Comment établir la cartographie des risques de son entreprise

Il n’existe pas de croissance, ni de création de valeur dans une entreprise, sans prise de risque. Ces risques peuvent affecter la capacité de l’entreprise à atteindre ses objectifs s’ils ne sont pas correctement gérés et maîtrisés.

Le risque représente la possibilité qu’un événement survienne et dont les conséquences seraient susceptibles d’affecter les personnes. Comment établir la cartographie des risques de l’entreprise, les actifs, l’environnement, les objectifs de la société ou sa réputation.

La gestion des risques comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques de chaque entreprise. Elle permet à l’entreprise de maintenir les risques à un niveau acceptable. La prévention des risques est un processus qui permet de donner une assurance raisonnable quant à la maîtrise des risques inhérents à l’activité de l’entreprise. 

Pourquoi établir sa cartographie des risques ?

La cartographie des risques constitue l’instrument le plus pertinent pour identifier, évaluer et hiérarchiser les risques d’une organisation. C’est le premier travail pour toutes actions de diminution, de contrôle ou de transfert des risques.

Le résultat de cartographie donne une vue hiérarchisée des risques et peut prendre différentes formes : représentation graphique en général.

La réalisation d’une cartographie des risques doit répondre aux objectifs suivants :

• Identifier l’ensemble des risques selon leurs impacts et leurs fréquences sur les objectifs de l’organisation ;
• Évaluer la criticité de ces risques afin de définir des plans d’actions pour les réduire, les contrôler ou les transférer ;
• Élaborer graphiquement une représentation des risques en fonction de leur impact pour l’entreprise ;
• Donner l’impulsion à un processus de gestion des risques organisé ;
• Favoriser l’élaboration du rapport (ou plan) de contrôle interne.

Une étape préliminaire d’analyse d’état des lieux est nécessaire. Elle consiste en une analyse documentaire, définition de la démarche de travail et de la méthodologie. Aussi, la définition des objectifs et de l’appétence aux risques de l’entreprise sont primordiale dans le processus de gestion des risques.

La gestion des risques est un processus structuré et continu qui consiste à :

• L’identification des risques;
• L’évaluation des risques;
• Le traitement des risques;
• Le pilotage des risques.

1. L’identification des risques

L’identification des risques s’inscrit dans une démarche continue. Elle constitue une étape permettant de recenser les risques menaçant l’atteinte des objectifs.

Le choix des méthodes et d’outils nécessaires à la mise en place d’une cartographie des risques demeure une étape importante et primordiale étant donné que la qualité de données collectées aura un impact sur la qualité de la cartographie.

Plusieurs techniques peuvent être utilisé tels que le Brainstorming, la Check-list, les questionnaires, les avis d’experts, les conclusions d’audit, l’analyse des données historiques, etc.

1.1. Techniques d’identification 

Plusieurs techniques sont utilisées lors de cette étape soit en entretien individuel ou en atelier, à savoir :

• Brainstorming ;
• Questionnaires ;
• Check-list ;
• Avis d’expert ;
• Analyse de données historiques ;
• Etudes économiques relatifs à chaque processus et décrivant les facteurs internes et les facteurs externes pouvant influencer ces processus ;
• Comparaisons sectorielles et benchmarking ;
• Analyse de scénarios ;
• Ateliers d’appréciation des risques ;
• Enquêtes sur les incidents / accidents ;
• Audit et inspection ;
• HAZOP (Études de Risque et d’Opérabilité) ;
• AMDEC (Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité)

1.2. Démarche d’identification

La diversité des domaines explorés qui vont de l’entreprise, du niveau local au niveau global, nécessite des approches d’élaboration de la cartographie des risques différentes. En théorie, il existe huit principales démarches à savoir :

• le bottom-up ;
• le top down ;
• l’approche combinée ; 
• l’approche par le benchmarking ;
• l’approche par l’auto-évaluation ;
• l’approche par analyse et synthèse rationnelle des risques ;
• les points d’entrée ;
• la macro cartographie.

Selon le secteur de l’entreprise, la démarche préconisée est l’approche combinée qui est bien cotée par rapport aux autres, où les risques sont déterminés parallèlement par les managers et les opérationnels. Les approches Top down et Bottom up deviennent alors particulièrement complémentaires pour assurer une mesure pragmatique des risques opérationnels.

L’approche top-down :

L’approche top-down, dite descendante, consiste à faire détecter les risques par la hiérarchie. Elle a comme avantage de mettre clairement en exergue la volonté de la direction générale de donner une impulsion dans la mise en place d’un processus de Risk Management. L’identification des risques s’effectue par des entretiens individuels avec le Top Management.

L’approche bottom-up :

L’approche bottom-up dite ascendante consiste à faire identifier les risques par les opérationnels. Cette démarche permettra de mieux apprécier les risques opérationnels de tout type et même ceux de faible impact, mais dont le cumul peut avoir un impact non négligeable pour l’entreprise.

2. L’analyse des risques

L’analyse des risques est une étape consistant à examiner les conséquences potentielles des risques (conséquences qui peuvent être notamment financières, humaines, juridiques, ou de réputation) et à apprécier leur possible occurrence.

Elle vise à quantifier la gravité, la probabilité du risque, à en déterminer ses causes et ses conséquences (dommage ou préjudice) et à identifier des actions correctives et préventives possibles.

La phase d’analyse doit inclure les trois activités suivantes :

• L’évaluation des risques bruts notamment leurs probabilités (fréquence) et leurs impacts s’ils survenaient;
• L’évaluation des actions de maîtrise des risques existantes ;
• L’évaluation des risques nets (résiduels) en prenant en compte les actions de maîtrise.

2.1. Évaluation des risques bruts

Cette étape consiste à évaluer le risque en prenant en compte son impact et sa probabilité :

• La probabilité qu’un événement non souhaité survienne ;
• Les impacts : ensemble des conséquences engendrées par la survenance d’un événement non souhaité

Probabilité du risque :

Il s’agit d’évaluer les « chances » que les conséquences (impacts) se manifestent à chaque fois que la situation engendrant le risque se présente.

À ce stade, la cotation des risques s’effectue sans tenir compte des éléments de maîtrises existantes. On cherche ici à quantifier le risque brut.

La détermination de la probabilité de survenance du risque se fait par l’estimation de l’occurrence des événements pouvant être à l’origine du risque. L’échelle de mesure de la probabilité doit être établie et adaptée à l’entité et l’activité.

Impact du risque :

Le deuxième attribut caractérisant un risque est son impact, c’est-à-dire la perte subie si le risque survient. L’impact est souvent exprimé par un montant (ou un terme qualifiant ce montant) qu’une organisation est disposée à débourser afin d’éviter que le risque se produise.

À titre indicatif, l’impact si le risque se concrétise peut-être décliné en plusieurs catégories, à savoir :

• L’impact financier : perte financière, baisse des revenus, hausse des coûts, direct ou indirect, immédiat ou à terme, etc.
• L’impact juridique : responsabilité civile et/ou pénale, sanctions légales et/ou professionnelles, etc.;
• L’impact sur l’image : dégradation de l’image, réputation remise en cause;
• Etc.

Criticité du risque brut :

La combinaison des deux critères (probabilité et impact) permet d’évaluer la criticité du risque :   

Criticité du risque = Probabilité x Impact

Le calcul de la criticité des risques permet l’établissement de la matrice des risques bruts. C’est une table qui représente tous les résultats possibles selon les valeurs attribuées au deux critères d’évaluation, soit la probabilité et la fréquence.

2.2. Évaluation des actions de maîtrise

L’action de maîtrise se définit comme le moyen existant pour permettre de réduire ou d’éliminer le risque. Il peut porter aussi bien sur la fréquence que sur l’impact du risque à titre préventif ou correctif.

Les actions de maîtrise sont constituées généralement de :

• Missions et tâches données aux collaborateurs ;
• Règlements, manuels de procédures, note d’instruction, modes opératoires, etc. ;
• Directives, consignes, règles claires et écrites ;
• Outils de reporting, tableaux de bord, indicateurs, etc. ;
• Systèmes informatiques ;
• Organigrammes ou structures clairement définis et formalisés ;
• Activité de contrôle et de vérifications : auto-contrôle, contrôle humain, contrôle automatique, audit, inspection, etc. ;
• Séparation des tâches ;
• Délégations de pouvoirs formalisées ;
• Etc.

Ces actions doivent être identifiées en premier lieu. Pour chaque risque, il convient de recenser les actions s’y rapportant. Il peut y avoir, alors, plusieurs actions de maîtrise. Il est nécessaire, dans ce cas, d’apprécier l’efficacité conjuguée de ces éléments de maîtrise par rapport au risque.

Il faut noter que si chaque risque peut être associé à un ou plusieurs actions de maîtrise, il est probable aussi qu’une même action de maîtrise peut venir agir sur plusieurs risques.

Chaque action de maîtrise est notée selon une échelle. Une notation globale des éléments de maîtrise devra être réalisée selon:

• L’existence d’actions de maîtrise ;
• L’efficacité conjuguée de ces différentes actions de maîtrise.

L’échelle d’appréciation des actions de maîtrise doit être établie et adaptée à l’activité de chaque entité de l’entreprise.

2.2. Évaluation des risques nets

Le risque net (ou résiduel) est la valeur attribuée aux risques après la prise en compte de l’effet protecteur des actions de maîtrise en place.

Risque net = Fréquence x Impact x Action de maîtrise

En comparant pour chaque risque, son niveau de risque brut et son niveau de maîtrise, il est possible de classer les risques par ordre de priorité dans une matrice de priorisation.

Le poids du risque ainsi déterminé permet une hiérarchisation des principaux risques et une priorisation des plans d’actions peut être établie. Le résultat de cette évaluation permet d’établir la matrice de priorisation des risques.

La matrice de priorisation permet de hiérarchiser les risques nets entre ceux qui doivent être renforcé par des actions de maîtrise en priorité et ceux qui nécessitent plus une surveillance que des actions de maîtrise.

Les risques prioritaires sont les risques ayant un niveau de risque brut maximum et un niveau de maîtrise faible :

• Les zones 1 et 2 sont des zones où la maîtrise doit être renforcée ;
• La zone 3 est une zone d’optimisation possible (en terme d’action de maitrise si elle est couteuse) ;
• La zone 4 est une zone où la maîtrise doit être surveillée car couvre un risque grave ;
• La zone 5 est une zone moins prioritaire, où la maitrise doit être maintenue mais non surveillée ;
• La zone 6 ne nécessite pas d’action.

3. Traitement des risques

Pour maintenir les risques dans les limites acceptables, plusieurs mesures peuvent être envisagées : la réduction, le transfert, la suppression ou l’acceptation d’un risque.

Le choix de traitement s’effectue notamment en arbitrant entre les opportunités à saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets possibles sur l’occurrence et/ou les conséquences du risque.

Lors de cette étape, il s’agit de répondre aux risques identifiés et hiérarchisés à l’aide de la matrice de risques, tout en vérifiant l’efficacité des actions de contrôle. L’action de réponse diffère selon la criticité du risque et l’appétence aux risques de l’entreprise ou l’entité.

3.1. Stratégie de traitement des risques

En général, quatre types de traitement existent : tolérance, traitement, transfert, suppression.

Le choix optimal et efficient de l’entreprise est guidé par l’effet des traitements sur le risque et le rapport coût/bénéfice des traitements potentiels.

Ainsi, après avoir évalué les risques, une stratégie de réponse doit être faite selon le coût/avantage entre effets du risque et coût de la façon de traitement :

• Acceptation : c’est-à-dire que l’on accepte de courir le risque. Choix opportun s’il correspond à la stratégie et aux limites de tolérance définies par celle-ci. Mais choix catastrophique s’il n’est que le résultat du hasard ou du manque d’information. Cette décision est envisageable lorsque le risque résiduel est inférieur à l’appétence au risque de l’entreprise tout en restant à un niveau acceptable.
• Partage : Partager le risque c’est le réduire en souscrivant à une assurance ou en mettant au point une joint-venture avec un tiers. Là également on perçoit l’exigence préalable d’une définition des limites de tolérance.
• Évitement : On fait disparaître le risque en cessant l’activité qui le fait naître. Cette mesure est prise lorsqu’il n’existe pour l’entreprise aucun moyen de réduire la fréquence et l’impact d’un risque résiduel qui reste supérieur à l’appétence au risque de l’entreprise.
• Réduction : On prend les mesures nécessaires pour réduire la probabilité ou l’impact du risque au travers l’amélioration du contrôle interne.

3.2. Plan d’action

Après avoir choisi la façon de traiter chaque risque, les entités concernées doivent proposer en concertation avec le management, et en tenant compte de l’appétence de l’entreprise aux risques, l’action ou les actions à appliquer pour chaque risque.

En effet, cette étape consiste à proposer un plan d’action pour éliminer ou contrôler les risques, soit en minimisant la probabilité ou l’exposition, soit en atténuant les conséquences potentielles. Ceci implique une multitude et une variété de moyens pour éliminer, contrôler, réduire et atténuer les risques. Il est important de ne pas se limiter puisque certaines solutions s’élimineront d’elles-mêmes lors de l’évaluation de la faisabilité.

4. Revue et suivi des risques

Le processus de management des risques est piloté dans sa globalité et modifié en fonction des besoins. Le pilotage s’effectue au travers des activités permanentes de management des risques et par les évaluations périodiques.

4.1. Activité de suivi

La phase de suivi vise à recueillir l’information pertinente permettant de mettre à jour les fiches de risque et de présenter cette information aux entités concernée.

Dans le cadre du suivi permanent des risques, il est nécessaire de mettre en œuvre et de s’appuyer sur un certain nombre d’outils :

• Le suivi de la mise en œuvre des plans d’actions ;
• La réalisation de « plan de contrôles », afin de vérifier que les actions de maîtrise ont effectivement été mises en place ;
• La définition et la mise en place d’indicateurs de suivi de l’évolution des risques.

Ces éléments sont nécessaires pour actualiser la cartographie des risques, prendre une décision à l’égard des risques se modifiant dans le temps et alimenter les reporting internes ou externes.

4.2. Revue de la cartographie des risques

Avoir finalisé la cartographie des risques représente une étape essentielle. Encore faut-il, ensuite, faire vivre cette cartographie des risques, en l’actualisant régulièrement. À défaut, et compte tenu de la rapidité de l’évolution de l’activité de l’Office, cette cartographie deviendrait rapidement inopérante.

En effet, des facteurs tels que les évolutions réglementaires, les nouveaux risques, les incertitudes croissantes liées à l’environnement, rendent indispensables cette actualisation.

La revue de la cartographie constitue un processus continu dans le sens que l’état des risques fait l’objet d’un examen périodique et est communiqué à intervalles réguliers aux responsables concernés.