Qu’est-ce qu’un processus de gestion des risques et pourquoi est-il nécessaire?

Le risque représente tout type d’incertitude qui peut améliorer ou réduire la capacité d’atteindre vos objectifs. Elle peut prendre de nombreuses formes, y compris des risques affectant les projets, les finances, la sécurité et la confidentialité, et l’environnement. Pour les risques positifs (opportunités) ou négatifs, vous avez besoin d’une approche intentionnelle pour comprendre l’équilibre entre risque et récompense. Cet article se concentre sur le processus de gestion des risques qui pourraient avoir un impact négatif sur votre organisation; des processus similaires s’appliquent pour déterminer comment exploiter l’incertitude bénéfique, c’est-à-dire le risque positif.

L’histoire récente a mis en évidence l’impact que les facteurs de risque peuvent avoir sur le fonctionnement des entreprises et des particuliers — et sur la possibilité qu’ils puissent continuer à le faire. La capacité à mieux gérer les risques que les concurrents contribuera certainement au succès de l’entreprise. Ne pas le faire pourrait entraîner un désastre, peut-être au-delà du rétablissement.

Pour ces raisons, il est important d’appliquer un processus de gestion des risques éprouvé et cohérent. Lorsqu’il repose sur une base solide de compréhension des buts, des objectifs et du contexte interne / externe de l’organisation, un processus de gestion des risques aidera à assurer le succès de votre organisation.

Quelles sont les 5 étapes du processus de gestion des risques ?

De nombreux corpus de connaissances ont documenté la gestion des risques, mais le plus connu est peut-être celui de l’Organisation internationale de normalisation, ou ISO. La norme ISO 31000, Gestion des risques Guidelines Lignes directrices, comprend des informations détaillées sur la manière de communiquer sur les divers risques, de les gérer et de les surveiller. Le processus est essentiellement le même pour tout type d’entité et comprend les cinq étapes suivantes:

Cet article fait partie de

Qu’est-ce que la gestion des risques et pourquoi est-elle importante?

  • Qui comprend également :
  • gouvernance, gestion des risques et conformité (GRC)
  • évitement des risques
  • carte des risques (carte thermique des risques)

  1. Identifier les risques.
  2. Analysez la probabilité et l’impact de chacun.
  3. Hiérarchiser les risques en fonction des objectifs de l’entreprise.
  4. Traiter (ou répondre) aux conditions de risque.
  5. Surveillez les résultats et utilisez-les pour les ajuster, au besoin.

Bien que ces étapes soient simples, chaque entreprise a des facteurs uniques qui influent sur la façon dont elle doit gérer et surveiller les risques. Pour déterminer et appliquer ces facteurs, il est utile d’appliquer un cadre de gestion des risques dans le cadre d’une approche globale de planification, d’exécution et de suivi de la gestion globale des divers risques.

 Cinq étapes du processus de gestion des risques
Figure 1. Un processus efficace de gestion des risques nécessite ces cinq étapes.

Il est également important de garder à l’esprit que l’objectif du processus de gestion des risques, dans le contexte d’un cadre général, n’est pas d’éliminer complètement tous les risques, mais de déterminer des niveaux de risque acceptables, compte tenu de vos objectifs, puis de travailler à maintenir ces facteurs de risque dans les limites convenues. Les étapes ci-dessous aideront à déterminer et à appliquer des actions spécifiques pour le faire.

Identifier les risques

La première étape consiste à déterminer les risques potentiels eux-mêmes. Cela nécessite un contexte: Pour considérer ce qui pourrait mal tourner, il faut commencer par ce qui doit bien se passer.

Commencez le processus par un examen de vos buts et objectifs et des diverses ressources ou actifs qui les permettent. Les praticiens du risque appliquent souvent une approche descendante et ascendante pour réfléchir à ce qui pourrait entraver ces objectifs.

La partie descendante examine les programmes essentiels à la mission qui ne devraient pas être compromis (comme les transactions de vente dans un magasin de détail ou les processus de fabrication dans une usine); elle énumère ensuite les conditions qui pourraient nuire à ces programmes.

Pour la partie ascendante, on peut considérer diverses sources de menaces connues (comme les tremblements de terre, les attaques de ransomware ou les ralentissements économiques) et réfléchir à l’impact que celles-ci pourraient avoir sur l’entreprise.

Comme le risque est, par définition, toute incertitude qui affecte les objectifs, un risque n’est un risque que s’il a un impact. Plus un risque est percutant, plus la priorité est élevée. L’analyse de cette priorité se fera à l’étape suivante, mais il faut d’abord tenir compte des divers facteurs de risque pour créer un scénario qui puisse être mesuré.

Le Rapport interinstitutions du NIST (NISTIR) 8286AIdentifying  » Identifier et estimer le risque de cybersécurité pour la Gestion des risques d’entreprise (GRE)  » provides fournit des conseils sur l’élaboration de scénarios de risque. Selon le rapport, les quatre éléments suivants sont nécessaires pour décrire un risque négatif (voir Figure 2):

  1. un bien ou une ressource précieux qui serait touché;
  2. une source d’une action menaçante qui agirait contre cet actif;
  3. une condition préexistante (ou une vulnérabilité) qui permet à cette source de menace d’agir ; et
  4. un impact néfaste qui se produit à partir de la source de menace exploitant cette vulnérabilité.

Avec ces blocs de construction, on peut composer un large ensemble de scénarios de risque à analyser, trier et traiter. Décrire le risque comme un scénario aide à communiquer les conditions de risque et à analyser la probabilité et l’impact du risque. Cela facilite également la réflexion sur la façon de réagir. Un exemple de scénario pourrait être: « L’usine de fabrication est touchée par une panne de courant résultant d’une tempête tropicale, perturbant les opérations de l’usine pendant plusieurs jours. »

 Attributs d'un risque négatif
Figure 2. Un risque négatif est défini comme ayant ces quatre attributs.

Bien que le recul ne soit jamais parfait, il fournit un aperçu utile des événements à risque qui pourraient se produire à l’avenir. En particulier, il peut être utile d’examiner les manchettes sur les risques auxquels des entreprises similaires ont fait face, les conditions qui les ont permis et la façon dont les risques ont eu un impact sur les organisations.

Catégories de risque

En considérant divers types de risque, il peut être utile de les organiser en catégories. Cette catégorisation permet à chaque type de risque d’être pris en compte et suivi par des personnes ou des équipes qui connaissent des sujets particuliers. Par exemple, le Comité des organisations de parrainage de la Commission Treadway, une initiative conjointe d’organisations professionnelles qui fournit des conseils en matière de gestion des risques, a suggéré que les risques puissent être organisés en quatre domaines::

  • risque stratégique (p. ex., réputation, relations avec la clientèle, innovation technique);
  • risque financier et de rapport (p. ex., marché, fiscalité, crédit);
  • risque de conformité et de gouvernance (p. ex., éthique, réglementation, commerce international, vie privée); et
  • risque opérationnel (p. ex., sécurité et confidentialité de l’information et de la technologie, chaîne d’approvisionnement, problèmes de main-d’œuvre, catastrophes naturelles).

Les catégories de risques aident également à intégrer l’information au fur et à mesure que les gestionnaires communiquent, suivent et ajustent la réponse aux risques. Pour chaque catégorie de risque, un processus intentionnel d’élaboration des scénarios garantira que la liste est suffisamment complète. De nombreux outils sont disponibles pour aider à visualiser et à évaluer les scénarios. Les exemples incluent les suivants:

  • structures de répartition des risques pour les risques liés aux projets (p. ex.,  » Utilisez une structure de répartition des risques (RBS) pour comprendre vos risques « ) ;
  • arbres de menaces pour le risque de cybersécurité (par exemple, la méthodologie OCTAVE Allegro de Carnegie Mellon) ; et
  • Exercices Delphi pour prendre en compte le risque d’investissement.

La dernière composante de cette première étape, l’identification des risques, consiste à consigner les résultats dans un registre des risques. Le registre des risques permet de communiquer et de suivre les différents risques tout au long des étapes suivantes. Le rapport NISTIR 8286 cité ci-dessus fournit un exemple d’un tel registre, ainsi qu’un modèle de détail des risques dans lequel enregistrer de nombreux résultats des étapes du processus de gestion des risques.

Analyser la probabilité et l’impact du risque

Comme il est mentionné ci-dessus, un risque n’est un risque que s’il a un impact, la deuxième étape du processus de gestion du risque consiste donc à analyser la probabilité qu’un risque se produise et qu’il aura un impact mesurable.

Il y a toute une science dans l’analyse des risques, mais essentiellement cette étape est un calcul de la probabilité qu’un événement à risque se produise et une estimation de l’impact des conséquences si cela se produisait. Bien qu’il y ait souvent un impact immédiat, il peut également y avoir d’autres conséquences ultérieures, il est donc important de prendre en compte chacun de ces facteurs dans les calculs. Considérez la perte d’un ordinateur portable contenant les dossiers de santé des patients there il y aura une perte de propriété immédiate, mais la perte de ces informations sur les patients pourrait entraîner des amendes, des poursuites et des dommages à la réputation qui dépassent de loin le coût de l’appareil perdu.

L’analyse des risques devrait inclure des facteurs temporels dans le calcul. Les systèmes d’information financière sont souvent considérés comme essentiels, mais pendant la période de préparation des déclarations fiscales, leurs besoins en matière d’intégrité et de disponibilité peuvent être particulièrement importants. La fréquence des événements à risque est un autre facteur temporel à considérer.

De nombreuses organisations utilisent des termes généraux ou qualitatifs pour exprimer ces valeurs. Par exemple, nous utilisons souvent des termes tels que « risque élevé » ou « faible probabilité » pour communiquer le risque, ou peut-être utilisons des combinaisons de couleurs rouge-jaune-vert. Les organisations peuvent bénéficier d’une approche quantitative plus scientifique et spécifique de l’analyse des risques. Par exemple, l’approche de l’Analyse factorielle du risque d’information (FAIR), instanciée dans la norme OpenFAIR du groupe Open, peut être utilisée pour effectuer des calculs de risque détaillés qui peuvent être plus utiles que les couleurs pour l’estimation.

Il existe des dizaines de méthodes pour effectuer des analyses de risques qualitatives et quantitatives, dont beaucoup sont décrites dans la norme ISO/ CEI (Commission Électrotechnique internationale) 31010, « Gestion des risques techniques Techniques d’évaluation des risques. » Cette publication souligne que les techniques  » sont utilisées dans les étapes d’évaluation des risques d’identification, d’analyse et d’évaluation des risques décrites dans la norme ISO 31000, et plus généralement chaque fois qu’il est nécessaire de comprendre l’incertitude et ses effets. »

Hiérarchiser en fonction des objectifs de l’entreprise

Les résultats de l’analyse des risques permettent de trier et de classer les risques en fonction de leur importance. Étant donné que les ressources sont susceptibles d’être limitées, la hiérarchisation permet de mettre en évidence les risques les plus probables et les plus impactants. Refléter ces résultats dans une carte des risques permet de visualiser l’importance relative de chaque risque et peut également être utile pour partager les observations sur les risques avec d’autres intervenants, en particulier ceux qui peuvent fournir (ou autoriser) des ressources pour réagir à ces risques.

Bien que la priorisation initiale des risques puisse être basée sur la combinaison de la probabilité et de l’impact, le classement final pourrait être influencé par des facteurs importants pour ces intervenants. Par exemple, si les dirigeants ont exprimé que la confiance des clients est une valeur clé pour l’entreprise, les risques susceptibles d’avoir un impact sur les clients pourraient être mis en évidence.

Traiter les risques de manière rentable

Avec une liste de risques hiérarchisée en place, l’étape suivante consiste à évaluer les options disponibles pour traiter ces risques et à appliquer diverses méthodes et contrôles pour atteindre un niveau de risque acceptable. Plusieurs options sont disponibles pour le faire, notamment les suivantes:

  • Si le risque, en fonction de l’appétit du leadership pour le risque, est déjà à un niveau acceptable, aucun traitement supplémentaire n’est nécessaire.
  • S’il est possible de partager une partie de l’impact avec une autre entité (p. ex., une compagnie d’assurance, un prestataire de services externe), alors une partie du risque peut être transférée de cette manière.
  • Dans la mesure du possible, divers contrôles de gestion, techniques et administratifs des risques peuvent être appliqués afin de réduire la probabilité ou l’impact de chaque risque à un niveau acceptable.
  • Si aucune de ces méthodes de réponse au risque ne peut être appliquée, les gestionnaires de risques doivent éviter le risque en éliminant les activités ou les expositions qui permettraient le scénario envisagé.

Il est important de s’assurer que les méthodes appliquées sont à la fois efficaces et rentables. Cette approche explique pourquoi une banque peut utiliser une chaîne de 20 cents pour protéger un stylo à encre et un coffre-fort d’un million de dollars pour protéger ses réserves de trésorerie. Les ressources nécessaires pour traiter le risque doivent être proportionnelles aux actifs protégés.

Surveiller les résultats de la gestion des risques

Même après chacune des étapes ci-dessus, il est important que les résultats soient suivis et surveillés pour s’assurer que les risques demeurent dans les limites établies par les dirigeants de l’organisation. Les conditions de risque peuvent changer rapidement, la valeur des actifs peut fluctuer et les préférences des parties prenantes peuvent changer. Une partie essentielle de la surveillance consiste à s’assurer que les gestionnaires et les hauts dirigeants sont informés des progrès réalisés vers les objectifs de risque et des changements qui pourraient avoir un impact organisationnel. Le cycle est similaire au cycle PDSA (Plan-Do-Study-Act) popularisé par le Dr W. Edwards Deming, permettant une amélioration continue du processus de gestion des risques. Au fur et à mesure que diverses équipes de l’organisation prennent des mesures pour identifier, analyser et réagir aux risques, les résultats éclairent et affinent la prochaine itération.

Conclusion

Grâce à l’application de ces étapes, dans le contexte d’un cadre plus large de gouvernance et de gestion, les organisations peuvent identifier de manière cohérente les risques susceptibles d’avoir un impact néfaste, puis prioriser un traitement rentable et surveiller les résultats pour maintenir une amélioration continue.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.