Comment expliquer le concept de risques de A à Z dans un blog ? Le mot « risque » est utilisé de différentes manières. Il existe également différents types de risques auxquels les organisations sont confrontées. Les risques les plus importants sont ceux qui sont liés aux objectifs de l’organisation, à savoir servir/ vendre directement ou indirectement au client, et donc les risques dits opérationnels qui sont plus courants dans les projets et les processus en cours. Voici, dans un cadre plus large, pourquoi la gestion de la continuité des activités (GCA), qui fait partie de la famille des sciences de la gestion des risques, est importante pour les organisations conscientes des risques. Donc le concept de risques de A à Z. | Dans cette contribution, j’exprime ma propre opinion, et non celle d’une quelconque organisation. Inspiré par l’article « Operational Risk Management : a primer » de John Robinson, FBCI, UK |
Auteur : Manu Steens
Contenu
Qu’est-ce que la gestion du risque opérationnel (ORM) ?
Comme la plupart des concepts liés à la gestion des risques, beaucoup proviennent du monde bancaire et financier. Mais le concept est très universellement élastique dans tous les types d’organisations. L’accord de Basel II définit le risque opérationnel comme suit :
« Le risque de perte résultant de l’inadéquation ou de la défaillance des processus, des personnes et des systèmes internes, ou de circonstances extérieures. » (Accord de Basel II)
Il s’agit de la propriété inhérente des processus, des personnes et des ressources qui peuvent échouer, entraînant des effets indésirables.
Gestion du risque opérationnel
La gestion du risque opérationnel porte généralement sur les questions suivantes :
- Intégrité et solidité des processus et des procédures ;
- Les personnes, leurs talents et leur formation ;
- Assurance et auto-assurance ;
- L’externalisation et l’héritage des risques qui y est associé, ainsi que les risques liés à la chaîne d’approvisionnement (c’est-à-dire que les fournisseurs et les clients sont importants) ;
- Infrastructures, systèmes et télécommunications ;
- Sécurité physique et sécurité de l’information. (Voir également la norme ISO 27002 à cet effet.)
Il convient de noter qu’avec cette liste (non exhaustive), la sécurité des TIC devient un sous-domaine de l’ORM.
Comment gérer le risque opérationnel ?
La gestion du risque repose sur la compréhension et la gestion de deux concepts qui définissent le risque : la perte et la probabilité.
La perte peut être définie comme « …tout effet financier ou autre effet indésirable qui affecte négativement une ou plusieurs parties intéressées, à la suite d’une défaillance opérationnelle ».
Il convient de noter qu’il s’agit d’un large éventail de choses saisissables et intangibles :
- Amendes dues à des livraisons intempestives ou à des livraisons erronées ;
- Perte de réputation ;
- Perte d’employés ;
- Perte de salaire, d’indemnités ou de prestations ;
- Heures supplémentaires excessives ;
- Traumatismes physiques ou psychologiques, hospitalisations ou décès.
Probabilité et perte
La probabilité est définie dans ce contexte comme « …l’évaluation qualitative ou quantitative de la probabilité d’occurrence d’une défaillance opérationnelle particulière ».
Ainsi, la probabilité est une statistique où aucun chiffre exact ne peut être collé sur l’occurrence de rares défaillances opérationnelles. Cela laisse place à la subjectivité et à l’estimation.
Le fait que la perte et la probabilité ne peuvent exister isolément, et qu’elles nécessitent donc le concept de description du risque, peut être illustré comme suit avec une description du risque de défaillance d’un serveur :
« Un serveur a un temps moyen entre les pannes de 10000 heures et un temps moyen de récupération de 24 heures. En cas de défaillance, on s’attend à une perte de 50000 euros en raison du travail non effectué et de l’augmentation des coûts de personnel pour l’embauche de travailleurs temporaires afin de résorber les retards. »
Bien sûr, il existe d’autres menaces que la défaillance du serveur.
- Vol de fonds ;
- Sabotage ;
- Panne d’électricité ;
- …
Qu’est-ce qu’une menace ?
Une menace peut être définie comme « tout événement imprévisible susceptible d’entraîner une défaillance des processus, des procédures, des personnes, des ressources, … en dépit des mesures prises ».
Une menace peut donner lieu à différents types de défaillances et, inversement, plusieurs menaces peuvent être à l’origine d’un même type de défaillance. Ce raisonnement donne naissance au concept de « profil de risque » d’une organisation. Celui-ci se compose de trois types de profils :
- Le profil de la menace : quelle est la pertinence d’une menace pour une organisation ?
- Le profil de perte : comment l’organisation ressent-elle réellement la perte (plus ou moins comme une douleur) après une perturbation ?
- Le profil des lacunes : quelles mesures ont déjà été prises, quelles lacunes subsistent dans la défense, dans quelle mesure le « modèle de la coquille » de la résilience a-t-il été élaboré ? Et où existe-t-il un chevauchement (inutile ou nécessaire) des mesures ?
Pour ce faire, les concepts suivants, entre autres, sont importants :
- Dépendances : par exemple, un UPS (Uninterruptable Power Supply) est un bon système contre les pannes de courant, mais l’organisation elle-même dépend alors du (bon fonctionnement de) ses propres générateurs de secours, des équipes de techniciens qui peuvent effectuer les réparations chez le fournisseur d’électricité, et éventuellement d’une communication fluide avec les fournisseurs de carburant pour les générateurs de secours.
- Scénarios : la séquence réelle d’événements déclenchés par la matérialisation d’une menace. Compte tenu de la rapidité de l’enchaînement des événements et des nombreuses possibilités d’imprévus, ce scénario peut rapidement devenir complexe.
Conclusion
L’amélioration du profil de risque à l’aide de ce modèle peut alors se faire de trois manières :
- Prévenir, réduire, partager ou éviter les menaces ;
- Les « lacunes », les failles de sécurité et les vulnérabilités ou faiblesses sont mises à jour par des mesures ;
- Introduire des mesures de récupération afin que, dans les « pires scénarios », la durée de défaillance des processus critiques reste minimale. (ce qui implique, entre autres, l’élaboration d’un PCA).
Cette réflexion sur le risque opérationnel permet de comprendre l’une des raisons de l’importance de la gestion du risque opérationnel : la gestion du risque opérationnel améliore le profil de risque de l’organisation.