3 clés pour un programme ERM réussi

Mettre en lumière le profil de risque de votre organisation

Il existe de nombreuses approches pour révéler le profil de risque de votre organisation. Prenez en compte les caractéristiques uniques de votre organisation et de votre culture. Par exemple, examinez la façon dont les silos de gestion des risques s'imbriquent et se relient entre eux. Créez un cadre qui les relie d'une manière fonctionnelle.

Si vous n'avez pas de pratiques établies en matière de gestion des risques, examinez les objectifs stratégiques clés. Examinez ce qui doit se produire sur le plan opérationnel et ce qui pourrait interférer avec vos objectifs stratégiques. Travaillez avec les équipes qui constituent votre première ligne de défense. Ces responsables de première ligne peuvent vous aider à anticiper d'éventuelles perturbations. Si cela n'est pas possible, répartissez les domaines opérationnels de votre organisation en catégories logiques. Examinez les risques qui pèsent sur la réussite dans ces domaines.

Une autre option consiste à adopter des cadres de risques éprouvés et largement acceptés tels que le COSO ou l'ISO. Toutefois, ces cadres peuvent être difficiles à conceptualiser et à adapter à chaque organisation. Vous aurez peut-être besoin d'un consultant externe pour vous aider à les mettre en œuvre efficacement.

Une dernière méthode de mise en lumière des risques consiste à établir un registre ou un inventaire complet des risques. Un inventaire des risques est un document de référence pour tous les risques potentiels auxquels votre entreprise est exposée. Vous pouvez acheter l'un de ces outils avec des modèles pour documenter et gérer les risques. Une meilleure approche consiste à créer votre propre inventaire en consultant les experts de votre organisation et les professionnels du risque de votre secteur d'activité.

L'ERM décompose le risque en éléments plus petits et plus spécifiques. L'évaluation des risques permet de décomposer les éléments en seuils. Ces seuils indiquent où un secteur de l'entreprise se situe à l'intérieur ou à l'extérieur du risque acceptable. Ces seuils se traduisent directement par des tolérances au risque.

Comment les tolérances au risque sont-elles liées aux catégories de risque et aux niveaux spécifiques d'exposition au niveau de l'unité opérationnelle et de l'entreprise ? Si vous regroupez les seuils de risque pour des risques spécifiques, et que vous faites remonter les scores, vous pouvez montrer l'exposition au risque de l'entreprise à différents niveaux.

La décomposition de la gestion des risques en petits éléments au sein de votre programme ERM permet d'avoir un processus ERM agile. Gérez ces éléments avec le FLoD - les gestionnaires d'entreprise et les gestionnaires de risques qui savent quand il y a des tendances, des défis ou des changements de processus dans l'industrie. Vous pouvez également apporter des modifications à un élément individuel sans perturber le reste du programme.

Reconnaître les préjugés cognitifs qui peuvent étouffer le potentiel d'agilité de votre programme. La formation à la gestion des risques et les séances de travail consultatives peuvent être utilisées pour examiner les évaluations des risques et changer la façon dont votre organisation envisage les risques.

La GRE peut également contribuer à la mise en place de mécanismes d'apprentissage pour remettre en question les modes de pensée antérieurs. Les gestionnaires de risques peuvent faire des recherches avec le FLoD pour mettre en lumière des risques inattendus. Cela peut conduire à un brainstorming collaboratif sur les solutions à apporter aux problèmes potentiels identifiés. Un tel sentiment de collaboration encourage les chefs d'entreprise à rechercher les risques de manière plus proactive.

Les modèle des trois lignes de défense (3LoD) de la gestion des risques complète cette approche collaborative. Il facilite les meilleures pratiques pour l'examen régulier des processus de GRE, de la manifestation des risques, des performances en matière d'atténuation et des analyses a posteriori des événements commerciaux :

• Lorsque les chefs d'entreprise de première ligne sont chargés d'effectuer l'évaluation des risques, ils apportent le point de vue de l'entreprise nécessaire.
• L'examen par la deuxième ligne du travail de la première ligne permet de découvrir des domaines que la ligne d'activité peut avoir manqués. Bien que la deuxième ligne soit responsable de la création des contrôles, l'évaluation de la première ligne fournit une perspective unique qui aide à limiter les préjugés ou les angles morts. Lorsqu'un événement se produit, la supervision des mesures correctives par la deuxième ligne garantit que le secteur d'activité ne manque pas de mettre en œuvre les plans nécessaires. Cela permet d'éviter que des risques similaires ne se reproduisent à l'avenir.
• L'examen de troisième niveau apporte un point de vue indépendant et nouveau. Un niveau de contrôle supplémentaire permet de s'assurer que rien n'a été oublié.

La gestion des risques de l'entreprise peut sembler compliquée et intimidante, mais l'adoption de ces pratiques clés permet de rationaliser sa mise en œuvre. Ce qui, à court terme et à long terme, contribue à protéger votre organisation.