LA GESTION DES RISQUES

[email protected] +221 33 824 71 36 +221 76 195 38 63

Rue 13 x XY Bourguiba, Grand-Dakar www.4itsec-africa.com

 INTRODUCTION

Petite histoire de la gestion des risques

“Risk is like fire: If controlled it will

help you; if uncontrolled it will rise up
and destroy you. ”
Theodore Roosevelt
QU' EST CE QU' UN RISQUE ?
 QU’ EST-CE QU’ UN RISQUE ?

Toutes les organisations font face à des évènements

imprévus ;

Ces évènements peuvent venir soit de l’intérieur ou de

l’extérieur de l’organisation ;

Ces évènements vont impacter les tentatives de

l’entreprise pour atteindre ses objectifs.

Tout évènement qui va impacter un ou plusieurs objectifs

est appelé « risque ».
 UN RISQUE : DÉFINITION

Un évènement ou un ensemble d’évènements

incertains qui, lorsqu’ils se produisent, vont
avoir un effet sur l’ atteinte d’objectifs. Un
risque est mesuré par la combinaison de la
probabilité de
la réalisation d’une menace perçue ou d’une
opportunité et de la magnitude de son impact
sur les objectifs
 MENACE / OPPORTUNITÉ

Menace : un évènement imprévu qui, s’il se réalise, impacte

négativement les objectifs ;

Opportunité : un évènement imprévu qui, s’il se réalise,

impact positivement les objectifs ;

Exposition aux risques : l’effet combiné des risques sur un

ensemble d’objectifs.
QU’ EST-CE QUE LA GESTION DES
RISQUES ?
 POUR ÊTRE EFFICACE, LES RISQUES
DOIVENT ÊTRE :

1 2 3

Évalués Contrôlés
Identifiés
(exposition aux risques) (réponses aux risques)
 L’ IMPORTANCE DE LAGESTION DES RISQUES

Le risque est indissociable de l’entreprise ;

Les entreprises gérant les risques sont moins exposées

aux menaces et plus réceptives aux opportunités ;

La prise de risque est un facteur clé de la croissance.

 LES SPÉCIALITÉS DE LA GESTION DES RISQUES

La gestion de la continuité business La gestion des risques financiers

La gestion de crise La gestion des risques

environnementaux

La gestion de la santé et sécurité

La gestion des risques liés à la
humaine
réputation

La gestion des risques liés aux

La gestion des risques de
contrats
sécurité
 LA GESTION DES RISQUES

Les référentiels de gestion

des risques
 UN MOT SUR LES NORMES ISO

ISO : International Organization for Standardization

Les principes permettant d’encadrer les normes

concernant les systèmes de management se trouvent
dans ISO 9000

La base d’ISO 9000 est de considérer la présence d’un

référentiel écrit et donc vérifiable
 UN MOT SUR LES NORMES ISO

ISO : International Organization for ISO 14001 : systèmes de management

Standardization de l’ environnement

Les principes permettant d’ encadrer

ISO 20000 : systèmes de management
les normes concernant les systèmes de
des services informatiques
management se trouvent dans ISO
9000

La base d’ ISO 9000 est de considérer ISO 27001 : systèmes de management de

la présence d’ un référentiel écrit et la sécurité de l’ information
donc vérifiable

ISO 9001 : systèmes de

ISO 27005 : Gestion des risques
management de la qualité
 LA GESTION DES RISQUES

Quelques méthodes de
gestion des risques

ISO 27005 EBIOS

 ISO 27005

Publié en 2008
Axé sur la gestion des risques en sécurité
des système d’ information (SSI)
Vient en appui du SSI
Démarche itérative basée sur un PDCA
Inspiré de ISO 31000
 EBIOS

Publié en 1995
Méthode française issue du
gouvernement
Basé sur l’ ITSEC (Information
Technology Security Evaluation
Criteria)
Peut s’ appliquer à un système en
production ou en cours de conception
 LA GESTION DES RISQUES

La gestion des risques selon M_o_R

(Management of Risk)
 LA GESTION DES RISQUES SELON M_O_R

Introduction
 LA GESTION DES RISQUES SELON M_O_R

M_o_R est une méthode de gestion des

risques éditée par l’ OGC
Première version en 2002, l’ édition
actuelle est la 3eme (edition 2011)
Non disponible en Français
 LA GESTION DES RISQUES SELON M_O_R

Comme toutes les méthodes du même éditeur, M_o_R

s’ appuie sur 4 concepts :
Les principes M_o_R
L’ approche M_o_R
Le processus M_o_R
L’ intégration M_o_R
LE RÉFÉRENTIEL
M_O_R
 LA GESTION DES RISQUES SELON M_O_R

Les principes de la gestion

des risques
 INTRODUCTION AUX PRINCIPES

Les principes de M_o_R permettent de fournir un

référentiel pouvant être appliqué à n’ importe quelle
organisation. Il est donc :
Universel (tout type d’ organisation) ;
Il a fait ses preuves ;
Il est facile de se l’ approprier ;
 QUELQUES ÉLÉMENTS DE VOCABULAIRE

La capacité du risque : la quantité maximale de risque qu’ une

organisation peut supporter en lien avec des facteurs tels que la
réputation, le capital, les actifs ou la capacité à obtenir des fonds.

L’ appétit du risque : La quantité de risque qu’une organisation veut

accepter. Il est dangereux d’ avoir un appétit du risque supérieur à la
capacité du risque.

La tolérance au risque : le seuil d’exposition au risque qui, lorsqu’ il

est dépassé, va déclencher une escalade.
 LES PRINCIPES DE LA GESTION DES RISQUES

Être aligné avec les objectifs ;

S’ adapter au contexte ;
Impliquer les parties prenantes ;
Fournir des orientations claires ;

Contribuer à la prise de décision ;

Faciliter l’ amélioration
continue ;
Créer une culture de support ;
 LA GESTION DES RISQUES SELON M_O_R

L’ approche de la gestion des

risques
 INTRODUCTION

Les enregistrements :
Le registre des risques ;
Pour supporter la politique, le guide du Le registre des incidents ;
processus et la stratégie de gestion des
risques, M_o_R recommande l’utilisation
d’autres documents. Les plans :

Le plan d’ amélioration des risques ;

Le plan de communication des
Ces documents font obligatoirement partie risques ;
d’une des trois catégories ci- contre ; Le plan de réponse des risques ;
Les rapports :
Le rapport de progression des
risques ;
 LA POLITIQUES DE GESTION DES RISQUES

L’ objectif de la politique de gestion des risques est de

communiquer sur la raison et la manière dont la gestion des
risques sera mise en oeuvre dans l’ organisation.

L’ utilisation de la politique de gestion des risques va permettre

de communiquer et de mettre en oeuvre de manière uniforme la
gestion des risques.
 GUIDE DE PROCESSUS DE GESTION DES RISQUES

L’ objectif du guide de processus est de décrire le processus

M_o_R étape par étape.

Le processus doit être conçu et personnalisé pour chaque

organisation.

Le guide du processus doit être revu et mis à jour au moins

une fois par an sauf en cas de modifications légales ou
réglementaires.
 REGISTRE DES RISQUES (1/3)

L’objectif du registre des risques est de capturer et maintenir les informations sur toutes
les menaces et opportunités, identifiées, et liées à une activité spécifique de l’organisation.

Chaque organisation doit décider de manière précise le contenu de son propre registre des
risques et collecter les informations correspondantes.

Le registre des risques doit, à tout moment, pouvoir fournir une image des risques identifiés
sur une activité de l’organisation en particulier.

Le registre des risques doit aussi indiquer quand un risque à été fermé et la raison de la
fermeture du risque.
 REGISTRE DES RISQUES (2/3)

Idéalement le registre des Un titre ;

risques est utilisé pour bâtir le registre
des réponses aux risques.
La date de création ;
La date de dernière mise à jour ;
Pour être correctement identifié, le Le numéro de version ;
registre des risques doit comporter les Les informations sur l’auteur du document
informations ci-contre : et les références documentaires ;
 REGISTRE DES RISQUES (3/3)

Proximité (estimation de la date de réalisation

Identifiant unique du risque ; du risque) ;
Catégorie du risque ; Option de réponse
Date de signalement ; Probabilité résiduelle (après réponse) et
Personne/équipe ayant signalé le risque ; impact (avec la valeur attendue)
Description du risque ; Proximité résiduelle
Probabilité de réalisation (avant et Risques secondaires (issus de la réponse au
après réponse) ; risque)
Impact ; Statut des actions
Valeur attendue de chaque risque Statut du risque
(négatif pour une opportunité) ; Propriétaire du risque
Responsable de l’ implémentation de la réponse
 REGISTRE DES INCIDENTS (ISSUE REGISTER)

L’objectif du registre des incidents est de capturer et maintenir les informations sur
tous les incidents identifiés s’étant produit et nécessitant une action.

Même si la résolution des incidents ne fait pas partie du processus de gestion des
risques. Donc la gestion des risques s’assure que les incidents sont bien identifiés
mais n’est pas responsable de leur traitement.

Toutefois, les incidents identifiés peuvent créer de nouveaux risques.

 REGISTRE DES INCIDENTS (ISSUE REGISTER)

Un incident est la réalisation un évènement non prévu et

nécessitant une action.

Il ne faut pas confondre les incidents de la gestion des risques

et les incidents de la gestion des services informatiques (ITIL-
ITSM).
 REGISTRE DES INCIDENTS (ISSUE REGISTER)

Un incident peut être :

Un problème (il est alors nécessaire de limiter ses conséquences) ;

Un gain (il est alors nécessaire de maximiser les bénéfices) ;

Une situation venant de se produire (une demande de

changement par exemple. Il est alors indispensable de pouvoir
fournir une réponse) ;
 REGISTRE DES INCIDENTS (ISSUE REGISTER)

Un titre ;
Chaque organisation doit:

décider du contenu de son registre des incidents. La date de création ;

La date de dernière mise à jour ;
Le numéro de version ;
Toutefois, le registre, en tant que document, L’ identité de l’ auteur ;
doit comporter les informations ci-contre : La référence documentaire.
 REGISTRE DES INCIDENTS (ISSUE REGISTER)
- STRUCTURE DU DOCUMENT -

Identifiant unique ; Priorité ;

Type d’ incident ; Action prévue ;
Date de signalement ; Date d’ implémentation de l’ action ;
Personne ou équipe ayant Statut de l’ action ;
signalée l’ incident ; Statut de l’ incident (actif ou
Description de l’ incident ; fermé).
Sévérité ;
 PLAN D’ AMÉLIORATION DES RISQUES

Ajouter des lignes dans le corps du texte

L’objectif du plan d’amélioration des risques est triple :
Aider à faire évoluer l’organisation en liant la gestion des risques à la culture de
l’entreprise ;

Documenter les améliorations planifiées ;

Franchir les barrières du processus (la résistance).

 PLAN DE COMMUNICATION DES RISQUES

La plan de communication des risques décrit la manière dont

les informations vont être diffusées et obtenues pour toutes
les parties prenantes pour une activité précise de
l’ organisation (ouf!).

La communication des risques doit faire partie d’un plan de

communication plus global ;

Pour certains risques spécifiques, un plan de communication

dédié peut être créé.
 PLAN DE RÉPONSE DES RISQUES (1/2)

L’ objectif du plan de réponse des

Le plan de réponse des risques, risques est de détailler les plans
lorsqu’ il est utilisé, est lié avec le spécifique ou répondre à un risque
champ « réponse au risque » du isolé ou à un ensemble de risques
registre des risques. liés entre eux.
 PLAN DE RÉPONSE DES RISQUES (2/2)

Un tel document est utile lorsque la réponse à un risque ou à un

ensemble de risque nécessite une utilisation intensive des
resources de l’ organisation.

Le plan de réponse est aussi une source d’ information pour les

propriétaires des risques et pour suivre l’ évolution des plans
d’ actions.
 PLAN DE RÉPONSE DES RISQUES STRUCTURE
DOCUMENTAIRES

Identifiant du risque ; Plan de réponse (qui, quoi, quand

Description du risque ; et où, de manière détaillée)
Proximité ; Probabilité résiduelle et impact ;
Réponse anticipée probable et Proximité résiduelle ;
impact (valeur attendue lorsque la Coûts de la réponse ;
réponse est réalisée) ;
Propriétaire du risque ;
 RAPPORT D’ÉVOLUTION DES RISQUES

L’ objectif du rapport d’ évolution des risque est de fournir des

informations régulières à l’ encadrement en ce qui concerne la gestion
des risques sur une activité particulière ;

Le rapport d’ évolution des risques va commenter :

La progression des actions prévues ;

L’ efficacité des actions prévues ;

La tendance de la performance par rapport aux prévisions.

 LA GESTION DES RISQUES SELON M_O_R

Le processus de gestion
des risques
 INTRODUCTION

Le processus de gestion des risques est

divisé en quatre étapes majeures :
L’ identification ;
L’ évaluation ;
La planification ;
L’ implémentation.
 LES ÉTAPES DU PROCESSUS

Les étapes du processus de

gestion des risque forment une
suite logique, nécessaire pour
une mise en oeuvre robuste de la
gestion des risques.
 COMMUNIQUER

L’ activité « communiquer » est

volontairement isolée, car les
résultats de chaque étape
individuelle doivent être
communiqués à l’ encadrement
pour lancer les actions
nécessaires avant la fin de
l’ exécution totale du
processus.
 INTÉGRER ET REVOIR

L’ activité « Intégrer et revoir » regroupe

toutes les étapes du processus en
examinant chaque activité du processus
pour déterminer sa contribution dans
l’ efficacité globale du processus.
 LES ÉTAPES INDIVIDUELLES

•Le processus M_o_Restex

trêmement basé sur le
« Orange Book ».
•Le Livre Orange est une publication du secteur
public UK couvrant les principes et les concepts
de la gestion des risques et datant de 2004.
 LES ÉTAPES INDIVIDUELLES

Chaque étape individuelle du processus

est décrite en décrivant les éléments qui
lui sont propre :
Les objectifs ;
Les entrées ;
Les techniques ;
Les sorties.
 LES OBJECTIFS

Les objectifs, sont le résultat clé du processus.

Par exemple, l’ objectif de l’ étape d’ identification

est d’ identifier de manière la plus
compréhensive possible, à la fois les menaces et
les opportunités, des activités que l’ on est
entrain examiner
 LES ENTRÉES

Les entrées décrivent les informations qui

seront transformées par le processus.

L’ absence d’ entrée adaptée peut empêcher le

processus de fonctionner correctement.

Des entrées incomplètes permettent souvent

de terminer l’ exécution du processus, mais
nécessitent de ré-exécuter le processus
plusieurs fois pour arriver à un résultat
satisfaisant.
 LES SORTIES

Les sorties décrivent les informations produites

par le processus.
Les sorties d’ une étape sont souvent les entrées de
l’ étape suivante.
 LES TECHNIQUES

Les techniques décrivent les outils et les

techniques de gestion des risques qui
peuvent être appliquées au étapes du
processus pour aider à créer les sorties.

Certaines techniques sont utilisées sur

plusieurs étapes alors que d’autres ne le sont
que pour une seule.
 LES TÂCHES

Les tâches sont les actions devant être réalisées pour

transformer les entrées en sorties avec l’aide des
techniques.
 LES ÉTAPES DU PROCESSUS :
L’ IDENTIFICATION

L’ identification est une activité du

processus qui adresse deux domaines :
L’ identification du
contexte ;
L’ identification des
risques ;
 OBJECTIF DU CONTEXTE

L’objectif de l’identification du contexte est d’obtenir des informations

concernant les activités et la manière dont elle s’intègrent dans
l’organisation/le marché/l’entreprise.

Ceci inclus la compréhension des éléments suivants :

Quels sont les objectifs de l’activité ;
Quel est le périmètre de l’activité ;
Quels suppositions sont réalisées ;

Quelles contraintes sont significatives pour

l’activité ;
Quelle est la complétude des informations ;
Qui sont les parties prenantes et quels sont leurs objectifs ;
 OBJECTIF DU CONTEXTE

Quelles activités sont en relation avec la

structure organisationnelle ;
Quel est l’environnement de l’organisation

(industrie, marché, produits et services, etc. )

L’approche de l’organisation pour la gestion
des risques (voir schéma ci après) ;
OBJECTIF DU CONTEXTE
 LES ENTRÉES DU CONTEXTE (1/6)

Les entrées du contexte sont les

documents qui sont examinés de
manière à comprendre l’ activité
concernée.

Les entrées doivent comporter

suffisamment d’ informations de
manière à comprendre au minimum
:
Les objectifs ;
Le périmètre ;
Le timing ;
Les budgets ;
Les participants.
 LES ENTRÉES DU CONTEXTE (2/6)

En fonction de l’ activité qui est

examinée, il peut être nécessaire de
comprendre le cadre légal de
l’ organisation et les spécificités
liées à la gouvernance d’ entreprise.
 LES ENTRÉES DU CONTEXTE (3/6)

L’ approche adoptée pour l’ étape

concernant le contexte doit refléter
la politique et l’ approche de la
gestion des risques, en prenant en
compte l’ appétit de risque de
l’ organisation.

Cette approche doit aussi s’ aligner

sur les principes concernant les
responsabilités et les attributions
de tâches.
 LES ENTRÉES DU CONTEXTE (4/6)

Le guide du processus va permettre de

comprendre comment les étapes
individuelles du processus de gestion
des risques vont être réalisées.
 LES ENTRÉES DU CONTEXTE (5/6)

En fonction de la nature de
l’ activité examinée les documents
seront différents :

Si l’ activité est stratégique, il

faudra avoir un business plan et
examiner le marché ciblé, les
concurrents, les fournisseurs,

Si l’ activité est un projet, il faudra

utiliser les documents liés au projet
et impliquer les parties prenantes.
Etc…
 LES ENTRÉES DU CONTEXTE (6/6)

En fonction du type d’ activité

examiné, il peut être approprié de
rechercher et d’ analyser toute
nouvelle connaissance apprise à
partir des rapports ou des
enregistrements disponibles.

Ceci inclus les évènements et les

activités s’ étant mal déroulées
aussi bien que celles qui se sont
bien réalisées.
 LES SORTIES DU CONTEXTE (1/5)

Le résultat de cette étape crée les

entrées pour l’ étape suivante,
l’ identification des risques.

La maîtrise du gestionnaire des

risques à poser des questions est
un élément clé qui va grandement
impacter le résultat de cette
étape.
 LES SORTIES DU CONTEXTE (2/5)

Le résultat de la revue
des activités peut
générer un ensemble de
notes.

Par exemple des

suppositions réalisées
lors de l’ interprétation
des informations
pourront être
enregistrées pour
vérification ultérieures.
 LES SORTIES DU CONTEXTE (3/5)

Décrit les objectifs de l’ application de

la gestion des risques sur l’ activité,
une description du processus choisi,
les rôles et responsabilités, les limites
de tolérance, le timing des
interventions de gestion des risques,
les outils et les techniques utilisées
et les rapports et enregistrements
nécessaires.
 LES SORTIES DU CONTEXTE (3/5)

Détail les parti prenantes

devant être capturées, sous la
forme d’ une cartographie des
parties prenantes.

Cela est aussi utile pour établir

le degrés d’ influence et
d’ implication des parties
prenantes.
EXEMPLE DE CARTOGRAPHIE DES PARTIES PRENANTES
EXEMPLE DE MATRICE D’ INFLUENCE
 LES SORTIES DU CONTEXTE (5/5)

Bien qu’ ils ne soient pas

compilés lors de cette étape,
les enseignements devraient
alimenter l’ étape
d’ identification de manière à
mieux identifier les menaces
et opportunités.
 LES TECHNIQUES DU CONTEXTE

Les techniques qui sont recommandées

pour l’ identifications sont :
L’ analyse des parties prenantes ;
L’ analyse PESTLE ;
L’ analyse SWOT ;
L’ observation de l’ horizon ;
La définition de la grille de
probabilité d’ impact.
 L’ ANALYSE DES PARTIES PRENANTES

L’ analyse des parties prenantes va

aider à identifier :
Qui sont les parties prenantes ;
Quel est leur rôle dans l’ activité;
Quel est leur degrés de participation.
L’ utilisation du modèle RACI est
un bon début pour cette analyse.
 L’ ANALYSE DES PARTIES PRENANTES
- LE RACI

RACI est un modèle de responsabilité, permettant de

savoir « qui fait quoi » dans une activité.
RACI signifie :
Responsible - celui qui Réalise l’activité ;
Accountable - celui qui a Autorité sur l’activité ;
Consulted - celui qui est Consulté sur l’activité ;
Informed - celui qui est Informé de l’évolution de
l’ activité.
On ne peut avoir qu’ un et un seul « Accountable » par
activité.
L’ ANALYSE DES PARTIES PRENANTES - LE RACI
 L’ANALYSE PESTLE

PESTLE aide à comprendre les aspects

du contexte à partir de l’ acronyme :
Politique ;
Économique ;
Sociologique ;
Technologique ;
Légal ;
Environnemental.
 L’ ANALYSE SWOT

Un SWOT est une technique pour

focaliser l’ attention d’ un groupe ou
d’ une personne sur les points suivants :
Strengths (forces) ;
Weaknesses (faiblesses) ;
Opportunities (opportunités) ;
Threasts (menaces).
Le résultat est présenté sous la forme
d’ un tableau.
 L’ANALYSE SWOT

Positif Négatif

Forces Faiblesses
Interne (Strenghts) (Weaknesses)

Opportunités Menaces
Externe (Opportunities) (Threats)
 L’ OBSERVATION DE L’ HORIZON

L’ observation de l’ horizon consiste

en l’ examen systématique des
développement futurs des
aspirations et planifications
actuelles.

Il nécessite un bon réseau de

communication, des sources
d’ informations et de nombreux
contacts.
 LA GRILLE DE PROBABILITÉ D’ IMPACT

La grille de probabilité d’ impact est

normalement utilisée dans l’ étape
d’ évaluation, mais elle doit être définie
dans l’ étape d’ identification du contexte.

La grille définie les niveaux d’impacts

pour chaque objectif. Le niveau est
souvent utilisé pour calculer la tolérance
au risque pour une activité particulière.

La grille est basée sur deux facteurs : la

probabilité et l’ impact.
Les échelles varient en fonction du
contexte.
EXEMPLE DE GRILLE DE PROBABILITÉ D’ IMPACT
EXEMPLE DE CRITÈRES DE PROBABILITÉ - 1
EXEMPLE DE CRITÈRES DE PROBABILITÉ - 2
EXEMPLE DE CRITÈRES D’ IMPACT - 1
EXEMPLE DE CRITÈRES D’ IMPACT - 2
EXEMPLE DE CRITÈRES D’ IMPACT - 3
 LES TÂCHES DU CONTEXTE

Les tâches du contexte vont impliquer l’ examen

des informations d’ activités. Les tâches typiques
sont :
Établir les objectifs de l’ activité ;
Établir le périmètre de l’ activité ;
Clarifier les suppositions ;
Compléter les informations ;
Effectuer une analyse des parties prenantes ;
Clarifier l’ approche de gestion des risques.
L’ IDENTIFICATION DES RISQUES
 IDENTIFIER LES OBJECTIFS DE RISQUES

Avant toute chose il est nécessaire

d’ identifier les objectifs de risques,
c’ est à dire les risques associés aux
objectifs de l’ activité examinée, avec
pour objectif de maximiser les
opportunités tout en minimisant les
menaces..
Ceci inclus :
L’ identification des menaces et des
opportunités pour l’ activité ;
La préparation du registre des risques ;
La préparation des KPIs et EWIs ;
La compréhension du point de vue des
parties prenantes concernant les risques.
 IDENTIFIER LES ENTRÉES DES RISQUES

Les entrées pour cette étape sont

les documents qui ont été
examinés pour comprendre les
menaces et opportunités
potentielles et leurs
caractéristiques individuelles.
 L’ ANALYSE D’ ACTIVITÉ, LA STRATÉGIE DE GESTION DES RISQUES & LA
CARTOGRAPHIE DES PARTIES PRENANTES

L’ analyse d’ activité, la stratégie de

gestion des risques et la
cartographie des parties prenantes
sont réalisées lors de la phase de
contexte.

L’ analyse d’ activité va être la

principale source d’ informations
pour cette étape du processus.
 ENSEIGNEMENTS ET INCIDENTS

Les enseignements venant des

activités capitalisent ce qui a été
correctement réalisé, et doit être
répété, et ce qui ne doit pas l’ être.

Les incidents représente ce qui

n’ a pas pu être résolu et qui
provoque un risque.
 IDENTIFIER LES SORTIES DES RISQUES

Les sorties de cette étape sont les

documents nécessaires pour
exécuter les étapes suivantes du
processus.

Le document clé est le registre des

risques, alimenté avec les menaces et
les opportunités.
 LE REGISTRE DES RISQUES

Le contenu du registre doit être adapté aux

activités concernées.
Les risques détaillés dans le registre
doivent être catégorisées de la manière
appropriée :
Structure de décomposition des risques ;
La classification des risques ;

Les gains d’ une telle approche permet de

s’ assurer que le processus d’ identification
est clair et qu’ il n’ existe pas de zones
d’ ombres.

Lors de la production initiale du registre, il

est fréquent que certains éléments soient
oubliés, d’ où l’ intérêt d’ avoir une approche
itérative et de profiter des enseignements.
 EWI ET KPI

Après l’ identification des risques, il

est nécessaire de définir les EWIs qui
vont soutenir les KPIs.

Par exemple les EWIs peuvent être :

Niveau de liquidité ;
Taux de renouvellement des équipes ;
Absentéisme ;
Profitabilité.
 LES TECHNIQUES D’ IDENTIFICATION DES RISQUES

9 techniques sont recommandées :

Les checklists ;
La liste d’ entrées ;
Le diagramme de cause et d’ effets ;
Les techniques de groupe ;
Les questionnaires ;
Les entretiens individuels ;
Les analyses de suppositions ;
Les analyses de contraintes ;
Les description de risque.
 LES CHECKLIST

Les checklists sont des aides en

tant que dépositaire des
enseignements de l’ organisation.

Les checklists permettent d’ éviter

que des risques identifiées
précédemment ne soient oubliés
dans d’ autres contextes similaires.

Les checklists de risques sont

basées sur
l’ expérience des gestionnaires de
risques.

Le piège classique est de considérer que

les check-lists sont exhaustives, ce qui
n’ est jamais le cas.
 LES LISTES D’ ENTRÉES

Une liste d’ entrées est une liste

qui catégorise les risques en
plusieurs types ou domaines.

Les listes d’ entrées permettent de

stimuler la réflexion sur les sources des
risques dans un contexte plus large que
celui que l’ on considère habituellement
par défaut.

Un structure de décomposition des

risques est un exemple de liste
d’ entrées.

Ce type de liste est généralement basé

sur une approche de type PESTLE.
EXEMPLE DE STRUCTURE DE DÉCOMPOSITION DES
RISQUES
 LE DIAGRAMME DE CAUSE ET D’ EFFET

Aussi connu sous le nom de

« arrête de poisson » ou
« Ishikawa ».

Plus souvent utilisé comme une

technique d’ analyse des causes
racines d’ un problème.

La construction du diagramme peut

démarrer avec une cause et permettre
d’ identifier les effets, ou remonter à
partir d’ un effet identifié (la méthode
la plus utilisée).
EXEMPLE DE DIAGRAMME DE CAUSE ET D’ EFFET
 LES TECHNIQUES DE GROUPE : LE REMUE
MÉNINGE

Aussi appelé « Brainstorming », a

été emprunté au business et n’est
pas dédié à la gestion des risques.

Le remue méninge est basé sur deux

éléments essentiels :
La pensée collective est plus
productive que la pensée individuelle
;

L’ évitement des critiques améliore la

production des idées.
 LES TECHNIQUES DE GROUPE : LE GROUPE
NOMINAL

Basé sur la création silencieuse des idées

par chaque individu, qui présente alors
une idée unique, qui est enregistrée mais
non débattue.

Une fois les idées collectées, elles sont

discutées et validées.

Contrairement au remue méninge, cette

méthode évite de mettre en avant les
caractères « forts » présents dans la réunion.

Cette technique est plus productive que le

remue méninge.
 LES QUESTIONNAIRES

Les questionnaires permettent

d’ impliquer les parties prenantes qui
sont géographiquement éloignés. .

Un questionnaire sur les risques, à pour

objectif d’ identifier les risques au travers
d’ une série de questions de manière à faire
émerger des idées.

Il est possible de structurer ce type de

questionnaires de multiples manières, le
but étant d’ obtenir le plus d’ informations
possibles.

Les questionnaires peuvent passer par de

nombreux canaux, y compris les médias
sociaux.
 LES ENTRETIENS INDIVIDUELS

Pour certaines parties prenantes, la

meilleure approche est d’ avoir un
entretien individuel de manière à
obtenir des informations concernant
leurs activités, leurs suppositions et
les risques qu’ ils perçoivent.
 L’ ANALYSE DE SUPPOSITIONS

Les suppositions sont des

affirmations utilisées comme
des « faits » à partir de laquelle
une activité est réalisée.

Certaines suppositions peuvent être

considérées comme inoffensives et
donc être écartées.
 L’ ANALYSE DE CONTRAINTES

Les contraintes sont des éléments associés

à une activité, qui sont considérés comme «
statiques » et qui doivent soit se produire
soit ne pas se produire.

Toutes les contraintes liées à une activité

doivent être listées et leur validité testée.

Certaines contraintes peuvent être

considérées comme sans risques alors que
d’ autres évolueront pendant l’ activité.
 LA DESCRIPTION DE RISQUE (1/4)

Les risques identifiés doivent être

décrits de manière à ce qu’ ils soient
compris par les parties prenantes
une fois que le risque a été saisie
dans le registre des risques.

L’ acceptation de la description du
risque permet de créer une « chaine
de risque » séparant les causes, les
évènements et les effets.
 LA DESCRIPTION DE RISQUE (2/4)

La cause du risque décrit la source

du risque. Par exemple l’ évènement
qui va déclencher le risque.

La cause du risque n’ est pas le

risque lui même mais son
déclencheur, pouvant être interne
ou externe à l’ activité actuellement
examinée.
 LA DESCRIPTION DE RISQUE (3/4)

L’ évènement du risque décrit le

domaine d’ incertitude en terme de
menaces et d’ opportunités
(l’ utilisation de la description du
risque peut beaucoup aider cette
partie).

L’ effet du risque décrit l’ impact que le

risque va avoir sur l’ activité quand le
risque se réalisera.
 LA DESCRIPTION DE RISQUE (4/4)

Exemple d’ opportunité pour une Exemple de menace pour une perspective

perspective opérationnelle : opérationnelle :

Cause : ralentissement du business Cause : ralentissement du business cette

cette année, provoquant une année, provoquant une disponibilité des
disponibilité des équipes. équipes.

Évènement : L’ entreprise peut

Évènement : les équipes sont démotivées
exploiter de nouveaux canaux de
et moins efficaces.
e-marketing et générer un effet de
marque plus important.

Effet : augmentation des ventes. Effet : dégradation accélérée des ventes.

 LES TÂCHES DE L’ IDENTIFICATION
DES RISQUES

Les tâches de l’ identification permettent

d’ orchestrer les activités d’ identification en
impliquant au mieux les participants, après
les avoir préparé à leur mission.
 LES TÂCHES DE L’ IDENTIFICATION
DES RISQUES

Les tâches de l’ identification des risques

sont :
Identifier les menaces et les opportunités;
Obtenir l’ adhésion ;
Effectuer une revue de complétude ;
Enregistrer les informations dans le
registre des risques ;
Structurer le registre des risques ;
Identifier les EWIs et KPIs
 IDENTIFIER LES MENACES ET LES OPPORTUNITÉS &
OBTENIR L’ ADHÉSION

Identifier les menaces et les opportunités :

en utilisant les techniques vues
précédemment.

Obtenir l’ adhésion : obtenir l’ adhésion des

parties prenantes sur les menaces et les
opportunités.
 LA REVUE DE COMPLÉTUDE

Prendre le temps de s’ assurer que les

menaces et les opportunités sont décrites de
manière aussi claire que possible de manière
à ce que, lorsque quelqu’ un les examinera
plus tard, il puisse comprendre de quoi il
s’ agit sans ambiguité.

Il est important de documenter des

informations sur celui qui a été à l’ origine de
l’ identification du risque, pour pouvoir le
consulter plus tard.
 ENREGISTRER LES INFORMATIONS ET STRUCTURER LE
REGISTRE DES RISQUES

Enregistrer les informations dans le registre

des risques : enregistrer les informations
obtenues pendant le processus dans le
registre des risques.

Structurer le registre des risques : en

utilisant les catégories de risques (politique,
économique, finance, etc. . ) de manière à
rendre le registre des risques plus facile à
manipuler.
 IDENTIFIER LES KPI ET EWI

Identifier les EWIs pouvant être utilisés de

manière proactive pour inverser les
tendances provoquant des diminutions de la
performance de l’ organisation.
 LES ÉTAPES DU PROCESSUS : L’ ÉVALUATION

L’ évaluation est une activité du processus

qui adresse deux domaines :
L’ estimation (la priorité des risques) ;
L’ appréciation (comprendre l’ exposition aux
risques);
L’ ÉVALUATION : ESTIMER
 ESTIMER

L’ évaluation est une activité du processus

qui adresse deux domaines :
L’ estimation (la priorité des risques) ;
L’ appréciation (comprendre l’ exposition aux
risques);
 ESTIMER : LES ENTRÉES

Le registre des risques : qui contient

l’ enregistrement de toutes les menaces et
opportunités. Les risques sont listés par
catégorie et chaque risque possède une
référence unique et un propriétaire
identifié.

Les EWIs : identifiés pendant la phase

d’ identification des risques.
 ESTIMER : LES SORTIES

Le registre des risques : qui a été mis à

jour et inclus maintenant les
probabilités et les impacts de chaque
menace et opportunité pouvant se
matérialisées. Ceci va permettre une
utilisation optimal de la gestion des
risques.
 ESTIMER LES TECHNIQUES D’ ESTIMATION

Les techniques d’ estimation sont les

suivantes :
L’ évaluation de la probabilité;
L’ évaluation de l’ impact ;
L’ évaluation de la proximité ;
L’ évaluation de la valeur
attendue.
 L’ÉVALUATION DE LAPROBABILITÉ

L’ évaluation de la probabilité est

l’ estimation de la chance qu’ une menace ou
probabilité particulière ne se réalise.

L’ évaluation de l’ impact initialement

enregistré dans le registre des risques est
basé sur un scénario où aucune action n’ a
été prise pour influer l’ impact.

Les échelles de l’ évaluation de l’impact sur

les objectifs sont présents dans la grille de
probabilité d’ impact définie lors de la
l’ étape « identifier le contexte ».
 L’ÉVALUATION DE L’ IMPACT

L’ évaluation de l’ impact est l’effet estimé

de la réalisation d’ une menace ou
opportunité particulière sur un ou
plusieurs objectifs.

L’ évaluation de la probabilité enregistrée

initialement dans le registre des risques
est basée sur un scénario où aucune action
n’ a été mise en œuvre pour modifier cette
probabilité.

Les échelles permettant d’ aider à

l’ évaluation de la probabilité sont
identifiées dans la grille d’ impact de
l’ étape « identifier le contexte » du
processus de gestion des risques.
 L’ÉVALUATION DE LA PROXIMITÉ

Les risques sont basé sur le temps qui passe et

ne sont pas constants. L’ estimation permettant
de savoir lorsqu’ un risque se produit s’appel «
la proximité » du risque, et est enregistrée
dans sous la forme d’ une date ou d’une plage
de dates dans le registre des risques.

Même si la compréhension de la probabilité

et de l’ impact d’ un risque est important,
comprendre la proximité d’ un risque
informe l’ encadrement de sont urgence.

Connaître la proximité aide à identifier la

réponse appropriée et son planning.
 L’ÉVALUATION DE LA VALEUR ATTENDUE (1/3)

L’ évaluation de la valeur attendue (aussi

appelée Valeur Monétaire Attendue ou EMV),
est calculée en multipliant de coût moyen
estimé de l’ impact du risque sur les objectifs
par la probabilité estimé de réalisation du
risque. Ceci permettant d’ assigner un
« poids » au risque concerné.

L’ ensemble des valeurs attendues est

considérée comme étant l’ exposition aux
risques.
 L’ÉVALUATION DE LA VALEUR ATTENDUE (2/3)

La meilleure pratique consiste à estimer la

valeur estimé d’ un risque individuel de manière
à créer une estimation à trois niveaux :
Optimiste (le meilleur des cas) ;
Réaliste (ce qui a le plus de chance de se
produire) ;
Pessimiste (la pire des situation);
L’ÉVALUATION DE LA VALEUR ATTENDUE (3/3)
 LES TÂCHES DE L’ ÉTAPE « ESTIMER » (1/2

Elles sont au nombre de trois :

Confirmer que les descriptions sont claires ;
Evaluer la probabilité, l’ impact et la proximité
ainsi que la valeur attendue si cela est
demandé par la stratégie de gestion des
risques.
Mettre à jour le registre des risques.
 LES TÂCHES DE L’ ÉTAPE « ESTIMER » (1/2

Evaluer la probabilité, l’ impact et

Confirmer que les descriptions sont la proximité ainsi que la valeur
claires attendue si cela est demandé par
la stratégie de gestion des
Revoir l’ étape d’ identification des risques.
risques si la description des menaces
ou des opportunités sont
Mettre à jour le registre des
insuffisamment documentées pour
risques :
permettre l’ estimation, ou si elles
nécessite une réécriture pour indiquer
Documenter les résultats de
des évolutions récentes.
l’ estimation dans le registre des
risques.
L’ÉVALUATION : L’APPRÉCIATION
 APPRÉCIER

L’ objectif de l’ étape « évaluer-apprécier »

est de comprendre l’ exposition aux
risques par rapport aux activités en
examinant l’ effet des menaces et
opportunités identifiées lorsqu’ elles sont
réunies.
 APPRÉCIER : LES ENTRÉES

L’ entrée unique de cette étape est le

registre des risques qui contient les
probabilités et les impacts obtenue
par l’ estimation de l’ étape
précédente
 APPRÉCIER : LES SORTIES

Les sorties sont composées de :

Le résumé du profil de risque, qui est une
représentation graphique augmentant la
visibilité des risques en se basant sur les
matrices d’ évaluation des risques ;

Les relations et interdépendance, qui contient

une description des relations entre des
menaces et opportunités spécifiques ainsi que
la force de ces relations et les corrélations qui
en dépendent.
 APPRÉCIER : LES TECHNIQUES

Les techniques d’ appréciation sont les

suivantes :

Le résumé des profils de risques ;

Le résumé des évaluations des valeurs
attendues ;
Les modèles de probabilité de risques ;
Les arbres de probabilités ;
Les analyses de sensibilité ;
 APPRÉCIER : LE RÉSUMÉ DES PROFILS DE RISQUES (1/3)

C’ est la technique la plus simple pour

obtenir une visualisation complète des Si une activité à plus
risques sur une activité en utilisant de 200 risques, il est
un résumé du profil de risque placé impossible d’ en faire
sur une carte à deux dimensions. une représentation
graphique. Dans ce cas
Il est important de faire attention aux il faut se focaliser sur
points suivants : les 20 risques les plus
important.
Les risques identifiés doivent
impérativement être dans le registre
des risques ;
APPRÉCIER : LE RÉSUMÉ DES PROFILS DE RISQUES (2/3)
 APPRÉCIER : LE RÉSUMÉ DES PROFILS DE RISQUES (3/3)

Aucune couleur : les actions ne démarreront

pas avant une date donnée, il n’ est donc pas
possible de suivre les progrès.
Rouge : Aucun progrès n’ a été réalisé.
Ambre : Des progrès légers sur la gestion du
risque avec de légères preuves de résultats ;
Vert : Des progrès ont été réalisés en phase
avec l’ avancée du projet et avec des preuves
de résultats ;
Bleu : Les actions ont été mise en œuvre et
sont une réussite, les résultats sont là pour le
prouver.
 APPRÉCIER : LE RÉSUMÉ DES ÉVALUATIONS DES VALEURS
ATTENDUES

Si la stratégie de gestion des risques inclue une

évaluation des coûts de risques et le calcul de
la valeur attendue pour chaque menace et
opportunité individuelle, alors un résumé de la
valeur attendu peut être réalisé.

Ceci est réalisé en prenant en compte les

différentes relations et interdépendances entre
les risques individuels.

Il est conseillé de s’ appuyer sur les modèles de

risques et des probabilités expliqués plus loin.
 APPRÉCIER : LES MODÈLES DE PROBABILITÉ DE RISQUES (1/2)

Si la stratégie de gestion des risques consiste à

examiner les effets combinés des risques
individuels, il est alors possible d’ analyser les
effets combinés des risques. Ceci est réalisé en
se basant sur :
Les évaluations ;
Les probabilités ;
Les impacts.

De telles analyses utilisant des techniques

d’ échantillonnage de base sont généralement
appelés « Simulations de Monté Carlo ».
 APPRÉCIER : LES MODÈLES DE PROBABILITÉ DE RISQUES (2/2)

La corrélation

Les modèles de risques : Va permettre de soutenir la

Un modèle est une représentation simulation de Monté Carlo pour
d’ une situation business. certains risques ayant un fort niveau
d’ incertitude.
Un modèle de risque est une
représentation des effets d’un
ensemble de risques sur le business Même si elle ne reflète pas la réalité,
elle va permettre d’ inclure dans
l’ analyse un semblant de « non lien »
La simulation de Monté Carlo pour entre les risques.
les modèles de risques génère un
nombre aléatoire pour caque élément
du modèle et pondère le nombre en Le principe de corrélation ne
fonction de la probabilité du risque. s’ applique pas qu’aux modèles de
risques, mais aussi aux évaluations en
général.
 APPRÉCIER : LES ARBRES DE PROBABILITÉS (1/2)

Les arbres de probabilités sont les

représentations graphiques des
évènements possibles résultants de
circonstances diverses.

La construction de tels arbres est

souvent la première étape d’ une
série d’ études sur les évènements
possibles.
APPRÉCIER : LES ARBRES DE PROBABILITÉS (2/2)
 APPRÉCIER : L’ ANALYSE DE SENSIBILITÉ

L’ analyse de sensibilité est une technique qui

étudie la manière dont un modèle est altéré
par la modification d’ une de ses entrée.

Cette analyse peut être réalisée avec un

simple tableur ou avec des outils dédiés et
beaucoup plus complexes et complets.

L’ analyse de sensibilité permet de répondre à la

question « que se passe-t-il si… ? », de manière
à comprendre les impacts et les priorités.
 LES TÂCHES LIÉES À L’APPRÉCIATION

Les activités de l’ étape d’ appréciation

sont les tâches nécessaires pour
capturer les bonnes informations
permettant l’ évaluation des relations et
des interdépendances des risques et de
leur contexte.

Cette appréciation est une étape

cruciale pour l’ étape suivante de
planification.

La tâche principale est la création

du modèle de risque (voir slide
suivant).
 LES TÂCHES LIÉES À L’APPRÉCIATION : LA CRÉATION DU
MODÈLE DE RISQUE

Construire le modèle de risque :

Effectuer une évaluation, en toute

connaissance de cause, des relations entre les
risques :
Sont-ils corrélés ?
Que se passe-t-il si un risque A se produit ?
Quel est l’ impact sur le risque B ?
Que se passe-t-il si A et B se produisent tous
les deux ?

L’ analyse de probabilité du modèle de risque

peut représenter de tels relations et doit être
croisé avec les évaluations de l’exposition aux
risques.
 LES ÉTAPES DU PROCESSUS : LA PLANIFICATION

L’ objectif de l’étape de planification est de

préparer les réponses spécifiques aux
menaces et aux opportunités identifiées de
manière à
Éliminer ou à réduire les menaces ;
Maximiser les opportunités ;

Cette étape se focalise autant que possible

à éviter que le business ne soit surpris par
la réalisation d’un risque.
LES ÉTAPES DU PROCESSUS : LA PLANIFICATION
 LES ENTRÉES DE LA PLANIFICATION

Les entrées de l’étape de planification sont

les documents et les informations venant
des étapes précédentes du processus et
permettant une prise décision efficace sur
la réponse aux risques.
 LES ENTRÉES DE LA PLANIFICATION : LE RÉSUMÉ DES
PROFILS DE RISQUES

Le résumé des profils de risques

C’ est un mécanisme permettant

d’ améliorer la visibilité des risques.

C’ est une représentation graphique

d’ une partie des informations présentes
dans le registre des risques.

Les informations viennent aussi souvent

des matrices d’évaluation des risques, des
grilles de probabilités, etc…
 LES ENTRÉES DE LA PLANIFICATION : LES RELATIONS ET LES
DÉPENDANCES

Ce document contient la description des

relations entre les menaces spécifiques
et les opportunités ainsi que le niveau
de corrélation qui les unis.
 LES ENTRÉES DE LA PLANIFICATION : LE REGISTRE DES RISQUES, LES
POLICES D’ ASSURANCE & LES ENSEIGNEMENTS

Le registre des risques contient toutes

les informations liées aux risques
identifiés et évalués.

Les polices d’ assurance identifiées

correspondent aux réponses de certains
risques identifiés et évalués.

Les enseignements contiennent les

approches utiles pour répondre à
certains des risques présents dans le
registre des risques.
 LES SORTIES DE LA PLANIFICATION

Les sorties de l’étape de planification

fournissent les informations nécessaires
pour effectuer les actions appropriées en
mettant en oeuvre la gestion effective des
risques identifiés et évalués dans les étapes
précédentes.

Une des sortie principale est l’ identification

des personnes responsable pour la mise en
œuvre de l’ action et pour la propriété
globale de chaque risque?
 LES SORTIES DE LA PLANIFICATION : LE PROPRIÉTAIRE
ET L’ ACTEUR DU RISQUE

Le propriétaire du risque : c’ est la

personne (rôle ou organisation) qui
est le mieux placée pour gérer le
risque.

L’ acteur du risque : c’est la ou les

personnes à qui le propriétaire du
risque délègue certaines actions
des réponses à mettre en œuvre.
 LES SORTIES DE LA PLANIFICATION : LE REGISTRE
DES RISQUES ET LE PLAN DE RÉPONSE DES RISQUES

Le registre des risques : est mis à jour avec

:
Les réponses sélectionnées ;
La probabilité de risque résiduel ;
L’ impact et la proximité de chaque risque
après la mise en oeuvre de la réponse
sélectionnée.

Les réponses sélectionnées peuvent créer

des risques secondaires qui doivent alors
être enregistrées dans le registre des
risques.

Le plan de réponse des risques il est

préférable d’ enregistrer les informations ci-
dessus dans un plan de réponse à part.
 LES TECHNIQUES DE LA PLANIFICATION

Les techniques recommandées dans

l’ étape de planification des risques
sont :

La planification des réponses de

risques ;
L’ analyse des coûts et
bénéfices ;
Les arbres de décisions.
 LES TECHNIQUES DE LA PLANIFICATION : LA
PLANIFICATION DES RÉPONSES DE RISQUES

Les risques urgent et/ou suffisamment

important pour nécessiter un
investissement doivent avoir une
réponse optimale.

La planification de la réponse de risques

permet de choisir dans un éventail de
réponses de manière à obtenir l’impact
maximum sur le changement de
l’ exposition au risque pour l’investissement
le plus faible possible.

Un des élément clé est aussi d’identifier et de

décrire tout risque secondaire pouvant être la
conséquence de la réponse.

Il est parfois nécessaire d’utiliser un ensemble

de réponses pour un même risque.
LES TECHNIQUES DE LA PLANIFICATION : LA
PLANIFICATION DES RÉPONSES DE RISQUES

Les réponses génériques sont :

Éviter la menace/exploiter l’opportunité

;
Réduire la menace/améliorer
l’opportunité ;
Transférer le risque ;

Partage le risque ;
Accepter le risque ;
Préparer les plans de contingence.
ÉVITER LA MENACE/ EXPLOITER L’ OPPORTUNITÉ (1/6)

Cette option consiste à supprimer le risque. Ceci est généralement

obtenu en supprimant la cause de la menace, ou en mettant en
oeuvre la cause de l’opportunité.

Cette option peut être choisie dans le cas où aucun cout

supplémentaire ne vient modifier ce qui a été prévu.

Le plus souvent, des coûts seront utilisés pour retirer tout risque de
menace résiduel ou d’opportunité.

Lorsque les investissements sont nécessaires, alors la réponse doit

garantir que la situation incertaine devienne certaine.
REDUIRE LA MENACE/ AMÉLIORER L’ OPPORTUNITÉ (2/6)

Cette option permet de modifier la probabilité de réalisation ou

l’impact du risque.
Le terme « atténuer » fait du sens lorsque l’on parle d’une menace
(par exemple
réduire la probabilité de réalisation de la menace ou réduire son
impact).

L’amélioration d’une opportunité est le processus inverse, en rendant

l’opportunité plus probable ou en augmentant l’impact qu’elle va
avoir si elle réalise.

Encore une fois, cette option implique des coûts supplémentaires

pour la réduction/l’amélioration. Cependant les coûts peuvent être
justifiés en termes de changement des risques résiduels.
 RÉDUIRE LA MENACE /(2/6)

Cette option permet de modifier la probabilité de réalisation ou

l’impact du risque.
Le terme « atténuer » fait du sens lorsque l’on parle d’une menace
(par exemple
réduire la probabilité de réalisation de la menace ou réduire son
impact).

L’amélioration d’une opportunité est le processus inverse, en rendant

l’opportunité plus probable ou en augmentant l’impact qu’elle va
avoir si elle réalise.

Encore une fois, cette option implique des coûts supplémentaires

pour la réduction/l’amélioration. Cependant les coûts peuvent être
justifiés en termes de changement des risques résiduels.
 TRANSFÉRER LE RISQUE (3/6)

Le transfert est une option ayant pour objectif de passer le risque à

un tiers.
Les assurances sont la forme la plus classique de transfert de risque.
L’assureur prend à sa charge le coût mais l’assuré conserve les
impacts sur les objectifs (par exemple la perte de temps).

Les transferts peuvent être appliqués aux opportunités, lorsque le

tiers obtient les bénéfices liés aux coûts alors que celui prenant les
risques gagne un autre type de bénéfices.

Une fois de plus le coût du transfert doit être justifié en terme

d’évolution du risque résiduel (est-ce que le niveau auquel vous
payez le justifie bien ?). De plus il faut garder à l’esprit que certains
éléments de risque ne peuvent être transférés, même si l’organisation
à décidé de transférer la gestion des risques à un tiers.
 PARTAGER LE RISQUE (4/6)

Le partage est une option fort différente du transfer. Il

se base sur la recherche de multiples parties,
généralement au travers d’une chaine
d’approvisionnement, pour partager le risque sur un
partage des malheurs/gains.
Les risques ne peuvent que rarement être totalement
partagés de cette manière.
 ACCEPTER LE RISQUE (5/6)

Cette option signifie que l’organisation « prend le risque »

que le risque se réalise, avec tout ses impacts potentiels.
Il n’y a pas de modification du risque résiduel avec cette
option, mais il n’y a aucun coût pour gérer les risques ni
pour anticiper les risques futurs.

Un exemple serait le risque de profitabilité résultant des

variations monétaires. Une organisation peut décider de
prendre le risque de ne pas engager de réserve ni de
provision pour protéger ses marges de la variation des taux.

Cette option ne sera pas appropriée si

l’exposition au risque dépasse le seuil de risque
pour l’activité concernée.

Gardez à l’esprit que dans le cas de variation

monétaire, l’impact peut être négatif ou positif, ce qui
représente actuellement deux risques.
 PRÉPARER LES PLANS DE CONTINGENCE (6/6)

Cette option implique la préparation de plan, mais non la mise en œuvre de ces
plans.

La plupart du temps, cette option est liée à l’option « accepter le risque ». Ce qui
permet d’avoir une position du type « nous acceptons le risque pour le moment,
mais nous réalisons un plan au cas où la situation change ».

Cette option peut aussi s’appliquer aux autres réponses et est souvent appelée
« Plan B », par exemple dans le cas où le la réponse originale n’a pas les effets
escomptés.
Cette option est importante car elle permet de s’orienter vers des stratégies
proactives à moindre coût, et de sensibiliser le management à ce type
d’approche.
 LES TECHNIQUES DE LA PLANIFICATION : L’ ANALYSE DES
COÛTS ET BÉNÉFICES

L’analyse des coûts-bénéfices est une

procédure prenant en compte tout les coûts
et les bénéfices (tels que les coûts et
bénéfices sociaux), de manière à aider à la
prise de décision.

L’analyse des coûts et bénéfices n’est pas

une science et il est parfois difficile
d’évaluer certains impacts (comme sur
la réputation par exemple)

Parfois une des réponses nécessite un

dossier business, dans ce cas l’analyse de
coûts et bénéfices fait du sens.
 LES TECHNIQUES DE LA PLANIFICATION : LES ARBRES DE
DÉCISIONS

Les arbres de décisions sont utiles

pour aider à choisir entre plusieurs
options d’action.

Ils aident à obtenir une vision des

risques et des gains financiers associés
à chaque choix possible.
 LES TÂCHES DE LA PLANIFICATION

Lest tâches de l’étape de planification sont :

Planifier les réponses ;
Enregistrer le risque résiduel ;
Justifier le coût des réponses ;
Identifier les organisation propriétaires ;
Identifier les propriétaires de risques ;
Identifier les acteurs de risques ;
Identifier et évaluer les risques secondaires ;
Vérifier les risques résiduels en fonction des
tolérances de risques définies pour l’activité
 LES TÂCHES DE LA PLANIFICATION (1/2)

Planifier les réponses : créer une ou des réponses pour chaque menace et
opportunité identifiée.
Enregistrer le risque résiduel : évaluer la probabilité résiduelle et l’impact
une fois que les réponses ont été définies.
Justifier le coût des réponses : évaluer le coût des réponses proposées en
fonction du coût du risque s’ils se réalise. Evaluer le coût de la maximisation
d’une opportunité par rapport à la réalisation de l’opportunité.
Identifier les organisation propriétaires : identifier l’organisation qui va
garder la propriété et la responsabilité pour les risques.
 LES TÂCHES DE LA PLANIFICATION (2/2)

Identifier les propriétaires de risques : c’est à dire les individus responsable

d’assurer que les réponses sont bien mises en oeuvre.
Identifier les acteurs de risques : c’est à dire les individus responsable de la
mise en oeuvre de la réponse.
Identifier et évaluer les risques secondaires : il faut prendre en considération
les menaces et opportunités qui peuvent être provoquées par la mise en
oeuvre des réponses.
Vérifier les risques résiduels en fonction des tolérances de risques définies
pour l’activité : ceci doit être réalisé à la fois pour chaque risque individuel
mais aussi pour les risques globaux de l’activité.
 CONTENU D’ UN PLAN DE RÉPONSE

Identifiant unique du risque ;

Plan de réponse (qui, quoi, quand, où en

Description du risque ;
détail);

Proximité du risque ; Probabilité et impact résiduel ;

Anticipation de la probabilité et de Proximité résiduelle ;

l’ impact de la réponse (et valeur
Coûts de la réponse ;
attendue lorsqu’elle est utilisée) ;

Propriétaire du risque ;
 LES ÉTAPES DU PROCESSUS : L’ IMPLÉMENTATION

Les principaux objectifs de l’ étape

d’ implémentation sont :
Assurer que les réponses prévues ont bien été
mise en oeuvre ;
Comprendre si les réponses ont été une réussite ;
Évaluer chaque risque résiduel lorsque les
réponses n’ ont pas été une réussite totale ;
Gérer les risques résiduels et gérer les nouvelles
menaces et opportunités émergentes.
LES ÉTAPES DU PROCESSUS : L’ IMPLÉMENTATION
 L’ IMPLÉMENTATION : LES ENTRÉES

Les entrées pour l’étape d’ implémentation

sont les documents et les informations
venant des précédentes étapes du
processus, permettant dans le cas de
réaliser les opportunités et de prévenir
les menaces.
 L’IMPLÉMENTATION : LES ENTRÉES

Le propriétaire du risques pour la mise en

oeuvre des réponses ;

L’ acteur du risque pour la mise en oeuvres des

actions liées aux réponses ;

Le registre des risques comme source

principale d’ informations ;

Le plan de réponse des risques permettant, si

nécessaire, de documenter les réponses à
l’ extérieur du registre des risques.
 L’IMPLÉMENTATION : LES SORTIES

Les sorties de l’étape d’implémentation sont les

réponses qui ont été mise en oeuvres ainsi que les
activités de suivit et de revue des activités de
gestion des risques permettant de savoir si des
risques secondaires sont apparus.

Le rapport d’ avancée des risques contient les

éléments suivants :
La tendance globale de l’exposition aux risques;
Le nombre et la tendances des risques
apparaissant dans chaque catégorie de risque ;
L’ anticipation des nouveaux risques qui vont
nécessiter une attention particulière de
l’ encadrement.
 L’IMPLÉMENTATION : LES TECHNIQUES (1/2)

Les objectifs principaux de l’ étape

d’ implémentation sont :
Assurer que les réponses planifiées ont
bien été mise en oeuvre ;
Comprendre si les réponses mise en
oeuvre ont atteint leur objectif ;

Evaluer le risque résiduel lorsque les

réponses n’ ont pas été totalement
efficace ;
Gérer le risque résiduel et gérer les
nouvelles menaces et opportunités.
 L’IMPLÉMENTATION : LES TECHNIQUES (2/2)

Mettre à jour les résumés de profil de risques

: la méthode la plus simple pour fournir une
vue des risques et des activités associées,
généralement sous la forme d’ un diagramme
en nuage de points.

Les tendances d’exposition aux risques :

le calcul des valeurs attendues pour
chaque risque individuel.

Mettre à jour les modèles de probabilité des

risques : dans le cas où la stratégie de la gestion
des risques inclue le développement des modèles
de risques.
 L’IMPLÉMENTATION : LES TÂCHES

Les tâches de l’étape d’implémentation sont

conçues pour assurer que :
les réponses planifiées sont réellement mise
en œuvre;
l’ efficacité des réponse est surveillée
si les actions n’ont pas été efficaces alors il
est nécessaire d’impliquer l’encadrement.
Les trois actions clés sont :
Exécuter ;
Surveiller ;
Contrôler.
LA GESTION DES RISQUES
SELON M_O_R

Les rôles et responsabilités de la

gestion des risques.
 LES RÔLES ET RESPONSABILITÉS DE LA GESTION DES
RISQUES (1/3)

Les rôles et responsabilités de la

Le cadre nommé par le comité de
gestion des risques sont un élément clé
direction, aussi appelé sponsor,
de la mise en oeuvre.
assure que la gouvernance et en
Les différents rôles identifiés sont :
place et que les stratégies de risque
Le comité de direction, défini l’appétit
existent bien. Il défini aussi la
du risque, agit en cas d’escalade,
tolérance au risque et assure
approuve les budgets liés aux risques
l’ implémentation de la politique de
et gère la stratégie et la politique des
gestion des risques.
risques.

Le gestionnaire des risques gère le registre des risques, le processus et les escalades.
Il valide les évaluations, identifie les budgets et assurer la participation des équipes.
 LES RÔLES ET RESPONSABILITÉS DE LA GESTION DES
RISQUES (2/3)

Le gestionnaire des risques gère le Le spécialiste des risques effectue les

registre des risques, le processus et intervention opérationnelles sur les
les escalades. Il valide les évaluations, risques, mais va aussi les identifier et
identifie les budgets et assurer la préparer les rapports.
participation des équipes.

L’ assurance est en charge de Les équipes participent à

l’ attribution des risques au comité de l’ identification, la validation, la
direction et le respect des règles et planification et la gestion des
des orientations. menaces et des opportunités.
 LES RÔLES ET RESPONSABILITÉS DE LA GESTION
DES RISQUES (3/3)

Les rôles et responsabilités de la

Le cadre nommé par le comité de
gestion des risques sont un
direction, aussi appelé sponsor, assure
élément clé de la mise en oeuvre.
que la gouvernance et en place et que
Les différents rôles identifiés sont :
les stratégies de risque existent bien.
Le comité de direction, défini
Il défini aussi la tolérance au risque
l’ appétit du risque, agit en cas
et assure l’ implémentation de la
d’ escalade, approuve les budgets
politique de gestion des risques.
liés aux risques et gère la stratégie
et la politique des risques.
 LES RÔLES ET RESPONSABILITÉS DE LA GESTION DES
RISQUES (3/3)

Le gestionnaire des risques gère le Le spécialiste des risques effectue

registre des risques, le processus et les les intervention opérationnelles sur
escalades. Il valide les évaluations, les risques, mais va aussi les
identifie les budgets et assurer la identifier et préparer les rapports.
participation des équipes.

L’ assurance est en charge de Les équipes participent à

l’ attribution des risques au comité de l’ identification, la validation, la
direction et le respect des règles et planification et la gestion des
des orientations. menaces et des opportunités.
Contactez-nous

+ 2 2 1 3 3 8 2 4 71 3 6

+221 76 195 38 63

c o n tac t @ 4 i t s e c- a f r i ca .com

w w w .4 i t s e c - a f r i ca .co m

Rue 13 x XY Bourguiba, Grand

Dakar