En cette période d'instabilité et de difficultés économiques, cet article à pour but de guider les entreprises dans leur réduction de coûts pour limiter les risques associés.


Il est un premier conseil à donner qui est de suivre cette hiérarchie, quelque soit la structure de l'entreprise :

Frais généraux => Bâtimens => Achats => Process => Personnel.

Les réductions de coùuts sur le personnel sont le dernier recours. Que vous soyez une entreprise avec un surnombre d'employés, passer tout de même par cette hiérarchie. En faisant de premières économies, vous réduirez le nombre de personnes à licencier, avec les risques sociaux et d'image qui vont avec, tout en vous permettant de conserver une force productive et des économies de moyen et long termes réalisées.


1/ Les réductions de coûts sur les frais généraux

Le principe est bien connu, c'est d'avoir les moyens adaptés à sa structure. L'action portera sur les frais de déplacement, de communication et d'impression, et les coûts immobilier.

a - Les réductions de coûts de déplacement et de représentation

Découpage en fonction de catégorie (frais liés au client, et frais de structure que sont les déplacements interne), suivi régulier des indicateurs, Politique (pour fixer les montants, cadre d'utilisatioin des moyens de transport…) qui doit être cohérente avec l'activité de l'ets.


Attention au risque social lié à une résistance des managers.


b - Réduction des coûts de communication et d'impression

Côté coûts de communication, passez par des abonnements spécialisés, surveillez les factures et l'utilisation abusive des 3G alors qu'une connexion gratuite à internet est à portée, le coût des téléphone portable (toujours ramener les choses à leur utilité, si le moyen est top couteux par rapport à ce qui doit être fait, alors il y a une perte en terme de qualité)

Côté coût d'impression, il y a les économies sur le matériel et sur les consommables. Sensibilisez les employés, contrôlez la disposition du parc en évitant notamment les pratiques courantes 1 imprimante par bureau.

Il y a un risque social encore.

c - Réduction des coûts immobiliers

Renégociation des loyers, ou déménagement dans une zone géographique moins honéreuse. Mais attention, la réduction de l'espace via les technologies ne permettant pas encore de faire Paris Moscow en 1 heure, partir loin du lieu d'origine est une délocalisation. Parfois même, au sein du même pays, mais dans une région différente peut être vue de la même manière. La différence est le licenciements des employés. Partir loin signifie aussi se détacher de ses employés qui ne peuvent pas suivre.

Le déménagement doit se faire donc au profit d'une zone moisn couteuse mais proche, comme quitter le centre ville pour partir en périphérie.

Risque de ne pas bien calculer l'opération, et de mettre trop de temps à la rentabiliser du fait des coûts liés au déménagement en lui même. D'autre part, il y a un risque social car les employés voient certaines pratiques quotidiennes et habitudes se modifier. Il y a également le risque de voir les frais de déplacement et de représentation augmenter, ainsi qu'une perte d'image (prestige du quartier).


2/ La réduction des frais financiers et l'optimisation des achats


a - la réduction des frais financiers.

Il est tout d'abord évident qu'il faille limiter son Besoin en fond de Roulement. Ensuite, il faut optimiser sa trésorerie en limitant les coûts de gestion liés. Pour cela il existe des techniques comme le Netting (passage par une sorte de chambre de compensation, gérée le plus souvent par une banque, et qui évite les flux de trésorerie contraires entre les filiales en ne réglant que les soldes. Si A doit à B 200, et B à A 300, à une date déterminée, A ne recevra que 100), ou le Cash pooling qui consiste à centraliser la trésorerie de toutes les filiales, tout se fait via ce compte.

Les risques sont la résistances des directions de filiales et le risque social des employés de services de trésorerie.


b - Optimisation des achats.

Prenez un acheteur professionnel qui aura l'habitude et qui connaitra les marges de négociation dont il dispose avec le fournissuer. Un acheteur pro du même secteur est encore mieux. Ensuite, il est conseillé par les credit manager d'en changer régulièrement car ces derniers lient des liens de sympathie avec les fournisseurs et la productivité des négociations se fait moindre.

Pensez aux risques d'excès de pression sur les prix avec les les fournisseurs car ces derniers vont trouver une parade pour préserver les bons comptes, exposant l'entreprise à de nouveaux risques.


3/ Process, externalisation et SI

Cette phase est l'avant dernière car les opérations de réduction de coût entraînent une possibilité plus importante de réduction du personnel.

a - La réorganisation des process

Pour réduire les coûts, pensez à la refonte des process pour une optimisation des tâches et au passage à un mode dégradé. Il restera des personnes déliées de leurs anciennes tâches mais il est possible de les transférer dans un service en manque de personnel, ou de les licencier.

Faites attention au risque de tomber dans la zone de criticité et de non tolérance des process clés à la dégradation. Prenez en charge le risque social également avec le changement de service ou le licenciement.

b - l'externalisation

faire de l'Outsourcing permettra une réduction des coûts car ce sont des spécialistes, avec une économie d'échelle et une optimisation des compétences qui accompagnent.

Elle entraîne cependant certains risques comme la perte de maîtrise des process, ou encore de ne plus être un client prioritaire pour le soustraitant, et enfin risque d'augmentation non maitrisée des coûts (nouveaux postes interface, SI et remplacement quand le soustraitant en change, frais gx, communication..).

c - Le système d'information

D'une part, il y a la mise en place d'un SI pour réduire les coûts grâce à une automatisation des traitements (cas Heineken est un bon exemple). D'autre part, il y a les réduction des coûts des SI car c'est un investissement très couteux et très lourd à gérer.
Réduction de coûts sur le système ( ce qui est rare), sur le réseau (encore plus rare et non recommandé), le logiciel (gratuit possible) et réel travail à faire sur les contrats de soustraitants.

risque de dépendre d'un système qu'il faut maintenir parce qu'il peut s'interrompre ou dysfonctionner, ce qui rend la problématique bien plus importante.


4/ La réduction de coûts de personnel

Si la gestion des RH a été bien pensée, il doit y avoir une partie de la masse salariale qui est flexible (intérim, soustraitants, CNE). Ensuite, s'il s'agit d'une non atteinte des résultats, l'économie doit commencer par les variables du salaire. Si cela ne suffit toujours pas, pensez alors aux licenciements individuels (>10 c'est un plan social), pratique pour les gros salaires (pensez d'aillerus d'abord à licencier par le haut de la hiérarchie avant d'attaquer directement les opérationnels). Et enfin, dernier palier, le Plan de Sauvegarde de l'Emploi (ex plan social).

C'est ici que les risques sont les plus grands. Risque social tout d'abord avec la perte de motivation, perte de productivité, grêves, sabotages... Ensuite, il y a les risques d'image et de culture de promotion interne dans l'après plan social. Et enfin, le risque opérationnel avec la perte des key people et la mise en situation critique de certains processus (penser à les réorganiser dans ce cas cf ci dessus).



Voila, en espérant que cela pourra vous aider dans vos décisions, et surtout que sera éviter des licenciements improductifs, incompris, et destructeurs.

Pour maîtriser leurs risques, les entreprises ne peuvent plus se contenter de bien gérer les polices d'assurances. Le métier de Risk Manager consiste aussi à identifier les menaces et à imaginer les scenarios de sortie de crise.
(07/11/2007)


Le Risk Management est l’activité qui consiste à évaluer le risque en entreprise puis à développer les diverses stratégies destinées à le garder sous contrôle. Ces stratégies vont du transfert du risque à l’évitement en passant par la réduction des effets néfastes et l’acceptation de certaines conséquences du risque.

Si l'on s'amuse à dresser un rapide historique du Risk Management, on s'aperçoit que trois périodes distinctes ont précédé les années 2000 :



- A la fin des années 1980, le Risk Management s'apparentait surtout à une simple gestion des sinistres, avec éventuellement un suivi plus ou moins prononcé des polices et des primes d'assurance ;



- Au début des années 1990, les besoins s'élargissent : les Risk Managers commencent à effectuer une gestion beaucoup plus globale des assurances (polices, primes, sinistres). Parallèlement, on assiste à la mise en place de mesures de prévention et à l'élaboration de plans de survie pour contrer les crises ("Business Continuity Plan") ;



- A la fin des années 1990, de nouveaux enjeux viennent compléter l'activité des Risk Managers : c'est l'émergence de la gestion des risques proprement dite, avec notamment le développement de la notion de "cartographie des risques". Il s'agit désormais d'identifier les risques (résiduels, cibles ou bruts), de les évaluer, de définir des mesures de contrôle et de simuler différents scenarios d'incidents à analyser.



Les Risk managers sont donc aujourd'hui confrontés à une double problématique : la gestion des risques et la gestion des assurances.



Même si en théorie, l'assurance n'est qu'un des moyens de traitement du risque, on observe dans la pratique que les entreprises gèrent ces deux domaines séparément. Pourtant, gestion des risques et gestion des assurances sont des notions incontestablement complémentaires pour qui veut garantir la pérennité de son entreprise. Dès lors, le Risk Manager doit faire face à d'importants flux de données. Car si la gestion des risques s'attache davantage à la cartographie des risques, au plan de prévention, aux contrôles, aux incidents etc., la gestion des assurances est quant à elle directement liée à l'achat de garanties, au calcul des primes et à leur ventilation, au suivi des paiements ainsi qu'à la gestion des sinistres.



Dans ce contexte, la maîtrise de l'information est indispensable à la bonne gestion des risques et des assurances d'une société. La mondialisation et la multiplication des grands groupes industriels particulièrement exposés aux risques compliquent encore la consolidation des données généralement disséminées entre les différentes filiales internationales. La collecte, le traitement et la diffusion de l'information nécessitent donc très souvent la mise en place d'outils informatiques spécifiques.



Le perfectionnement des nouvelles technologies a permis le développement de logiciels adaptés et performants permettant de :

- collecter et partager efficacement toutes les informations,

- gérer l'ensemble des missions évoquées ci-dessus, celles qui relèvent de la gestion des risques autant que celles qui traitent de la gestion des assurances,

- analyser les données afin de définir ou d'affiner la politique de Risk Management tout en optimisant au maximum le coût global du risque.



Du fait de cette double problématique, le Risk Management apparaît donc comme un enjeu primordial pour les entreprises. C'est un véritable outil de pilotage opérationnel et d'aide à la décision stratégique qui nécessite un soutien actif des plus hautes instances du groupe, une communication soutenue entre ses différents acteurs ainsi qu'un travail de mise à jour permanent."

Pascal Stopnicki
Directeur Général d'effisoft

Article paru dans le JDN.

Pour continuer dans la lancée de connaissance toujours plus approfondie du Risk Management pour professionnels et pour novices, sachez que les entreprises en croissance ne sont pas à l'abri des risques. En d'autres terme, le risk management ne s'adresse pas que pour des entreprises en difficulté ou des questions financières.

Tout le temps, partout, l'entrepreneur doit avoir sa carte détection et gestion des risques dans la poche.

1/ Les risques financiers liés à la distribution des richesses. Quel choix va t il être pris, celui de distribuer aux actionnaires, aux salariés, ou à l'investissement. Chacune de ses options présente des risques, mais selon certaines configurations comprenant le secteur, l'historique, la culture etc, certains risques sont plus graves que d'autres (propention et exposition au risque).

2/ Les risques humains sont très importants dans ce genre de situation, et prouvent bien que le risk management n'est pas que financier, au contraire. Dans ces risques humains, notons d'abord les risques vis à vis du comportement des dirigeants. Il est commun de voir certains de ces derniers quitter le navire quand il est en croissance. C'est une logique économique. On ne vend pas ce qui ne vaut rien, on vend quand ça rapporte. Vendre sa place ou son entreprise, pour autre chose de mieux est bien souvent l'option prise par les dirigeants.
C'est un risque qui n'a cependant que de minimes impacts selon moi, dans la mesure où, le dirigeant qui s'est battu pour faire croitre cette entreprise, qui vend sa place ou l'entreprise elle même parce qu'elle lui rapporte de par sa valeur actuelle, prévoit un minimum sa succession pour ne pas entraîner de désordres irréparables par la suite.
Mais c'est à garder en mémoire et à anticiper vis à vis de votre vulnérabilité.
Côté dirigeant toujours, ces derniers restent mais ils peuvent avoir deux réactions à risques : soit ils en profitent pour déléguer le plus possible, or cela entraîne une déresponsabilisation de ces cadres dirigeants et une trop forte pression sur les opérationnels qui ne sont pas rémunérés en conséquence, et qui en cette période de croissance exigent encore plus cette possible hausse de leur salaire. Donc mécontentement généralisé, et mauvaise image de l'entreprise. Soit les dirigeants se sentant investis et seuls compétents monopolisent et délèguent très peu. Dans ce cas, il y a risque d'irresponsabilisation des opérationnels...

Les risques humains vont surtout porter sur les employés et cadres A-B. Nous sommes bel et bien dans une entreprise en croissance, qui va bien et pourtant, pour une partie des employés ce peut être un cauchemar. D'une part, prendre en compte ceux qui ont participé au projet qui a permis à l'entreprise de croître. Un non suivi de ces personnes entraîne une démotivation et une morosité qui se transmettra car la non reconnaissance n'est jamais bien vue. Plus grave, il y a une plus grande partie d'employés non récompensés et surtout non reconnus pour leur travail. En se basant sur les études du suicide anomique du Sociologue français Emile Durkheim qui constatait que nombre de suicides se faisaient en période de croissance économique car certaines personnes n'étaient pas impliquées dans cette croissance, ne profitant pas des surplus, et de par un sentiment de frustation, d'abandon et d'inutilité, s'autoexcluaient, il est possible de l'appliquer au monde de l'entreprise.

Il est donc important de prendre en compte, d'une la reconnaissance, et de deux un partage, s'il est méritocratique, au moins accompagné d'une motivation et activation, plutôt qu'un laissé pour compte, des autres employés.

Il n'est pas dit que chez Renault, les suicides successifs de ces ingénieurs ne soient pas dû à ce mécanisme. Ils ont fortement travaillé, sous la pression de surcroit, mais cela ne suffit pas forcément pour se suicider. La plupart devaient aimer leur travail et aimer le travail tout court. Mais n'avoir aucune reconnaissance dans ce site très impersonnel, ou personne ne se connaît et reconnaît, une frustation naît chez ses ingénieurs qui voient d'autres fonctions en profiter (les commercials d'ailleurs car la voiture une fois conçue est vendu, et c'est la phase du bonheur des commerciaux). si ce n'est pas de part les commerciaux, c'est par la satisfaction du manager d'avoir mené son projet à terme, et avec succès au mépris des ingénieurs qui attendent encore leur reconnaissance.

donc facteur très important, surtout dans des pays comme le notre, la France, mais aussi bine d'autres, où se genre d'incidents touche des valeurs importantes.


3/ Les risques de pilotage sont aussi très importants. Accroître son entreprise c'est adapter son système de pilotage (SI, reporting, Authority Limits et les indicateurs qui vont bien). Or, le risque est de sur dimensionner ou de sous dimensionner ce système. Autrement, perte d'information, perte de qualité dans les décisions, déficit de communication sur ces décisions : irresponsabilisation des opérationnels, perte de conscience de l'implication sur un projet etc. Je rajouterai qu'il est nécessaire de l'adapter aussi à l'ampleur future de la croissance estimée, au cas où il pourrait y avoir un retournement de situation, pour éviter de se retrouver dans un cas de sur dimensionnement ou sous dimensionnement du système de nouveau.

4/ Enfin, votre entreprise est partie de A, avec une structure, elle arrive pour l'instant à C, il lui faut une nouvelle organisation. Ce changement logique n'est pourtant pas simple. De nombreux risques découlent d'un tel changement dont le premier est la complexification des systèmes de pilotage comme nous avons pu le voir.
Si vous partez d'une entreprise qui a une structure entrepreneuriale simple ou bureacratique, et que vous faite une croissance exogène, vous allez intégrer des élements extérieurs, vous organiser en Business Unit, et devenir une entreprise de type "Balkanisée" ou divisionnalisée. Cette situation n'est pas sans risque car elle pose des barrières pour l'information et donc pour la fluidité du Système de pilotage. Si les BU sont concurrentes, le risque est encore plus grand.
Dans le cas d'une entreprise de type innovatrice, très portée sur les projets, dont les rôles sont faiblements définis, une croissance endogène va faire passer l'organisation en type bureaucratique. Dans ce cas, on passe d'une standardisation des méthodes pour faire aboutir un projet, à une standardisation des procédés voir des qualifications. Chacun aura un rôle prédéfini, fera sa tâche selon des procédés précis, entraînant alors une dégradation de la vision de projet, la démotivation, la frustation, le départ...
Enfin, je dirai que le risque principal de croitre pour une entreprise, est d'avoir à rajouter une trop importante couche structurelle pour palier au dépassement de la taille critique. Si cela n'a pas été prévu, vous accumulez tous les risques...




Avec toutes mes félicitations tout de même pour cette croissance.

Voici le résumé d'un rapport de Deloitte et partners intitulé "Risk Intelligence of outsourcing and offshoring".

Désolé, c'est en anglais.


"The global information technology and business process outsourcing market is approaching US$600 billion and is growing rapidly. In today's global economy, investments in outsourcing and offshoring initiatives have never been higher, or more critical to organizational success. To help companies address today's significant outsourcing and offshoring risks and maximize the value of their outsourcing and offshoring strategy, Deloitte has published a new whitepaper titled, ‘The risk intelligent approach to outsourcing and offshoring.’

Corporations are facing dramatically increasing risks as they rely more than ever on other parties and/or offshore entities for a growing number of business and information technology processes. The paper, the eighth in the Deloitte Risk Intelligence series, identifies several trends that have increased outsourcing and offshoring risks:

* Companies rely on other parties and/or offshore entities not just for specific projects and back-office functions but more often for core business processes.

* Increased competition for global talent has contributed to shortages of qualified talent.

* Regulatory developments have increased exposure to liability for malfeasance or misfeasance. In some cases, senior management and the board can be held accountable for non-compliance associated with operations of organizations hired to serve the interests of the company.

* Piracy, security breaches and theft of information can erode brand value, intellectual property and other intangible assets, in which companies have heavily invested in recent years.

* A volatile political environment or infrastructure limitations in some popular offshore locations can preclude effective and efficient operations.

* Outsourcing relationships often morph into de facto partnerships, albeit without the analysis, reporting, visibility and control that typically characterize true partnerships.

"To deal with such complex and dynamic risks, companies must employ a risk intelligent approach to guide decision making throughout the outsourcing/offshoring life cycle," said Mark Layton, global leader for Deloitte's Enterprise Risk Services practice. "Aligning objectives, risks and controls throughout the outsourcing/offshoring lifecycle enables organizations to identify, assess, prioritize and mitigate outsourcing/offshoring risks at the right stage."

The Deloitte report identifies the following critical stages within the lifecycle of an offshoring/outsourcing relationship and addresses in detail the most important risks around each:

* Strategic assessment: deciding whether, why and how outsourcing/offshoring may support your business strategy.

* Business case development: analyzing expected cost savings and other financial and operational benefits of the initiative.

* Vendor selection: choosing a vendor according to criteria related to the strategic assessment and the business case.

* Contracting: negotiating a contract that captures the needs and expectations of both parties, and addresses compliance and risk factors identified in the previous three stages.

* Service transition: Managing the migration, or initiation, of the service in the vendor or offshore location. Monitoring the ongoing performance and risk of the relationship according to the contract and service level agreements as well as for the attainment of strategic objectives.

"Many outsourcing and offshoring initiatives fail to live up to their potential or the expectations of the parties. Even worse, a fair number of them fail outright, leading the company to either pull the operations back in house or to start anew in the search for a reliable, mutually beneficial partner. A Risk intelligent approach can help organizations realize the expected benefits and improve relationships among constituents impacted by outsourcing/offshoring," said Peter Lowes, Outsourcing Advisory Services leader, Deloitte.

‘The Risk Intelligent Approach to Outsourcing and Offshoring,’ along with the previous white papers in the Risk Intelligence series, may be accessed free of charge at www.deloitte.com/RiskIntelligence"

Et oui, le risk management touche à tout, et on peut l'exercer d'une manière, je dirais, supervisatoire, où l'on a un oeil sur tout domaine mais moins en profondeur que la deuxième manière d'exercer le risk management qui est spécialisée à un secteur.
Le risk manager IT fait parti de cette seconde catégorie comme on peut en trouver en QHSE, RH ou encore bien connu en Finance. Ce sont là les quatres secteurs où un risk manager global pourra poster et avoir des interfaces de risk management. Dans mon idéal personnel, il est vrai que ce type de structure me fait rêver, être le Chief risk Officer, et avoir son Risk Manager Finance, son Risk Manager IT, son Risk Manager QHSE. et son Risk Manager RH. Le top!! Mais on est loin encore de ce type d'organisation dans la plupart des entreprises qui pratiquent le risk management.

Après cette note explicative qui en dit un peu plus sur le risk management, nous allons aller plus loin avec cet article qui se concentre sur l'IT risk management.

C'est un extrait du site Continuity Central, en anglais. Je vous le donne parce qu'il est intéressant et me permettait justement d'aborder cette question de spécialisation possible du Risk Management en fonction des aspérités et des profils. Quand je dis que tout le monde peut être risk manager, c'est vrai :-).


Bonne lecture.


" The four myths of IT risk management

Symantec Corp. has released the Symantec IT Risk Management Report Volume II, revealing that awareness of the importance of IT risk management is increasing, however several myths persist. Despite the finding that practitioners are embracing a more balanced approach that encompasses security, availability, compliance and performance risks, misunderstandings of IT risk management can lead to potential IT system failures, and ultimately impacts on business continuity. The report also indicates process issues cause 53 percent of IT incidents, while IT often underestimates the frequency of data loss incidents.

The comprehensive report, driven by the analysis of more than 400 in-depth, structured surveys with IT professionals worldwide, identifies key issues and trends, and analyzes and dispels the following four myths commonly associated with IT risk:

- The myth that IT risk management is focused only on IT security;
- The myth that IT risk management is project driven;
- The myth that technology alone can manage IT risk;
- The myth that IT risk management has already become a formal
discipline.

Myth one: IT risk is security risk
Despite traditional perceptions associating IT risk primarily with security risks, survey results indicate the emergence of a broader view among IT professionals. Of the survey respondents, 78 percent gave ‘critical’ or ‘serious’ ratings to availability risk as opposed to security, performance and compliance risks, with 70, 68 and 63 percent respectively. The fact that only 15 percent separate the highest and lowest scoring risk-types indicates that IT professionals are adopting a more balanced, less security-centric view of IT risk.

The report findings confirmed that security and compliance risks often attract attention because of their high visibility and impact - 63 percent of respondents rated data loss incidents as having a serious impact on their business. However, increased emphasis is being placed on availability risks, which the report shows can flow through the value chain and create impacts measuring in millions of dollars, even from minor performance issues. Researchers at Dartmouth and the University of Virginia recently determined that a hypothetical Supervisory Control and Data Acquisition (SCADA) network failure at an oil refinery would result in an estimated economic impact of $405 million, with the supplier only bearing $255 million of the impact while others in the supply chain would assume the remaining loss (http://www.ists.dartmouth.edu/library/207.pdf).

Myth two: IT risk management is a project
The myth that IT risk management can be addressed in a single project, or even as a series of point-in-time exercises across budget periods or years, ignores the dynamic nature of the internal and external IT risk environment. IT risk management should be approached as an ongoing process in order to keep pace with the changing landscape businesses face today. IT security, availability, compliance and performance incidents can impact the modern organization at an alarming rate. The report revealed the following regarding the frequency of different types of IT incidents:

- 69 percent expect a minor IT incident once a month;
- 63 percent expect a major IT failure at least once a year;
- 26 percent expect a regulatory non-compliance incident at least once a
year;
- 25 percent expect a data-loss incident at least once a year.

The report shows that the most effective organizations take a more holistic approach. However, many organizations appear to be failing to implement some fundamental risk management controls, such as asset classification and management, where only 40 percent of participants rate their performance as 75 percent effective or higher. In addition, only 34 percent of participants believe that they have an up-to-date inventory for their wireless and mobile devices, which are essential in today's business world.

Myth three: technology alone mitigates IT risk
While technology plays a critical role in risk mitigation, the people and processes supported by technology also determine the effectiveness of an IT risk management program. According to the report, process issues cause 53 percent of IT incidents. Several controls also showed a decline in ratings from the previous report one year ago, causing increasing concerns. For instance, process controls such as training and awareness decreased from nearly 50 percent in Volume I to only 43 percent of respondents rating their training and awareness programs as more than 75 percent effective.

Similar to Volume I, the new report also shows very little improvement for the low rating of the asset and inventory classification control.

Finally, only 43 percent of participants rate data lifecycle management ‘greater than 75 percent’ effective, a 17 percent decline from Volume I. Weakness of these controls suggests that assets will be treated equally, so that some systems, processes and objects will be overprotected and others under protected from IT risk, resulting in cost and service inefficiencies.

Volume II of the IT Risk Management Report highlighted a 10 percent improvement in the number of participants rating secure application development ‘more than 75 percent effective.’ The report also signals that problem management is rising on the agenda.

Myth four: IT risk management has already become a formal discipline
The report makes it clear that IT risk management is an evolving business discipline, rather than a precise science, due to reliance on the experience accumulated by individuals and organizations as they keep pace with a changing business and technology environment. There is a growing understanding that IT risk management incorporates elements of operational risk management, quality control and business and IT governance. In addition, practitioners may come to see IT risk management as a set of fixed principles and relationships, universally applicable across industries and geographies.

Industry differences
The report also sheds light on the state of IT risk management within particular industries. Highlights include that healthcare participants expected the most IT incidents of any industry sector. Given the complexity and highly personal nature of healthcare services, as well as stringent compliance requirements, this is cause for some concern. Telecommunications ranked highest in deploying IT risk management controls, followed closely by banking and financial services. This success is likely driven by increased governance and compliance scrutiny of these sectors and concerns over the protection of personal data.

The Symantec IT Risk Management Report Volume II is available at http://www.symantec.com/business/theme.jsp?themeid=itrisk_report

"COMMISSION ATTALI : HARO SUR LE PRINCIPE DE PRECAUTION !
Ou comment " jouer les Cassandre ne sert à rien..."

La commission Attali propose purement et simplement de retirer le principe de précaution de la charte de l’environnement, adossée à la Constitution depuis 2005. Cette recommandation vise à « alerter sur les dangers de ce principe» en tant que frein à la croissance. Ce principe qu’Attali qualifie de «principe d’imprécation» incitant l’Etat à une attitude de prudence et d’interdiction». De facto, un impact «catastrophique» sur l’innovation et «négatif sur l’économie» en découlerait.

Entériné en 1992 dans la convention de Rio, le principe de précaution énonce que «l’absence de certitudes, compte tenu des connaissances scientifiques et techniques du moment, ne doit pas retarder l’adoption de mesures […] visant à prévenir un risque de dommages graves et irréversibles». Il n’est donc en rien en principe d’abstention ! Au contraire, il cherche à prévenir a priori un certain nombre de risques. En conséquence de quoi, l’environnement ne constitue pas une limite mais une chance pour la croissance (Erné-Heintz V., « Réchauffement climatique : l’avertissement », http://www.iut-colmar.uha.fr/jac, JAC 71 ). En quoi une attitude de prudence face à des risques sanitaires et environnementaux serait-il préjudiciable à la croissance ? A moins que comme la Chine, nous en sommes à s’interroger sur comment obtenir toujours plus de croissance avec toujours davantage de pollution …

Les stratégies de prévention portent souvent sur des questions de veille et d’alerte afin de gérer au mieux d’éventuels risques sanitaires ou environnementaux. En l’espèce, la procédure d’autorisation de mise sur le marché d’un médicament ou encore la directive Reach (Registration, Evaluation and Authorization of Chemichals) – dont nous avons déjà longuement parlé dans ce journal (Erné-Heintz V., « REACH: vers un nouvel accord », http://www.iut-colmar.uha.fr/jac, JAC 71 février, 2007) – obéissent à cette logique de précaution. Par ailleurs, en matière de gestion des catastrophes, la pollution permet de s’interroger sur des solutions alternatives (Erné-Heintz V., « Vive les catastrophes ! », http://www.iut-colmar.uha.fr/jac, JAC 72).

La préservation de l’environnement doit susciter une course à l’innovation. La crainte d’une mise en responsabilité en matière de risques sanitaires (cancers, …) et/ou de pollutions environnementales tout comme le développement d’une « conscience écologique » (Brécard, 1996) sont autant d’arguments pour inciter les firmes à s’introduire sur de nouveaux marchés. Tel est aussi le rôle du principe de précaution.

En définitive, la croissance se révèle être un processus de responsabilisation qui rejoint la protection de l’environnement. Environnement et croissance ne sont pas des objectifs antinomiques. Le risque environnemental et/ou sanitaire incite à investir. Le principe de précaution favorise le progrès et la croissance ! Il ne signifie pas stagnation économique. Nous disons donc oui pour libérer les freins à la croissance, mais pour une croissance basée sur l’innovation protectrice des intérêts des générations futurs ! "

Source : le Journal des Accidents et des Catastrophes du CEDARCC.

Je précise qu'il est dommage de se rendre compte d'une telle chose maintenant, allant même jusqu'à paraître suspect dans son imprégnation idéologique. Personnellement, je pense que le risk management inspiré par ce principe ne doit pas se méprendre, l'idéologie ne doit pas prendre le dessus. Il faut bien faire la différence. Ceci étant dit, ce n'est qu'un avis personnel, et je reste persuadé comme l'est la souche de mon métier, qu'il est possible de faire de la précaution, d'anticiper sur des risques tout en soutenant les objectifs de la structure pour laquelle on travaille. Au contraire, comme le défini bien le COSO, le contrôle interne et donc indirectement le risk management, a pour but de permettre la réalisation des objectifs. On ne peut pas être plus clair.


Maintenant, si ce principe de précaution ne peut pas être appliqué par l'autorité souveraine, alors là, c'est autre chose. Mais dans ce cas, je conseillerai à Mr Attali de renforcer la mise en place du Risk Management dans les entreprises, collectivités locales et hôpitaux.

A bon entendeur.

La définition de la crise selon Thierry Libaert est : « La crise est un événement inattendu mettant en péril la réputation et le fonctionnement d’une organisation. »

Les phénomènes de crise s’intensifient et sont de plus en plus médiatisés depuis les années 1980 avec le développement de nouveaux médias comme Internet et la diffusion d’informations en continu.

Le Risk Manager, dans son rôle déjà défini dans l'article "le rôle du Risk Manager dans la gestion de crise", doit être au courant des effets et risques qu'ont différentes stratégies de communication de crise, que nous allons présenter ici.


La reconnaissance
Cette première stratégie consiste à accepter la crise et ce, le plus rapidement possible. Si la presse dévoile la crise en devançant l'entreprise, c'est que la communication de celle-ci est mauvaise et que la crise ne lui appartient déjà plus. Pour mener l'opération, l'entreprise doit donc aller vite et être en mesure de déterminer rapidement si elle est compétente par rapport au moteur de la crise.
De manière générale, la stratégie de la reconnaissance s'appuie sur une communication claire et ferme.
Cette stratégie est encore peu utilisée car il est difficile en effet d'avouer sa responsabilité pour une entreprise. Mais le faire, c'est jouer la carte de la transparence et acquérir une crédibilité auprès des différents publics. Cette stratégie permet également d'éviter une remontée ultérieure d'informations contredisant les premières déclarations. Une situation dans laquelle l'entreprise a énormément à perdre sur le plan de l'image.

Le projet latéral
Cette stratégie cherche à modifier l'angle de vue de la crise. Mais elle doit pouvoir être fondée sur la réalité et des faits concrets pour réussir à déplacer le lieu de débat.
Pour mener à bien un projet latéral, différentes tactiques sont possibles :
- Contre-attaquer et dire à qui profite les faits, soit le plus souvent au concurrent.
- Reporter la responsabilité à l'extérieur, en orientant les faits vers l'administration, le politique...
- Minimaliser sa communication, ou communiquer plus fortement sur un autre registre.
- Souligner le fait que le pire a été évité et que la situation aurait pu être largement plus grave si l'entreprise n'avait agit de telle ou telle manière.
Le projet latéral, qui consiste à déporter la crise en dehors du champ de l'entreprise, doit impérativement s'appuyer sur des éléments tangibles. Dans le cas contraire, son utilisation peut s'avérer bien plus dangereuse que la crise elle-même.

Le refus
La stratégie du refus consiste à affirmer qu'il n'y a pas de crise. Il s'agit alors d'une posture que l'entreprise doit être capable de tenir.
Quatre possibilités s'offrent à l'entreprise dans ce scénario :
- Garder le silence dès le début de la crise, stratégie choisie par les autorités russes lors de l'accident de la centrale nucléaire de Tchernobyl.
- Cesser de parler à partir d'un moment précis et donc ne plus alimenter la crise.
- Avancer le principe du chaînon manquant, comme dans l'affaire des paillotes en Corse, où nul ne sait qui a donné l'ordre initial.
- Minimiser les effets de la crise, à condition d'être le seul interlocuteur à disposer des données. C'est la formule choisie par le gouvernement lors de la canicule de l'été 2003. Mais les statistiques fournies par les Pompes funèbres ont enrayé le scénario.
Les conséquences d'une telle stratégie peuvent s'avérer extrêmement dommageables, aux niveaux juridique et médiatique, si les faits ressurgissent à plus ou moins long terme et avec une nouvelle lecture des événements. Concrètement, ce scénario du pire se traduira dans la plupart des cas par une perte de crédibilité.

(typologie des stratégies selon Thierry Libaert "la communication de crise")

Toolbox tres utile et simple a mettre en oeuvre pour connaître la réputation de votre entreprise sur le net :

http://www.marketingpilgrim.com/2006/03/online-reputation-monitoring-beginners.html


Bonne continuation

Voici un article dont tout le mérite revient au cabinet de Consultants Altaïr de le révéler et le mettre en relief aux travers des enjeux spécifiés. Nous avons connu en effet un phénomène d’une ampleur inédite.


"La rupture de deux câbles sous-marins de télécommunications en Méditerranée
semble à l’origine d’une panne qui affecte fortement les services Internet au
Moyen-Orient, en Asie du Sud et dans le nord de l’Afrique. L’Egypte, les Émirats
Arabes Unis, le Koweït, l’Arabie Saoudite, le Qatar, l’Inde, le Bangladesh et le Sri
Lanka ont d’ores et déjà annoncé d’importantes perturbations de leurs réseaux de
télécommunications. Le président de l'association indienne des fournisseurs
d'accès à internet, évoque la possibilité d’une interruption des liaisons haut débit
pendant une durée de deux semaines.
Un goût de déjà vu
Ce nouvel incident qui affecte le fonctionnement d’Internet n’est pas sans
rappeler le séisme qui s’était produit le 26 décembre 2006 au large de Taïwan et
qui avait eu pour effet d’endommager six câbles sous-marins posés en pleine mer
et pour résultat de couper pratiquement toute l’activité Internet de l’Asie de l’Est
du reste du monde. Au total, l’addition de cette catastrophe a été extrêmement
lourde. A en croire le portail Sina.com, plus de cent millions de personnes ont été
concernées et plusieurs semaines ont été nécessaires pour réparer les câbles
endommagés. Parmi les victimes qui avaient vu toutes leurs liaisons téléphoniques
et leurs connexions large bande interrompues, le lendemain de Noël, on recensait
les nombreuses filiales de banques étrangères et les intervenants sur les places
boursières asiatiques.
La vulnérabilité d’un modèle de développement ?
Avec 40% du marché mondial de la sous-traitance informatique, des centres
d'appels aux services de gestion des cartes de crédit, de comptabilité, ou
d’assurance, en passant par la fabrication de logiciels, on imagine les
conséquences induites en Inde par cette nouvelle catastrophe sur le plan
commercial, financier et humain. 700000 personnes travaillent dans le domaine de
la sous-traitance informatique et dépendent directement d’internet pour vivre et
travailler.
L’effet papillon à l’autre bout de la planète:
Les dommages collatéraux pour les clients occidentaux sont considérables. Et pèse
sur de nombreuses activités du tertiaire commercial et financier un risque
d’interruption totale ou partielle du service. Conséquence immédiate de
l’effondrement de la vitesse des connexions à haut débit, les prestations fournies
aux clients situés en Europe et sur la côte Est des Etats-Unis, sont en effet
fortement dégradées compte tenu de l’embouteillage ou du coût excessif des
autres voies d’acheminement des appels téléphoniques et des données
numériques : satellite ou liaisons filaires avec le continent américain notamment.
Le manque de contrôle et de résilience des technologies et systèmes
Les mésaventures de l’Internet asiatique viennent compléter, à leur manière,
l’épisode récent de la Société Générale et soulignent la haute vulnérabilité
technologique des entreprises du troisième millénaire.
L’affaire de la Société Générale illustre, en effet, à quel point les failles dans les
pratiques de gouvernance, de sécurité des systèmes d’information et de contrôle
interne peuvent faire dévaler rapidement une entreprise réputée solide et qui
faisait figure de modèle en matière de bonne gestion financière vers les abymes
vertigineux du discrédit et de la méfiance.
La panne de l’internet en Inde apporte une nuance au mythe de la puissance
technologique inébranlable de pays émergents. En coupant du monde 20% du
secteur informatique en Inde, la panne de l'internet consacre la vulnérabilité
technologique et la dépendance stratégique des entreprises qui ont fait choix d’un
modèle d’organisation fondé sur une délocalisation poussée à l’extrême des
processus et fonctions de production, de support et parfois même de pilotage
(analyse des dossiers de crédit par exemple).
Une remise en cause des modèles d’externalisation délocalisée ?
A l’ère de l’économie numérique, pour des entreprises dont le commerce n’existe
qu’en ligne ou dont l’informatique est l’outil de production essentiel, la pérennité
ne tient plus qu’à un câble. Les expériences récentes démontrent mieux que
n’importe quel discours que la fragilité des infrastructures de télécommunications
intercontinentales et du réseau Internet menace à tout moment le bon
fonctionnement de processus exigeant une continuité de bout en bout du service.
Le sacro-saint principe de la globalisation trouverait-il ses propres limites dans la
prise en considération de paramètres nouveaux liés à la vulnérabilité des
infrastructures technologiques ? Juste retour des choses face à une logique
ramenant trop souvent à l’arrière-plan les paramètres sociaux et environnementaux
au bénéfice de préoccupations financières excessives. Nulle entreprise ne pourra à
l’avenir se départir d’un doute sur le niveau de robustesse d’alléchantes solutions
de délocalisation d’activités informatiques ou de services offertes au coût le plus
bas.
L’omniprésence des risques:
Comme l'actualité le démontre quotidiennement, les entreprises peuvent être
brutalement confrontées à un arrêt partiel ou total de leurs activités : pannes
d’Internet ou des réseaux de télécommunications mais aussi attentats, fraudes et
autres attaques internes, incendie, inondations, conflits sociaux, retournement des
marchés, dépendance stratégique, crises sanitaires & épidémies, troubles à l’ordre
public, rupture de la chaîne d'approvisionnement énergétique, black-out, etc.
Aujourd’hui, constatons-le, la menace est davantage polymorphe, mais aussi plus
intense et plus présente que jamais : raison de plus pour s’y préparer. Certes, et les
évènements de ces dernières années l’ont démontré, on ne peut en aucun cas tout
prévoir. Cependant, il existe désormais des mesures d’anticipation qui permettent
de limiter l’ampleur ou les conséquences des dégâts, d’éviter qu’ils ne soient
irrémédiables et d’accélérer le retour à la normale."

rédigé par Altaïr Conseil


Avec mes remerciements à Altaïr et à tous les lecteurs intéressés à cette question.

"Au jour d'aujourd'hui, une majorité de véhicules d'entreprise ne sont même pas équipés de deux "airbag" ! (Voir pas du tout...) La technologie des véhicules est conçue pour ceux qui sont utilisés par "Monsieur tout le monde" !
Quant à l'entretien et le suivi ??? Essayez, comme je le fais souvent, de faire un "tour" des véhicules utilisés, par exemple, par une entreprise de maçonnerie ? Une entreprise (moyenne) de livraison rapide ? Une entreprise de dépannage ? Etc.
Faites le bilan de :
- l'état des pneumatiques (gonflage, usure...),
- Les rangements de la marchandise,
- Le calage de celle ci,
- L'état et la conformité de l'éclairage,

Faites le "tour" avec les conducteur utilisateurs des véhicules ! Parlez leur de distances de sécurité, d'énergie cinétique, d'alcool, etc...
Vous seriez également surpris !

Mon avis reste quand même que les entreprises ne se sentent pas complêtement concernée par ce "fléau" qu'est l'accident routier au sein de l'entreprise !

Pour les salariés assurés par la branche « accidents du travail » de la sécurité sociale, le nombre de victimes était de 829 en 2005, soit 11% des tués sur la route…


En 2005 : 86265 accidents de trajets et mission ; 10389 incapacités permanentes ; 829 décés ; 5 278 813 journées perdues....

Et les chiffres sont en augmentation...

N'y a-t-il pas un enjeux à ce constat?"

En effet, ce sujet est très important et mérite réflexion. Qu'en pensez vous ?