Le processus de gestion des risques est divisé en plusieurs phases liées au cycle Deming (Planifier, Do, Check, Agir) et, en particulier :
- communications et consultations : sous-processus qui doit être mis en œuvre à chaque étape de l’analyse avec les principales parties prenantes et comprenant les activités de recherche de l’information nécessaires au début des activités de gestion des risques. Fondamentalement, il est nécessaire de comprendre qui sont les principales parties prenantes et surtout quels sont leurs intérêts. Ceci est crucial pour diriger l’ensemble de l’activité et la rendre efficace. Une identification incorrecte des parties prenantes pourrait conduire à la poursuite d’objectifs qui ne sont pas conformes à ceux des parties prenantes et, par conséquent, être inefficaces et les actions seront probablement dépourvues de « engagement ». La communication concerne plutôt l’ensemble des activités visant à transférer des informations liés au processus de gestion des risques aux acteurs impliqués dans l’augmentation de la participation de l’entreprise au processus lui-même et créant autour de lui un climat de confiance qui augmente son efficacité.
- analyse du contexte : il s’agit essentiellement d’une prise de conscience du domaine dans lequel l’entreprise se déplace. Il détecte à la fois le contexte extérieur (marché, législation, concurrence, situation socio-politique) et le contexte interne (organisation de l’entreprise, figures managériales, processus, objectifs commerciaux, gestion interne des systèmes, etc.) ;
- identification des risques : identification des risques potentiels par rapport au contexte ;
- analyse des risques : il s’agit de la phase centrale du processus de gestion des risques, dans laquelle ils mettent en évidence les vulnérabilités de l’entreprise, les menaces et les probabilités qui surviennent en estimant les éventuels dommages attendus ;
- évaluation des risques : évaluation le risque estimé afin d’effectuer une analyse coûts-avantages avec précision et de tenir compte des mesures d’atténuation des risques ;
- atténuation des risques : il s’agit de mettre au point des interventions d’atténuation, de réduire les vulnérabilités ou de renoncer à certaines opérations à un niveau élevé de risque. Concrètement, une entreprise peut atténuer un risque
- de l’annuler et, par conséquent, de ne pas exercer une certaine activité ou de la mettre fin ;
- la réduire, agir sur les vulnérabilités et les probabilités ;
- en la redistribuant, la diversification est un bon exemple de redistribution des risques.
L’ entreprise cherche à répartir les risques dans le temps et l’espace, en réduisant la vulnérabilité d’un actif et en le redistribuant spatialement ou temporellement. Dans ce cas, la société pourrait décider de décentraliser ses bureaux et/ou la présence de son personnel sur le territoire afin d’offrir cibles d’importance mineure, ou désespérez au fil du temps le développement de ses activités ;
Lire également : La sécurité des paiements en ligne : astuces pour éviter les fraudes et protéger vos transactions
- en l’acceptant, si l’engagement en faveur de l’atténuation est supérieur aux dommages possibles, il est possible que la société décide d’accepter le risque et donc le dommage possible en ne mettant pas en œuvre de mesures d’atténuation ;
- en le transférant, le risque est transféré à un tiers tel qu’une compagnie d’assurance ;
- avec contrôle et examen, c’est-à-dire le suivi continu de chaque étape du processus visant à vérifier son efficacité et son amélioration.
Plan de l'article
Identification, analyse et pondération des risques
L’ étape centrale du processus, à savoir l’analyse et l’évaluation des risques, est le sous-processus de gestion des risques dans lequel vous évaluez les vulnérabilités, les menaces et la probabilité que la gestion des risques se concrétise calculer les dommages éventuels par coïncidence de tout dommage attendu.
Ce moment est essentiel pour identifier les vulnérabilités inhérentes à l’entreprise, évaluer leurs niveaux de risque et leur impact potentiel sur les objectifs commerciaux et les actifs de l’entreprise, et ainsi être en mesure d’orienter les étapes ultérieures de l’atténuation des risques, du transfert ou de l’acceptation des risques.
A lire également : Protéger les objets connectés : identifier et prévenir les vulnérabilités courantes
L’ identification est la phase qui vise à établir concrètement une liste aussi complète que possible des sources de risque et se déroule selon une méthodologie choisie en fonction des conclusions de l’étape précédente, c’est-à-dire l’analyse contextuelle.
D’ où la nécessité de recueillir des informations, par le biais d’expériences directes, d’entretiens, d’analyses de rapports, d’enquêtes, d’évaluations, etc., d’être aussi exactes que possible.
Les méthodes d’identification des risques sont les plus diverses, fondées sur des critères et approches différents. Qui mène les activités d’identification des risques choisir celui qui convient le mieux à la réalité à analyser.
La norme de référence, à savoir la norme ISO 31010 « Techniques d’évaluation des risques », à l’annexe B, décrit en détail 41 techniques d’identification et d’évaluation des risques. Parmi ceux-ci, nous mentionnons quelques-uns :
- Remue-méninges . Il prévoit de stimuler et d’encourager une conversation libre entre un groupe de personnes compétentes afin d’identifier la faillite potentielle et les dangers, les risques, les critères de décision et/ ou les options de traitement qui y sont associés. Le terme « remue-méninges » est souvent utilisé très librement pour désigner tout type de discussion de groupe. Cependant, le vrai remue-méninges implique des techniques spéciales pour essayer de s’assurer que l’imagination des gens est déclenchée par les pensées et les déclarations des autres membres du groupe. Le remue-méninges peut être formel ou informel. Le remue-méninges formel est plus structuré avec les participants ont préparé à l’avance, et la session a un but et un résultat définis avec des moyens d’évaluer les idées. Le remue-méninges informel est moins structuré.
- Entretiens structurés ou semi-structurés . Au cours d’une entrevue structurée, on pose aux répondants une série de questions préparées qui l’encouragent à voir la situation sous un angle différent, puis à cerner les risques dans cette perspective. Un ensemble de questions est créé pour guider l’entrevue. Les questions doivent être ouvertes, simples et de préférence se rapporter uniquement à un thème particulier.
- Méthode Delphi . Nous faisons appel à un groupe d’experts sélectionnés qui répondent à une série de questionnaires. Les questions sont généralement formulées sous forme d’hypothèses sur lesquelles les membres se prononcent sur une période déterminée et en deux ou trois séries de questions. Chaque tour est suivi d’une rétroaction sur précédente série de réponses fournies.
- Listes de contrôle . Il s’agit de listes de dangers, de risques ou d’erreurs de contrôle qui ont généralement été établies à partir de l’expérience, à la suite d’une évaluation antérieure des risques ou à la suite de défaillances antérieures. Ils peuvent également être utilisés par des non-experts car ils sont pré-compilés et créés pour des contextes similaires à celui à analyser.
- Analyse des risques primaires pour les PVVIH . Méthode inductive qui a lieu en identifiant les événements potentiellement nuisibles. Dans la pratique, l’analyse est gérée par un contremaître (gestionnaire des risques) qui dirigera le groupe de travail qui doit être composé de membres capables de couvrir toutes les compétences nécessaires. Cette approche amène le groupe de travail à déterminer l’impact des dangers potentiels sur le système. Les résultats sont présentés dans un tableau
- HAZOP Danger et Operabilité . Il s’agit d’un examen structuré et systématique d’un produit, d’un procédé, d’une procédure ou d’un système planifié ou existant. Il s’agit d’une technique permettant d’identifier les risques pour les personnes, l’équipement, l’environnement et/ou les objectifs organisationnels. Il examine systématiquement comment chaque partie du système, processus ou procédure réagira aux changements dans les paramètres clés. Les étapes d’une étude HAZOP comprennent la nomination d’une personne ayant la responsabilité et l’autorité nécessaires pour mener l’étude et veiller à ce que toutes les mesures découlant de l’étude soient terminées, la définition des objectifs et de la portée de l’étude, la définition d’un groupe d’étude multidisciplinaire.
- Analyse des dangers HACCP et maîtrise des points critiques (HACCP) . Fournit une structure d’identification des dangers et effectue des contrôles dans toutes les parties pertinentes d’un procédé afin de se protéger contre les dangers et de maintenir la fiabilité et la sécurité de la qualité d’un produit. HACCP vise à s’assurer que les risques sont réduites au minimum par des contrôles tout au long du processus plutôt que par la surveillance du moment final.
- Évaluation des risques environnementaux . Il est utilisé ici pour couvrir le processus d’évaluation des risques résultant de l’exposition à un certain nombre de dangers. Il fait référence aux étapes de la prise de décisions, y compris l’évaluation des risques et le traitement des risques. La méthode consiste à analyser le danger ou la source des dommages et comment il affecte la cible et les voies par lesquelles le danger peut atteindre une population cible sensible. Ces renseignements sont ensuite combinés pour fournir une estimation de l’étendue et de la nature probables des dommages.
- SWIFT (et si structure) . Il s’agit d’une étude systématique en équipe visant à inciter les participants à identifier les risques. L’animateur et l’équipe utilisent les hypothèses de « ce qui se passerait si » en combinaison avec les instructions relatives à étudier comment un système, une organisation ou une procédure seront affectés par les écarts par rapport aux opérations et aux comportements normaux. Le contexte externe et interne sont établis par des entrevues et par l’étude de documents, de plans et de dessins. Normalement, l’objet, la situation ou le système d’étude sont divisés en nœuds ou éléments clés pour faciliter le processus d’analyse.
- Analyse de scénario. Il peut être utilisé pour identifier les risques en tenant compte des évolutions futures possibles et en explorant leurs implications. Série de scénarios qui reflètent (p. ex.) Le « meilleur cas », le « pire cas » et le « cas attendu » peuvent être utilisés pour analyser les conséquences potentielles et leurs probabilités pour chaque scénario comme analyse de forme de l’analyse de sensibilité au cours de l’analyse du risque.
- Analyse de l’impact sur l’entreprise. Également connu sous le nom d’évaluation d’impact sur les entreprises, analyse comment les risques de perturbation pourraient affecter les opérations d’une organisation et déterminer et quantifier les capacités qui seraient nécessaires pour la gérer. En particulier, une BIA vous permet de :
- Identifier les problèmes critiques des principaux processus opérationnels, fonctions et ressources, ainsi que les interdépendances existantes pour une organisation ;
- comprendre comment les événements perturbateurs affecteront la capacité et la capacité d’atteindre les objectifs stratégiques de l’entreprise ;
- déterminer les compétences nécessaires pour gérer l’impact d’une panne et rétablir l’organisation aux niveaux opérationnels convenus.
Une BIA peut être réalisée à l’aide de questionnaires, d’entrevues, de séminaires structurés ou de combinaisons des trois, afin d’obtenir une compréhension des processus critiques, des effets de la perte de ces processus et des temps de récupération requis et des ressources de soutien.
- Effet mode de défaillance fichier d’analyse . Il s’agit d’une technique utilisée pour identifier les façons dont les composants, les systèmes ou les processus ne répondent pas à leur intention de conception. Dans l’analyse, il est nécessaire d’énumérer tous les « défauts » possibles, et pour chacune de toutes les causes possibles, tous les effets possibles, contrôles en place (prévention ou détection). Pour toutes les combinaisons de causes de défaillance, trois facteurs doivent être évalués : P (probabilité d’occurrence), G (gravité des dommages), R (probabilité de détection par les témoins en place). Le produit de ces facteurs nous fournit un indice de priorité de risque.
- Analyse de l’arbre des erreurs . Il s’agit d’une technique permettant d’identifier et d’analyser les facteurs qui peuvent contribuer à un événement indésirable spécifié (appelé « événement principal »). Les facteurs causaux sont identifiés de façon déductive, disposés logiquement et représentés de façon picturale dans un diagramme d’arbre illustrant les facteurs Causal et leur relation logique avec l’événement principal. Les facteurs identifiés dans la structure de l’arbre peuvent être des événements associés à des défaillances structurelles, des erreurs humaines ou d’autres événements pertinents menant à des événements indésirables.
- Analyse de l’arbre des événements . Il s’agit d’une technique graphique pour représenter des séquences d’événements mutuellement exclusives suite à un événement de démarrage basé sur le fonctionnement ou la défaillance des différents systèmes conçus pour atténuer les conséquences. Il peut être appliqué à la fois qualitativement et quantitativement.
- Analyse des causes et des conséquences. Il s’agit d’une combinaison des deux systèmes ci-dessus. Nous partons d’un événement critique et analysons les conséquences à l’aide d’une logique Oui/Non représentant les conditions qui peuvent se produire ou les défaillances du système conçues pour atténuer les conséquences de l’événement Initial. Les causes des conditions ou des défaillances sont analysées au moyen de arbre.
- Analyse de cause à effet . Méthode structurée pour identifier les causes possibles d’un événement ou d’un problème indésirable. Organisez les facteurs contributifs possibles en catégories afin que vous puissiez tenir compte de toutes les hypothèses possibles. Il n’indique pas les causes réelles, car elles ne peuvent être déterminées que par des preuves réelles et des tests d’hypothèses empiriques. Il est utilisé pour permettre à une équipe d’experts de prendre en compte tous les scénarios et causes possibles et vous permet d’établir un consensus sur les causes les plus probables qui peuvent ensuite être testées empiriquement ou en évaluant les données disponibles.
- Analyse de la protection des couches . Méthode semi-quantitative pour estimer les risques associés à un événement ou à un scénario indésirable. Analyser s’il existe suffisamment de mesures pour contrôler ou atténuer les risques. Une paire de causes à conséquence est sélectionnée et les niveaux de sécurité sont identifiés Maladies conséquentes qui atténuent l’apparition de la cause conduisant à des conséquences indésirables. Un calcul de l’ordre de grandeur est effectué pour déterminer si la protection est suffisante pour réduire le risque à un niveau tolérable.
Il est évident que les techniques ci-dessus permettent différentes approches pour identifier, analyser puis peser les risques, et que la personne responsable de l’obligation de mener à bien le processus, le gestionnaire du risque, doit, par rapport aux objectifs, ressources, compétences disponibles, calendrier, structure de l’organisation, choisir le plus approprié et le plus performant.
La phase d’identification suit celle de l’analyse et de la quantification des risques. Il s’agit de comprendre la priorité de chaque risque et de guider les choix des étapes suivantes, à savoir le traitement, le transfert, l’acceptation du risque.
La phase est certainement la plus délicate et importante car elle permet à la direction de l’entreprise de baser leurs actions sur un cadre d’information complet.
Il est important de ne jamais perdre de vue les objectifs de l’organisation, de l’entreprise, d’identifier non seulement les dommages potentiels d’un risque, mais aussi les opportunités qu’il cache pour être en mesure d’identifier les priorités d’intervention et les risques tolérables.
L’ estimation des risques commerciaux permet d’identifier les effets économiques/sur le capital et la probabilité d’éventuelles manifestations de risque.
Trois types de techniques de pondération des risques peuvent être utilisés pour atteindre cet objectif :
- qualitatif ;
- Semi-quantitatif :
- Quantitatif
Les techniques qualitatives utilisent une méthode descriptive pour estimer les effets et les probabilités de l’apparition du risque.
Les techniques semi-quantitatives permettent d’attribuer des valeurs numériques à des catégories descriptives qui, cependant, ne sont pas une quantification des effets économiques ou probabilité.
Les techniques quantitatives permettent une certaine importance des différents types de risques.
Les techniques qualitatives et semi-quantitatives sont plus simples et moins coûteuses à mettre en œuvre que les techniques quantitatives. Toutefois, il convient de souligner qu’une évaluation précise des risques est possible en quantifiant ces risques. Il est donc pratique d’utiliser des techniques semi-quantitatives et, le cas échéant, d’utiliser des techniques quantitatives pour estimer les principaux risques.
Pour procéder à une évaluation appropriée des risques, les entreprises effectuent une analyse coûts-avantages en identifiant un niveau critique au-delà duquel des mesures d’atténuation sont nécessaires.
De cette façon, nous identifions :
- les risques non tolérables pour lesquels des mesures d’atténuation doivent être prises car elles pourraient causer des dommages à l’entreprise ;
- risques tolérables que tout en entraînant des effets négatifs, mais aussi les possibilités pour lesquelles il est nécessaire de procéder à une analyse coûts-avantages ;
- les risques négligeables, qui, pour les rendements positifs et négatifs, peuvent ne pas être pris en compte par l’entreprise ou l’organisation.
Les résultats de l’évaluation des risques, et les décisions prises par rapport aux conclusions de la même, seront étroitement liés à la propension au risque de l’organisation, le soi-disant « appétit pour le risque » que si dans le monde financier elle identifie le niveau de risque que la banque a l’intention d’assumer pour la poursuite de ses objectifs stratégiques, dans le reste des organisations, il peut être compris comme le niveau de risque qu’elles acceptent de prendre par rapport à la réalisation de leurs objectifs, c’est-à-dire le seuil d’impact négatif, donné par la somme des risques identifiés, que vous êtes prêt à supporter.
Classification des risques
Le modèle de gestion des risques, tel qu’indiqué la même norme UNI ISO 31000 , est à toute organisation pour la gestion de tout type de risque et aujourd’hui il est stratégique, pour les entreprises, d’adopter un modèle de gestion des risques afin de générer des opportunités et des profits à travers un processus continu capable d’améliorer constamment l’organisation et ses processus en les affinant et en les adaptant aux changements continus de contexte interne et externe.
Il est utile à cette fin de classer les risques selon des critères qui, quels qu’ils soient, permettent, par le biais du processus continu de gestion des risques, d’avoir toujours une vision complète possible.
À cette fin, il est possible d’identifier :
- les risques internes découlant des choix de la direction de l’entreprise ;
- risques externes, exogènes mais ayant des implications en termes de ressources, de continuité, de résultats, etc. sur les entreprises ;
- les risques d’entreprise tels que les risques commerciaux, la fiabilité des clients, fournisseur, etc.
- les risques associés, c’est-à-dire ceux qui proviennent de variables qui ne sont pas directement liées aux principales activités des entreprises, qui dépendent souvent de facteurs externes.
- les risques purs ou ceux caractérisés par une très forte probabilité de survenance et sur lesquels l’organisation n’a pas la possibilité d’intervenir au niveau de probabilité de survenue mais exclusivement au moyen d’interventions ex post ou de transfert de risques ;
- les risques spéculatifs ou ceux qui sont liés à des moments d’incertitude et de volatilité peuvent être des signes avant-coureurs de rendements positifs et négatifs ;
- risques stratégiques ou liés au niveau stratégique de l’activité commerciale ;
- les risques opérationnels liés aux processus opérationnels ;
- risques financiers.
D’ innombrables classifications sont possibles, même ici, c’est la capacité du gestionnaire de risque de choisir, par rapport au mandat, l’objectif et surtout les résultats de la phase initiale de l’approfondissement du contexte, identifier ceux qui sont les plus pertinents pour la société ou la réalité organisationnelle à l’étude.
Qu’ est-ce que la gestion des risques d’entreprise
Depuis le développement des activités de gestion des risques, au fil du temps, il est venu à l’élaboration d’un modèle encore plus avancé de gestion des risques, à savoir la gestion des risques d’entreprise (GRE) . Cela consiste à intégrer pleinement les activités de gestion des risques avec toutes les fonctions et processus opérationnels, en les inscrivant de manière structurée, capillaire et sous supervision et adresse (un niveau d’indication des objectifs) du « conseil d’administration ».
Les diverses fonctions et processus opérationnels se concentrent sur des risques spécifiques, qu’il s’agit de la sécurité, de la finance, de la sûreté, du crédit, etc., en identifiant pour chaque processus un « propriétaire du risque », responsable de la gestion d’un risque spécifique et, en même temps, il y a une gestion coordonnée et transversale de tous les risques existants.
Cette approche permet une gestion globale du risque qui, dans une approche traditionnelle, se concentrerait sur des types individuels de risques. De cette façon, il est possible, ayant une vision générale, de se concentrer sur les types de risques les plus critiques.
Il est toujours possible de dire qu’un modèle de gestion des risques permet de mieux améliorer les aspects des possibilités inhérentes aux risques plutôt que d’atténuer les risques.
conclusions
La GRE veut que l’ensemble de l’organisation continue un modèle de gestion du risque partagé et participative, ce qui le rend encore plus efficace et efficient.
L’ idée de base est comparable à celle qui imprègne le modèle de gestion de la protection des données à caractère personnel réglementé par le RGDP dans lequel des concepts tels que la vie privée par conception, par défaut, minimisation, légalité, responsabilité, etc. imprègnent tous les processus opérationnels ou qui, dans tous les cas, inspirent les différents modèles de gestion tels que la sécurité de l’information, le modèle 231 , la sécurité de la gestion du modèle au travail. Chacun d’entre eux est en fait concevable comme une déclinaison d’un modèle de gestion des risques, qui concerne notamment un risque ou une catégorie de risques.
La valeur ajoutée d’un tel modèle enraciné est sa capacité à créer une structure capillaire capable d’identifier les risques à tous les niveaux, de les gérer dans sa propre sphère d’influence, de ramener à la structure supérieure toutes les informations nécessaires à l’amélioration des processus et du modèle lui-même, mettre en œuvre des mesures de traitement des risques aussi répandues.