En mai dernier le PCAOB et la SEC ont préconisés que les entreprises soumises au Sarbanes Oxley Act mis en place en 2002, suite à l’affaire ENRON, face une place encore plus importante à l’Analyse des risques (RAP - Risk Analysis Process) en pratiquant une évaluation des risques (RAM – Risk Assessment Methodology) devant permettre une cartographie des risques (Risk Mapping).

Quelque soit la méthodologie retenue (Bidimensionnelle – Impact/Likelihood ou tridimensionnelle – Impact/likelihood/Detection méthode que nous préconisons) et sa méthode de gradation (de 3/3 à 10/10/10 en tridimensionnelle), il apparaît clairement à la suite des dernières affaires (Subprime – Société Générale etc.) que même avec des structures de contrôle interne bien rodées (les banques avec le règlement du CRBF 97/02 font du contrôle interne depuis plus d’une décennie), ce dernier pourra être véritablement efficace que lorsque une démarche approfondie de « Risk assessment » aura été effectuée.

Pour chaque risque potentiel ou avéré, le « what can go wrong » et toutes ses conséquences doivent être investigués.

Bien sûr il n’y a pas de risque 0. Mais en appréhendant ses risques, leurs faits générateurs et leurs conséquences, l’entreprise doit être en mesure de développer des parades pour s’en prémunir.

A ceux qui en doute je pense que ces dernières affaires devraient faire réfléchir.

Ce « hub » à justement pour but d’échanger des points de vue sur la question. Etes-vous de ceux qui considèrent que même en faisant du « risk assessment » le risque surviendra quand même, ou de ceux qui pensent que même si des risques demeurent il vaut mieux essayer de se prémunir des plus importants. Sachant que le Risk Assessment est un « on going process », c'est-à-dire que c’est un processus récurent qui doit être effectué périodiquement au fur et à mesure que la société évolue.

C’est ce que nous souhaitons débattre avec vous.
(ce « hub » est en liaison avec le hub « Process development » car pour faire une bonne analyse des risques un préalable est absolument nécessaire : Le design des processus – leur arborescence - les contrôles etc.)