La gestion des risques est un enjeu majeur pour les organisations. Elle se classe d’ailleurs en deuxième position parmi les sujets qui devraient prendre de l’ampleur dans les années à venir selon les résultats du Baromètre 2024 de la Performance des Organisations. Mais quelle place occupe-t-elle vraiment au sein des organisations ? Qui en assume la responsabilité, et quelles méthodes sont utilisées pour l’appliquer ? C’est ce que nous allons voir dans cet article, en nous appuyant sur notre
Quelle place pour la gestion des risques dans les organisations ?
Recul de l’adoption de la gestion des risques
En 2024, seules 78 % des organisations ont adopté une gestion des risques, contre 93 % en 2022. Cette baisse peut s’expliquer par une prise de conscience de la complexité et de l’ampleur que nécessite la mise en place d’une telle démarche. Elle est aussi accentuée par l’évolution des normes et des exigences.
Par ailleurs, la crise inflationniste actuelle a poussé certaines organisations à renoncer à des initiatives coûteuses, initialement soutenues par des subventions.
👉 Qu’est-ce que la gestion des risques ?
Une plus grande criticité
Paradoxalement, la gestion des risques est devenue une préoccupation centrale pour les organisations, notamment en raison des crises sanitaires, économiques et géopolitiques. Il est donc probable que les organisations se montrent de plus en plus critiques quant à leur niveau de maturité dans ce domaine. Par exemple, une organisation qui se considérait bien avancée dans la démarche en 2022 grâce à une cartographie de ses risques peut estimer cela insuffisant aujourd’hui.
Maturité de la Gestion des Risques en légère hausse
Depuis 2022, la maturité de la gestion des risques n’a que peu évolué. Cependant, le premier niveau de maturité “Fonctionnement de base”, est dorénavant moins représenté pour la gestion des risques que pour la démarche processus, alors que l’on notait l’inverse en 2022. Cette inversion indique que la problématique est tout de même mieux prise en compte. Cette tendance peut être interprétée comme un signe que la plus grande criticité des organisations les a amenées à rehausser leurs exigences en matière de gestion des risques.
Familles de risques concernés
Lorsqu’elles gèrent leurs risques, les organisations se concentrent principalement sur les risques informatiques ou cyber avec 47 % des réponses, les citant en priorité. Elles ont conscience de leur vulnérabilité face à ces menaces et des conséquences potentielles directes et immédiates.
Juste derrière, avec 46,2 % des réponses, viennent les risques de conformité réglementaire et légale. La complexité réglementaire est grandissante et c’est l’une des préoccupations majeures des dirigeants.
Les risques liés à la santé et sécurité au travail (SST) et les risques opérationnels suivent, chacun étant mentionné dans plus de 40 % des réponses.
Qui est le responsable de la gestion des risques ?
Selon les résultats du Baromètre de la Performance des Organisations 2024, le principal responsable de la gestion des risques au sein des organisations est le :
- responsable Qualité (34 %)
- risk manager (17,45 %)
- dirigeant / CEO / COO (14,13 %)
Ainsi, le changement majeur que nous avions entrevu dans les précédentes éditions du baromètre se confirme ici : le responsable Qualité devient le principal responsable de la gestion des risques. Tandis que beaucoup mettaient en doute sa légitimité à mener une démarche à portée globale comme celle-ci, cela ne semble plus faire débat aujourd’hui.
Le fait qu’un nombre grandissant d’organisations ait nommé un Risk Manager (la fonction a gagné une position par rapport à 2022) est un formidable témoin de l’importance de la démarche Risques.
Bien entendu, dans les organisations de plus petite taille, la responsabilité de la gestion des risques incombe au CEO.
À noter que les DAF – et plus globalement les fonctions Finances – ne sont quasiment plus jamais en charge des risques, ce qui n’était pas le cas il y a quelques années. La gestion des risques n’est donc plus uniquement abordée sous l’angle financier.
Enfin, la faible proportion de contrôleurs de gestion / contrôleurs internes en charge de la gestion des risques pose question. Nous constatons que la gestion des risques est largement passée sous le giron de la qualité.
Quelles sont les méthodes et approches de la gestion des risques ?
Les quatres méthodes, méthodologies ou approches principales suivies pour gérer les risques sont les suivantes :
- ISO 9001 (41,31 %)
- méthode interne, spécifique à l’organisation (40,17 %)
- SWOT (39,89 %)
- AMDEC (37,04 %)
Les résultats sont particulièrement intéressants car ils mettent en évidence qu’en matière de maîtrise des risques, il est tentant de rejoindre des approches assez structurées autour des systèmes. Beaucoup d’organisations choisissent en effet de travailler sur des structures intégrées, et ainsi de faire référence à l’ISO 9001, qui est la norme pivot.
Une tendance qui risque de se confirmer avec l’intégration dans la prochaine version de l’ISO 9001 des enjeux environnementaux, éthiques…
Par ailleurs, il n’y a pas forcément une méthode se dégageant particulièrement, qui servirait de référence en matière de gestion de tous les risques.
Le SWOT peut servir à l’identification des risques et du contexte organisationnel mais ne précise rien sur la gestion de ces risques. L’AMDEC est utile mais n’est pas adaptée à tous les types de risques et de contextes.
C’est pourquoi un peu plus de 40 % des organisations choisissent de mettre en place leur propre cadre, leur propre méthodologie, basée sur leur expérience. L’équipe Qualité est souvent chargée de rassembler des recommandations méthodologiques et de construire un guide de gestion des risques, qui servira de référence en interne.
Quelles sont les problématiques spécifiques liées aux risques ?
C’est l’intégration de la démarche de gestion des risques dans le management global (35,76 %) qui arrive en tête des principales problématiques des organisations pour les années à venir.
Arrivent ensuite :
- la gestion des risques liés à la cybersécurité (31,69 %)
- la définition d’indicateurs pertinents dans la gestion de risque (31,48 %)
- la mise en place du contrôle interne pour mitiger les risques (24,63 %)
Nombre d’organisations font une cartographie des risques (état actuel) puis se limitent à une actualisation annuelle. On constate sur le terrain que les plans d’action de réduction des risques sont encore assez peu menés jusqu’au bout, ce qui constitue un véritable axe d’amélioration.
La cybersécurité est intéressante également. Déjà prioritairement traitée, elle le sera encore davantage dans les prochaines années, notamment par les organisations qui ne le font pas encore ou partiellement. Elle est intégrée dans une approche globale, pilotée par les mêmes acteurs que les autres familles de risques, avec la même méthodologie. Ce qui bien entendu n’empêche pas de solliciter les personnes compétentes au besoin.
C’est une famille de risques dont personne ne peut nier l’aspect stratégique et qui fait intervenir beaucoup de parties prenantes, dont les partenaires / sous-traitants.
Pour conclure, en 2024, nous constatons que la gestion des risques entre de plus en plus dans les préoccupations des organisations. En effet, bien que son adoption ait légèrement diminué, son importance grandit, surtout face à des défis comme la cybersécurité. La responsabilité évolue aussi, avec une place de plus en plus importante pour les responsables qualité. À l’avenir, les organisations devront intégrer la gestion des risques dans leur stratégie globale pour répondre efficacement aux défis qui les attendent.
Le Baromètre de la Performance des Organisations 2024 a été réalisé par PYX4 en partenariat avec France Qualité, le Mouvement Québécois de la Qualité et France Processus.
Image à la Une : Marra – m – Unsplash