C’est quoi le management des risques ?

Qu’est-ce que la gestion- des risques ?

La mangement des risques englobe l’identification, l’analyse et la réponse aux facteurs de risque qui font partie de la vie d’une entreprise.

Une gestion efficace des risques consiste à tenter de contrôler, autant que possible, les résultats futurs en agissant de manière proactive plutôt que réactive.

Par conséquent, une gestion efficace des risques offre la possibilité de réduire à la fois la possibilité qu’un risque se produise et son impact potentiel.

Management du risque – Risk Management : définition

Le management des risques ou risk management est une discipline complexe qui nécessite une bonne compréhension des processus d’identification, d’analyse et d’évaluation des risques auxquels une entreprise peut être exposée. Il est important de travailler en étroite collaboration avec les différentes parties prenantes de l’entreprise, notamment les dirigeants, les employés, les fournisseurs et les clients.

Le management des risques peut etre appliqué à toutes organismes de tous types et de toutes tailles sont confrontés à des facteurs et des influences internes et externes qui rendent l’atteinte de leurs objectifs incertaine.

Le management du risque fait partie intégrante de la gouvernance et du leadership et a une importance fondamentale dans la façon dont l’organisme est géré à tous les niveaux. Il contribue à l’amélioration des systèmes de management.

Le management des risques est une approche systématique pour gérer les incertitudes et les dangers qui pourraient affecter les objectifs d’une organisation. Cette approche permet aux organisations de maximiser les opportunités et de minimiser les menaces associées aux risques. Le risk management repose sur quatre principes fondamentaux :

– Identifier les risques : une fois identifiés, ils peuvent être évalués et gérés de manière appropriée.

– Analyser les risques : après identifiés ils doivent être analysés pour déterminer leur impact sur les objectifs de l’organisation.

– Gérer les risques : après passé la phase d’analyse, ils doivent être gérés de manière à minimiser leur impact sur les objectifs de l’organisation.

– Suivre les risques : une fois que les risques ont été gérés, ils doivent être suivis de manière à s’assurer qu’ils n’affectent pas les objectifs de l’organisation.

Dans plusieurs entreprises pour leur gestion de risques faire réaccours a des équipes spécialisées pilotées par le risk manager. C’est un gestionnaire de risques est responsable de l’analyse, de l’évaluation et du traitement des risques auxquels l’organisation est confrontée : Exemple les risques financiers.

Il assiste les organisations en ce qui concerne tout type de risque susceptible d’affecter la rentabilité de l’organisation et développe des stratégies et des processus pour gérer ces risques commerciaux et assurer la continuité des activités. Le rôle du gestionnaire de risques est tout à fait essentiel pour le bon fonctionnement d’une entreprise.

Définition du risque

Le risque est défini comme la probabilité qu’un événement indésirable se produise. Le risque peut être causé par des facteurs internes ou externes à l’entreprise. Les risques internes comprennent les erreurs de l’entreprise, les mauvaises décisions et les problèmes de gestion, et les externes comprennent les changements économiques, les catastrophes naturelles et les actions de la concurrence.

Définition du risque selon iso 31000 ?

Elle définit le risque comme l’effet de l’incertitude sur les objectifs. Cela signifie que chaque processus comporte un élément de risque qui doit être géré et que chaque résultat est incertain. Elle est définie en termes d’objectifs qui fournissent une définition conceptuelle du risque.

Le processus de Management qu’elle propose, complète ceux existants en y intégrant par exemple la prise en compte explicite du contexte dans lequel le risque est étudié.

voir l’article : Définition de la gestion des risques selon iso 31000:2018 télécharger gratuitement PDF Download free

Quels sont les 4 risques de l’entreprise ?

Il existe différents types de risques auxquels une entreprise peut être confrontée.

1. Les risques financiers comprennent le risque de perte d’investissement, le risque de crédit et le risque de change.
2. Les risques opérationnels comprennent le risque de production, le risque de distribution et le risque de wetware.
3. Les risques technologiques comprennent le risque de dépendance aux technologies, le risque de piratage et le risque de défaillance des systèmes.
4. Les risques juridiques et réglementaires comprennent le risque de poursuites, le risque de non-respect des lois et le risque de sanctions.

Quelles sont les différentes approches de management des risques ?

L’Approche Bottom-up

Cette approche, dite ascendante consiste en l’identification des risques par les opérations qui sont les plus impliqués dans les processus. Ces risques sont ensuite soumis à la hiérarchie (audit ou riskmanager) dont la charge est de déterminer l’importance et la politique de maîtrise de chacun des risques

Pour MARESCHAL(Gilbert de Mareschal, La cartographie des risques.AFNOR- Ed.2003) , il s’agit donc d’effectuer une remontée des risques du terrain vers les personnes en charge de l’élaboration de la cartographie.

Les étapes de l’approche bottom up :

• 1. Modélisation des processus de l’entreprise (avec les opérationnels)
• 2. Identification des risques inhérents (avec les opérationnels)
• 3. Évaluation des risques résiduels et identification des risques majeurs (opérationnels)
• 4. Identification des risques liés à la stratégie (avec le directeur de la stratégie)
• 5. Mixage des risques majeurs et des risques stratégiques (DG et principaux dirigeants)
• 6. Gestion du portefeuille des risques et des opportunités
• 7. Pilotage et communication

L’Approche Top-down

Top-down ou descendante, comme son nom l’indique, procède de haut en bas ; elle se présente comme l’inverse de la première. C’est la hiérarchie (audit ou risk manager) qui détecte les risques et les soumet pour avis aux collaborateurs opérationnels.

Les étapes de l’approche top down :

• 1. Déterminer les risques majeurs par partie prenante
• 2. Pondérer les risques majeurs pour ne garder que les plus importants
• 3. Rattachement des processus clés de l’entreprise aux risques opérationnels et aux risques majeurs
• 4. Les Hiérarchiser.
• 5. Établir une cartographie des risques (entretiens avec les principaux dirigeants)
• 6. Valider les risques (par les principaux dirigeants)
• 7. Alimenter le plan d’audit

L’Approche combinée

Le cloisonnement des approches demeure relativement conceptuel. Ces deux approches sont chacune un idéal type. Il est illusoire de croire qu’une de deux méthodes doit être à terme entièrement privilégiée. En effet, l’approche combinée est la méthode qui combine les approches Bottom-up et Top-down. Si une doit prévaloir lors de l’élaboration de la cartographie des risques, une fois mise en place le processus de la maîtrise des risques est heureusement un mélange de ces deux approches. Selon cette approche, l’identification des risques est faite parallèlement par la hiérarchie et les opérationnels.

L’ensemble des risques répertoriés est soumis ensuite à la direction. Le management des risques doit être interactif entre les hauts dirigeants et les risk owners. Ces derniers surveillent les risques existants, signalent les risques potentiels et établissent le reporting qui est présenté aux dirigeants (bottom up). Quant aux dirigeants, ils fixent les objectifs de gestion des risques et s’assurent du déploiement du système d’échange réciproque ne peuvent être que bénéfiques pour la maîtrise des activités de l’entreprise et les acteurs qui y participent.

L’Approche par le benchmarking

C’est une approche qui consiste à mener une campagne de collecte des meilleures pratiques en matière d’identification et de gestion des risques. Elle permet à l’audit interne d’avoir une idée générale des risques à prendre en compte.

Comment faire un management des risques – Risk management process

L’analyse des risques est une approche qualitative de résolution de problèmes qui utilise divers outils d’évaluation pour élaborer et classer les risques dans le but de les évaluer et de les résoudre. Voici le processus d’analyse des risques qui comporte quatres étapes :

1. Identifier les risques existants

2. Évaluer les risques

3. Élaborer une réponse appropriée

4. Développer des mécanismes de prévention pour les risques identifiés

Comment mettre en place un management du risque efficace ?

1 – Identification des risques

• L’identification des risques est le processus de recherche, de reconnaissance et d’enregistrement des risques.
• L’identification des risques a pour objet d’identifier les raisons pour lesquelles les objectifs du système ou de l’organisation pourraient ne pas être atteints.
• Une fois les risques identifiés, il convient que l’organisation identifie tous les contrôles existants tels que les fonctions, les personnes, les processus et les systèmes.
• Le processus d’identification des risques comprend l’identification des causes et de l’origine des risques, des événements, des situations ou des circonstances susceptibles d’avoir un impact sur les objectifs et la nature de cet impact.

Les méthodes d’identification des risques peuvent inclure:

• des méthodes reposant sur la preuve (des listes de contrôle et des examens des données historiques, par exemple);
• les approches systématiques en équipe, dans laquelle une équipe d’experts suit un processus systématique d’identification des risques au moyen d’un ensemble structuré d’invites ou de questions;
• des techniques de raisonnement inductif, telles que HAZOP.
• Différentes techniques peuvent être utilisées pour améliorer la précision et l’exhaustivité de l’identification des risques, notamment le «brainstorming».
• Quelles que soient les techniques actuelles utilisées, il est important, dans le processus d’identification des risques, d’accorder une importance particulière aux facteurs humains et organisationnels. Par conséquent, il convient d’inclure les variations humaines et organisationnelles dans le processus d’identification des risques, conjointement aux éléments «matériels» ou «logiciels».

Comment identifier les risques

• l’analyse de la documentation existante (cahier des charges, contrat, plan de développement, organigramme des tâches…),
• l’interview d’experts,
• la réalisation de réunions de brainstorming,
• l’utilisation d’approches méthodologiques (comme l’AMDEC, l’APR, les arbres de causes…),
• la consultation de bases de données de risques rencontrés lors de projets antérieurs
• ou encore l’utilisation de check-lists ou de questionnaires préétablis et couvrant les différents domaines du projet.

2 – Analyse et évaluations des risques

• L’analyse consiste à comprendre et à étudier profondément les risques.
• Elle constitue une donnée d’entrée de l’évaluation des risques et dans la prise de décision sur la nécessité de les traiter et sur les stratégies ou méthodes de traitement les plus appropriées.
• Elle consiste aussi à déterminer les conséquences et les probabilités pour les risques identifiés en tenant compte de la présence (ou non) et de l’efficacité des contrôles existants. Probabilité et conséquence associée sont alors combinées pour déterminer le niveau de risque.

Méthodes d’analyse des risques

• Méthode du Diagramme de Succès ou de Fiabilité (MDS/MDF)
• Méthode de l’Arbre des Défaillances (MAD) ou des Causes
• Méthode de l’Arbre des Conséquences ou Arbres d’Evénements
• Diagramme Causes-Conséquences (MDCC)
• Analyse Préliminaire des Risques / Dangers (APR/APD)
• Analyse des Modes de Défaillances et de leurs Effets (AMDEC)
• Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité (AMDEC)
• Hazard and operability (HAZOP)
• Hazard Analysis Critical Control Point (HACCP)
• Hazard identification (Hazid)
• Méthode des Combinaisons des Pannes Résumées (MCPR)
• Méthode de l’Espace des Etats (MEE)
• Processus de Markov
• Réseaux de Pétri

concernant l’étape de l’évaluation vous pouvez consulter l’article : Comment faire une évaluation des risques professionnels ? – Document unique

3 – Traitement des risques

La norme iso 31000 « Management du risque – lignes directrices » liste de façon générique les différents traitements des risques, sans entrer dans le détail de ce qu’il est possible de faire. Avouons que, étant donné la disparité des situations potentielles, il lui aurait été bien difficile de tenir un discours pertinent en la matière.

Cela aurait même été contre-productif si l’on imagine que la norme aurait pu donner l’impression trompeuse qu’il suffisait de quelques règles d’or pour que les risques diminuent. .. Comme par magie.

• un refus du risque : ne pas démarrer ou poursuivre l’activité porteuse du risque,
• la prise ou l’augmentation d’un risque afin de saisir une opportunité,
• l’élimination de la source de risque,
• une modification de la vraisemblance,
• une modification des conséquences,
• un partage du risque avec une ou plusieurs autres parties (incluant des contrats et un financement du risque),
• un maintien du risque fondé sur un choix argumenté.

Les différentes actions décidées seront organisées dans un plan d’action structuré, affichant un calendrier précis, déterminant les responsabilités, les moyens nécessaires à l’accomplissement des actions et les résultats attendus.

• La sélection de l’option de traitement du risque la plus appropriée implique de comparer les coûts et les efforts de mise en œuvre par rapport aux avantages obtenus, compte tenu des obligations légales, réglementaires et autres exigences. Il convient que les décisions tiennent aussi compte des risques dont le traitement n’est pas justifiable au plan économique, par exemple certains risques graves (conséquences hautement négatives) mais rares (faible vraisemblance).
• Lors du choix des options de traitement du risque, il convient que l’organisme tienne compte des valeurs et des perceptions des parties prenantes et examine les moyens les plus appropriés de communiquer avec elles. Lorsque les options de traitement du risque peuvent avoir un impact n’importe où au sein de l’organisme ou chez les parties prenantes, il convient que celles-ci soient impliquées dans la décision. À efficacité égale, certains traitements du risque peuvent être plus acceptables que d’autres pour certaines parties prenantes.

Pourquoi une nouvelle norme en management des risques ?

La nouvelle norme ISO 31000 a tiré profit des échanges entre des experts internationaux issus d’organismes très variés (industriels, administrations, ONG, etc.) relevant de multiples secteurs d’activités.

L’ISO 31000 est une « norme chapeau » permettant d’établir un dialogue entre les secteurs d’activité en leur proposant un vocabulaire et un cadre commun. Cette norme facilitera également le développement des formations dans le domaine de la gestion des risques qui était jusqu’alors rendu difficile par l’impossibilité de multiplier les présentations de pratiques sectorielles.