Roche

Roche + épée GRC

Comment Roche a rehaussé le profil de la gestion des risques dans l'ensemble de son organisation et introduit un langage commun lors de la discussion des risques

INDUSTRIE

Soins de santé

LIEU

la Suisse

NOMBRE D'EMPLOYÉS

101,200

Le contexte et le défi

Depuis plus de 110 ans, Roche joue un rôle de pionnier dans le domaine de la santé. En tant qu’innovateur de produits et de services pour la détection précoce, la prévention, le diagnostic et le traitement des maladies, Roche contribue sur un large éventail de fronts à l’amélioration de la santé et de la qualité de vie des personnes. Roche est le leader mondial des diagnostics in vitro et des médicaments pour le cancer et la transplantation, et est actif dans d’autres domaines thérapeutiques majeurs avec un besoin médical élevé tels que les maladies auto-immunes, les maladies inflammatoires, la virologie, les troubles métaboliques et les maladies du système nerveux central.

Roche s’engage à respecter des normes éthiques élevées et à se conformer à toutes les lois locales, nationales et internationales applicables. Les normes éthiques de l’entreprise sont incarnées dans ses valeurs d’entreprise. La conduite des affaires de manière responsable inclut l’approche de l’organisation en matière de gestion des risques.

En 2007, Roche a mis en place une nouvelle fonction de gestion des risques du groupe pour consolider les informations sur les risques de différentes parties de son activité considérable. À l’époque, les différentes unités opérationnelles utilisaient une variété d’outils et de processus pour identifier et atténuer les risques. Le nouveau groupe de gestion des risques avait besoin d’une plate-forme commune pour rassembler les divers outils et processus d’information suffisamment flexibles pour soutenir les pratiques de travail locales. En plus de gérer le risque d’entreprise à l’échelle mondiale, l’outil devait également être adapté à la gestion des risques au sein des projets.

Le Dr Daniel Imhof, directeur des risques chez Roche a expliqué; «Chez Roche, nous aimons adopter une approche pragmatique. Nous avions besoin d’une solution pratique de gestion des risques qui serait facile à utiliser, facilement accessible, qui collecterait toutes les données dont nous avions besoin pour soutenir une bonne prise de décision. En outre, l’outil devait être entièrement compatible avec des normes telles que COSO et ISO 31000. »

La gestion du risque d'entreprise

L’équipe de gestion des risques du groupe chez Roche adopte une approche globale de la gestion des risques d’entreprise en s’engageant avec les principales unités commerciales de l’organisation couvrant des domaines tels que le marketing, les ventes, les opérations techniques, la recherche et développement, l’informatique, les ressources humaines, les finances et le juridique, environ 25 au total. , distribué dans le monde entier.

Chaque unité commerciale a un Risk Manager désigné qui coordonne toutes les informations sur les risques à l’aide d’ARM, mais pour chaque unité commerciale, le profil de Risk Manager peut être distinctif en fonction des besoins individuels. Les informations sur les risques sont collectées de différentes manières dans les unités en fonction de la culture et comprennent un mélange d’ateliers, de réunions en face à face et de questionnaires. Une fois les informations recueillies, le gestionnaire des risques les saisit dans ARM avec des détails sur les dates d’examen et les propriétaires des risques. Les informations sont consolidées pour chaque business unit puis envoyées à la direction des risques groupe où les informations de l’ensemble de l’organisation sont fusionnées et finalement présentées au comité exécutif et au conseil d’administration.

Nous recevons des demandes d'une gamme de fonctions différentes pour l'aide à l'identification, l'évaluation et la documentation des risques et l'élaboration de stratégies d'atténuation des risques. Nous avons travaillé avec des domaines aussi variés que l'informatique, les communications, la tarification, la conformité et le développement de produits. Il est important que nous disposions des outils qui nous permettent de travailler de la manière qui convient le mieux à la fonction ou au projet individuel.

Dr Daniel Imhof, Risk Director, Roche

Risque de projet

L’un des rôles de l’équipe de gestion des risques du groupe est de fournir des services de conseil en matière de risques. Toute personne au sein de Roche peut leur demander de fournir une expertise, des outils et des ressources en matière de gestion des risques.

Nous voulons que les unités commerciales et les affiliés utilisent la gestion des risques pour elle-même, pour les avantages qu'elle apporte plutôt que de la considérer comme une forme de surveillance ou de contrôle. » Imhof a déclaré: «C'est pourquoi nous avons été si désireux de préserver et de soutenir les pratiques de travail locales, ce que ARM nous a permis avec succès de faire.

Dr Daniel Imhof, Risk Director, Roche

Risque d'affiliation locale

Roche compte environ 150 filiales dans le monde, qui consistent en des organisations locales de marketing et de vente, de distribution et de production. Il n’y a pas de mandat pour que ces organisations utilisent la gestion des risques, mais l’option est là si elles le souhaitent.

Dans cette optique, l’équipe de gestion des risques du groupe a développé un package eLearning, qui permet à toute personne souhaitant utiliser ARM localement d’en savoir plus sur la gestion des risques et le logiciel ARM et d’évaluer s’il leur conviendra. Il donne une introduction au produit et fournit un bon niveau d’informations de base.

Pour les affiliés qui décident de souscrire à l’offre, l’équipe de gestion des risques du groupe entreprend un rapport d’évaluation de 2 semaines sur les risques détectés et propose des stratégies d’atténuation des risques. Les résultats sont fournis à l’équipe de gestion des affiliés pour qu’ils continuent à gérer localement.

Surveillance centrale de la gestion des risques

ARM est également utilisé par l’équipe de gestion des risques du groupe pour suivre et améliorer leur propre performance et le processus de gestion des risques lui-même. De cette manière, ils garantissent que l’ensemble de la fonction de gestion des risques de l’entreprise est itérative et continuellement améliorée.

Dans le cadre de ce processus, l’équipe a la capacité d’analyser des événements qui se sont déjà produits. Le système permet aux utilisateurs de remonter le temps pour examiner quels étaient les risques perçus, ce qui s’est réellement passé et comment ils ont été traités. Par exemple, l’impact correspond-il au résultat attendu? Cet élément rétrospectif du système permet à l’équipe Roche de comprendre à quel point elle était historiquement capable de gérer les risques et d’évaluer les leçons apprises.

Une fonctionnalité au sein d’ARM que l’équipe Roche trouve particulièrement utile est la possibilité de réévaluer un risque à tout moment, lorsque de nouvelles informations externes apparaissent. Par exemple, cela peut se produire lorsqu’un concurrent termine un essai clinique et publie des résultats susceptibles d’avoir un impact direct sur l’un des produits Roche.

Gestion des risques Groupe consolidée

Le principal avantage pour Roche a été la consolidation du processus de gestion des risques du groupe en utilisant un outil commun, un langage commun et des critères de notation clairement définis dans ARM. Les rapports, dont certains ont été personnalisés pour le groupe, constituent un moyen précieux de communication avec les business units. Les gestionnaires peuvent recevoir des informations sur les risques, sans avoir à entrer dans l’outil lui-même, ce qui rend les renseignements plus pertinents et plus faciles à assimiler pour les propriétaires de risques individuels.

Les fonctions d’alerte dans ARM contribuent également à améliorer les communications et la sensibilisation aux risques. Les alertes peuvent être envoyées de manière centralisée depuis la gestion des risques du groupe aux utilisateurs respectifs, ou elles peuvent être diffusées aux Risk Managers de chaque business unit qui transmettent ensuite les alertes aux responsables des risques et des plans de risques appropriés.

ARM est accessible via le Web afin que les utilisateurs individuels puissent utiliser le système à partir de n’importe quel endroit sur n’importe quel appareil sans avoir besoin de télécharger le logiciel localement. Tout en offrant un accès facile, cela garantit également que la base de données centrale des données sur les risques de l’entreprise est maintenue, évitant ainsi les silos d’informations détenues localement.

Daniel Imhof a résumé; «Nous sommes maintenant dans une position où nous avons une visibilité sur notre profil de risque à l’échelle mondiale. ARM nous a permis de rehausser le profil de la gestion des risques dans toute l’organisation et nous a aidés à introduire un langage commun lors de la discussion des risques, ce qui est extrêmement utile. Nous avons un système pragmatique de gestion des risques d’entreprise qui couvre l’ensemble de l’organisation. ARM centralise les informations sur les risques, ce qui permet à l’organisation de mesurer les performances, les indicateurs de performance clés, les risques ou les réponses en retard, et de voir généralement dans quelle mesure nous gérons nos risques et ainsi prendre de meilleures décisions commerciales. »

Voulez-vous enregistrer ceci pour plus tard?

Téléchargez l’étude de cas.