Jean-Yves Oberlé dresse un triple constat.

D’abord, les pertes attribuables aux risques opérationnels augmentent. Dans les affaires qui défraient notamment la chronique des établissements bancaires et financiers, l’origine des pertes réside dans un défaut de contrôle interne mais aussi externe.

Dans le même temps, le nombre des réglementations et des acteurs en charge du contrôle augmentent. Les réglementations, en effet, ne manquent pas, de même que les nombreux acteurs et structures internes ou externes en charge du contrôle ou de la réduction des risques, depuis les commissaires aux comptes jusqu’à l’autorité des marchés financiers, en passant par les comités d’audit et les responsables du contrôle permanent (dont les responsables de la sécurité) et du contrôle périodique.

Troisième constat : les moyens mis en œuvre pour contrôler les risques augmentent, eux aussi. Ainsi, dans le secteur bancaire, les effectifs dédiés à la gestion des risques sont en croissance régulière : effectifs exerçant une fonction d’inspecteur, d’auditeur, de déontologue et emplois d’analyste des risques. De même, les banques ont investi des centaines de millions d’euros pour mettre en place des systèmes d’information de gestion des risques afin de se mettre en conformité avec les exigences réglementaires.

« Alors, pourquoi une gestion des risques aussi coûteuse pour un résultat pour le moins limité ? » demande Jean-Yves Oberlé. Qui apporte la réponse à cette question : « De nombreux experts ont des niveaux de compétences hétérogènes et travaillent trop souvent en silo, sur des bases différentes et en utilisant des référentiels spécifiques. »

En fait, les différents acteurs n’ont pas toujours la même conception de l’entreprise (découpage en processus ou découpage organisationnel). Les modèles de gestion des risques peuvent différer, les dispositifs de contrôle s’agrègent mais ne s’articulent pas. Pour exemple les référentiels de travail sont différents entre l’audit interne, les contrôles permanents ou les contrôles informatiques.

Quels sont les points communs entre le référentiel d’appréciation du risque du responsable risques opérationnels, du responsable conformité informatique, du RSSI, du responsable des assurances informatiques, de l’auditeur informatique ?

Quatre voies d’amélioration sont suggérées par Jean-Yves Oberlé.

Première piste : « Une gouvernance efficace et efficiente de la gestion des risques. » Celle-ci se caractérise par

  • Une politique de gestion des risques validée par le conseil d’administration, les instances de pilotage et de coordination.
  • Un processus de gestion des risques unique et partagé intégrant la gestion de l’inattendu,
  • Une gestion pragmatique des risques s’appuyant sur la sécurité de l’information, la continuité d’activité, le contrôle interne.

Deuxième piste possible : « Des référentiels mis en cohérence et utilisés judicieusement et des acteurs compétents. » Les référentiels et les méthodes sont pléthoriques… mais n’expliquent jamais le comment-faire. Une formation adaptée et une expérience professionnelle des acteurs de la gestion des risques est nécessaire.

Troisième voie : « considérer la problématique de la maîtrise des risques comme un problème complexe ». La théorie de la complexité nous amène à considérer l’efficience des dispositifs de contrôle dans leurs interactions plus que dans la sophistication de chacune des composantes du contrôle, ce qui suppose d’avoir une vision d’urbanisation des dispositifs de contrôle insiste Jean-Yves Oberlé.

Enfin, un quatrième axe d’amélioration : « construire des systèmes d’information de gestion des risques intégrés ». L’organisation des contrôles est un ensemble d’éléments en interaction, regroupés au sein d’une structure régulée, ayant un système de communication (système d’information) pour faciliter la circulation de l’information, dans le but de répondre à des besoins et d’atteindre des objectifs déterminés. »