| Cette méthode est conforme à l’approche COSO-ERM lorsqu’il s’agit de fixer les objectifs de l’entreprise et d’identifier les risques statiques et dynamiques dans l’ensemble de l’organisation. | Dans cette contribution, j’écris ma propre opinion, et non celle d’une quelconque organisation. |
L’auteur : Manu Steens
La structure est une matrice
La structure est une matrice. Les objectifs (objectifs stratégiques et opérationnels), d’une part, les objectifs et, d’autre part, les éventuels facteurs internes et externes, façonnent le quick scan.
Cette approche matricielle favorise l’exhaustivité de l’identification des risques et fournit une structure pour l’organisation des risques.
Plus précisément, cette « matrice des risques » ressemble à celle présentée ci-dessous :
| nr | Aspects Résultats de l’analyse rapide | Risques : mentionnez les incidents, leur probabilité, leur cause et leur conséquence. | ||||||||
| Objectifs stratégiques | OS1 | OS2 | … | |||||||
| Objectifs opérationnels | OO1-1 | OO1-2 | … | OO2-1 | OO2-2 | … | … | … | … | |
| 1 | Gestion des processus | |||||||||
| 2 | Gestion des parties prenantes | |||||||||
| 3 | Contrôle | |||||||||
| 4 | Structure de l’organisation | |||||||||
| 5 | Gestion des ressources humaines | |||||||||
| 6 | Culture d’entreprise | |||||||||
| 7 | Information et communication | |||||||||
| 8 | Gestion financière | |||||||||
| 9 | Gestion des installations | |||||||||
| 10 | Technologies de l’information et de la communication | |||||||||
| 11 | Facteurs externes | |||||||||
Cette matrice répond à trois questions essentielles
En remplissant cette matrice, le CRO répond à trois questions essentielles :
- Quels sont les objectifs de l’entité qui font l’objet de la recherche ?
- Quelles parties/aspects de l’organisation font l’objet d’une recherche ?
- Quels sont les risques qui nécessitent un examen plus approfondi ?
Dans un premier temps, vous examinez les risques potentiels auxquels l’entité est exposée sur la base d’une analyse rapide.
Dans un deuxième temps, le CRO devra systématiquement vérifier auprès de l’entreprise quels sont les domaines problématiques identifiés lors de l’analyse rapide qui se présentent dans son entreprise et quels sont ceux qui nécessitent un examen plus approfondi. Pour ce faire, il doit interroger les experts internes et externes ainsi que l’équipe de direction concernée.
Procéder à l’élaboration d’une analyse rapide en menant une enquête auprès des experts, afin de déterminer les risques qu’ils considèrent généralement comme réalistes par rapport aux aspects de la ligne directrice. Complétez éventuellement cette analyse par une recherche documentaire à l’aide de rapports annuels, de rapports d’audit, d’inventaires des risques en matière de sécurité au travail, de plans de prévention des incendies, de plans de continuité, d’enregistrements d’incidents, de l’historique des dommages, y compris l’enregistrement des dommages évités de justesse.
Pondérez ensuite la matrice en fonction de l’analyse rapide de l’étape 2, afin de déterminer clairement quels risques ont une incidence sur quels objectifs stratégiques et opérationnels. Lors d’entretiens périodiques avec l’équipe de direction, l’entreprise demande alors quels sont les risques qu’elle perçoit, comment ces risques affectent l’organisation et ce que l’on fait pour les contrôler. Vous pouvez inclure une approche des mesures de contrôle existantes dans le quick scan.