Partenariat pour l'évaluation des risques
Partenariat pour l'évaluation des risques

Partenariat avec les propriétaires de risques pour l'évaluation des risques

Les propriétaires de risques sont les personnes chargées de superviser les opérations quotidiennes dans des secteurs spécifiques de l'entreprise qui sont exposés à des risques. Le directeur d'une agence bancaire en est un exemple. En tant que tels, ils sont essentiels à la réussite des gestionnaires de risques.

Bien qu'un gestionnaire de risques ou un responsable des risques soit chargé de superviser les risques, il n'est pas en mesure d'identifier, d'évaluer et d'atténuer véritablement les risques sans la perspective et la vision qu'offrent les gestionnaires de risques. C'est pourquoi le modèle des trois lignes de défense (3LoD) met l'accent sur le gestionnaire de risques en tant que deuxième ligne de défense, tandis que le propriétaire de risques fait partie de la gestion opérationnelle de la première ligne de défense, à savoir la gestion des risques proprement dite.

L'évaluation des risques est le moyen le plus simple et le plus clair pour les gestionnaires de risques de comprendre ce qu'ils voient et vivent en première ligne. Malheureusement, collaborer avec les propriétaires de risques sur quoi que ce soit peut être un défi pour les gestionnaires de risques. Ils sont souvent considérés comme une nuisance par les gestionnaires opérationnels, les propriétaires des risques, car la gestion des risques peut être considérée comme sans rapport avec leurs objectifs, voire comme une restriction.

C'est un problème. Sans une collaboration adéquate avec les propriétaires des risques pour les évaluations, les risques et les contrôles peuvent passer inaperçus ou être mal compris ou ignorés par les gestionnaires des risques et les dirigeants. Les gestionnaires de risques doivent donc comprendre comment collaborer avec les propriétaires de risques pour réaliser des évaluations de risques efficaces.

Approches, communication et priorités communes

L'identification de la personne qui sera propriétaire ou responsable d'un risque particulier se fait après l'identification du risque et le développement de l'appétit pour le risque et de la tolérance au risque, mais avant l'évaluation et l'analyse du risque. Dans ce cadre, le gestionnaire de risques surveille les procédures internes du propriétaire du risque concernant l'identification, la classification, le traitement et la documentation des risques.

Les gestionnaires de risques peuvent s'assurer que les risques sont bien compris et que les propriétaires de risques utilisent les meilleures pratiques lors de la mise en œuvre des contrôles :

Infographie : Lignes directrices pour une intégration efficace des fournisseurs

Atténuer les risques tout en établissant de solides relations avec les fournisseurs.

  • Enquêtes générales
  • Entretiens individuels
  • Évaluations individualisées

Les enquêtes générales sont pratiques, peuvent être rapides lorsqu'elles sont simples, fournissent un ensemble de données claires et calculées et requièrent moins d'engagement de la part des gestionnaires et des propriétaires de risques. Malheureusement, les enquêtes reposent souvent sur les connaissances des propriétaires de risques en matière de gestion des risques et sur leur volonté de divulguer des problèmes potentiels. Cela remet en question l'intégrité des données reçues.

En outre, en raison du faible niveau d'engagement, les gestionnaires de risques ont souvent du mal à obtenir des réponses à l'enquête. Une organisation de taille moyenne dotée d'un programme de gestion des risques très mature envoie chaque année des milliers d'enquêtes sur les risques et en reçoit souvent moins d'une centaine en retour, même avec le soutien et l'engagement de la direction.

Enfin, si vous êtes en mesure d'obtenir un ensemble solide de données précises à partir d'enquêtes, qu'allez-vous en faire ? Souvent, il n'existe pas de méthode systématique pour consolider les données afin de créer des rapports clairs et concis pouvant être utilisés pour une planification stratégique éclairée.

Les entretiens individuels se situent à l'autre extrémité du spectre de l'évaluation des risques. Ils permettent aux gestionnaires de risques d'acquérir une connaissance approfondie et significative des risques et des pratiques d'atténuation dans les différents silos des propriétaires de risques, tout en permettant à ces derniers d'accéder à l'expertise offerte par les gestionnaires de risques.

L'un des défis que cette approche partage avec les enquêtes sur les risques est celui de la consolidation et de la normalisation des données. Comment prendre les informations obtenues lors d'entretiens individuels, enregistrer les points pertinents et classer par ordre de priorité les risques et les problèmes soulevés lors de ces discussions ? Mais le plus grand défi que pose cette approche est celui du temps. Les exigences en matière de temps pour les seules réunions peuvent conduire à négliger d'autres aspects du rôle des gestionnaires de risques, ou à reporter les évaluations de risques lorsque le temps manque.

Trouver un juste milieu

Les évaluations individualisées semblent être un juste milieu. Les gestionnaires de risques peuvent partir d'un modèle standardisé et adapter les évaluations pour s'assurer qu'elles sont pertinentes et compréhensibles pour les propriétaires de risques qui les remplissent. Cette approche jette les bases de la normalisation et utilise le processus d'adaptation pour favoriser la précision des données. En plaçant les risques et les contrôles dans des catégories quantifiables avec des descriptions claires, et en les évaluant en conséquence, les évaluations individualisées offrent un niveau de responsabilité dans les réponses.

Les gestionnaires de risques sont également en mesure de contester les évaluations s'ils pensent qu'une lacune est passée inaperçue ou a été minimisée. Les évaluations individualisées devraient être plus compréhensibles pour les propriétaires de risques, ce qui les rendra moins intimidants à compléter. Grâce à l'outil temps gagné en amont, en faisant remplir les évaluations par les propriétaires de risques, et en aval, grâce à la standardisation des évaluations, les gestionnaires de risques disposent de plus de temps pour impliquer les propriétaires de risques en retard afin d'obtenir de meilleurs taux de réponse.

Pour que les propriétaires de risques puissent mettre en œuvre ces bonnes pratiques de manière efficace, les objectifs et les orientations en matière de gestion des risques doivent être correctement communiqués et liés aux objectifs de l'entreprise. Il est également important de soutenir les progrès des propriétaires de risques et d'écouter leurs préoccupations. Encouragez-les à s'approprier les risques de leur entreprise et à vous considérer comme un partenaire qui les aide à réussir.

Cela contribue grandement à convaincre un gestionnaire opérationnel - qui jongle certainement avec de nombreuses responsabilités différentes - de l'importance d'une information précise sur les risques dans le cadre d'une culture de gestion des risques. L'instauration de cet état d'esprit contribue grandement à faire des gestionnaires de risques des partenaires appréciés plutôt que des obstacles.

L'ERM facilite ce partenariat

Même lorsqu'un propriétaire de risques est convaincu de collaborer avec des gestionnaires de risques pour l'évaluation des risques, la responsabilité des risques peut encore être décourageante. Une ligne de communication ouverte est vitale, mais de nombreux cadres intermédiaires et de première ligne n'ont pas reçu de formation formelle en matière de gestion des risques.

Une solution de gestion des risques d'entreprise (ERM) peut toutefois alléger ce fardeau. Grâce aux modèles d'évaluation des risques préconçus des logiciels ERM, les utilisateurs peuvent identifier correctement les risques et les mesures de contrôle tout en utilisant une terminologie, des processus et des flux de travail cohérents à l'échelle de l'entreprise.

Plus important encore, l'ERM renforce la coopération, en éliminant les barrières et les silos entre les propriétaires et la gestion des risques. Le processus d'évaluation des risques et d'établissement de rapports sera rationalisé dans l'ensemble de l'organisation.

Se défendre contre les risques liés aux fournisseurs et à l'entreprise

Découvrez nos solutions VRM/ERM les plus performantes.