La réglementation en matière de gestion des risques est
généralement la première cause de développement d’une stratégie
de Risk Management.
Les obligations légales
Les risques auxquels peut être exposée une entreprise sont de toutes sortes. Il en résulte forcément une multitude de règles juridiques. Cela implique, pour le Risk Manager, la nécessité de veille juridique de façon à se tenir à jour des dernières obligations légales.
Dans les entreprises cotées, le président du conseil d’administration doit faire un état des lieux des moyens déployés pour évaluer les risques auxquels est exposée l’entreprise et éventuellement ceux mis en œuvre pour s’en prémunir. Le conseil d’administration a le droit de l’approuver ou non : il est donc l’entité qui surveille le système de gestion des risques et de contrôle interne. Cet élargissement des missions du conseil d’administration résulte de l’Ordonnance du 8 décembre 2008, transposition de la huitième Directive Européenne.
On parle actuellement d’une nouvelle réglementation qui devrait
entrer en vigueur d’ici deux ans : la révélation
obligatoire des failles de son système d’information ayant
entraîné des atteintes aux données personnelles.
Certaines entreprises ont déjà adopté cette démarche comme OVH
qui a dernièrement subi une attaque sur ses serveurs et a
rapidement prévenu tous ses clients en leur conseillant de
modifier leurs codes d’accès.
La mise en conformité
Dans ce domaine, la mise en conformité est un aspect très important qui permet aux entreprises d’obtenir une reconnaissance internationale.
Les normes de la catégorie ISO 27000 concernent la gestion de la sécurité des systèmes d’information, un enjeu crucial de nos jours, et ce pour tous les types et toutes les tailles d’organisation. Ainsi, la norme ISO 27002 établit un catalogue de bonnes pratiques de sécurité par exemple. La norme ISO 270006, elle, énumère les exigences concernant les organismes qui auditent et certifient le management de la sécurité de l’information (SMSI) des entreprises.
La famille ISO 31000 fournit un cadre à la
gestion de tous types de risques en éditant des principes ainsi
que des lignes directrices utilisables par tout type
d’organisation. Ainsi, la norme ISO/CEI 31010:2009 apporte de
nombreux concepts sur l’évaluation des risques, des processus et
de la sélection des techniques d’évaluation des risques.
L’AMRAE, un rôle essentiel
L’Association pour le Management des Risques et des Assurances de l’Entreprise est une initiative créée en 1993 qui poursuit le but de développer la culture du management des risques dans les organisations. C’est dans cet esprit que l’AMRAE a notamment développé le baromètre du Risk Manager, un baromètre qui constitue une référence en la matière. L’association propose aussi des formations dédiées aux fonctions de Risk Manager, largement plébiscitées par les entreprises françaises.