Vous êtes un professionnel de la maitrise des risques de l'assurance. Vous souhaitez faire un point sur la maturité de votre dispositif de gestion des risques opérationnels, et de contrôle interne.
Prenez votre respiration et répondez avec sérénité aux 10 questions suivantes.
1 – avez-vous formalisé vos politiques de risque ?
de gestion des risques opérationnels ?
de contrôle interne ?
de sous-traitance ?
et plus encore ? (Qualité des données, Plans de continuité d'activité, politique assurances,…)
2 – Avez-vous élaboré une cartographie des risques opérationnels ?
3 - Contrôle interne :
avez-vous mis en place un dispositif basé sur un référentiel reconnu de type Coso, ISO, AMF ?
avez-vous modélisé les principaux processus de l’entreprise ?
établi une cartographie des risques par processus ?
établi un plan de contrôle pour tous les risques identifiés ?
avez-vous défini une méthode de cotation brute des risques ?
avez-vous vous défini un processus d’évaluation des contrôles ?
avez-vous défini une méthode d’évaluation des risques résiduels ?
gérez-vous un portefeuille de plans d’action pour les risques résiduels les plus élevés ?
4 - Gestion des risques opérationnels
avez-vous mis en place un dispositif de collecte des incidents et de quantification des pertes ?
gérez-vous un portefeuilles de plans d'action associés aux principaux incidents ?
avez-vous mis en place des KRI (Indicateurs Clés de Risques) ?
avez-vous mis en place une démarche de simulation de scénarios de stress ?
une approche du K ORSA basé sur la quantification des scénarios de stress ?
5 - Avez-vous défini ou ébauché un cadre de tolérance aux risques opérationnels ?
6 - Réalisez-vous un reporting régulier (tableaux de bords, cartographies, rapports règlementaires, etc.)
simple et lisible ?
présenté et discuté dans les plus hautes instances de gouvernance de l’entreprise ?
7 – Système d'information de gestion des risques (SIGR)
Avez-vous déployé un SIGR vous permettant de gérer :
les diverses cartographies,
l'évaluation des risques et des contrôles,
la collecte des incidents,
le suivi des plans d’action,
les reportings
etc.
8 - Dispositif d’animation et d’acculturation de l’ensemble des collaborateurs
avez-vous mis en place une filière de correspondants risque et controle dans les métiers ?
défini un plan de communication et/ou de formation ?
9 - Gouvernance des risques
Avez-vous négocié, avec les autres fonctions clés (audit interne, conformité, actuariat) ou assimilées (DPO, RSSI, RSSI, RSE,etc.), un partage clair des responsabilités et les bonnes articulations pour agir efficacement ?
10 - votre fonction est-elle présente dans l’analyse des risques opérationnels à réaliser dans certains processus clés de l’entreprise ?
lancement nouveaux produits ?
décision d’externalisation ?
rachats, fusion, absorption de sociétés ?
projets majeurs d’organisation ou de transformation des SI ?
Voilà c'est terminé ! Chacun des thèmes abordés mérite naturellement des développements plus approfondis qu'une simple réponse binaire. Dans tous les cas, Cyfor est en mesure de vous accompagner dans votre réflexion et vous aider à passer un cap de maturité supplémentaire dans l'appréhension de vos risques opérationnels, des méthodes utilisées et de votre gouvernance.