Ton registre des risques est un fossile (et par quoi le remplacer)
La première fois que j'ai vu un registre des risques qui comptait vraiment, c'était une page A4. Douze risques. Au présent. Une colonne intitulée « ce qu'on surveille cette semaine ». Voilà pourquoi la plupart des registres sont morts le jour de leur approbation — et comment garder le tien vivant.
La première fois que j'ai vu un registre des risques qui comptait vraiment, j'ai failli ne pas le reconnaître.
C'était en 2019. Je consultais chez un acteur de paiements, et le Chief Risk Officer a sorti une seule feuille. Pas un tableur. Pas un dashboard Power BI. Une A4 avec douze risques, chacun écrit au présent — « Notre cycle de réconciliation suppose un settlement à T+1, mais notre nouveau corridor est en T+0 » — et une colonne intitulée « Ce qu'on surveille cette semaine ».
C'était tout le registre.
J'avais vu des registres, évidemment. Souvent des tableurs de 400 lignes. Color-coded. Heat-mapés. Revus chaque trimestre. Ça avait l'air sérieux. Ça avait l'air risk-managé.
Mais face à cette A4 du CRO, j'ai admis quelque chose que j'évitais depuis des années. La plupart des registres des risques sont des fossiles.
Le problème
Un fossile, c'est ce qui reste quand quelque chose a été vivant.
C'est ce que sont la majorité des registres. À un moment, une équipe s'est assise dans une salle, a brainstormé toutes les menaces imaginables, les a notées en probabilité et impact, mappées sur une grille 5×5, et déclaré le job fait. Le registre était vivant pendant ces quatre heures. À l'arrivée du board pack, il était déjà calcifié.
On reconnaît un fossile au fait que personne ne le conteste.
Les choses vivantes provoquent du désaccord. Elles surprennent. Elles changent quand le contexte change. Un vrai risque — disons celui qui pourrait emporter l'entreprise dans 18 mois — c'est celui sur lequel ton équipe n'arrive pas à s'aligner. Celui qui est à cheval entre deux fonctions, n'entre dans aucune catégorie, et met les gens mal à l'aise quand on le soulève.
Ce genre de risque n'arrive presque jamais sur le registre, parce que le registre est conçu pour qu'on soit d'accord avec.
Pourquoi ça compte plus que tu ne crois
Voilà ce qui se passe quand ton registre est un fossile.
Ton plan d'audit, qui est risk-based, dérive du registre. Donc tes missions pointent les risques de l'an dernier. Ta bibliothèque de contrôles, qui est risk-mappée, accumule des contrôles contre des menaces qui ne bougent plus. Tes KRIs, dérivés du risque, suivent des indicateurs retardés de préoccupations mortes.
Tout le modèle GRC en aval hérite de la fossilisation.
Pendant ce temps, les vrais risques — ceux qui bougent — n'entrent jamais dans le système. Ils vivent dans des threads Slack, dans des remarques de couloir à l'offsite, dans le ventre du CFO. Quand l'un d'eux atterrit, le post-mortem dit toujours la même chose : « Ce risque n'était pas au registre. » Et la réponse, à chaque fois, c'est d'élargir le registre.
Or le registre n'est pas sous-dimensionné. Il est sur-ajusté à un moment déjà passé.
J'ai vu trois entreprises de trois secteurs perdre de l'argent sérieusement sur des risques évidents pour n'importe qui dans l'opérationnel, et invisibles pour l'équipe GRC. À chaque fois, la réponse a été un plus gros registre. À chaque fois, le near-miss de l'année suivante venait d'un endroit complètement différent.
C'est comme ça que le risk management devient discrètement du théâtre.
La solution
Ce que ce CRO et sa page A4 m'ont appris est simple. Je te le donne en trois mouvements.
1. Sépare l'inventaire de la conversation
Tu as toujours besoin d'un inventaire des risques. Sa place est dans une base de données, pas dans le board pack. Traite-le comme une bibliothèque de contrôles — un actif de référence, pas un actif de décision. Personne ne pilote l'entreprise en lisant la bibliothèque de contrôles, et personne ne devrait piloter le risque en lisant le registre.
2. Tiens un registre mouvant
Une liste courte et opinée des risques que tu surveilles activement ce trimestre. Maximum 10 à 15. Chacun en langage clair, au présent, avec un nom attaché. C'est le document sur lequel le comex devrait s'engueuler. S'ils ne s'engueulent pas, c'est déjà un fossile.
3. Construis une surface forward-looking
C'est la partie la plus dure. Tu as besoin d'une manière structurée d'absorber des signaux faibles — issus des findings d'audit interne, des incidents opérationnels, des évolutions réglementaires, des événements de marché — et de les laisser pousser des risques sur et hors du registre mouvant. Dans les plateformes GRC modernes, ça ressemble à une couche événementielle : les domain events entrent dans le système, des agents comme RiskSentinel les scorent contre ton registre, et les risques sont réordonnés chaque semaine.
Le sujet n'est pas la techno. Le sujet, c'est que le risque est un flux, pas une liste. La liste est l'instantané du flux. Au moment où l'instantané devient l'artefact, tu gères des fossiles.
Un reframe qui peut aider
Essaie ça : chaque trimestre, pose à ton équipe une question simple.
« Si on supprimait tout le registre demain et qu'on le reconstruisait de zéro, en deux heures, avec uniquement les risques que tu jures réels — à quoi ressemblerait la nouvelle liste ? »
Compare-la au registre actuel.
Le recoupement, c'est ton risque vivant. Le hors-recoupement du registre actuel, c'est ton fossile. Le hors-recoupement de la liste reconstruite, c'est ton angle mort — les risques que tu portes dans ta tête sans leur avoir donné de ligne dans un tableur.
L'exercice est inconfortable. Certains trimestres, notre delta est de 60 %. Ça me dit que le registre dérive et que l'équipe compense informellement. C'est un échec de l'outillage GRC, pas de l'équipe.
Pour finir
Je vais dire ce que tout chief risk officer sait secrètement.
Le registre des risques, tel qu'il est implémenté dans la plupart des boîtes, n'est pas l'endroit où le risk management se passe. Le risk management se passe dans les conversations entre le CRO, le CFO, les heads d'ops, et l'audit committee. Le registre est le reçu de ces conversations.
Quand le reçu devient plus important que la conversation, tu as un fossile sur les bras.
Le job, c'est de garder le registre vivant — assez court pour qu'on en débatte, assez mouvant pour qu'il surprenne, assez ancré pour qu'il connecte le plan d'audit, les contrôles, et le reporting. Ce n'est pas un livrable. C'est une discipline.