques qui l’accompagnent, à des choses qui pourraient être évitées, comme le Herald of Free Enterprise, dans lequel un doigt peut être clairement indiqué.

Les autres causes de la nature humaine sont le manque de perspicacité ou une mauvaise gestion, les profits excessifs, la stupidité, la terreur… Toutes ces choses ont en commun qu’elles sont à l’abri dans de nombreuses organisations.

Les conséquences peuvent être tout aussi diverses: dommages environnementaux, décès, problèmes de sécurité et de santé, crise économique mondiale, poursuites judiciaires …

Cette diversité de sujets rend le livre très approprié pour ouvrir les yeux des gestionnaires et des conseils d’administration.

L’avant-dernier chapitre souligne également l’importance des petites étincelles: fraude, cyber-attaques, mécontentement des employés, médias, petits et grands incendies, y compris chez les voisins, planification insuffisante de grands projets, violations de la sécurité des informations telles que vol de données, inondations, maladies, etc.

Le dernier message, peut-être le plus important, est une citation de Vince Lombardi, un ancien footballeur Américain, qui a déclaré: “It’s not whether you get knocked down; it’s wheter you get up “. Et cela inclut la préparation.

Fundamentals of Risk Management

s="meta-nav">← Previous

Auteur: Paul Hopkin

content

Tout au long du livre, l’auteur aborde tous les concepts pour lesquels la gestion des risques est concernée: la mise en œuvre de la gestion des risques dans les organisations. Le livre est divisé en 6 parties et une annexe importante:

Introduction à la gestion des risques
Stratégie de risque
Évaluation des risques
Réponse au risque
Risques et organisations
Assurance risques et reporting
Annexe “C”: guide de mise en oeuvre

Pour bien lire ce travail, commencez par l’appendice C: vous y trouverez un manuel sur la meilleure façon de lire ce travail avec son implémentation en tant qu’objectif. Ensuite, vous commencez par les quatre premiers chapitres de la partie 1. L’auteur jette les bases de la raison de la gestion des risques. En tant que révélateur de la gestion des risques, on découvre que les risques sont quelque chose de polyvalent. Ensuite, les chapitres peuvent être lus dans l’ordre indiqué à l’annexe C. Grâce à cette annexe, le livre constitue un tremplin pour quiconque est impliqué dans la gestion des risques. Cela en fait un tremplin pour chaque organisation qui doit élaborer sa propre gestion des risques: en utilisant ce livre, chaque organisation peut rédiger et conserver son propre livre en tant que mise en œuvre. J’aimerais que ce livre devienne une série d’encyclopédie pour laquelle la série ISO 31xxx pourrait constituer une base. Le livre est une bonne introduction pour chaque type de CxO dans chaque type d’organisation.

Cependant, ce qui me manque, c’est comment classer quelqu’un comme CRO. Le livre ne contient aucun avertissement concernant les volontaires chinois ou les personnes qui font le travail de manière non prioritaire.

Une autre erreur à mon avis est la discussion de BCM ( le management de la continuation d’activitées) dans ce livre. La BCM méritait plus d’un chapitre d’une dizaine de pages. Ce qui manque également, c’est comment, dans l’évolution actuelle de la BCM en matière de ERM (Gestion de risques de l’entreprise), ces deux problèmes de cadence peuvent être conciliables. À cette fin, l’appendice C pourrait être utilisé comme une approche, mais cela n’a pas été le cas.

En outre, l’auteur a mis l’accent sur la chaîne d’approvisionnement (pour le secteur économique) et le secteur financier. Le gouvernement est également discuté, mais très peu.

Le problème de ICT n’est pas non plus vraiment abordé, pas plus que la série de normes ISO 2700x. Cependant, là aussi, tout un espace est libre pour un livre comme celui-ci.

Les avantages de la gestion des risques sont également insuffisamment soulignés.

Conclusion

Ce livre convient comme révélateur pour les CxO et constitue une promesse pour l’élaboration de toutes les questions liées à la gestion des risques, pour lequel, au chapitre 36, il est indiqué que plus de développement de la gestion des risques doit avoir lieu. Étant donné que la gestion des risques s’applique à tous les sujets de gestion, à tous les niveaux de chaque organisation, mais aussi aux gouvernements et au monde entier, l’humanité est résolue à soutenir et à mettre en œuvre la gestion des risques, à tous les niveaux de la société. Après tout, nous sommes tous des experts en gestion des risques dans notre propre environnement.