Aucun cadre de gestion des risques opérationnels n’est complet sans l’auto-évaluation des risques et des contrôles (RCSA). Cette technique puissante, utilisée par le personnel à tous les niveaux et dans un large éventail d’organisations pour identifier les risques et évaluer les contrôles associés et leur efficacité, a été mise au point en 1987. Aujourd’hui, elle est toujours considérée comme un moyen efficace de donner aux organes directeurs et aux régulateurs l’assurance que tous les objectifs seront atteints. Un certain nombre d’avantages « plus doux » ont également été identifiés : le personnel acquerra une compréhension plus approfondie des opérations commerciales, une sensibilisation accrue à la gestion des risques opérationnels et sera mieux équipé pour conduire un programme de gouvernance plus rigoureux. Le livre blanc de l’Institute of Risk (IOR) intitulé « Risk Control and Self Assessment » explique en détail comment les RCSA aident les organisations à hiérarchiser les risques, à identifier les faiblesses et les lacunes en matière de contrôle et à suivre les mesures prises pour y remédier. Un RCSA bien exécuté et mis en œuvre devrait contribuer à ancrer la gestion des risques opérationnels dans l’ensemble de l’entreprise et à améliorer la culture générale du risque. Si vous le rendez trop complexe, vous risquez de renforcer l’idée que la gestion du risque opérationnel est bureaucratique et axée sur la conformité. Les orientations soulignent que, tout en aidant à évaluer l’exposition au risque opérationnel, les RCSA ont également un rôle à jouer pour mettre le risque opérationnel sur la table et faire en sorte que les gens en parlent. L’idée est que les organisations qui discutent des risques opérationnels et de l’efficacité des contrôles associés seront mieux placées pour faire face à « ce que l’avenir nous réserve », c’est-à-dire aux risques nouveaux et émergents. Il ne fait aucun doute qu’une évaluation efficace des risques opérationnels contribuera à soutenir les activités de gouvernance et de conformité de l’entreprise. Selon l’IOR, « les résultats d’une RCSA donnent l’assurance à l’organe directeur et aux régulateurs qu’une organisation a mis en place un système solide de gestion des risques opérationnels. De même, les RCSA peuvent soutenir le travail des auditeurs internes et externes, en les aidant à prioriser l’attention et à structurer les audits ». Un autre avantage mérite d’être mentionné : l’amélioration de l’efficacité de l’entreprise. Les faiblesses ou les lacunes dans les contrôles peuvent accroître la probabilité de défaillance des systèmes et des processus, ainsi que l’impact des événements extérieurs, ce qui augmente les coûts et les risques de perturbation. À l’inverse, « un niveau de contrôle excessif peut ralentir inutilement les systèmes et les processus ». Pour aider les organisations à trouver le bon équilibre, le livre blanc « Risk and Control Self Assessment » fournit des informations détaillées sur la manière de concevoir et de mettre en œuvre une RCSA qui s’adaptera au mieux à l’échelle et à la complexité des activités, ainsi qu’à la culture du risque d’une organisation.

 

Des principes fondamentaux du RCSA à l’intégration du cadre de travail

Les points forts de ces chapitres sont les suivants :

  • Principes fondamentaux du RCSA

« Une approche exhaustive n’est pas nécessairement la meilleure, en particulier si elle entraîne une surcharge d’informations et si elle nécessite trop de temps et d’efforts pour être menée à bien. Les RCSA ne devraient être utilisées que lorsqu’elles apportent une valeur ajoutée ».

  • Conception d’une RCSA

« La plupart des organisations conçoivent des RCSA descendantes et ascendantes. L’avantage d’une approche descendante est que les risques stratégiques peuvent être répercutés vers le bas et alignés sur les risques, les contrôles et les actions identifiés dans les évaluations des départements, des divisions ou des fonctions. Cela peut contribuer à améliorer la gouvernance des risques opérationnels et à garantir que les priorités locales et celles de l’ensemble de l’organisation sont alignées. « L’avantage d’une évaluation ascendante est que les responsables locaux peuvent se concentrer sur les risques et les contrôles pertinents pour leur secteur.

  • Compléter un RSCA – Approches et techniques

« Les questionnaires peuvent être utilisés pour collecter une partie ou la totalité des informations requises pour une ESRC. Les questionnaires peuvent se substituer à un atelier, afin d’économiser du temps et des ressources. Ils sont plus efficaces lorsqu’ils sont combinés à des ateliers… Cela devrait réduire le risque d’omission de risques ou de contrôles et contribuer à contrôler les préjugés individuels. »

  • Intégration d’une RCSA dans le cadre de gestion du risque opérationnel

« Lesrésultats des RCSA constituent une source d’information précieuse pour l’élaboration de plans d’action relatifs aux risques opérationnels. Ces plans peuvent inclure l’amélioration de l’efficacité des contrôles existants, la suppression des contrôles obsolètes ou l’introduction de nouveaux contrôles pour combler les lacunes. Les actions doivent toujours être justifiées par des considérations de coût/bénéfice ». Dans sa conclusion, le livre blanc renforce le message selon lequel les gestionnaires du risque opérationnel doivent toujours garder à l’esprit que les évaluations du risque opérationnel doivent soutenir la prise de décision de l’entreprise.