SOMMAIRE

NOTRE DÉCRYPTAGE DE LA NORME

Chapitre : Introduction 3
Chapitre 4 : Contexte de l’organisme 4
Chapitre 5 : Leadership 5
Chapitre 6 : Planification 5
PRÉ-REQUIS

Définir un sponsor adapté 6

Identification d’un référentiel / Univers des risques commun 6
Définir un langage commun, adapté à l’organisation 7
Définition des stratégies de réponse 7
Piloter l’amélioration par les risques 7
NOTRE DÉCRYPTAGE DE LA NORME
Dans chaque chapitre de la norme où la notion de
« risques et opportunités » est présente, quelques
clefs de décryptage sont nécessaires pour définir
une approche risque conforme aux exigences, mais
surtout à valeur ajoutée.
CHAPITRE : INTRODUCTION

La notion de risques et opportunités est présente dès l’introduction, ainsi que le champ du traitement :
- « Associé au contexte » au sens large, qu’il soit interne ou externe ;
- « Aux objectifs de l’organisme » : outil de management, la gestion des risques et opportunités
intègre tous les évènements qui pourraient remettre en cause l’atteinte des objectifs stratégiques de
l’organisation, ainsi que leurs déclinaisons opérationnelles. Demandez à votre Management ce qui l’
empêche de dormir, et vous commencerez déjà à faire de la gestion de risque !
La démarche de gestion de risques implique d’ailleurs de pouvoir replacer ceux-ci dans leur contexte, en
les rattachant à des processus et/ou des familles de risques.

Types de risques Exemples de sous-famille

Risques de marché (taux, action, etc)
Financiers
Risques de liquidité
Risques de non-conformité
Juridiques et réglementaires
Risques d’évolution réglementaire
Risques lié à la sécurité des données, au pilotage
Risques de non respect des contrats
Risques de fraude
Opérationnels
Risques en lien avec les ressources humaines
Risques en lien avec les systèmes d’information
Risques en lien avec le marketing, la commercialisation des produits
Risques économiques
Risques politiques
Externes Risques climatiques, de catastrophes naturelles
Risques de sécurité physique, malveillance
Risques liés au marché (concurrence, concentration, etc)

Dans le chapitre 0.3.3, la norme associe l’efficacité du SMQ à la gestion des risques et opportunités :
l’organisation doit planifier et mettre en œuvre des actions au regard des risques et des opportunités.
Derrière ces notions, et donc dès l’introduction de la norme, c’est l’objectif de la boucle vertueuse de la
gestion de risques qui est décrite :
- Identifier les risques et opportunités ;
- Hiérarchiser les risques en fonction des éléments de maitrise déjà en place ;
- Définir une cible et les plans d’actions pour l’atteindre ;
- Suivre le résultat des plans d’actions et monitorer la démarche de gestion de risques.
On rentre ainsi sur une cartographie des risques à 3 dimensions : impact, probabilité de survenance,
mais aussi maturité du dispositif de maîtrise.

3
 CRITICITÉ
Risque Faible Risque Significatif Risque Critique Risque Stratégique
RI RII RIII RIV Stratégique RISQUES RISQUES
IV CRITIQUES Couverture du MAITRISÉS
IMPACT risque à
renforcer
Stratégique Critique
IV III

Critique Significatif
III II Risques
courants
RISQUES DE
Significatif Faible
NON-QUALITÉ, RISQUES
II I
NON PRIORITAIRES SUR-CONTROLÉS

Faible Absence de maîtrise Insuffisance Acceptable Satisfaisant

I 1 2 3 4
MAITRISE
DES RISQUES
Très rare Rare Probable Très probable
A B C D
PROBABILITÉ

Exemples de modèles de cartographie

Scoring Signification Indicateurs facilitant la mesure

1 Absence de maîtrise Aucune procédure n’existe.
Aucun contrôle/analyse n’est réalisé.
2 Insuffisant Aucune procédure n’existe.
Des contrôles sont réalisés régulièrement mais ne sont pas formalisés.
3 Acceptable Des procédudes existent mais sont incomplètes.
Des contrôles sont réalisés et formalisés.
4 Satisfaisant Les procédudes existent.
Les contrôles sont réalisés et formalisés.

Exemple de mesure de la maturité des dispositifs de maitrise

CHAPITRE 4: CONTEXTE DE L’ORGANISME

Les « enjeux externes et internes » qui influent sur
l’atteinte des objectifs de l’organisme désignent
évidemment les risques et opportunités.
Pour rappel, l’ISO 9000 définit le risque comme
« l’effet de l’incertitude sur l’atteinte des objectifs ».
La description des processus devrait désormais
intégrer les risques et opportunités inhérents. Mais
au-delà, les processus porteurs des risques les
plus importants, c’est-à-dire remettant en cause
les objectifs stratégiques de l’entreprise, seront à
traiter en priorité (processus clés ou critiques).
L’évaluation des risques permettra notamment
d’identifier les risques stratégiques : cela nécessite
de définir des critères de scoring adaptés.
Les plans d’amélioration des processus permettront
également de mieux les maitriser et donc de limiter
la fréquence ou l’impact des risques. Cela implique
de s’appuyer sur des responsabilités clairement
définies pour chaque processus et donc souvent
pour les risques liés.

CRITÈRE DE MESURE ÉVALUATION INDÉPENDANTE DES CRITÈRES CRITICITÉ DU RISQUE

(Impact / Probabilité)

Impact Image Niveau d’impact Image Mesure de

l’Impact
Impact Financier Niveau d’impact Financier I, II, III, IV
MESURE DU
RISQUE

RI, RII, RIII, RIV

Mesure de la
Probabilité
Probabilité Niveau de Probabilité
A, B, C, D

Exemple de schéma de mesure de la criticité

4
CHAPITRE 5 : LEADERSHIP

Prendre ou accepter des risques est inhérent au méthodologie et de l’apport de la démarche

rôle d’une Direction. En revanche, pour les gérer de risques.
manière structurée et promouvoir la démarche, le
Management a souvent besoin d’être accompagné
Enfin, pour que l’outil soit efficace, il doit être
et formé à l’approche risques.
adapté aux besoins du Management qui prend une
part active dans la définition de la méthodologie
Mais la gestion de risques doit surtout devenir appliquée, notamment par exemple les échelles de
un des outils de Management de l’entreprise. scoring.
Ceci requiert obligatoirement la maîtrise de la

CHAPITRE 6 : PLANIFICATION

CRITICITÉ Dans la version 2015, le chapitre 6 « planification »

intègre toutes les actions préventives, et, en premier
Critique
III 5 7 8 2 lieu, celles issues de l’analyse des risques.
- Planifier renvoit à la notion de priorisation des
actions et donc à la priorisation des risques ;
Significatif
II 4 9 7 1 - Les actions de prévention doivent répondre à
une stratégie, à une volonté du Management face
à chaque risque. Ainsi, ne rien faire est une des
Faible
8 6 5 3
possibilités face à un risque, qui revient à l’accepter !
I
- Définir les actions possibles nécessite d’avoir
identifié les failles et les dispositifs de maîtrise
Absence de maîtrise Insuffisance Acceptable Satisfaisant
1 2 3 4 manquants. Cela implique également de définir
MAITRISE DES RISQUES la cible à atteindre et nécessite donc de pouvoir
Zone d’actions Zone d’actions Zone d’actions mesurer les résultats des actions menées.
PRIORITÉ 1 PRIORITÉ 2 PRIORITÉ 3

En conclusion

Si la norme ne renvoit pas à EVALUATION DES DISPOSITIFS

une méthodologie définie (pas EVALUATION INTITIALE DES RISQUES DE MAÎTRISE
> Univers et identification > Recensement par typologie
d’exigence de moyens), les
MAITRÎSE

> Criticité et hiérarchie > Performance et pertinence

analyses FFRO (SWOT) souvent
Cartographie des risques Cartographie des risques / maîtrise
proposées sont insuffisantes Risques bruts Risques nets CRITICITÉ

pour permettre d’aborder les

Stratégique RISQUES RISQUES
IV CRITIQUES Couverture du MAITRISÉS
Risque Faible Risque Significatif Risque Critique Risque Stratégique risque à
RI RII RIII RIV renforcer
Critique
IMPACT III

notions de planification de
Stratégique
IV
Significatif
II Risques
Critique
courants
III
RISQUES DE

priorisations exigées.
Faible
NON-QUALITÉ, RISQUES
I
Significatif NON PRIORITAIRES SUR-CONTROLÉS
II

Absence de maîtrise Insuffisance Acceptable Satisfaisant

Faible 1 2 3 4

2
I
MAITRISE

1
DES RISQUES
Très rare Rare Probable Très probable
A B C D
PROBABILITÉ

Notre méthodologie PYX4

Risque, à la fois simple,
AMÉLIORATIONS
PROCESS AUDIT INTERNE

complète et adaptable, reprend STRATÉGIE DE RÉPONSE

INCIDENT

PILOTAGE DE LA GESTION DES RISQUES

chacune de ces étapes. Elle > Accepter CRITICITÉ
Brute
> Evolution des risques > Transférer
utilise également les interfaces > Recensement des sinistres > Supprimer Nette

avec les autres fonctions et/ou 4

> Suivi des plans d’actions > Circonscrire Cible

démarches traitant du risque Plans d’actions d’amélioration

dans l’organisation :
CRITICITÉ

Critique
III 7 7 7 7

Significatif
II
11 11 11 11

Faible
I 6 6 6 6

Absence de maîtrise Insuffisance Acceptable Satisfaisant

MAITRISE
1 2 3 4 DES RISQUES

3
Zone d’actions Zone d’actions Zone d’actions
PRIORITÉ 1 PRIORITÉ 2 PRIORITÉ 3

5
PRÉ-REQUIS
Lancer une démarche de gestion de risques et
opportunités nécessite des prérequis en amont qui
garantiront le succès de votre démarche.
Les 5 exemples que nous vous proposons s’appuient sur les meilleures pratiques du
marché, et reposent notamment sur les préconisations de l’AMF dans son cadre de
référence. Ils concernent les éléments clefs à intégrer dans la démarche, qui devra
être pilotée comme un projet.

1. DEFINIR UN SUPPORT ADAPTÉ (Chapitre 5 - leadership)

La démarche de gestion des risques doit être
idéalement sponsorisée par l’organe dirigeant le
plus élevé possible dans la hiérarchie. Support de
la démarche, il entérinera sa cohérence avec la
culture et la stratégie de l’organisation.
Il devra valider la définition du risque et par là-
même l’orientation de la démarche.
Il devra fixer les objectifs précis du projet, comme
par exemple :
- Identifier et classifier les risques de l’ensemble
de l’organisation ;
- Anticiper les risques et ainsi mettre en place
des plans d’actions visant à limiter leur impact et
renforcer la maîtrise des activités ;
- Adapter et affiner la stratégie de l’entreprise ;
- Structurer la gestion des risques ;
- Renforcer la sensibilisation des acteurs de
l’entreprise
Il devra nommer le chef de projet et valider
l’équipe projet constituée. Celle-ci doit intégrer
quelques représentants significatifs fonctionnels
et opérationnels avec une bonne connaissance
des problématiques métiers et risques.
Il devra valider le champs d’action des premiers
travaux : risques majeurs, panel de risques d’une
activité, d’une famille…

2. IDENTIFICATION D’UN RÉFÉRENTIEL / UNIVERS DES RISQUES COMMUN

Cette étape se déroule en atelier de travail de
l’équipe projet. L’approche doit reprendre les
objectifs fixés par le sponsor.
Il existe plusieurs possibilités pour organiser les
risques en familles:
- par domaine concerné : les risques Stratégiques
/ Financiers / Opérationnels (par processus),
- par population concernée : clients / investisseurs
/ personnel / environnement,
- par cause de risque : accident / erreur /
malveillance / conformité / système / qualité
(Chapitre 6 - contexte de l’organisme)
et performance / ressources / information /
organisation,
- par réponse : moyen humain / pilotage
/ organisation / contrôles, systèmes /
documentation / assurance,
Il est préférable de faire un croisement entre
plusieurs axes de classification afin de créer des
sous-groupes de risques qui faciliteront leur
analyse.

6
 3. DEFINIR UN LANGAGE COMMUN, ADAPTÉ À L’ORGANISATION

Afin de garantir la compréhension du projet par
chacun des acteurs ainsi que l’homogénéité des
futurs travaux, le chef de projet réalise un glossaire
des termes spécifiques à la gestion des risques :
- Définition du risque et des familles de risques
(stratégique / non stratégique, spécifique / non
spécifique, ...),
- Définition des différentes phases du projet,
(risque brut / net, identification des risques,
stratégie de réponse, cartographie des risques...)
- Définition des types de risque (majeur / mineur)
- Échelles de mesure de criticité, ...

4. DÉFINITION DES STRATÉGIES DE RÉPONSE (Chapitre 6 - planification)

L’Équipe projet définit les différentes stratégies
de réponse aux risques possibles : Supprimer /
Transférer / Circonscrire.
Des propriétaires pour chaque risque doivent avoir
été identifiés en fonction du type de risque à traiter.
Ces options doivent être validées par le Chef de
projet et cohérentes avec les objectifs fixés par le
comité de pilotage.
Les stratégies de réponse retenues sont validées
formellement par le comité de pilotage.

5. PILOTER L’AMÉLIORATION PAR LES RISQUES

L’Équipe projet fait régulièrement le point avec les
relais afin de suivre l’évolution des travaux. Ce suivi
peut être réalisé via :
- la mise en place d’un tableau de bord de suivi
des réponses aux risques (mise à jour des fiches,
réception de plans d’actions attendus, quantification
des coûts liés au transfert de risque...) ,
- la mise en place d’une communication régulière
entre Équipe projet / relais et relais / propriétaires
de risques pour suivre l’évolution des travaux.
L’équipe projet analyse régulièrement l’évolution
du coût des plans d’actions initiés. Elle ajuste
les arbitrages en fonction de l’évolution à la fois
(Chapitre 6 - planification)
de la mesure du risque (lié au modification de
l’environnement, la sinistralité...) et du coût des
plans d’actions.
L’ensemble de la méthodologie devra être testée
lors d’un pilote. Ce dernier permettra :
- Présenter des premiers livrables à la direction
- De valider les outils et les livrables, mesurer
l’adhésion à la démarche, valider les supports de
communication,
- Mesurer le temps nécessaire pour chaque risque
et adapter la feuille de route de déploiement,
-…

Phase 1 Phase 2 Phase 3

CADRAGE FORMATION & MÉTHODOLOGIE SYNTHÈSE & PROSPECTIVE

- Définition des axes 1 Sensibilisation à la gestion des risques

prioritaires et
identification des
interlocuteurs clefs.
- Définition des livrables.
- Définition du pilotage
de la mission
1 Rédaction d’un plan de
- Définition du pilotage de la mission
déploiement de la
- Définition du pilotage de la mission
méthodologie de
2 Définition de la méthodologie de gestion gestion de risques
MESURE DU
de risques adaptée
RISQUE
2 Bilan de fin de mission
3 Phase de test
RI, RII, RIII, RIV

Points d’avancement

et/ou comités de Pilotage

7
 Découvrez comment gérer vos risques !

Auteur : Alexandre Basse