Quelles sont les tâches de base de la gestion des risques ?

Written by Manu Steens in Gestion des risques 

Auteur : Manu Steens

Dans cet article, j’écris ma propre opinion, pas celle d’une organisation.

Quel est le problème ?

Par exemple, lorsque vous vous lancez dans la gestion des risques opérationnels et tactiques, la formation est toujours utile. En plus d’être dans les livres avec le nez, il est bon d’aller dans la boue avec les os et d’acquérir une première expérience. Pour que ces premières expériences aient un apport élémentaire, elles doivent atteindre le minimum de base. Donc, les tâches de base. Mais de quoi s’agit-il ? Comment s’y prendre ?

Comment s’y prendre ? Les tâches de base.

Vous obtenez à la fois les tâches de base et l’ensemble d’un système de gestion des risques opérationnels à partir de la description de ISO31000 ou d’autres normes.

Les tâches de base sont les suivantes :

  • Détermination des objectifs.
  • Détermination des processus et des projets à ces fins.
  • Déterminer les risques de ces processus et projets, en termes de menaces et d’opportunités.
  • Évaluer et hiérarchiser ces risques.
  • Déterminer, mettre en œuvre et assurer le suivi des mesures.
  • Rapport.

Qu’y a-t-il à faire ? Explication en hélicoptère.

J’explique maintenant ces tâches de base :

Détermination des objectifs

Les buts ou objectifs de l’organisation découlent des énoncés de mission et de vision de l’organisation et sont uniques à cette organisation. Ces objectifs sont fixés par les fondateurs de l’organisation et peuvent être mis à jour en fonction de l’interprétation de la mission et de la vision dans l’environnement changeant dans lequel l’organisation évolue. Normalement, ces objectifs se trouvent dans la documentation des objectifs stratégiques et opérationnels de l’organisation.

Détermination des processus et des projets à ces fins

Ces objectifs stratégiques et opérationnels sont traduits par la direction en processus, projets, services et produits. Ceux-ci peuvent également être trouvés dans les documents de politique de l’organisation, souvent aussi indirectement sur leur site Web.

Déterminer les risques de ces processus et projets, en termes de menaces et d’opportunités

C’est là que commence la contribution « réelle » et originale du risk manager en collaboration avec les responsables de projets, les responsables de processus et les prestataires de services.

Qu’il s’agisse d’un processus, d’un projet ou d’un service, de nombreuses analyses de risques peuvent être réalisées avec une analyse en ‘bow-tie’ (nœud papillon).

À cette fin, un risque est rédigé sous la forme d’un énoncé de risque qui se compose de trois parties : une cause, un événement et l’effet de celui-ci. Sur la base de cette déclaration, les choses suivantes se produiront dans l’ordre :

  • Déterminez la probabilité des causes.
  • Déterminez la probabilité correspondante de l’événement.
  • Déterminez tous les impacts des conséquences de l’événement.

Évaluer et hiérarchiser ces risques

Pour être en mesure d’estimer ces choses, il y a bien sûr des définitions à l’avance de la façon dont vous examinez les opportunités, des types d’impacts que vous examinez et de leur ampleur. En outre, vous définissez également une matrice de risque, qui est basée sur deux axes : un pour la probabilité totale et un pour l’impact maximal de l’événement.

Les définitions possibles de la probabilité peuvent être un pourcentage ou une fréquence d’occurrence. Les types d’impacts possibles sont les dommages financiers, les dommages à la santé, les dommages juridiques, les dommages à la réputation, etc.

Un type de matrice couramment utilisé est une matrice 5×5, dans laquelle les opportunités et les impacts sont tracés. Cette matrice se limite généralement à une matrice de menace. Cependant, le même principe est possible pour les opportunités. Il pourrait alors s’agir d’une matrice 5×10. Cela peut ensuite être coloré avec des codes de couleur où le vert signifie que c’est bon et le rouge signifie qu’une action est requise. Dans le cas du rouge, on peut alors proposer un délai maximum dans lequel une solution doit être mise en œuvre. Pour les menaces afin de les atténuer. À des occasions de s’assurer qu’ils fonctionnent au maximum. Une telle matrice 5×10 ressemble alors à ceci : (à gauche les opportunités, à droite les menaces, verticalement la probabilité)

Être vert, c’est donc accepter la situation à la fois pour les opportunités et pour les menaces. Vous en restez là. Le rouge signifie que vous vous attaquez à des choses : réduire les risques ou… et renforcer les opportunités ou… Le jaune et l’orange se situent entre les deux. Cette matrice de risque est la mise en œuvre de la formule

R = P x I

Avec R = risque, P = probabilité totale et I l’impact.

L’évaluation réelle du risque est le placement de ce risque sur cette matrice de risque.

La hiérarchisation des risques se fait au moyen d’un registre des risques, dans lequel la situation est résumée et les risques ayant les valeurs R les plus élevées, c’est-à-dire les plus importantes, sont placés en top.

Un registre des risques aussi simple contient les champs suivants :

  • Processus, projet ou service
  • Cause
  • Événement
  • Effet
  • Probabilité
  • Impact
  • Valeur du risque (en valeur décroissante)
  • Les ajouts pour les progrès suivants sont les suivants :
    • Stratégie : accepter, partager, atténuer, supprimer l’objectif
    • Mesurer
    • Propriétaire de la mesure
    • Date limite
    • Champs de risque résiduel

Détermination, mise en œuvre et suivi des mesures

Comme indiqué, le registre des risques contient un champ pour l’indication de la ou des mesures.

En termes simples, il existe deux types de mesures : les mesures préventives et les mesures de protection.

Les mesures préventives servent à créer un blocage entre la cause et l’événement menaçant. Cela réduit la probabilité ou la rend nulle. Pour les opportunités, il maximise les probabilités.

Les mesures de protection servent à créer un blocage entre l’événement menaçant et les conséquences maximales possibles. Elle réduit l’impact des conséquences ou les rend inexistantes. Pour une opportunité, il maximise les effets.

Habituellement, le forfait comprend à la fois des mesures préventives et de protection.

Rapport

Le rapport est fait par le propriétaire du processus ou du projet au propriétaire des risques. C’est souvent le CRO qui soumet ensuite le rapport de risque au PDG, en discute avec lui et lui fournit un retour d’information en bas de la hiérarchie.

Il utilise un modèle qui contient au moins les rubriques suivantes :

  • Résumé de la gestion.
  • Portée de l’étude de risques.
  • Impact total possible si rien n’est fait.
  • Vue d’ensemble des mesures et des responsables de leur mise en œuvre, avec un budget prévisionnel par personne responsable de ses mesures et un budget total requis.
  • Proposition d’action dans un calendrier.
  • Pièces jointes:
    • Registre des risques.
    • Budgets par mesure.

Qu’en est-il des tâches de base ?

Une élaboration approfondie de la norme ISO 31000 est l’une des possibilités. Pour ce faire, vous traitez les étapes ci-dessus dans un cycle PDCA prescrit (Plan-Do-Check-Act). Il est préférable d’acquérir d’abord de l’expérience avec les étapes de base avant de commencer à travailler sur le document de politique. Cette approche est utile pour avoir le document de politique directement adapté au fonctionnement concret de l’organisation.

Manu Steens

Manu travaille au sein du Gouvernement flamand dans la gestion des risques et la gestion de la continuité des activités. Sur ce site Web, il partage ses propres opinions sur ces domaines et sur des domaines connexes. Depuis 2012, il travaille au Centre de crise du Gouvernement flamand (CCVO), où il a progressé en BCM, gestion des risques et gestion de crise. Depuis août 2021, il est travailleur du savoir pour le CCVO. Depuis janvier 2024, il travaille au Département de la Chancellerie et des Affaires étrangères du Gouvernement flamand. Il combine ici BCM, gestion des risques et gestion de crise pour créer une forme de gestion de la résilience sur mesure répondant aux besoins du gouvernement flamand.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts