Ceintures ou bretelles ? Ne cherchez pas : les deux sont indispensables !
De manière caricaturale, on peut assimiler l’approche « bottom-up » à celle qu’il faut privilégier pour fonder un dispositif de contrôle interne, et considérer l’approche « top-down » comme plutôt orientée risk management.
Il faut d’abord rappeler que solvabilité II exige d’un assureur qu’il formalise sa politique de gestion du risque opérationnel ainsi que sa politique de contrôle interne.
Il faut ensuite clairement poser que, au regard du risque opérationnel, ces deux politiques sont complémentaires. Dans les deux cas, elles visent à identifier, mesurer, et maitriser le risque opérationnel, et chacune se base sur une démarche différente.
Contrôle interne : une démarche bottom-up
C’est une pratique généralisée à la très grande majorité des banques et des assureurs. Elle consiste à :
- décrire les processus de gestion de l’organisme
- identifier, dans chacun de ses processus, les risques opérationnels qui y sont attachés et les contrôles (existants ou à développer) pour les maitriser.
- puis évaluer la qualité des contrôles réalisés par les opérationnels.
La démarche part donc du bas, puisque l’identification des risques s’effectue à un niveau opérationnel avec les collaborateurs qui réalisent les taches liées à un processus donné.
La démarche va vers le haut puisqu’il s’agit ensuite de sélectionner les zones de risques les plus importantes et de bâtir une vision consolidée (par type de risque, par fonction, par zone géographique, etc.) en fonction de la qualité des contrôles constatés.
Gestion du risque opérationnel : une démarche top-down
La démarche part du haut car elle consiste pour le top de management à prendre appui sur tous les dispositifs en place afin d’établir une stratégie de maitrise des principaux risques opérationnels.
Il s’agit alors d’utiliser les évaluations du contrôle interne, mais aussi les constats de la collecte des incidents opérationnels, des KRI (Key Risk Indicators) , des scénarios ORSA, des rapports de l’audit interne, etc., pour :
- sélectionner les risques les plus importants (à travers une cartographie)
- définir les meilleurs moyens de les gérer (évitement, atténuation en amont, atténuation en cas de survenance, réassurance, etc.)
La démarche peut également être considérée comme top-down dans la mesure où elle aborde, chaque grande catégorie de risque opérationnel, comme un sujet à part entière (par exemple le risque de sous-traitance), qu’il faut encadrer par des règles de gestion valables quels que soient les processus de gestion de l’organisme qui y sont exposés. Le risk manager développe alors un rôle normatif sur la manière d’analyser les risques majeurs, et peut "descendre" à un niveau opérationnel "bas" pour exprimer ses préconisations.
Enfin, le risk management peut aussi s’insérer dans la gestion opérationnelle en procédant lui-même à des analyses de risques dans les décisions importantes que le management est amené à prendre : le lancement d’un nouveau produit, un projet d’automatisation ou encore le recours à l’externalisation.