Programme de gestion des risques
De quoi s'agit-il ?
La plupart des gens associent généralement le terme « risque » à « ce qui pourrait mal tourner ». Bien que cela soit généralement vrai et qu'il s'agisse d'un biais cognitif évolutionniste, cette définition n'est que partielle. Selon la norme ISO 31000, le risque désigne « l'effet de l'incertitude sur l'atteinte des objectifs ». Par conséquent, nous devrions considérer le risque comme une incertitude qui représente à la fois un danger et une opportunité.
Alors, pourquoi nous préoccupons-nous des risques ? N'est-ce pas là un exercice corporatif/bureaucratique ? Pour y répondre, nous devons apprécier le revers de la médaille, la confiance, qui est à l'opposé du risque. Par conséquent, les programmes de gestion des risques visent en fin de compte à renforcer la confiance, notamment :
- la confiance des clients envers nos produits, nos services, le comportement de l'entreprise, etc., qui se traduit par une hausse du chiffre d'affaires ; et
- la confiance des régulateurs envers le respect des règles, qui réduit les coûts liés à la réglementation et au marché ; et
- la confiance de nos employés envers Atlassian, qui se traduit par un moral élevé et un taux de roulement plus faible.
Dans une étude réalisée en 2013 par Boston Consulting Group, les clients ont identifié la fiabilité comme l'une des principales qualités qui les attirerait vers une marque.
La prise de risques fait partie intégrante de la vie, et nous évaluons en permanence les risques par rapport aux avantages qu'ils nous procurent. Le profil de risque d'une entreprise comprend de nombreux types de risques différents (financiers, marketing, juridiques/réglementaires, opérationnels, en matière de fraude ou de sécurité, etc.) qui doivent être pesés. Le programme Enterprise Risk Management (ERM) a pour objectif :
- d'identifier et d'analyser les risques ;
- de déterminer les mesures à prendre ;
- de les concrétiser ; et
- de rendre compte de leur efficacité.
Pourquoi procéder ainsi ?
L'instauration de la confiance par l'élimination des incertitudes (c'est-à-dire la gestion des risques) repose sur deux principes fondamentaux : l'ouverture et la prévisibilité. Lorsque nous sommes transparents sur notre philosophie, nos pratiques et nos procédures, les clients savent exactement ce qu'ils obtiennent. Un partenaire prévisible est un partenaire fiable, et c'est là la raison de nos audits périodiques.
Chez Atlassian, la gestion des risques poursuit deux objectifs principaux :
- Elle minimise ce que nous ne pouvons pas contrôler. Certaines choses échapperont toujours à notre contrôle. L'important, c'est que nous soyons prêts à les gérer. Nous voulons minimiser les risques d'événements inattendus tout en nous préparant à gérer les autres.
- Elle nous donne la possibilité de courir les risques de notre choix. Lorsque l'organisation comporte beaucoup de risques, en prendre un nouveau peut sembler décourageant, même si cela offre de grandes possibilités. D'autre part, si nous maîtrisons ces risques de fond, prendre un nouveau risque semble être moins préjudiciable. Cela vaut donc la peine de l'envisager.
Il est utile de considérer le risque comme une dette, un atout à la capacité limitée qu'une organisation peut déployer. Il est préférable de maximiser nos dépenses dans les domaines dans lesquels nous pourrions obtenir un retour sur investissement maximal. C'est là l'objectif même du portefeuille des risques d'entreprise équilibré. Par exemple, des opérations cloud très risquées n'auraient que peu d'intérêt, car elles se traduiraient par une hausse des incidents et du mécontentement des clients. D'autre part, nous pourrions largement tirer profit de nouvelles utilisations de nos produits. Nous devrions donc réduire les risques afin de pouvoir accroître la satisfaction des clients. Il est certain qu'« éliminer les risques » est assez coûteux (voire impossible dans la plupart des cas) et ne vaut peut-être pas l'investissement. À titre d'exemple, une disponibilité de 99,99 % est progressivement plus difficile à obtenir qu'une disponible de 99,9 %. C'est un autre facteur qui permet d'équilibrer le portefeuille de risques.
Un programme ERM fonctionnel est :
- considéré comme une bonne pratique métier. Il s'agit d'une vue consolidée de nos principaux risques et des mesures que nous prenons pour les éviter. Il nous permet de nous assurer périodiquement que nous gérons ces risques de la manière prévue. De la même façon que nous allons chez le médecin pour confirmer que nous avons un os cassé et besoin de repos pour guérir, le programme ERM confirme la vision implicite des risques qu'ont les dirigeants et la pertinence des stratégies de gestion des risques. Parfois, le processus peut également identifier de nouveaux risques qui doivent être gérés ;
- nécessaire pour remplir nos obligations actuelles et futures en matière de conformité. Grâce à nos certifications, nous pouvons établir une relation de confiance avec les clients, qui se traduit par une augmentation du chiffre d'affaires et une réduction des frictions commerciales. Les normes SOX, SOC 2 et ISO 27001 exigent que nous poursuivions un programme ERM, que nous confirmions périodiquement les principaux risques et les stratégies de gestion des risques avec les dirigeants, et que nous rendions compte à l'organe de surveillance. À mesure que nous pénétrerons des secteurs plus réglementés et obtiendrons davantage de certifications comme HIPAA, FedRAMP, etc., nous devrons renforcer notre fiabilité, et la surveillance de notre programme ERM s'intensifiera ;
- une preuve de maturité. À mesure que nous évoluons, nous devons formaliser les pratiques afin d'accroître l'efficacité opérationnelle et d'éliminer les incertitudes (c'est-à-dire les risques). Cette efficacité opérationnelle contribuera à notre capacité d'adaptation. Pour faire simple, nous voulons éviter les surprises et nous assurer que l'intégrité de l'entreprise est une réalité.
Chez Atlassian, nous avons mis en place un framework de gestion des risques pour gérer à la fois les risques stratégiques de l'entreprise et les risques quotidiens au niveau de l'équipe. Nous procédons ainsi, car il est clairement prouvé que dans les entreprises dotées de processus de gestion des risques, la prise de décisions opérationnelles et stratégiques est optimisée. Le chiffre d'affaires est ainsi plus élevé, et les marges d'exploitation sont plus faibles.
Notre méthode
L'évaluation des risques d'entreprise est un processus complet auquel nous nous soumettons chaque année et que nous mettons régulièrement à jour tout au long de l'année. De nombreux éléments entrent dans l'analyse :
- Il existe de nombreux types différents d'évaluations de risques spécifiques : fraude, évaluations de plusieurs risques de sécurité, évaluations de différents risques opérationnels (y compris les évaluations de l'impact sur les entreprises dans le cadre du programme de continuité des affaires/reprise d'activité), évaluations d'unités commerciales individuelles (par exemple, Sécurité informatique et Finances), etc.
- Les risques effectifs, c'est-à-dire les incidents, les « incidents évités de justesse », les post-mortems de projets et livrables volumineux/importants.
- Les audits et évaluations internes et externes.
- Les analyses externes des tendances et des marchés à l'échelle mondiale, par exemple le ralentissement économique, les tendances du secteur, la concurrence, etc.
- Les commentaires et données des clients, partenaires commerciaux et fournisseurs.
- Les objectifs métier et les objectifs et résultats clés (OKR) des entreprises et des unités commerciales individuelles.
- Les entretiens approfondis avec des employés Atlassian.
Nous regroupons les données que nous recevons, les analysons pour déterminer les risques, et les évaluons en fonction de leur probabilité, de leur impact, de leur vélocité, de leurs avantages et de l'efficacité de la gestion des risques. Si nécessaire, nous consultons les leaders métier à des fins de clarification et d'alignement.
Bien que nous suivions les risques d'entreprise, nous nous concentrons sur les risques élevés sans avantages correspondants et sur les domaines qui nécessitent une attention supplémentaire.
Comment cette approche s'inscrit-elle dans la « vue d'ensemble » ?
Alors que l'équipe « Risque et conformité » gère le programme (collecte et analyse les données, établit des rapports et suit l'exécution), le rapport périodique d'évaluation des risques constitue la vue consolidée de l'équipe de direction sur nos risques les plus importants et sur la manière dont nous les gérons. L'équipe « Risque et conformité » peut donner son avis et prodiguer des conseils, mais l'équipe de direction décide de ce à quoi ressemblera notre portefeuille optimal (les risques que nous souhaitons atténuer ou augmenter, et ce sur quoi nous souhaitons concentrer nos efforts et nos ressources).
Par conséquent, le rapport d'évaluation des risques est généralement pris en compte dans la planification opérationnelle et stratégique pour faciliter les investissements et l'allocation des ressources (mais ce n'est pas le seul facteur). Il est également pris en compte dans la planification annuelle de l'audit interne. Nous avons choisi le calendrier de notre programme ERM de sorte que le rapport soit terminé vers la fin de l'année civile. En outre, c'est conforme à l'obligation de renouveler le comité d'audit deux fois par an (en juin et décembre).
Il sert de point de contrôle supplémentaire pour l'intégrité de l'activité et de l'entreprise. Il permet de valider ou de réfuter notre ressenti. C'est aussi un point d'alignement supplémentaire pour les buts et objectifs.
En conclusion
Nous voulons donner à nos clients l'assurance que les risques sont gérés de manière appropriée. De nombreux risques sont bien gérés. Nous voulons cependant nous concentrer sur ceux où l'aléa que nous acceptons (implicitement ou explicitement) est trop élevé sans bénéfice élevé correspondant. C'est cette stratégie qui nous permet de conserver une approche Lean et Agile dans un environnement complexe, où la gestion des risques et le délai de commercialisation jouent un rôle essentiel dans le développement de l'entreprise.