L'évaluation des risques à l'échelle de l'entreprise (EWRA) ou simplement l'évaluation des risques de l'entreprise (ERE) ou l'évaluation globale des risques ou la gestion des risques de l'entreprise (GRE) sont tous des termes qui décrivent le même processus : identification, évaluation et supervision des risques d'une entité.
Une évaluation aide les entreprises à adapter leur approche de la gestion des risques afin de répondre aux exigences des normes financières évolutives des sociétés.
Pourquoi les institutions financières procèdent-elles à des évaluations globales des risques ?
L'utilisation des programmes de GRE est un moyen pour les entreprises d'acquérir un avantage concurrentiel. Ce n'est pas exclusivement en vertu d'une obligation réglementaire. Comprendre quels secteurs d'une entreprise sont les plus exposés aux risques est un moyen pour les entités de prendre des mesures préventives, d'établir des priorités et de protéger leur entreprise contre les dangers imprévus.La GRE joue un rôle fondamental dans la hiérarchisation des risques (c'est-à-dire la gouvernance, l'exploitation, la réputation, la stratégie, les finances, la réglementation) et peut donc être considérée comme une étape essentielle dans la stratégie commerciale globale et la performance de l'entreprise. L'évaluation des risques aide les entreprises à saisir les opportunités commerciales dans des environnements en mutation.
EWRA et l'approche fondée sur le risque (RBA)
"les pays devraient appliquer une approche fondée sur le risque (RBA) pour s'assurer que les mesures visant à prévenir ou à atténuer le blanchiment de capitaux et le financement du terrorisme sont proportionnelles aux risques identifiés." et a également été une préoccupation majeure mise en oeuvre dans le cadre de la quatrième directive européenne sur la lutte contre le blanchiment de capitaux.
L'approche fondée sur le risque (RBA) est un élément essentiel de la gestion des risques. La RBA a été mise en évidence en particulier pour les risques de blanchiment d'argent (AML/CTF) dans les Recommendations du GAFI de 2012:
"les pays devraient appliquer une approche fondée sur le risque (RBA) pour s'assurer que les mesures visant à prévenir ou à atténuer le blanchiment de capitaux et le financement du terrorisme sont proportionnelles aux risques identifiés." et a également été une préoccupation majeure mise en oeuvre dans le cadre de la quatrième directive européenne sur la lutte contre le blanchiment de capitaux.
La RBA est une méthodologie qui permet de hiérarchiser les activités de l'entreprise sur la base d'une analyse préalable des données. Selon la RBA, il y a proportionnalité des mesures prises, selon le niveau de risque. Cela signifie que la RBA dans les situations à faible risque permet de prendre moins de mesures et de mettre l'accent sur les risques élevés, dans les situations où des mesures renforcées sont indispensables. Grâce à cela, l'allocation des ressources disponibles peut être optimisée.
Comment mener efficacement des évaluations des risques à l'échelle de l'entreprise ?

Les types de risques
L'entité devra classer les différents types de risques. Les risques couvrent des domaines d'activité tels que la conformité, la gouvernance, la stratégie, la planification et l'infrastructure. Ces catégories générales sont divisées en différentes sous-catégories et les risques sont détectés pour chacune d'elles. Par exemple, les risques liés à la conformité seront analysés plus en détail dans la culture de conformité, les rapports et les risques de gestion. L'infrastructure comprend des sous-catégories telles que les ressources humaines, la formation, la communication, les systèmes informatiques et les risques marketing.
Lorsque l'entreprise examine ses risques en tenant compte des contrôles applicables existants, nous sommes confrontés à un "risque résiduel". En examinant ces deux niveaux de risque calculés, une entreprise peut évaluer ses contrôles existants et déterminer s'ils sont suffisants ou non.
La compréhension approfondie de l'entreprise et des risques auxquels elle est confrontée est essentielle pour déterminer si elle peut atteindre son objectif global ou si des mesures supplémentaires sont nécessaires. Une EWRA est plus efficace pour une entité lorsque les risques sont classés par ordre d'urgence, en fonction de leur importance pour l'entité.

Vous recherchez des informations plus détaillées sur l'obligation globale d'évaluation des risques en matière de lutte contre le blanchiment d'argent ? Suivez l'article pour en savoir plus.
L'appétit pour le risque et la tolérance au risque
La tolérance au risque est plus spécifique sur le plan opérationnel et représente l'application de l'appétit pour le risque à des objectifs particuliers. C'est le niveau de risque qu'une entité peut gérer par risque individuel. Une entreprise établit son appétit pour le risque, mais la tolérance au risque est la mesure acceptable qui sera prise en fonction de cet appétit.
La nécessité de documenter et de mettre à jour continuellement l'EWRA
Il ne s'agit pas d'un processus qui a lieu une fois par année, mais d'un processus continu qui a lieu chaque fois qu'une situation majeure survient. L'entité devrait avoir, à tout moment, une compréhension claire de l'évolution des risques associés à la relation d'affaires.
En plus du document de base de l'EWRA, un cadre décrivant le processus de réalisation de l'évaluation est nécessaire. Dans ce document, le cadre juridique applicable sera mentionné. En outre, il devrait indiquer la méthodologie utilisée, la manière dont elle a été intégrée dans l'évaluation, une description des procédures de suivi et de mise à jour en temps utile du processus d'évaluation des risques et une référence à la mesure dans laquelle le personnel responsable, la direction générale et toute autre partie ont été impliqués dans toutes les phases du processus.
En conclusion, les professionnels du risque ne doivent pas oublier que la gestion des risques n'est pas un processus à "cocher". C'est tout un système pour améliorer la performance d'une entreprise. Il s'agit d'un processus continu qui exige une compréhension approfondie du modèle d'entreprise de l'entité et de son fonctionnement dans l'environnement commercial et juridique spécifique.