Déterminer l’approche du risque – explication en turbo

Written by Manu Steens in Gestion des risques 
Déterminer l'approche du risque - explication en turbo
Il est important de déterminer l’approche du risque. Une explication turbo n’est donc pas un luxe, bien au contraire. Après tout, chaque organisation veut atteindre ses objectifs. Pour ce faire, elle doit entreprendre des choses. Or, la prise de risques est inhérente et inextricablement liée à l’exercice d’une activité. Les concepts importants sont les risques, les matrices de risques, la probabilité et l’impact, le registre des risques, l’appétit pour le risque et la capacité de risque.Dans cette contribution, j’écris ma propre opinion, et non celle d’une quelconque organisation.

L’auteur : Manu Steens

Contenu

Matrices

Pour ce faire, il faut donc se poser la question du niveau de risque que l’on est prêt à prendre. Pour ce faire, il existe le concept d’appétit pour le risque dans la norme ISO 31000. On peut le définir comme le niveau de risque qu’une organisation est prête à prendre pour atteindre ses objectifs. En théorie, c’est très bien. Mais comment le déterminer ? J’émets l’hypothèse que les risques peuvent être identifiés. Tout d’abord, il existe le concept de « matrice des risques ». En voici un exemple simplifié :

Dans cette matrice, les différents risques sont placés en fonction de leur probabilité et de leur impact (voir ci-dessous).

On peut ensuite décider des risques à traiter/prendre sur la base de la matrice complétée. Plus une organisation accepte de risques avec une probabilité et un impact élevés, plus elle a le goût du risque.

Mais parfois, les circonstances exigent que l’on remette en question tous les risques. Il faut alors prendre des mesures pour ramener ces risques dans les zones jaunes et/ou vertes. C’est à cette fin qu’existe le « registre des risques », voir ci-dessous.

Probabilité et impact

Avant l’exercice de la matrice des risques, on détermine les énoncés des risques, en estimant pour l’organisation les menaces opérationnelles ou stratégiques, avec les causes et les conséquences correspondantes.

Pour déterminer la probabilité et l’impact de chaque énoncé, on garde à l’esprit ces causes et conséquences respectives. On fait ensuite appel à son intuition pour déterminer la probabilité et l’impact sur la base d’événements passés et de facteurs environnementaux dominants.

En ce qui concerne la probabilité, on peut raisonner en termes de fréquence : combien de fois par an une cause se produit-elle ? En ce qui concerne l’impact, on pense souvent au préjudice financier ou de réputation maximal que subirait l’organisation si les conséquences se produisaient. Pour chaque énoncé de risque, on attribue ensuite l’étiquette « faible », « moyen » ou « élevé » pour les deux paramètres. On peut ensuite visualiser cette déclaration de risque sur la matrice à l’aide, par exemple, d’un post-it.

Registre des risques

Après avoir rempli la matrice des risques, il faut établir des priorités. On passe en revue les couleurs, du rouge au vert. Si plusieurs risques relèvent d’une même couleur, ils doivent être classés dans cette couleur. On peut le faire selon que l’on ressent ou non une urgence motivée.

On établit ensuite une liste des risques dans l’ordre et on leur attribue des mesures. Il existe deux types de mesures : les mesures préventives et les mesures réactives.

Les mesures préventives agissent sur les causes, contribuant à empêcher qu’elles ne se produisent. Les mesures réactives agissent sur les conséquences et empêchent une conséquence particulière de se manifester et de causer des dommages.

On inscrit ces mesures dans le registre des risques, on leur assigne un déclencheur et un sponsor, un budget et un délai.

Il s’agit ensuite d’élaborer les projets définis pour les mesures.

Déclaration de risquePrioritéMesureTracteurDélai
     
     
     

Appétence pour le risque et capacité de risque

L’appétit pour le risque est une limite en dessous de laquelle le risque résiduel total d’un projet, par exemple, doit rester. Cet appétit pour le risque est déterminé pour chaque projet par la direction générale et la somme de tous les appétits pour le risque de tous les projets, processus et services de l’organisation doit rester inférieure à la capacité de risque de l’organisation.

La capacité de risque peut être intuitivement perçue comme le risque à partir duquel l’organisation est en difficulté si le « pire des scénarios » devient réalité. L’encadrement supérieur doit également prendre la mesure de ce concept.

Définir la capacité de risque implique de regarder vers l’avenir et de constituer des réserves pour le cas où les choses tourneraient mal. Cela peut se faire, par exemple, avec une captive.

Manu Steens

Manu travaille au sein du Gouvernement federale dans la gestion des risques et la gestion de la continuité des activités. Sur ce site Web, il partage ses propres opinions sur ces domaines et sur des domaines connexes.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts