Rapport et surveillance du risque
La génération de rapports et la surveillance des risques stratégiques est un processus dynamique auquel toute l'organisation doit prendre part. Pour être efficace, la fonction ERM doit répondre aux situations critiques avant qu'elles ne deviennent des problèmes majeurs ainsi que rapporter périodiquement les risques aux intervenants clés. Cet article présente comment créer un rapport et surveiller le risque à l'aide des applications Stratégie, Projets et Résultats.
Il s'appuie sur les exemples présentés dans Mise en œuvre de la gestion des risques d'entreprise.
Qu'impliquent la génération de rapports et la surveillance de risque ?
La génération de rapports sur le risque est un processus de communication en temps réel du risque et des données de performances aux différents intervenants.
La surveillance du risque est une activité permanente qui permet de savoir ce qui passe réellement dans les différents secteurs de l'organisation. Dans la durée, la surveillance des risques permet à la direction :
- d'identifier les situations de critiques ;
- de répondre de manière appropriée et efficace ;
- de repérer les opportunités commerciales ou traiter des améliorations qui n'auraient pas été apparentes sans la mise en place d'une serveillance effective.
Où rapporter et suivre le risque ?
Chez Diligent, nous utilisons une combinaison d'applications Stratégie, Projets et Résultats pour surveiller et rapporter le risque. Notre programe ERM nous permet d'aligner nos valeurs, notre vision et notre valorisation, d'accélérer notre calendrier de croissance en ce qui concerne nos mises sur le marché et l'innovation de nos produits mais aussi de nous assurer de toujours offrir une expérience optimale à nos clients.
Une image étendue
- Il est possible de générer des cartes thermiques du risque, la carte thermique de Stratégie et le profil du risque) à tout moment et de les partager avec une variété d'intervenants à des fins de reporting.
- Les résultats de test et les scores d'assurance peuvent être regroupés depuis Projets dans une évaluation de risque stratégique dans Stratégie à des fins de reporting sous réserve qu'il soit possible de visualiser un tableau de bord du risque et du projet au niveau stratégique.
- Il est possible de lier des mesures à des risques stratégiques afin de surveiller et de suivre le risque. Les déclencheurs peuvent s'utiliser conjointement aux mesures pour informer les principaux intervenants et les accompagner dans leur prise de décision en temps réel.
L'assurance du risque peut être déclarée à un niveau agrégé ou granulaire en fonction des besoins du public. La surveillance du risque peut s'effectuer de manière continue et automatiquement en intégrant les données de mesure de Résultats, en permettant à la direction de prendre des décisions plus rapides, adaptées au risque.
Étapes
Prêt pour un tour ?
Étudions plus précisément ces fonctions dans le contexte.
1. Suivre l'assurance
L'assurance est un processus basé sur le calcul dans Projets qui peut être regroupée dans Stratégie, où le résultat final est représenté par une valeur (un pourcentage). L'assurance vous permet d'évaluer la capacité qu'a une organisation d'atténuer un risque afin que les ressources puissent être attribuées correctement. Une fois que l'évaluation du traitement préliminaire est terminée, les équipes d'assurance peuvent tester les contrôles et les équipes de gestion du risque peuvent visualiser des scores d'assurance agrégés ainsi que les résultats du test associé dans les différentes zones de traitement.
Exemple
Scénario
Dans le cadre de vos tâches de surveillance et de génération de rapport sur le risque pour le risque formule Latex, vous devez vous assurer de l'efficacité des contrôles en place et mieux comprendre comment l'organisation procède pour atténuer le risque formule Latex. L'équipe d'assurance a terminé récemment l'exécution des procédures associées à l'objectif de sécurité physique précédemment défini comme le traitement. Maintenant, vous voulez voir si le traitement donne des résultats au niveau de l'atténuation du risque formule Latex.
Processus
Rubrique d'aide Définir le traitement du risque
Vous ouvrez le risque Formule Latex et accédez à l'onglet Assurance pour voir l'efficacité des contrôles destinés à atténuer le risque.
Résultat
Vous êtes en mesure de déclarer le score d'assurance pour le risque Formule Latex une fois que les contrôles ont été testés dans l'application Projets et que les résultats du test ont été automatiquement regroupés pour le risque dans Stratégie :
2. Intégrer des données pour surveiller les risques
Pour surveiller le risque en permanence et entraîner des actions en temps réel, vous pouvez lier une mesure dans Résultats à un risque stratégique dans Stratégie. Les mesures suivent les données dans une seule colonne pendant une période en utilisant une fonction agrégée comme par exemple une moyenne, un compte ou un pourcentage du total. Lorsque vous créez une mesure, vous définissez également des déclencheurs avec des conditions de seuil qui testent la valeur du calcul. Lorsque l'une de ces conditions s'avère vraie, la valeur de calcul du déclencheur change et toute action associée, telle que la notification des intervenants clés, est prise.
Astuce
Pour éviter une notation manuelle des risques stratégiques, vous pouvez utiliser des pilotes d'évaluation afin d'automatiser les différentes évaluations de risque. Vous pouvez lier une mesure créée dans l'application Résultats à une évaluation de risque dans Stratégie afin d'informer l'évaluation et renseigner automatiquement les scores de risque inhérents en fonction de plages de mesures prédéfinies. Les principaux intervenants peuvent être avertis en cas de modification de l'évaluation du risque.
Exemple
Scénario
Vous devez suivre le risque Formule Latex pour comprendre si votre organisation figure dans le seuil relatif à la propension de risque de votre organisation. Le seuil d'appétit de risque indique le montant du risque que votre organisation souhaite accepter.
Vous décidez de surveiller le pourcentage (%) d'accès pendant le week-end pour voir quels sont les employés qui pénètrent dans les locaux alors qu'ils n'ont pas l'autorisation (en créant un risque pour le secret de la formule Latex). Vous définissez un seuil de 15% des emloyés ayant accès aux bâtiments pendant les week-end. Dans le cadre de vos tâches, vous devez surveiller le risque en continu et déclarer tous les mois pendant lesquels plus de 15% de l'accès global à l'installation s'effectue pendant les week-end.
Processus
Rubriques d'aide
- Créer et modifier des mesures
- Lier des mesures aux risques
- Déclenchement d'actions à partir des mesures
Pour surveiller le pourcentage total de l'accès à l'installation pendant le week-end mensuellement, vous créez une mesure dans Résultats, configurez un déclencheur qui vous avertit lorsque la mesure dépasse le seuil de 15%. Ensuite, vous liez la mesure au risque Formule Latex dans Stratégie.
Résultat
Si le pourcentage de l'accès pendant le week-end dépasse le seuil de 15% défini par votre organisation, vous recevez un e-mail de notification. À partir de ce moment, vous choisissez l'action appropriée.
3. Générer des rapports
Dans Stratégie, vous pouvez créer des cartes thermiques de risque complètes et configurables à partager avec la direction et le conseil d'administration. Elles peuvent être lues rapidement et permettent de prendre des mesures en conséquence. Une fois créées, ces cartes thermiques de risque peuvent être exportées et partagées de manière électronique. Il est également possible de télécharger à tout moment d'autres rapports par défaut, tels que la carte thermique de Stratégie, qui identifient la gravité relative et l'agrégation du risque dans les différentes parties de l'organisation. Les équipes de gestion du risque peuvent également extraire des informations détaillées sur le profil de risque en téléchargeant le rapport Excel disponible.
Astuce
Il existe une diversité de fonctionnalités de création de rapports dans d'autres applications Diligent One, qu'il est possible d'appliquer pour la création d'un rapport sur le risque. Par exemple, l'application Storyboards permet de générer un rapport sur l'état de la cybersécurité, de présenter un tableau de bord relatif aux performances et au risque fournisseur, de générer un rapport sur la gestion des polices de l'entreprise ou de présenter des mises à jour financières sur la croissance des revenus.
Exemple
Scénario
Vous devez présenter une vue unifiée des risques organisationnels les plus important au conseil d'administration.
Processus
Rubriques d'aide
- Configurer des cartes thermiques du risque
- Visualiser les agrégations de risque dans la carte thermique Stratégie
Commencez par configurer une carte thermique du risque pour présenter les résultats de l'exercice d'évaluation du risque et présenter la gravité relative du risque dans l'organisation. Les domaines les plus préoccupants sont représentés dans le quadrant supérieur droit de la carte thermique du risque et ceux moins préoccupants dans le quadrant inférieur droit :
Pour identifier l'emplacement des clusters du risque dans votre organisation et présenter l'agrégation du risque dans une zone individuelle, vous exportez la carte thermique de Stratégie :
Résultat
Vous présentez les informations au conseil d'administration. Les membres de ce-lui peuvent maintenant voir rapidement les risques les plus importants pour l'organisation en plus des zones de risque agrégées avec le risque le plus élevé pour l'activité. Ces informations simplifient la prise de décision.
Quelles sont les prochaines étapes ?
Inscrivez-vous à une formation de l'Académie
Poursuivez votre apprentissage des concepts présentés dans cet article en suivant le parcours d'apprentissage STRAT 100.
L'Académie est le centre des ressources de formation en ligne de Diligent. Les sessions de l'Académie sont incluses sans coût supplémentaire pour tout utilisateur disposant d'un abonnement Diligent One. Pour plus d'informations, consultez Académie.