La gestion des risques d'entreprise

La gestion des risques d'entreprise et la création d'un cadre de gestion des risques d'entreprise constituent une responsabilité fondamentale de la gouvernance. La gestion des risques d'entreprise est un ensemble de méthodes et de processus utilisés par les organisations pour gérer les risques et saisir les opportunités liées à leurs objectifs organisationnels.

Lisez la suite pour obtenir des informations et des conseils sur la gestion des risques de l'entreprise.


Qu'est-ce que la gestion des risques d'entreprise ?

Selon le pays, le conseil d’entreprise a soit un devoir fiduciaire, soit un devoir fiduciaire et statutaire d’identifier et de gérer les risques de l’entreprise. Bien que la gestion des risques de l'entreprise doive incomber à une équipe de gestion des risques de l'entreprise, le praticien de la gouvernance informatique a trois contributions spécifiques à apporter à l'activité de gestion des risques et doit par conséquent avoir une compréhension pratique de haut niveau des principaux concepts et problématiques de gestion des risques.

'Le risque non géré est la plus grande source de gaspillage dans votre entreprise et dans notre économie dans son ensemble. Les grands projets échouent ; les déplacements des clients rendent nos offres non pertinentes ; Les marques d'un milliard de dollars s'érodent puis s'effondrent ; des industries entières cessent de gagner de l'argent ; les changements technologiques ou ... des concurrents uniques tuent des dizaines d'entreprises d'un seul coup ; les entreprises stagnent inutilement. Lorsque de tels risques surviennent, des milliers d’emplois sont perdus, des entreprises brillantes sont désassemblées, des compétences perdues et des actifs détruits. Pourtant, tous ces risques peuvent être compris, identifiés, anticipés, atténués ou inversés, évitant ainsi des centaines de milliards de dollars de pertes inutiles.'

- de The Upside, Adrian J. Slywotzky.


Gestion des risques opérationnels

La gestion des risques opérationnels, en particulier dans le secteur financier, est essentielle. La gestion des risques opérationnels concerne l’application cyclique d’un processus d’évaluation des risques, la prise de décision et la mise en place de contrôles permettant de gérer et d’atténuer les risques.

L’évaluation des risques de l’entreprise et l’analyse de l’impact sur les entreprises constituent une responsabilité opérationnelle clé pour tous les praticiens, et les directives du Cabinet Office relatives à la gestion des risques (M_o_R®) sont particulièrement utiles pour toute organisation. L'évaluation des risques liés à la sécurité de l'information est un autre domaine clé.


Cadre COSO ERM 

Le COSO, dont le cadre de contrôle interne est devenu le standard de facto pour les entreprises se conformant à la loi SOX, a commencé à élaborer un cadre de gestion des risques distinct en 2001.

Ce cadre, appelé Enterprise Risk Management: Integrated Framework a été conçu pour fournir un cadre commun, « des principes et concepts clés, un langage commun, ainsi que des directives et des orientations claires ». Ce cadre développe le cadre de contrôle interne, en fournissant un objectif plus large et plus solide ; se concentrer sur la gestion des risques de l'entreprise. Comme il intègre le cadre de contrôle interne, les entreprises pourraient (comme le suggère COSO) s'orienter vers la mise en œuvre d'un cadre de gestion des risques de l'entreprise afin de répondre à leurs besoins en matière de contrôle interne ainsi qu'à leurs besoins plus généraux en matière de gestion des risques de l'entreprise.


Basel II

La gouvernance du secteur financier signifie que les organisations doivent se conformer aux directives du Comité de Bâle sur le contrôle bancaire en matière de gestion des risques opérationnels. Les 10 principes énoncés dans le document du groupe de gestion des risques du Comité de Bâle sur la gestion et la surveillance du risque opérationnel sont mieux traités dans un cadre de gouvernance informatique garantissant que les mesures prises pour évaluer, contrôler et surveiller le risque opérationnel sont intégrées au risque global du cabinet ; et à la stratégie de gestion de l'information.

Basel II a placé la gestion des risques opérationnels parmi les priorités des institutions financières du monde entier. Le risque opérationnel (voir Sound Practices for the Management and Supervision of Operational Risk) est défini comme « le risque de perte résultant de processus, de personnes et de systèmes internes inadéquats ou défaillants, ou d'événements externes ». Les catégories de risques comprennent les risques liés aux systèmes, tels que le matériel. ou une défaillance logicielle, des problèmes liés à la disponibilité et à l'intégrité des données, ainsi que des défaillances des services publics et des événements externes (par exemple, attaques de logiciels malveillants ou d'attaques informatiques, d'attaque terroriste, de vandalisme ou de défaillance d'un fournisseur.)


La gestion des risques informatiques

La gestion des risques informatiques est devenue un sujet brûlant ces dernières années. À mesure que les entreprises deviennent de plus en plus dépendantes des technologies de l’information et du capital intellectuel, les principaux domaines de risque informatique sont généralement considérés comme essentiels :

  • Sécurité de l'infrastructure informatique et des réseaux (découlant d'inquiétudes concernant les pirates informatiques, les terroristes, les cybercriminels, les initiés, les étrangers, les virus, etc.) ;
  • L'intégrité des données, confidentialité et vie privée résultant de pressions réglementaires et du marché autour de la protection des données personnelles (par exemple, législation sur la protection des données), des données d’entreprise (par exemple, réglementations en matière de divulgation équitable), ainsi que de données financières et opérationnelles (par exemple, Sarbanes Oxley) ;
  • La continuité des activités (suscitée par des préoccupations quant à la capacité de poursuivre ses activités après une catastrophe naturelle ou d'origine humaine) ;
  • Gestion informatique (découlant de problèmes liés à l'échec du projet, aux performances opérationnelles informatiques médiocres, à une infrastructure informatique inadéquate, etc.)

Risque de l'information et ISO 27001

ISO / IEC 27001, le standard de sécurité de l'information, est spécifiquement basé sur le risque. En fait, il recommande aux entreprises de mettre en œuvre des contrôles de sécurité des informations hiérarchisés par ordre de priorité et proportionnellement aux risques commerciaux et informatiques identifiés. Alors que OCTAVE (Evaluation des menaces, des actifs et des vulnérabilités en tant qu’opérations critiques au plan opérationnel) est une méthodologie d’évaluation des risques claire, l’évaluation des risques pour la sécurité des informations peut également désormais suivre les directives contenues dans ISO / IEC 27005: 2011.

La gestion des risques liés à la sécurité des informations pour ISO 27001 / ISO 27002 fournit les indications les plus complètes sur le sujet.

L'évaluation des risques est une activité au niveau de l'actif pratiquement impossible pour les organisations (à l'exception des plus petites) sans une base de données d'évaluation des risques et un outil spécialisé tel que vsRisk


Livres et outils de gestion des risques