Les risques opérationnels constitue la base de la gestion des risques. Reposant sur les process de l’entreprise, ils sont au coeur des activités. Souvent, cette analyse et cette maîtrise est du ressort de ce qu’on appelle contrôle interne ou contrôle permanent.

Par risque opérationnel, on entend les pertes potentielles résultant de lacunes ou de défauts inhérents aux process de l’entreprise et attribuables aux ressources humaines et matérielles. Il s’agit des risques pouvant intervenir en entrée de processus, au coeur de celui-ci comme à sa sortie.  Ces risques peuvent être consécutifs à des erreurs du personnel au sens large, des systèmes ou processus, ou des événements externes, tels que les risques de détérioration de l’outil industriel, les risques liés aux systèmes d’informations, les risques technologiques, les risques climatiques, les risques environnementaux …

Afin d’identifier ces risques, il convient d’étudier l’ensemble des processus de l’entreprise afin de déceler tout événement pouvant altérer les objectifs de ces processus. Par exemple, une étude d’un process relatif à la gestion de la relation client peut permettre d’identifier des risques comme un non-respect du taux de décroché, un délai d’attente trop long, un système vocal interactif inadapté, un CRM obsolète, etc. Cette analyse des process est à réaliser avec les métiers, et donc les managers de proximité ou les experts-métiers.

Ensuite, une évaluation de l’ensemble des risques est à réaliser. Cette évaluation est réalisée en tenant compte de ce qui est déjà en oeuvre dans l’entreprise : on parle de risques nets. Pour ce faire, on recense les impacts au moyen d’une grille avec des niveaux pairs afin d’éviter que l’évaluation soit toujours moyenne. Les impacts peuvent être le nombre de clients particuliers ou professionnels concernés, le montant de pertes financières, l’indisponibilité des ressources internes, les écarts de conformité, encore les conséquences en terme d’image et de réputation ou encore des risques externes. Cette grille d’évaluation d’impact est habituellement exponentielle. Le niveau le plus faible concernera quelques centaines de particuliers, quelques clients professionnels, une perte financière peu élevée, une courte indisponibilité des ressources ou quelques réclamations clients non significatives. En revanche, le niveau le plus élevé s’établira pour des niveaux jugés catastrophiques avec un très grand nombre de clients particuliers et professionnels concernés, un écart de conformité pouvant aboutir à une sanction administrative ou pénale, une indisponibilité élevée pouvant aboutir au déclenchement du PCA et un fort retentissement médiatiques. Le plus fort impact ou la moyenne des impacts est ensuite croisé avec la fréquence du risque. Cette fréquence, également déterminée, de façon exponentielle, va d’un risque pouvant survenir une fois tous les deux ans ou tous les cinq ans à un risque pouvant survenir tous les jours. Les impacts et la fréquence aboutissent à une criticité (ou gravité selon les termes retenus par l’organisation). Le mieux est de faire valider les termes et l’échelle d’évaluation à la gouvernance dans le cadre de l’appétence aux risques et d’une politique de gestion des risques.

Une fois l’ensemble des risques identifiés et évalués pour les processus, il reste à déterminer leur maîtrise. Cette maîtrise est déterminé à partir de plusieurs éléments. On peut considérer ainsi :

  • l’existence de procédures, modes opératoires, ainsi que leur revue et mise à jour régulières pour l’aspect documentation,
  • l’organisation de l’entreprise, les personnels alloués avec des postes adaptés, des formations régulières pour l’aspect hommes et organisations,
  • l’existence de systèmes d’informations maîtrisés, efficaces, non obsolètes pour l’aspect systèmes d’informations
  • le respect des lois, règlements, normes pour l’aspect réglementaire et conformité.

Enfin, on regarde les contrôles opérationnels (ou de 1er niveau) réalisés pour les risques analysés. Ces contrôles doivent exister puis être documentés, tracés, et faire l’objet d’action s’ils sont améliorables ou insatisfaisants. Aussi, pour que le dispositif de maîtrises des risques soit efficace, les contrôles doivent être correctement définis et bien positionnés. L’objectif est que les risques opérationnels soient sous-contrôle.

Cette vérification du bien fondé des contrôles de 1er niveau réalisés est du ressort du contrôle interne ou permanent, dans le cadre de contrôle de 2e niveau (ou plan de contrôles). Ainsi, au-delà de recontrôler des contrôles de 1er niveau, l’objectif est de vérifier que l’on ait bien identifié les risques opérationnels, qu’on les ait bien évalués tant en termes d’impacts, de fréquence qu’en termes de maîtrises, mais aussi de s’assurer que les contrôles effectués soient définis de façon à maîtriser un véritable risque et non à remplir favorablement un indicateur. En effet, si un risque ou un contrôle sont mal identifiés ou positionnés, le reste de la chaîne du process peut être défavorablement impactée, ou pire un produit détérioré ou de mauvaise qualité livré au client. Sinon, ils peuvent être un facteur de coût non essentiel par la superposition de contrôles pour un même risque, c’est qu’on appelle le surcontrôle.

Grâce à cette analyse, des risques opérationnels « majeurs » peuvent être remontés à la gouvernance en raison de leur criticité et de l’absence de maîtrise. Ils pourront par exemple entrer dans les risques stratégiques à traiter dans le cadre d’un plan d’action ou de renforcement de maîtrise.

Aussi, la gestion des incidents et leur suivi par le contrôle interne ou permanent permet de s’assurer de la maîtrise des risques opérationnels ou au contraire de dysfonctionnements dans ce dispositif. Un incident ayant de forts impacts ou plusieurs incidents similaires mais répétés peuvent indiquer une mauvaise analyse des risques opérationnels ou de mauvais contrôles de 1er niveau. Dès lors, des actions d’améliorations ou de remédiions seront à réaliser.

Enfin, une troisième ligne de défense intervient afin de vérifier que l’ensemble du dispositif fonctionne et joue son rôle. L’audit a ce rôle de contrôle périodique ou de 3e niveau. Il peut s’intéresser à un sujet d’actualité, réglementaire souvent, à un process qui a révélé plusieurs failles, mais aussi à une organisation. Dans le cadre de ces missions, l’audit peut s’entretenir avec les métiers et le contrôle interne, il peut demander à vérifier les opérations soit en les refaisant, soit en contrôlant un échantillon, il peut étudier la documentation existante. A l’issue de cette mission, il émettra des recommandations, qui une fois validées devront se traduire par des actions à réaliser.

L’identification, l’évaluation et la maîtrise des risques opérationnels constitue la base d’un dispositif de gestion des risques. En reposant sur les process, il s’agit de maîtriser l’activité même de l’entreprise, et donc sa raison d’être. Sans cela, il n’y a pas à s’interroger sur les risques stratégiques ou les risques projets, la base n’étant pas suffisamment solide. S’assurer que les risques opérationnels soient sous-contrôle permet de se projeter sur d’autres objectifs. Le rôle du contrôle interne ou permanent, ou de la gestion des risques, n’est donc pas de contrôler tel un inspecteur des travaux finis mais de vérifier que l’ensemble des opérations soient maîtrisées.

Share This