ERM vs. IRM : repenser la division

La conversation autour d’ERM vs. IRM est souvent présentée comme un choix : Lequel est le meilleur ? Lequel les organisations devraient-elles adopter ? Cette approche suppose qu’il existe une distinction claire au départ, mais ce n’est pas si simple.

Le concept d’IRM (gestion intégrée des risques) a suscité un débat, reflétant un changement dans la façon dont les organisations pensent le risque. Il ne suffit plus de catégoriser les risques par type ou par département. Les dirigeants d’entreprise et les régulateurs exigent désormais une vision plus intégrée et en temps réel du risque qui informe la façon dont une entreprise fonctionne. Dans ce contexte, la comparaison ERM vs. IRM devient moins une question de cadres concurrents et plus une question de perspectives évolutives.

La maturité de l’ERM

Avant l’IRM, l’émergence de l’ERM (gestion des risques d’entreprise) représentait un changement antérieur dans la pensée du risque. Au lieu de gérer les menaces en silos, l’ERM a introduit l’idée d’une approche centralisée et stratégique.

Avec des cadres comme COSO et ISO 31000, l’ERM a donné aux organisations la structure pour gérer un large spectre de risques sous une méthodologie solide. Aujourd’hui, l’ERM est intégrée dans tous les secteurs. L’enquête fédérale ERM d’AFERM a rapporté en 2022 que 85 % des agences fédérales américaines avaient un programme ERM formel, et COSO était cité par 37 % des organisations comme leur cadre prédominant. Dans les industries réglementées, l’ERM est souvent une nécessité de conformité.

Qu’est-ce que l’IRM ? Pourquoi c’est difficile à définir

L’IRM, en revanche, est encore une cible mouvante. Il n’y a pas de cadre unique et pas de portée convenue. Les définitions varient largement ; certains voient l’IRM comme une nouvelle méthodologie, d’autres encore comme une progression naturelle de l’ERM traditionnel.

Ce manque de précision peut être déroutant, mais il reflète aussi un modèle : les responsables des risques peinent à définir le risque alors qu’il devient plus interconnecté et moins lié par les définitions et limites traditionnelles. En ce sens, l’IRM est une tentative de suivre le rythme des idées changeantes.

Visions concurrentes de l’IRM

IRM fondamental

Certains, comme John Wheeler de Wheelhouse Advisors, voient l’IRM comme une réponse à la fragmentation des risques. Les outils, processus et sources de données de gestion des risques ont proliféré au fil du temps, mais ils fonctionnent souvent de manière indépendante. L’IRM, dans cette vision, consiste à les consolider. Il s’agit de centraliser les données et de construire une vision unique et transversale du risque. Contrairement à l’ERM, qui reste souvent axé sur le reporting, cette vision intègre le risque dans chaque processus.

Plutôt qu’un rebranding de l’ERM, cela peut être vu comme une intégration plus profonde des capacités. C’est un changement vers le risque comme quelque chose d’intégré dans les systèmes d’entreprise, et non superposé.

IRM comme GRC mature

Les critiques, comme Michael Rasmussen, soutiennent que le concept d’IRM est une distinction sans différence. De ce point de vue, c’est simplement une approche moderne de la GRC (gouvernance, risque et conformité) ; le type qui utilise la technologie plus efficacement et s’aligne plus étroitement avec la stratégie. Dans cette vision, le terme IRM peut sembler nouveau, mais les idées fondamentales sont les mêmes.

Les critiques de l’IRM voient l’étiquette comme inutile. Ils soutiennent que les programmes ERM et GRC matures font déjà ce que l’IRM promet. Ce qui manque, disent-ils, ce n’est pas un nouveau concept, c’est une meilleure exécution des concepts existants.

L’IRM dans l’évolution plus large de la gestion des risques

Vue dans un contexte historique, l’IRM fait partie d’un arc plus long. La gestion des risques s’est étendue de manière constante au fil du temps, de l’assurance, à la conformité, et à la stratégie d’entreprise. Le passage vers la pensée IRM est une continuation de cette trajectoire, motivée par la complexité croissante de la gestion des risques.

Ce qui est différent maintenant, c’est l’accent mis sur l’interconnectivité. Les organisations reconnaissent que les risques n’émergent pas de manière isolée, et ils ne restent pas dans leurs voies. Une violation de données n’est pas seulement un problème de cybersécurité – elle devrait être vue comme un problème de réputation, réglementaire et opérationnel aussi. L’IRM reflète un besoin de tenir compte de cette complexité. Étendre la portée de l’ERM signifie permettre aux dirigeants d’entreprise d’accéder aux informations sur les risques en temps réel plutôt que de les faire dépendre de rapports au niveau du conseil d’administration.

Pourquoi « ERM vs. IRM » passe à côté du point

La tension entre ERM et IRM est souvent exagérée. L’IRM n’invalide pas l’ERM ; si quoi que ce soit, il en dépend. Aussi, selon la façon dont il est défini, l’IRM améliore soit le cadre de l’ERM soit lui donne une base plus opérationnelle.

Choisir le « bon » modèle n’est pas le vrai problème, le vrai problème est la fragmentation. Les organisations qui gèrent les risques dans des systèmes déconnectés peuvent avoir du mal à répondre rapidement aux problèmes. Les étiquettes n’importent pas si l’organisation ne peut pas agir sur les données qu’elle possède.

Les programmes les plus efficaces unifient stratégie et exécution. Ils traitent le risque non pas comme une liste de contrôle mais comme une fonction d’entreprise ; ils ne tracent pas de lignes artificielles entre les cadres – ils s’appuient sur eux.

La technologie unifie ERM et IRM

La technologie rend cette convergence entre ERM et IRM possible. Le logiciel de gestion des risques fournit l’infrastructure pour connecter des données disparates et intégrer les flux de travail.

La bonne plateforme prend en charge les principes ERM et IRM :

Centraliser les bibliothèques de risques et de contrôles
Permettre l’analyse et le reporting en temps réel
Cartographier les causes racines
Définir l’appétit pour le risque
Planifier les scénarios
Aligner stratégie et posture de risque

La technologie brise les silos, elle opérationnalise la stratégie, et elle donne aux dirigeants la visibilité dont ils ont besoin pour agir.

L’essor de l’IRM reflète un domaine en évolution. Alors que les organisations font face à des risques plus complexes, systémiques et rapides, leurs cadres doivent suivre le rythme. Cela ne signifie pas abandonner l’ERM ; cela signifie s’appuyer dessus. La vraie question n’est pas quel acronyme vous utilisez, c’est si vous faites du risque un moteur de stratégie.

Pour plus d’informations sur la gestion des risques d’entreprise et la gestion intégrée des risques, téléchargez nos livres électroniques, Tracer un cours pour la gestion des risques d’entreprise et Conquérir le nouveau monde du risque avec la gestion intégrée des risques, et consultez le logiciel ERM de Riskonnect.

La maturité de l’ERM

Qu’est-ce que l’IRM ? Pourquoi c’est difficile à définir

Visions concurrentes de l’IRM

L’IRM dans l’évolution plus large de la gestion des risques

Pourquoi « ERM vs. IRM » passe à côté du point

La technologie unifie ERM et IRM

Rejoignez plus de 200 000 de vos pairs !

Ready to Talk?

Work with us.

Connect with us.

ERM vs. IRM : repenser la division

La maturité de l’ERM

Qu’est-ce que l’IRM ? Pourquoi c’est difficile à définir

Visions concurrentes de l’IRM

L’IRM dans l’évolution plus large de la gestion des risques

Pourquoi « ERM vs. IRM » passe à côté du point

La technologie unifie ERM et IRM

Share This, Choose Your Platform!

Related Posts

Au-delà des cases à cocher : une meilleure voie pour la gestion des risques bancaires

Comment le bon logiciel simplifie la conformité NDIS dans le secteur de la santé

8 signaux d’alerte indiquant que votre stratégie de gestion des risques ne fonctionne pas

Rejoignez plus de 200 000 de vos pairs !

Ready to Talk?

Work with us.

Connect with us.