Risk appetite, tolerance & capacity
Chaque entreprise a une capacité de risque particulière, définie comme le nombre objectif de pertes qui peut être accepté sans avoir à assurer sa continuité dans le temps. Sujets au maximum d'impôt absolu pour cette capacité de risque, les propriétaires ou le conseiller de direction établissent l'appétit de risque pour l'entreprise. L'appétit de risque est défini comme la quantité de risque, à un niveau général, qu'une entité souhaite accepter pour assumer sa mission. Dans certains cas, l'établissement de l'appétit de risque peut être délégué au conseil de direction de la haute direction comme partie de la planification stratégique.
L’appétit de risque se traduit par une quantité de normes et de politiques qui incluent le niveau de risque à l’intérieur des limites établies pour l’appétit de risque. Ces limites doivent être ajustées ou confirmées régulièrement. Dans ces limites, le risque peut être accepté dans le cadre d'un processus explicite et formel qui confirme que le risque ne nécessite ni garantie aucune réponse supplémentaire de la part de l'entreprise, alors que le risque et son contexte ne varient pas de manière substantielle, et que la restitution des comptes pour le risque est assigné à un propriétaire spécifique.
Il y a des circonstances dans lesquelles les décisions par rapport à l'appétit de risque défini sont autorisées, mais elles doivent néanmoins être planifiées selon des critères spécifiques à ceux qui sont appelés tolérance au risque. Ces services ne sont pas souhaitables, mais ils savent qu'ils sont suffisants pour réduire la capacité de réponse ; l'acceptation du risque aujourd'hui est possible s'il existe une nécessité de convaincre le commerce et d'autres options sont trop coûteuses. La tolérance au risque peut être définie en utilisant les paramètres des processus TI ou en adhérant aux procédures et aux politiques définies pour TI, qui sont une traduction des métadonnées de TI qui doivent être comprises. De la même manière que l'appétit du risque, la tolérance au risque définit un niveau d'entreprise et se reflète dans les politiques créées pour la haute direction. Les exceptions peuvent être tolérées dans les niveaux inférieurs de l'entreprise sans toutefois dépasser l'appétit de risque pour un niveau d'entreprise.
L'appétit et la tolérance au risque doivent être définis et approuvés par la haute direction, puis communiqués clairement à toutes les parties prenantes. Un processus doit être en place pour examiner et approuver toute exception au niveau d'autorité approprié. Comme pour tous les risques, l'appétit et la tolérance au risque évoluent avec le temps, et divers facteurs — tels que les nouvelles technologies, la restructuration organisationnelle ou les changements dans la stratégie d'entreprise — peuvent amener l'entreprise à réévaluer son portefeuille de risques et à reconfirmer son appétit pour le risque.
Enfin, la création d’une culture consciente du risque est un aspect important du contrôle du risque. Cela pourrait être une tâche de la haute direction, au milieu de la révision et du soulagement de l'appétit de risque, ainsi que des parties intéressées par des données sur la mise en œuvre d'une gestion de risque qui est alignée avec l'appétit de risque de l'entreprise.
Avez-vous défini l’appétence au risque, la tolérance et la capacité au sein de votre organisation ?
L’appétit de risque se traduit par une quantité de normes et de politiques qui incluent le niveau de risque à l’intérieur des limites établies pour l’appétit de risque. Ces limites doivent être ajustées ou confirmées régulièrement. Dans ces limites, le risque peut être accepté dans le cadre d'un processus explicite et formel qui confirme que le risque ne nécessite ni garantie aucune réponse supplémentaire de la part de l'entreprise, alors que le risque et son contexte ne varient pas de manière substantielle, et que la restitution des comptes pour le risque est assigné à un propriétaire spécifique.
Il y a des circonstances dans lesquelles les décisions par rapport à l'appétit de risque défini sont autorisées, mais elles doivent néanmoins être planifiées selon des critères spécifiques à ceux qui sont appelés tolérance au risque. Ces services ne sont pas souhaitables, mais ils savent qu'ils sont suffisants pour réduire la capacité de réponse ; l'acceptation du risque aujourd'hui est possible s'il existe une nécessité de convaincre le commerce et d'autres options sont trop coûteuses. La tolérance au risque peut être définie en utilisant les paramètres des processus TI ou en adhérant aux procédures et aux politiques définies pour TI, qui sont une traduction des métadonnées de TI qui doivent être comprises. De la même manière que l'appétit du risque, la tolérance au risque définit un niveau d'entreprise et se reflète dans les politiques créées pour la haute direction. Les exceptions peuvent être tolérées dans les niveaux inférieurs de l'entreprise sans toutefois dépasser l'appétit de risque pour un niveau d'entreprise.
L'appétit et la tolérance au risque doivent être définis et approuvés par la haute direction, puis communiqués clairement à toutes les parties prenantes. Un processus doit être en place pour examiner et approuver toute exception au niveau d'autorité approprié. Comme pour tous les risques, l'appétit et la tolérance au risque évoluent avec le temps, et divers facteurs — tels que les nouvelles technologies, la restructuration organisationnelle ou les changements dans la stratégie d'entreprise — peuvent amener l'entreprise à réévaluer son portefeuille de risques et à reconfirmer son appétit pour le risque.
Enfin, la création d’une culture consciente du risque est un aspect important du contrôle du risque. Cela pourrait être une tâche de la haute direction, au milieu de la révision et du soulagement de l'appétit de risque, ainsi que des parties intéressées par des données sur la mise en œuvre d'une gestion de risque qui est alignée avec l'appétit de risque de l'entreprise.
Avez-vous défini l’appétence au risque, la tolérance et la capacité au sein de votre organisation ?
Commentaires
Enregistrer un commentaire