Les 10 commandements de la Gestion Globale des Risques
Face à un environnement de plus en plus concurrentiel, les organismes privés et publics ont besoin d’optimiser leurs processus de gouvernance et de maîtrise des risques. Nous assistons, par conséquent, à une forte demande du marché sur les outils de risque.
eFront, leader dans l’édition de solutions pour l’ERM (Enterprise Risk Management) et le CRM (Customer Relationship Management) propose 10 bonnes pratiques pour maîtriser la gestion de l’ensemble des risques en entreprise.
1 – La Direction Générale, tu impliqueras
Sans son soutien et ses directives pour l’ensemble des départements métiers, support et pilotage, votre projet risque de s’enliser.
2 – La stratégie de gestion des risques, tu formaliseras
Il est important de définir la politique interne de gestion des risques avec des objectifs, un périmètre, une organisation, un processus, des acteurs et des responsabilités (RACI).
3 – Le métier, tu associeras en amont des projets
Les directions métier devront aussi être impliquées très en amont dans le projet afin qu’elles se l’approprient. Ces dernières sont les mieux placées pour identifier, analyser et évaluer les risques auxquels elles sont exposées dans le cadre de leur activité.
4 – Des référentiels et normes, tu t’inspireras
La gestion des risques étant mature, les normes (ISO 31000, …), les référentiels (COBIT 4, COSO 2) sont de plus en plus partagés par l’ensemble des acteurs et permettent une transparence accrue auprès de l’ensemble des ayants droits.
5 – Des bénéfices du projet, tu feras la promotion
Suite à la cartographie des risques, les entités auditées sont crédibles pour demander des budgets et faire avancer leurs plans d’actions. Vous souhaitez un plan d’actions : faites une cartographie des risques !
6 – De manière précise, tu communiqueras
Les incidents évités, les plans d’actions achevés, les risques maîtrisés, les gains apportés doivent être communiqués à l’ensemble des acteurs grâce à des tableaux de bord dynamiques.
La diminution du risque avéré est le premier indicateur clé de calcul d’un ROI sur un projet de gestion des risques. La réalité des incidents avérés permet de challenger la vision prospective de la cartographie des risques.
7 – Les entités, tu challengeras
En comparant les cartographies des risques de différentes entités, par un benchmarking des actions de maîtrise entre entités, le risk manager saura être pertinent pour apporter sa propre analyse du risque à chaque correspondant.
8 – Les régulateurs, tu choieras
Les lettres de suite et les recommandations des différents régulateurs (ACP, CEIOPS, AMF) doivent être finement gérés afin de pouvoir répondre avec aisance aux différents audits sur place et audits sur pièces.
9 – Un outil, tu déploieras et interfaceras
Une stratégie de gestion des risques ne peut se faire à la main. La plupart des contrôles manuels peuvent être automatisés. Une solution de gestion des risques est indispensable pour industrialiser les workflow de collecte des données et la production de tableaux de bord pertinents en temps réel pour faire agir l’ensemble des acteurs.
Les données collectées sont généralement déjà existantes soit au niveau du SI, soit sur Internet. La collecte automatique de l’ensemble des indicateurs clé de risque, black list, données de marché, doivent être intégrés automatiquement dans la solution globale de gestion des risques.
10 – Des questions, tu renouvelleras
L’écosystème de l’entreprise étant en mouvance perpétuelle, un processus de cartographie des risques à peine finalisé sera remis en fonction d’événements endogènes / exogènes à l’entreprise.