Voici rien que pour vous 7 questions clés à se poser avant de se lancer dans l’aventure magique d’une cartographie des risques. Et n’oubliez pas d’y répondre !
Quel est le périmètre d’investigation et de réflexion ? La cartographie va-t-elle porter sur la totalité des activités et de l’extension géographique du groupe ou de la société ? S’agit-il de couvrir tous les processus de l’entreprise ou seulement les principaux ? Le choix peut être encore plus ciblé, dans la mesure où la méthodologie de cartographie des risques est déclinable pour analyser les risques d’un projet (implantation, acquisition, construction…) ou d’une thématique spécifique (HSE, cyber, corruption, risques assurables…). La première étape consiste donc à définir son terrain de jeu.
Quelle est la modalité de déploiement la plus appropriée ? On distingue généralement la démarche dite descendante (top-down) de l’ascendante (bottom-up). Le déploiement en top down nécessite l’implication et l’arbitrage sur les risques majeurs « par le haut », c’est-à-dire au niveau de l’équipe direction. Cette approche peut être déployée au niveau de toute l’entreprise, mais également à l’échelle d’une division, d’une branche ou d’une business unit. En déploiement bottom-up, les opérationnels sont sollicités pour identifier et faire remonter les risques jusqu’au responsable de l’activité ou de l’entité analysée pour consolidation et arbitrage. Chaque approche présente des avantages, mais pour un premier exercice, si aucune analyse n’est encore déployée, une cartographie en mode top-down est sans doute un bon moyen d’initier efficacement un processus de gestion des risques.
Quelle définition du risque proposer dans le cadre du projet ? Les différents référentiels de gestion des risques (COSO, ISO 31000, Cadre de référence de l’AMF sur les dispositifs de gestion des risques…) proposent des définitions. Si l’une d’elles vous convient parfaitement, tant mieux ! Dans le cas contraire, un travail d’adaptation, en fonction des caractéristiques de votre approche et de votre organisation sera nécessaire.
Quelle est l’appétence au risque de l’organisation ? L’appétence constitue l’élément clé et la première étape du dispositif ERM (Enterprise Risk Management) d’une entreprise. L’appétence au risque peut être assimilée au niveau global qu’une organisation est prête à assumer au regard de la réalisation de ses objectifs stratégiques. Cette appétence permet ainsi de distinguer quels risques sont à traiter, à surveiller à accepter ou à prendre ! Elle doit être définie et calibrée par les organes de gouvernance (conseil d’administration et direction générale).
Comment évaluer les risques ? Derrière cette question, il y a le choix des échelles à mettre en place pour l’évaluation des risques. Compte tenu des caractéristiques clés d’un risque, les critères d’impact (gravité) ou de fréquence (probabilité) sont généralement utilisés pour coter les risques. L’estimation des conséquences du risque (impact) peut être faite uniquement à l’aune financière ou a contrario en combinant différents types d’impacts tels que l’impact financier, l’humain (clients, collaborateurs) ou la réputation par exemple. C’est un choix managérial, qui doit être évoqué au début du projet puis confirmé à l’issue de la phase d’analyse des risques.
Exemple – Echelle d’impact
De la même manière, pour la fréquence, des échelles doivent permettre de qualifier l’occurrence du risque. On peut opter pour une approche probabiliste (la probabilité d’un événement étant le pourcentage de « chances » que cet événement se produise), une approche fréquentielle du nombre d’événements sur une période donnée (par exemple, une fois tous les cinq ans) ou une approche par la vraisemblance consistant à se prononcer sur une possibilité de survenance du risque ou une potentialité qu’il se produise.
Exemple – Echelle d’occurrence
Outre l’impact et la fréquence, nous vous recommandons d’ajouter un troisième critère qui est la marge d’amélioration. Ce critère revient à se demander si, par rapport au risque considéré l’organisation a la possibilité (technique et/ou financière) de compléter les dispositifs de prévention / protection déjà en place. Ce critère permet notamment de dégager des priorités d’action, pour se focaliser de manière ciblée sur les risques critiques et à forte possibilité d’amélioration.
Les représentations graphiques de ces mesures se font généralement sur une matrice dite de criticité (impact*fréquence) et une matrice de priorisation (criticité*marge d’amélioration). On peut également faire le choix d’une seule matrice, permettant de visualiser les trois évaluations.
Exemple de matrice de criticité
Matrice réalisée avec la solution GRC – Gouvernance Risques Conformité ArengiBox
Comment caractériser un risque ? Autrement dit, quelles sont les caractéristiques du risque à mettre en exergue et à formaliser dans une fiche d’analyse du risque aussi appelée « fiche risque » ? Un élément clé est bien sûr son titre ou son libellé, avec comme défi d’en trouver un, à la fois court et non ambigu. On peut également décider de catégoriser les risques (par processus, par nature, …). Il est communément admis que causes (ensemble des événements pouvant conduire à la manifestation des risques) et types de conséquences (impacts potentiels du risque) doivent également être décrits. En lien avec le critère de la marge d’amélioration, il est utile de recenser les dispositifs de maîtrise qui existent et éventuellement ceux qu’il est proposé de mettre en place. Last but not least, il faut également choisir un scénario de référence qui illustre le risque et les pertes maximales qu’il peut engendrer (autrement dit, sélectionner le pire des événements redoutés !).
Est-ce le bon timing ?
Le « quand ? » est tout aussi crucial que le « comment ? ». D’une part, le timing est clé, car les circonstances (fusion-acquisition, développement à l’international, verticalisation des activités, évolution de l’actionnariat…) peuvent considérablement influer sur une démarche de cartographie et la tournure de ses résultats. D’autre part, le timing est à surveiller car les suites de la cartographie (désignation de pilotes de risques, arbitrage sur les plans d’actions, mise à jour…) doivent pouvoir se connecter aux grands rendez-vous de l’organisation (plan stratégique, budget, évaluation annuelle des collaborateurs, revue des comités d’audit…). Donc, prendre du recul et repositionner le projet par rapport au contexte d’ensemble de l’organisation et par rapport à la vie de l’organisation est primordial !
Voilà, vous savez tout…il ne reste plus qu’à se jeter à l’eau !