L’évaluation des risques

Quelle que soit sa taille et son domaine d’activité, toute organisation est confrontée à plusieurs risques.
Ainsi, le risque zéro n’existe pas.

La gestion du risque s’attache donc à identifier les risques (internes et externes) c’est à dire les pertes
potentielles et quantifiables, inhérentes à une situation ou une activité, associées à l’occurrence d’un
événement. Cette prévention des risques aboutit à établir une grille des risques avec des veilles
ciblées correspondant à chaque type de risque (politique, juridique, social, économique,
environnemental….) et des contre-mesures adaptées.

La cartographie des risques est un outil de pilotage, s’inscrivant dans une démarche de gestion des
risques, qui consiste dans l’analyse des risques majeurs pouvant compromettre l’activité, les actifs,
l’image ou la continuation d’une organisation donnée.

1
 L’évaluation des risques

Définition du risque :

L’Organisation Internationale de Normalisation (ISO) définit le risque comme :

« l’effet de l’incertitude sur l’atteinte des objectifs »

C’est donc tout événement, action

L'incertitude est l’état, même partiel, de défaut ou inaction de nature à empêcher
d’information concernant la compréhension ou une organisation d'atteindre ses
Un effet est un écart, positif et/ou la connaissance d’un évènement, de ses objectifs.
négatif, par rapport à une attente conséquences ou de sa vraisemblance..

Les objectifs définissent le résultat futur à atteindre. Chaque objectif contribue à la réalisation de la déclaration
de vision. Ils peuvent avoir différents aspect ( exp. buts financiers, environnementaux…) et peuvent concerner
différents niveaux (niveau stratégique, niveau d’un projet, d’un produit, d’un processus ou d’un organisme tout
entier).Tout objectif doit suivre les critères appelés critères «SMART» (Specific [précis], Measurable
[mesurables], Attainable [réalisables], Relevant [pertinents], Time-bound [à durée limitée]).

2
 L’évaluation des risques

Définition du risque :
Le référentiel COSO2 définit le risque comme :
La possibilité qu’un événement survienne est nuise à l’atteinte d’objectifs.
Alors qu’une opportunité est :
La possibilité qu’un événement survienne et contribue à l’atteinte d’objectifs.

La typologie des risques : nous pouvons classifier les risques par :

Nature : risque opérationnel, risque environnemental, risque de non contrôle…;
Source : interne/externe, juridique/réglementaire…;
Impact : stratégique, financier, sécuritaire, image…
L’objectif essentiel de la gestion des risques est de :
S’assurer de la connaissance et de la compréhension des risques auxquels l’organisation est exposée ;
Permettre de développer un plan de maitrise des risques.
3
 L’évaluation des risques

Dans une organisation il faut :

Apprendre à définir les objectifs

A partir des ces objectifs :
Pouvoir identifier, analyser et prioriser les risques;
Établir un plan de maitrise de ceux-ci;
Être capable de faire le suivi des risques.

Donc la gestion des risques est un processus

Identifier exhaustivement les risques liés à un projet;
Évaluer et mesurer la criticité d’un risque;
Établir un plan de prévention, le suivre;
Réagir en cas de problème.
4
 L’évaluation des risques

Sans objectifs clairs, impossible de commencer une démarche de maîtrise des risques…

Valider les objectifs :

Fiche de définition des objectifs
Cahier des charges, dossier de cadrage
Convention : qui fait quoi
Matrice d’objectifs : interroger tous les acteurs de l’organisation

Quelles ressources?
Supposons que nous avons des objectifs clairs
Clarifier les ressources qu’il va falloir mobiliser : 4 grands types de ressources :
1) Humaines ; 2) Equipement
3) Financement ; 4) Temps
5
 L’évaluation des risques

Le risque se caractérise en fonction de :

 la probabilité que le risque se réalise (Pr) :

 La probabilité de non-détection (Nd) :
La probabilité est la possibilité d’occurrence exprimée par un chiffre entre 0 et 1.
0 indiquant une impossibilité
1 indiquant une certitude absolue
La probabilité peut être mesurée par la fréquence des évènements passés ou de potentiels
évènement futurs.
 L’impact que pourrait avoir ce risque (G):
L’impact est le degré de gravité de l’évènement affectant l’attente des objectifs de
l’organisation.
L’impact peut être certain ou incertain et peut avoir des effets négatifs ou positifs sur
l’atteinte des objectifs.
L’impact peut être exprimé de façon qualitative ou quantitative. 6
Un impact initial peut déclencher des réactions en chaine.
 L’évaluation des risques

L’indice de criticité du risque permet de savoir ce qui le moins et/ou le plus critique.

RPN (Risk Priority Number) = G * Pr * Nd

L’indice de criticité peut évoluer de 1 à 1000
La gravité de 1 à 10 (10 = risque très grave)
L’occurrence de 1 à 10 (10 = forte probabilité)
La détectabilité de 1 à 10 (10 = non détectable)
Si l’indice de criticité est supérieur à 200 : risque majeur Élevée

Probabilité
Modérée

Faible

Faible Modéré Élevé

7

Impact
 L’évaluation des risques
Les trois étapes pour évaluer les risques

Identification et
évaluation des risques Identification et
Détermination et
inhérents pour chaque évaluation des
classement du niveau
processus en fonction mesures de contrôle
de risque résiduel
des objectifs de interne existantes
l’entité

L’évaluation des risques doit être réalisée régulièrement:

une fois par an au minimum et en cas de changement
important dans la stratégie, l’organisation voire dans le
personnel (postes clés).

8
Les différentes stratégies face aux risques identifiés

Réponse à un risque Actions à mener

Accepter Surveiller le risque

Partager/transférer S’associer avec un partenaire

Eviter Eliminer le risque

Réduire Mettre en place des contrôles

9
 Les différentes stratégies face aux risques identifiés

 Première solution : l’acceptation

On ne fait rien, c’est-à-dire que l’on accepte de courir le risque. Choix opportun s’il
correspond à la stratégie et aux limites de tolérance définies par celle-ci. Mais choix
catastrophique s’il n’est que le résultat du hasard ou du manque d’information.

 Deuxième solution : le partage/transfert

Partager le risque c’est le réduire en souscrivant une assurance ou en mettant au
point une joint-venture avec un tiers. Là également on perçoit l’exigence préalable
d’une définition des limites de tolérance.

 Troisième solution : l’évitement

On fait disparaître le risque en cessant l’activité qui le fait naître.

 Quatrième solution : la réduction

On prend les mesures nécessaires pour réduire la probabilité ou l’impact. C’est-à- 10

dire que l’on améliore le contrôle interne.

 Les différentes stratégies face aux risques identifiés

Réagir en cas de problème (maîtriser, surveiller et contrôler les risques) :

Est le processus qui consiste à mettre en œuvre les plans de réponses aux risques, à
effectuer le suivi des risques identifiés, à surveiller les risques résiduels, à identifier
les nouveaux risques, et à évaluer l’efficacité du processus de management des
risques. L’intérêt principal de ce processus est qu’il améliore l’efficacité de
l’approche du risque tout au long du cycle de vie de l’organisation, du projet, du
produit…en vue d’optimiser continuellement les réponses aux risques.

11
 Les différentes stratégies face aux risques identifiés

Réagir en cas de problème (maîtriser, surveiller et contrôler les risques) :

Il s’agit surtout de :

 S’assurer que les moyens de maîtrise sont efficaces et performants aussi bien dans
leur conception que dans leur utilisation;
 Obtenir des informations supplémentaires pour améliorer l’appréciation du risque;
 Analyser et tirer les leçons des évènements (y compris des incidents), des
changements, des tendances, des succès et des échecs;
 Détecter les changements dans le contexte interne et externe, y compris les
changement concernant les critères de risque et le risque lui-même qui peuvent
nécessiter une révision des traitements du risque et des priorités;
 Identifier les risques émergents.
12
Approche de gestion des risques

13