La gouvernance des risques est un volet central dans toute démarche de gestion de risques. Pourtant, les méthodologies la laissent de côté en début de projets. Réfléchir à ce sujet nécessite de se projeter dans « le mode vie » des risques et de bien distinguer deux rôles différents.
Gouvernance des risques : Risk Manager ou Propriétaire de risques ?
Le Risk Manager a pour responsabilité de s’assurer que la méthodologie définie est bien appliquée dans la pratique, notamment grâce aux indicateurs et au reporting. Véritable chef d’orchestre, il a accès à l’ensemble des informations concernant les risques et notamment :
- les travaux d’identification, de mesure et d’évolution des risques. Ils les synthétise et présente à la Direction.
- les incidents, qui sont des matérialisations de risques. Il a aussi la mission d’identifier de nouveaux risques.
Le Risk Manager doit réaliser une veille technique et un benchmark de la méthodologie, tout en garantissant la communication et l’animation autour de celle-ci. Il assure enfin une collaboration étroite avec d’autres fonctions de l’organisation comme par exemple l’audit.
les tendances et pratiques des professionnels de
la Qualité
La communauté des Propriétaires de Risques constitue le deuxième volet de la gouvernance. Les Propriétaires de Risques ont en charge de piloter, sur le portefeuille qui leur est attribué, la gestion de chaque risque. Pour cela, ils doivent appliquer la stratégie de réponse préalablement définie et suivre l’avancée des plans d’actions.
La plupart du temps, ils sont également Pilotes du Processus auquel sont rattachés leurs risques. Ceci leur permet, notamment :
- d’être en capacité d’engager les ressources nécessaires,
- d’être informés des incidents ou failles des dispositifs de maîtrise,
- de communiquer sur le terrain sur l’apport de la démarche
Les enjeux de la gouvernance des risques sont donc centraux et peuvent influencer en profondeur la méthodologie de gestion de risques. Il est donc préférable de fixer les rôles de chacun en début de projet. Cette tâche peut déjà révéler des failles dans l’organisation, premières sources de risques.
