Risques opérationnels 

 

Aide, accompagnement et assistance 

 

 

Le risque opérationnel se définit comme le risque résultant de l’inadéquation, de la défaillance de processus internes, d’événements extérieurs, qu’ils soient délibérés, accidentels ou naturels, entraînant une perte ou un manque à gagner, directement ou indirectement, par la perturbation qu’ils provoquent dans l’entreprise.

 

Les processus internes incluent, d’une part les processus de développement, de fabrication et de vente, d’autre part les processus de gestion comme les ressources humaines, les systèmes informatiques, la comptabilité, etc.

 

 

 

 

Une typologie de risques opérationnels (conforme à la définition donnée par le Comité de Bâle pour les établissements financiers, mais qui s’applique en fait à tous les secteurs d’activité) pourrait s’établir comme suit :

 

1. Les fraudes internes (falsification, vol commis par un employé, malversation, etc.)

 

2. Les fraudes externes (vol commis par un malfaiteur extérieur à l’entreprise, présentation de faux documents, piratage informatique, escroquerie, etc.)

 

3. Pratiques en matière d’emploi et sécurité sur le lieu de travail (demandes d’indemnisation d’employés, plaintes pour discrimination, violation des règles de santé et de sécurité des employés, en général non-conformité au droit du travail, etc.)

 

4. Clients, produits et pratiques commerciales (non-conformité des produits au droit de la consommation, utilisation frauduleuse d’informations confidentielles sur la clientèle, blanchiment d’argent, etc.)

 

5. Dommages aux actifs corporels (actes de terrorisme, vandalisme, catastrophes naturelles, incendies et inondations, etc.)

 

6. Dysfonctionnement de l’activité et des systèmes (pannes de matériel, de logiciel, de télécommunications, pannes d’électricité, etc.)

 

7. Exécution, livraison et gestion des processus (erreur d’enregistrement des données, défaillances dans la gestion de la sécurité, erreur dans la documentation, en général toutes les erreurs humaines, etc.).

 

Les impacts de ces événements doivent être évalués, dans les meilleurs délais, et être quantifiables immédiatement (vol, dette irrécouvrable, etc.), en différé (mise en cause de la responsabilité civile de l’entreprise, piratage informatique, etc.) ou de manière très approchée (risque d’image, insatisfaction de la clientèle, etc.).

 

En dehors du cas où, au premier chef, la direction a tendance à minimiser l’impact des risques opérationnels, de peur de devoir se remettre en question, alors même que sa responsabilité pourrait être engagée, le lancement d’une démarche d’identification et de surveillance des risques opérationnels se heurte souvent à de nombreux freins de nature psychologique ou organisationnelle en interne.

 

Que ce soit au niveau de l’identification et de la conception des mesures à mettre en œuvre ou au niveau du reporting, il s’agit d’un travail supplémentaire pour des équipes déjà largement occupées au fonctionnement opérationnel de l’entreprise. Par ailleurs, certains services s’occupent d’activités voisines (services généraux, services financiers, services juridiques, etc.) et peuvent voir dans ces projets une perte d’autonomie, voire une remise en cause.

 

Une gestion proactive du risque opérationnel (identification, cartographie, mesure, prévention) permet d’une part de limiter les impacts potentiels, par une action ciblée ou par une meilleure couverture par les contrats d’assurance, d’autre part d’améliorer globalement les conditions de fonctionnement de l’entreprise par la rationalisation des processus induisant des gains de productivité, une amélioration de la qualité, des conditions de travail, etc.