Les évaluations des risques ont historiquement été plombées par la subjectivité, ce qui signifie qu’on ne peut tout simplement pas compter sur elles pour atteindre leur objectif. La subjectivité empêche les évaluations d’être utilisées à travers les silos d’affaires et rend la vérification par audit ou examen de conformité impossible.
Les normes et hypothèses communes rendent les informations collectées à travers l’organisation objectives, quantifiables et comparables, permettant une meilleure analyse, la résolution des problèmes et l’escalade des problèmes si nécessaire.
Téléchargez notre cadre de modèle d’évaluation des risques gratuit avec les meilleures pratiques pour commencer dès aujourd’hui.
Modèle d’évaluation des risques gratuit : Aperçu
Notre modèle d’évaluation des risques de base est conçu pour vous aider à franchir les premières étapes de la normalisation de vos processus. Il vous aidera à déterminer les données que vous devez recueillir auprès de vos secteurs d’activité, à définir les termes clés et à présenter les choix de réponses suggérés.
Il génère également automatiquement des cartes thermiques des risques en fonction de vos données et comprend des instructions d’utilisation étape par étape.
En utilisant notre modèle gratuit d’évaluation des risques, vous serez bien placé pour mieux gérer les risques dans votre organisation.
Pourquoi évaluer les risques
Les évaluations des risques sont un élément clé de tout programme de gestion des risques réussi. Quel que soit le cadre de base ou complexe, les résultats d’une évaluation normalisée servent de base sur laquelle le reste de vos responsabilités en matière de gestion des risques, les activités d’atténuation et les contrôles de surveillance sont construits.
Comment notre modèle d’évaluation des risques peut vous être utile
Les évaluations réussies des risques de l’entreprise peuvent être un outil puissant pour la prise de décision stratégique au niveau supérieur en reliant les activités commerciales aux objectifs et en identifiant les risques qui menacent de faire dérailler ces objectifs stratégiques. Lorsque les évaluations des risques sont effectuées sur les mêmes normes et hypothèses, elles peuvent être comparées et utilisées de manière transversale pour une gestion des risques plus précise et plus exploitable.
Réaliser une évaluation des risques : Étape par étape
Ci-après, nous mettons en évidence étape par étape ce qui est nécessaire pour compléter une évaluation des risques à la fois sur le téléchargement gratuit de notre modèle d’évaluation des risques et plus loin dans la solution de gestion des risques LogicManager.
Échelle numérique uniforme – La notation de LogicManager est basée sur une échelle de 1 à 10, 10 ayant les conséquences les plus défavorables pour l’organisation, et est divisée en 5 godets pour fournir un haut et un bas de chaque godet. (1-2, 3-4, 5-6, etc.). L’utilisation d’une échelle de 10 rend les mathématiques faciles et le fait de n’avoir que 5 buckets donne aux gens qui font les évaluations la flexibilité de sélectionner le haut ou le bas des 5 buckets.
Critères d’évaluation objectifs – Souvent, le 9 d’une personne est le 7 d’une autre personne. Le modèle d’analyse des risques de LogicManager fournit une définition claire sur ce que sont chacun des 5 buckets en termes non ambigus. Il existe de multiples façons d’exprimer la gravité, tant sur le plan qualitatif que quantitatif, comme le risque financier, juridique, stratégique, etc. Tout critère qualitatif peut recevoir un score pour devenir quantitatif et comparable dans toute l’entreprise. Toutes les normes peuvent être comparées, y compris les lois, les règlements et les politiques et procédures de l’entreprise, avec les pratiques actuelles.
Critères d’évaluation calibrés – Une variété de critères d’évaluation des risques est utilisée dans LogicManager et tous sont sur une échelle de 1 à 10 et calibrés, ce qui signifie que la description d’un 7, même si elle est décrite différemment dans différents critères d’évaluation a la même signification de gravité. Cela permet l’agrégation des évaluations de risques pour fournir une vue holistique du risque.
Des éléments métier universels – Les évaluations de risques dans LogicManager sont décomposées en éléments de base comme les processus métier et les ressources, qui sont normalisés à travers les silos métier, ou les unités métier. Par ressources, nous entendons les personnes et les fournisseurs, ainsi que les actifs physiques, les applications logicielles d’évaluation des risques, les services et les référentiels de données utilisés dans l’organisation. En évaluant les caractéristiques des fournisseurs séparément des produits et services qu’ils vendent, on obtiendra des évaluations des risques faciles à identifier et qui resteront objectives au fur et à mesure que des changements se produiront, comme des fusions et acquisitions ou l’introduction de nouveaux produits, etc. En décomposant des informations complexes et interconnectées en ressources, qui sont des éléments de base, le cadre de taxonomie des risques de LogicManager fournit une structure d’information et de propriété. Cela permet à chacun de comprendre, de contribuer et d’accepter la responsabilité de la gestion du changement.
Lier les modèles d’évaluation des risques – La technologie Taxonomy de LogicManager relie les éléments entre eux, ce qui signifie que par un simple glisser-déposer, vous pouvez relier les fournisseurs aux produits et services qu’ils fournissent aux processus métier qui en dépendent. Relier chaque élément financier aux processus métier qui y contribuent. Relier toutes les applications développées en interne et les référentiels de données aux processus métier qui en dépendent pour assumer leurs responsabilités. En reliant ces éléments entre eux, on obtient une image globale. Par exemple, un fournisseur peut avoir plusieurs produits et services de qualité et de risque différents. Évaluer les produits et services individuellement et relier ces évaluations de risque au profil du fournisseur fournit une image beaucoup plus claire sur la combinaison des produits services et fournisseurs utilisés par un propriétaire de processus.
Bibliothèque de ressources communes – La taxonomie de LogicManager fournit une bibliothèque de ressources communes. L’utilisation d’informations provenant d’un endroit commun permet de réduire considérablement les reprises, notamment la collecte et la gestion des informations, tant pour vous que pour les propriétaires de processus avec lesquels vous travaillez. La bibliothèque vous permet également de savoir qui d’autre est connecté aux mêmes informations. La clé est de comprendre comment toutes ces ressources sont liées les unes aux autres et quelle combinaison de ces ressources est la plus importante pour les domaines critiques de votre entreprise.
Consolider la collecte de données sur les ressources – Le modèle d’évaluation des risques de LogicManager pour Excel vous permet de créer des champs de données personnalisables pour chacun de ces éléments de ressources afin que vous puissiez recueillir des informations à travers les silos et identifier les domaines où les contrôles et les tests peuvent être consolidés. Différents secteurs de l’organisation recueillent les mêmes informations sur les ressources, mais ils ne le savent pas. Par exemple, les comptes fournisseurs, la gestion des contrats, la gestion des fournisseurs, la continuité des activités et l’informatique recueillent tous des informations sur vos fournisseurs qui se recoupent. En comprenant quelles informations sont collectées par ces domaines pour chaque ressource, vous pouvez facilement rationaliser et consolider les évaluations des risques et les champs de données.
Des rapports ERM holistiques et précis – Vous pouvez analyser, établir des rapports et prendre des décisions en tenant compte de chaque relation liée à la ressource. Le modèle d’évaluation des risques d’entreprise de LogicManager permet aux organisations d’obtenir un score de risque global pour chaque ressource, qui tire l’expertise en la matière à travers l’organisation pour arriver à un chiffre agrégé pour cette ressource. Toute la complexité liée à une ressource, comme un fournisseur, est simplifiée, mais soutenue par une trace détaillée des évaluations objectives des risques pour toutes les autres choses liées à la ressource, comme le processus métier, les éléments financiers, les actifs physiques, les applications, les données et les personnes.
Tâches & workflow – Dans LogicManager, pour chaque élément de ressource, vous pouvez envoyer des notifications de tâches par e-mail pour la notation des évaluations des risques ou l’examen, joindre des documents tels que des contrats, lancer des flux d’approbation, collecter des champs de données personnalisés, voir les scores historiquement et bien plus encore.
Lorsque les relations entre les ressources et les processus métier qui les utilisent deviennent explicites, l’organisation peut déterminer l’impact métier. Plus la compréhension de l’impact métier est forte, plus l’activité de gouvernance sera efficace. La connexion à un processus d’affaires fournit une connexion directe à l’expert en la matière pour l’activité qui utilise la ressource et connaît la criticité de cette ressource pour leur activité.
Le résultat est un seul score global de synthèse pour chaque processus d’affaires qui combine les scores individuels pour chaque ressource et élément financier associés à ce processus et le score du processus lui-même. Grâce à ces informations, présentées par notre modèle de rapport d’évaluation des risques, vous pouvez hiérarchiser et concentrer vos efforts en matière de GRE.
Utiliser un modèle d’évaluation des risques pour hiérarchiser les mesures d’entreprise
Le nombre de mesures d’entreprise au sein des organisations est généralement en augmentation. Les mesures sont souvent ajoutées en réaction à des événements de perte qui se sont déjà produits. Ne serait-il pas précieux de pouvoir se concentrer sur des mesures tournées vers l’avenir ? Dans la plupart des organisations, ces mesures préventives et proactives sont indiscernables lorsqu’elles sont regroupées avec les mesures réactives, car les mesures ne sont pas formellement rattachées à des engagements ou à des risques.
Que se passe-t-il si un risque ou une activité change ? Les organisations n’ont aucun moyen de savoir comment et si ces changements affecteront leurs métriques de risque. Les évaluations des risques et le fait de relier les risques aux activités permettent aux organisations de commencer à hiérarchiser les activités qui doivent être surveillées. Grâce aux évaluations trimestrielles (voire annuelles) des risques d’entreprise, les organisations peuvent détecter l’augmentation des niveaux de menace et identifier les nouveaux risques émergents avant qu’ils ne se matérialisent et ne fassent sortir vos métriques de risque de leur seuil de tolérance.
Les métriques de risque d’entreprise sont importantes car vous ne pouvez pas améliorer ce que vous ne pouvez pas mesurer. Cependant, un grand nombre d’objectifs sans lien entre eux est problématique car :
- La fatigue des mesures – le personnel peut simplement ignorer de nombreuses mesures par manque de temps pour les évaluer.
- L’obsolescence des mesures – dans un environnement changeant, il n’y a pas de moyen efficace de savoir quand les mesures ne sont plus applicables.
- Manque de priorisation – choisir les mesures sur lesquelles se concentrer est susceptible d’être sur une base ad hoc et sur le caprice du personnel actuel.
- Manque de continuité – les changements dans l’organisation ou le développement de nouveaux secteurs d’activité peuvent entraîner de nouvelles mesures alors que les mesures existantes peuvent être plus efficaces.
- Manque de coordination – souvent, les mesures s’appliquent à plusieurs risques ou engagements à travers les lignes fonctionnelles. L’incapacité de lier formellement les mesures aux risques ou aux engagements ne favorise pas la coordination inter-fonctionnelle, ce qui entraîne des silos commerciaux et une duplication des efforts.
- Ressources gaspillées – La quantité de ressources disponibles pour accomplir les objectifs commerciaux et atténuer les risques est limitée. Le personnel continuera souvent à gérer en fonction de mesures obsolètes ou sans importance plutôt que de s’aligner sur les impératifs actuels.
- Résistance au changement – Une difficulté à appliquer l’expérience passée à un environnement commercial changeant, ce qui entraîne une tendance à » réinventer la roue « .
Une grande partie des informations nécessaires existe aujourd’hui dans les organisations ; la pièce manquante est la formalisation de ces connexions critiques. Les logiciels de gestion des risques d’entreprise (ERM) disposent de fonctionnalités permettant d’identifier les risques et les engagements ; de les évaluer en fonction de la probabilité, de l’impact et de l’assurance ; d’évaluer si une action est nécessaire ; de concevoir des activités d’atténuation ou de développement de l’activité si nécessaire, de spécifier et d’enregistrer des mesures pour suivre l’efficacité, et enfin de formaliser la connexion entre toutes ces activités.
La connexion des mesures aux activités d’atténuation des risques et aux données des initiatives commerciales, puis le retour aux risques et engagements sous-jacents, apporteront les avantages suivants :
- Rapports ERM : Hiérarchisation explicite des mesures en fonction d’un indice de risque/récompense et présentation sur le tableau de bord de la carte thermique dans LogicManager.
- Gestion des risques opérationnels : Tendance en temps réel des mesures sur une base continue avec la consolidation des mesures utilisée pour diriger l’attention de la direction sur les conditions problématiques (hors tolérance).
- Gestion de la performance : Faciliter les mesures commerciales des nouvelles initiatives commerciales priorisées en fonction des risques ou des engagements commerciaux.
- Allocation des ressources : Utilisation plus efficace des ressources rares.
La clé est de travailler avec les responsables fonctionnels pour établir les connexions. L’avantage immédiat sera d’identifier les mesures qui ne sont liées à aucun risque ou initiative et de déterminer si elles doivent être éliminées. Puis, une fois les connexions établies, utilisez les outils de gestion de votre logiciel de gestion des risques d’entreprise de manière continue pour améliorer l’utilisation des mesures commerciales au sein de votre organisation.