Archives pour la catégorie RISK MANAGER-FONCTION RISK MANAGER

AMRAE – La sagesse du risque, pour une immunité collective – 3-4 février 2021. Ce qui se cache derrière ce titre. A lire et re (voir).

Merci à Cécile DESJARDINS de relayer mes propos dans son article « Management du Risques : le retour de l’humilité. » Les Echos, 3 février 2021.

2020 : année stratégique pour le Risk Management et le Risk Manager. Le RM a gagné en légitimité cognitive (Suchman, 1995). Elle est le « graal de la légitimité » : écoute encore plus attentive de la DG, accès renforcé aux opérationnels, une fonction plus visible. En montrant quel était son rôle, le RM a également gagné en légitimité personnelle : expérience, connaissance de son groupe, de son activité et des opérations, sens de la communication pour se faire entendre en toute liberté de la DG et des opérationnels (sensibiliser, faire prendre conscience des risques, alerter tout en sachant rassurer).

A lire : le dossier RISK MANAGEMENT 2021, Les Echos, 3 février 2021.

Le rendez-vous annuel des responsables des risques en entreprise ne s’est pas tenu à Deauville cette année. Face à une pandémie à rebonds, l’AMRAE (Association pour la Gestion des risques et des Assurances dans les Entreprises) a choisi une rencontre en ligne pour faire le point sur les grands enjeux de la profession, mise à l’épreuve par une crise mondiale sans précédent.

A (re)voir : les REPLAYS des tables rondes. Gratuitement – il suffit de s’inscrire) à cette adresse : https://lnkd.in/eEpjQSy

Exemples de thèmes abordés : Risques, climat et RSE ; Risques RH et associés ; Cyberrisque ; Gestion globale des risques ; Financement des risques par les assureurs intégrant le riskmanagement.

Ces thèmes, à l’exception du dernier, ont fait l’objet de nombreux articles dans ce blog (voir Archives ou moteur de recherche). Je décris pourtant la logique de transfert du risque des assureurs vers les entreprises comme le 3ème facteur ayant contribué à faire du risque, une variable stratégique de la réflexion des entreprises. Je l’aborderai dans les publications des semaines à venir sur le blog.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Initiative intéressante du groupe Y. Rocher : avoir recours aux neurosciences pour gérer les risques.

La mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils permettent en effet d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité. Nous évoquons cette approche technique et socio-cognitive dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96). https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Gestes barrières : le groupe Yves Rocher forme ses salariés grâce aux neurosciences

Pour s’assurer du respect des gestes barrières dans l’entreprise, le groupe Rocher (Yves Rocher, Petit Bateau, Stanhome…) a fait appel aux services d’un spécialiste de « l’ancrage mémoriel« , la société Woonoz.

Par Sylvaine Salliou. Publié le 12/05/2020

Depuis ce lundi 11 mai, les 2.000 salariés bretons du groupe Rocher sont à nouveau accueillis progressivement sur les sites de production, dans le Morbihan et au siège à Rennes. « On compte quelques dizaines de salariés sur chaque site de production, car le recours au télétravail reste massif« , selon Régis Rougevin-Bâville, directeur qualité du groupe Rocher.

Formation accélérée aux gestes barrières

Depuis le 7 mai, ils sont formés aux gestes barrières, grâce à une formation accélérée en e-learning, mise en place en partenariat avec la société Woonoz. L’objectif pour le groupe breton est de s’assurer du respect des gestes barrières au retour dans l’entreprise.

La formation, basée sur le protocole national de déconfinement et co-construite avec les médecins du travail du groupe Rocher, passe en revue plus de cent situations, dont l’hygiène des mains, les distanciations physiques, le port du masque ou encore le nettoyage du matériel se trouvant dans des zones partagées. Ce sont surtout des « situations imagées » avec des photos prises sur les différents lieux de travail du groupe Rocher, selon Régis Rougevin-Bâville.

Une formation basée sur l’ancrage mémoriel

Pour Fabrice Cohen, cofondateur de Woonoz, 80 % des informations délivrées au cours d’une formation sont oubliées dans les sept jours. Or, selon lui, sa société atteint des taux de mémorisation de 93 %, car elle s’appuie sur les dernières connaissances en neurosciences et sur la méthodologie d’ancrage mémoriel, comme le Projet Voltaire, utilisé par six millions de personnes pour se remettre à niveau en orthographe, selon Siegried de Préville, manager des opérations du groupe Rocher. L’ancrage mémoriel consiste à prendre en compte que chacun mémorise d’une façon qui lui est propre.

Il explique que certaines règles et certaines situations mises en image dans la formation, sont connues ou évidentes, mais « l’objectif est de les faire passer à l’état de réflexe« .

Une formation adaptée à chaque apprenant

Le parcours alterne entre tests et révisions où il faut chercher et corriger l’erreur. Il commence par un diagnostic initial des connaissances et se poursuit par deux ou trois sessions de 15 minutes d’ancrage mémoriel. A la fin du parcours de formation, l’apprenant est évalué et il reçoit une attestation qui indique qu’il maîtrise le parcours.
Régis Rougevin-Bâville explique que le moteur d’intelligence artificielle s’adapte aux réponses de l’apprenant : il revient sur les situations non acquises et repère les configurations où sa mémoration est meilleure.

Cette formation sera étendue à l’ensemble des salariés du groupe Rocher en France, c’est-à-dire 6 500 personnes. Selon nos interlocuteurs, ce module peut également servir à d’autres secteurs économiques : « cette formation est transposable à beaucoup de secteurs« . Plusieurs entreprises auraient déjà demandé à tester la formation.

 

« La Fonction Risk Manager. Organisation, Méthodes et Positionnement » labellisé par la Fondation Nationale pour l’Enseignement de la Gestion des Entreprises (FNEGE).

Moins d’un an après sa parution, l’ouvrage que j’ai co-écrit avec Nicolas Dufour, RM dans une Mutuelle, a reçu le label 2020 de la FNEGE. Label de qualité et reconnaissance de nos pairs dont nous sommes très fiers.  Nous espérons que cette labellisation vous donnera envie de lire notre ouvrage. FNEGE 2

Toujours dans l’optique d’une démarche pro-active du risque. Orienter la démarche vers les opérationnels.

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent (étape 5 de la démarche de gestion des risques). Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques. Pour une description de la démarche de gestion des risques en cinq étapes, voir Aubry, 2013 ou Aubry et Dufour, 2019 « La Fonction Risk Manager. Organisation, Méthodes et Positionnement. »

Yann Girard propose de faire des collaborateurs la première ligne de défense de l’entreprise contre la cybercriminalité en les sensibilisant et en les impliquant dans la mise en oeuvre de la démarche.

Cybercriminalité : les collaborateurs, première ligne de défense de l’entreprise

Yann Girard

Chief Information Security Officer / Retail BanksFrance

Le nombre d’entreprises victimes de fraudes cybercriminelles ne cesse d’augmenter, elles sont des cibles privilégiées quelle que soit leur taille. Ainsi près de 80 % des entreprises ont constaté au moins une cyber-attaque en 2017, 77 % sont des petites et moyennes entreprises. Les conséquences, nous le savons, peuvent s’avérer parfois désastreuses.

Si le vecteur d’attaque est d’origine technologique et parfois extrêmement sophistiqué, la participation involontaire des victimes est la plupart du temps nécessaire au succès des opérations frauduleuses. Les cybercriminels s’appuient sur notre méconnaissance des outils, nos biais cognitifs et notre manque de vigilance pour arriver à leurs fins.

 Avant d’être technologique, la réponse à ce problème passe donc avant tout par la sensibilisation de chacun des collaborateurs de l’entreprise.

 Les 4 scénarios d’attaques suivants, fréquemment observés par les équipes de spécialistes antifraude Société Générale, peuvent ainsi être facilement évités si nous développons les bons réflexes :

–       La fraude au président : demande urgente et confidentielle d’un prétendu responsable hiérarchique ou d’une autorité pour effectuer un virement inhabituel en dérogeant exceptionnellement aux procédures internes. Dans un tel cas, une vérification auprès de sa hiérarchie s’impose.

–       Le fournisseur transmettant de nouvelles coordonnées bancaires pour régler sa prochaine facture. La demande est là aussi loin d’être neutre et nécessite un contre-appel à votre fournisseur pour vérifier s’il en est bien l’émetteur, et une vigilance sur la nouvelle domiciliation bancaire.

–       L’appel d’un faux support informatique, pour prendre le contrôle de votre PC à distance afin de réaliser des tests. Objectif : installer un logiciel qui permettra à l’attaquant de commettre des fraudes, voler vos données ou les détruire. Il est donc essentiel de s’assurer de l’identité de l’interlocuteur, et de la légitimité de l’opération.

–       Le troyen bancaire, reçu dans un mail de phishing souvent anxiogène ou promotionnel, qui vous incite à cliquer sur des liens ou des pièces jointes. Encore une fois, le risque est qu’un logiciel malveillant s’infiltre dans votre système d’information. Les mails sont le premier vecteur d’attaques, méfiance donc vis-à-vis des pièces jointes et des liens cliquables.

Ces scénarios d’attaques par ingénierie sociale sont très classiques mais fonctionnent encore malheureusement trop souvent : ils sont détectables et doivent éveiller notre vigilance. D’autant que les impacts peuvent être lourds, entre conséquences financières (jusqu’au redressement ou la liquidation judiciaire), et conséquences sociales et humaines (licenciements…).

D’où l’importance de sensibiliser les collaborateurs avant tout : ils doivent être conscients des menaces potentielles pour anticiper les scénarios d’attaques et protéger l’entreprise.

Identifiez ce qui est vital pour votre business, les collaborateurs les plus susceptibles d’être ciblés (trésoriers, équipes comptables…), et accompagnez- les en conséquence à travers des formations, des simulations, une charte de bonnes pratiques cybersécurité…

Société Générale organise par exemple chaque année ses Cybersecurity Hours, programme de conférences, ateliers pédagogiques et actions de sensibilisation à la Sécurité de l’Information. Elles ont lieu en octobre, pendant le mois européen de la Cybersécurité. Votre banque, dans son rôle de tiers de confiance, reste d’ailleurs un interlocuteur privilégié pour bénéficier de conseils et de recommandations sur ces sujets.

Nous ne pourrons jamais empêcher les fraudeurs d’essayer mais chacun d’entre nous peut leur compliquer la tâche voire déjouer leurs tentatives par des réflexes simples à acquérir et à entretenir. Déployer des solutions de sécurité en entreprise pour se protéger est nécessaire mais cela reste un investissement vain si les collaborateurs ne sont pas sensibilisés.

Dans le même esprit que le retour d’expérience…la mise en place de pratiques communes, de coordination des actions, de partage de la connaissance.

« Les actions de gestion des risques doivent en effet faire l’objet d’une analyse, d’un suivi et d’un apprentissage.

Les résultats font ensuite l’objet d’une communication à la hiérarchie. La Direction Générale est informée de la qualité de la maîtrise des risques dans l’entreprise. Les enjeux de cette dernière étape sont la transparence vis-à-vis du management et des actionnaires – le climat de confiance – et la diffusion d’une culture du risque dans l’entreprise avec l’introduction d’une boucle d’apprentissage collectif.

L’analyse des résultats peut enfin donner lieu à la mise en place de retours d’expérience (mises à jour régulières du site de l’entreprise au fur et à mesure de la réalisation des plans d’actions, d’échanges d’informations entre le terrain et les équipes de management via les bases de données ou encore de diffusion des meilleurs pratiques accessibles à tous).

Ces outils donnent à la démarche de gestion des risques son caractère opérationnel.

Leur mise en place confère également à la gestion des risques une approche globale qui la rapproche de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel.

Une gestion des risques qui met en place ce type d’outils relève de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. Elle est globale au sens de Louisot (2010)[1]. Elle est « intégrée, car la gestion des risques doit effectivement l’être à tous les niveaux de décisions et dans tous les process (Louisot J.P., « ERM à l’épreuve de la crise », Risk management n°1, avril 2010.)

Elle est par essence transversale puisqu’elle est là pour servir les projets, les différentes entités et les processus opérationnels et managériaux de l’entreprise et qu’elle se positionne en accompagnement du processus de décision. Elle suppose l’implication du personnel opérationnel indispensable à une bonne identification des risques. La démarche de gestion des risques se doit d’intervenir en amont de la survenance des évènements, les anticiper et non pas seulement valider les expériences survenues. En cela elle n’est pas seulement une activité de contrôle : on ne cherche pas seulement la qualité de chacune des opérations mais la bonne articulation des activités entre elles. »

[1] Modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. La notion de globalité introduit tous les éléments d’incertitude liés au futur de l’organisation, ce que Louisot (2010) englobe sous l’expression « toutes causes, toutes conséquences, toutes opportunités et menaces.»

Christine Grassi. 

La mise en place par les Risk Managers d’outils hors contrôle. L’exemple du Retour d’Expérience.

La mise en place par certains Risk Managers d’outils hors contrôle tels que le retours d’expérience, les réunions, la responsabilité des opérationnels, l’appropriation des outils permettraient aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable ; elle est le « graal » de la légitimité.

Nous évoquons ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96).

Je vous propose de découvrir le Retour d’Expérience à travers l’article ci-dessous écrit par mon co-auteur Nicolas Dufour.

La construction d’une mémoire du risque en entreprise est un long apprentissage s’inscrivant dans la constitution (progressive) d’une culture du risque dans l’organisation. Au-delà d’une communication régulière, les actions suivantes peuvent être préconisées :

– dans le cadre des processus de cartographie des risques, réaliser une pré-identification des risques : reprendre les incidents marquants dans la revue des risques, en allant au-delà de l’exercice passé et s’assurer que ces risques restent sous contrôle ou que d’autres situations similaires ne seraient pas susceptibles d’arriver ;

– intégrer les « sachants » au processus de revue des risques, ayant la connaissance historique de l’organisation, même s’ils ont changé d’activité entre le moment de la survenance de certains incidents et celui de la revue des risques (le plus souvent annuelle) ;

– mieux exploiter les effets d’expérience issus des bases incidents, notamment les analyses de causes, même si celles-ci ne sont pas systématiquement documentées ;

– à la manière des méthodes formalisées en EHS (courbe de Bradley formalisant dans le temps la progression enregistrée en termes de réduction des accidents de travail en tenant compte de différentes étapes dans la constitution d’une culture du risque et de la responsabilisation des acteurs), construire des courbes d’apprentissage sur différents risques opérationnels : capacité à réduire les erreurs humaines, à détecter les fraudes…

Je remercie la rédaction des Echos de m’avoir permis de proposer dans une tribune des pistes de réflexion sur la Fonction Risk Manager.

Je remercie la rédaction des Echos de m’avoir permis de proposer dans une tribune des pistes de réflexion sur la Fonction Risk Manager. Des Risk Managers plus influents sont en effet le meilleur atout des entreprises pour lever ou atténuer les risques et éviter les situations de gestion de crises. 

Pour en savoir plus, je vous renvoie à l’ouvrage  » La Fonction Risk Manager. Organisation, Méthodes et Positionnement » que j’ai co-écrit avec N.Dufour ; paru en avril 2019 aux Editions Gereso. 

TRIBUNE

Opinion | Propositions pour une fonction «risk manager» plus influente

Meilleur atout des entreprises pour lever ou atténuer les risques et éviter les situations de gestion de crises, les risk managers semblent pourtant bien discrets et dotés d’une autorité relative les cantonnant au mieux à une logique de conseil interne sur des risques importants. (Par Caroline Aubry, maître de conférences en gestion à l’université Toulouse-III)

Par Caroline Aubry (maître de conférences en gestion à l’université Toulouse-III)

Publié le 18 déc. 2019 à 9h39

Mis à jour le 18 déc. 2019 à 9h40

Multiples cyberattaques subies par Airbus, plainte contre la BNP Paribas et ses anciens dirigeants pour complicité de torture, crimes contre l’humanité, génocide, blanchiment et recel au Soudan ou encore incendie de l’usine Lubrizol, Volkswagen et le Dieselgate avec l’ouverture du procès, Renault-Nissan et l’incarcération de Carlos Ghosn, Lactalis et le lait contaminé pour ne citer que les affaires les plus médiatiques, cette actualité voit réunis les cinq facteurs qui ont fait du risque une variable stratégique de la réflexion des entreprises françaises : élargissement du domaine du risque, prise en compte de la subjectivité du risque, transfert de certains risques des assureurs vers les entreprises, affaires, rôle des acteurs-amplificateurs que sont le régulateur-législateur et les médias.

Depuis trente ans, ces facteurs ont conduit les entreprises françaises à mettre en place une démarche globale de gestion des risques, nommée Enterprise-Risk-Management (ERM) par les Anglo-saxons ; ils ont contribué à la création d’une fonction dédiée à la gestion des risques, que nous appelons Fonction Risk Manager.

Une Fonction Risk Manager détentrice d’une faible influence sur la décision

Les Risk Managers corporate à la tête des directions de gestion des risques rencontrent de nombreux obstacles pour se faire entendre de leurs directions générales. Une première série entrave l’exercice même d’un rôle « d’architecte » de la gestion des risques : ce que les Risk Managers corporate appellent l’illusion de transversalité de leur périmètre d’activité (« Une identification des risques à 360° » soit tous les risques, sur l’ensemble des activités, actifs et entités de leurs groupes) les amène à reconnaître qu’il y a des « zones grises » liées à la taille de leur groupe et que tous les risques ne sont pas remontés ; ce d’autant plus qu’ils font face à un manque de moyens humains et budgétaires ; le poids de la sanction venant de la direction pèse également sur leur prise de décision ; leur challenge est en effet de « prendre le maximum de risque avec le maximum de sécurité, car sinon on ne vous le pardonnera pas. »

D’autres obstacles rendent leurs relations avec la direction générale complexes voire difficiles : ils se sentent dessaisis du processus de remontée des informations et peu écoutés ; la remontée des informations est indirecte et se fait via un rattachement hiérarchique souvent situé à plusieurs intermédiaires de la direction générale et rarement membre du comité exécutif ; elle est « faiblarde » en termes de contenu, d’outils et de fréquence ; ils craignent particulièrement lorsqu’ils sont rattachés au directeur financier, au contrôle interne ou à l’audit interne, de ne pas avoir de liberté de pensée.

Une troisième série vient du manque d’implication de la direction générale : non-reconnaissance de la nature stratégique de la gestion de risques dont il est difficile d’évaluer le coût, ses objectifs étant difficilement mesurables et sans référentiel ; communication externe vécue comme un exercice de conformité via le document de référence, communication interne autour de la fonction peu pratiquée ; faible fréquence de réunion des comités de risques, ce qui les réduit à un outil sans autorité. Pour exercer leur autorité, les Risk Managers corporate doivent conquérir une légitimité.

Des Risk Managers corporate en quête de légitimité

Trois pistes peuvent être proposées. Un rattachement hiérarchique, sur le modèle du Chief Risk Officer américain, le plus proche de la direction générale et autre qu’à la direction financière ou au contrôle interne leur donnerait la liberté de remonter directement des informations non censurées. Une mesure de leur activité via des objectifs (de gouvernance, de contrôle stratégique, opérationnels) quantifiés et des indicateurs adéquats déclencherait la reconnaissance de la valeur ajoutée de la fonction et l’implication de la direction générale.

Gageons que des moyens humains et budgétaires suivraient. Une montée en puissance de leurs compétences grâce à leur expertise permise aujourd’hui par l’existence de formations supérieures (Master 3ème cycle, formations de l’Association pour le Management des Risques et des Assurances dans les Entreprises par exemple), l’expérience accumulée en une quinzaine d’années d’existence de la fonction, leur sens du relationnel et la connaissance de l’activité, du groupe et des opérations leur feront gagner en légitimité personnelle et faciliteront leur accès à la direction générale.

 

Le périmètre d’activité des Risk Managers ne cesse de s’élargir

Les Risk Managers travaillent de plus en plus sur tous les risques, soit une « identification des risques à 360°. » 

Que vient faire un directeur des risques dans une table ronde sur la transition écologique ?

Le changement climatique génère trois types de risques majeurs pour les entreprises :

1) les risques de responsabilité si elles ne sont pas capables de tenir leurs engagements de réduction drastique de leur impact environnemental et de réalisation de l’objectif zéro carbone.

2) les risques d’adaptation, car le dérèglement climatique à proprement parler n’est plus un risque mais une certitude dont nous ressentons déjà des effets. Les entreprises multinationales seront exposées à des aléas de plus en plus fréquents dans l’ensemble de leur chaîne logistique et doivent considérablement améliorer la résilience de leurs activités.

3) plus difficiles à appréhender, les risques de transition, liés aux changements profonds de l’écosystème dans laquelle l’entreprise évolue et leurs conséquences sur le modèle de croissance de l’entreprise. Aucune entreprise ne sera à l’abri de ces mutations.

Les directions des risques jouent un rôle essentiel pour sensibiliser les dirigeants des grandes entreprises sur ces risques, les aider à formuler des scénarios pertinents à moyen et long terme, et à les pousser à l’action pour prévenir les risques, et exploiter les opportunités de développement qui se présentent.

L’ampleur du changement climatique, tout comme la rapidité de la révolution numérique, nous forcent à revoir le mode de fonctionnement de nos entreprises.

Face à des incertitudes croissantes et des discours anxiogènes, la tentation de se replier sur les certitudes du passé est grande. Nous devons au contraire entretenir le dialogue avec les parties prenantes, faire confiance à notre intelligence collective, faire preuve d’audace et privilégier la décision, dans le cadre d’une stratégie à long terme intégrant tous les enjeux économiques, sociaux et environnementaux.

Nous devons prendre des risques calculés aujourd’hui pour éviter des conséquences incalculables demain.

Un grand merci à @brunepoirson et à l’ @Institut_CR pour cette rencontre !