ORM vs ERM | quelles sont les différences fondamentales ?

Quelle est la différence entre la gestion des risques opérationnels et la gestion des risques d’entreprise ?

En réalité, la gestion des risques opérationnels (ORM) ne représente qu’une petite partie d’un cadre véritablement holistique de gestion des risques d’entreprise (ERM). Dans cet article, nous explorons les différences fondamentales entre la gestion des risques opérationnels et la gestion des risques d’entreprise. Nous examinons le contraste marqué entre les domaines d’intervention de chaque programme, expliquons comment les objectifs principaux et les parties prenantes diffèrent, et explorons les avantages supplémentaires qu’un programme ERM peut apporter en alignant les activités de gestion des risques sur les objectifs stratégiques et la performance de l’entreprise.

Une différence dans les domaines d’intervention clés

L’ORM se concentre spécifiquement sur la gestion des risques liés aux opérations quotidiennes au sein de l’organisation. Cela comprend les risques opérationnels associés aux processus, aux systèmes, aux personnes et aux facteurs externes qui peuvent avoir un impact sur le modèle opérationnel de l’organisation.

L’ERM, en revanche, a une portée beaucoup plus large, avec un accent sur l’identification et la gestion des risques dans l’ensemble de l’organisation, y compris les risques stratégiques, financiers, opérationnels, informatiques et cyber, liés aux tiers et à la conformité. L’ERM met fortement l’accent sur la gestion des risques en accord avec les objectifs stratégiques et la performance de l’entreprise, permettant aux entreprises de prendre certains risques pour atteindre leurs objectifs à long terme et d’éviter les risques qui pourraient avoir un impact néfaste sur la performance opérationnelle.

Des objectifs différents

L’objectif de l’ORM est d’identifier, d’évaluer et d’atténuer les risques qui pourraient perturber ou avoir un impact négatif sur les opérations quotidiennes de l’organisation. Il se concentre sur la minimisation de la probabilité et de l’impact des défaillances opérationnelles, telles que les pannes de processus, les défaillances technologiques, les erreurs humaines ou les événements externes.

L’objectif principal de l’ERM est de s’assurer que l’organisation atteint ses objectifs stratégiques tout en gérant efficacement les risques. L’ERM vise à fournir un cadre complet pour identifier, évaluer, prioriser et gérer différents types de risques dans l’ensemble de l’entreprise. Avec cette portée plus large d’objectifs, l’ERM nécessite une approche plus intégrée avec une cartographie significative des données pour permettre à une organisation de comprendre l’impact du risque sur les objectifs stratégiques et la performance de l’entreprise. Les équipes de risque et les membres du conseil d’administration utiliseraient ensuite les données ERM consolidées pour soutenir la prise de décision stratégique, leur permettant de prendre des risques dans les domaines où la récompense l’emporte sur le risque.

Différente implication des parties prenantes

Comme l’ORM traite uniquement des risques opérationnels liés aux personnes, aux systèmes et aux procédures, les parties prenantes ont tendance à inclure les gestionnaires opérationnels, les propriétaires de processus et les employés de première ligne qui sont directement impliqués dans l’identification et la gestion des risques opérationnels dans leurs domaines spécifiques de responsabilité. Les équipes de risque seront probablement propriétaires du processus, feront les rapports et partageront les résultats avec les équipes de direction.

Bien que l’ERM soit encore généralement piloté par l’équipe de risque, il nécessite une implication supplémentaire de la direction générale et du conseil d’administration dans la définition de l’appétit pour le risque, la prise de décisions concernant les risques stratégiques et la supervision de l’exposition globale au risque d’une organisation. L’ERM prend en compte les intérêts de toutes les parties prenantes, y compris les actionnaires, les clients, les employés, les régulateurs et d’autres parties externes.

Bien sûr, l’ORM reste un aspect de l’ERM, et ces mêmes gestionnaires opérationnels, propriétaires de processus et employés de première ligne continueront à alimenter en données les aspects opérationnels du programme ERM, mais l’ERM holistique inclut beaucoup plus d’équipes, de départements et d’individus de toute l’organisation. Les équipes informatiques seront impliquées dans l’aspect cyber et risque informatique, ceux qui traitent avec les fournisseurs, les vendeurs et les prestataires de services seront tenus d’alimenter le cadre de gestion des risques liés aux tiers. L’équipe de conformité et les employés opérationnels seront impliqués pour assurer la conformité aux politiques, procédures et réglementations, et les employés de tous niveaux seront impliqués dans l’enregistrement des incidents, des dangers et des quasi-accidents, pour comprendre l’exposition au risque.

L’ERM nécessite une implication beaucoup plus importante du conseil d’administration et de l’équipe de direction que les programmes traditionnels de gestion des risques opérationnels. Le conseil sera impliqué dans la définition des objectifs et des plans stratégiques de l’organisation et les diffusera dans toute l’entreprise pour assurer leur réalisation. Dans le cadre de leur plan stratégique, ils voudront capturer et gérer les risques stratégiques, et ils voudront l’autorité pour permettre certains risques si le résultat probable soutient leurs plans stratégiques et l’emporte sur le risque. La cartographie des risques par rapport à la planification stratégique grâce à un programme ERM efficace est essentielle pour que les dirigeants aient une visibilité sur la façon dont le risque affectera la performance et la stratégie afin de prendre des décisions stratégiques importantes concernant la prise de risque, la budgétisation et la planification des ressources.

Différents niveaux d’intégration requis

L’ORM est souvent un sous-ensemble de l’ERM et est intégré dans les processus opérationnels de l’organisation et se concentre spécifiquement sur les risques opérationnels et leurs stratégies d’atténuation.

L’ERM, quant à lui, fournit le cadre global pour gérer d’autres types de risques en plus du risque opérationnel, y compris les risques informatiques et cyber, liés aux tiers, stratégiques et liés à la conformité.

L’ERM intègre la gestion des risques dans les processus globaux de planification stratégique et de prise de décision de l’organisation. Il prend en compte les interdépendances entre différents types de risques et leur impact potentiel sur la capacité de l’organisation à atteindre ses objectifs. L’ERM prend également en compte l’impact du risque sur la performance opérationnelle, permettant à l’organisation de prendre des risques pour améliorer la performance et d’éviter les risques qui auront un impact négatif sur la performance.

Différentes capacités logicielles

Bien que les programmes ERM et ORM soient tous deux mieux gérés à l’aide d’un logiciel GRC, les programmes ERM nécessitent que la plateforme offre des fonctionnalités plus complexes.

Les programmes ORM exigent que la plateforme GRC offre des capacités traditionnelles de gestion des risques opérationnels. Celles-ci comprennent la capacité de créer un registre des risques opérationnels, de déployer des évaluations des risques en ligne, de constituer des registres de contrôle et d’effectuer des vérifications de contrôle, et de mettre en œuvre des flux de travail d’atténuation des risques pour réduire les risques. Ils offriront également une variété de rapports permettant aux équipes de risque de résumer l’exposition au risque et de guider l’entreprise sur la meilleure ligne de conduite. Les plateformes GRC configurées pour l’ORM offriront également une variété de tableaux de bord personnalisés permettant à chaque utilisateur d’obtenir un résumé des actions et des tâches et un résumé des risques dans leur domaine spécifique.

Les plateformes GRC qui offrent des capacités ERM ont tendance à offrir une plus grande variété d’exigences. Ces plateformes permettront aux entreprises de mettre en place plusieurs registres de risques avec différentes catégories et types. Les organisations pourront construire une variété de différents formulaires d’évaluation des risques basés sur les différents types de risques évalués. Les plateformes ERM permettront toujours aux entreprises de construire une bibliothèque de contrôles, d’effectuer des vérifications de contrôle et de mettre en œuvre des stratégies d’atténuation des risques, mais elles offriront également des fonctionnalités supplémentaires.

Les équipes pourront mettre en place un programme de gestion des risques liés aux tiers selon les meilleures pratiques pour gérer les risques des fournisseurs. Elles peuvent construire une bibliothèque de fournisseurs capturant des détails critiques sur chaque fournisseur et effectuer des analyses comparatives et des tableaux de bord et surveiller la performance par rapport aux KPI et aux SLA. Les plateformes ERM offrent souvent un portail fournisseur en ligne permettant aux fournisseurs de compléter des évaluations de risques tiers en ligne.

Les plateformes ERM permettent également aux entreprises de gérer les risques cyber et informatiques, en construisant un registre des risques cyber, en effectuant des évaluations des risques cyber, en surveillant la conformité aux politiques informatiques et aux réglementations sur la confidentialité des données, en gérant les incidents liés à l’informatique et en surveillant l’utilisation des actifs informatiques.

Mais la principale différence entre les capacités de la plateforme ORM et les exigences pour une plateforme ERM est l’intégration entre la gestion des risques, la performance de l’entreprise et les objectifs stratégiques. Les plateformes ERM permettent aux entreprises de planifier et de réaliser leur stratégie, de comprendre l’impact du risque sur leurs objectifs stratégiques et de gérer le risque stratégique. Les plateformes ERM permettent également aux entreprises de comprendre l’impact du risque sur la performance opérationnelle et offrent souvent des intégrations API avec d’autres systèmes et sources de données, extrayant des données de performance d’entreprise vers et depuis la plateforme pour construire une image claire de la façon dont le risque affecte la performance de l’entreprise.

L’appétit pour le risque joue également un rôle important dans tout programme ERM. Le Conseil travaillera avec l’équipe de risque pour définir l’appétit pour le risque et établir la quantité de risque qu’ils sont prêts à prendre dans la poursuite de leurs objectifs stratégiques. C’est la responsabilité de l’équipe de risque, en conjonction avec le reste de l’organisation, de s’assurer que l’entreprise fonctionne dans ces niveaux convenus en surveillant les risques et en s’assurant que les contrôles sont efficaces.

Bien sûr, l’intégration du risque avec la performance de l’entreprise et les objectifs stratégiques apporte également une multitude de rapports pour aider les organisations à comprendre l’impact du risque sur la performance de l’entreprise et les initiatives stratégiques. Ces données aideront les équipes de direction à savoir quels risques prendre et où allouer un budget vital et des ressources pour réduire les risques.

Par où commencer mon voyage de l’ORM vers l’ERM ?

Si votre organisation a mis en place un programme de gestion des risques opérationnels mais souhaite aller plus loin vers un programme ERM entièrement intégré, voici quelques facteurs importants à considérer.

Tout d’abord, assurez-vous d’utiliser une plateforme GRC de meilleures pratiques qui offre des capacités ERM suffisantes pour vos besoins actuels et futurs. Cela comprend :

• Des capacités de planification stratégique et de définition des objectifs d’entreprise.
• Des intégrations API pour cartographier les risques par rapport à la performance opérationnelle.
• Des capacités de risque et de conformité informatiques et cyber.
• Gestion des risques pour les tiers.
• Des tableaux de bord ERM.
• Des fonctionnalités d’appétit pour le risque.
• Une gestion des incidents permettant à l’organisation de relier les incidents aux risques et contrôles d’origine.
• Des registres de risques, catégories et types illimités.
• Des rapports et tableaux de bord de niveau exécutif pour les équipes de direction, y compris des rapports Power BI, des cartes thermiques et des analyses en nœud papillon.
• Une interface simple et intuitive pour permettre au personnel de tous niveaux d’alimenter le programme ERM.

Assurez-vous de décider de la portée et des exigences clés de votre programme ERM dès le départ et impliquez une variété de parties prenantes, des membres du conseil d’administration et des dirigeants qui devront guider la stratégie et l’appétit pour le risque jusqu’aux cadres intermédiaires et au personnel opérationnel qui compléteront les évaluations des risques, les vérifications de contrôle et les tâches et actions stratégiques. Définir clairement comment le personnel utilisera la plateforme et quelles données ils devront extraire dès le départ garantira une mise en œuvre réussie.

N’oubliez pas qu’une plateforme ERM peut évoluer et croître avec votre organisation à mesure que les exigences s’élargissent, alors ne vous sentez pas obligé de mettre en place tous les aspects de l’ERM lors de la mise en œuvre initiale d’une plateforme GRC. Choisissez les fonctionnalités qui répondent à vos principaux points problématiques et ajoutez-en davantage à mesure que la solution s’intègre davantage dans vos opérations.

Pour plus d’informations sur la façon dont la plateforme Riskonnect peut aider votre organisation à mettre en œuvre un processus de gestion des risques selon les meilleures pratiques qui répond à vos besoins, demandez une démonstration.