Chaque entreprise est unique, avec ses propres défis, opportunités et risques.
Qu’il s’agisse de répondre aux exigences du contrôle interne, de se conformer aux normes ISO ou de respecter des exigences légales, il est essentiel pour les entreprises d’avoir une gestion efficace des risques.
Découvrez ici une méthode en 5 étapes, appliquée avec succès chez nos clients pour identifier et évaluer les risques.
1/ Objectif et périmètre de la gestion des risques
Il s’agit en premier lieu de définir le « pourquoi » de la mise en place d’une gestion des risques. Cette étape est la plus importante, car elle servira de colonne vertébrale à votre stratégie de traitement des risques.
Le cadre de départ peut se définir sur 3 aspects :
- Le cadre géographique, c’est-à-dire les lieux ou sites inclus dans la gestion des risques
- Les activités ou processus concernés
- Les familles de risques maîtrisées par la gestion des risques
Les familles de risques diffèrent selon les objectifs de votre gestion des risques (mettre en place un contrôle interne, obtenir une certification ISO 27001, etc.). Voici quelques exemples de familles de risques :
- Financiers : risques pouvant faire perdre de l’argent à l’entreprise
- États financiers : risques d’informations comptables erronées, anomalies dans les comptes
- Conformité : risques pouvant rendre l’entreprise non conforme à des normes et lois (exigences FINMA ou ACPR, certifications ISO, etc.)
- Opérationnels : risques empêchant l’entreprise de réaliser ses objectifs et sa mission
- Environnementaux : risques portant atteinte à l’environnement
- Santé et sécurité des personnes : risques pouvant atteindre la santé physique ou psychologique des collaborateurs ou personnes en lien avec l’entreprise
- Sécurité de l’information : risques liés à la confidentialité, l’accessibilité et l’intégrité des données
De la même manière, il ne sera pas nécessaire de traiter toutes les familles de risques ou d’y accorder la même importance selon votre secteur d’activité. Voici les familles de risques généralement couvertes selon les secteurs :
- BTP : risques environnementaux, risques santé et sécurité au travail (SST), etc.
- Assurance/Mutuelle : risques financiers, risques de sécurité de l’information, etc.
- Banque : risques financiers et liés aux états financiers, risques de conformité, etc.
2/ Identification des risques
Plusieurs méthodes existent pour identifier les risques :
Brainstorming : cela consiste à organiser des séances avec les collaborateurs afin d’identifier les risques auxquels ils sont confrontés. Cette approche favorise l’émergence d’idées variées, mais attention à ne pas en faire trop !
Processus : les risques proviennent généralement des activités ou processus réalisés dans l’entreprise. Ainsi, pour chaque processus, il faut se poser la question : « quels sont les risques liés à cette activité ou liés aux familles de risques retenues ».
Actifs : il s’agit d’évaluer les actifs et les ressources de l’entreprise pour identifier les risques qui peuvent les affecter. Les actifs peuvent être physiques, financiers, technologiques ou humains. Cette démarche est parfois exigée, notamment dans le cadre de la certification ISO 27001.
Dans le premier exemple ci-dessous, nous partons du processus « facturation des prestations » sur lequel nous avons identifié deux risques. Dans le second exemple, nous partons de l’actif informationnel « informations médicales du patient » sur lequel deux risques ont aussi été identifiés.
Cette phase d’identification peut générer une multitude de risques et bien qu’ils soient envisageables, il est recommandé de rester au plus proche de la réalité. Ainsi, priorisez les risques commençant par les situations déjà vécues dans l’entreprise ou chez d’autres acteurs du marché.
3/ Identification et description des moyens de maîtrise
Les moyens de maîtrise sont mis en place pour réduire la probabilité de survenance d’un risque et/ou son impact s’il se produit. Ces moyens peuvent être des contrôles (automatisables avec le logiciel Optimiso Suite), des procédures, du matériel, des assurances, etc.
Décrire les moyens de maîtrise permet :
- De diminuer les erreurs
- De garantir que les contrôles soient réalisés
- De clarifier les responsabilités des collaborateurs
- D’assurer la continuité de l’activité en cas d’absence
4/ Évaluation des risques
Une fois les risques et moyens de maîtrise correctement identifiés, vous allez pouvoir les évaluer. Cette évaluation permettra de définir si les moyens de maîtrise sont suffisants et s’il faut les renforcer.
Dans certaines normes ou lois, l’évaluation des risques n’est pas obligatoire. Elle présente cependant des avantages comme :
- Prioriser les risques afin de mettre en place un plan d’action adapté aux risques critiques
- Mettre en avant l’importance de certains risques
- Assurer une vision commune sur les risques
Il est courant de voir deux types d’évaluation des risques : le risque brut et le risque net. Pour éclaircir ce sujet, lisez notre article : « Quelle différence entre risque brut et risque net ? ».
Si nous reprenons nos exemples de risques, les évaluations brutes et nettes sont différentes. Cette vision permet de prioriser les actions à mettre en place pour limiter la probabilité d’apparition et l’impact des risques.
5/ Traitement des risques
Quatre stratégies existent pour traiter les risques : éviter le risque, le réduire, le transférer ou l’accepter. Prenons comme exemple le « risque de divulgation des données » :
- Éviter : ne plus traiter les informations médicales des patients. Cette solution reste difficilement envisageable.
- Réduire : réaliser un audit annuel de la sécurité des données par une société experte
- Transférer : souscrire à une cyber-assurance
- Accepter : ne pas faire de ce risque une priorité et ne conserver que les moyens de maîtrise actuels
Vous avez désormais toutes les clés en main pour mettre en place une gestion des risques efficace et utile pour tous. Afin de garantir son efficacité dans le temps, il est recommandé de réévaluer les risques chaque année et d’analyser la performance des moyens de maîtrise. En cas de manquement, vous pourrez ainsi les ajuster.
Un logiciel de management des risques tel qu’Optimiso Suite vous aidera grandement au quotidien : vous bénéficierez d’une gestion des risques centralisée, d’un suivi des risques automatisé, d’une cartographie des risques et d’une solution approuvée par les auditeurs.