Votre gestion des risques est-elle un exercice de conformité ?
Explorons la différence entre «l'apparence de la gestion des risques» et la «gestion efficace des risques»
Avant de commencer...
Avant de commencer ce court blog sur ce que devrait être une bonne évaluation des risques, essayez de réfléchir à la manière dont vous envisagez un risque au travail et à la manière dont vous réagissez réellement à tout incident. Par exemple, considérez-vous un risque donné comme une interruption autonome et séparée, qui a une solution allouée, sans émotion et presque mathématique pour atténuer son impact ?
Si tel est le cas, tu n'es pas seul. Cependant, une telle approche ne tient pas compte de la nature dynamique des risques et de l'un des facteurs clés, les émotions humaines.
" Je demanderai [aux entreprises] quelles décisions stratégiques et quels choix d'investissement elles font pour renforcer la résilience opérationnelle et maintenir la fourniture de services commerciaux importants en cas d'incident majeur, ou, comme nous disons "un événement grave, mais plausible, scénario'."
Megan Butler, FCA Directrice exécutive de la supervision
article complet disponibleici.
Les manques typiques.
Souvent, les organisations évaluent une liste de problèmes d'interruption typiques au cours d'un exercice théorique et les enregistrent à l'aide d'un registre des risques (tel qu'Excel, Word, etc.) avec une note attribuée pour la probabilité d'occurrence et une autre pour son impact sur l'organisation, créant ainsi un indication globale de la priorité relative pour faire face à ce risque.
C'est un processus plein de lacunes et d'ambiguïtés qui perpétue le décalage entre l'apparition de la gestion des risques et la gestion efficace des risques.
Au mieux, le résultat de ces méthodes simples d'enregistrement des risques est un ensemble linéaire de listes discrètes et catégorisées, souvent délimitées et analysées de manière superficielle. Cette approche donne un faux sentiment de sécurité car chaque risque a été défini et rédigé comme un problème autonome ; ils ont essentiellement été domestiqués dans un champ de feuille de calcul.
Une telle approche d'évaluation des risques ne tient pas compte du fait que les risques sont dynamiques, qu'ils se combinent, se heurtent, se transforment, peuvent avoir des impacts à la fois immédiats et à plus long terme, et qu'ils ont tendance à prendre en compte l'élément humain (par exemple, les émotions) en détail.
En fin de compte, les gens prennent des décisions significatives sur la base de ce qu'ils ressentent et non de ce qu'ils pensent. L'un des problèmes de la confiance dominante dans les registres des risques est qu'ils ne captent pas l'attention ou l'imagination, ce qui peut être fourni par la planification basée sur des scénarios.
C'est l'une des raisons pour lesquelles il est si crucial d'avoir les bonnes politiques, la bonne formation et une bonne culture pour se conformer à la FCA. Nos consultants ont constaté au fil du temps que les entreprises utilisent souvent des modèles de politiques qui ne sont pas suffisamment ajustés à la dynamique de l'entreprise, n'incluent pas les contributions des principaux décideurs et, en outre, fournissent de vagues conseils au personnel pour évaluer et gérer les risques.
En introduisant la planification de scénarios, la haute direction est impliquée dans des exercices structurés pour se placer dans une situation hypothétique, où plusieurs risques se heurtent pour accentuer la réponse organisationnelle. Cela crée une situation où les individus font partie d'un processus de pensée collectif, s'engageant dans un récit en cours de contrôles et de conséquences.
Résultat final ? … Les cadres supérieurs et les principales parties prenantes des entreprises perçoivent les risques et les opportunités de manière plus large et pratique. Chez RRCA, nous fournissons toujours des conseils de conformité gratuits avec nos modèles de politique conformes à la FCA, garantissant une mise en œuvre pratique et une conformité totale avec les règles de la FCA et les attentes culturelles.
La nouvelle normalité.
Créé en 2020...
Au sein du secteur réglementé par la FCA, les entreprises ont été confrontées à la « tempête parfaite ». Principalement en raison du verrouillage du COVID, les entreprises sont confrontées à de nombreux risques affectant presque tous les domaines d'activité ; des RH, de la protection des données, de la cybercriminalité en passant par les problèmes « résultants » de l'absence de politiques PII à la question clé du changement de comportement des clients.
Chez RRCA, nous avons aidé un certain nombre d'entreprises réglementées par la FCA à naviguer dans ce nouveau paysage, en gérant le risque de renouvellement des PII, de dotation en personnel, de travail à distance et en effet, en assurant la liaison avec la FCA en ce qui concerne certains risques matérialisés.
L'une des principales leçons que nous avons tirées de cette année mouvementée (remplie de COVID, de Brexit et de crise financière), est que les entreprises devraient revoir et améliorer leur cadre de gestion des risques pour s'assurer que le processus est une «partie vivante» de leur dispositif de gouvernance, et pas seulement un exercice annuel de cases à cocher. En particulier, les entreprises devraient demander régulièrement :
-
Les hypothèses de risque sont-elles valides ?
-
Les contrôles fonctionnent-ils de la manière dont ils sont conçus ?
-
Êtes-vous prêt à affronter le risque global ?
-
Y a-t-il des lacunes dans la préparation, des vulnérabilités dans la planification, des conséquences imprévues sur les actions, des réactions choquantes des parties prenantes aux événements ?
Les hypothèses des tests de résistance sont une façon saine d'apprendre et d'améliorer la préparation aux risques. La planification de scénarios affine presque toujours la gestion des risques d'une organisation, d'une manière que les registres de risques standard ne font presque jamais.
