Your SlideShare is downloading. ×

Tendance mondiale en matière de résilience et de gestion du risque métier

838

Published on

La résilience métier réside dans la capacité qu'ont les entreprises à s'adapter à un environnement opérationnel en perpétuel changement. Les plans classiques de continuité des activités, souvent fortement axés sur l'informatique, continuent d'être stratégiques, mais s'intègre désormais dans une vision plus globale, à mesure que les cadres dirigeants renforcent la surveillance de la gestion du risque à l'échelle de l'entreprise.
Cette étude menée par IBM se penche sur la manière dont ces entreprises adoptent de plus en plus des stratégies intégrées de résilience métier.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
838
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Tendance mondiale en matière de résilience et de gestion du risque métier"

  1. 1. IBM Global Business Services Résilience métierRapport de synthèseTendances mondiales en matière deresilience et de gestion du risque métierEnseignements de l’étude IBM Global Business Resilience and Risk Study 2011
  2. 2. Tendances mondiales en matière de résilience et de gestion du risque métier est une étudemenée par IBM sur la manière dont les entreprises adoptent de plus en plus des stratégiesintégrées de résilience métier dans un environnement incertain. Cette étude a été rédigéepar l’Economist Intelligence Unit, qui a également mené l’enquête en ligne et les entretiensau nom d’IBM.Nous aimerions remercier tous les dirigeants qui ont participé à l’enquête et aux entretienspour leur temps précieux et leur vision.Yousef Valine, Directeur de la gestion des risques, First Horizon National CorporationLee Garvin, Directeur, chargé de la gestion du risque, JetBlueKris Wiluan, PDG, KS Energy Services LimitedDr. Barbara Reynolds, Consultant senior, chargée de la communication sur les risques,CDC - Centres de prévention et de contrôle des maladiesJean-Pierre Bourbonnais, Vice-président/DSI, Bombardier Aerospace
  3. 3. Résilience métier 2Synthèse intégrées. Ces entreprises se placent en haut du classementLes entreprises s’adaptent à un environnement mondial en termes d’indicateurs de succès tels que l’augmentation dude plus en plus complexe en adoptant des approches plus chiffre d’affaires, la rentabilité et les parts de marché.holistiques pour l’organisation de la résilience métier. Lesplans classiques de continuité des activités, souvent fortement Les risques menaçant la continuité des activités,axés sur l’informatique, continuent d’être stratégiques, mais l’informatique et la conformité arrivent en tête dess’intègrent désormais dans une vision plus globale, à mesure préoccupations, mais les entreprises diversifient leursque les cadres dirigeants renforcent la surveillance de la stratégies pour mettre en œuvre la résilience métier. Prèsgestion du risque à l’échelle de l’entreprise. Pour assurer la de 40 % des répondants affirment que leur entrepriserésilience métier, les entreprises évoluent vers un processus considère la continuité des activités comme unede gestion du risque qui couvre les nombreux types de risques problématique informatique prioritaire. Pourtant, lorsqu’onauxquels sont exposées les fonctions à travers l’entreprise leur a demandé de désigner leur « principale préoccupationet englobe toutes les facettes de la gestion du risque, de son en matière de gestion du risque », certains en ont citéidentification à sa limitation. plusieurs, parmi lesquelles la reprise après incident (47 %), la sécurité informatique (37 %) et le respect des obligationsNotre étude indique qu’un nombre croissant d’entreprises légales (28 %). S’il est vrai que la plupart des entreprisesprévoit d’adopter une approche plus holistique de la gestion ont commencé en s’attaquant d’abord aux menaces les plusdu risque dans les trois prochaines années car elles devront immédiates, elles évolueront progressivement vers desgérer l’incertitude croissante et les interconnexions accrues domaines tels que la communication et des programmes deentre les risques divers auxquelles elles sont confrontées. formation conçus pour bâtir une culture plus résiliente àSeule une minorité (37 %) d’entreprises a mis en place mesure qu’elles adopteront des approches plus holistiques auune stratégie de résilience métier globale, mais 42 % des cours des trois prochaines années.répondants à l’enquête affirment qu’ils le feront probablementdans les trois prochaines années. Près des deux tiers (64 %)déclarent disposer d’un plan de continuité des activités et58 % possèdent des plans d’urgence dédiés permettant de Pourtant, lorsqu’on leur a demandé degérer un large éventail de risques. désigner leur « principale préoccupation en matière de gestion du risque », certains enLes autres enseignements stratégiques sont les suivants : ont cité plusieurs, parmi lesquelles :Les plus grandes entreprises sont plus à même que les • La reprise après incident (47 %)petites de disposer d’une stratégie intégrée. La complexité,souvent associée à la taille, accroît l’exposition au risque de • La sécurité informatique (37 %)l’entreprise. Notre étude montre que les entreprises avec unchiffre d’affaires annuel de 6,88 milliards d’euros ou plus • Le respect des obligations légales (28 %)sont deux fois plus enclines à avoir mis en œuvre unestratégie intégrée de résilience métier que celles dont lechiffre d’affaires ne dépasse pas 746.269.000 euros, 56 %contre 30 % respectivement. Les différences sont similairespour les autres indicateurs d’intégration. Par exemple, lesgrandes entreprises ont souvent confié la responsabilitéglobale de la gestion du risque d’entreprise (enterprise riskmanagement - ERM) à un dirigeant unique. Mais un nombreimportant de petites entreprises a aussi adopté des stratégies
  4. 4. 3 Les tendances mondiales en matière de résilience et de gestion du risque métierL’organisation de la résilience métier implique de plus enplus des spécialistes issus des différents secteurs de l’entreprise, Définition de la résilience métiermais les principaux acteurs demeurent les directeurs dessystèmes d’information (DSI) et les professionnels de Dans le cadre de cette étude, la résilience métier réside dans la capacité qu’ont les entreprises àl’informatique. Dans les entretiens, les dirigeants soulignent s’adapter à un environnement opérationnel enque la gestion du risque doit être l’affaire de tous dans perpétuel changement. Les entreprises résilientesl’entreprise. Une culture qui insuffle la responsabilité de la sont capables d’assurer la continuité des opérationsgestion du risque à tous les niveaux permet aux entreprises et de protéger leurs parts de marché de toutede répondre aux changements et aux événements imprévus. perturbation, notamment dans le cas de catastrophesLes enseignements de l’étude le confirment. Une majorité naturelles ou d’actions humaines. L’organisation de lade répondants (60 %) affirme que la résilience métier est résilience métier se distingue de la gestion du risqueconsidérée comme relevant de la responsabilité conjointe d’entreprise (enterprise risk management - ERM) parde tous les membres du comité de direction. Pourtant, alors sa démarche privilégiant la mise en œuvre deque l’informatique pénètre de plus en plus profondément capacités destinées à valoriser les potentiels résultant d’événements inattendus. Autre différence : tandis que l’ERM (enterprise risk management) peut être mis en œuvre comme une capacité de gestion,Pour une forte majorité de répondants à une stratégie intégrée de résilience métier exige l’engagement de tous les membres de l’entreprise etl’enquête, la stratégie plus globale de gestion conduit souvent à un changement de culture internedu risque de leur entreprise englobe : pour y introduire la sensibilisation au risque.• La sécurité des données et des applications (85 %) tous les aspects des opérations de l’entreprise, les directeurs• La protection des données (79 %) des systèmes d’information (DSI) et les professionnels de l’informatique demeurent les principaux acteurs de la• La sécurité des infrastructures (77 %) création d’une entreprise plus résiliente. Ils participent de plus en plus à la plupart des décisions impliquant le risque• La gouvernance de la sécurité (75 %) métier. 56 % des répondants à l’enquête affirment que le• La gestion de l’identification et des DSI collabore plus fréquemment qu’il y a trois ans avec les principaux concepteurs de stratégies informatiques. En même accès (74 %) temps, les rôles traditionnels de l’informatique sont devenus plus complexes. Une forte majorité de personnes interrogées• La gestion de la conformité (69 %) souligne que la sécurité des données et des applications (85 %), la protection des données (79 %), la sécurité des infrastructures (77 %), la gouvernance de la sécurité (75 %), la gestion de l’identification et des accès (74 %) et la gestion de la conformité (69 %) font partie intégrante de la stratégie plus globale de gestion du risque de leur entreprise.
  5. 5. Résilience métier 4Sommaire surveillance et la communication dans un processus continu. Dans la plupart des cas, toutefois, chacun de ces éléments 4 Introduction : l’incitation à la résilience métier a continué à fonctionner au sein de silos d’entreprise. Le récession économique qui a commencé en 2008 a suscité 6 Les grandes entreprises montrent la voie de la un intérêt nouveau pour la gestion du risque et conduit résilience métier à l’adoption d’approches véritablement holistiques dans 7 Encadré : Suivez le leader lesquelles la gestion du risque est inhérente à chaque décision. Aujourd’hui, les entreprises leaders poussent ces concepts 8 Couverture du spectre des risques plus loin pour élaborer des stratégies de résilience métier à 8 Le parcours de la gestion du risque l’échelle de l’entreprise. Elles s’efforcent d’intégrer dans la culture d’entreprise la capacité de réagir rapidement à toutes 9 tude de cas : gestion intégrée des risques chez É sortes d’événements inattendus - les opportunités comme les Bombardier menaces. En d’autres termes, elles élaborent une stratégie de 11 Qui mène la charge ? résilience métier qui exige l’engagement de tous les membres de l’entreprise. 12 Encadré : Freins à l’adoption d’une approche holistique L’étude réalisée par l’Economist Intelligence Unit dans 12 Le rôle stratégique de l’informatique l’optique de ce document nous montre que les dirigeants se considèrent maintenant comme plus fortement engagés 14 Conclusion dans la gestion de tous les types de risques d’entreprise. Seuls 30 % des répondants à l’enquête prétendent n’avoir mis en place aucune fonction formelle de gestion du risque, contreIntroduction : l’incitation à la résilience 42 % dans une enquête menée en 2010 auprès des directeursmétier informatiques. C’est le signe que les approches de gestionLes entreprises mondiales mettent de plus en plus l’accent sur du risque évoluent rapidement. Cela suggère, en particulier,la résilience métier, autrement dit sur la capacité de s’adapter que la tendance, identifiée dans l’enquête 2010, en faveurà un environnement opérationnel en perpétuel changement. d’un recours croissant aux approches holistiques de gestionLes entreprises résilientes sont capables d’assurer la du risque au sein de la fonction informatique, se développecontinuité des opérations et de protéger leurs parts de marché aujourd’hui dans toutes les entreprises.contre les catastrophes naturelles ou les actions humaines,ainsi que contre les changements radicaux intervenant dans laconjoncture financière ou économique. Elles disposent aussides atouts nécessaires pour valoriser les potentiels résultant À propos de l’étuded’événements inattendus. L’étude, réalisée par l’Economist Intelligence Unit au nom d’IBM en juin 2011, inclut les réponses deTraditionnellement, la gestion du risque avait tendance à 391 cadres dirigeants dont 35 % sont membres duse cristalliser sur une combinaison de transfert de risques, comité de direction. Près de 39 % des répondantsréalisée au moyen d’assurances ou d’autres produits financiers, viennent d’Amérique du Nord, 38 % d’Europe occidentale, 20 % d’Asie-Pacifique et 3 % d’Europeet sur l’organisation de la continuité des activités de manière de l’Est. Les entreprises avec un chiffre d’affairesà assurer le fonctionnement de l’entreprise pendant une inférieur à 370 millions d’euros représentent 39 %crise. Au début des années 80, certaines entreprises ont des réponses et 48 % des répondants sont issuscommencé à élaborer des programmes ERM (enterprise risk d’entreprises dont le chiffre d’affaires excèdemanagement) bâtis sur le « cercle du risque » conceptualisé 746.269.000 euros. L’étude couvre presque tous lestout d’abord en 1974 par Gustav Hamilton, gestionnaire secteurs : services financiers (16 %), informatique etdu risque de Statsföretag AB en Suède. L’idée consistait à technologie (16 %), services professionnels (13 %),relier différentes activités de gestion du risque telles que industrie manufacturière (8 %) et santé (7 %).l’identification, l’évaluation, le contrôle, le financement, la
  6. 6. 5 Les tendances mondiales en matière de résilience et de gestion du risque métierLe moteur principal à l’origine de cette tendance est le nous gagnons de l’argent en prenant prudemment dessentiment accru que l’environnement d’entreprise devient risques et en les gérant. La gestion du risque n’est doncmoins prévisible. Les entreprises doivent être mieux préparées pas quelque chose de nouveau pour nous. Ce qui l’estaux événements inattendus - bouleversements économiques c’est la nécessité de mieux comprendre les interactionset catastrophes naturelles - ainsi qu’aux initiatives des entre les différents domaines de risque. Les risques sontconcurrents et des autorités de réglementation. devenus plus interdépendants - un risque peut engendrer autre chose. » Il explique que dans le secteur des services financiers, l’organisation de la continuité des activités, resteIdentifiez et comparez les l’élément stratégique d’une approche ERM (enterprise risk management) plus large. « La continuité des activités faittendances et évolutions partie de tout programme ERM, mais comparé à d’autresimportantes de l’approche des éléments c’est juste un enjeu minime - le ticket d’entrée enentreprises en matière de risque quelque sorte. Nous disposons d’un plan de continuité bien établi et bien géré et nous le révisons régulièrement, mais ceet de résilience en téléchargeant n’est qu’une partie infime de notre ERM global. » Puisquel’étude sur la gestion du risque les banques et les autres établissements financiers assumentmenée en 2010 (IBM Global explicitement le risque comme partie intégrante de leurIT Risk Study) activité, elles ont une longue expérience de la gestion totale du risque et peuvent servir d’exemple aux autres secteurs.En conséquence, les actionnaires demandent aux cadres S’il est vrai que la majorité des répondants à l’enquêtedirigeants qu’ils renforcent la surveillance de la fonction indique que leur entreprise n’a pas encore mis en œuvre dede gestion du risque. Les entreprises doivent de plus en stratégies globales de gestion du risque, la quasi-totalité desplus apporter la preuve qu’elles gèrent le risque de manière entreprises interrogées ayant un chiffre d’affaires égal ouproactive ; en fait, le rapport annuel de la quasi-totalité des supérieur à 746.269.000 euros a intégré des plans d’urgenceentreprises comprend une section de gestion du risque. Les pour différents risques. Cette tendance est censée continuer.organismes réglementaires, les bourses et même les agences Les trois quarts des répondants à l’enquête confient qu’ilsde notation attendent aussi une plus grande responsabilité des prévoient d’adopter une stratégie intégrée de résiliencecadres dirigeants en termes de gestion du risque. métier dans les trois prochaines années ; près de la moitié l’ont déjà fait. Cette perspective plus vaste ne signifie pas queUn autre facteur de la gestion intégrée du risque réside dans les entreprises ont perdu de vue les risques spécialisés liésl’interconnexion croissante des différents types de risques. à l’informatique et à la conformité. La plupart d’entre ellesYousef Valine, continuent de confier l’analyse du risque et l’organisation des First Horizon National CorporationDirecteur de plans d’urgence à des spécialistes dédiés sur l’ensemble de Services financiersla gestion des l’entreprise. L’objectif de la stratégie intégrée de résiliencerisques chez First Horizon National Corporation, grande métier est la surveillance : fournir un cadre permettantsociété de portefeuille bancaire basée à Memphis dans le de garantir que tous les risques et opportunités ont étéTennessee, explique « Dans le secteur des services financiers, systématiquement traités et qu’un profil de risque complet de l’entreprise a été présenté aux cadres dirigeants.
  7. 7. Résilience métier 6Les grandes entreprises montrent la voie indicateurs d’intégration. Par exemple, les grandes entreprisesde la résilience métier ont souvent confié la responsabilité globale en matière deIEn général, à mesure qu’une entreprise se développe, devient gestion du risque d’entreprise (ERM) à un dirigeant unique,plus complexe et opère dans plusieurs territoires, le niveau de tandis que les répondants issus de plus petites entreprises (avecrisque augmente, c’est certainement ce qui explique que les un chiffre d’affaires égal ou inférieur à 370 millions d’euros)entreprises avec une stratégie intégrée de résilience métier sont trois fois plus enclins à indiquer n’avoir mis en placeont tendance à être de plus grande taille. En outre, puisque aucune fonction formelle de gestion du risque. Par ailleurs, ilschaque employé ou presque peut être considéré comme une sont moins susceptibles d’avoir fait intervenir des consultantssource de risque, plus les effectifs sont nombreux, plus grande extérieurs. Pourtant, les petites entreprises rattrapent leurest l’incertitude, ce qui renforce, pour les cadres dirigeants, le retard. Les répondants des entreprises se situant dans la plagebesoin de surveillance afin de s’assurer que les diverses activités des 746.269.000 euros déclarent plus volontiers que les grandesde gestion du risque sont en adéquation avec l’appétence entreprises, prévoir la mise en place d’une équipe de gestion duau risque de l’entreprise. Cette situation augmente aussi le risque à l’échelle de l’entreprise et l’élaboration d’une stratégiepérimètre d’identification, d’analyse et de création de rapports intégrée de gestion du risque au cours des trois prochainessur les risques. Parmi les répondants à l’enquête représentant années. Cela ne veut pas dire que les plus petites entreprisesdes entreprises avec un chiffre d’affaires annuel égal ou sont nécessairement des « suiveurs ». L’analyse des résultatssupérieur à 7,46 milliards d’euros, 56 % ont mis en œuvre de l’enquête a permis d’identifier un groupe d’entreprisesune stratégie intégrée de résilience métier, contre 30 % pour innovatrices agiles qui a bien avancé dans l’adoption d’uneles entreprises dont le chiffre d’affaires annuel est inférieur à gestion du risque plus holistique (voir l’encadré, Suivez le leader).746.269.000 euros. Les différences sont similaires pour les autres Investir dans de nouvelles solutions informatiques 58 % 38 % associées à la gestion du risque Créer un plan de continuité des activités 64 % 30 % Développer la communication ou un programme de formation pour 42 % 39 % améliorer leurs stratégies de continuité des activités ou de résilience métier Créer une équipe de gestion du risque à léchelle de lentreprise 49 % 30 % Développer une stratégie intégrée de résilience métier 37 % 42 % Ouvrir la discussion sur les questions de résilience métier avec les partenaires de la chaîne logistique 46 % 33 % Répondre à laccroissement récent de catastrophes naturelles en 41 % 37 % repensant les stratégies de continuité des activités Confier la responsabilité globale de gestion du risque 45 % 30 % sur lensemble de lentreprise à un dirigeant unique Faire intervenir des consultants extérieurs de gestion du risque 34 % 37 % 0% 20 % 40 % 60 % 80 % 100 % Trois dernières années Trois prochaines annéesFigure 1 : Mesures de gestion du risque adoptées (pourcentage de tous les répondants)
  8. 8. 7 Les tendances mondiales en matière de résilience et de gestion du risque métierSuivez le leader d’affaires annuel est compris entre 746.269.000 euros et 7,46 milliards d’euros. Une majorité (51 %) considèreL’analyse des résultats de l’enquête révèle que l’adoption la reprise après incident comme la principalede pratiques pointues de résilience métier n’est pas le seul préoccupation en matière de gestion du risque et 52 %apanage des grandes entreprises. Elle a permis d’identifier ont créé un plan de continuité des activités ; 40 % n’ontquatre types d’entreprise s’appuyant sur la résilience mis en place aucune fonction formelle de gestion dumétier et sur une communication autonome en matière de risque. La moitié affirme avoir un projet futur de stratégieperformances financières : de résilience à l’échelle de l’entreprise• Les grandes résilientes —dont 72 % présentent • Les novices —dont 75 % présentent un chiffre d’affaires un chiffre d’affaires annuel égal ou supérieur à annuel égal ou inférieur à 370 millions d’euros - ne sont 7,46 milliards d’euros - ont adopté différentes pratiques pas très bien préparées à la gestion des risques métier de gestion holistique du risque et associé un large et ont des vues étroites sur les stratégies de gestion du éventail d’acteurs à leurs stratégies de résilience. Elles risque. Leurs performances figurent en bas de l’échelle surclassent les autres en matière de développement du pour chaque indicateur. La majorité d’entre elles ne chiffre d’affaires, de rentabilité et de gains de parts de dispose d’aucune stratégie formelle en matière de marché. gestion du risque et leurs performances financières• Les innovatrices agiles—dont 77 % présentent un arrivent en dernière place, mais la moitié d’entre elles chiffre d’affaires annuel égal ou inférieur à 370 millions affirment avoir l’intention d’élaborer une stratégie d’euros - ont adopté, en matière de gestion du risque, formelle de gestion du risque et de créer une équipe de des pratiques holistiques identiques à celles des grandes gestion du risque à l’échelle de l’entreprise au cours des résilientes. Concernant la plupart des indicateurs de trois prochaines années. performances, elles se situent juste après les grandes Une caractéristique distincte des entreprises les plus résilientes, mais devant les traditionalistes et loin devant performantes est leur propension à considérer la résilience les novices. métier comme une problématique qui influence tous les• Les traditionalistes se situent dans la « moyenne » secteurs de l’entreprise. Environ 88 % des grandes résilientes pour leurs résultats en matière de résilience métier et de approuvent cette proposition, ainsi que 82 % des innovatrices performances financières. Pour plus de 80 %, leur chiffre agiles, contre 25 % des traditionalistes et 36 % des novices.
  9. 9. Résilience métier 8Couverture du spectre des risques Le parcours de la gestion du risqueUne approche intégrée de la gestion du risque n’implique La gestion holistique du risque a été décrite par plusieurspas de centraliser l’analyse du risque ou de donner une experts du marché comme un parcours, non une destination.importance égale à tous les types de risque. Elle entraîne Elle repose sur des principes qui sont assez bien compris,l’évaluation de l’intégralité du spectre des risques de manière mais il n’existe aucune garantie de succès. L’approche d’uneéquilibrée pour créer une vision globale des menaces et des entreprise dépend dans une large mesure du type de risquesopportunités auxquelles l’entreprise est confrontée. Une auxquels elle doit faire face et de sa fragilité face au risque.caractéristique commune aux grandes résilientes et aux En général, un plan de continuité des activités constitue lainnovatrices agiles est qu’elles possèdent plusieurs plans première étape vers des approches plus holistiques. Près desde continuité des activités et d’urgence qui répondent à deux-tiers des répondants assurent que leur entreprise a déjàdifférents types de risques. Elles indiquent aussi que les créé un plan de continuité des activités et une majorité déclarerisques informatiques spécifiques sont incorporés dans leur que leur plan est bien conçu et annoncé. Les étapes suivantesapproche à l’échelle de l’entreprise, y compris la protection du parcours sont, en principe, de nommer un dirigeant pourdes données, la sécurité des applications, la gestion des piloter une approche globale et mettre en place une équipepolitiques de sécurité, la gestion de la conformité, la sécurité de gestion du risque à l’échelle de l’entreprise. Près des deuxdes infrastructures et la gestion de l’identification et des accès. tiers (65 %) des répondants affirment que leur entreprise a déjà pris ces mesures ou prévoit de le faire dans les troisUn avantage décisif de l’intégration de la gestion du risque, prochaines années. Au-delà de ces étapes initiales, pourtant,outre le fait qu’elle facilite la surveillance globale du risque il existe différents chemins vers la gestion du risque surde l’entreprise par les cadres dirigeants, est qu’elle permet le l’ensemble de l’entreprise. partage d’expérience et la collaboration des JetBlue gestionnaires du risque spécialisé. Elle fait Certaines entreprises considèrent l’ERM comme partie Compagnie également apparaître des risques susceptibles intégrante de la gouvernance d’entreprise de « haut en bas ». aérienne de se trouver exclus car non intégrés dans Kris Wiluan, PDG de KS Energy Services Limitedles spécialités. Lee Garvin, Directeur, chargé de la gestion KS Energy Services Fournitures et services pour lesdu risque pour JetBlue, compagnie aérienne basée à New Limited, prestataire gisements pétrolifèresYork, explique que contourner ces failles constitue une partie de services et deessentielle de la stratégie ERM de la compagnie : « À l’instar fournitures pour les gisements pétrolifères basé à Singapour,d’un grand nombre d’entreprises, nous nous préoccupons des estime que, dans son secteur d’activité, la gestion du risquesilos potentiels, car parfois des événements qui sont imprévus doit être assumée au niveau du conseil d’administration carou en dehors des hypothèses que vous avez établies peuvent les entreprises doivent mener à bien un travail délicat automber entre les silos. » niveau environnemental sur de nombreux territoires dans le monde entier. « Notre groupe de gestion du risque est placéMalgré la tendance vers une vision plus large des risques de sous l’autorité d’un administrateur indépendant qui préside lel’entreprise, 47 % de l’ensemble des répondants à l’enquête comité d’audit », précise-t-il. « Il soumet ensuite les principauxdéclarent que la reprise après incident reste la principale problèmes au Conseil. En effet, nous considérons l’ERMpréoccupation en matière de gestion du risque. Mais la majorité comme un processus d’audit opérationnel. La difficulté consistedes leaders des grandes résilientes désapprouve. Ils ne sont pas à s’assurer que les personnes qui animent le programmed’accord non plus sur le fait que la sécurité informatique est la ERM comprennent notre activité, afin qu’elles ne fassent pasprincipale préoccupation en matière de gestion du risque. fausse route ».En même temps, cependant, 92 % affirment que la protectiondes données est un problème spécialisé qui fait partie de lastratégie plus globale de gestion du risque de leur entreprise.Cela suggère que les entreprises ne perdent pas de vue lesrisques spécialisés lorsqu’elles élargissent leurs stratégies derésilience métier pour prendre en compte un plus grand nombrede types de risques.
  10. 10. 9 Les tendances mondiales en matière de résilience et de gestion du risque métierÉtude de cas : gestion intégrée des risques du risque pour adopter une vision plus holistique deschez Bombardier potentialités. » Jean-Pierre Bourbonnais souligne un autre changement, à savoir l’évolution vers une perspectiveL’avionneur Bombardier Inc. Bombardier consultative des risques qui fait en sorte que mêmebasé à Montréal est un exemple Constructeur les petites divisions opérationnelles peuvent apprécierde grande entreprise dotée d’une d’avions réellement leurs propres risques et décider des moyensstratégie holistique de résilience à mettre en place pour y remédier : « Tout cela doitmétier très élaborée. Le groupe Aerospace de l’entreprise, s’intégrer dans une culture dans laquelle on traite et onun constructeur de premier plan d’avions d’entreprise et parle ouvertement des risques. « La priorité aujourd’hui estcommerciaux, est confronté à une foule de risques sur de conjuguer les visions de « haut en bas » et consultativeles marchés mondiaux. La gestion active du risque, l’une pour élaborer un cadre de gestion du risque véritablementdes priorités absolues dans le cadre de la planification fondé sur une stratégie holistique, c’est-à-dire globale, destratégique à long terme de l’entreprise, est placée sous la résilience métier ».la responsabilité des cadres hiérarchiques sur l’ensemblede l’entreprise. Au niveau de l’entreprise, l’équipe des M. Bourbonnais explique que son rôle de DSI a évoluéservices d’audit et d’évaluation des risques prépare des à mesure que l’approche holistique de la gestion duévaluations complètes et les intègrent dans les groupes risque s’imposait. « En tant que membre de l’équipeopérationnels. Chaque division de l’entreprise est appelée de direction générale de Bombardier Aerospace, jeà adopter les meilleures pratiques de gestion du risque suis totalement impliqué dans toutes les décisionspour sélectionner les risques qui génèrent de la valeur stratégiques importantes qui sont prises. » Par exemple,tout en limitant, gérant et transférant de manière proactive il siège à plusieurs comités importants, y compris ceuxles risques qui n’en créent pas. En dernier ressort, le chargés des opérations, de l’ingénierie et de l’élaborationconseil d’administration assume la responsabilité de cette des programmes. Il ajoute que ses subordonnés directsstratégie via le Comité de gestion des finances et des participent eux-aussi de plus en plus aux stratégies et auxrisques, composé de quatre administrateurs indépendants. décisions de l’entreprise : « Lorsque cela se produit, le département informatique est au diapason de ce qui seJean-Pierre Bourbonnais, DSI de Bombardier Aerospace, passe dans l’entreprise. »explique comment en 2011 l’entreprise a renforcé cettestratégie déjà rigoureuse par une nouvelle politique et Le défi le plus important, poursuit M. Bourbonnais, estun nouveau cadre de gestion du risque métier, conforme la hiérarchisation du grand nombre de risques quià la famille de normes ISO 31000. L’équipe d’évaluation sont identifiés grâce à une culture de sensibilisationdes risques de l’entreprise a toujours utilisé une consultative aux risques. Il faut identifier toutes lesapproche de « haut en bas » pour l’évaluation, en dépendances potentielles entre les différents types deréalisant des interviews avec les leaders des divisions risque. « Nous essayons de comprendre s’il existe unopérationnelles », explique-t-il. « Ils créent une carte chemin critique, ou une séquence pour la matérialisationdes risques qui apporte la garantie que les risques les du risque et la vitesse à laquelle des événements imprévusplus importants sont activement gérés. La différence peuvent se produire, car en agissant comme il faut dès leaujourd’hui, c’est d’avoir dépassé une approche défensive début vous pouvez maîtriser la siatution. »
  11. 11. Résilience métier 10D’autres entreprises travaillent de manière horizontale à Les Centres de prévention et de contrôle des maladies (CDC),travers l’entreprise pour développer un profil de risque à une agence Centres de prévention et de contrôle desl’échelle de l’entreprise pour les cadres dirigeants. M. Garvin fédérale maladiesde JetBlue précise : « Chez JetBlue, notre objectif consiste à américaine Agence fédéraleconjuguer la pérennité de notre culture et le développement basée àdu chiffre d’affaires. La gestion du risque n’est rien d’autre Atlanta, en Géorgie, intègrent la gestion du risque au niveauque cela. » Le processus ERM de JetBlue implique des de l’entreprise à travers un conseil d’intégrité des programmes,réunions mensuelles pour les acteurs principaux ; un groupe composé des responsables de plusieurs programmes de gestionde dirigeants élargi se rencontre tous les trimestres. Grâce à du risque spécialisé. L’un de ses membres, Dr. Barbarace processus, des rapports intégrés sont transmis au comité Reynolds, Consultant senior, chargée de la communicationde direction et au conseil d’administration. « Nous envoyons sur les risques, dirige un programme de gestion du risquedes questionnaires et interrogeons tous les membres de notre d’absence de crédibilité appelé CDC RiskSmart. Elle expliquegroupe », commente-t-il. « Nous leur demandons quelles sont que la réputation du CDC est stratégique puisque c’est d’elleleurs problématiques actuelles, quelles sont celles qui ont été que dépend la crédibilité de ses recommandations. RiskSmartrésolues et celles à prévoir. Ainsi tout le monde nous donne s’efforce d’établir le contact avec tous les collaborateurs duune vision personnelle de la situation. Cela permet de briser centre pour influencer les valeurs et les comportements quiles silos, car le groupe compte un certain nombre de vice- risquent potentiellement de porter atteinte à a crédibilité duprésidents et d’administrateurs. » CDC. D’autres gestionnaires du risque chargés de problèmes tels que la sécurité des laboratoires, la sécurité physique, la finance et l’informatique sont également membres du Professionnels 82 % Programme Integrity Board. de linformatique « La détection du risque doit être effectuée à l’endroit même Directeurs informatiques 80 % où s’exprime un comportement. », explique Dr. Reynolds. Autres membres du « Ainsi tous les employés du centre sont investis du pouvoir 71 % comité de direction et de la responsabilité de détection de toutes sortes de Consultants 60 % risques. »’ En prenant en charge la limitation au niveau du juridiques centre, il devient possible de partager les leçons apprises par Membres du CA 56 % une partie de ses membres. « Nous nous réunissons tous les Employés 55 % mois », précise-t-elle. « Et nous recherchons constamment des moyens d’améliorer nos comportements, notre science, Partenaires 46 % notre recherche, notre réputation de sécurité, notre 0% 20 % 40 % 60 % 80 % 100 % responsabilité financière, car toutes ces composantes jouent un rôle important dans ce domaine. »Figure 2 : Niveau d’engagement dans la stratégie de résiliencemétier (pourcentage « engagés » ou « très engagés » dans les troisprochaines années)
  12. 12. 11 Les tendances mondiales en matière de résilience et de gestion du risque métierQui mène le projet ? La gestion holistique du risque implique un changementÀ mesure que le concept de gestion du risque se développe culturel. « La culture est une priorité absolue pour Firstpour englober un plus grand éventail de risques, la Horizon », confie M. Valine. « La gestion du risque estresponsabilité s’étend à toute l’organisation. Le DSI (ou l’affaire de tous dans l’entreprise. C’est une capacité deéquivalent) est le plus souvent responsable, confirment 42 % gestion, et non un département ou une fonction. Pour gérerdes personnes interrogées. Mais 60 % déclarent que tous les le risque efficacement, nous avons mis en place une modemembres du comité de direction assument une responsabilité de réflexion impliquant trois questions : « Devrions-nousconjointe. Notamment, 90 % des répondants appartenant le faire ? » « Pouvons-nous le faire ? » « L’avons-nousaux grandes résilientes et aux innovatrices agiles précisent fait ? » Ces questions nous aident à prendre la bonneque tous les membres du comité de direction partagent cette décision, à nous assurer que nous pouvons réaliser et obtenirresponsabilité. Ces entreprises résilientes sont aussi plus les résultats métier prévus. La sincérité et la transparenceenclines que les autres à expliquer que la gestion du risque constituent un facteur de succès stratégique pour une bonnes’appuie sur une large base de participation dans l’entreprise. gestion du risque. Il ne sera pas répondu correctement à ces questions si les personnes ne souhaitent pas s’exprimer. » Les répondants confirment que l’engagement desNotamment, 90 % des répondants collaborateurs de toutes les entreprises est la tendance actuelle.appartenant aux grandes résilientes et aux Les répondants identifient les acteurs qui sont « très engagés »innovatrices agiles précisent que tous les de la manière suivante : Directeurs des systèmes d’information (DSI) (45 %), professionnels de l’informatique (41 %), autresmembres du comité de direction partagent cadres dirigeants (26 %), conseillers juridiques (21 %),la responsabilité de la gestion du risque. membres du CA (17 %), employés (9 %) et partenaires (7 %). La tendance en faveur d’une gestion plus holistique du risque se reflète dans les prévisions des répondants qui dénotent un engagement accru de la part de chacun de ces acteurs au cours des trois prochaines années, notamment un plus grand engagement des partenaires et des employés.
  13. 13. Résilience métier 12 Le rôle stratégique de l’informatiqueFreins à l’adoption d’une approche holistique Le rôle de la fonction informatique s’élargit à mesure que progresse l’adoption de stratégies de gestion du risqueL’élaboration d’une stratégie de résilience est une plus holistiques. Cela traduit en partie une situation dansentreprise complexe dont le succès dépend de la capacité laquelle la quasi-totalité des processus métier stratégiquesà obtenir le soutien d’un certain nombre d’acteurs. Undirigeant chargé de piloter une approche holistique doit sont tributaires du support informatique. « L’informatiqueregrouper le travail de plusieurs gestionnaires du risque constitue un élément très important de notre démarche despécialisés, possédant chacun des compétences, des gestion du risque, car rien aujourd’hui ne peut être fait sansoutils et des perspectives uniques. Pour mobiliser les elle », précise M. Wiluan de KS Energy Services Limited.ressources nécessaires, il doit présenter une analyse de « Nous avons des hubs informatiques et des systèmes derentabilité irréfutable aux cadres dirigeants. Et pour être sauvegarde dans différents pays et des réseaux qui doivent êtreefficaces, les messages de gestion du risque doivent être protégés. Ces problèmes spécialisés constituent des élémentscommuniqués à tous les collaborateurs de l’entreprise qui très importants dans notre gestion du risque globale. »peuvent avoir une incidence sur le risque.Les répondants expliquent que les silos au sein de En même temps, les rôles traditionnels de l’informatiquel’entreprise sont le principal obstacle à l’élaboration sont devenus plus complexes, avec le développement desd’une culture de résilience. Sans surprise, cet obstacle infrastructures, de l’intégrité des données et de la sécuritéest mentionné deux fois plus souvent par les répondants des données. Une forte majorité de personnes interrogéesissus des plus grandes entreprises. Les innovatrices souligne que la sécurité des données et des applicationsagiles citent plus fréquemment les limitations du budget (85 %), la protection des données (79 %), la sécurité descomme frein principal, tandis que les novices soulignent infrastructures (77 %), la gouvernance de la sécurité (75 %),l’absence de vision et d’engagement du comité de la gestion de l’identification et des accès (74 %) et la gestiondirection. L’incapacité de prévoir avec précision le retoursur investissement de la gestion du risque est également de la conformité (69 %) font partie intégrante de la stratégieévoquée comme un problème significatif par les plus globale de gestion du risque de leur entreprise.entreprises de toutes tailles. Le rôle de l’informatique s’étend aussi dans d’autresLes personnes que nous avons interrogées nous ont domaines du risque d’entreprise. Plus des trois quarts desapporté des éclairages sur la manière de surmonter cesobstacles. Lee Garvin, Directeur, chargé de la gestion répondants affirment que la fonction informatique estdu risque pour JetBlue, compagnie aérienne basée à amenée à contribuer de manière importante à la créationNew York, suggère qu’une bonne stratégie pour créer d’une entreprise plus résiliente et une majorité déclare êtreun programme ERM est d’y aller à petits pas et impliquée dans la plupart des décisions concernant le risqued’impliquer un large éventail d’acteurs pour comprendre métier. M. Gavin confie que l’informatique est l’un des troisles différents risques sur l’ensemble de l’entreprise. « piliers » de l’ERM chez JetBlue : « Si je perds un processusIl souligne la nécessité de se méfier de la dérive des métier, peu importe s’il s’agit d’une tempête de neige,objectifs. « Il s’agit vraiment de rester concentrés et petits, d’un ouragan, d’un tremblement de terre, d’une grève,car c’est toujours plus facile de se développer une fois d’un matériel brisé ou d’un incendie, car je considère cetteque tout tourne bien ». perte du point de vue de la continuité du processus, ce quiYousef Valine, Directeur de la gestion des risques chez constitue un pilier. L’informatique est un autre pilier car nosFirst Horizon National Corporation, grande société de processus métier dépendent de la technologie. Et en tant queportefeuille bancaire basée à Memphis dans le Tennessee, compagnie aérienne nous avons un troisième pilier qui estexplique que le principal frein à la « création de la culture la réaction d’urgence. »adaptée » commence au niveau du PDG et du conseild’administration. « Mon argument pour convaincre lecomité de direction est de dire que disposer d’une gestionrobuste du risque constitue un avantage vis-à-vis de laconcurrence », confie-t-il. « Si le PDG ne comprend pas,vous n’avez d’autre choix que laisser tomber et de partir. »
  14. 14. 13 Les tendances mondiales en matière de résilience et de gestion du risque métierUn autre rôle émergent pour les professionnels de Les enseignements tirés de l’étude montrent que lesl’informatique est la création de solutions technologiques professionnels de l’informatique sont de plus en plus engagéspour tous les types de problèmes liés à la gestion du risque. dans le développement d’une gestion du risque à l’échelle deL’utilisation potentielle du Cloud computing comme outil de l’entreprise. Près de 56 % des répondants constatent que,gestion du risque est un domaine d’activité intense. Bien que dans leur entreprise, le DSI collabore plus fréquemment qu’ilseuls 18 % des répondants aient affirmé que leur entreprise y a trois ans avec les principaux concepteurs de stratégiesconsidérait actuellement le Cloud computing comme un informatiques ; seulement 3 % des répondants affirment queaspect stratégique important de la gestion d’entreprise, des les directeurs informatiques ne s’impliquent pas du tout.ressources considérables ont été allouées à l’évaluation decette possibilité. Environ une personne interrogée sur cinq La tendance vers une réflexion holistique a pour conséquencea déclaré que son entreprise envisageait actuellement le que les risques sont moins souvent considérés dans unerecours au Cloud computing. 28 % ont admis que le Cloud optique essentiellement informatique. Les répondants sontétait prometteur pour l’avenir. 21 % ont affirmé que leur divisés de manière presque égale (40 % contre 42 %) pourentreprise n’envisageait pas cette solution. Seuls 6 % ont approuver et désapprouver la déclaration suivante : « larépondu que les méthodes traditionnelles de fourniture des continuité des activités est une problématique informatiqueservices informatiques étaient les outils les plus efficaces pour prioritaire » Pourtant, ceux qui ont indiqué que leurgérer la résilience métier. entreprise avait adopté une stratégie intégrée de résilience métier sont moins enclins à approuver (33 %) que les autres (43 %). Ils sont également beaucoup plus susceptibles que les Sécurité des données entreprises sans stratégie de résilience métier (62 % contre et des applications 85 % 46 %) à dire que la fonction informatique est engagée dans Protection des 79 % la plupart des décisions impliquant le risque. La fonction données informatique joue un rôle décisif, quoique non exclusif, dans Sécurité des la gestion holistique du risque. En d’autres termes, il semble 77 % infrastructures que les frontières entre les risques informatiques et les risques Gouvernance de la sécurité et gestion du risque 75 % métier s’estompent dans les entreprises les plus résilientes. Gestion de lidentification 74 % et des accès Gestion de la conformité 69 % 0% 20 % 40 % 60 % 80 % 100 %Figure 3 : Composants informatiques de la gestion d’entreprise(% des répondants interrogés)
  15. 15. Résilience métier 14Conclusion Il convient aussi de disposer de l’engagement des cadresDans la plupart des entreprises, l’amélioration de la résilience dirigeants et des ressources adaptées pour développer desmétier va de pair avec l’évolution de la culture d’entreprise programmes complets de communication et de formationcar c’est elle qui façonne les valeurs et le comportement. afin d’accompagner la gestion intégrée du risque. UneSi une culture d’entreprise amalgame la sensibilisation au caractéristique distincte des entreprises les plus résilientesrisque à ses autres valeurs, instinctivement tout le monde est qu’elles ont, plus que les autres, élaboré une stratégie desait quelle est la bonne attitude à adopter lorsqu’on est communication pour insuffler le message de la résilience dansconfronté à une situation inattendue, et le risque s’en trouve les moindres recoins de l’entreprise.atténué. Et Dr Reynolds de préciser : « Dans une entreprisetype, les faux-pas réellement dramatiques qui sont commis Les entreprises qui adoptent ces mesures sont plus à mêmesont souvent liés aux valeurs plutôt qu’aux compétences. » de créer un plan efficace de résilience métier qui constitueraLa création d’une équipe de gestion du risque à l’échelle de la fondation nécessaire à une compétitivité durable,l’entreprise est un bon début, mais sa mission doit à terme conjointement à une gestion du risque de bout en bout.être renforcée pour toucher l’ensemble de l’entreprise,car la gestion du risque doit devenir l’affaire de tous dansl’entreprise. Un plan efficace de résilience métierComprendre ces principes est une première étape importante, constitue la fondation nécessaire à unemais au cours des entretiens, les cadres ont clairement indiqué compétitivité durable, conjointement à uneque le soutien des cadres dirigeants était essentiel pourpromouvoir la mutation de l’entreprise. La mise en valeur gestion du risque de bout en bout.des concepts de gestion holistique du risque auprès des pairset des employés est aussi primordiale. Il peut être intéressantd’adopter une approche impliquant une large participationdans le développement stratégique, car il est plus facile depromouvoir le changement si la nouvelle initiative n’est pasperçue comme émanant d’une faction particulière.
  16. 16. Pour de plus amples informationsPour en savoir plus sur une approche holistique de larésilience métier et de la gestion du risque et sur la manièredont IBM peut vous aider à la mettre en place, vous pouvezcontacter votre représentant IBM, demande de contact par unreprésentant IBM ou consulter les sites web suivants : © Copyright IBM Corporation 2011ibm.com/services/riskstudy IBM France 17 Avenue de l’Europe 92275 Bois Colombes Cedexibm.com/smarterplanet/us/en/business_resilience_management/overview La page d’accueil d’IBM est accessible à l’adresse ibm.com/fr Produit aux États-Unis. Septembre 2011 All Rights Reserved IBM, le logo IBM et ibm.com sont des marques d’International Business Machines Corporation aux États-Unis et/ou dans d’autres pays. L’association d’un symbole de marque déposée (® ou ™) avec des termes protégés par IBM, lors de leur première apparition dans le document, indique qu’il s’agit, au moment de la publication de ces informations, de marques déposées ou de droit coutumier aux États-Unis. Ces marques peuvent également être des marques déposées ou de fait dans d’autres pays. Une liste actualisée des marques IBM est accessible sur le web sous la mention « Copyright and trademark information » à l’adresse ibm.com/legal/copytrade.shtml Les autres noms de sociétés, de produits et de services peuvent être les marques ou marques de services de tiers. Ces informations concernent les produits et les services commercialisés par IBM France et n’impliquent aucunement l’intention d’IBM de les commercialiser dans d’autres pays. Veuillez recycler RLW03004-FRFR-00

×