Historiquement, la plupart des organisations s'appuient sur le modèle des 3 lignes de défense pour identifier, atténuer et gérer les risques au sein de leur organisation. Ce cadre se compose de trois unités distinctes :

• La première ligne : les fonctions qui détiennent et gèrent les risques, dont un CCO (et une équipe de responsables)
• La deuxième ligne : les fonctions qui supervisent le risque, notamment la gestion du risque, la conformité et le contrôle
• La troisième ligne : les fonctions qui assurent des audits indépendants (audit interne)

Les trois unités des trois lignes de défense sont essentielles à l'élaboration d'un processus de gestion des risques cohérent, mais le cadre n'est pas aussi clair aujourd'hui qu'il ne l'était il y a dix ans. Aujourd'hui, les réglementations sectorielles et les législations telles que la loi Sarbanes-Oxley (SOX) ont imposé des règles strictes sur les niveaux de contrôle - pas uniquement sur les contrôles financiers - qui doivent être mis en place autour de tous les facteurs de risque opérationnels. Les menaces de cybersécurité devenant plus fréquentes et les risques liés aux tiers s'ajoutant à l'incertitude, le paysage des risques peut changer d'un moment à l'autre.

Les différentes fonctions au sein de l'organisation ont toutes leur propre point de vue sur la gestion des risques et elles ne communiquent pas toujours clairement les unes avec les autres. En fait, 49 % des organisations affirment que les équipes chargées des risques, de l'audit, de la conformité et de la cybersécurité ne travaillent pas ensemble pour développer une vision commune des risques dans l'ensemble de l'écosystème (enquête PwC Digital Trust Insights). Ce manque de communication désavantage votre organisation lorsqu'il s'agit d'identifier et d'atténuer des risques nouveaux ou sous-estimés.

Améliorer la première ligne de défense

La mise en place d'un meilleur système de collaboration commence par le renforcement de la première ligne de défense et le passage d'une approche de conformité à une véritable approche de gestion des risques. Cela signifie qu'il ne faut pas se concentrer uniquement sur les listes de contrôle en matière de conformité, mais qu'il faut faire un véritable inventaire de tous les risques potentiels auxquels votre organisation peut être confrontée sous toutes ses facettes, notamment les risques opérationnels, de cybersécurité, de confidentialité, de tiers et de réputation.

En mettant en place des processus et une technologie pour vous aider à inventorier vos risques, à établir un cadre de contrôle complet et à suivre l'ensemble de votre écosystème de risques en temps réel, vous serez en mesure de réduire la charge de votre équipe de gestion des risques en identifiant les problèmes et en élaborant des solutions avant qu'ils ne nuisent à votre organisation, plutôt qu'après.

Votre première ligne de défense doit fixer les normes de l'ensemble de votre processus de gestion des risques et s'assurer que le reste des 3 lignes de défense a adopté le cadre de ces normes. Souvent, les différentes équipes ont des critères de réussite différents, ce qui entraîne une analyse des risques qui n'est pas aussi complète qu'elle pourrait l'être. Pour améliorer l'efficacité de l'ensemble de votre organisation de gestion des risques, il est important que la première ligne de défense mette en place un ensemble de bonnes pratiques et de protocoles partagés.

Meilleures pratiques pour la première ligne de défense

Votre CCO doit donner le ton à l'ensemble de l'équipe de gestion des risques en établissant un cadre que l'organisation doit utiliser pour évaluer, gérer et atténuer les scénarios de risque en collaboration avec d'autres équipes. Voici quelques éléments clés à prendre en compte dans ce cadre :

• Identifier les besoins en matière de conformité et de respect de la réglementation et déterminer comment ils doivent influencer vos processus opérationnels
• Déterminer votre appétit pour le risque ou le montant que vous êtes prêt à investir pour atténuer chaque risque spécifique
• Développer un processus d'identification de la gestion des risques qui comprend un inventaire des risques, des scorecards d'évaluation des risques et une méthodologie de mesure des risques
• Élaborer des programmes et protocoles de formation pour aborder les questions de la conformité et de la gestion des risques dans tous les départements
• Créer une hiérarchie interne et pourvoir les différentes fonctions

Dans ce cadre, vous devez mettre en œuvre des technologies qui réduisent la dépendance des 3 lignes de défense à l'égard de l'identification et de la résolution manuelles des problèmes. En mettant en place des déclencheurs automatiques qui enverront des alertes ou généreront des réponses automatiques lorsqu'un certain facteur de risque est élevé, vous pouvez réduire le travail manuel autour des tâches répétitives et réduire la probabilité d'une erreur humaine. En combinant l'analyse humaine et la technologie pour corroborer les données et approfondir les aspects potentiellement problématiques, vous veillez à ce que vos spécialistes consacrent leur temps à l'analyse stratégique dans laquelle ils excellent.

Pour en savoir plus sur la manière d'optimiser votre processus de gestion des risques en mettant en œuvre le bon cadre de contrôle, téléchargez notre eBook.