Partie 2 

: Le processus de management des risques

Le processus de management des risques est une méthode clairement défini pour
comprendre : quels risques et opportunités sont présents, comment ils peuvent impacter un
projet ou une organisation et comment y répondre.

Le processus IVTS
Ces questionnements justifient le recours à l’approche moderne, et ce en 4 étapes :

 Première étape : l’identification des risques (I)

 Deuxième étape : l’évaluation des risques suivie de leur hiérarchisation (V)
 Troisième étape : le traitement des risques (T)
 Quatrième étape : le suivi des risques par le reporting et le contrôle des actions(S)

L’identification des risques.

L’identification des risques est un préalable indispensable à la réussite d’un projet. Dans le
meilleur des mondes, un projet se déroulerait comme prévu, sans accroc, sans retard.
Malheureusement, il n’en est rien et différents incidents peuvent survenir, pouvant entraîner
au mieux des retards, au pire l’échec du projet. Il est donc important de gérer les risques et
d’identifier an amont les anomalies pouvant être rencontrées durant le projet afin de prendre
en compte suffisamment tôt pour en réduire l’impact au minimum.

 Identifier un risque ou un objet de risque reviendra à :

 la localisation de sa source, c’est-à-dire de l’activité génératrice du risque,
 la connaissance des causes,
 l’évaluation des conséquences
 la connaissance des différents scénarios
 L’Identification des risques peut se réaliser de 6 façons:
 Par les ressources affectées,
 Par les objets de risques,
 Par les processus,
 Par les conséquences,
 Par les causes.
 Etc.
L’évaluation des risques.
Le Pilote et le Manager de risques vont hiérarchiser et prioriser les risques et opportunités
identifiés à l’aide des critères de probabilité d’occurrence et de gravité des impacts

Pour chaque risque identifié, on associera une situation et une cause.

 La situation correspond à l’état précurseur du sinistre qui ne se produira que si un

événement extérieur entre en jeu.
 Cet événement extérieur n'est autre que la cause.
 La situation conditionnera la gravité du dommage.
 La cause déterminera la probabilité de survenance.

La cartographie des risques

Définition d’une cartographie des risques :

Positionnement des risques majeurs selon différents axes, tels que l’impact potentiel, la
probabilité de survenance ou le niveau actuel de maîtrise des risques.

 C’est un mode de représentation et de hiérarchisation des risques d’une Organisation.

 Les risques identifiés se voient attribuer deux caractéristiques (probabilité et gravité)
qui permettent de les situer sur une carte.
 C’est un outil de pilotage des risques et un moyen de communication sur les risques.

Objectifs d’une cartographie des risques :

L’établissement d’une cartographie des risques peut être motivé par deux natures de facteurs :

– des facteurs internes :

• mettre en place un contrôle interne ou un processus de maîtrise des risques adéquat

• aider le management dans l’élaboration de son plan stratégique et sa prise de décisions
; il s’agit alors d’un outil de pilotage interne ;
• apporter les informations sur la maîtrise des risques au comité d’audit ; l’examen des
risques significatifs et de leur couverture par le comité d’audit est en effet l’une des
recommandations du Rapport Bouton ;
• orienter le plan d’audit interne en mettant en lumière les processus/activités où se
concentrent les risques majeurs ;
• ajuster les programmes d’assurances fondés sur les risques majeurs identifiés dans la
cartographie des risques (risk management) ;
• améliorer ou développer une culture de management des risques dans une entreprise
grâce à l’établissement, notamment, d’outils d’auto-évaluation ;
• prévenir la destruction de valeur ou accroître la valeur en utilisant le couple
risques/opportunités
– des facteurs externes :

• respecter les lois ou les bonnes pratiques en matière de gouvernement d’entreprise;

• répondre à l’attente des marchés et fournir des informations aux actionnaires (dans le
rapport annuel, document de référence en France) ;

• s’adapter à un environnement de plus en plus concurrentiel, nécessitant une bonne

maîtrise de ses risques/opportunités. Cet objectif relève plus généralement du processus de
management des risques, la cartographie des risques étant un des moyens de l’atteindre ;

• veiller à la bonne image de l’entreprise

La Cartographie des risques

 La classification des risques

L’Acceptabilité des risques

Limite d’acceptabilité : Risques Acceptables vs Risques Inacceptables

Les approches de risk management :

Comment mener la cartographie des risques ?
On peut assimiler l’approche « bottom-up » à celle qu’il faut privilégier pour fonder un
dispositif de contrôle interne, et considérer l’approche « top-down » comme plutôt orientée
risk management.

Il faut d’abord rappeler que solvabilité II exige d’un assureur qu’il formalise sa politique de
gestion du risque opérationnel ainsi que sa politique de contrôle interne.
Il faut ensuite clairement poser que, au regard du risque opérationnel, ces deux politiques sont
complémentaires. Dans les deux cas, elles visent à identifier, mesurer, et maitriser le risque
opérationnel, et chacune se base sur une démarche différente.

 Contrôle interne : une démarche bottom-up

C’est une pratique généralisée à la très grande majorité des banques et des assureurs. Elle
consiste à :
- décrire les processus de gestion de l’organisme
- identifier, dans chacun de ses processus, les risques opérationnels qui y sont attachés et les
contrôles (existants ou à développer) pour les maitriser.
- puis évaluer la qualité des contrôles réalisés par les opérationnels.

La démarche part donc du bas, puisque l’identification des risques s’effectue à un niveau
opérationnel avec les collaborateurs qui réalisent les taches liées à un processus donné.
La démarche va vers le haut puisqu’il s’agit ensuite de sélectionner les zones de risques les
plus importantes et de bâtir une vision consolidée (par type de risque, par fonction, par zone
géographique, etc.) en fonction de la qualité des contrôles constatés.

 Gestion du risque opérationnel : une démarche top-down

La démarche part du haut car elle consiste pour le top de management à prendre appui sur
tous les dispositifs en place afin d’établir une stratégie de maitrise des principaux risques
opérationnels.
Il s’agit alors d’utiliser les évaluations du contrôle interne, mais aussi les constats de la
collecte des incidents opérationnels, des KRI (Key Risk Indicators), des scénarios ORSA, des
rapports de l’audit interne, etc., pour :
- sélectionner les risques les plus importants (à travers une cartographie)
- définir les meilleurs moyens de les gérer (évitement, atténuation en amont, atténuation en
cas de survenance, réassurance, etc.)
La démarche peut également être considérée comme top-down dans la mesure où elle aborde,
chaque grande catégorie de risque opérationnel, comme un sujet à part entière (par exemple le
risque de sous-traitance), qu’il faut encadrer par des règles de gestion valables quels que
soient les processus de gestion de l’organisme qui y sont exposés. Le risk manager développe
alors un rôle normatif sur la manière d’analyser les risques majeurs, et peut "descendre" à un
niveau opérationnel "bas" pour exprimer ses préconisations.

Enfin, le risk management peut aussi s’insérer dans la gestion opérationnelle en procédant lui-
même à des analyses de risques dans les décisions importantes que le management est amené
à prendre : le lancement d’un nouveau produit, un projet d’automatisation ou encore le
recours à l’externalisation.

Le Traitement des risques

Les risques et opportunités peuvent faire l’objet d’un plan de traitement et, avant tout cela
permet à une organisation d’identifier leur stratégie de réponse. L’objectif du plan de
traitement d’un risque est de diminuer la probabilité d’occurrence du risque (action de
prévention) et/ou de diminuer l’impact du risque (action de mitigation). L’objectif du plan de
traitement d’une opportunité est d’augmenter la probabilité d’occurrence de l’opportunité
et/ou d’en accroître les bénéfices. En fonction de la nature du risque ou de l’opportunité, une
stratégie de traitement est définie par le projet. Les 7 stratégies ci-dessous sont possibles :
Les 7 Stratégies de Réponse des Risques

7 stratégies de réponse

 Accepter : ne lancer
aucune action mais continuer à superviser.
 Réduire/Améliorer : réduire (pour un risque) ou accroître (pour
une opportunité) la probabilité d’occurrence et/ou la sévérité des
impacts.
 Transférer/Partager : transférer la responsabilité d’un risque à
une tierce partie qui supporterait les conséquences du problème
(partager les bénéfices d’une opportunité réalisée).
 Eviter/Exploiter : élimination totale de l’incertitude /
Exploitation de l’opportunité.

Après avoir été identifiés et évalués, les risques inacceptables doivent être traités

 Prévention: les actions entreprises réduisent la survenance (objets aggravants le risque)

  On agit sur les causes
 Protection: la gravité du dommage est réduite suite au respect de certaines mesures
 On agit sur les conséquences
 Transfert partiel ou total du risque

Le Traitement des risques

Le Traitement des risques

 La cartographie des risques fait apparaître plusieurs zones qui exigeront des
traitements différents:
 Réduction,
 Rétention,
 Rétention avec transfert partiel,
 Transfert

Le Traitement des risques

Politiques idoines (qui conviennent parfaitement à notre situation):

o Un risque mineur ne doit pas être traité. Il faut recourir à la rétention,

o Un risque majeur ne peut être conservé en l’état. Il faut à tout prix le réduire, le
transférer si possible ou l’éliminer (avec l’activité qui le crée) en fin de compte,
o Un risque de gravité peut ne pas être traité. Il faut recourir à la rétention,
o Un risque de fréquence doit être conservé tel quel. Il faut prévoir les dépenses
inhérentes à sa survenance,
o Un risque moyen doit être soit conservé, transféré ou réduit

Le Traitement des risques

Exemple de Traitement de risque Exemple de traitement de risque (suite et fin)

Le Suivi des risques

 Le caractère évolutif des risques sera pris en compte par une remise en cause régulière
des plans de couverture et d’action
 Construction de tableaux de bord
 Clarification de la mission et définition des objectifs
 Identification des variables d’action (liste, calendrier, ressources)
 Choix des indicateurs
 Mise en place des normes et des clignotants
 Grille de travail (objectifs x variables d’action)
 Trois zones à respecter: objectif – résultat – écart
 La mise en place d’un programme de gestion des risques
 L’instauration de tableaux de bord et de systèmes d’alertes
 La définition d’un plan de continuité des activités
 Bref, le recours au Contrôle Interne et par voie de conséquence à l’Audit Interne

Les Tableaux de bord de pilotage

Il permet la bonne conduite avec tous les moyens du bord

Le tableau de bord de gestion est un outil d'évaluation de l'organisation d'une entreprise ou

d'une institution constitué de plusieurs indicateurs de sa performance à des moments donnés
ou sur des périodes données.
Compteur de vitesse : Indicateur de performances

Jauge d’essence : Indicateur de ressources.

Volant : Outil de pilotage pour aller vers les objectifs définis. Donne la possibilité au manager de
recadrer les équipes (métiers / techniques) pour les remettre sur le droit chemin

Frein : Prévient le risque, élément Anticipateur s’il est bien Utilisé, élément perturbateur dans le
cas inverse

Embrayage : Elément de synchronisation

Accélérateur : Contrôle du rendement de l’organisation et l’avancement du projet. Cadence et

rythme la vie de l’organisation.

Levier de vitesses : Maîtrise des activités des métiers. Contrôle la vie de l’organisation.

Pare-brise : Vision sur les objectifs fixés via des indicateurs de tendances

Rétroviseur : Analyses de performances sur les actions terminées.

Intérêt Pour le service :
• Construction d’un outil de pilotage.

• Vision concrète de l’évolution des résultats, suivis de ces résultats.

• Outil permettant plus de réactivité et de vigilance.

• Détection des points à améliorer.

• Valorisation des bons résultats, outil de communication.

• Comparaisons entre services et organismes.

Pour l’usager :
• Connaissance des évolutions des résultats des services.

• Possibilité de participer à la définition des indicateurs et donc au niveau de service à rendre