La gestion des risques est une procédure essentielle pour toutes les entreprises. Elle a pour objectif d’identifier et d’évaluer les risques majeurs pour l’entreprise afin de les traiter et de suivre leur évolution. Pour les entreprises cotées, avoir un dispositif de gestion des risques adapté est plus que nécessaire.
QU’EST-CE QU’UNE CARTOGRAPHIE DES RISQUES ?
La cartographie des risques se définit naturellement comme une démarche d’identification, d’évaluation, de hiérarchisation et de gestion des risques inhérents aux activités d’une organisation. Pour être efficace, la cartographie des risques doit être formalisée et construite selon une méthodologie documentée, exhaustive, précise, structurée, accessible et évolutive.
QUELLES SONT LES ÉTAPES D’ÉLABORATION D’UNE CARTOGRAPHIE DES RISQUES ?
La cartographie des risques se base sur une description objective, structurée et documentée des risques existants. La description fait ressortir l’existence des risques et leur probabilité, les éléments susceptibles de les accroître (facteurs aggravants), et les réponses apportées ou à apporter, dans le cadre d’un plan d’actions. Le processus de cartographie des risques se compose de six étapes clés :
Étape 1 : Clarifier les rôles et les responsabilités de chacun dans l’élaboration, la mise en œuvre et la mise à jour de la cartographie des risques.
Cette étape consiste à assigner les différentes responsabilités au sein de l’organisation, et dans ce cas précis, c’est la direction qui prend la décision et endosse la responsabilité, au nom de l’organisation, d’engager une démarche de pilotage de gestion des risques. À ce titre, elle impulse l’exercice de cartographie des risques et désigne un Risk manager. L’instance dirigeante valide la stratégie de gestion des risques mise en œuvre et veille à ce que les acteurs de la gestion des risques disposent des moyens humains et financiers suffisants pour exercer leurs responsabilités.
Étape 2 : Identifier les risques inhérents aux activités.
Cette étape consiste à dresser la typologie des risques à laquelle les entreprises sont exposées dans le cadre de leurs activités, en d’autres termes de procéder à un état des lieux précis permettant d’identifier, de manière circonstanciée et documentée, les risques qui lui sont propres.
Étape 3 : Évaluer l’exposition aux risques.
Cette étape vise à évaluer le niveau de sensibilité et de vulnérabilité de l’entreprise en cause pour chaque risque identifié à l’étape précédente. Il s’agit ici de déterminer les risques « bruts » auxquels l’entreprise est exposée du fait de ses activités.
Étape 4 : Maitriser les risques bruts identifiés et évalués au cours des étapes précédentes.
Cette évaluation implique de se poser les questions, à savoir : est-ce que le dispositif de maîtrise des risques nécessite d’être amélioré ? Est-il adéquat ? Si ce n’est pas le cas, il faut mettre en place un plan d’action qui vise à améliorer le dispositif pour le plus efficient possible.
Pour évaluer la qualité du dispositif de maîtrise des risques, on évalue à nouveau les scénarios de risques bruts grâce aux moyens de maîtrise actuels du dispositif. Le résultat de cette évaluation nous donne la position de ce qui est appelé le risque « net », ou « résiduel ».
Étape 5 : Hiérarchiser et traiter les risques « nets » ou « résiduels ».
Le risque net correspond à ce qu’il nous reste, en matière de risque. Cette cinquième étape du processus consiste à évaluer ces risques nets et à les classer par ordre de priorité. Cette hiérarchisation des risques nets ou résiduels permet d’identifier les éléments du dispositif qui sont insuffisants. On opère alors une séparation entre les risques pour lesquels la maîtrise est efficace et ceux pour lesquels la maîtrise doit être améliorée. L’amélioration passe par l’élaboration d’un plan d’action qui sert à rendre efficace le dispositif en place. Ce plan d’action est spécifique à chaque risque identifié.
Étape 6 : Formaliser la cartographie des risques et la tenir à jour.
Il s’agit de la sixième et dernière étape. La cartographie des risques doit être formalisée : elle doit être écrite, structurée et doit contenir plusieurs éléments : la méthodologie ; des échelles d’évaluation des risques ; une liste des facteurs aggravants ; une présentation des risques bruts et nets ; une fiche de risques pour chaque processus. Il faut pouvoir être capable de la présenter, de l’expliquer et de la documenter, ce pour quoi elle doit être claire et compréhensible. La cartographie doit également être complète.
Enfin, la cartographie des risques doit être mise à jour en fonction de l’évolution de l’activité et d’autres facteurs tels qu’ un changement affectant l’organisation, une évolution significative du contexte réglementaire ou économique.
La gestion des risques étant un défi pour toute organisation, la certification ISO 31000 se présente alors comme une solution incontournable vous permettant d’y répondre. La formation Lead Risk Manager ISO 31000 vous fournira, elle, les connaissances et compétences requises pour appliquer cette méthode à votre propre organisation afin d’accroître sa robustesse et de lui assurer un avenir stable.