Forum des Compétences

Groupe de travail :

Le risque opérationnel – qui l’assume ?

* * *

Les définitions des termes et concepts maniés ;
Nous sommes passé en quelques années de l’amélioration de la sécurité informatique à la maîtrise des risques opérationnels liés aux systèmes d'information.

Le risque opérationnel est un outil de décision dans les investissements en sécurité (information, continuité) mais a aussi une traduction comptable dans les fonds propres de la banque.

A l’instar du risque de crédit, géré et assumé depuis fort longtemps, nous proposons que le groupe de travail analyse les rôles et responsabilités des différents acteurs de la maîtrise du risque opérationnel lié aux systèmes d'information. Ces différents acteurs du risque opérationnel (brut et résiduel) peuvent : le définir, l’évaluer, valider cette évaluation, le comptabiliser, l’assumer dans le temps, définir des plans d’action pour le maîtriser, gérer ces plans d’action....

Le risque brut existe de par l’imperfection des processus et des aléas internes et externes. Le risque résiduel est celui qui reste après avoir pris en compte les mesures préventives, curatives, de contrôle (permanent), procédurales...

L’objet du groupe de travail est de débattre de ces sujets et bien clarifier ces concepts ainsi que les rôles de chacun. Il n’est pas d’aboutir à un modèle organisationnel idéal mais plutôt de bien poser la question afin que chaque établissement – en fonction de sa culture, de sa maturité et ses valeurs – puisse composer son organisation sur des définitions claires et partagées. Le livrable final pourrait contenir :

Les responsabilités de chaque acteur vis-à-vis de la gestion / maîtrise du risque ;
Les rôles types dans la gestion du risque ;
Éventuellement des modèles théoriques d’organisation ;
Des diagrammes de relation entre les acteurs.

Les fonctions concernées par ce groupe de travail viennent de plusieurs horizons car elles concourent toutes :

Responsable continuité (RPCA) ;
Responsable sécurité de l’information (RSSI/CISO) ;
Responsable de la sûreté ;
Responsable du risque opérationnel ;
Responsable du contrôle permanent ;
Responsable du contrôle périodique ;
Responsable de la gouvernance du système d’information, de sa politique, des processus... ;
Les responsables de processus, d’organisation, d’amélioration des processus...

Avec la contribution de Thales Security Systems S.A.S

Accueil Le Forum Le Cercle du Forum Nos contributions Nos réalisations Ecrivez-nous ! La Newsletter
Retour	Groupe de travail : Le risque opérationnel – qui l’assume ? *** * * Les définitions des termes et concepts maniés ; Nous sommes passé en quelques années de l’amélioration de la sécurité informatique à la maîtrise des risques opérationnels liés aux systèmes d'information. Le risque opérationnel est un outil de décision dans les investissements en sécurité (information, continuité) mais a aussi une traduction comptable dans les fonds propres de la banque. A l’instar du risque de crédit, géré et assumé depuis fort longtemps, nous proposons que le groupe de travail analyse les rôles et responsabilités des différents acteurs de la maîtrise du risque opérationnel lié aux systèmes d'information. Ces différents acteurs du risque opérationnel (brut et résiduel) peuvent : le définir, l’évaluer, valider cette évaluation, le comptabiliser, l’assumer dans le temps, définir des plans d’action pour le maîtriser, gérer ces plans d’action.... Le risque brut existe de par l’imperfection des processus et des aléas internes et externes. Le risque résiduel est celui qui reste après avoir pris en compte les mesures préventives, curatives, de contrôle (permanent), procédurales... L’objet du groupe de travail est de débattre de ces sujets et bien clarifier ces concepts ainsi que les rôles de chacun. Il n’est pas d’aboutir à un modèle organisationnel idéal mais plutôt de bien poser la question afin que chaque établissement – en fonction de sa culture, de sa maturité et ses valeurs – puisse composer son organisation sur des définitions claires et partagées. Le livrable final pourrait contenir : Les responsabilités de chaque acteur vis-à-vis de la gestion / maîtrise du risque ; Les rôles types dans la gestion du risque ; Éventuellement des modèles théoriques d’organisation ; Des diagrammes de relation entre les acteurs. Les fonctions concernées par ce groupe de travail viennent de plusieurs horizons car elles concourent toutes :** Responsable continuité (RPCA) ; Responsable sécurité de l’information (RSSI/CISO) ; Responsable de la sûreté ; Responsable du risque opérationnel ; Responsable du contrôle permanent ; Responsable du contrôle périodique ; Responsable de la gouvernance du système d’information, de sa politique, des processus... ; Les responsables de processus, d’organisation, d’amélioration des processus... * Avec la contribution de Thales Security Systems S.A.S
Mentions légales Forum des Compétences - 15 rue Taitbout - 75009 PARIS Tél : 01 48 01 69 69 - Télécopie : 01 48 01 69 68