D'après mon expérience des conversations avec les gestionnaires de risques, des sujets tels que la culture du risque et l'acceptation du système de gestion des risques sont généralement leurs principales préoccupations.
Les questions les plus fréquentes sont les suivantes :
- "Comment réaliser des évaluations de risques plausibles et précises et ne pas se contenter d'une publication urgente deux jours après la date limite ?
- "Comment puis-je suivre l'état d'avancement de la mise en œuvre des mesures convenues ?
- "Comment puis-je faire part de mes risques à mon conseil d'administration sans être le porteur de mauvaises nouvelles ?
La récente révision de la norme d'audit IDW PS 340 a suscité un débat animé autour de thèmes tels que la capacité à supporter les risques et l'agrégation des risques. En termes simples, ces débats portent sur la méthodologie du système de gestion des risques et le degré d'importance de l'utilisation d'approches quantitatives.
La publication de l'IDW PS 340 n.F. à la fin du mois de juin aura un certain nombre d'effets sur les systèmes d'alerte précoce existants, précédemment certifiés par l'auditeur. La plupart des entreprises devront modifier leur méthodologie, car l'expression clé "menace pour la continuité de l'existence" constitue une différence essentielle.
La capacité de tirer des conclusions à ce sujet et d'effectuer des analyses régulières nécessite un rapprochement entre la capacité à supporter les risques et l'exposition globale actuelle aux risques. Un autre aspect important dans ce contexte est l'agrégation des risques au-delà du regroupement des types de risques. En outre, le suivi des mesures d'atténuation définies doit être renforcé.
Une étude récemment publiée par Deloitte récemment publiée par Deloitte confirme la nécessité d'agir au sein des entreprises, car plus d'un tiers des participants à l'étude ne comprenaient pas parfaitement les changements qui en découlent. En fait, seule la moitié des personnes interrogées considèrent que leurs procédures actuelles satisfont déjà aux nouvelles exigences.
Les avis d'experts suggèrent un certain décalage entre ces exigences, les approches scientifiques qui les sous-tendent et le degré de mise en œuvre de ces concepts dans les entreprises. Le calendrier est difficile à respecter : Les entreprises qui entament leur exercice financier le 1er janvier 2021 verront leur système d'alerte précoce contrôlé par rapport à la norme d'audit révisée.
Alyne offre un ensemble polyvalent qui facilite la réalisation des ajustements requis :
- Inventaire global et holistique des risques: Une bibliothèque de contrôle étendue, des modèles prêts à l'emploi, des exigences de contrôle et des risques liés sont tous disponibles dans Alyne. les exigences de contrôle et les risques liés sont tous disponibles dans Alyne. En utilisant ces modèles, une analyse des lacunes peut être effectuée facilement dans les domaines pertinents. Sur la base des résultats, les risques sont reflétés par leur criticité et peuvent ensuite suivre le processus de gestion des risques. Diverses options d'évaluation ainsi que la célèbre carte thermique sont disponibles pour obtenir une vue d'ensemble rapide des risques.
- Évaluations qualitatives et quantitatives des risques : Les évaluations des risques peuvent être effectuées sur la base d'échelles qualitatives (par exemple, impact critique / entrée presque certaine) avec la possibilité d'enregistrer une évaluation financière séparément. Le calculateur d'estimation des pertes de risque d'Alyne guide les propriétaires de risques vers une plus grande précision dans l'estimation des pertes de risque, en posant une sélection de questions pour quantifier le risque, sur la base du modèle FAIR, et en renvoyant une perte financière estimée à partir des réponses fournies.
- Prise en compte de la capacité à supporter les risques / de l'appétit pour le risque :
L'élément central est l'affichage en temps réel de graphiques illustrant à la fois la propension au risque (généralement dérivée de la capacité de prise de risque) et l'exposition globale actuelle au risque. Ces représentations graphiques tiennent compte des mesures d'atténuation, illustrées le long d'un calendrier qui reflète les dates d'échéance des mesures. - Documentation et suivi des mesures : Il existe deux façons d'enregistrer les mesures d'atténuation : Elles peuvent être soit librement enregistrées, soit créées sur la base d'un contrôle de la bibliothèque de contrôles d'Alyne. En outre, les responsabilités et les échéances sont saisies et il est possible d'inclure des activités granulaires qui peuvent être marquées individuellement comme étant terminées. Un nombre illimité de rappels automatisés peut être configuré avec la possibilité d'alerter des utilisateurs individuels à tout moment. Selon le degré de mise en œuvre, la réduction du risque de la mesure affecte la situation globale du risque.
- Détermination de l'exposition globale au risque par agrégation : En s'appuyant sur la simulation Monte Carlo intégrée d'Alyne, les valeurs des risques individuels approuvés sont agrégées à une position globale, ce qui vous permet de visualiser les résultats en quelques secondes. Alimentée par une infrastructure sans serveur massivement extensible, la représentation graphique affiche la distribution des pertes de risque potentielles et indique la valeur à risque (VaR), le nombre d'itérations et la fonction de distribution sélectionnée.
Les clients d'Alyne sont bien équipés pour répondre aux nouvelles exigences. Dans l'ensemble, il reste à voir dans quelle mesure les changements apportés aux systèmes de gestion des risques, sous l'impulsion de l'IDW PS 340 n.F., s'avéreront utiles pour répondre aux questions mentionnées au début. Toutefois, une évaluation et une agrégation compréhensibles et cohérentes des risques - et l'intégration de l'idée de capacité à supporter les risques dans les mécanismes de gouvernance de l'entreprise - ne peuvent que contribuer à une meilleure acceptation des efforts des gestionnaires de risques.
