LES ETAPES CLES D’UN PROJET DE CARTOGRAPHIE DES RISQUES

[En complément de cet article, nous vous invitons à consulter l’article Les questions à se poser avant de démarrer une cartographie des risques]

Pilier d’une démarche de gestion des risques, la cartographie en est bien souvent la première étape. Mais concrètement, comment se déroule ce projet clé, qui doit donner l’impulsion pour la suite des événements ? On distingue classiquement les différentes séquences suivantes :

Cartographie des risques - étapes

  1. Préparation

C’est une phase classique de tout projet, durant laquelle il faut préparer le terrain, faire des arbitrages méthodologiques, sélectionner ses interlocuteurs et introduire le projet au sein de l’organisation.

C’est une étape particulièrement cruciale, lorsqu’il s’agit du premier exercice de cartographie des risques. Il faudra notamment veiller à obtenir un portage par la Direction Générale, pour que le projet soit correctement et efficacement positionné. Il faudra également choisir si nécessaire le périmètre des risques que la démarche doit traiter (vision à 360° ? thématiques ciblées ? ou exclusion de certains sujets ?) ainsi que la partie de l’organisation qui doit être couverte (l’ensemble des activités ou certaines activités seulement) et les modalités de déploiement (démarche top down VS bottom-up).

Outre les arbitrages méthodologiques sur les échelles d’évaluation et la manière de caractériser un risque, le choix des parties prenantes à associer à la démarche est clé, car ces dernières fournissent une bonne partie du contenu de l’analyse et l’équilibre du panel ainsi constitué sécurise pour partie l’exhaustivité de la réflexion au regard du périmètre de risques retenu.

La préparation implique également de séquencer et planifier la démarche dans sa globalité et non pas seulement les premières étapes au risque de perdre le tempo et de grever le projet. Enfin, la communication doit également voir grand car s’il s’agit d’annoncer l’exercice de cartographie, c’est aussi l’occasion de communiquer sur la mise en place de la démarche de gestion des risques, sur sa raison d’être et ses objectifs.

  1. Identification

Les enjeux de cette étape sont de parvenir à un bon de niveau de confiance quant à la complétude du tour d’horizon et de disposer de résultats cohérents, notamment en termes de granulométrie. Et pour cela, il n’y a pas de méthode standard ni de recette miracle ! Par contre, il est impératif de recourir à différentes techniques et différents moyens d’investigation et de veiller à multiplier et croiser les points de vue.

Un prérequis est de disposer d’une bonne connaissance de l’organisation (ses activités et métiers, son fonctionnement et sa culture, son environnement réglementaire concurrentiel…) : si cela va sans dire, ça ira encore mieux en le disant !

Les techniques d’identification peuvent être diverses et variées et s’appuyer sur l’analyse du passé, l’évaluation de la situation actuelle et surtout la projection dans l’avenir à un horizon de 3-5 ans. L’identification peut être faite en raisonnant par rapport aux objectifs de l’entreprise et de ses directions / services en répondant aux questions suivantes : quels sont les objectifs et quelles sont les menaces pouvant affecter ces objectifs ? On peut également recourir à une approche systémique de l’organisation. Dans cette approche, on considère l’organisation comme un système doté d’un environnement (ce qui est dehors : le marché, la concurrence…), composé de sous-systèmes (ce qui est dedans : usine, services administratifs, points de vente…) et produisant des interactions (flux entrants et flux sortants entre l’environnement et les sous-systèmes : flux d’activité, de structure, d’information…) et on s’interroge sur les risques associés à chacun de ces éléments du système. Enfin, l’identification peut s’appuyer sur un univers de risques, c’est-à-dire un catalogue de risques classés par grande catégorie, qui peut être le fruit d’un premier exercice de cartographie ou d’une réflexion à blanc des thématiques qui semblent pertinentes.

En termes de mode opératoire, le travail d’identification commence par des travaux de recherche pour amorcer et préparer la réflexion. Il s’agit principalement de se documenter en capitalisant sur toutes les informations internes accessibles (plan stratégique, rapports d’audit, procédures de contrôle interne…) et utiles pour appréhender les risques, mais également sur ce qui se passe à l’extérieur de votre organisation, dans des structures similaires … ou sans aucun rapport, car la cartographie des risques est un exercice créatif, donc n’hésitez pas être disruptif ! L’identification des risques ne saurait être que livresque, vous aurez besoin d’aller au contact des parties prenantes et d’organiser des entretiens avec ces dernières pour dégager une vision transverse, croisée et pluridisciplinaire des risques.

  1. Analyse et formalisation

Il s’agira au cours de cette étape de produire la synthèse de votre revue documentaire et des informations collectées lors des entretiens. L’enjeu à ce stade est d’arrêter la liste des risques (généralement entre 20 et 30 pour une cartographie top-down des risques majeurs) à retenir dans le cadre de l’analyse et de faire en sorte qu’ils aient une taille ou une granulométrie homogène, i.e. éviter des risques mêlant trop de thématiques ou a contrario des risques beaucoup trop ciblés. L’usage est de classer ces risques par famille ou catégorie : par exemple, risques stratégiques, risques opérationnels, risques humains, risques immatériels… Outre la liste ordonnancée des risques, il est d’usage de produire une fiche par risque retenu, qui permettra de les circonstancier et documenter  souvent via les rubriques suivantes : les causes, les conséquences, les moyens de maîtrise (prévention – protection) existants ainsi que les moyens de maîtrise à mettre en place. Pour faciliter et objectiver l’évaluation du risque, il faut également identifier un scénario en lien avec le risque, qui permet de concrétiser la façon dont les événements pourraient se dérouler et leurs conséquences. Lors de la définition de ce scénario, il est important de viser le scénario maximum crédible, c’est-à-dire celui entraînant la pire perte potentielle, bref le scénario sur une thématique de risques (par exemple fraude ou risque cyber) que l’équipe redoute le plus !

Une fois votre liste des risques et vos fiches risque finalisées, voici le moment clé de l’évaluation des risques.

  1. Hiérarchisation

Cette étape consiste, en utilisant les échelles préalablement définies à répondre dans un premier temps, sur la base du scénario de référence aux deux questions suivantes :

1/ quel est l’impact du scénario retenu ?

2/ quelle est la fréquence de ce scénario avec cet impact ?

La dernière partie de l’évaluation consiste, pour la  thématique d’ensemble du risque et non plus en se focalisant sur le scénario à évaluer la marge d’amélioration, c’est-à-dire la capacité de l’organisation à compléter ses dispositifs de prévention / protection.

Si vous êtes discipliné et que vous respectez ces consignes, tout devrait très bien aller. Et n’oubliez pas que votre objectif est de hiérarchiser les risques !

En termes de mode opératoire, nous vous recommandons de réunir toutes les parties prenantes, c’est-à-dire l’équipe de direction (ou l’équipe projet) que vous avez interviewée, au cours d’un atelier pour arbitrer de manière collégiale et consensuelle les scénarios de référence et les évaluations de risques. Il est déconseillé d’excéder la  douzaine de participants et impératif de bien préparer votre atelier pour être en capacité de susciter les débats, d’animer le groupe et de challenger les évaluations de l’équipe, même si au final c’est la vision de l’équipe qui va primer. Si vous disposez d’un Système d’Information et de Gestion des Risques (SIGR), il sera plus facile à la fin de l’atelier de montrer à l’équipe le bilan de ses évaluations sous la forme d’une matrice des risques permettant de visualiser leurs positionnements respectifs et le cas échéant de les affiner. Cette visualisation doit également permettre de d’arrêter la liste des risques prioritaires (c’est-à-dire des risques présentant à la fois une forte criticité et une marge d’amélioration importante), qui devront faire l’objet de plans d’actions.

L’atelier, c’est également le moment clé pour nommer un propriétaire pour chacun des risques. A noter que certaines organisations préfèrent au vocable de propriétaire, celui de référent, gestionnaire ou pilote. Quelle que soit la terminologie retenue, le rôle est le même : il s’agit de suivre l’évolution du risque (sa nature et de son évaluation) et s’il y a lieu de piloter les plans d’actions.

  1. Synthèse

A l’issue de l’atelier, vous ajusterez vos livrables et les mettrez éventuellement à jour : il est fort possible que des informations complémentaires aient été échangées sur les risques pendant l’atelier ou que des ajustements de la liste ait eu lieu (ajout ou suppression d’un risque, scission d’un risque en deux…) et c’est plutôt bon signe : cela montre que le groupe s’est approprié le sujet ! Votre synthèse doit bien évidemment inclure des matrices, visuelles et autoporteuses, compréhensibles au premier regard. Plus facile à dire qu’à faire.

A ce stade, vous vous poserez également la question de la communication interne sur la fin du projet et ses résultats. C’est un point clé : s’il y a certes des enjeux de confidentialité nécessitant des arbitrages (quoi ? et à qui ?), il est néanmoins indispensable de faire cette communication, car la gestion des risques n’avance pas en catimini.

Vous voilà désormais dans les starting-blocks pour votre première cartographie des risques !