Comment faire une cartographie des risques pour Votre Entreprise?

Laisser un commentaire / Management / 25 minutes de lecture

La cartographie des risques : définition

La cartographie des risques est un outil clé du processus de MANAGEMENT DES RISQUES PMR qui permet de répondre aux trois premières phases du PMR, à savoir :

  • identifier et évaluer les risques ;
  • traiter les risques ;
  • suivre leur évolution.

Une cartographie est une représentation visuelles pouvant prendre différentes formes : tableau, logigramme, processus, carte mentale, etc. telles que des tableaux, des logigrammes, des processus, des cartes mentales, et bien d’autres encore.

C’est le document qui permet de recenser et d’évaluer les risques majeurs d’une organisation et de les présenter de façon synthétique sous une forme hiérarchisée pour assurer une démarche globale de maîtrise de ces risques. Cette hiérarchisation s’appuie sur les critères suivants :

  • L’impact potentiel
  • La probabilité de survenance
  • Le niveau actuel de maîtrise de risques

La cartographie des risques est également, un outil de référence dans le domaine du management des risques ayant comme objectifs généraux d’anticiper, évaluer, visualiser, agir, et contribuer à:

  • Améliorer la robustesse de la stratégie et de l’image durable de la société
  • Optimiser le potentiel technique, financier et humain consacré à la maîtrise des risques
  • Réduire les vulnérabilités en identifiant et anticipant les risques majeurs et en évaluant leur niveau de traitement.
  • Contribuer à identifier les compétences, les fonctions et les processus critiques
  • Exploiter les opportunités (processus, produits.).

Quelle est l’objectif d’une cartographie des risques ?

Elle a pour objectif de :

  • Mettre en place un contrôle interne ou un processus de management stratégique et opérationnel des risques en fonction des ressources disponibles;
  • L’allocation stratégique des ressources (humaines, matérielles, financières, etc.), en fonction de la qualité du dispositif de maîtrise des risques prioritaires ;
  • Mettre en place une stratégie de communication interne et externe relative à la gestion des risques ;
  • Assurer le suivi du plan d’action ;
  • Aider le management dans l’élaboration de son plan stratégique et de sa prise de décision ;
  • Orienter le plan d’audit interne (pluriannuel et annuel, et individuel des missions) en mettant en lumière les processus au niveau desquels se concentrent les risques majeurs ;
  • Renforcer la bonne image de l’organisation ;
  • Référentiel d’analyse permettant de choisir la démarche à adopter en matière de gestion des risques.

Les grandes phases du Processus de management de risques PMR

  • Identifier et évaluer les risques, notamment en veillant à l’émergence de risques nouveaux. Il s’agit de connaître ses risques, d’en mesurer l’impact et la probabilité, et de les hiérarchiser au travers de cartographies.
  • Traiter les risques : il s’agit d’obtenir des propriétaires de risques qu’ils évaluent les différentes options de traitement des risques, qu’ils sélectionnent la meilleure combinaison (supprimer, accepter, transférer, couvrir/financer) et qu’ils conduisent les plans d’actions adéquats, notamment la mise en place de plans de gestion de crise.
    • Suivre l’évolution des risques : les propriétaires des risques sont responsables du suivi de l’évolution des risques au cours du temps. Ils doivent fournir les informations de reporting correspondantes et adapter les mesures nécessaires.
    • Garantir la maîtrise des risques : des revues indépendantes et objectives de la pertinence et de l’efficacité des traitements sont assurées par l’audit interne, le risk management, l’audit externe ou les équipes qualité pour donner à la direction générale une image consolidée des risques majeurs de l’ensemble de l’entreprise et de leur maîtrise.

Types de risques

Le risque opérationnel (d’exploitation)

Ce type de risque est défini comme étant le risque de perte directe ou indirecte résultant de procédures ou de processus inappropriés ou inadaptés, d’erreurs humaines ou d’anomalies liées aux systèmes, d’événements stratégiques ou d’événements externes, par exemple réglementaires, fiscaux ou comptable.

Dans cette catégorie de risque on trouve : risque fournisseurs (problème d’approvisionnement, de livraison dans les délais, non-conformité des produits et matières demandés…), risques liés à la continuité et à la qualité des processus et services et des opérations, risque logistique, risque lié au retard de paiement des clients.

Le risque de marché

Il représente la perte potentielle due aux variations des prix des matières premières, des taux d’intérêt et des taux de change.

Le risque financier

Il combine deux facteurs: l’ampleur supposée des pertes ou des gains (provenant d’une mauvaise estimation du besoin en fonds de roulement, en capital, etc.) et la variabilité du résultat escompté. Là on trouve la fraude financière, risques opérationnels et financiers liés à l’utilisation des produits dérivés.

Le risque de crédit

Il Représente le risque de défaillance d’une contrepartie sur une opération financière sur les tenues et conditions du contrat.

Le risque organisationnel

Représente les menaces, les effets négatifs ou les problèmes pouvant se produire suite à un événement ou une action dans une entreprise ou une organisation (ressources humaines). Les origines peuvent être internes ou externes à l’entreprise.

La gestion des risques a priori

La gestion des risques a priori nécessite une méthode de travail rigoureuse aux fins d’aborder, le plus précisément possible, l’ensemble des risques et les moyens de les atténuer, de les limiter ou de les supprimer. Différentes phases permettent d’y faire face :

Phase d’identification du risque

La première étape de la gestion des risques est celle de l’identification des risques. Cette
phase s’inscrit dans la prévention, car connaître les risques permet de mieux les prévenir.

Phase d’évaluation du risque

Cette phase doit permettre l’analyse détaillée et la quantification des risques, l’objectif étant de mesurer leurs conséquences en termes de gravité et de fréquence. Un ensemble d’outils d’analyse existe particulièrement dans les domaines à haut risque comme l’aéronautique, la chimie ou le nucléaire et regroupé sous des vocables différents comme les études de fiabilité, analyse de sûreté.

Phase de recherche de solutions et de traitement

Cette phase permet la mise en place de mesures de protection afin de limiter la gravité du risque, et de mesures de prévention pour en réduire la fréquence de survenue.

Protection et prévention sont donc indissociables et peuvent être rapprochées des démarches qualité.

Phase de suivi des solutions et l’évolution du risque

Il s’agit ici de vérifier la mise en œuvre des mesures de traitement et de les réajuster si nécessaire en fonction de l’évolution de l’activité de l’entreprise et de celle des risques.

Le suivi constitue et renouvelle alors le retour d’expérience nécessaire pour maintenir et fédérer l’ensemble des acteurs.

La mise en place d’indicateurs apparaît alors essentielle pour assurer un suivi régulier de l’efficacité des mesures prises et permettre à chacun d’avoir une vision et une perception claires des objectifs poursuivis.

Les dispositifs de gestion des risques et de contrôle interne : cadre de référence / AMF. – 2010

Un processus de gestion des risques comprenant, au sein de son contexte interne et externe à la société, trois étapes

• Identification des risques : étape permettant de recenser et de centraliser les principaux risques, menaçant l’atteinte des objectifs. Un risque représente une menace ou une opportunité manquée. Il se caractérise par un événement, une ou plusieurs sources et une ou plusieurs conséquences. L’identification des risques s’inscrit dans une démarche continue.

• Analyse des risques : étape consistant à examiner les conséquences potentielles des principaux risques (conséquences qui peuvent être notamment financières, humaines, juridiques, ou de réputation) et à apprécier leur possible occurrence. Cette démarche est continue.

• Traitement du risque : étape permettant de choisir le(s) plan(s) d’action le(s) plus adapté(s) à la société. Pour maintenir les risques dans les limites acceptables, plusieurs mesures peuvent être envisagées : la réduction, le transfert, la suppression ou l’acceptation d’un risque. Le choix de traitement s’effectue notamment en arbitrant entre les opportunités à saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets possibles sur l’occurrence et/ou les conséquences du risque. »

D’autres référentiels de gestion des risques proposent des définitions et des principes dont l’unité de recherche s’est inspirée :

Le management des risques de l’entreprise : COSO 2

Le référentiel publié par le COSO en 2004 promeut la notion de gestion globale des risques de l’entreprise, l’Enterprise Risk Management ou ERM ; dont l’un des enjeux consiste à amener l’entreprise à aligner sa stratégie et sa gestion des risques. Ainsi, ce référentiel (COSO 2) reprend les trois objectifs et les cinq composantes du référentiel relatif au contrôle interne, qu’il complète avec la prise en compte des objectifs stratégiques et de trois composantes supplémentaires :

  • la fixation des objectifs,
  • l’identification des événements,
  • le traitement des risques selon les 4 modalités classiques (l’évitement, l’acceptation, la réduction, le partage).

Ces principes permettent de repositionner la cartographie des risques dans un dispositif plus global de pilotage des activités. Il nécessite une identification préalable des niveaux de risque acceptables au regard d’objectifs (par exemple :

profiter de nouvelles opportunités, conserver des avantages) définis par les instances dirigeantes et déclinés à tous les niveaux de l’organisation.

ISO 31000 : Management du risque

La norme ISO 31000 vise également un management global des risques. Elle propose de faire de ce dispositif un véritable outil d’aide à la décision. La norme ISO 31010 relative aux techniques d’évaluation des risques précise l’intérêt de ces approches pour :

  • appréhender les risques et leurs impacts potentiels sur les objectifs,
  • fournir des informations aux décideurs et les aider à établir des priorités, aider à la sélection de mesures de traitement appropriées,
  • identifier les principaux facteurs de risques au sein des systèmes de gestion et des organisations,
  • comparer des options d’organisation, de déploiement de technologies,
  • contribuer à la prévention des incidents par une meilleure compréhension des facteurs déclencheurs et des impacts,
  • répondre à des exigences réglementaires,
  • s’assurer que les niveaux de risque correspondent aux seuils acceptés par l’organisation.

FERMA – Federation of European Risk Management Associations

Le FERMA (Federation of European Risk Management Associations) propose un cadre de référence de la gestion des risques (2003) et organise les facteurs de risques internes et externes comme suit :

Exemples De Facteurs Internes Et Externes (Extrait De Gestion Des Risques / Ferma. – 2003)
Exemples de facteurs internes et externes (extrait
de Gestion des risques / FERMA. – 2003)

Outils et étapes de l’élaboration d’une stratégie de gestion des risques

Élaboration d’une stratégie de gestion des risques

Avant de commencer cette partie, rappelons-nous le processus de management. Ce processus selon Deming se présente comme suit :

Deming Se Présente Comme Suit :

De ce fait nous pouvons ajuster cette roue à la gestion des risques et on aura la roue/boucle suivante.

Boucle De Gestion Des Risques
Boucle de gestion des risques

A la différence avec la roue de Deming de management, l’événement déclencheur du processus de gestion du risque étant la volonté de l’entreprise à évaluer les menaces qui se présentent devant elle et qui pourrait affecter l’atteinte de ses objectifs.

Commençant par la présentation ci-dessus et pour bien structurer la démarche de la gestion des risques, nous allons la découper en phases et en étapes.

Gestion Des Risques En 5 Phases Et 10 Étapes
Gestion des risques en 5 phases et 10 étapes

Evaluation des risques

Comme le rappel la figure ci-dessus, cette phase se compose en deux étapes :

  1. l’identification et quantification des risques et 2) Audit du système.

Identification et quantification des risques

Il existe certaines méthodes qui aident dans l’identification des risques. Ces différentes méthodes ne sont pas exclusives, par contre elles sont complémentaires.

Le choix d’une méthode au détriment d’une autre dépend du temps et de la capacité dont dispose l’entreprise. Ces méthodes sont comme suit :

  • Méthode système/processus
  • composants/fonction
  • Méthode objectifs/ressources
  • Méthode causes/effets

Après l’identification vient la quantification des risques. Pour en faire, on multiplie la gravité à la fréquence. La fréquence étant la probabilité d’occurrence ou de survenance du risque alors que la gravité est l’impact ou le poids des conséquences attendues en cas de survenance du risque (elle dépend de la valeur brute du danger et des mesures de protection prise). De ces deux variables on obtient une matrice de « 4*4 » (matrice simplifiée) qui montre les niveaux des risques.

Mesure De Risque
Mesure de risque

Pour quantifier les risques, l’organisation doit mettre en place un référentiel stable qui définit les niveaux de fréquence et de gravité. L’objectif étant que tous les acteurs aient la même représentation des risques afin de quantifier de façon homogène ces derniers. Une fois établi, le référentiel doit faire l’objet d’un code, une grille de lecture qui permet d’interpréter les mesures.

Audit des systèmes, de ses résultats et de son coût

Cette étape n’a de sens que lorsqu’il y a un système de contrôle de risque. Elle a pour objectif de vérifier la pertinence globale de ce système, c’est-à-dire, de mesurer les écarts entre les règles de fonctionnement prescrites et les façons de faire réellement cours au sein de l’entreprise.

Pour en faire, il faut mettre en place une grille d’audit du management des risques qui évaluera parmi d’autres : l’évaluation des risques (en terme quantitatif et qualitatif), le diagnostic (mesure de l’impact et recherche des causes), planification (politiques et objectifs, élaboration des plans de progrès, traitement (mise en œuvre des actions, mesure de résultats), pérennisation (management et organisation, gestion de la connaissance).

On ce qui concerne l’audit des résultats, il consiste à analyser ce qui est réellement passé depuis la dernière évaluation (quel risque et avec quelle gravité ?).

Enfin, il nous faut juger de l’efficience du système, c’est-à-dire du rapport entre de l’efficacité et des moyens mis en œuvre pour l’obtenir. Ceci suppose de connaitre ce qui nous coûte ces dits moyens.

Diagnostic

Cette phase comprend deux étapes : mesure de l’impact et la recherche des causes.

Mesure de l’impact

Tout d’abord, nous devons faire une distinction entre la quantification des risques et la mesure d’impact. En fait, la différence réside dans la cible étudiée. La quantification évalue le risque pour la cible directement touchée par le danger, la mesure d’impact s’intéresse plus globalement aux conséquences d’une dégradation de la cible pour l’organisation à laquelle ladite cible évolue.

L’analyse d’impact fournit une nouvelle graduation des risques :

Risque opérationnel

  • Risque tactique
  • Risque stratégique

Chaque risque quantifié correspond à une ou plusieurs mesures. Ces mesures utilisent aussi des matrices fréquences ×gravité (avec l’axe fréquence reste inchangé entre quantification et mesure d’impact car la probabilité d’apparition reste toujours la même, alors que l’axe gravité représente l’importance des conséquences pour l’entreprise et son environnement). Par conséquent on aura une nouvelle cartographie de mesure d’impact.

Recherche des causes

Pour prétendre à un diagnostic pertinent des risques, la rechercher des causes est une étape indispensable et complémentaire à la quantification.

La plupart des spécialistes du risque s’accordent aujourd’hui pour répartir les causes en quatre grandes catégories :

  • Les causes liées aux problématiques techniques et technologiques.
  • Les causes liées aux problématiques d’organisation et de management.
  • Les causes liées aux facteurs humains, aux comportements des hommes.
  • Les causes liées à l’environnement du système, processus ou produit.

Pour évaluer ces causes, nous pouvons opter pour le même principe de mesure que celui retenue pour évaluer les impacts.

Planification des risques

Cette phase contient aussi deux étapes, comme nous l’avons précisé au début de
cette section :

  • 1) définition des politiques et objectifs
  • 2) plan de progrès.

Définition des politiques et objectifs

Le système de gestion des risques doit s’inscrire dans une politique d’ensemble fixée par la direction, posséder les objectifs propres mais qui sont cohérents avec les objectifs globaux de l’entreprise. La performance du système de gestion des risques dépend de l’engagement de la direction, de l’implication des salariés.

Dans cette étape l’entreprise ait conscience des zones de risques et précise les zones d’accessibilités et d’inaccessibilités.

La direction doit coopérer avec le risk manager concernant les axes de progrès à privilégier. Certaines priorités s’imposent d’elles même vu la gravité du risque encouru et de leur impact, d’autres doivent l’objet d’arbitrage de la part de la direction.

Les objectifs, à ce niveau, peuvent être de nature : résolution de problème, de changement, de stabilisation ou d’optimisation.

Plan de progrès

Dans cette étape, nous disposons d’outil nécessaire de prise de décision. Les analyses faites dans les étapes précédentes nous donnent tous les indicateurs nécessaires à la définition des priorités d’action.
Une évolution de contexte peut amener l’entreprise à modifier ses priorités et à réduire ses ambitions.

Traitement des risques

Après la phase d’évaluation et de diagnostic, il arrive la phase du traitement du
risque. Quoi faire ? Comment le faire ? Ce sont les deux questions sur lesquelles nous
allons essayer de répondre.

Le processus de traitement des risques se présente comme suit :

Processus Général De Traitement Des Risques
Processus général de traitement des risques

Le processus ci-dessus peut se résumer en trois grandes étapes :

  • Réduire les risques (étape facultative)
  • Financer les risques (étape facultative)
  • Réagir face au danger

Pérennisation du traitement des risques

En fait, la pérennisation n’intervient pas avant ou après une étape, ce n’est pas une
phase à proprement parler mais il s’agit d’une préoccupation permanente
prééminente dans chaque phase de la démarche.

La gestion des connaissances est une étape importante dans la phase de
pérennisation du traitement des risques.

Modèle et Outils d’évaluation et de traitement des risques

Outils d’évaluation du risque

Analyse fonctionnelle

L’analyse fonctionnelle n’analyse pas les risques mais constitue en quelque sorte le canevas sur lequel viennent se poser les études de l’analyse préliminaire des risques (APR) et l’analyse des modes de défaillances, de leurs effets et de leur criticité (AMDEC).

APR : L’analyse préliminaire des risques est une méthode d’identification et d’évaluation des risques au stade initial de la conception d’un système. Elle s’utilise à titre préventif.

AMDEC : C’est un outil de sûreté de fonctionnement et de gestion de la qualité.

Arbre logique : On trouve ici l’arbre de défaillance (permet de déterminer les diverses combinaisons d’événements qui génèrent une situation indésirable unique, dont le diagramme logique est réalisé au moyen d’une structure arborescente) ; arbre de cause (il analyse les causes d’un événement qui a eu lieu), diagramme d’Ishikawa (ou encore appelé l’outil de 5M ou 6M).

Méthode HAZOP (Hasard and Operability Studies) :C’est une méthode qualitative d’analyse des risques industriels.

Contrôle interne : C’est un système d’organisation qui comprend des procédures de traitement de l’information, et des procédures de bon fonctionnement de ces traitements.

Méthode de traitement des risques

Traitement quantitatif des risques

Il existe trois méthodes pour modéliser la probabilité d’occurrence des risques : celle de l’arbre de probabilités, celle dite de monte Carlo et enfin les réseaux de neurones.

Traitement qualitatif

Le traitement qualitatif sert généralement à passer les risques au crible pour déterminer s’il mérite une étude plus poussés, et pour fournir les informations et les analyses requises pour répondre à des questions spécifiques du gestionnaire des risques.

Une évaluation qualitative des risques ne se réduit pas à une étude documentaire ou à une description de l’ensemble des informations disponibles sur un problème de risque. Elle donne aussi une conclusion sur les probabilités et sur les éventuelles stratégies de réduction qu’on peut proposer.

La description qualitative d’un risque ne peut être utile à un gestionnaire que si tout le monde a la même interprétation des termes subjectifs, tel que : « faible », « négligeable», « fort ».., que l’évaluateur.

Après avoir présenté les différentes étapes de l’élaboration de la stratégie des risques ainsi que les outils qui permettent d’évaluer le risque que ce soit de manière quantitative ou qualitative, il est temps de présenter les approches et les phases de la construction de la cartographie des risques.

Comment faire une cartographie des risques ?

Quelle que soit l’approche utilisée – Top Down ou Bottom Up – la réalisation d’une cartographie ne peut réussir que si les cinq étapes ci-dessous sont franchies.

1 – Définir les objectifs

Nous sommes, lors de cette première étape, dans l’environnement de contrôle interne. Quels sont les objectifs découlant de la stratégie et ce, pour chaque entité de l’entreprise, en fonction de son organisation : par métier, par zone géographique, par segment de marché… ? Quels résultats en attend l’entreprise : objectifs de chiffre d’affaires, de production, de marge technique, de qualité de service client, de produits financiers, de résultat d’exploitation… ?

2 – Répertorier les processus

Quels sont les principaux processus de l’entité concernée ? Permettent-ils l’atteinte des objectifs ? Il faut, ici, notamment dans l’approche Bottom Up avec les opérationnels, certes décomposer les macro-processus en sous-processus (ou processus spécialisés) mais aussi veiller à ne pas descendre à un niveau trop fin (les tâches élémentaires par exemple), ce qui rendrait la cartographie complexe, voire inopérante. Il convient en effet de rester au niveau des processus supposés porteurs de risques significatifs.

3 – Identifier les risques

Dans chaque entité, qu’elle soit opérationnelle ou fonctionnelle et processus par processus, il est indispensable de procéder à l’identification des risques, au sens d’événements venant perturber l’atteinte des objectifs, en utilisant pour ce faire, toutes les méthodes appropriées (cf. documents joints en annexe 2). Mais s’arrêter à la seule identification des risques serait néanmoins insuffisant.

4 – Evaluer les risques

Aussitôt après avoir identifié un risque, l’étape suivante consiste à l’évaluer au regard des deux paramètres fondamentaux en la matière, que sont l’impact (I) et la fréquence (F), là aussi en utilisant les approches méthodologiques les plus adaptées (cf. documents en annexe 2), telles que la matrice de criticité. Il s’avère utile également de bien préciser que l’on travaille sur le risque brut, le risque résiduel, résultant de la mise en œuvre des éléments de maîtrise.

5 – Eviter les écueils

Quelle que soit la démarche retenue, les écueils sont nombreux et il convient d’en tenir compte dès le début de la mise en œuvre de la cartographie. Le recensement des processus et des risques inhérents ne doit pas descendre, en matière de granularité, à un niveau de finesse excessive. De même, la recherche de l’exhaustivité des risques peut conduire à un long travail d’identification ; certains de ces risques s’avérant in fine non significatifs ou non pertinents.

L’absence d’outils dédiés et le recours à des produits bureautiques divers peut rendre la consolidation et l’exploitation des informations difficiles. Par ailleurs, une approche trop dirigiste lors des entretiens peut entraîner une identification partielle des risques, l’opérationnel rencontré étant cantonné à un cadre délimité par des questionnaires ou cartographies de référence.

De plus, les opérationnels peuvent être réticents à indiquer certains risques du fait d’une approche trop inquisitrice, installant de fait un climat moins propice aux échanges et à l’expression spontanée des risques. Concernant l’évaluation, il s’agit bien de s’assurer de l’adéquation des méthodes utilisées avec les objectifs assignés à la démarche de cartographie. Une approche quantitative peut en effet s’avérer inappropriée dans certains cas.

En revanche, le recours à des méthodes purement qualitatives ne permet pas toujours d’évaluer avec justesse l’importance des mesures de contrôle à mettre en œuvre ; l’entreprise pouvant renoncer à des couvertures jugées trop coûteuses sur la base de risques évalués grâce à une échelle de notation.

Exemples de risques majeurs en environnement industriel et commercial

Ces quelques exemples n’incluent pas, volontairement, les risques financiers pour lesquels une documentation importante existe déjà. Il ne s’agit pas, bien entendu, d’une liste exhaustive.

Le risque de perte d’image

  • Défaut de conception d’un produit menant au décès d’un utilisateur ou à un accident ;
  • Empoisonnement par la vente de produits alimentaires contaminés ou impropres à la consommation ;
  • Mauvaise gestion des rappels de produits et de la communication l’entourant ;
  • Atteinte à l’environnement.

Le risque de rupture des approvisionnements

  • Dysfonctionnement de la chaîne d’approvisionnement entraînant un arrêt de production, des retards de livraisons et ruptures en rayon ;
  • Liquidation ou difficultés d’un fournisseur qui est la seule source d’approvisionnement d’une matière première ou de prestation de services pour l’entreprise dans un marché très concentré.

Les risques liés au Système informatiques et d’information

  • Dysfonctionnement majeur du système d’information (panne…) ;
  • Perte de fiabilité du système d’information (non d’exhaustivité, perte d’intégrité des données…) ;
  • Inexistence ou défaillance de plans de reprise d’activité pour les applications informatiques majeures (gestion des commandes provenant des clients, facturation…) ;
  • Mauvaise protection des informations.

Le risque social

  • Perte de la culture d’entreprise et/ou de l’expérience en raison d’un taux de turnover élevé ;
  • Conflits sociaux entraînant des perturbations durables de l’activité (fermeture des surfaces de vente…) ;
  • Personnel insuffisamment formé ;
  • Difficultés de recrutement.

Risque organisationnel

  • Echec de projets importants pour l’entreprise (par exemple, réorganisation des systèmes d’information, croissance externe) ;
  • Mauvaise gestion des compétences du personnel conduisant à une perte d’expertise dans un domaine clé pour l’entreprise.vente…) ;
  • Personnel insuffisamment formé ;
  • Difficultés de recrutement.

Exemple : Approche bottom-up

Comment identifier des risques majeurs ? ou comment passer des « risques opérationnels identifiés » (inhérents aux modèles) aux « risques majeurs ». Ce travail doit être fait régulièrement afin d’assurer une actualisation de la cartographie et la prise en compte des nouveaux risques.

Cette approche se décline en sept étapes :

  1. Modélisation des processus de l’entreprise ;
  2. Identification des risques inhérents ;
  3. (Auto-) évaluation des risques résiduels et identification des risques majeurs ;
  4. Identification des risques liés à la stratégie ;
  5. Mixage des risques majeurs / risques stratégiques ;
  6. Gestion du portefeuille des risques et opportunités ;
  7. Pilotage et communication.

Exemple : Approche top-down

Cette approche se décline également en sept étapes :

1ère étape : Déterminer les risques majeurs par partie prenante

Chaque entreprise doit répondre aux attentes de ses parties prenantes, internes ou externes. Il s’agit d’une personne ou d’un groupe de personnes ayant un intérêt dans le fonctionnement, la continuité ou le succès de l’entreprise. Sont identifiées dans l’exemple ciaprès 6 parties prenantes : les actionnaires, les fournisseurs, les salariés, les clients, les partenaires industriels et la société civile. Il s’agit maintenant d’identifier par partie prenante les risques les plus importants.

2 eme étape : Pondérer les risques majeurs pour ne conserver que les plus importants

Par exemple :

  1. Mauvaise image ;
  2. Non respect des lois et réglementations ;
  3. Investissements non rentables ;
  4. Perte de compétitivité ;
  5. Non fiabilité des livraisons.

Les risques doivent être pondérés par rapport aux objectifs de l’entreprise :

par exemple l’impact sur le profit, l’impact sur les hommes, le cours de l’action en bourse, la réputation de l’entreprise, et d’autres critères qui sont jugés pertinents pour l’entreprise.

3 e étape : Rattachement des processus clés de l’entreprise aux risques opérationnels et aux risques majeurs

Les buts de cette approche sont de :

  1. Fournir un cadre de réflexion pour les dirigeants et les auditeurs internes. C’est un moyen de communication avec les dirigeants. Ce cadre est relativement de haut niveau donc stable dans le temps ;
  2. Garantir une vision des risques qui est en ligne avec la perception du top management et du comité d’audit ;
  3. Assurer l’exhaustivité des risques pertinents pour l’entreprise (il peut arriver qu’il y ait des risques opérationnels pertinents mais qu’il n’existe pas de risques majeurs associés. Dans ce cas, il faut réfléchir sur l’exhaustivité des risques majeurs).

4 e étape : Hiérarchiser les risques

Il s’agit de déterminer la probabilité d’occurrence et l’impact des risques sur le profit, la réputation, les hommes, le cours de l’action, la possibilité de croissance pour l’entreprise, … Ceci est fait au travers de l’établissement d’une cartographie des risques.

5 e étape : Établir une cartographie des risques

L’établissement d’une cartographie n’est pas une science exacte : impressions, expériences, faits, évènements récents, « le goût du jour », analyse et chiffrage, tout ceci a un impact sur l’établissement de la cartographie d’une entreprise.

Le directeur d’audit est bien placé pour prendre l’initiative et, en dialoguant avec les dirigeants, les auditeurs internes, les risk managers, les contrôleurs de gestion, les auditeurs externes, il devra arriver à classifier les risques majeurs en fonction de leur impact, de leur probabilité d’occurrence si elle est pertinente ou de leur niveau de maîtrise.

Ce qui augmente la crédibilité de cette cartographie, c’est un chiffrage et une quantifica- tion des risques. Pour cela, une étude plus poussée est nécessaire, mais cette étude sera un bon investissement car un reporting sur la qualité du management des risques peut être basé sur cette quantification. Par exemple, il est possible de mesurer combien l’entreprise a perdu en raison de livraisons tardives et incomplètes.

Le renforcement des dispositifs de contrôle interne permettra une maîtrise de ces pertes.

Exemple : utilisation préalable d’un outil de qualification des risques : la matrice d’évaluation des risques

Cet outil peut être utilisé pour caractériser ou identifier les risques, notamment émergents, lors des interviews avec les propriétaires des risques. La matrice a pour but de « formaliser » et de tenter de quantifier la perception des risques par l’interviewé, et d’alimenter dans un deuxième temps la cartographie des risques.

Dans l’exemple donné ci-dessous ont été retenus pour critères de mesure l’impact et la probabilité d’occurrence.

Cartographie Des Risques Matrice D’évaluation Des Risques

Comment utiliser cette matrice ?

  • L’intervieweur (il peut s’agir du risk manager ou l’auditeur interne) doit préparer cette matrice en essayant d’identifier quelques risques (les majeurs si possible) qui concernent l’interviewé. Les risques sont identifiés par processus, il y aura donc autant de matrices que de processus. Même si la colonne des « risques majeurs » est incomplète ou imparfaite, elle a pour but de lancer la discussion.
  • Évaluation de l’impact et de la probabilité d’occurrence du risque : le propriétaire du risque estime le niveau d’impact et de probabilité sur l’un des trois niveaux (faible, modéré, élevé). Les niveaux peuvent être quantifiés avec des données chiffrées (impact sur le chiffre d’affaires, perte des actifs, baisse du cours de l’action, baisse de la réputation, incidence humaine, etc).
  • Détermination du risque inhérent. Par convention, c’est systématiquement le plus mauvais des résultats qui est retenu : si l’impact est jugé élevé alors que la probabilité est faible, le risque inhérent sera considéré comme élevé.
  • Efficacité du contrôle interne : le propriétaire estime l’efficacité (ou non) des contrôles internes existants (s’il y a lieu) pour chacun des risques identifiés.
  • Le risque résiduel est le risque inhérent atténué éventuellement par le contrôle interne si celui-ci est efficace. Par convention, le risque inhérent sera réduit d’un ou plusieurs niveaux (chaque niveau étant matérialisé par une couleur) si le contrôle interne a été jugé efficace.
  • Finalement, la somme des évaluations pour chaque ligne détermine la couleur, c’est- à-dire le niveau du risque global pour le processus analysé. Cette fois-ci, l’inter- vieweur et le propriétaire du risque doivent évaluer ensemble la couleur finale au regard de tous les risques précédemment étudiés.

Construction de la cartographie des risques

La cartographie ci-après est un exemple ; d’autres critères de mesure et d’autres échelles
peuvent être utilisés.

; D’autres Critères De Mesure Et D’autres Échelles

6 e étape : Valider les risques

Pour garantir la pertinence de cette cartographie, une validation par les dirigeants est nécessaire. Pour cela, il y a plusieurs méthodes à utiliser. Les deux méthodes les plus courantes étant :

Une validation pendant les entretiens avec les dirigeants ;

Une auto-évaluation par les dirigeants. La première approche aboutira à un approfondissement des risques déjà identifiés (quantification de l’impact et probabilités d’occurrence plus fiables, moins subjectifs).

Les entretiens permettent ainsi de dialoguer sur les risques, la qualité des contrôles internes, les conséquences probables etc., tout cela pour renforcer la prise de conscience des risques et contrôles internes. La deuxième approche permet le plus souvent de détecter des risques supplémentaires. Le but principal est de présenter la cartographie à la direction générale et au comité d’audit pour validation.

7 e étape : Alimenter le plan d’audit

Le plan d’audit doit être établi en prenant comme base la cartographie des risques.
L’objectif est de déterminer la fréquence des audits. On part du principe que chaque
activité (ou filiale) de l’entreprise doit être auditée par exemple au minimum tous les cinq
ans (cette fréquence est déterminée par la direction générale ou le comite d’audit).
Ensuite, le schéma suivant peut être établi :

Le Plan D’audit

Ce schéma permet de déterminer la fréquence des audits sur les processus (ou les filiales)
: un score de 24 et plus : chaque année, entre 12 et 24 : tous les deux ans, entre 8 et 12 : tous les trois ans, un score de 4 ou 6 : tous les 4 ans et les scores plus bas : tous les 5 ans. Un plan d’audit sur 5 ans peut être établi avec les résultats de cette analyse. La fréquence des audits est aussi déterminante pour la taille de l’équipe d’audit interne.

Qui élabore la cartographie des risques ?

C’est Le chef de projet : Le chef de projet travaille en collaboration avec le gestionnaire de risques dite un risk manager. Il fixe les attentes et valide les propositions faites par le gestionnaire de risques sur le processus et l’état d’avancement de son projet. Il doit avoir une vision globale des risques et des opportunités de son projet.

Leur rôle est également de se positionner sur les stratégies de réponse aux risques critiques proposées par les risk owners, par exemple pour accepter un plan de réduction de la probabilité ou de l’impact.

Pour les projets appartenant à un programme ou à un portefeuille de projets, le chef de projet assure l’escalade des risques critiques au niveau approprié. Selon le projet et sa taille, il peut avoir la responsabilité totale ou partielle de valider les coûts que les risques identifiés sont susceptibles d’engendrer.

Articles associés

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

× Logiciel de Gestion de la Qualité

× Logiciel de Gestion de la Qualité