Comprendre le risque opérationnel

Comment comprendre le risque opérationnel ? Quels sont les facteurs de risque opérationnel ? Quels dispositifs de contrôle interne pour maîtriser le risque opérationnel ?

Des réponses dans cet épisode dédié à la maîtrise du risque opérationnel et à l'audit, et qui s'intitule " Comprendre le risque opérationnel ".

N'hésitez pas à faire part de votre expérience en la matière en commentant ce post.

Pour aller plus loin :

• Formation elearning " Pratiquer une mission d'audit interne " : cliquez ici

• Formation elearning " Maîtriser les risques avec efficacité " : cliquez ici

• Formation elearning : " Établir et auditer la cartographie des risques " : cliquez ici

Script du podcast " Comprendre le risque opérationnel "

Toutes les organisations sont concernées par les risques. Il s’agit pour chaque entité de prendre des risques intentionnellement afin d’atteindre des objectifs. Ces risques pris volontairement sont de nature différente selon l’objet social de l’organisation et ses activités qui en découlent. En revanche, quel que soit leur secteur d’intervention, quelle que soit leur implantation, quels que soient leurs effectifs ainsi que les procédés qui s’y trouvent employés, les entités sont exposées au risque opérationnel. Le risque opérationnel est universel. Il concerne toute activité professionnelle. Raison pour laquelle tous les métiers de contrôle et d’audit sont concerné par ce type de risque. Les contrôleurs et les auditeurs ne peuvent donc pas faire l’économie de comprendre ce qu’est le risque opérationnel.

Je suis Jean-François Caron, formateur et consultant au sein de FormaConseils. Je vous propose dans cette ressource d’identifier les principaux facteurs de risque opérationnel puis d’envisager les dispositifs clés à déployer pour le maîtriser.

Les facteurs de risque opérationnel sont au nombre de quatre. Le premier est de nature humaine. En effet, l’erreur, la faute, voire la fraude sont la cause d’incident et de perte d’ordre opérationnel. L’erreur est d’ailleurs le facteur le plus courant en matière de risque opérationnel. Qui ne se trompe jamais ? Il faut admettre que des erreurs soient commises. L’enjeu toutefois est d’en minimiser le nombre et les conséquences, et surtout d’en tirer profit pour progresser. La faute et la fraude elles ne sont pas admissibles. L’objectif est donc de les prévenir pour éviter qu’elles ne se produisent, et les détecter au plus vite à défaut pour les traiter.

Ensuite, les processus sont de nature à générer des incidents opérationnels dès lors qu’ils sont désorganisés, trop complexes, insuffisamment encadrés par des procédures et des modes opératoires, ou bien de ne disposant pas de ressources suffisantes au regard de la volumétrie des opérations traitées.

Le troisième facteur concerne le système d’informations, en particulier les moyens informatiques employées au sein de l’organisation. Obsolescence, panne, détournement des applicatifs, cyber-attaque, défaut de sécurité, autant d’impacts opérationnels de nature à perturber le fonctionnement de l’organisation.

Enfin, le risque opérationnel est également alimenté par des évènements extérieurs à l’entité qui l’empêche de réaliser ses activités dans de bonnes conditions, voire lui interdit de fonctionner. Souvenons-nous de la COVID-19 qui mît l’économie mondiale à l’arrêt…

Le risque opérationnel étant par nature transverse, c’est-à-dire touchant toutes les fonctions d’une organisation sans exception, sa maîtrise est indispensable. A défaut, une entreprise s’expose à des conséquences défavorables, financières en cumulant des sinistres opérationnels, mais aussi en perdant du crédit auprès de ses clients, de ses fournisseurs, de ses salariés, des investisseurs. Sans maîtrise, le risque opérationnel peut écorner la réputation d’une organisation. Ainsi convient-il de déployer des dispositifs de contrôle interne afin d’en réduire la probabilité de survenance. Parmi ces dispositifs, citons les plus couramment employés, comme le contrôle indépendant des saisies et des traitements opérationnels, le rapprochement entre différentes bases de données, la séparation des tâches, l’encadrement des processus par des procédures et des modes opératoires régulièrement mis à jour, la sécurisation des informations. La maîtrise du risque opérationnel est également une question d’organisation impliquant l’ensemble des collaborateurs, notamment en déterminant des responsabilités particulières de contrôle selon trois lignes de défense. Comme personne n’échappe au risque opérationnel, personne ne saurait être exonéré de tout contrôle.