Aucun cadre de gestion des risques opérationnels n’est complet sans l’Évaluation des Risques et des Contrôles par Auto-évaluation (ERCA). Cette technique habilitante, utilisée par le personnel à tous les niveaux et dans un large éventail d’organisations pour identifier les risques et évaluer les contrôles associés et leur efficacité, a été développée en 1987. Aujourd’hui, elle est toujours considérée comme un moyen puissant de fournir l’assurance aux organes de gouvernance et aux régulateurs que tous les objectifs seront atteints. Un certain nombre d’avantages « plus subtils » ont également été identifiés : le personnel acquerra une compréhension plus approfondie des opérations commerciales, une sensibilisation accrue à la gestion des risques opérationnels, et sera mieux équipé pour conduire un programme de gouvernance plus rigoureux.

Le livre blanc de l’Institut du Risque (IOR), « Évaluation des Risques et des Contrôles par Auto-évaluation » détaille comment les ERCA aident les organisations à hiérarchiser les expositions aux risques, à identifier les faiblesses et les lacunes des contrôles, et à surveiller les actions entreprises pour y remédier.

Il semble y avoir un équilibre délicat à atteindre ; une ERCA bien exécutée et mise en œuvre devrait aider à intégrer la gestion des risques opérationnels dans l’ensemble de l’entreprise et à améliorer la culture globale du risque. Si elle devient trop complexe, la notion que la gestion des risques opérationnels est bureaucratique et axée sur la conformité pourrait être renforcée.

Les directives soulignent que tout en aidant à évaluer les expositions aux risques opérationnels, les ERCA ont également un rôle à jouer dans la mise en avant des risques opérationnels et l’incitation à en parler. L’idée est que les organisations qui discutent des risques opérationnels et de l’efficacité de leurs contrôles associés seront mieux placées pour faire face à « ce que l’avenir réserve » – les risques nouveaux et émergents.

Incontestablement, une ERCA efficace contribuera à soutenir les activités de gouvernance d’entreprise et de conformité. Selon l’IOR, « Les résultats d’une ERCA fournissent l’assurance à l’organe de gouvernance et aux régulateurs qu’une organisation dispose d’un système solide pour la gestion des risques opérationnels. De même, les ERCA peuvent soutenir le travail des auditeurs internes et externes, les aidant à prioriser l’attention de l’audit et à structurer les audits. »

Un autre avantage qui mérite d’être mentionné est l’amélioration de l’efficacité opérationnelle. Les faiblesses ou les lacunes dans les contrôles peuvent augmenter la probabilité de défaillances des systèmes et des processus et l’impact des événements externes, augmentant ainsi les coûts et les possibilités de perturbation. À l’autre extrémité de l’échelle, « un niveau excessif de contrôle peut ralentir inutilement les systèmes et les processus. »

Pour aider les organisations à atteindre le bon équilibre, le livre blanc sur « l’Évaluation des Risques et des Contrôles par Auto-évaluation » présente des informations détaillées sur la façon de concevoir et de mettre en œuvre une ERCA qui s’adaptera le mieux à l’échelle et à la complexité des activités ainsi qu’à la culture du risque d’une organisation.

 

Des principes fondamentaux du RCSA à l’intégration du cadre de travail

Les points forts de ces chapitres sont les suivants :

  • Principes fondamentaux du RCSA

« Une approche exhaustive n’est pas nécessairement la meilleure, en particulier si elle entraîne une surcharge d’informations et si elle nécessite trop de temps et d’efforts pour être menée à bien. Les RCSA ne devraient être utilisées que lorsqu’elles apportent une valeur ajoutée ».

  • Conception d’une RCSA

« La plupart des organisations concevront des ERCA descendantes et ascendantes. L’avantage d’une approche descendante est que les risques de niveau stratégique peuvent être cascadés vers le bas, et alignés sur les risques, les contrôles et les actions identifiés dans les évaluations des départements, des divisions ou des fonctions. Cela peut aider à améliorer la gouvernance des risques opérationnels et à garantir que les priorités à l’échelle de l’organisation et locales sont alignées.

« L’avantage d’une évaluation ascendante est que les gestionnaires locaux peuvent se concentrer sur les risques et les contrôles pertinents pour leur domaine. »

  • Compléter un RSCA – Approches et techniques

« Les questionnaires peuvent être utilisés pour collecter une partie ou la totalité des informations requises pour une ESRC. Les questionnaires peuvent se substituer à un atelier, afin d’économiser du temps et des ressources. Ils sont plus efficaces lorsqu’ils sont combinés à des ateliers… Cela devrait réduire le risque d’omission de risques ou de contrôles et contribuer à contrôler les préjugés individuels. »

  • Intégration d’une RCSA dans le cadre de gestion du risque opérationnel

« »Les résultats des ERCA constituent une source précieuse d’informations pour l’élaboration de plans d’action sur les risques opérationnels. Ces plans peuvent inclure l’amélioration de l’efficacité des contrôles existants, la suppression des contrôles obsolètes ou l’introduction de nouveaux contrôles pour combler les lacunes. Les actions doivent toujours être justifiées sur la base du rapport coût/bénéfice.

Dans sa conclusion, le livre blanc renforce le message selon lequel les gestionnaires de risques opérationnels doivent toujours garder à l’esprit que les ERCA doivent soutenir la prise de décision commerciale.