L’ensemble du dispositif doit être adapté aux caractéristiques propres de chaque entité. Néanmoins, quelle que soit l’organisation considérée, la mise en oeuvre des 15 pratiques suivantes pourrait garantir l’efficacité du système.
15 pratiques :
1. L’appétence aux risques est définie par le conseil ;
2. les responsabilités en matière de gestion des risques (y compris les problématiques de délégation) sont clairement définies et diffusées au sein de l’entité ;
- Analyse de l’exposition aux risques :
3. le recensement des événements potentiels susceptibles d’avoir un impact sur les objectifs de la société est réalisé de manière exhaustive. Et l’univers des risques est régulièrement mis à jour
4. les événements négatifs (internes ou externes) pouvant générer des risques sont analysés
5. les risques et leurs incidences potentielles sont évalués ;
6. les réponses aux risques sont élaborées ;
7. les risques résiduels sont analysés en lien avec le niveau de risque acceptable tel que défini par le conseil ;
8. les activités de contrôle sont mises en oeuvre dans chaque processus de l’organisation ;
9. les activités de contrôle font l’objet d’une évaluation ou auto-évaluation ;
10. les activités de contrôle sont supervisées par des fonctions de surveillance ;
11. l’évaluation des activités de contrôle fait l’objet d’une revue indépendante ;
12. des indicateurs-clés de performance relatifs au dispositif de gestion des risques sont définis et suivis ;
13. les plans de remédiation font l’objet d’un suivi documenté ;
14. les incidents avérés sont recensés et analysés ;
15. les objectifs et la stratégie du dispositif sont régulièrement mis à jour.
In fine, suivre l’efficacité d’un système revient à suivre le niveau de réalisation de ses objectifs. Cela suppose qu’il en existe une mesure, une évaluation.