Ça y est ! Vous y êtes ! Vous venez de terminer votre cartographie des risques… mais vous avez à peine le temps de vous satisfaire du travail accompli que déjà les questions pointent… Comment avancer maintenant sur le traitement des risques prioritaires avec les propriétaires ? Quels sont les points d’attention ? Et encore sans doute, beaucoup d’autres interrogations…
Avant toutes choses, rappel sur la notion de risques prioritaires. A l’issue de votre projet de cartographie, l’évaluation des risques vous a permis d’isoler quelques risques prioritaires c’est-à-dire des risques combinant un fort niveau de criticité (impact*fréquence) et une importante marge de progrès en termes de maîtrise. Ce sont ces risques qui vont désormais focaliser l’énergie et l’attention de votre organisation lors des plans d’actions.
Tout d’abord, « qui trop étreint mal embrasse » ! Si votre organisation a plus de cinq risques prioritaires à traiter, il est fortement conseillé d’échelonner les chantiers de manière à se concentrer dans un premier temps sur un nombre restreint de risques et à vite obtenir des résultats concrets. Il vaut ainsi mieux conserver pour une vague ultérieure le traitement d’éventuels autres risques.
Ensuite, « l’union fait la force ». A moins d’avoir un risque monolithique pour lequel le propriétaire est omniscient, il est fortement recommandé que ce dernier constitue plutôt une équipe projet, pluridisciplinaire sur laquelle il pourra s’appuyer pour traiter des thématiques souvent transverses.
Par ailleurs, le « remue-méninges est de mise » dans un premier temps. Pour identifier les actions qui vont permettre de réduire un risque, toutes les idées doivent en effet être initialement considérées, en essayant d’identifier des actions qui relèvent de la prévention (la prévention agit sur les causes d’un risque, en les réduisant voire les supprimant) et/ou de la protection (la protection agit sur les conséquences d’un risque en les limitant ou les endiguant). Ensuite… « les actions, tu hiérarchiseras », notamment en fonction de leur complexité/coût et de leur tangibilité/effet de levier sur la réduction du risque, et ce pour ne retenir que les plus pertinentes.
C’est à ce stade que « la direction générale, tu solliciteras » pour un arbitrage sur quelques-unes des actions envisagées, notamment par exemple en cas d’engagements financiers significatifs.
Pour finir, il faut « prendre la plume » et formaliser les plans d’actions sur la base de quelques rubriques types (description, dates de démarrage et de fin, état d’avancement…) qui permettront aux membres de l’équipe projet de partager le même niveau d’informations et au risk manager de préparer reporting et tableaux de bord sur l’avancement des plans d’actions.
Et enfin, ultime conseil pour le risk manager et les propriétaires de risques : « chacun sa place ! ». Si pendant la cartographie, le risk manager réalise une part significative des travaux (animation des entretiens et ateliers, formalisation et synthèse…), il doit basculer lors des travaux sur les plans d’actions dans un rôle d’animateur et de conseil interne, les propriétaires de risques étant eux responsables de l’identification et de la mise en place des plans d’actions.
Allez, dans plans d’actions, il y a ACTION !