4- Processus de la gestion des risques

4-1 Fixer les objectifs à tous les niveaux de l’organisation :

Quatre objectifs primaires sont à identifier de façon primordiale :

- Stratégique : Objectifs de haut niveau, à long terme et susceptible

d’impacter l'ensemble de l’organisation.
- Opérationnel : Objectifs à court termes axé sur l’activité de l’organisation
et visant l'utilisation efficace et efficiente des ressources.
- Reporting : objectifs axés sur la fiabilité du reporting (tant externe
qu'interne).
- Conformité : objectifs visant la conformité aux lois et règlements
applicables.

4-2 Identifier les évènements :

On peut identifier les évènements des risques de l’organisation à travers une ou

plusieurs des méthodes suivantes :

- Checklists : vérifier les risques de l’organisation avec un registre des

risques basiques déjà établit d’une organisation dans le même secteur
avec une taille similaire ;
- Benchmarking : Comparaison des risques de l’organisation avec ceux
d’une organisation dans le même secteur avec une taille similaire ;
- Planification de scénarios : "Et qu'est-ce qui se passerait si...?" les
scénarios sont un moyen utile d'examiner une gamme d’événements ou
circonstances possibles et déterminer leur impact. Les gestionnaires
peuvent être en mesure d’entreprendre un tel exercice en interne, ou
l'organisation peut souhaiter employer une équipe d’analystes d'affaires.
- Évaluations de la vulnérabilité : en examinant en détail chaque processus
ou activité que l'organisation entreprend, il est possible d'identifier les
vulnérabilités ou, alternativement, les opportunités qui peuvent surgir.
Cette analyse des processus et des activités peut être représentée
visuellement par un diagramme de cause à effet.
 - Questionnaires ou enquêtes : Un questionnaire peut être utilisé pour
maximiser le niveau de participation car il peut être diffusé dans toutes
l’organisation.
- Ateliers d'identification des risques : Atelier rassemblant tous les
détenteurs de risques pour les aider à identifier leurs risques. Le même
atelier peut être étendu pour examiner les réponses aux risques et plans
de mise en œuvre.
- Auto-évaluation des risques de contrôle (CRSA), En tant que processus,
CRSA peut suivre un certain nombre de formats, y compris questionnaires
et ateliers. Il est plus structuré et plus rigoureux qu'une séance de
brainstorming, et essentiellement c’est une approche participative qui
inclut le personnel de tous les niveaux. Ceux qui sont le plus impliqués
dans le l'activité quotidienne examinée sont les personnes les mieux
adaptées à soutenir l'identification des risques et des contrôles. CRSA peut
être mis en œuvre pour toute activité ou zones d'opération de
l'organisation.

4-3 Analyse et évaluation des risques :

4-3-1 Classification des risques :

La première étape vers l'analyse et l'évaluation des risques peut être une simple
classification des risques sous diverses rubriques. De telles classifications
présentent divers avantages, en général, les descriptions des différents types ou
aspects de risque nous aident pour comprendre le risque. Lorsqu'elles sont
utilisées comme listes de contrôle, elles peuvent aider à l'identification des
risques. De plus, ils sont utiles pour analyser les risques et structurer le registre
des risques.

Il n'existe pas de classification universelle des risques, ces classements sont utiles
pour aider à regrouper les risques associés, et peuvent faciliter la détermination
la réponse appropriée au risque.

Les risques peuvent être classés par nature du risque ainsi :

-Risques inhérents / Risques résiduels ;

- Risques Positifs / Risques négatifs ;

- Risques connus / risque inconnus ou peu connus

- Risques prévisibles / risques imprévisibles

4-3-2 Analyse des risques

Outre l'identification, la classification du risque en fonction du vaste domaine

d'activité auquel il se rapporte, il est essentiel que sa vraie nature soit comprise.
Comment surgit-il ? Quels sont les événements déclencheurs ou les conditions
qui peut le précipiter ? Souvent, il y a plusieurs étapes intermédiaires entre
l'événement déclencheur et le risque lui-même. Par exemple, l’inflation peut ne
pas avoir d'impact direct sur une organisation, mais elle déclenchera une série
d’événements (c'est-à-dire que le chômage peut augmenter, les individus
peuvent avoir moins à dépenser et la demande pour certains produits peut
tomber). Par conséquent, plusieurs événements déclencheurs peuvent être
nécessaires pour que le risque se matérialise. Une combinaison de la hausse de
l'inflation et une mauvaise récolte peuvent avoir un impact sur un fabricant de
produits alimentaires, même si l'un de ces les événements seuls pourraient ne
pas l'être. Une série de causes et d'effets peuvent entraîner des conséquences
importantes lorsqu'elles sont combinées, et de tels événements peuvent avoir
un impact considérable sur les revenus de l'organisation. Schématiser les
corrélations, les interdépendances, et les conditions qui pourraient conduire à
un événement à risque (voir Figure II.8) peuvent aider à clarifier l’effet potentiel
ou le danger.

4-3-3 Critères d’évaluation du risque

Après avoir classé les risques et identifié l'enchaînement des événements pour
révéler leur véritable identité, nous pouvons maintenant examiner comment les
risques peuvent être analysés et évalués.

Les critères d’évaluation du risque peuvent inclure :

A- L’impact (ou conséquence) : selon l’ISO 31000 l’impact c’est le résultat

d'un événement affectant les objectifs. L'impact ou la conséquence est
une mesure de l'effet projeté du risque s’il sera matérialisé.

Selon Sobel et Reding (2012), il peut faire sentir sa présence de différentes

manières, notamment :
- Impacts financiers ;
- Impacts sur l'information financière ;
- Impacts environnementaux ;
- Impacts sur la réputation de l’organisation ;
- Impacts de sécurité ;
- Impacts légaux.

B- Probabilité (ou fréquence) : La probabilité d’un risque est généralement

calculée sur la base de la réalisation de ce dernier sur des périodes de
temps données. Dans sa forme la plus simple, nous supposons que le taux
de réalisation du risque est assez stable dans une période déterminée.
Cependant, ce n'est certainement pas toujours le cas, et des mesures,
comme la volatilité, permettront d'affiner notre évaluation de la
probabilité.
C- Vulnérabilité : La vulnérabilité est une mesure de la sensibilité de
l'organisation à un risque donné. Cela dépend de la l'état de préparation
de l'organisation, son agilité et son adaptabilité. Compte tenu de cette
description, il est clair qu'il est une relation étroite entre la vulnérabilité
et l'impact : plus la vulnérabilité est grande, plus la probabilité l'impact
sera. Cette analyse est cependant utile et aide à comprendre le risque et
à identifier une réponse appropriée.
D- Volatilité : Dans certains cas, la probabilité d'un risque varie en fonction
de la volatilité de la situation. Quand les conditions varient
considérablement, il est plus difficile de prédire la probabilité d'un
événement donné. Il est probable qu'un tel risque soit d’une priorité plus
élevée à la gestion des risques en raison de sa grande imprévisibilité.
E- Rapidité (Vélocity) : Certaines analyses intègrent le critère de vitesse
d'apparition du risque. C'est la mesure de la période séparant le moment
d’avertissement et de préparation d'une organisation et le moment de la
survenance de l'événement et son impact. En ce lui-même, peut être aussi
divisé en vitesse de réaction et vitesse de récupération.
F- Interdépendance : Il est important non seulement de considérer les
risques isolément, mais aussi dans diverses combinaisons. La
matérialisation de deux risques ou plus peuvent avoir un impact différent
sur l'organisation, selon que les événements se sont produits
simultanément ou en parallèle. Par exemple, les centrales nucléaires au
Japon sont préparées pour les tremblements de terre et les tsunamis.
Cependant, la réalisation de ces deux événements simultanément
peuvent permettre à une vague de briser des défenses déjà affaiblies par
le sol tremblements. Prenons un autre exemple : les contrôles financiers
 de routine nécessitent généralement la séparation des tâches clés pour
empêcher un employé de commander des marchandises pour usage
personnel. Cependant, si deux personnes ou plus décident de s'entendre
sur une telle fraude, il sera beaucoup plus difficile à la détecter.
G- Corrélation : La corrélation est similaire à l'interdépendance en ce qu'elle
se rapporte à la connexion de deux ou plusieurs risques. Dans ce cas,
plutôt que la dépendance mutuelle des risques précipitant des nouveaux
risques potentiellement inattendus, l'impact ou la probabilité des risques
varie. Par exemple, les faiblesses d'une économie nationale peut
précipiter les risques de change et entraîner des coûts supplémentaires
pour les marchandises et les services faisant l'objet d'échanges
internationaux. Ces coûts peuvent s'ajouter à la nécessité d'augmenter
l’emprunt national. Les facteurs économiques sous-jacents qui ont
conduit aux fluctuations des taux de change peut également être associé
à des taux d'intérêt plus élevés et à une plus grande difficulté dans le
remboursement des échéances des crédit.

4-3-4 Niveau ou gravité du risque

L'appréciation et l'évaluation du niveau des risques comprennent :

- Évaluer la probabilité (fréquence et probabilité) de survenance du risque.

- Évaluer l'impact (ou la conséquence) du risque survenu.
- Évaluer d'autres dimensions du risque (telles que la vélocité, la volatilité
et les interdépendances…).
- Mesurer la gravité ou le niveau du risque inhérent, défini comme
l'ampleur d'un risque ou combinaison de risques, exprimée en termes de
combinaison de conséquences et de leur probabilité (ISO 31000). Il s'agit
généralement du produit de la probabilité et de l'impact du risque, mais
peut également inclure d'autres dimensions.
- Comparer la gravité du risque avec l'appétit pour le risque.
- Déterminer une réponse appropriée lorsque le risque résiduel est en
dehors des limites de l'appétit pour le risque.

Le niveau ou la gravité du risque est souvent considéré comme une fonction de

la probabilité et de l'impact. Avec des valeurs numériques attribuées pour
chacun, la gravité du risque peut être considérée comme le produit de ces deux
nombres.

Pour mesurer la vraie valeur de l'impact, il faut isoler le dommage ou

l'opportunité positive que l'événement à risque se précipiterait à partir d'autres
événements non liés. Les impacts peuvent se voir attribuer une valeur financière
en calculer les dommages aux actifs, la perte de revenus, les coûts
supplémentaires ou les nouveaux avantages que le risque entraînerait.

Cette évaluation présente des difficultés pratiques, à moins qu'elle ne se

rapporte à des incidents similaires du passé, ou l'effet attendu peut être
facilement isolé. Comme alternative, les impacts peuvent se voir attribuer une
valeur numérique à présenter leur poids relatif, par rapport à d'autres risques
(comme une simple échelle de 1 à 3 de faible à élevé).

Une autre option consiste à attribuer un terme descriptif, tel que négligeable,
perturbateur ou catastrophique. Ces termes, cependant, sont souvent convertis
en valeurs numériques pour faciliter la comparaison.

Il est parfois possible d'attacher une valeur significative basée sur les détails
disponibles d'événements similaires autrefois. Dans ce cas, un pourcentage
donné indique la probabilité que l'événement à risque se produise pendant
l’intervalle temps considéré. Sinon, nous pouvons attribuer une valeur basée sur
la vraisemblance relative ou un critère qualitatif terme tel qu’improbable,
possible, probable ou hautement probable.

Le calcul de la gravité ou du niveau de risque a pour but de nous permettre de

comparer et de hiérarchiser les risques. Pour exemple, si la probabilité que le
risque se produise est de 50 % et que l'impact financier calculé est de 3 000 $,
nous pouvons montrer que le niveau de risque est de 1 500 $. Cependant,
lorsque des nombres entiers sont attribués aux critères de risque, il est plus
habituel d'utiliser les valeurs relatives de chaque facteur, telles que 1 à 3,
donnant des valeurs de 1, 2, 3, 4, 6 et 9 pour la sévérité.

4-3-5 Cartographie des risques et priorisation

Il est peu probable que l'appétit pour le risque soit appliqué de la même manière
dans tous les domaines, et il peut même y avoir des appétits pour le risque
variable dans différentes divisions et unités de l'organisation, ainsi que des
appétits pour le risque variable pour différentes classes de risque. Cependant,
pour concevoir et mettre en œuvre des stratégies cohérentes à l'échelle de
l'organisation, cette dernière doit avoir un profil de risque équilibré ou un
portefeuille global de risques qui correspond à l'attitude générale et aussi doit
être en mesure de communiquer son profil de risque aux principales parties
prenantes, en particulier les propriétaires et les investisseurs.

L'approche habituelle consiste à produire une carte des risques qui décrit
graphiquement tous les principaux risques et leur gravité relative.

Une fois tous les risques de l’organisation sont insérés dans la cartographie des
risque, le risk manager officer doit procéder à la priorisation de ces risques à
travers le calcul de la criticité de chaque risque (Criticité du risque =
probabilité*impact).

Les risques ayant les coefficients les plus élevés doivent être traité en urgence et
à coefficient égal ce n’est pas au risk manager officer de décider de l’urgence
mais la décision revient plutôt au management.

Facteurs courants de probabilité et d'impact

Facteurs de probabilité Facteurs d'impact

• Estimations de probabilité historiques
oucycliques ;
• Complexité des activités ;
• Changement ou stabilité (p. ex. rotation
desemployés ou nouvelles lois) ;
• Environnement de contrôle (p. ex.
intégritéet éthique) ;
• Efficacité du processus de contrôle ;
• Seuil d'importance relative (p. ex.
pertemonétaire) ;
• Dommages potentiels à la réputation ou
à la marque ;
• Importance de l'objectif associé pour
la mission de l'organisation ;
• Vitesse de survenue, durée et/ ou
omniprésence de l'événement ;
Coûts de reprise ;
•

Les organisations évaluent la probabilité et l'impact des risques. Elles

peuvent utiliser des termes qualitatifs (tels qu’élevé, moyen et faible) ou des
mesures quantitatives (telles que les échelles numériques de 1 à 5, les
pourcentages, la fréquence d'occurrence ou d'autres mesures). Certaines
organisations peuvent même utiliser une combinaison de mots et de chiffres au
niveau de la classification du risque (1 = faible, 5 = élevé). De nombreuses
organisations utilisent un graphique pour décrire les facteurs, par exemple une
matrice à quatre quadrants à savoir la cartographie des risques

Il est cependant nécessaire à savoir que les cartes des risques ont tendance à se
concentrer sur les deux dimensions de la probabilité et de l'impact (en partie à
cause des difficultés pratiques de dessiner des graphiques en trois dimensions);
cependant, nous ne devons pas négliger les autres critères décrits ci-dessus.
4-3-6 Registres des risques :

Un registre des risques est généralement constitué pour conserver un

enregistrement de l’ensemble des risques identifiés, avec les informations
pertinentes les concernant. Il peut s'agir d'un enregistrement électronique ou
papier, généralement sous la forme d'un tableau à plusieurs colonnes. Ces
dossiers varient considérablement d'une organisation à l'autre et devraient être
personnalisés pour refléter des besoins et des circonstances particuliers.

On peux citer les rubriques communes suivantes :

- Un numéro d'identification du risque ;

- Type de risque ;
- Propriétaire du risque (c'est-à-dire la personne responsable du risque) ;
- Date d'identification ;
- Date de la dernière mise à jour ;
- Descriptif ;
- Coût (si le risque se matérialise) ;
- Probabilité de risque inhérent ;
- Impact du risque inhérent ;
- Niveau ou gravité du risque inhérent ;
- Autres critères (par exemple, volatilité, vélocité, vulnérabilité) ;
- Appétit pour le risque ;
- Réponses ou traitements possibles ;
- Traitement choisi et action à mettre en œuvre ;
- Date cible (pour la mise en œuvre du traitement) ;
- Propriétaire de l'action (si différent du propriétaire du risque) ;
- Risque résiduel (probabilité et gravité).

4-4 Réponse au risque

En utilisant la carte des risques la plus simple et une matrice

probabilité/impact, il est facile de voir comment une organisation peut
commencer à catégoriser ses réponses :

- Pour les risques à fort impact et à forte probabilité, prenez des mesures
immédiates.
 - Pour les risques à fort impact et à faible probabilité, élaborez des plans
d'urgence.
- Pour les risques à faible impact et à forte probabilité, envisagez des
ajustements aux opérations de routine et autres traitements.
- Pour les risques à faible impact/faible probabilité, restez à l'étude.

Les options de réponse aux risques incluent :

- Traiter, introduire ou renforcer des contrôles internes pour atténuer le

risque (réduire la probabilité et/ou l'impact).
- Tolérer/accepter le risque sur la base d'une bonne compréhension de
celui-ci.
- Transfert/attribuer tout ou partie du risque à un tiers, généralement par le
biais d'une forme d'assurance, d'une initiative conjointe, ou
l'externalisation.
- Terminer/cesser l'activité ou se retirer de la situation dans laquelle
survient le risque.

Types de controles :

4-5 Élaboration et mise en œuvre de plans d'atténuation des risques :

Selon le Project Management Institute (PMI) : La planification de l'atténuation
des risques est le processus d'élaboration d'options et d'actions pour améliorer
les opportunités et réduire les menaces aux objectifs du projet.

L'atténuation des risques utilise les processus d'identification, d'analyse, de

hiérarchisation et de réponse des risques. Le plan enregistre ce qui est
nécessaire pour mettre en œuvre la réponse prévue ou apporter des
modifications aux réponses existantes. Tel un plan peut inclure toutes les
actions requises pour tous les risques, mais la hiérarchisation des actions doit
naturellement s'aligner avec la hiérarchisation des risques. Ainsi, les réponses
aux risques de haute criticité (c'est-à-dire ceux dont le niveau résiduel est au-
delà de l'appétit pour le risque) doivent être traités premier.

Les étapes de l'élaboration d'un plan d'atténuation des risques

comprennent :

- Comprendre la nature du risque.

- Revoir les risques interdépendants et corrélés afin que le contrôle puisse
être réalisé par le même traitement.
- Identification du propriétaire du risque.
- Développer des objectifs de contrôle en décrivant soigneusement l'effet
escompté du contrôle sur probabilité, impact et autres dimensions du
risque.
- Décomposer l'action requise en étapes gérables avec des critères clairs,
des responsabilités, les ressources nécessaires et les délais de réalisation.

Clarifier les étapes requises, les délais cibles et les critères de réussite
(façons de savoir que la tâche a été correctement rempli) rend le processus de
contrôle beaucoup plus facile.

4-6 Suivi des plans d'atténuation des risques et des risques émergents :

La surveillance et le suivi joue un rôle clé dans tous les principaux cadres de
référence de gestion des risques. ISO 31000 fait référence à « vérification,
supervision et observation continue », tandis que le COSO suggère « le suivi des
activités, des évaluations séparées ou une combinaison des deux ».
Pour clarifier l'importance de ces exigences, Sobel et Reding (2012) ajoutent leur
propre définition de la surveillance comme « l'évaluation du contexte de
l'organisation, du système ERM et des performances de l'entreprise au fil du
temps ».

Quelle que soit la façon dont nous la définissons, la surveillance contribue à

garantir l'efficacité des processus de gestion des risques en :

- Vérifiant systématiquement les plans d'atténuation des risques pour

s'assurer que les contrôles sont en place et fonctionnent et tout en
vérifiant les changements des risques de l’organisation.
- Revue des processus de gestion des risques pour parvenir à une
amélioration continue.

Le suivi des plans d'atténuation des risques permet de garantir que les
traitements des risques convenus ont été établies, sont opérationnelles et
produisent l'effet escompté.

La responsabilité du traitement des risques doit être clairement comprise, le

gestionnaire doit être responsable de la mise en œuvre de la réponse pour
garantir son efficacité. Le propriétaire du risque doit aussi rendre compte au risk
manager officer ou à son représentant.

Le suivi des plans d'atténuation des risques peut conduire à une mise à jour du
registre des risques à travers l'analyse des risques émergents et la détection des
risque inconnus.

Pour faire face aux risques inconnus les organisations peuvent prendre les
mesures suivantes :

- Identifier les risques émergents pertinents pour l'organisation : ceci est

réalisé de la même manière comme l’identification des risques mais avec
un accent supplémentaire sur la planification et la projection de scénarios
tendances actuelles vers l'avenir.
- Évaluer l'importance du risque et son interconnexion avec d'autres risques
et implications pour l’entreprise : cela nécessite une analyse des risques
et une compréhension approfondie de la chaîne d'événements.
- Déterminer les stratégies de réponse aux risques.
 - Suivre systématiquement les risques émergents grâce à l'utilisation
efficace d'indicateurs de suivi ou de performance.

La surveillance des plans d'atténuation des risques devrait inclure l'examen de la

rentabilité des traitements.

4-7 Reporting sur le processus de gestion des risques :

L'objectif du reporting sur le processus de gestion des risques est de donner

l'assurance à la direction et au conseil d'administration que le processus de
gestion des risques est efficace dans la mesure où ils gardent à l'esprit les
principaux risques, soutiennent la direction dans sa compréhension du risque et
de sa préparation aux événements à risque, et à répondre aux changements dans
le profil de risque.

Le reporting consiste à émettre des rapports sur la gestion des risques de la part
de tous les détenteurs des risques de l’organisation au risk manager officer, le
management et le conseil.

Les rapports sur la gestion des risques doivent inclure la communication sur :

- Modifications du registre des risques ou nouveaux risques résultant de

changements environnementaux internes ou externes ou modifications
de objectifs stratégiques.
- Faiblesses identifiées dans le système de contrôle interne (qu'elles soient
temporaires ou à plus long terme) qui élèvent les risques résiduels au-delà
des limites de l'appétit pour le risque.
- Risques d'incidents (risques qui se sont matérialisés sous forme
d'événements) et efficacité des traitements.
- Le point sur les actions entreprises pour traiter les risques.

Le reporting confirme le succès de l'identification, de l'analyse et de l'évaluation

des risques. Il fournit un contrôle sur la pertinence et la fiabilité des traitements
mis en place. Il contribue à une meilleure compréhension du risque et incite à
une progression constante de la maturité du risque.
Les rapports doivent tenir compte des besoins d'information des parties
prenantes internes et externes. L'attente des informations sur les risques et les
processus de gestion des risques augmente presque quotidiennement. Le
reporting efficace sur les processus de gestion des risques doit se dérouler à tous
les niveaux de l'organisation jusqu'au niveau de détail requis et doit être
pleinement intégré dans les activités de routine. Cela peut inclure des
évaluations de performance, la gestion les comptes, les évaluations et le suivi.

4-8 Examen périodique du processus de gestion des risques pour aider à

l’amélioration continue :

Les cadres supérieurs et le conseil d'administration doivent travailler en étroite

collaboration avec les responsables opérationnels et la gestion des risques pour
faciliter l'amélioration continue des processus de gestion des risques. Le but des
revues périodiques est d'identifier les problèmes qui peuvent affecter l'un des
éléments de l'approche de gestion des risques, les examinez attentivement et
déterminez si des changements sont nécessaires ou des améliorations sont
possibles. Tel problèmes peuvent être portés à l'attention de l'organisation par
le biais d'un examen interne ou externe, ou en conséquence d'un incident à
risque.

La revue périodique des processus de gestion des risques permet de vérifier leur
bon fonctionnement correctement, de l'identification des risques à la mise en
œuvre de réponses efficaces, et au reporting aux principales parties prenantes.

La revue des processus de gestion des risques selon Sobel et Reding (2012)
poursuit les trois objectifs suivants :

1. Identifier et réparer les faiblesses et les défauts des processus de gestion des
risques.

2. Identifier les changements dans les objectifs et les environnements de

l'organisation, et s'assurer que les processus de gestion des risques restent
alignés.
3. Déterminer que l'organisation a atteint ses objectifs grâce au bon
fonctionnement du processus de gestion des risques.