Gestion des risques
Introduction
La gestion des risques nous permet de créer une culture de sensibilisation aux risques et de responsabilité dans toute l’organisation. En favorisant une approche systématique et structurée de la gestion des risques, cela améliore les processus décisionnels, optimise l’allocation des ressources et, en fin de compte, protège la réalisation de nos objectifs stratégiques.
Nos principes directeurs
Les risques sont classés en fonction de leur impact sur les activités du Groupe Altus .
Les évaluations des risques sont effectuées sur les actifs ou les processus commerciaux au sein du Groupe Altus ou de toute entité externe ayant signé un accord tiers avec le Groupe Altus
Des mesures d'atténuation appropriées sont sélectionnées pour répondre aux risques identifiés.
Identification des risques
L'identification des risques permet d'identifier les menaces potentielles avant qu'elles ne causent des dommages et aide à prendre des décisions judicieuses basées sur des informations précises. L'identification des menaces potentielles pour le Groupe Altus inclut les menaces internes et externes.
Les risques potentiels sont identifiés grâce à des évaluations régulières des risques, des rapports d'incidents ou des examens (internes/externes)
Les risques identifiés sont attribués à un propriétaire de risque.
Les actifs et les processus sont clairement identifiés en fonction de leurs sources de menace.
L'identification des risques comprend les menaces identifiées et leur impact sur les processus commerciaux et les actifs du Groupe Altus .
L'évaluation des risques
Même si l’objectif de l’évaluation des risques inclut la prévention des risques, il ne sera pas toujours réalisable dans la pratique. Lorsqu'il n'est pas possible d'éliminer les risques, ceux-ci doivent être réduits et le risque résiduel contrôlé. L'évaluation des risques, y compris la probabilité et l'ampleur des dommages causés aux processus commerciaux et aux actifs du Groupe Altus, respecte ces exigences.
Le processus d'évaluation des risques utilise les résultats du processus d'identification des risques.
Tous les risques identifiés font l’objet d’une analyse et d’une évaluation des risques.
Les résultats de l’évaluation des risques sont documentés.
Les résultats de l’évaluation des risques sont examinés périodiquement.
Les résultats de l’évaluation des risques sont partagés avec les parties prenantes et les propriétaires des risques.
Les évaluations des risques sont mises à jour chaque fois qu'il y a des changements importants dans les processus métier, le contexte commercial ou les actifs.
Traitement des risques
Le traitement des risques identifiés est mis en œuvre pour réduire le risque à un niveau acceptable. Les propriétaires des risques sont responsables de la mise en œuvre des mesures d’atténuation et du processus de reporting. Le traitement des risques identifiés comprend l'une ou une combinaison des options suivantes : atténuation des risques, transfert des risques, acceptation des risques ou évitement des risques.
Un plan de traitement des risques est en place pour tous les risques identifiés.
Le traitement est un processus itératif.
Atténuation des risques
Notre atténuation des risques implique l’introduction ou la modification de contrôles qui réduisent l’évaluation globale du risque – en réduisant l’impact, la probabilité ou les deux. L’objectif est de réduire le risque à un niveau évalué comme étant dans les limites de tolérance.
Tous les risques identifiés ont des contrôles planifiés identifiés.
Acceptation du risque
Le but de l'acceptation du risque est de confirmer formellement que le propriétaire du processus concerné, le propriétaire de l'actif et les parties prenantes sont conscients du risque, et qu'ils confirment que les activités visant à réduire le risque à un niveau conforme à la tolérance au risque du Groupe Altus ne sont pas en cours ou nécessitera des ressources et du temps importants pour sa mise en œuvre.
Une acceptation du risque est approuvée par le propriétaire de l'actif ou du processus métier concerné.