Qu’est-ce que la gestion des risques opérationnels ?

Ensemble de pratiques et de processus, soutenu par une culture axée sur les risques et par des technologies puissantes, qui améliore la prise de décision et les performances grâce à une vision intégrée de la façon dont l’entreprise gère son ensemble unique de risques.

Les éléments présentant des risques pour les entreprises sont multiples, en interne comme en externe. Le plus de risques possible doivent être identifiés, à l’aide de tous les leviers de l’entreprise, qu’il s’agisse de risques ponctuels ou récurrents. Une fois identifié, évaluez les risques d’un point de vue qualitatif et quantitatif. Réfléchissez à la fréquence des risques, à leur gravité, et aux mesures à prendre pour les prévenir et les atténuer.

Appliquez des contrôles pour limiter l’exposition de votre entreprise aux risques et augmenter les chances d’atténuation des risques.

Une gestion efficace des risques consiste à surveiller les risques en permanence et à générer des rapports à leur sujet si nécessaire, afin de suivre l’efficacité du plan de gestion des risques.

Les entreprises peuvent utiliser les données de sortie d’un modèle d’évaluation des risques comme entrées dans un modèle mesurant l’exposition aux risques. Les systèmes de quantification doivent être validés afin de s’assurer qu’ils sont suffisamment robustes, et ainsi garantir l’exactitude des entrées, des hypothèses, des processus et des sorties.

Les cadres de travail relatifs aux risques doivent être régulièrement examinés par le conseil d’administration. Cela permet à ce dernier de superviser la direction générale afin de s’assurer que l’ensemble des éléments des politiques et des processus est mis en œuvre à tous les niveaux de décision. Le conseil d’administration doit également établir une position de tolérance au risque définissant les types, les niveaux et la nature des risques opérationnels qu’il est prêt à assumer.

Assurez-vous que les risques inhérents et les incitations sont bien compris par les membres du personnel en veillant à ce que tous les documents, activités et processus identifient et évaluent les risques opérationnels. Établissez une culture qui soutient les processus favorisant la compréhension des risques opérationnels inhérents aux stratégies et aux activités quotidiennes de l’entreprise.

Les organes de gestion et de direction sont chargés de définir les objectifs de l’entreprise et d’élaborer des stratégies permettant de les atteindre. Une partie des objectifs inclut la gestion des risques pour atteindre au mieux les objectifs à l’aide du modèle des trois lignes de défense, qui nécessite le soutien actif de la direction et de l’organisme décisionnel.

• Première ligne : gestion opérationnelle
  La gestion opérationnelle détient et gère les risques, elle est donc la première ligne de défense que les responsables opérationnels doivent s’approprier. Ils sont alors responsables de la mise en œuvre des actions visant à corriger les défaillances. Ce processus comprend l’identification des risques, leur évaluation, leur contrôle et leur atténuation, tout en guidant la mise en œuvre de politiques internes pour vérifier que les activités sont systématiquement alignées sur les objectifs.
  
  
• Deuxième ligne : gestion des risques et conformité
  La deuxième ligne de défense comprend généralement une fonction de gestion des risques visant à surveiller la mise en œuvre des pratiques de gestion des risques, tout en aidant les responsables opérationnels à définir les expositions cibles et à générer des rapports sur les données relatives aux risques.
  
  
• Troisième ligne : audit interne
  Les auditeurs fournissent des assurances à la direction et à l’organisme décisionnel. L’objectif de l’audit est de fournir des informations sur la gestion des risques, les contrôles internes et l’efficacité de la gouvernance. Son champ d’application couvre généralement l’efficacité des opérations, les actifs, la fiabilité et l’intégrité du processus de génération de rapports, ainsi que la conformité.

La gestion des risques opérationnels doit se concentrer sur la détection et le reporting des risques de tous types, et elle doit être étendue afin d’inclure une deuxième ligne travaillant en collaboration avec la première ligne pour assurer une résilience efficace des opérations et des processus.

Évaluer un processus business et sa résilience, remettre en question la gestion de l’entreprise si nécessaire et gérer les priorités requiert certains outils.

• Cartographier les processus et les contrôles : prenez le temps de cartographier les processus, ainsi que les risques et les contrôles pertinents. Incluez leur complexité, chaque transfert de processus, et précisez si la gestion est automatisée ou manuelle. L’objectif est de définir la propriété des processus tout au long du parcours, et ce en optimisant la productivité.
  
  
• Identifier les technologies nécessaires : identifiez les points du parcours impliquant des technologies, et le type de technologies nécessaire.
  
  
• Surveiller : surveillez les risques et les contrôles tout en mettant en place des mécanismes permettant de suivre les mesures afin de surveiller les niveaux de risque inhabituels.
  
  
• Lier les ressources : reliez la planification des ressources aux processus afin d’identifier les processus connexes et les besoins des processus. Développez la capacité d’évolution en fonction de vos conclusions.
  
  
• Renforcer le comportement : assurez-vous que la bonne conduite individuelle est renforcée par la formation, les incitations et la gestion des performances.
  
  
• Gérer le changement : créez des systèmes de gestion du changement pour vous assurer que les talents appropriés sont en place. Travaillez avec les processus et la capacité, et assurez-vous que les directives appropriées sont fournies.

• Rédiger des commentaires: mettez en place un retour de commentaires constant afin de signaler les problèmes, d’effectuer des analyses des causes premières et de réviser les processus au fur et à mesure de la collecte des données.

Les progrès réalisés dans le domaine des outils d’analyse peuvent faciliter la gestion des risques : de plus en plus de données structurées et non structurées sont disponibles. Les outils d’analyse avancée s’appliquent à presque tous les domaines de la gestion des risques, y compris la détection des risques, l’identification des faux positifs, la conformité, les défaillances de processus et les risques humains.

• Indication en temps réel : testez la gestion des risques en temps réel pour identifier et analyser les mesures de risque. Dans l’idéal, les anomalies ou activités inhabituelles peuvent indiquer les zones à risque ou les zones à traiter en temps réel.
• Outils ciblés : des outils de données spécialement ciblés peuvent détecter les problèmes liés aux risques dans certains domaines identifiés. L’apprentissage machine peut également être utile en association avec des outils d’analyse ciblés, car les systèmes d’apprentissage machine et d’intelligence artificielle peuvent apprendre à mieux détecter les zones de risque ou les indicateurs d’activités liées aux risques au sein d’un ensemble de données.

La gestion des risques nécessite un ensemble spécial de compétences et de compréhension des risques pour repérer les activités à risque, interpréter les données et fournir une analyse approfondie. Les responsables, les équipes et les individus doivent aborder les risques de manière innovante, notamment en s’adaptant aux processus et en comprenant comment les analyses avancées deviennent de plus en plus pertinentes, en particulier avec la mise en œuvre de systèmes d’apprentissage machine et d’intelligence artificielle.

Les êtres humains peuvent être très efficaces en matière de gestion des risques opérationnels, mais une partie de la gestion des risques consiste à identifier et analyser la façon dont l’erreur humaine peut affecter la gestion des risques opérationnels et présenter ses propres risques.

Dans l’idéal, après avoir été initialement identifiés, la plupart des risques doivent être évités. La prévention des risques permet de minimiser les vulnérabilités et de traiter les risques identifiés comme des menaces. La prévention consiste en partie à fournir une formation appropriée et à mettre en place les bonnes politiques et procédures.

Dans l’idéal, les risques doivent être évités, mais ce n’est pas toujours possible. La réduction des risques consiste à comprendre les risques et les responsabilités, ainsi que les stratégies mises en œuvre pour les réduire. En général, le risque est quantifié, analysé et affecté à certains niveaux de risque afin d’établir des priorités et de permettre des opérations de réduction des risques.

Le partage et le transfert des risques sont deux éléments distincts. Le partage des risques vise à réduire l’impact d’événements incertains ou de certains risques. Les tâches ou responsabilités peuvent être divisées entre les services ou les individus au sein d’une entreprise, ce qui permet de répartir le risque entre plusieurs parties et d’attribuer des responsabilités individuelles dans le cadre de pratiques de gestion des risques plus larges.

Le transfert des risques consiste à ne pas assumer la responsabilité d’un risque ; la rétention des risques est le contraire. Une entreprise conserve un risque en le finançant elle-même, de même que toutes ses conséquences ultérieures. On opte généralement pour la rétention des risques lorsqu’une analyse financière indique qu’il est moins coûteux de conserver les risques plutôt que de les transférer à un tiers.