Les contrôles dans le cadre de la stratégie de gestion des risques
Toutes les entreprises devraient élaborer, tenir et mettre à jour une carte des risques de l’entreprise, qui fournit à la compagnie l’état des événements susceptibles d’entraver le déroulement des processus d’activité.
Fondamentalement, cet état comprend le niveau de détection, de prévention et de réponse en cas de survenance d’un événement susceptible d’avoir un impact sur l’entreprise.
La réponse face aux risques : des contrôles basés sur l’efficacité
Sur la base de la connaissance de cet état, des décisions peuvent être prises pour tenter d’atténuer les risques qui ont une valeur inacceptable pour l’entreprise, l’objectif étant de pouvoir hiérarchiser les ressources disponibles afin d’améliorer la réponse face au risque.
Ce processus reçoit le nom d’analyse des risques. Il doit être cohérent avec une méthodologie de calcul des niveaux de risque précédemment établie.
Les mesures de contrôle, ou contrôles, sont le moyen de répondre aux risques. Chaque entreprise a mis en place des contrôles différents qui doivent être identifiés et évalués dans l’analyse.
L’évaluation des contrôles doit être basée sur leur efficacité ; nous devons savoir si le contrôle permet réellement d’atténuer le risque et dans quelle mesure. Avec cette valeur d’efficacité, nous obtiendrons les niveaux de risque actuels de l’entreprise.
Un niveau de risque élevé signifie que les mesures de contrôle existantes dans l’entreprise ne sont pas efficaces ou sont insuffisantes. Si le niveau de risque est faible, nous disposerons de mesures suffisantes et efficaces.
L’importance de la stratégie de gestion des risques et de la mise en œuvre des contrôles
Il est essentiel de définir le niveau de risque acceptable en fonction de l’appétit pour le risque de l’entreprise.
Tous les risques dont le niveau est supérieur au niveau de risque acceptable doivent être évalués, et une stratégie pour leur gestion doit être définie. Une stratégie possible consiste à établir un plan d’action pour améliorer la situation à haut risque en mettant en œuvre de nouvelles mesures de contrôle ou en améliorant les mesures existantes.
Nous devons obtenir l’approbation du résultat de l’analyse des risques de la part de la haute direction, car la direction doit connaître la situation de l’entreprise et obtenir l’approbation du niveau de risque acceptable, car la définition de ce niveau déterminera si un risque est acceptable ou doit être traité.
En aucun cas, un risque dont le niveau est supérieur au niveau de risque acceptable ne doit échapper à l’évaluation.
Les contrôles sont généralement préventifs ou correctifs, c’est-à-dire qu’ils empêchent l’impact du risque, dans ce cas ils réduisent sa probabilité, ou aident à réduire l’impact causé par le risque une fois qu’il s’est matérialisé, dans le cas des contrôles correctifs.
Plan d’action : des contrôles pour atténuer les risques
Le plan d’action ou plan de traitement des risques contiendra toutes les mesures de contrôle nécessaires pour ramener les niveaux de risque élevés à un niveau acceptable. Il peut arriver que, pour un même risque, nous devions mettre en œuvre plusieurs contrôles et que le même contrôle permette d’atténuer plusieurs risques.
Les contrôles à inclure dans le plan de traitement doivent être sélectionnés selon que l’on souhaite réduire la probabilité ou l’impact de chaque risque.
Une fois le plan élaboré, il doit être approuvé par la haute direction de l’entreprise afin de garantir la disponibilité des ressources pour l’exécuter et la prise de responsabilité de la part des personnes désignées comme responsables des projets à réaliser.
Nous devons suivre l’exécution du plan et, une fois celui-ci achevé, évaluer l’efficacité des nouveaux contrôles et mettre à jour l’ensemble de la carte des risques afin d’obtenir la nouvelle situation de l’entreprise.
Régulièrement, pour chaque changement important, l’analyse des risques doit être mise à jour, car, entre autres considérations, l’efficacité des contrôles peut changer, et un suivi inadéquat peut entraîner une perte d’efficacité avec le temps.
Ce processus, appelé analyse et gestion des risques, doit être abordé dans le cadre d’un système de gestion des risques mis en place au sein de la compagnie. Un standard international tel que la norme ISO 31000 peut servir de guide pour connaître les composantes de ce système de gestion.
Chez GlobalSuite Solutions, nous disposons d’un service de conseil qui vous orientera et vous aidera à mettre en œuvre un système de gestion des risques de l’entreprise, ce qui vous permettra de connaître l’état de protection de votre entreprise contre les risques éventuels qui concernent vos activités.
Nous mettons également à votre disposition l’application GlobalSuite Risk Management, un outil qui facilite la mise en œuvre du système et apporte une automatisation et une traçabilité tout au long du processus d’analyse et de gestion des risques.