La perception de plus en plus nette des menaces pousse les entreprises à mettre en œuvre des démarches de gestion des risques. Malheureusement, ces démarches restent encore trop souvent perçues comme des contraintes venant brider les métiers. A l’heure où le système d’information occupe une place prépondérante dans les activités de l’entreprise, quels sont les risques à gérer pour faire de la démarche un créateur de valeur ?
Découvrez quelques éléments de réponse dans la première partie de notre dossier consacré au Management des risques.
Une prise de risque au service de l’atteinte des objectifs de l’entreprise
Les démarches de gestion des risques peuvent donner l’impression de sur-traiter le risque, voire de le refuser systématiquement. En se focalisant sur les pertes potentielles, les filières de gestion des risques oublient parfois les gains potentiels d’une prise de risque. Se développer sur un nouveau marché, adapter son offre commerciale, acquérir une société… sont autant de démarches « risquées » qui se révèlent aussi sources potentielles de profits pour l’entreprise et bien souvent nécessaires à son évolution. Pour chaque risque, c’est ce difficile exercice d’équilibre entre gains et pertes potentielles qui doit permettre de modifier la perception que les métiers ont des démarches de gestion des risques.
Une gestion des risques efficace doit apporter une aide à la décision et une réponse assumée et proportionnée aux menaces pesant sur l’entreprise. Cela ne peut être atteint qu’en collaboration avec les directions métiers qui sont les seules à même d’évaluer les impacts sur leurs activités.
Un prérequis : formaliser les objectifs de l’entreprise pour identifier les risques et leurs porteurs
Les risques créent une incertitude sur l’atteinte des objectifs de l’entreprise (voir la norme ISO 31000). Pour identifier, évaluer et gérer les risques, il est donc essentiel pour l’entreprise de bien identifier et formaliser ses objectifs.
Les risques touchent tous les niveaux de l’entreprise et sont portés en conséquence par des acteurs multiples. Au-delà des risques stratégiques gérés par la Direction générale et des risques métiers, bien souvent sectoriels et portés par les directions en charge de ces fonctions, les risques opérationnels ont fait l’objet d’une attention de plus en plus importante ces dernières années. Le renforcement des réglementations, plus particulièrement dans le secteur financier, a mis en lumière un besoin fort de maîtrise de ces risques. Communs à toutes les entreprises, ils recouvrent les risques relatifs aux processus, aux personnes et aux systèmes de l’entreprise.
Le SI, colonne vertébrale de l’entreprise, au cœur de la gestion des risques
Parmi les risques opérationnels, les risques liés aux systèmes d’information ont évolué particulièrement rapidement ces dernières années et doivent faire l’objet d’une gestion de risques à part entière. Autour de l’information s’articulent en effet différents domaines de risques très dépendants les uns des autres.
- Les risques du système d’information sont des risques transverses à l’entreprise, qui intègrent l’ensemble des risques métiers et opérationnels ayant une composante SI.
- Les risques sécurité de l’information comportent une large composante SI, mais n’y sont pas limités. Ainsi, la sécurité de l’information couvre également les dimensions orales et papier de l’information. Bien ancrés dans les pratiques de gestion de risques des entreprises, ils font souvent l’objet d’une filière dédiée.
- Il en va de même pour les risques de continuité d’activité. Ils regroupent des risques SI sur les aspects continuité informatique, mais débordent largement sur les risques opérationnels en traitant le secours utilisateur et les aspects logistiques, RH, juridiques, etc.
De nombreux référentiels et des normes existent pour gérer ces risques. S’ils convergent sur un certain nombre de concepts fondamentaux, leurs modalités de mise en œuvre divergent en revanche : méthodologies variées, différences de vocabulaire, etc.
La mise en place de filières spécifiques à chaque type de risque les a souvent largement exploités ces dernières années, sans pour autant uniformiser les pratiques.
Dès lors, il peut s’avérer difficile de disposer d’une vision d’ensemble et un nouvel enjeu émerge : comment optimiser globalement la gestion des risques SI ? (Lire notre article « Casser les silos en articulant les filières de gestion de risques« )
Pour en savoir plus sur le management des risques, consultez également la synthèse Solucom « Management des risques, plaidoyer pour une vision unifiée ».