IBM Global Business Services Rapport de synthse

Rsilience mtier

Tendances mondiales en matire de resilience et de gestion du risque mtier

Enseignements de ltude IBM Global Business Resilience and Risk Study 2011

Tendances mondiales en matire de rsilience et de gestion du risque mtier est une tude mene par IBM sur la manire dont les entreprises adoptent de plus en plus des stratgies intgres de rsilience mtier dans un environnement incertain. Cette tude a t rdige par lEconomist Intelligence Unit, qui a galement men lenqute en ligne et les entretiens au nom dIBM. Nous aimerions remercier tous les dirigeants qui ont particip lenqute et aux entretiens pour leur temps prcieux et leur vision. Yousef Valine, Directeur de la gestion des risques, First Horizon National Corporation Lee Garvin, Directeur, charg de la gestion du risque, JetBlue Kris Wiluan, PDG, KS Energy Services Limited Dr. Barbara Reynolds, Consultant senior, charge de la communication sur les risques, CDC - Centres de prvention et de contrle des maladies Jean-Pierre Bourbonnais, Vice-prsident/DSI, Bombardier Aerospace

Rsilience mtier

Synthse
Les entreprises sadaptent un environnement mondial de plus en plus complexe en adoptant des approches plus holistiques pour lorganisation de la rsilience mtier. Les plans classiques de continuit des activits, souvent fortement axs sur linformatique, continuent dtre stratgiques, mais sintgrent dsormais dans une vision plus globale, mesure que les cadres dirigeants renforcent la surveillance de la gestion du risque lchelle de lentreprise. Pour assurer la rsilience mtier, les entreprises voluent vers un processus de gestion du risque qui couvre les nombreux types de risques auxquels sont exposes les fonctions travers lentreprise et englobe toutes les facettes de la gestion du risque, de son identification sa limitation. Notre tude indique quun nombre croissant dentreprises prvoit dadopter une approche plus holistique de la gestion du risque dans les trois prochaines annes car elles devront grer lincertitude croissante et les interconnexions accrues entre les risques divers auxquelles elles sont confrontes. Seule une minorit (37 %) dentreprises a mis en place une stratgie de rsilience mtier globale, mais 42 % des rpondants lenqute affirment quils le feront probablement dans les trois prochaines annes. Prs des deux tiers (64 %) dclarent disposer dun plan de continuit des activits et 58 % possdent des plans durgence ddis permettant de grer un large ventail de risques. Les autres enseignements stratgiques sont les suivants : Les plus grandes entreprises sont plus mme que les petites de disposer dune stratgie intgre. La complexit, souvent associe la taille, accrot lexposition au risque de lentreprise. Notre tude montre que les entreprises avec un chiffre daffaires annuel de 6,88 milliards deuros ou plus sont deux fois plus enclines avoir mis en uvre une stratgie intgre de rsilience mtier que celles dont le chiffre daffaires ne dpasse pas 746.269.000 euros, 56 % contre 30 % respectivement. Les diffrences sont similaires pour les autres indicateurs dintgration. Par exemple, les grandes entreprises ont souvent confi la responsabilit globale de la gestion du risque dentreprise (enterprise risk management - ERM) un dirigeant unique. Mais un nombre important de petites entreprises a aussi adopt des stratgies

intgres. Ces entreprises se placent en haut du classement en termes dindicateurs de succs tels que laugmentation du chiffre daffaires, la rentabilit et les parts de march. Les risques menaant la continuit des activits, linformatique et la conformit arrivent en tte des proccupations, mais les entreprises diversifient leurs stratgies pour mettre en uvre la rsilience mtier. Prs de 40 % des rpondants affirment que leur entreprise considre la continuit des activits comme une problmatique informatique prioritaire. Pourtant, lorsquon leur a demand de dsigner leur principale proccupation en matire de gestion du risque , certains en ont cit plusieurs, parmi lesquelles la reprise aprs incident (47 %), la scurit informatique (37 %) et le respect des obligations lgales (28 %). Sil est vrai que la plupart des entreprises ont commenc en sattaquant dabord aux menaces les plus immdiates, elles volueront progressivement vers des domaines tels que la communication et des programmes de formation conus pour btir une culture plus rsiliente mesure quelles adopteront des approches plus holistiques au cours des trois prochaines annes.

Pourtant, lorsquon leur a demand de dsigner leur principale proccupation en matire de gestion du risque , certains en ont cit plusieurs, parmi lesquelles : La reprise aprs incident (47 %) La scurit informatique (37 %) Le respect des obligations lgales (28 %)

Les tendances mondiales en matire de rsilience et de gestion du risque mtier

Lorganisation de la rsilience mtier implique de plus en plus des spcialistes issus des diffrents secteurs de lentreprise, mais les principaux acteurs demeurent les directeurs des systmes dinformation (DSI) et les professionnels de linformatique. Dans les entretiens, les dirigeants soulignent que la gestion du risque doit tre laffaire de tous dans lentreprise. Une culture qui insuffle la responsabilit de la gestion du risque tous les niveaux permet aux entreprises de rpondre aux changements et aux vnements imprvus. Les enseignements de ltude le confirment. Une majorit de rpondants (60 %) affirme que la rsilience mtier est considre comme relevant de la responsabilit conjointe de tous les membres du comit de direction. Pourtant, alors que linformatique pntre de plus en plus profondment

Dfinition de la rsilience mtier Dans le cadre de cette tude, la rsilience mtier rside dans la capacit quont les entreprises sadapter un environnement oprationnel en perptuel changement. Les entreprises rsilientes sont capables dassurer la continuit des oprations et de protger leurs parts de march de toute perturbation, notamment dans le cas de catastrophes naturelles ou dactions humaines. Lorganisation de la rsilience mtier se distingue de la gestion du risque dentreprise (enterprise risk management - ERM) par sa dmarche privilgiant la mise en uvre de capacits destines valoriser les potentiels rsultant dvnements inattendus. Autre diffrence : tandis que lERM (enterprise risk management) peut tre mis en uvre comme une capacit de gestion, une stratgie intgre de rsilience mtier exige lengagement de tous les membres de lentreprise et conduit souvent un changement de culture interne pour y introduire la sensibilisation au risque.

Pour une forte majorit de rpondants lenqute, la stratgie plus globale de gestion du risque de leur entreprise englobe : La scurit des donnes et des applications (85 %) La protection des donnes (79 %) La scurit des infrastructures (77 %) La gouvernance de la scurit (75 %) La gestion de lidentification et des accs (74 %) La gestion de la conformit (69 %)

tous les aspects des oprations de lentreprise, les directeurs des systmes dinformation (DSI) et les professionnels de linformatique demeurent les principaux acteurs de la cration dune entreprise plus rsiliente. Ils participent de plus en plus la plupart des dcisions impliquant le risque mtier. 56 % des rpondants lenqute affirment que le DSI collabore plus frquemment quil y a trois ans avec les principaux concepteurs de stratgies informatiques. En mme temps, les rles traditionnels de linformatique sont devenus plus complexes. Une forte majorit de personnes interroges souligne que la scurit des donnes et des applications (85 %), la protection des donnes (79 %), la scurit des infrastructures (77 %), la gouvernance de la scurit (75 %), la gestion de lidentification et des accs (74 %) et la gestion de la conformit (69 %) font partie intgrante de la stratgie plus globale de gestion du risque de leur entreprise.

Rsilience mtier

Sommaire
4 Introduction : lincitation la rsilience mtier 6 Les grandes entreprises montrent la voie de la rsilience mtier 7 Encadr : Suivez le leader 8 Couverture du spectre des risques 8 Le parcours de la gestion du risque 9 tude de cas : gestion intgre des risques chez Bombardier 11 Qui mne la charge ? 12 Encadr : Freins ladoption dune approche holistique 12 Le rle stratgique de linformatique 14 Conclusion

surveillance et la communication dans un processus continu. Dans la plupart des cas, toutefois, chacun de ces lments a continu fonctionner au sein de silos dentreprise. Le rcession conomique qui a commenc en 2008 a suscit un intrt nouveau pour la gestion du risque et conduit ladoption dapproches vritablement holistiques dans lesquelles la gestion du risque est inhrente chaque dcision. Aujourdhui, les entreprises leaders poussent ces concepts plus loin pour laborer des stratgies de rsilience mtier lchelle de lentreprise. Elles sefforcent dintgrer dans la culture dentreprise la capacit de ragir rapidement toutes sortes dvnements inattendus - les opportunits comme les menaces. En dautres termes, elles laborent une stratgie de rsilience mtier qui exige lengagement de tous les membres de lentreprise. Ltude ralise par lEconomist Intelligence Unit dans loptique de ce document nous montre que les dirigeants se considrent maintenant comme plus fortement engags dans la gestion de tous les types de risques dentreprise. Seuls 30 % des rpondants lenqute prtendent navoir mis en place aucune fonction formelle de gestion du risque, contre 42 % dans une enqute mene en 2010 auprs des directeurs informatiques. Cest le signe que les approches de gestion du risque voluent rapidement. Cela suggre, en particulier, que la tendance, identifie dans lenqute 2010, en faveur dun recours croissant aux approches holistiques de gestion du risque au sein de la fonction informatique, se dveloppe aujourdhui dans toutes les entreprises.

Introduction : lincitation la rsilience mtier

Les entreprises mondiales mettent de plus en plus laccent sur la rsilience mtier, autrement dit sur la capacit de sadapter un environnement oprationnel en perptuel changement. Les entreprises rsilientes sont capables dassurer la continuit des oprations et de protger leurs parts de march contre les catastrophes naturelles ou les actions humaines, ainsi que contre les changements radicaux intervenant dans la conjoncture financire ou conomique. Elles disposent aussi des atouts ncessaires pour valoriser les potentiels rsultant dvnements inattendus. Traditionnellement, la gestion du risque avait tendance se cristalliser sur une combinaison de transfert de risques, ralise au moyen dassurances ou dautres produits financiers, et sur lorganisation de la continuit des activits de manire assurer le fonctionnement de lentreprise pendant une crise. Au dbut des annes 80, certaines entreprises ont commenc laborer des programmes ERM (enterprise risk management) btis sur le cercle du risque conceptualis tout dabord en 1974 par Gustav Hamilton, gestionnaire du risque de Statsfretag AB en Sude. Lide consistait relier diffrentes activits de gestion du risque telles que lidentification, lvaluation, le contrle, le financement, la

propos de ltude Ltude, ralise par lEconomist Intelligence Unit au nom dIBM en juin 2011, inclut les rponses de 391 cadres dirigeants dont 35 % sont membres du comit de direction. Prs de 39 % des rpondants viennent dAmrique du Nord, 38 % dEurope occidentale, 20 % dAsie-Pacifique et 3 % dEurope de lEst. Les entreprises avec un chiffre daffaires infrieur 370 millions deuros reprsentent 39 % des rponses et 48 % des rpondants sont issus dentreprises dont le chiffre daffaires excde 746.269.000 euros. Ltude couvre presque tous les secteurs : services financiers (16 %), informatique et technologie (16 %), services professionnels (13 %), industrie manufacturire (8 %) et sant (7 %).

Les tendances mondiales en matire de rsilience et de gestion du risque mtier

Le moteur principal lorigine de cette tendance est le sentiment accru que lenvironnement dentreprise devient moins prvisible. Les entreprises doivent tre mieux prpares aux vnements inattendus - bouleversements conomiques et catastrophes naturelles - ainsi quaux initiatives des concurrents et des autorits de rglementation.

Identifiez et comparez les tendances et volutions importantes de lapproche des entreprises en matire de risque et de rsilience en tlchargeant ltude sur la gestion du risque mene en 2010 (IBM Global IT Risk Study)
En consquence, les actionnaires demandent aux cadres dirigeants quils renforcent la surveillance de la fonction de gestion du risque. Les entreprises doivent de plus en plus apporter la preuve quelles grent le risque de manire proactive ; en fait, le rapport annuel de la quasi-totalit des entreprises comprend une section de gestion du risque. Les organismes rglementaires, les bourses et mme les agences de notation attendent aussi une plus grande responsabilit des cadres dirigeants en termes de gestion du risque. Un autre facteur de la gestion intgre du risque rside dans linterconnexion croissante des diffrents types de risques. Yousef Valine, First Horizon National Corporation Directeur de Services financiers la gestion des risques chez First Horizon National Corporation, grande socit de portefeuille bancaire base Memphis dans le Tennessee, explique Dans le secteur des services financiers,

nous gagnons de largent en prenant prudemment des risques et en les grant. La gestion du risque nest donc pas quelque chose de nouveau pour nous. Ce qui lest cest la ncessit de mieux comprendre les interactions entre les diffrents domaines de risque. Les risques sont devenus plus interdpendants - un risque peut engendrer autre chose. Il explique que dans le secteur des services financiers, lorganisation de la continuit des activits, reste llment stratgique dune approche ERM (enterprise risk management) plus large. La continuit des activits fait partie de tout programme ERM, mais compar dautres lments cest juste un enjeu minime - le ticket dentre en quelque sorte. Nous disposons dun plan de continuit bien tabli et bien gr et nous le rvisons rgulirement, mais ce nest quune partie infime de notre ERM global. Puisque les banques et les autres tablissements financiers assument explicitement le risque comme partie intgrante de leur activit, elles ont une longue exprience de la gestion totale du risque et peuvent servir dexemple aux autres secteurs. Sil est vrai que la majorit des rpondants lenqute indique que leur entreprise na pas encore mis en uvre de stratgies globales de gestion du risque, la quasi-totalit des entreprises interroges ayant un chiffre daffaires gal ou suprieur 746.269.000 euros a intgr des plans durgence pour diffrents risques. Cette tendance est cense continuer. Les trois quarts des rpondants lenqute confient quils prvoient dadopter une stratgie intgre de rsilience mtier dans les trois prochaines annes ; prs de la moiti lont dj fait. Cette perspective plus vaste ne signifie pas que les entreprises ont perdu de vue les risques spcialiss lis linformatique et la conformit. La plupart dentre elles continuent de confier lanalyse du risque et lorganisation des plans durgence des spcialistes ddis sur lensemble de lentreprise. Lobjectif de la stratgie intgre de rsilience mtier est la surveillance : fournir un cadre permettant de garantir que tous les risques et opportunits ont t systmatiquement traits et quun profil de risque complet de lentreprise a t prsent aux cadres dirigeants.

Rsilience mtier

Les grandes entreprises montrent la voie de la rsilience mtier

IEn gnral, mesure quune entreprise se dveloppe, devient plus complexe et opre dans plusieurs territoires, le niveau de risque augmente, cest certainement ce qui explique que les entreprises avec une stratgie intgre de rsilience mtier ont tendance tre de plus grande taille. En outre, puisque chaque employ ou presque peut tre considr comme une source de risque, plus les effectifs sont nombreux, plus grande est lincertitude, ce qui renforce, pour les cadres dirigeants, le besoin de surveillance afin de sassurer que les diverses activits de gestion du risque sont en adquation avec lapptence au risque de lentreprise. Cette situation augmente aussi le primtre didentification, danalyse et de cration de rapports sur les risques. Parmi les rpondants lenqute reprsentant des entreprises avec un chiffre daffaires annuel gal ou suprieur 7,46 milliards deuros, 56 % ont mis en uvre une stratgie intgre de rsilience mtier, contre 30 % pour les entreprises dont le chiffre daffaires annuel est infrieur 746.269.000 euros. Les diffrences sont similaires pour les autres

indicateurs dintgration. Par exemple, les grandes entreprises ont souvent confi la responsabilit globale en matire de gestion du risque dentreprise (ERM) un dirigeant unique, tandis que les rpondants issus de plus petites entreprises (avec un chiffre daffaires gal ou infrieur 370 millions deuros) sont trois fois plus enclins indiquer navoir mis en place aucune fonction formelle de gestion du risque. Par ailleurs, ils sont moins susceptibles davoir fait intervenir des consultants extrieurs. Pourtant, les petites entreprises rattrapent leur retard. Les rpondants des entreprises se situant dans la plage des 746.269.000 euros dclarent plus volontiers que les grandes entreprises, prvoir la mise en place dune quipe de gestion du risque lchelle de lentreprise et llaboration dune stratgie intgre de gestion du risque au cours des trois prochaines annes. Cela ne veut pas dire que les plus petites entreprises sont ncessairement des suiveurs . Lanalyse des rsultats de lenqute a permis didentifier un groupe dentreprises innovatrices agiles qui a bien avanc dans ladoption dune gestion du risque plus holistique (voir lencadr, Suivez le leader).

Investir dans de nouvelles solutions informatiques associes la gestion du risque Crer un plan de continuit des activits Dvelopper la communication ou un programme de formation pour amliorer leurs stratgies de continuit des activits ou de rsilience mtier Crer une quipe de gestion du risque l'chelle de l'entreprise Dvelopper une stratgie intgre de rsilience mtier Ouvrir la discussion sur les questions de rsilience mtier avec les partenaires de la chane logistique Rpondre l'accroissement rcent de catastrophes naturelles en repensant les stratgies de continuit des activits Coner la responsabilit globale de gestion du risque sur l'ensemble de l'entreprise un dirigeant unique Faire intervenir des consultants extrieurs de gestion du risque

58 % 64 % 42 % 49 % 37 % 46 % 41 % 45 % 34 % 37 % 42 % 33 % 37 % 30 % 39 % 30 %

38 % 30 %

0%

20 %

40 %

60 %

80 %

100 %

Trois dernires annes

Trois prochaines annes

Figure 1 : Mesures de gestion du risque adoptes (pourcentage de tous les rpondants)

Les tendances mondiales en matire de rsilience et de gestion du risque mtier

Suivez le leader Lanalyse des rsultats de lenqute rvle que ladoption de pratiques pointues de rsilience mtier nest pas le seul apanage des grandes entreprises. Elle a permis didentifier quatre types dentreprise sappuyant sur la rsilience mtier et sur une communication autonome en matire de performances financires : Les grandes rsilientes dont 72 % prsentent un chiffre daffaires annuel gal ou suprieur 7,46 milliards deuros - ont adopt diffrentes pratiques de gestion holistique du risque et associ un large ventail dacteurs leurs stratgies de rsilience. Elles surclassent les autres en matire de dveloppement du chiffre daffaires, de rentabilit et de gains de parts de march. Les innovatrices agilesdont 77 % prsentent un chiffre daffaires annuel gal ou infrieur 370 millions deuros - ont adopt, en matire de gestion du risque, des pratiques holistiques identiques celles des grandes rsilientes. Concernant la plupart des indicateurs de performances, elles se situent juste aprs les grandes rsilientes, mais devant les traditionalistes et loin devant les novices. Les traditionalistes se situent dans la moyenne pour leurs rsultats en matire de rsilience mtier et de performances financires. Pour plus de 80 %, leur chiffre

daffaires annuel est compris entre 746.269.000 euros et 7,46 milliards deuros. Une majorit (51 %) considre la reprise aprs incident comme la principale proccupation en matire de gestion du risque et 52 % ont cr un plan de continuit des activits ; 40 % nont mis en place aucune fonction formelle de gestion du risque. La moiti affirme avoir un projet futur de stratgie de rsilience lchelle de lentreprise Les novices dont 75 % prsentent un chiffre daffaires annuel gal ou infrieur 370 millions deuros - ne sont pas trs bien prpares la gestion des risques mtier et ont des vues troites sur les stratgies de gestion du risque. Leurs performances figurent en bas de lchelle pour chaque indicateur. La majorit dentre elles ne dispose daucune stratgie formelle en matire de gestion du risque et leurs performances financires arrivent en dernire place, mais la moiti dentre elles affirment avoir lintention dlaborer une stratgie formelle de gestion du risque et de crer une quipe de gestion du risque lchelle de lentreprise au cours des trois prochaines annes.
Une caractristique distincte des entreprises les plus performantes est leur propension considrer la rsilience mtier comme une problmatique qui influence tous les secteurs de lentreprise. Environ 88 % des grandes rsilientes approuvent cette proposition, ainsi que 82 % des innovatrices agiles, contre 25 % des traditionalistes et 36 % des novices.

Rsilience mtier

Couverture du spectre des risques

Une approche intgre de la gestion du risque nimplique pas de centraliser lanalyse du risque ou de donner une importance gale tous les types de risque. Elle entrane lvaluation de lintgralit du spectre des risques de manire quilibre pour crer une vision globale des menaces et des opportunits auxquelles lentreprise est confronte. Une caractristique commune aux grandes rsilientes et aux innovatrices agiles est quelles possdent plusieurs plans de continuit des activits et durgence qui rpondent diffrents types de risques. Elles indiquent aussi que les risques informatiques spcifiques sont incorpors dans leur approche lchelle de lentreprise, y compris la protection des donnes, la scurit des applications, la gestion des politiques de scurit, la gestion de la conformit, la scurit des infrastructures et la gestion de lidentification et des accs. Un avantage dcisif de lintgration de la gestion du risque, outre le fait quelle facilite la surveillance globale du risque de lentreprise par les cadres dirigeants, est quelle permet le partage dexprience et la collaboration des JetBlue gestionnaires du risque spcialis. Elle fait Compagnie galement apparatre des risques susceptibles arienne de se trouver exclus car non intgrs dans les spcialits. Lee Garvin, Directeur, charg de la gestion du risque pour JetBlue, compagnie arienne base New York, explique que contourner ces failles constitue une partie essentielle de la stratgie ERM de la compagnie : linstar dun grand nombre dentreprises, nous nous proccupons des silos potentiels, car parfois des vnements qui sont imprvus ou en dehors des hypothses que vous avez tablies peuvent tomber entre les silos. Malgr la tendance vers une vision plus large des risques de lentreprise, 47 % de lensemble des rpondants lenqute dclarent que la reprise aprs incident reste la principale proccupation en matire de gestion du risque. Mais la majorit des leaders des grandes rsilientes dsapprouve. Ils ne sont pas daccord non plus sur le fait que la scurit informatique est la principale proccupation en matire de gestion du risque. En mme temps, cependant, 92 % affirment que la protection des donnes est un problme spcialis qui fait partie de la stratgie plus globale de gestion du risque de leur entreprise. Cela suggre que les entreprises ne perdent pas de vue les risques spcialiss lorsquelles largissent leurs stratgies de rsilience mtier pour prendre en compte un plus grand nombre de types de risques.

Le parcours de la gestion du risque

La gestion holistique du risque a t dcrite par plusieurs experts du march comme un parcours, non une destination. Elle repose sur des principes qui sont assez bien compris, mais il nexiste aucune garantie de succs. Lapproche dune entreprise dpend dans une large mesure du type de risques auxquels elle doit faire face et de sa fragilit face au risque. En gnral, un plan de continuit des activits constitue la premire tape vers des approches plus holistiques. Prs des deux-tiers des rpondants assurent que leur entreprise a dj cr un plan de continuit des activits et une majorit dclare que leur plan est bien conu et annonc. Les tapes suivantes du parcours sont, en principe, de nommer un dirigeant pour piloter une approche globale et mettre en place une quipe de gestion du risque lchelle de lentreprise. Prs des deux tiers (65 %) des rpondants affirment que leur entreprise a dj pris ces mesures ou prvoit de le faire dans les trois prochaines annes. Au-del de ces tapes initiales, pourtant, il existe diffrents chemins vers la gestion du risque sur lensemble de lentreprise. Certaines entreprises considrent lERM comme partie intgrante de la gouvernance dentreprise de haut en bas . Kris Wiluan, PDG de KS Energy Services Limited KS Energy Services Fournitures et services pour les Limited, prestataire gisements ptrolifres de services et de fournitures pour les gisements ptrolifres bas Singapour, estime que, dans son secteur dactivit, la gestion du risque doit tre assume au niveau du conseil dadministration car les entreprises doivent mener bien un travail dlicat au niveau environnemental sur de nombreux territoires dans le monde entier. Notre groupe de gestion du risque est plac sous lautorit dun administrateur indpendant qui prside le comit daudit , prcise-t-il. Il soumet ensuite les principaux problmes au Conseil. En effet, nous considrons lERM comme un processus daudit oprationnel. La difficult consiste sassurer que les personnes qui animent le programme ERM comprennent notre activit, afin quelles ne fassent pas fausse route .

Les tendances mondiales en matire de rsilience et de gestion du risque mtier

tude de cas : gestion intgre des risques chez Bombardier

Lavionneur Bombardier Inc. Bombardier bas Montral est un exemple Constructeur de grande entreprise dote dune davions stratgie holistique de rsilience mtier trs labore. Le groupe Aerospace de lentreprise, un constructeur de premier plan davions dentreprise et commerciaux, est confront une foule de risques sur les marchs mondiaux. La gestion active du risque, lune des priorits absolues dans le cadre de la planification stratgique long terme de lentreprise, est place sous la responsabilit des cadres hirarchiques sur lensemble de lentreprise. Au niveau de lentreprise, lquipe des services daudit et dvaluation des risques prpare des valuations compltes et les intgrent dans les groupes oprationnels. Chaque division de lentreprise est appele adopter les meilleures pratiques de gestion du risque pour slectionner les risques qui gnrent de la valeur tout en limitant, grant et transfrant de manire proactive les risques qui nen crent pas. En dernier ressort, le conseil dadministration assume la responsabilit de cette stratgie via le Comit de gestion des finances et des risques, compos de quatre administrateurs indpendants. Jean-Pierre Bourbonnais, DSI de Bombardier Aerospace, explique comment en 2011 lentreprise a renforc cette stratgie dj rigoureuse par une nouvelle politique et un nouveau cadre de gestion du risque mtier, conforme la famille de normes ISO 31000. Lquipe dvaluation des risques de lentreprise a toujours utilis une approche de haut en bas pour lvaluation, en ralisant des interviews avec les leaders des divisions oprationnelles , explique-t-il. Ils crent une carte des risques qui apporte la garantie que les risques les plus importants sont activement grs. La diffrence aujourdhui, cest davoir dpass une approche dfensive

du risque pour adopter une vision plus holistique des potentialits. Jean-Pierre Bourbonnais souligne un autre changement, savoir lvolution vers une perspective consultative des risques qui fait en sorte que mme les petites divisions oprationnelles peuvent apprcier rellement leurs propres risques et dcider des moyens mettre en place pour y remdier : Tout cela doit sintgrer dans une culture dans laquelle on traite et on parle ouvertement des risques. La priorit aujourdhui est de conjuguer les visions de haut en bas et consultative pour laborer un cadre de gestion du risque vritablement fond sur une stratgie holistique, cest--dire globale, de la rsilience mtier . M. Bourbonnais explique que son rle de DSI a volu mesure que lapproche holistique de la gestion du risque simposait. En tant que membre de lquipe de direction gnrale de Bombardier Aerospace, je suis totalement impliqu dans toutes les dcisions stratgiques importantes qui sont prises. Par exemple, il sige plusieurs comits importants, y compris ceux chargs des oprations, de lingnierie et de llaboration des programmes. Il ajoute que ses subordonns directs participent eux-aussi de plus en plus aux stratgies et aux dcisions de lentreprise : Lorsque cela se produit, le dpartement informatique est au diapason de ce qui se passe dans lentreprise. Le dfi le plus important, poursuit M. Bourbonnais, est la hirarchisation du grand nombre de risques qui sont identifis grce une culture de sensibilisation consultative aux risques. Il faut identifier toutes les dpendances potentielles entre les diffrents types de risque. Nous essayons de comprendre sil existe un chemin critique, ou une squence pour la matrialisation du risque et la vitesse laquelle des vnements imprvus peuvent se produire, car en agissant comme il faut ds le dbut vous pouvez matriser la siatution.

Rsilience mtier

10

Dautres entreprises travaillent de manire horizontale travers lentreprise pour dvelopper un profil de risque lchelle de lentreprise pour les cadres dirigeants. M. Garvin de JetBlue prcise : Chez JetBlue, notre objectif consiste conjuguer la prennit de notre culture et le dveloppement du chiffre daffaires. La gestion du risque nest rien dautre que cela. Le processus ERM de JetBlue implique des runions mensuelles pour les acteurs principaux ; un groupe de dirigeants largi se rencontre tous les trimestres. Grce ce processus, des rapports intgrs sont transmis au comit de direction et au conseil dadministration. Nous envoyons des questionnaires et interrogeons tous les membres de notre groupe , commente-t-il. Nous leur demandons quelles sont leurs problmatiques actuelles, quelles sont celles qui ont t rsolues et celles prvoir. Ainsi tout le monde nous donne une vision personnelle de la situation. Cela permet de briser les silos, car le groupe compte un certain nombre de viceprsidents et dadministrateurs.

Professionnels de l'informatique Directeurs informatiques Autres membres du comit de direction Consultants juridiques Membres du CA Employs Partenaires

82 % 80 % 71 % 60 % 56 % 55 % 46 %

0%

20 %

40 %

60 %

80 % 100 %

Les Centres de prvention et de contrle des maladies (CDC), une agence Centres de prvention et de contrle des fdrale maladies amricaine Agence fdrale base Atlanta, en Gorgie, intgrent la gestion du risque au niveau de lentreprise travers un conseil dintgrit des programmes, compos des responsables de plusieurs programmes de gestion du risque spcialis. Lun de ses membres, Dr. Barbara Reynolds, Consultant senior, charge de la communication sur les risques, dirige un programme de gestion du risque dabsence de crdibilit appel CDC RiskSmart. Elle explique que la rputation du CDC est stratgique puisque cest delle que dpend la crdibilit de ses recommandations. RiskSmart sefforce dtablir le contact avec tous les collaborateurs du centre pour influencer les valeurs et les comportements qui risquent potentiellement de porter atteinte a crdibilit du CDC. Dautres gestionnaires du risque chargs de problmes tels que la scurit des laboratoires, la scurit physique, la finance et linformatique sont galement membres du Programme Integrity Board. La dtection du risque doit tre effectue lendroit mme o sexprime un comportement. , explique Dr. Reynolds. Ainsi tous les employs du centre sont investis du pouvoir et de la responsabilit de dtection de toutes sortes de risques. En prenant en charge la limitation au niveau du centre, il devient possible de partager les leons apprises par une partie de ses membres. Nous nous runissons tous les mois , prcise-t-elle. Et nous recherchons constamment des moyens damliorer nos comportements, notre science, notre recherche, notre rputation de scurit, notre responsabilit financire, car toutes ces composantes jouent un rle important dans ce domaine.

Figure 2 : Niveau dengagement dans la stratgie de rsilience mtier (pourcentage engags ou trs engags dans les trois prochaines annes)

11

Les tendances mondiales en matire de rsilience et de gestion du risque mtier

Qui mne le projet ?

mesure que le concept de gestion du risque se dveloppe pour englober un plus grand ventail de risques, la responsabilit stend toute lorganisation. Le DSI (ou quivalent) est le plus souvent responsable, confirment 42 % des personnes interroges. Mais 60 % dclarent que tous les membres du comit de direction assument une responsabilit conjointe. Notamment, 90 % des rpondants appartenant aux grandes rsilientes et aux innovatrices agiles prcisent que tous les membres du comit de direction partagent cette responsabilit. Ces entreprises rsilientes sont aussi plus enclines que les autres expliquer que la gestion du risque sappuie sur une large base de participation dans lentreprise.

La gestion holistique du risque implique un changement culturel. La culture est une priorit absolue pour First Horizon , confie M. Valine. La gestion du risque est laffaire de tous dans lentreprise. Cest une capacit de gestion, et non un dpartement ou une fonction. Pour grer le risque efficacement, nous avons mis en place une mode de rflexion impliquant trois questions : Devrions-nous le faire ? Pouvons-nous le faire ? Lavons-nous fait ? Ces questions nous aident prendre la bonne dcision, nous assurer que nous pouvons raliser et obtenir les rsultats mtier prvus. La sincrit et la transparence constituent un facteur de succs stratgique pour une bonne gestion du risque. Il ne sera pas rpondu correctement ces questions si les personnes ne souhaitent pas sexprimer. Les rpondants confirment que lengagement des collaborateurs de toutes les entreprises est la tendance actuelle. Les rpondants identifient les acteurs qui sont trs engags de la manire suivante : Directeurs des systmes dinformation (DSI) (45 %), professionnels de linformatique (41 %), autres cadres dirigeants (26 %), conseillers juridiques (21 %), membres du CA (17 %), employs (9 %) et partenaires (7 %). La tendance en faveur dune gestion plus holistique du risque se reflte dans les prvisions des rpondants qui dnotent un engagement accru de la part de chacun de ces acteurs au cours des trois prochaines annes, notamment un plus grand engagement des partenaires et des employs.

Notamment, 90 % des rpondants appartenant aux grandes rsilientes et aux innovatrices agiles prcisent que tous les membres du comit de direction partagent la responsabilit de la gestion du risque.

Rsilience mtier

12

Le rle stratgique de linformatique

Freins ladoption dune approche holistique Llaboration dune stratgie de rsilience est une entreprise complexe dont le succs dpend de la capacit obtenir le soutien dun certain nombre dacteurs. Un dirigeant charg de piloter une approche holistique doit regrouper le travail de plusieurs gestionnaires du risque spcialiss, possdant chacun des comptences, des outils et des perspectives uniques. Pour mobiliser les ressources ncessaires, il doit prsenter une analyse de rentabilit irrfutable aux cadres dirigeants. Et pour tre efficaces, les messages de gestion du risque doivent tre communiqus tous les collaborateurs de lentreprise qui peuvent avoir une incidence sur le risque. Les rpondants expliquent que les silos au sein de lentreprise sont le principal obstacle llaboration dune culture de rsilience. Sans surprise, cet obstacle est mentionn deux fois plus souvent par les rpondants issus des plus grandes entreprises. Les innovatrices agiles citent plus frquemment les limitations du budget comme frein principal, tandis que les novices soulignent labsence de vision et dengagement du comit de direction. Lincapacit de prvoir avec prcision le retour sur investissement de la gestion du risque est galement voque comme un problme significatif par les entreprises de toutes tailles. Les personnes que nous avons interroges nous ont apport des clairages sur la manire de surmonter ces obstacles. Lee Garvin, Directeur, charg de la gestion du risque pour JetBlue, compagnie arienne base New York, suggre quune bonne stratgie pour crer un programme ERM est dy aller petits pas et dimpliquer un large ventail dacteurs pour comprendre les diffrents risques sur lensemble de lentreprise. Il souligne la ncessit de se mfier de la drive des objectifs. Il sagit vraiment de rester concentrs et petits, car cest toujours plus facile de se dvelopper une fois que tout tourne bien . Yousef Valine, Directeur de la gestion des risques chez First Horizon National Corporation, grande socit de portefeuille bancaire base Memphis dans le Tennessee, explique que le principal frein la cration de la culture adapte commence au niveau du PDG et du conseil dadministration. Mon argument pour convaincre le comit de direction est de dire que disposer dune gestion robuste du risque constitue un avantage vis--vis de la concurrence , confie-t-il. Si le PDG ne comprend pas, vous navez dautre choix que laisser tomber et de partir.

Le rle de la fonction informatique slargit mesure que progresse ladoption de stratgies de gestion du risque plus holistiques. Cela traduit en partie une situation dans laquelle la quasi-totalit des processus mtier stratgiques sont tributaires du support informatique. Linformatique constitue un lment trs important de notre dmarche de gestion du risque, car rien aujourdhui ne peut tre fait sans elle , prcise M. Wiluan de KS Energy Services Limited. Nous avons des hubs informatiques et des systmes de sauvegarde dans diffrents pays et des rseaux qui doivent tre protgs. Ces problmes spcialiss constituent des lments trs importants dans notre gestion du risque globale. En mme temps, les rles traditionnels de linformatique sont devenus plus complexes, avec le dveloppement des infrastructures, de lintgrit des donnes et de la scurit des donnes. Une forte majorit de personnes interroges souligne que la scurit des donnes et des applications (85 %), la protection des donnes (79 %), la scurit des infrastructures (77 %), la gouvernance de la scurit (75 %), la gestion de lidentification et des accs (74 %) et la gestion de la conformit (69 %) font partie intgrante de la stratgie plus globale de gestion du risque de leur entreprise. Le rle de linformatique stend aussi dans dautres domaines du risque dentreprise. Plus des trois quarts des rpondants affirment que la fonction informatique est amene contribuer de manire importante la cration dune entreprise plus rsiliente et une majorit dclare tre implique dans la plupart des dcisions concernant le risque mtier. M. Gavin confie que linformatique est lun des trois piliers de lERM chez JetBlue : Si je perds un processus mtier, peu importe sil sagit dune tempte de neige, dun ouragan, dun tremblement de terre, dune grve, dun matriel bris ou dun incendie, car je considre cette perte du point de vue de la continuit du processus, ce qui constitue un pilier. Linformatique est un autre pilier car nos processus mtier dpendent de la technologie. Et en tant que compagnie arienne nous avons un troisime pilier qui est la raction durgence.

13

Les tendances mondiales en matire de rsilience et de gestion du risque mtier

Un autre rle mergent pour les professionnels de linformatique est la cration de solutions technologiques pour tous les types de problmes lis la gestion du risque. Lutilisation potentielle du Cloud computing comme outil de gestion du risque est un domaine dactivit intense. Bien que seuls 18 % des rpondants aient affirm que leur entreprise considrait actuellement le Cloud computing comme un aspect stratgique important de la gestion dentreprise, des ressources considrables ont t alloues lvaluation de cette possibilit. Environ une personne interroge sur cinq a dclar que son entreprise envisageait actuellement le recours au Cloud computing. 28 % ont admis que le Cloud tait prometteur pour lavenir. 21 % ont affirm que leur entreprise nenvisageait pas cette solution. Seuls 6 % ont rpondu que les mthodes traditionnelles de fourniture des services informatiques taient les outils les plus efficaces pour grer la rsilience mtier.

Les enseignements tirs de ltude montrent que les professionnels de linformatique sont de plus en plus engags dans le dveloppement dune gestion du risque lchelle de lentreprise. Prs de 56 % des rpondants constatent que, dans leur entreprise, le DSI collabore plus frquemment quil y a trois ans avec les principaux concepteurs de stratgies informatiques ; seulement 3 % des rpondants affirment que les directeurs informatiques ne simpliquent pas du tout. La tendance vers une rflexion holistique a pour consquence que les risques sont moins souvent considrs dans une optique essentiellement informatique. Les rpondants sont diviss de manire presque gale (40 % contre 42 %) pour approuver et dsapprouver la dclaration suivante : la continuit des activits est une problmatique informatique prioritaire Pourtant, ceux qui ont indiqu que leur entreprise avait adopt une stratgie intgre de rsilience mtier sont moins enclins approuver (33 %) que les autres (43 %). Ils sont galement beaucoup plus susceptibles que les entreprises sans stratgie de rsilience mtier (62 % contre 46 %) dire que la fonction informatique est engage dans la plupart des dcisions impliquant le risque. La fonction informatique joue un rle dcisif, quoique non exclusif, dans la gestion holistique du risque. En dautres termes, il semble que les frontires entre les risques informatiques et les risques mtier sestompent dans les entreprises les plus rsilientes.

Scurit des donnes et des applications Protection des donnes Scurit des infrastructures Gouvernance de la scurit et gestion du risque Gestion de l'identication et des accs Gestion de la conformit

85 % 79 % 77 % 75 % 74 % 69 %

0%

20 %

40 %

60 %

80 % 100 %

Figure 3 : Composants informatiques de la gestion dentreprise (% des rpondants interrogs)

Rsilience mtier

14

Conclusion
Dans la plupart des entreprises, lamlioration de la rsilience mtier va de pair avec lvolution de la culture dentreprise car cest elle qui faonne les valeurs et le comportement. Si une culture dentreprise amalgame la sensibilisation au risque ses autres valeurs, instinctivement tout le monde sait quelle est la bonne attitude adopter lorsquon est confront une situation inattendue, et le risque sen trouve attnu. Et Dr Reynolds de prciser : Dans une entreprise type, les faux-pas rellement dramatiques qui sont commis sont souvent lis aux valeurs plutt quaux comptences. La cration dune quipe de gestion du risque lchelle de lentreprise est un bon dbut, mais sa mission doit terme tre renforce pour toucher lensemble de lentreprise, car la gestion du risque doit devenir laffaire de tous dans lentreprise. Comprendre ces principes est une premire tape importante, mais au cours des entretiens, les cadres ont clairement indiqu que le soutien des cadres dirigeants tait essentiel pour promouvoir la mutation de lentreprise. La mise en valeur des concepts de gestion holistique du risque auprs des pairs et des employs est aussi primordiale. Il peut tre intressant dadopter une approche impliquant une large participation dans le dveloppement stratgique, car il est plus facile de promouvoir le changement si la nouvelle initiative nest pas perue comme manant dune faction particulire.

Il convient aussi de disposer de lengagement des cadres dirigeants et des ressources adaptes pour dvelopper des programmes complets de communication et de formation afin daccompagner la gestion intgre du risque. Une caractristique distincte des entreprises les plus rsilientes est quelles ont, plus que les autres, labor une stratgie de communication pour insuffler le message de la rsilience dans les moindres recoins de lentreprise. Les entreprises qui adoptent ces mesures sont plus mme de crer un plan efficace de rsilience mtier qui constituera la fondation ncessaire une comptitivit durable, conjointement une gestion du risque de bout en bout.

Un plan efficace de rsilience mtier constitue la fondation ncessaire une comptitivit durable, conjointement une gestion du risque de bout en bout.

Pour de plus amples informations

Pour en savoir plus sur une approche holistique de la rsilience mtier et de la gestion du risque et sur la manire dont IBM peut vous aider la mettre en place, vous pouvez contacter votre reprsentant IBM, demande de contact par un reprsentant IBM ou consulter les sites web suivants : ibm.com/services/riskstudy ibm.com/smarterplanet/us/en/business_resilience_ management/overview

Copyright IBM Corporation 2011 IBM France 17 Avenue de lEurope 92275 Bois Colombes Cedex La page daccueil dIBM est accessible ladresse ibm.com/fr Produit aux tats-Unis. Septembre 2011 All Rights Reserved IBM, le logo IBM et ibm.com sont des marques dInternational Business Machines Corporation aux tats-Unis et/ou dans dautres pays. Lassociation dun symbole de marque dpose ( ou ) avec des termes protgs par IBM, lors de leur premire apparition dans le document, indique quil sagit, au moment de la publication de ces informations, de marques dposes ou de droit coutumier aux tats-Unis. Ces marques peuvent galement tre des marques dposes ou de fait dans dautres pays. Une liste actualise des marques IBM est accessible sur le web sous la mention Copyright and trademark information ladresse ibm.com/legal/copytrade.shtml Les autres noms de socits, de produits et de services peuvent tre les marques ou marques de services de tiers. Ces informations concernent les produits et les services commercialiss par IBM France et nimpliquent aucunement lintention dIBM de les commercialiser dans dautres pays. Veuillez recycler

RLW03004-FRFR-00