Risk & control matrix (RCM)
Une risk & control matrix relie les risques présents dans vos processus aux contrôles qui les couvrent. C'est le cœur de la maîtrise des risques dans les processus : elle montre ce qui peut mal tourner, comment vous le maîtrisez, qui en est responsable et où subsistent des trous.
Qu'est-ce qu'une risk & control matrix ?
La risk & control matrix (RCM), aussi appelée risk-control matrix ou matrice de contrôles, est une vue d'ensemble structurée qui relie chaque risque aux contrôles qui le couvrent. Là où un registre des risques se contente de lister ce qui peut mal tourner, la RCM ajoute l'autre moitié : comment vous le maîtrisez. Par ligne, vous voyez le risque, le contrôle associé, le propriétaire, la fréquence et l'efficacité.
Cette combinaison fait de la RCM la pièce maîtresse du contrôle interne et de l'audit. C'est la base pour démontrer qu'une organisation est sous contrôle : non pas avec des mots, mais avec un lien traçable entre le risque et la mesure.
De quoi se compose une RCM ?
Les colonnes exactes varient d'une organisation à l'autre, mais une risk & control matrix exploitable contient presque toujours les éléments suivants :
| Élément | Ce que vous consignez |
|---|---|
| Étape de processus | L'activité à laquelle le risque s'applique — le point d'ancrage de la RCM. |
| Risque | Ce qui peut mal tourner, et pourquoi cela affecte les objectifs. |
| Cause & effet | La source du risque et l'impact s'il se réalise. |
| Probabilité × impact | L'estimation de la probabilité et de la gravité, souvent sous forme de risque brut et net. |
| Mesure de maîtrise (contrôle) | La mesure qui réduit ou détecte le risque. |
| Type de contrôle | Préventif ou détectif, et manuel ou automatisé. |
| Fréquence | À quelle fréquence le contrôle est exécuté — en continu, quotidiennement, à chaque événement. |
| Propriétaire | Qui est responsable du bon fonctionnement du contrôle. |
De nombreuses organisations travaillent avec un risque brut et un risque net : le risque brut est l'estimation avant maîtrise, le risque net le risque résiduel qui subsiste ensuite. L'écart montre ce que les contrôles apportent réellement.
Contrôles préventifs vs. détectifs
Les contrôles se répartissent globalement en deux types. Une bonne RCM équilibre les deux, et distingue en outre les contrôles manuels des contrôles automatisés — ces derniers étant généralement plus fiables et plus faciles à tester.
Préventif
Empêche qu'un risque ne se produise. Par exemple la séparation des tâches, une deuxième approbation obligatoire avant un paiement, ou des validations système qui bloquent les saisies erronées.
Détectif
Signale a posteriori que quelque chose a mal tourné. Par exemple des rapprochements périodiques, des rapports d'exceptions ou une revue des fichiers journaux. Indispensable en complément de la prévention.
La maîtrise des risques dans les processus
Les risques ne naissent pas dans un registre — ils naissent dans le travail. Une facture payée sans contrôle, une modification mise en production sans revue, des données qui passent entre de mauvaises mains : autant de risques qui se situent sur une étape de processus précise. Pourtant, de nombreuses organisations gèrent leur RCM comme un document autonome, séparé des processus qu'il décrit.
Cela dérape dès que le processus change. Le contrôle que vous avez décrit il y a des mois ne correspond plus à la nouvelle façon de travailler — mais vous ne vous en apercevez qu'au prochain audit. La solution consiste à relier les risques et les contrôles à l'étape de processus, afin que la maîtrise et le processus évoluent ensemble. Vous voyez alors d'un seul coup d'œil quelles étapes sont insuffisamment couvertes, et quels rôles (via la matrice RASCI) sont impliqués dans ce contrôle.
Comment construire une risk & control matrix
- 1
Choisissez le périmètre
Déterminez quel processus ou quels processus vous intégrez dans la RCM et jusqu'à quel niveau de détail.
- 2
Recensez les risques par étape
Parcourez les étapes de processus et, pour chaque étape, nommez ce qui peut mal tourner, avec la cause et l'effet.
- 3
Évaluez le risque
Estimez la probabilité et l'impact (risque brut) pour prioriser là où la maîtrise est nécessaire.
- 4
Rattachez les contrôles
Attribuez un ou plusieurs contrôles par risque et consignez s'ils sont préventifs ou détectifs.
- 5
Définissez le propriétaire et la fréquence
Consignez qui exécute le contrôle et à quelle fréquence, afin que son fonctionnement soit vérifiable.
- 6
Évaluez le risque net
Déterminez le risque résiduel après maîtrise et répétez le cycle périodiquement.
Une RCM vivante et reliée
La différence entre une RCM qui fonctionne et une RCM qui se périme tient au lien. Dans Proceshuis, la risk & control matrix est un objet vivant et relié plutôt qu'un registre séparé : les risques et les contrôles sont rattachés directement à l'étape de processus, avec les rôles, systèmes et données de cette même étape. Lorsque le processus change, la maîtrise change avec lui. Et chaque modification apportée à un risque ou à un contrôle est traçable sur l'activité elle-même — qui a modifié quoi, et quand — de sorte que vous pouvez démontrer le bon fonctionnement de votre maîtrise.
Vous soutenez ainsi les modes de fonctionnement derrière des cadres comme Three Lines of Defense, ISO 27001 et RGPD — en modélisant sur le processus les risques, contrôles et propriétaires associés. Soyez toutefois honnête sur ce qui est intégré et ce qui ne l'est pas : à ce jour, le benchmark APQC est réellement intégré et restitué, avec un pourcentage de couverture. Les référentiels normatifs cités sont des modes de fonctionnement pris en charge ; cette couche de référentiel normatif clé en main, nous la développons progressivement.
Risque ↔ contrôle ↔ processus, dans un seul modèle
Pas de registre séparé qui se périme, mais une maîtrise rattachée à l'étape de processus — avec RASCI et la couverture APQC. C'est ainsi que vous démontrez que vous êtes sous contrôle.
Questions fréquentes sur la risk & control matrix
Qu'est-ce qu'une risk & control matrix (RCM) ?+–
Une risk & control matrix est une vue d'ensemble qui définit, pour chaque risque, quelle mesure de maîtrise (contrôle) couvre ce risque, qui en est le propriétaire, à quelle fréquence le contrôle est exécuté et quelle est son efficacité. La RCM relie les risques aux contrôles, idéalement rattachés à l'étape de processus à laquelle ils s'appliquent.
Quelle est la différence entre un registre des risques et une risk & control matrix ?+–
Un registre des risques énumère les risques. Une risk & control matrix va plus loin et rattache à chaque risque les contrôles, avec le propriétaire, la fréquence et l'efficacité. La RCM montre donc non seulement ce qui peut mal tourner, mais aussi comment vous le maîtrisez.
Quelle est la différence entre un contrôle préventif et un contrôle détectif ?+–
Un contrôle préventif empêche qu'un risque ne se produise — par exemple une deuxième approbation obligatoire avant un paiement. Un contrôle détectif signale a posteriori que quelque chose a mal tourné — par exemple un rapprochement périodique ou un rapport d'exceptions. Une maîtrise saine combine les deux.
Pourquoi relier les risques et les contrôles au processus ?+–
Parce que les risques naissent dans le travail lui-même. Un registre des risques isolé se périme dès que le processus change. Si vous reliez vos risques et vos contrôles à l'étape de processus, la maîtrise continue d'évoluer avec le processus et vous voyez immédiatement quelles étapes sont insuffisamment couvertes.
Proceshuis prend-il en charge Three Lines of Defense et ISO 27001 ?+–
Proceshuis prend en charge ces modes de fonctionnement en vous permettant de modéliser les risques, contrôles, rôles et propriétaires associés et de les relier au processus. C'est différent d'un référentiel normatif clé en main : à ce jour, APQC est intégré et restitué ; la couche de référentiel normatif, nous la développons progressivement.