Académique Documents
Professionnel Documents
Culture Documents
Introduction :
I. Généralités :
1.1. Risque :
Dans la norme 31000 (2009) et le Guide ISO 73:2002, l'Organisation Internationale de
Normalisation définit le risque comme suit :
« Le risque est la possibilité qu'un événement, une action ou inaction ait des effets
négatifs sur la capacité d'une entité à atteindre ses objectifs organisationnels. Dans cette
définition, les incertitudes comprennent les événements qui peuvent ou non se produire
ainsi que les incertitudes causées par l'ambiguïté ou par un manque d'information. »
En tant qu’évènement dont la survenance porte atteinte à la capacité d’une structure à
atteindre ses objectifs, on distingue traditionnellement :
En gestion des risques, il existe plusieurs types d'approches utilisées pour évaluer, gérer et
atténuer les risques.
3.1. Approche par les risques (ou approche basée sur les risques) :
Cette approche consiste à identifier, évaluer et gérer les risques potentiels en se
concentrant sur leur probabilité et leur impact. Elle vise à prendre des décisions éclairées
en analysant les risques de manière quantitative ou qualitative.
L'approche par les risques, également connue sous le nom d'approche basée sur les
risques, est une approche de gestion qui consiste à identifier, évaluer et gérer les risques
potentiels auxquels une organisation peut être confrontée. Cette approche met l'accent sur la
compréhension des risques, leur probabilité d'occurrence et leur impact potentiel, afin de
prendre des décisions éclairées et de mettre en place des mesures appropriées pour les
gérer.
- Évaluation des risques : Une fois les risques identifiés, ils doivent être évalués pour
déterminer leur probabilité d'occurrence et leur impact potentiel. Cela permet de
hiérarchiser les risques en fonction de leur criticité, en identifiant les risques les plus
importants qui nécessitent une attention particulière. L'évaluation des risques peut
être réalisée en utilisant des techniques telles que l'analyse quantitative des risques,
l'analyse qualitative des risques ou une combinaison des deux.
- Gestion des risques : Après l'évaluation des risques, des mesures de gestion
appropriées doivent être mises en place. Cela peut inclure des mesures de
prévention pour réduire la probabilité d'occurrence des risques, des mesures
d'atténuation pour réduire l'impact des risques, des mesures de transfert des risques
à des tiers (par exemple, par le biais d'assurances) et des mesures de rétention des
risques lorsque leur impact est considéré comme acceptable.
- Surveillance et suivi des risques : Une fois les mesures de gestion des risques en
place, il est essentiel de surveiller et de suivre les risques de manière continue. Cela
permet de s'assurer que les mesures de gestion sont efficaces, d'identifier les
changements dans le profil de risque et d'adapter les mesures en conséquence. La
surveillance des risques peut être effectuée à l'aide d'indicateurs clés de
performance, de rapports réguliers sur les risques et d'audits internes.
- Culture de gestion des risques : L'approche par les risques favorise une culture de
gestion des risques au sein de l'organisation. Cela implique de sensibiliser et de
former les employés à la gestion des risques, de favoriser une communication
ouverte sur les risques et de promouvoir la responsabilité individuelle et collective
dans la gestion des risques.
L'approche par les risques est largement utilisée dans de nombreux domaines, tels que la
gestion d'entreprise, la gestion de projet, la gestion des opérations, la gestion de la
sécurité, la gestion financière, etc. Elle permet aux organisations d'anticiper, de gérer et
de réduire les risques, contribuant ainsi à une meilleure prise de décision et à une meilleure
performance globale.
- Définition des seuils : La première étape consiste à définir les seuils ou les critères
qui serviront de base pour évaluer si un risque est acceptable ou non. Ces seuils
peuvent être définis en fonction de différents facteurs tels que les normes
réglementaires, les objectifs de l'organisation, les attentes des parties prenantes, les
contraintes budgétaires, les impacts sur la réputation, etc. Les seuils peuvent être
quantitatifs (par exemple, une limite de coût définie) ou qualitatifs (par exemple, une
exigence de conformité à une norme spécifique).
- Évaluation des risques par rapport aux seuils : Une fois les seuils définis, les
risques sont évalués par rapport à ces seuils. Cela implique de comparer les
caractéristiques du risque (probabilité, impact, gravité, etc.) aux seuils préétablis pour
déterminer si le risque est considéré comme acceptable ou s'il dépasse le seuil défini.
Si le risque dépasse le seuil, il est considéré comme inacceptable et des mesures de
gestion supplémentaires doivent être mises en place.
L'approche par les seuils est couramment utilisée dans différents domaines, tels que la
gestion des projets, la gestion des risques financiers, la gestion de la conformité
réglementaire, la gestion des risques opérationnels, etc. Elle offre un cadre structuré
pour évaluer et prendre des décisions basées sur des critères prédéfinis, contribuant ainsi à
une meilleure gestion des risques.
L'approche par l'acceptabilité sociale peut être appliquée dans différents domaines, tels que
les projets d'infrastructure, les projets de développement, les décisions
réglementaires, les activités industrielles et autres initiatives qui ont un impact sur les
communautés et l'environnement. Elle vise à garantir que les décisions en matière de
risques sont éthiques, équitables et socialement responsables.
- Évaluation des risques : Une fois les facteurs de risque identifiés, une évaluation
des risques est réalisée pour déterminer leur importance et leur gravité potentielle.
Cela permet de hiérarchiser les risques en fonction de leur criticité et de concentrer
les efforts de prévention sur les risques les plus significatifs.
L'approche par les contrôles de prévention est couramment utilisée dans divers domaines,
tels que la santé et sécurité au travail, la gestion des risques environnementaux, la
sécurité des systèmes d'information, la gestion de la qualité, etc. En se concentrant sur
la prévention, cette approche vise à éviter ou à réduire les risques avant qu'ils ne se
matérialisent, contribuant ainsi à améliorer la sécurité et la performance globale de
l'organisation.
- Identification des risques : Bien que l'approche par la réactivité soit centrée sur la
réponse aux risques, il est tout de même important d'identifier et d'évaluer les risques
potentiels à l'avance. Cela permet de comprendre les risques auxquels on est
confronté et de prévoir des mesures de réaction appropriées en cas de survenue.
- Analyse des leçons apprises : Après la survenue d'un risque, il est important
d'analyser les leçons apprises de l'incident. Cela permet d'identifier les faiblesses
dans la préparation et la réponse aux risques, et de mettre en place des mesures
correctives pour éviter ou atténuer les risques similaires à l'avenir.
L'approche par la réactivité est souvent utilisée dans des domaines tels que la gestion
de crise, la sécurité, les situations d'urgence, ou lorsque les risques sont difficiles
à prévoir ou à prévenir complètement. Elle complète d'autres approches préventives
en veillant à ce que des plans de réponse appropriés soient en place pour minimiser les
impacts des risques sur les activités de l'organisation.
Il est important de noter que ces approches peuvent être utilisées de manière
complémentaire et adaptées en fonction du contexte spécifique et des objectifs de gestion
des risques d'une organisation ou d'un projet.
La cartographie des risques, également connue sous le nom d'analyse des risques ou
d'évaluation des risques, est un processus systématique permettant d'identifier, d'évaluer et
de représenter les risques auxquels une organisation, un projet ou un système est exposé.
C'est un outil essentiel de gestion des risques qui permet de mieux comprendre les menaces
potentielles et de prendre des décisions éclairées pour les atténuer.
- Identification des risques : Cette étape consiste à identifier tous les risques
potentiels auxquels une organisation est confrontée. Cela peut inclure des risques
internes tels que des défaillances des processus, des erreurs humaines ou des
pannes techniques, ainsi que des risques externes tels que des changements
réglementaires, des catastrophes naturelles ou des cyberattaques.
- Évaluation des risques : Une fois les risques identifiés, ils doivent être évalués en
termes de probabilité d'occurrence et d'impact potentiel. La probabilité peut être
évaluée en fonction de l'historique des incidents similaires, des tendances du secteur
ou de l'expertise des parties prenantes. L'impact peut être mesuré en termes de
pertes financières, de préjudices pour la réputation, de dommages physiques, etc.
- Classement des risques : Les risques identifiés et évalués sont classés en fonction
de leur importance. Cela permet de hiérarchiser les risques et de concentrer les
efforts sur ceux qui ont le plus grand potentiel d'impact négatif sur l'organisation.
- Suivi et mise à jour : La cartographie des risques n'est pas un processus ponctuel,
mais doit être continuellement suivi et mis à jour. Les risques peuvent évoluer avec le
temps en raison de changements dans l'environnement commercial, technologique
ou réglementaire. Il est donc important de réévaluer régulièrement les risques et
d'adapter les mesures d'atténuation en conséquence.
La cartographie des risques est un outil précieux pour les organisations, car elle permet
d'identifier les risques potentiels, d'évaluer leur gravité et de prendre des mesures proactives
pour les gérer. Cela aide à réduire l'incertitude, à améliorer la prise de décision et à renforcer
la résilience de l'organisation face aux risques.
- Entrevues : Les entrevues avec les parties prenantes clés, y compris la direction et
le personnel opérationnel, sont souvent utilisées pour recueillir des informations sur
les processus de gestion des risques. Les entrevues permettent de comprendre les
pratiques actuelles, d'identifier les lacunes éventuelles et d'obtenir des
éclaircissements sur les politiques et les procédures en place.
- Revue documentaire : La revue des documents tels que les politiques de gestion
des risques, les procédures, les rapports d'incident, les plans d'urgence, etc., fournit
une compréhension approfondie des processus de gestion des risques. Cela permet
de vérifier si les politiques et les procédures sont adéquates, si les risques sont
correctement documentés et si les mesures d'atténuation appropriées sont mises en
œuvre.
- Analyse des données : L'analyse des données peut être utilisée pour identifier les
tendances, les schémas et les corrélations liés aux risques. Cela peut inclure
l'examen des données historiques sur les incidents, les pertes financières, les
plaintes des clients, etc. L'analyse des données peut également aider à identifier les
domaines à haut risque qui nécessitent une attention particulière de la part des
auditeurs.
Ces outils et techniques peuvent être adaptés en fonction des besoins spécifiques de
l'organisation et des objectifs de l'audit des risques. Ils aident les auditeurs à recueillir des
preuves, à évaluer les risques et à formuler des recommandations pour renforcer les
processus de gestion des risques de l'organisation.
- Définir les objectifs de l'audit : Déterminer clairement les objectifs et les attentes de
l'audit des risques, tels que l'évaluation de l'efficacité des processus de gestion des
risques ou l'identification des lacunes et des zones à risque élevé.
- Établir le champ de l'audit : Délimiter le périmètre de l'audit en identifiant les
processus, les domaines fonctionnels ou les unités opérationnelles qui seront
audités.
- Constituer une équipe d'audit : Sélectionner les membres de l'équipe d'audit qui
possèdent les compétences et les connaissances nécessaires pour mener à bien
l'audit des risques.
- Effectuer des entrevues : Interroger les parties prenantes clés, telles que la
direction, le personnel opérationnel et les responsables des risques, pour obtenir des
informations sur les pratiques actuelles, les risques identifiés, les mesures
d'atténuation, etc.
- Identifier les risques : Utiliser des techniques telles que l'analyse documentaire, les
entrevues et l'analyse des données pour identifier les risques potentiels auxquels
l'organisation est exposée.
- Examiner les contrôles en place : Évaluer les contrôles existants mis en œuvre
pour atténuer les risques identifiés. Vérifier si les contrôles sont adéquats, bien
documentés et correctement mis en œuvre.
- Identifier les lacunes : Identifier les lacunes ou les faiblesses dans les contrôles
existants qui pourraient compromettre l'efficacité de la gestion des risques.
- Rédiger le rapport d'audit des risques : Présenter les résultats de l'audit des
risques, y compris les risques identifiés, les lacunes dans les contrôles, les
recommandations formulées, etc.
NB : Cette méthodologie peut être adaptée en fonction des besoins et des spécificités de
chaque audit des risques. La flexibilité et l'adaptabilité sont essentielles pour s'assurer que
l'audit des risques répond aux objectifs et aux attentes de l'organisation.