Les dirigeants sont-ils aveugles aux risques ?

Dans une période de grande incertitude et la volatilité, la gestion du risque d'entreprise (ERM) est un ensemble de bonnes pratiques qui promet aux organisations la visibilité nécessaire pour maintenir les plans d'affaires sur la bonne voie. Idéalement, lorsque les dirigeants ont une vision globale des risques dans l'ensemble de l'organisation, ils sont mieux à même de peser les coûts et les avantages potentiels de leurs options stratégiques. Cependant, une enquête menée par Baker Tilly et l'Internal Audit Foundation au début de cette année révèle que pour plus de 4 entreprises sur 10 qui ont mis en œuvre la GRE, les informations qui en résultent n'éclairent pas la prise de décision stratégique.

Seuls 49% des 567 professionnels du risque d'entreprise interrogés reconnaissent que la sensibilisation au risque est désormais présente dans l'ensemble de l'organisation. Cela indique que la pratique de l'ERM a encore beaucoup à faire pour atteindre l'objectif de gestion des risques dans l'ensemble de l'entreprise. Bien que 57% des personnes interrogées reconnaissent que les connaissances et/ou les capacités en matière de risques sont utilisées pour guider les décisions relatives à l'expansion des activités et/ou à l'optimisation des processus, une grande minorité ne parvient pas à récolter tous les avantages de la GRE.

La rapidité des évaluations GRE est également un problème. Environ une personne interrogée sur quatre a déclaré que son organisation n'avait pas effectué d'évaluation des risques à l'échelle de l'entreprise au cours des trois dernières années. Le manque de ressources et de personnel, ainsi que le manque de soutien de la part des dirigeants, ont été identifiés comme les principales causes de ce retard. Dans leur rapport Dans l'enquête, les chercheurs soulignent que "compte tenu du niveau extraordinaire de perturbation et de volatilité des risques depuis 2020 [...] une seule évaluation des risques en trois ans serait insuffisante pour la plupart des organisations". Parmi celles qui ont évalué les risques à l'échelle de l'entreprise au cours des trois dernières années, la plupart (67%) l'ont fait chaque année. Cependant, seul un quart de celles qui procèdent à des évaluations annuelles les alignent sur le cycle économique, ce qui signifie que les planificateurs stratégiques n'ont peut-être pas la perspective la plus récente sur les risques lorsqu'ils définissent les priorités pour l'année à venir.

Comment un plus grand nombre d'organisations peuvent-elles s'engager sur la voie d'une pratique mature de la GRE ? Les chercheurs conseillent de renforcer la communication et la collaboration, et de clarifier les rôles. Cela signifie que les représentants des principales fonctions de gestion des risques doivent se réunir au moins une fois par trimestre et que des comités spécialisés doivent être mis en place pour les principaux domaines de risque, tels que la cybersécurité. Les entreprises devraient également proposer une formation annuelle sur les risques aux parties prenantes directes du processus de GRE, voire à tous les employés, afin de s'assurer que les facteurs de risque sont largement compris.