Vous êtes Responsable risk management au sein d’une entreprise, auditeur interne ou consultant et vous souhaitez aider votre organisation à se doter d’un registre de risques ? Ou alors vous voulez améliorer la cartographie des risques actuelle de votre organisation? Cet article va vous aider !!!
Mais savez-vous ce qu’est un risque ?
Eh bien un risque est un événement incertain susceptible de se produire, et dont l’apparition est susceptible d’avoir des conséquences négatives sur l’organisation.
Prenons l’exemple d’une entreprise commerciale dont l’encaissement des créances est assuré par ses commerciaux. Les créances encaissées par ces derniers pourraient ne pas être intégralement reversées à l’entreprise. Ceci constitue donc un risque !
Qu’est-ce qu’une cartographie des risques
Encore appelée registre des risques, la cartographie des risques est document dans lequel sont identifiés, classés, évalués et hiérarchisés les risques de l’organisation.
A quoi sert une cartographie des risques
De manière générale, la cartographie des risques permet d’une part d’avoir une vue globale et exhaustive des risques auxquels l’organisation est confrontée tant à l’interne qu’à l’externe et d’autre part de définir des stratégies formelles afin de les gérer. Elle sert donc de base à la gestion des risques au sein de l’organisation, tant il est évident que l’on ne peut gérer ce que l’on ne connaît pas !
La cartographie des risques constitue donc un outil de pilotage tant pour les membres du Conseil d’Administration que pour les managers au niveau opérationnel. Elle contribue ainsi à rendre l’organisation plus performante et plus efficace.
Quelles étapes clés pour l’élaboration de votre cartographie des risques ?
L’élaboration de la cartographie des risques s’effectue en quatre (4) étapes clés :
I. L’identification des risques
Astuce pour identifier un risque : Demandez-vous « Qu’est-ce qui pourrait mal se passer » ?
La ou les réponses à cette question vous indiqueront à coup sûr et pour chaque processus de l’organisation, les risques potentiels à prendre en compte dans votre cartographie. L’une des erreurs les plus courantes dans le processus d’identification des risques consiste en effet à retenir comme risques, des éléments qui n’en sont pas. Les trois critères suivants vous permettront de reconnaître un risque et de le distinguer d’autres événements ou situations pouvant prêter à confusion :
1- L’événement concerné ne s’est pas encore produit : si la situation que vous considérez comme étant un risque s’est déjà produite, alors il ne s’agit plus d’un risque mais d’un problème actuel qu’il faut résoudre. Le risque est par définition un événement futur.
2- L’événement est incertain et pourrait donc ne pas se produire : si l’évènement est certain, alors encore une fois, il ne s’agit pas d’un risque, mais d’un problème à venir auquel vous devez trouver une solution, mais qui ne devrait pas apparaître dans votre cartographie des risques.
3- L’événement aurait des conséquences (négatives !) s’il venait à se produire : autrement il ne s’agirait pas d’un risque mais plutôt d’une opportunité (en cas de conséquences positives) ou d’un non-événement (en l’absence de conséquences).
Nous ne voudrions surtout pas élaborer une cartographie de risques comprenant toute une liste de « non-risques » ! Les trois critères ci-dessus vous fourniront donc l’assurance que les éléments de votre cartographie des risques en sont bien.
Comment formuler un risque ?
Lors de la formulation d’un risque pensez, dans la mesure du possible, à prendre en compte les trois éléments suivants :
1- La cause de l’événement
2- L’événement à proprement parler
3- Les conséquences sur l’organisation.
Pour reprendre notre exemple précédent, la formulation du risque pourrait se faire comme suit :
« L’encaissement des créances par les commerciaux pourrait donner lieu à des détournements de recettes avec pour conséquences des pertes significatives pour l’entreprise. »
La formulation de ce risque met bien en évidence la cause, l’événement et les conséquences. Vous noterez l’usage du conditionnel pour bien souligner le caractère potentiel et non actuel du risque qui est formulé.
II. L’évaluation des risques
L’évaluation des risques se fait généralement en fonction de deux critères :
1- La probabilité de survenance du risque
2- Et son impact ou sa criticité.
Il existe différentes échelles de notation pour l’évaluation tant de la probabilité de survenance que de l’impact. Vous pouvez ainsi retenir un système de notation à trois niveaux (Elevé, moyen, faible) ou un système à cinq niveaux (Très élevé, élevé, moyen, faible, très faible). Le choix du type de notation à utiliser dépend du niveau de détail souhaité dans l’analyse. Il s’agit donc d’une option à faire par votre organisation.
Astuce pour évaluer la probabilité de survenance d’un risque : Vous pouvez vous demander « Quelles sont les chances que cet événement se produise ? »
Astuce pour évaluer l’impact du risque : Vous pouvez vous poser la question suivante « Si cet événement venait à se réaliser, quelle serait l’ampleur de ses conséquences sur l’organisation ? »
La réponse à la première question pourrait ainsi être « Elevé » si l’on considère, dans le cadre de notre exemple, qu’il y a de forte chances que les recettes soient détournées par des commerciaux. Dans ce cas, il serait sans doute judicieux de penser à revoir le processus de recrutement…
Quant à la seconde question, on pourrait estimer que l’impact d’un détournement de créances serait « faible » compte tenu par exemple du fait que l’entreprise effectue très peu de ventes à crédit.
En résumé notre risque serait ainsi évalué avec une probabilité « Elevée » et un impact «Faible ».
Il faut noter à ce niveau deux précisions importantes :
1- La notation de la probabilité et de la criticité du risque n’est pas la même selon que l’on évalue le risque brut, le risque net ou le risque résiduel. Nous reviendrons sur la distinction entre ces trois aspects dans un prochain article.
2- L’évaluation de l’impact et de la probabilité de survenance d’un risque dépend toujours du jugement de l’évaluateur. Ce jugement nécessite lui-même trois facteurs essentiels:
– des connaissances (de l’organisation, de son secteur, de ses activités, de ses spécificités, etc.)
– une expertise
– du bon sens.
D’autres éléments tels que des événements passés, des avis d’experts, des publications pertinentes sur la question peuvent également aider à la correcte évaluation des risques identifiés.
III. La hiérarchisation des risques
La hiérarchisation des risques consiste à déterminer l’évaluation globale du risque par combinaison de l’évaluation des deux critères identifiés à l’étape précédente.
Un risque dont la probabilité de survenance et l’impact sont tous deux élevés sera donc considéré comme étant plus significatif qu’un risque dont la probabilité est élevée mais à faible impact.
Astuce pour la hiérarchisation des risques : Utiliser une matrice de hiérarchisation des risques.
IV. Le traitement des risques
Le traitement des risques est mis en œuvre par référence à l’appétence pour le risque de votre organisation, qui représente le niveau de risque maximum que l’organisation est prête à prendre en vue d’atteindre ses objectifs. La définition de l’appétence pour le risque de votre organisation relève de la responsabilité du Conseil d’Administration.
Une fois l’analyse de vos risques achevée conformément aux méthodes décrites ci-dessus, vous devriez disposer de toutes les informations requises pour décider si un traitement ou des « actions » supplémentaires doivent être entreprises afin de les mitiger.
Le traitement de vos risques peut prendre 4 formes principales :
– La Prévention qui consiste à empêcher ou réduire les chances que l’événement de risque redouté se produise. Cette méthode permet donc de diminuer la probabilité d’occurrence du risque en diminuant ou supprimant certains des facteurs de risque.
– La Réduction qui consiste à diminuer les conséquences potentielles de l’événement. Cette méthode permet donc de minimiser l’impact de l’événement lorsque l’on ne peut agir sur le facteur de risque lui-même, mais que l’on peut agir sur ses conséquences.
– Le Transfert qui permet de transférer tout ou partie du risque sur un tiers. Cette méthode ne permet de réduire ni la probabilité ni les conséquences du risque. C’est le cas typique des contrats d’assurance, qui n’empêchent ni ne limitent les conséquences des accidents, mais permettent de traiter les conséquences des préjudices subis au travers d’un dédommagement.
– L’acceptation intervient lorsque le risque est trop faible pour justifier les coûts liés à la mise en place d’une action de réduction, de prévention ou de transfert. Typiquement, les risques acceptés par votre organisation devraient être ceux dont l’impact et la probabilité de survenance sont en dessous de son appétence pour le risque. L’acceptation consiste donc à ignorer purement et simplement le risque.
Dans le cadre de la stratégie de traitement du risque retenue, des actions précises doivent être mises en œuvre. Un propriétaire d’action, en charge de la mise en œuvre et du suivi, devrait par ailleurs être identifié pour chaque action envisagée.
Suivi et mise à jour du registre des risques
Quels que soient les objectifs et activités de votre organisation, l’identification et le traitement des risques sont indispensables. Mais il ne faut pas oublier qu’une organisation est vivante. Il ne suffit donc pas d’identifier les risques en début d’année et de mettre en place les actions nécessaires! Il est impératif de procéder à un réexamen périodique des risques, car ils peuvent évoluer avec l’organisation.
Le registre des risques élaboré constitue donc un outil dynamique qui doit par conséquent faire l’objet d’un suivi et d’une mise à jour sur une base régulière.
Pour obtenir un modèle de cartographie et de matrice des risques, cliquez ici!
Vous souhaitez approfondir vos connaissances sur la gestion des risques au sein des organisations, inscrivez votre mail en commentaire pour être parmi les premiers à recevoir mes prochains articles.
Sinon, visitez https://www.coso.org/Pages/erm-integratedframework.aspx et https://www.iso.org/iso-31000-risk-management.html pour poursuivre vos recherches sur la gestion des risques.
Cet article a 20 commentaires
Bonjour,
Dans le cadre d’un projet de reconversion, je m’intéresse à la définition (cartographie) et la gestion des risques (y compris la gestion de crise).
Vous est-il possible de m’adresser des exemples de matrices de hiérarchisation des risques.
Mes sujets de prédilection sont tournés vers la protection économique des entreprises (TPE-PME) en lien avec les risques de fraudes et les risques cyber.
Vous remerciant par avance.
Cordialement
Bonjour cher Tryskeos,
Merci pour votre message!
J’enverrai un modèle de cartographie à tous les inscrits à la newsletter du site le dimanche 12/01/2020.
Je vous invite donc à vous inscrire à la newsletter si ce n’est pas encore fait.
A très vite !
Article riche et facile à comprendre.
Svp je souhaite obtenir des exemples de Matrices de hiérarchisation des risques.
Bonjour chère Judith,
Merci pour votre message!
J’enverrai un modèle de cartographie et de matrice de hiérarchisation des risques à tous les inscrits à la newsletter du site le dimanche 12/01/2020.
Je vous invite donc à vous inscrire à la newsletter si ce n’est pas encore fait.
A très vite !
rom.ablou@gmail.com
Bonjour et Merci pour votre intérêt.
Je vous enverrai le modèle de cartographie via la newsletter du site!
À bientôt !
Bonjour Eunice SALLOU
Merci pour le partage de ces informations.
je souhaite aussi avoir des exemples de Matrices de hiérarchisation des risques.
Merci d’avance.
Cordialement.
amadootour@gmail.com
Bonjour Amadou,
Merci pour votre intérêt.
Je vous enverrai le modèle de cartographie via la newsletter du site!
À bientôt !
Slt Eunice
Comme d’habitude c’est assez simple et compréhensible ton article sur la cartographie des risques . Ma question est de savoir comment présenter une cartographie ? À quoi ressemble une cartographie ? S’agit-il d’un tableau Excel que l’on rempli ou un document Word rédiger ?
Bonjour cher Oscar!
La cartographie des risques peut être présentée sous n’importe quel format (Word, Excel ou autre)
Mais le résultat final étant généralement sous forme de tableau, l’utilisation d’un tableur peut être privilégiée.
J’enverrai un modèle de cartographie à tous les inscrits à ma newsletter. Cela te permettra de voir à quoi peut ressembler une cartographie des risques.
Merci et à très bientôt !😊
Cartographie des Risques du service audit interne lui même.
Le principe est le même que pour la cartographie des risques à l’échelle de l’organisation qui doit d’ailleurs prendre en compte les risques liés à la fonction audit interne elle-même.
Merci de votre contribution !👍🏽
hello,
Très bel article.
Merci d’avance pour la matrice.
Bonjour Eunice!
La publication est édifiante. Je souhaite obtenir des exemples de Matrices de hiérarchisation des risques et de cartographie des risques.
Bonjour Pierre,
Contente que vous ayez aimé l’article. Je vous enverrai l’exemple de cartographie des risques via votre mail.
A bientot!
Merci beaucoup Eunice
camus16000@gmail.com
Pour m’envoyer un modèle de matrices de la cartographie des risques.
Cordialement
Merci beaucoup
voici mon e-mail : fatimazahraboulassouak@gmail.com
👍👍 Bien noté Fatima!
Bonjour Eunice,
Je suis auditrice junior à PWC, et je trouve que tes articles sont très intéressants.
Stp, est ce que tu peux m’envoyer un modèle de matrices de la cartographie des risques à l’adresse e-mail suivante :mfilane_ge18@iscaextra.net.
Merci d’avance.
Bonjour Filane,
Je suis heureuse que mes publications te soient utiles. J’ai rajouté un lien dans l’article sur lequel tu peux cliquer pour télécharger gratuitement un modele de cartographie des risques.
A bientot!