Mise en œuvre de la gestion des risques d'entreprise
L'évaluation des différents types de risques se gère souvent au moyen de processus hétérogènes dans différentes parties de l'organisation. Pour être efficaces, la fonction ERM doit connaître les différents niveaux de risque qui ont un impact sur tous les domaines d'une organisation mais également connaitre les techniques utilisées pour diminuer le risque. Cet article explique de quelle manière les applications Stratégie et Projets contribuent à mettre en œuvre la gestion des risques d'entreprise.
Il s'appuie sur les exemples présentés dans Identifier les risques et objectifs stratégiques.
Que signifie mettre en œuvre la gestion des risques d'entreprise ?
La mise en place de la gestion des risques d'entreprise est processus évolutif et permanent qui permet de s'assurer qu'une organisation connaît les risques actuels et ceux apparaissant susceptibles de modifier les résultats prévus et qu'elle est en mesure de réagir de manière proactive à ces risques.
L'implémentation d'ERM requiert trois processus clés :
- L'évaluation de risque implique le développement d'un ensemble commun de critères d'évaluation pouvant être utilisés dans les secteurs opérationnels, les entités ou les unités commerciales mais aussi la détermination du nombre de risques auquel une organisation peut faire face.
- La priorisation du risque implique la comparaison du niveau de risque à ceux cibles prédéterminés et aux seuils de tolérance.
- La réponse au risque implique l'examen des options de réponse, la réalisation d'analyse coût-avantage, la formulation de stratégies de réponse et le développement de plans de réponse de risque.
Où implémenter la gestion des risques d'entreprise ?
Chez Diligent, les applications Stratégie et Projets nous permettent d'évaluer, de prioriser et de répondre au risque. Notre programe ERM nous permet d'aligner nos valeurs, notre vision et notre valorisation, d'accélérer notre calendrier de croissance en ce qui concerne nos mises sur le marché et l'innovation de nos produits mais aussi de nous assurer de toujours offrir une expérience optimale à nos clients.
Une image étendue
- Les ateliers de risque permettent d'évaluer le risque inhérent de manière collaborative dans une organisation et les résultats peuvent s'appliquer à votre profil de risque organisationnel.
- Une fois que l'évaluation du risque inhérent est terminée, vous pouvez visualiser le risque à l'aide des cartes thermiques du risque configurables, et définir les traitements de risque en liant les objectifs (contenus dans les cadres et les projets) aux risques stratégiques.
Lorsque vous avez terminé l'évaluation du risque inhérent et l'évaluation du traitement préliminaire, vous pouvez évaluer le risque résiduel et vous percevez mieux les domaines de l'organisation auxquels apporter le plus d'attention.
Étapes
Prêt pour un tour ?
Étudions plus précisément ces fonctions dans le contexte.
1. Évaluer le risque
L'évaluation du risque est un processus de la gestion des risques d'entreprise qui implique la détermination du nombre de risques auxquels une organisation fait face. De nombreuses organisations commence par évaluer le risque de manière qualitative puis elles développent des fonctionnalités quantitatives au fil du temps pour rester cohérentes avec leurs besoins de prise de décision.
Développer des critères d'évaluation du risque
La première étape consiste à développer un ensemble typique de critères d'évaluation pouvant être utilisés dans les secteurs opérationnels, les entités ou les unités commerciales. Elle vous permet d'effectuer différentes notations de risque, d'évaluer le risque selon plusieurs facteurs et d'indiquer un modèle d'évaluation du risque utilisé pour votre cadre de risque propre au secteur.
Exemple
Scénario
Vous êtes un spécialiste du risque qui doit logiquement évaluer le risque dans votre organisation. Comme la gestion des risques d'entreprise est une activité nouvelle pour votre organisation, vous voulez commencer par évaluer le risque en terme de probabilité et d'impact. La configuration de la méthode de notation du risque vous permet de modéliser votre cadre de risque organisationnel et d'appliquer le cadre à tous les risques identifiés.
Processus
Rubrique d'aide Configuration des paramètres de notation du risque
Vous accédez à la section Notation dans Paramètres du module Stratégie et développez les critères de notation du risque :
- Probabilité (échelle à 3 points : 1-Faible, 2-Moyen, 3-Élevé)
- Impact (échelle à 3 points : 1-Faible, 2-Moyen, 3-Élevé)
Vous indiquez aussi la pondération de chaque facteur de score de risque sur 100% pour refléter l'importance identique de l'impact et de la probabilité.
Résultat
Tous les risques de l'organisation peuvent désormais être évalués par probabilité et impact, à l'aide d'une échelle à 3 points :
Évaluer les risques inhérents
Le risque inhérent est un calcul qui provient de l'évaluation d'un risque non traité, ou le risque brut auquel une organisation est confronté si aucun contrôle ou tout autre facteur d'atténuation n'a été mise en place. L'évaluation du risque inhérent implique l'association des risques aux objectifs stratégiques définis dans la carte Stratégie et l'évaluation du risque dans tous les secteurs opérationnels selon plusieurs facteurs de notation du risque. Une fois que vous indiquez les scores, Stratégie calcule automatiquement le risque inhérent.
Astuce
Pour éviter une notation manuelle des risques stratégiques, vous pouvez utiliser des pilotes d'évaluation afin d'automatiser les différentes évaluations de risque. Vous pouvez lier une mesure créée dans l'application Résultats à une évaluation de risque dans Stratégie afin d'informer l'évaluation et renseigner automatiquement les scores de risque inhérents en fonction de plages de mesures prédéfinies. Les principaux intervenants peuvent être avertis en cas de modification de l'évaluation du risque.
Exemple
Scénario
Maintenant que vous avez défini les critères de l'évaluation du risque pour l'organisation, vous pouvez commencer l'évaluation du risque inhérent, risque qui existe lorsqu'aucun contrôle ou tout autre facteur d'atténuation n'est mis en place. Pour commencer le processus, vous voulez évaluer le risque formule Latex, qui porte sur la possibilité que les concurrents puisse obtenir la formule extrêmement secrète de manière accidentelle. Dans un tel cas, votre organisation, Vandelay Industries, risquerait de disparaître du marché.
Processus
Rubrique d'aide Évaluer le risque inhérent
Commencez par ouvrir l'évaluation du risque formule Latex et associez le risque aux objectifs stratégiques correspondants que le risque menace. Ensuite, vous évaluez le risque dans tous les départements correspondants selon la probabilité et l'impact.
- Objectifs stratégiques Stratégie orientée innovation, expansion internationale, augmentation de la reconnaissance de la marque de 25% (marketing), croissance du produit à deux chiffres (ventes), maintien de la primauté dans la catégorie, >35% score net du promoteur
- Départements Recherche et développement, Opérations, Ventes, Marketing, Gestion financière / juridique, Ressources humaines
Résultat
Vous avez terminé l'évaluation du risque inhérent pour le risque formule Latex :
Conduire les ateliers de risque
Les ateliers sur le risque offrent un forum en ligne collaboratif pour rassembler les entrées supplémentaires et évaluer les risques conjointement avec la direction et les responsables de l'unité commerciale. Les consultants externes qui interviennent dans une organisation peuvent utiliser la fonctionnalité d'atelier sur les risques afin de gérer et d'intégrer facilement l'entrée des différentes parties prenantes. Chaque participant peut noter les risques, la moyenne des scores se calcule automatiquement et les scores sont agrégés dans une évaluation de risque unique qu'il est possible d'appliquer dans une vue de profil du risque.
Astuce
Vous pouvez effectuer certaines actions clés pour réussir la mise en place d'un atelier sur les risques :
- Fournir des définitions claires pour les critères de notation du risque Assurez-vous que tous les participants ont accès aux définitions afin de proposer une approché cohérente à la notation des risques Pour cela, la manière la plus simple consiste à donner des descriptions significatives aux facteurs de score de risque et aux scores individuels. Vous pouvez le faire tout en configurant vos paramètres de notation du risque. Les participants à l'atelier de gestion des risques auront ensuite accès à ces définitions lors de leur notation des risques.
- Choisir des participants appropriés Choisissez des personnes de différents départements, qui ont une bonne connaissance de l'entreprise et qui peuvent fournir un aperçu des opérations commerciales spécifiques.
- Limiter le nombre de participants La meilleure pratique consiste à intégrer 10 à 25 participants ; si vous devez prendre un plus grand nombre de participants, il est préférable d'envoyer une enquête depuis l'application Résultats.
Exemple
Scénario
Vous voulez inviter plusieurs intervenants à collaborer au processus d'évaluation du risque, toutefois vous ne pouvez malheureusement pas réunir les intervenants principaux dans la même salle au même moment. L'ensemble des risques identifiés de niveau stratégique sont la propriété du conseil d'administration ou des responsables de Comex. Cependant, ces personnes n'ont pas une connaissance suffisante de la manière dont les parties individuelles de l'entreprise fonctionnent. Vous avez besoin d'une méthode pour collecter toutes les données provenant de plusieurs personnes de l'entreprise et pour gérer de manière optimale ces données dans un emplacement unique et centralisé.
Processus
Rubrique d'aide Faciliter des ateliers sur les risques
Dans un premier temps, vous créez un atelier sur les risques et ajoutez les risques que les participants à l'atelier évalueront dans un forum collaboratif en ligne. Ensuite, vous ajoutez les participants pertinents et envoyez l'atelier sur les risques à chacun des participants. Lorsque les participants ont terminé la notation des risques, la moyenne des scores est automatiquement calculée et ils sont agrégés dans une évaluation de risque individuelle. Vous décidez ensuite d'appliquer l'évaluation de risque agrégée à votre profil de risque organisationnel.
Résultat
L'évaluation du risque inhérent pour tous les risques identifiés dans l'organisation est désormais terminée :
2. Prioriser les risques
La priorisation des risques désigne le processus de détermination des priorités de la gestion des risques en comparant le niveau de risque aux niveaux de risques cibles prédéterminés et aux seuils de tolérance. Le risque n'est pas seulement considéré en terme d'impact financier et de probabilité mais également en fonction de critères subjectifs comme l'impact sur la sécurité et la santé, sur la réputation, la vulnérabilité et la vitesse d'apparition.
Organiser les risques par état
Vous pouvez organiser les risques en affectant chaque risque à un état et en définissant son statut actuel dans le flux de travail d'atténuation du risque. Chaque état s'affiche dans une colonne distincte dans le profil de risque. Vous pouvez déplacer les risques d'un état à un autre en fonction de l'évaluation du risque ainsi que de la tolérance et l'appétence au risque de votre organisation.
Exemple
Scénario
Maintenant que chaque risque identifié a été évalué dans votre organisation, vous voulez organiser les risques et les affecter à différents statuts, ou états, en fonction du flux de travail de l'atténuation du risque.
Processus
Rubrique d'aide Affectation d'un risque à un état
Vous déplacez les risques d'un état à un autre en fonction de l'évaluation du risque et de la tolérance du risque de votre organisation. Pour certains risques, vous indiquez une durée pour accepter ou transférer le risque. L'indication d'une période de temps vous permettra de réévaluer facilement certains risques ultérieurement.
Résultat
Votre profil de risque est défini comme suit :
Visualiser les risques
La visualisation des risques permet d'établir et de communiquer une vue holistique des risques qui affectent l'organisation. Les cartes thermiques du risque sont souvent utilisées pour convertir la probabilité et l'impact potentiel des risques afin que des décisions stratégiques soient prises pour le bien-être de l'organisation. La carte thermique Stratégie vous permet également de visualiser l'agrégation du risque dans l'organisation et peut aider à la prise de décision concernant le domaine dans lequel fournir des ressources pour atténuer les risques prioritaires.
Exemple
Scénario
Vous devez prioriser le risque mais trouvez cela complexe de comparer tous les risques dans toute votre organisation. Vous reconnaissez que visualiser le risque contribue non seulement à présenter les résultats d'une évaluation de risque mais également à déterminer les domaines de l'organisation les plus préoccupants afin que vous puissiez déployer les ressources correspondantes, en conséquence.
Processus
Rubrique d'aide Comprendre les cartes thermique du risque
Vous ouvrez la carte thermique du risque par défaut pour déterminer les risques sur lesquels se concentrer en priorité. Les domaines les plus préoccupants sont représentés dans le quadrant supérieur droit de la carte thermique du risque et ceux moins préoccupants dans le quadrant inférieur droit :
Résultat
En vous appuyant sur la carte thermique du risque, vous pouvez rapidement déterminer les risques les plus importants pour votre organisation.
3. Répondre au risque
Une fois que vous avez priorisé les risques, vous devez définir les plans de réponse du risque et évaluer le risque résiduel. La fonction ERM doit être étendue aux personnes des postes opérationnels de première ligne qui sont les plus proches des risques. pour ce faire, vous connectez les données opérationnelles de contrôle et de risque de Projets aux risques stratégiques dans Stratégie. Cette approche hybride ascendante et descendante permet d'obtenir une couverture exhaustive de tous les risques identifiés dans les évaluations annuelles et elle intègre la notion de responsabilité en exploitant l'expertise des personnes correspondantes de l'organisation.
Définir des traitements de risque
Le traitement du risque désigne les mesures qu'une organisation prend pour atténuer le risque. Il peut s'agir d'initiatives, de programmes, de politiques ou d'objectifs de contrôles, que vous pouvez créer dans Projets et lier aux risques stratégiques dans Stratégie. Ce lien vous assure une couverture complète des risques opérationnels identifiés au cours des évaluations annuelles de risque et vous permet de déterminer dans quelle mesure votre organisation procède de manière approprié pour atténuer le risque.
Astuce
Quelquefois, l'évaluation du traitement préliminaire montre que vous recherchez trop de ressources pour atténuer le risque (% traitement >= 100%). Dans ce cas, l'évaluation du risque montre les opportunités potentielles pour réduire le montant du traitement pour un risque donné et diminuer les ressources liées au traitement du risque.
Exemple
Scénario
Suite au processus de priorisation du risque, vous avez identifié que le risque le plus préoccupant pour votre organisation est le risque formule Latex. Avec un niveau de risque inhérent de 70,3%, vous savez qu'il est nécessaire de coordonner vos efforts pour être sûr d'atténuer le risque de manière appropriée. Vous commencez à travailler en étroite collaboration avec l'équipe d'assurance pour définir des traitements afin de diminuer la probabilité et l'impact du vol de la formule Latex.
Processus
Rubrique d'aide Définir le traitement du risque
L'équipe d'assurance crée un projet Examen de sécurité pour l'installation Latex dans l'application Projets et elle définit l'objectif suivant :
S'assurer que la sécurité physique est correctement maintenue à l'extérieur
Dans Stratégie, vous ouvrez le risque Formule Latex, accédez à l'onglet Traitement et liez le dernier objectif créé dans Projets au risque Formule Latex.
Résultat
Une relation est définie entre le risque stratégique dans Stratégie et l’objectif lié dans Projets ce qui vous permet de suivre l'assurance et les résultats du test ainsi que d'évaluer le risque résiduel.
Évaluer les risques résiduels
Une fois le risque inhérent évalué et le mode de traitement du risque défini, vous pouvez exécuter une évaluation de traitement préliminaire qui indique de combien le traitement réduit le risque. Vous pouvez ainsi identifier les domaines dans lesquels l'entreprise est exposée au risque au delà de l'appétence au risque organisationnel. Évaluer le risque résiduel implique l'indication d'un pourcentage de traitement afin de définir la valeur selon laquelle le traitement réduit le risque inhérent. Le pourcentage de traitement repose sur l'efficacité prévue des efforts de traitement définis avant que les contrôles ne soient testés pour l'assurance.
Astuce
Vous pouvez indiquer un pourcentage compris entre 0 et 100%. Le % de traitement total peut être supérieur à 100 %. Toutefois, un traitement agrégé qui dépasse 100% peut indiquer que votre organisation doit envisager de réviser le traitement et réduire les coûts liés au traitement du risque.
Exemple
Scénario
Maintenant que vous avez défini le lien entre le risque Formule Latex et l'objectif de sécurité physique, vous devez effectuer une évaluation du traitement préliminaire qui indique de combien le traitement réduit le risque. L'évaluation vous permet d'identifier les domaines dans lesquels l'entreprise est exposée au risque au delà de l'appétence au risque organisationnel.
Processus
Rubrique d'aide Évaluer le risque résiduel
Commencez par indiquer le pourcentage de traitement afin de définir la valeur selon laquelle le traitement réduit le risque Formule Latex. Vous basez le pourcentage de traitement sur l'efficacité prévue des efforts du traitement définis avant que les contrôles ne soient testés pour l'assurance :
Résultat
Lorsque vous saisissez chaque pourcentage, le % de traitement associé à un secteur opérationnel se met à jour automatiquement. Les valeurs Score de risque résiduel et Niveau de risque résiduel se mettent à jour également automatiquement. Selon les résultats de l'évaluation du risque résiduel, vous pouvez choisir d'accepter ou d'éviter le risque.
Définir le champ d'application et évaluer les contrôles et risque du niveau de processus
En fonction des résultats de l'évaluation du risque stratégique, les équipes d'assurance peuvent commencer à planifier et à définir le champ d'application des risques et des contrôles au niveau micro ou processus ainsi qu'à planifier leurs dossiers de travail et les communications dans l'application Projets. Chaque engagement peut être planifié avec un contexte, des objectifs et un champ d'application qui cadrent le rapport final. Les fichiers de planification peuvent être joints si nécessaire. L'équipe de l'assurance peut quantifier les risques à l'aide d'une échelle numérique basée sur le cadre de risque choisi par votre organisation, évaluer l'efficacité des contrôles et relever tout problème, présenter les données quantifiées pour afficher l'efficacité avec laquelle les contrôles clés de l'organisation atténuent les risques opérationnels attendus ainsi qu'affecter des ressources aux domaines présentant le risque le plus grand.
Astuce
Vous pouvez intégrer une évidence depuis le test de contrôle dans Projets afin d'agréger à nouveau les données transactionnelles pour le risque stratégique dans Stratégie et utiliser les données pour sauvegarder vos recommandations pour la direction et les membres du conseil d'administration.
Exemple
Scénario
Dans le cadre du traitement du risque formule Latex, vous devez vous assurer que le traitement fonctionne ; en d'autres termes, vous devez vous assurer que le risque formule Latex est traité de manière appropriée et que vous ne gaspillez pas de ressources dans des procédures inefficaces sans aucun effet d'atténuation du risque.
Processus
Rubrique d'aide Exécuter des procédures ou tester des contrôles
Pour déterminer l'efficacité du traitement, l'équipe d'assurance teste chaque des procédures énumérées dans l'objectif S'assurer que la sécurité physique est correctement maintenue à l'extérieur :
- 3-01 Les fenêtres doivent être fabriquées ou couvertes par des matériaux qui protègent de toute pénétration forcée. Les fenêtres non fabriquées à partir de ces matériaux doivent disposer d'un système de détection d'intrusion. Ce type de système alerte un service de réponse qui réagit dans les 15 minutes.
- 3-02 Durant les week-ends, seules les entrées principales de l'installation (Sud 1 à Denver (DV1) et Sud 2 à Los Angeles (LA2)) peuvent autoriser des entrées par carte magnétique.
- 3-03 Une surveillance visuelle doit être maintenue en permanence en dehors des horaires de travail.
- 3-04 L'éclairage doit avoir une intensité suffisante pour permettre de détecter toute activité non autorisée.
L'équipe d'assurance a également pondéré chaque procédure à 25% ce qui signifie que le pourcentage du risque que la procédure atténue est de 25%.
Résultat
L'équipe de l'assurance enregistre chaque évaluation de procédure et identifie un problème suite à l'exécution de la procédure 3-02.
Quelles sont les prochaines étapes ?
Découvrez comment rapporter et surveiller des risques
L'utilisation combinée des applications Stratégie, Projets et Résultats vous permet de suivre les résultats d'assurance et de test associés aux risques stratégiques, d'intégrer des données pour faciliter la surveillance des risques et générer une variété de rapports à partager avec les intervenants correspondants.
Pour en savoir plus, voir Rapport et surveillance du risque.
Inscrivez-vous à une formation de l'Académie
Poursuivez votre apprentissage des concepts présentés dans cet article en suivant le parcours d'apprentissage STRAT 100.
L'Académie est le centre des ressources de formation en ligne de Diligent. Les sessions de l'Académie sont incluses sans coût supplémentaire pour tout utilisateur disposant d'un abonnement Diligent One. Pour plus d'informations, consultez Académie.