La compréhension et la gestion du risque par les institutions financières, les banques et les entités se sont améliorées au fil des ans. Aujourd'hui, les parties prenantes sont plus impliquées et exigent une plus grande transparence sur les risques de l'entreprise et sur la façon dont elle réagit et planifie l'avenir pour profiter de plus de chances.
L'évaluation des risques à l'échelle de l'entreprise (EWRA) ou simplement l'évaluation des risques de l'entreprise (ERE) ou l'évaluation globale des risques ou la gestion des risques de l'entreprise (GRE) sont tous des termes qui décrivent le même processus : identification, évaluation et supervision des risques d'une entité.
Une évaluation aide les entreprises à adapter leur approche de la gestion des risques afin de répondre aux exigences des normes financières évolutives des sociétés.
L'évaluation des risques à l'échelle de l'entreprise (EWRA) ou simplement l'évaluation des risques de l'entreprise (ERE) ou l'évaluation globale des risques ou la gestion des risques de l'entreprise (GRE) sont tous des termes qui décrivent le même processus : identification, évaluation et supervision des risques d'une entité.
Une évaluation aide les entreprises à adapter leur approche de la gestion des risques afin de répondre aux exigences des normes financières évolutives des sociétés.
Pourquoi les institutions financières procèdent-elles à des évaluations globales des risques ?
L'utilisation des programmes de GRE est un moyen pour les entreprises d'acquérir un avantage concurrentiel. Ce n'est pas exclusivement en vertu d'une obligation réglementaire. Comprendre quels secteurs d'une entreprise sont les plus exposés aux risques est un moyen pour les entités de prendre des mesures préventives, d'établir des priorités et de protéger leur entreprise contre les dangers imprévus. Il est souvent décisif pour l'alignement de l'acceptation des risques de la haute direction et de la fonction de surveillance des membres du conseil d'administration d'avoir un aperçu de la façon dont les risques sont repérés, traités et gérés.
La GRE joue un rôle fondamental dans la hiérarchisation des risques (c'est-à-dire la gouvernance, l'exploitation, la réputation, la stratégie, les finances, la réglementation) et peut donc être considérée comme une étape essentielle dans la stratégie commerciale globale et la performance de l'entreprise. L'évaluation des risques aide les entreprises à saisir les opportunités commerciales dans des environnements en mutation.
EWRA et l'approche fondée sur le risque (RBA)
L'approche fondée sur le risque (RBA) est un élément essentiel de la gestion des risques. La RBA a été mise en évidence en particulier pour les risques de blanchiment d'argent dans les Recommendations du GAFI de 2012:
"les pays devraient appliquer une approche fondée sur le risque (RBA) pour s'assurer que les mesures visant à prévenir ou à atténuer le blanchiment de capitaux et le financement du terrorisme sont proportionnelles aux risques identifiés." et a également été une préoccupation majeure mise en oeuvre dans le cadre de la quatrième directive européenne sur la lutte contre le blanchiment de capitaux.
Une approche appropriée fondée sur les risques commence par l'acquisition d'une connaissance approfondie et à jour de l'exposition de l'établissement aux risques et d'une compréhension de ces risques."les pays devraient appliquer une approche fondée sur le risque (RBA) pour s'assurer que les mesures visant à prévenir ou à atténuer le blanchiment de capitaux et le financement du terrorisme sont proportionnelles aux risques identifiés." et a également été une préoccupation majeure mise en oeuvre dans le cadre de la quatrième directive européenne sur la lutte contre le blanchiment de capitaux.
L'approche fondée sur le risque (RBA) est un élément essentiel de la gestion des risques. La RBA a été mise en évidence en particulier pour les risques de blanchiment d'argent (AML/CTF) dans les Recommendations du GAFI de 2012:
"les pays devraient appliquer une approche fondée sur le risque (RBA) pour s'assurer que les mesures visant à prévenir ou à atténuer le blanchiment de capitaux et le financement du terrorisme sont proportionnelles aux risques identifiés." et a également été une préoccupation majeure mise en oeuvre dans le cadre de la quatrième directive européenne sur la lutte contre le blanchiment de capitaux.
La RBA est une méthodologie qui permet de hiérarchiser les activités de l'entreprise sur la base d'une analyse préalable des données. Selon la RBA, il y a proportionnalité des mesures prises, selon le niveau de risque. Cela signifie que la RBA dans les situations à faible risque permet de prendre moins de mesures et de mettre l'accent sur les risques élevés, dans les situations où des mesures renforcées sont indispensables. Grâce à cela, l'allocation des ressources disponibles peut être optimisée.
Comment mener efficacement des évaluations des risques à l'échelle de l'entreprise ?
Une méthodologie EWRA réussie est cohérente dans tous les domaines et se construit généralement à travers les étapes principales suivantes : l'identification des risques, l'analyse des écarts/la priorisation des risques et l'ajustement (corrections-atténuation). Le firme identifie et classe les risques. La notation du risque inhérent doit être calculée. Les professionnels qui procèdent à l'évaluation des risques devraient avoir une compréhension claire des activités et de l'environnement de travail de cette entité ainsi que des problèmes qui peuvent survenir. Un risque peut provenir d'une partie de l'entité mais avoir un impact sur de nombreuses unités opérationnelles. C'est la raison pour laquelle nous parlons de risques "à l'échelle de l'entreprise".
Une méthodologie EWRA réussie est cohérente dans tous les domaines et se construit généralement à travers les étapes principales suivantes : l'identification des risques, l'analyse des écarts/la priorisation des risques et l'ajustement (corrections-atténuation). 
Le firme identifie et classe les risques. La notation du risque inhérent doit être calculée. Les professionnels qui procèdent à l'évaluation des risques devraient avoir une compréhension claire des activités et de l'environnement de travail de cette entité ainsi que des problèmes qui peuvent survenir. Un risque peut provenir d'une partie de l'entité mais avoir un impact sur de nombreuses unités opérationnelles. C'est la raison pour laquelle nous parlons de risques "à l'échelle de l'entreprise".
Les types de risques
L'entité devra classer les différents types de risques. Les risques couvrent des domaines d'activité tels que la conformité, la gouvernance, la stratégie, la planification et l'infrastructure. Ces catégories générales sont divisées en différentes sous-catégories et les risques sont détectés pour chacune d'elles. Par exemple, les risques liés à la conformité seront analysés plus en détail dans la culture de conformité, les rapports et les risques de gestion. L'infrastructure comprend des sous-catégories telles que les ressources humaines, la formation, la communication, les systèmes informatiques et les risques marketing.
Les types de risques
L'entité devra classer les différents types de risques. Les risques couvrent des domaines d'activité tels que la conformité, la gouvernance, la stratégie, la planification et l'infrastructure. Ces catégories générales sont divisées en différentes sous-catégories et les risques sont détectés pour chacune d'elles. Par exemple, les risques liés à la conformité seront analysés plus en détail dans la culture de conformité, les rapports et les risques de gestion. L'infrastructure comprend des sous-catégories telles que les ressources humaines, la formation, la communication, les systèmes informatiques et les risques marketing.
Il s'agit de l'analyse et de l'évaluation de l'adéquation des mesures de gestion des risques pertinentes existantes. Le risque résiduel sera exposé.
Lorsque l'entreprise examine ses risques en tenant compte des contrôles applicables existants, nous sommes confrontés à un "risque résiduel". En examinant ces deux niveaux de risque calculés, une entreprise peut évaluer ses contrôles existants et déterminer s'ils sont suffisants ou non.
La compréhension approfondie de l'entreprise et des risques auxquels elle est confrontée est essentielle pour déterminer si elle peut atteindre son objectif global ou si des mesures supplémentaires sont nécessaires. Une EWRA est plus efficace pour une entité lorsque les risques sont classés par ordre d'urgence, en fonction de leur importance pour l'entité.
Lorsque l'entreprise examine ses risques en tenant compte des contrôles applicables existants, nous sommes confrontés à un "risque résiduel". En examinant ces deux niveaux de risque calculés, une entreprise peut évaluer ses contrôles existants et déterminer s'ils sont suffisants ou non.
La compréhension approfondie de l'entreprise et des risques auxquels elle est confrontée est essentielle pour déterminer si elle peut atteindre son objectif global ou si des mesures supplémentaires sont nécessaires. Une EWRA est plus efficace pour une entité lorsque les risques sont classés par ordre d'urgence, en fonction de leur importance pour l'entité.
Si jugé nécessaire, cette phase a lieu et comprend des mesures nouvelles ou supplémentaires de gestion des risques pour contrôler les risques qui ne sont pas ou pas suffisamment couverts. Au cours de cette phase, un plan d'actions correctives sera fourni. La date d'échéance et une estimation du temps nécessaire à l'achèvement du plan sont généralement prises en compte, ainsi que les moyens appropriés pour mener à bien la tâche.
Anti Money Laundering Overall Risk Assessment
Vous recherchez des informations plus détaillées sur l'obligation globale d'évaluation des risques en matière de lutte contre le blanchiment d'argent ? Suivez l'article pour en savoir plus.
L'appétit pour le risque et la tolérance au risque
L'appétit pour le risque est le degré de risque qu'une entité est prête à supporter. L'appétit pour le risque forme les objectifs d'une entité et le profil d'une entreprise comme étant une entité plus agressive ou plus conservatrice en matière de risque. La tolérance au risque est plus spécifique sur le plan opérationnel et représente l'application de l'appétit pour le risque à des objectifs particuliers.
L'appétit pour le risque est le degré de risque qu'une entité est prête à supporter. L'appétit pour le risque forme les objectifs d'une entité et le profil d'une entreprise comme étant une entité plus agressive ou plus conservatrice en matière de risque. Une entité doit développer un appétit pour le risque et le communiquer à ses différentes unités pour fixer des objectifs pour chaque département. L'appétit pour le risque devra être surveillé et mis à jour au besoin. Pour développer un appétit pour le risque, l'entreprise tiendra compte de certains facteurs : le niveau de risque actuel de l'entreprise jusqu'à ce moment, le risque que l'entité est capable de gérer, sa tolérance au risque et son attitude à l'égard de la croissance, des rendements et des risques. La tolérance au risque est plus spécifique sur le plan opérationnel et représente l'application de l'appétit pour le risque à des objectifs particuliers. C'est le niveau de risque qu'une entité peut gérer par risque individuel. Une entreprise établit son appétit pour le risque, mais la tolérance au risque est la mesure acceptable qui sera prise en fonction de cet appétit.
La nécessité de documenter et de mettre à jour continuellement l'EWRA
D'une manière générale, l'EWRA est documentée, mise à jour et tenue à la disposition des autorités de contrôle (la Banque nationale de Belgique, ("BNB"). L'EWRA sera mise à jour chaque fois qu'un événement se produit et peut avoir une incidence importante sur le profil de risque de l'entité. Il ne s'agit pas d'un processus qui a lieu une fois par année, mais d'un processus continu qui a lieu chaque fois qu'une situation majeure survient. L'entité devrait avoir, à tout moment, une compréhension claire de l'évolution des risques associés à la relation d'affaires.
D'une manière générale, l'EWRA est documentée, mise à jour et tenue à la disposition des autorités de contrôle (la Banque nationale de Belgique, ("BNB"). L'EWRA sera mise à jour chaque fois qu'un événement se produit et peut avoir une incidence importante sur le profil de risque de l'entité. Il ne s'agit pas d'un processus qui a lieu une fois par année, mais d'un processus continu qui a lieu chaque fois qu'une situation majeure survient. L'entité devrait avoir, à tout moment, une compréhension claire de l'évolution des risques associés à la relation d'affaires.
En plus du document de base de l'EWRA, un cadre décrivant le processus de réalisation de l'évaluation est nécessaire. Dans ce document, le cadre juridique applicable sera mentionné. En outre, il devrait indiquer la méthodologie utilisée, la manière dont elle a été intégrée dans l'évaluation, une description des procédures de suivi et de mise à jour en temps utile du processus d'évaluation des risques et une référence à la mesure dans laquelle le personnel responsable, la direction générale et toute autre partie ont été impliqués dans toutes les phases du processus.
En conclusion, les professionnels du risque ne doivent pas oublier que la gestion des risques n'est pas un processus à "cocher". C'est tout un système pour améliorer la performance d'une entreprise. Il s'agit d'un processus continu qui exige une compréhension approfondie du modèle d'entreprise de l'entité et de son fonctionnement dans l'environnement commercial et juridique spécifique.
Vous êtes intéressé ?
Pideeco conduit des audits de conformité indépendants pour fournir aux institutions financières un meilleur aperçu de leur performance réglementaire. Nous pouvons vous aider dans l'évaluation des risques de votre entreprise et veiller à ce que toutes les exigences réglementaires soient adéquatement couvertes.
EWRAComplianceFinancial firmsERMRBAReportingTop-downAnti Money LaunderingAuditRiskRisk Based ApproachCompliance expertAML
