Gestion des risques
La gestion des risques est le processus qui permet de réduire ou d'atténuer les risques défavorables et de tirer parti des bonnes opportunités. Elle consiste tout d'abord à identifier et à évaluer les risques, avant d'utiliser les ressources de manière optimale pour surveiller et minimiser le risque.
Le risque découle généralement d'un degré d'incertitude. Au sein des organismes, le risque peut provenir d'une incertitude liée au marché mondial (demande, offre et marché boursier), à l'échec des projets, aux accidents, aux catastrophes naturelles, aux pandémies mondiales telles que la COVID-19, etc. Il existe plusieurs outils et méthodes pour évaluer et contrôler le risque en fonction du type de risque identifié.
Idéalement dans la gestion du risque, un processus de hiérarchisation des risques est mis en place. Il permet de gérer en priorité les risques qui représentent la plus grande menace de perte importante et qui sont le plus susceptibles de se produire.
Les deux facteurs qui guident les mesures requises sont la probabilité d'occurrence et la gravité ou l'impact du risque. Par exemple dans les situations où l'impact et la probabilité d'occurrence sont faibles, il est souvent possible d'accepter le risque sans besoin d'intervenir. Un événement ou un risque présentant une probabilité d'occurrence importante et un impact plus significatif requiert quant à lui une gestion plus poussée. De cette manière, certaines priorités peuvent être définies dans le cadre de la gestion et du contrôle du risque.
La gestion des risques est toujours un processus continu, une stratégie fluide et dynamique où les risques et les systèmes de gestion des risques sont revus et réévalués, et où les conclusions sont intégrées au système de gestion pour faire l'objet de nouvelles études et revues.
Les deux domaines les plus courants à traiter dans le cadre de la gestion des risques sont la source du risque et le problème.
Lorsque l'un des deux éléments ci-dessus ou les deux sont connus à l'avance, certaines mesures peuvent être prises pour y faire face.
Une fois les risques identifiés, ils doivent être évalués selon leur gravité potentielle. C'est là que la hiérarchisation des risques entre en jeu.
De manière générale « probabilité d'occurrence × impact = risque »
S'ensuit le développement d'un plan de gestion des risques et sa mise en œuvre. Il inclut des contrôles de la sécurité et des mécanismes de contrôle efficaces permettant d'atténuer les risques.
Un risque présent mais qui ne peut être identifié constitue un défi plus important pour l'efficacité organisationnelle. Par exemple, une inefficacité permanente au niveau des processus de production dure depuis un certain temps et entraîne un risque opérationnel.
Principes
Plusieurs organismes ont défini des principes de gestion des risques. Il existe des principes de gestion des risques conformes à l'organisation internationale de normalisation (ISO) et au Project Management Body of Knowledge.
La norme ISO 31000 comporte 8 principes et le Project Management Body of Knowledge (PMBOK) en a défini 12.
Les différents principes sont regroupés à continuation.
Cliquez sur les liens pour en savoir plus sur chacun des principes.
Contexte organisationnel
Tout organisme est affecté à des degrés variables par divers facteurs de son environnement : politiques, sociaux, juridiques, technologiques, sociétaux, etc. Par exemple un organisme peut être indifférent aux modifications des droits à l'importation, tandis que cela peut présenter un risque important pour un autre organisme dans le même secteur d'activités et environnement. Il existe également des différences notoires au niveau des moyens de communication, de la culture interne et des procédures de gestion des risques. La gestion des risques doit donc être en mesure d'ajouter de la valeur et s'intégrer pleinement dans les processus organisationnels.
Implication des parties prenantes
Le processus de gestion des risques doit impliquer les parties prenantes dans toutes les étapes de la prise de décisions. Elles doivent être informées de toutes les décisions, même anodines. Il est en outre dans l'intérêt de l'organisme de comprendre le rôle que les parties prenantes peuvent jouer à chaque étape.
Objectifs organisationnels
Pour faire face à un risque, il est important de ne pas perdre les objectifs organisationnels de vue. Le processus de gestion des risques doit explicitement prendre en compte l'incertitude. Il doit donc être systématique et structuré, tout en envisageant la situation dans son ensemble.
Structure de soutien
La structure de soutien souligne l'importance de l'équipe de gestion des risques. Les membres de l'équipe doivent être dynamiques, consciencieux et réactifs face aux changements. Tous les membres doivent comprendre ce que l'on attend d'eux à chaque étape du cycle de vie de la gestion du projet.
Indicateurs d'alerte précoces
Surveillez tous les signes précoces d'un risque pouvant découler sur un problème grave. Pour cela, tous les acteurs doivent communiquer continuellement à toutes les étapes. Il est également important de permettre à chacun de faire face à la menace à son niveau et de lui donner les moyens de le faire.
Révision du cycle
Évaluez constamment les données recueillies à chaque étape du processus de gestion des risques : identification, étude, réaction et révision. Les observations diffèrent sensiblement pour chaque cycle. Identifiez les interventions raisonnables et supprimez celles qui ne sont pas nécessaires.
FAQ
Qu'est-ce que le risque ? Vous pouvez demander à plusieurs personnes ou à différents organismes et ne pas obtenir deux réponses similaires. La date de rédaction d'un grand nombre de définitions a son impor-tance, car les réflexions et les idées liées au risque ont changé au cours des 30 dernières an-nées, mais de manière encore plus significative au cours des 10 dernières années.
POURQUOI ET QU'EST-CE QUE LA GESTION DES RISQUES ?
Tous les organismes, grands ou petits, sont exposés aux risques, qu'ils soient opérationnels, juridiques, environnementaux, financiers ou liés à la réputation, à la marque ou à la responsabilité.
La plupart des organismes sont concernés par les risques et peuvent en subir les effets négatifs.
Cette présentation s'intéresse aux principaux éléments des systèmes de gestion des risques au sein des organismes, et notamment aux avantages que supposent la mise en oeuvre de stratégies de gestion, d'étude et de priorisation des risques, ainsi que l'adoption de stratégies de réponse dans le cadre de la gestion des risques.
La gestion des risques aide un organisme à définir un processus rigoureux et systématique lui permettant d'identifier, d'évaluer, d'analyser, de surveiller et d'atténuer les risques qui compromettent la réalisation de ses objectifs stratégiques.
La gestion des risques est une démarche intentionnellement proactive et non réactive.
Divers événements et situations au sein d'un organisme peuvent simultanément entraîner des conséquences positives et négatives. Et une stratégie de gestion des risques différente devra peut-être s'appliquer à chacun d'entre eux.
QUELS SONT LES AVANTAGES DE LA GESTION DES RISQUES ?
L'adoption d'un système de gestion des risques suppose quatre principaux avantages pour un organisme.
Premièrement, un système de gestion des risques optimise un système de gestion existant, aussi bien au quotidien qu'à plus long terme.
Deuxièmement, un système de gestion des risques peut faciliter les opérations quotidiennes au sein d'un organisme. Les employés qui connaissent et comprennent les procédures et les politiques préconisées par un système de gestion des risques sont plus à même d'effectuer leurs tâches de manière sécurisée et de contribuer à tous les aspects d'un système de gestion.
Troisièmement, une bonne gestion des risques améliore la gestion financière. Les pertes, les procès et les blessures coûtent chers. Un système de gestion des risques adapté aide donc les organismes à éviter ces surcoûts importuns.
Et finalement, un système de gestion des risques contribue à offrir des services uniformes et améliorés. En cas de pertes ou de dommages matériels, un rapport doit être rédigé, des témoignages recueillis, etc. Ces activités empêchent les employés de se consacrer entièrement à la prestation de services.
COMMENT GÉRER LES RISQUES ?
Un « gestionnaire des risques » désigné est un atout de poids pour un organisme. Cependant, la plupart des organismes n'en nomment pas un à temps plein, ni même à temps partiel. Il incombe donc à tous les acteurs d'endosser le rôle de gestionnaire des risques d'une manière ou d'une autre.
Dans tous les cas, alors que la direction peut mettre en place une stratégie et superviser un système de gestion des risques adapté, sa mise en œuvre concrète au sein de l'organisme dépend de toutes les principales parties. Cela inclut les directeurs de services, les employés, les bénévoles et les représentants élus.
Lors de l'évaluation des risques, un organisme doit principalement s'intéresser aux risques sur lesquels il possède un certain degré de contrôle. Par exemple il est possible que la foudre s'abatte et blesse quelqu'un dans un parc public, mais quel est votre degré de contrôle sur cet événement ? Vous ne pouvez pas empêcher les impacts de foudre, mais vous pouvez contrôler les probabilités de blessure en installant des panneaux recommandant aux gens de s'abriter en cas de tonnerre.
Processus
Plusieurs organismes ont structuré les principes et directives du processus de gestion des risques. Les étapes restent plus ou moins inchangées. Le cycle de différents types de risques varie cependant quelque peu.
C'est le cas par exemple pour les risques liés à la gestion de projet qui diffèrent des risques inhérents au domaine financier. Cela explique certaines modifications apportées à la totalité du processus de gestion des risques. Toutefois, les normes ISO définissent certaines étapes du processus, qui peuvent s'appliquer de manière presque universelle à tous les types de risques. Les directives peuvent être appliquées tout au long de la durée de vie d'un organisme et à un grand éventail d'activités, notamment aux stratégies et aux décisions, aux opérations, aux processus, aux fonctions, aux projets, aux produits, aux services et aux actifs.
Conformément à l'ISO 31000 (Management du risque – Principes et lignes directrices), le processus de gestion des risques comprend les étapes et sous-étapes suivantes :
Établissement du contexte
L'établissement du contexte correspond à l'identification des tous les risques potentiels et à l'analyse approfondie des conséquences possibles. Plusieurs stratégies sont envisagées et des décisions sont prises pour faire face aux risques. À cette étape, les différentes activités sont divisées comme suit :
• Identifier un risque dans un domaine spécifique
• Planifier la totalité du processus de gestion
• Recenser les manifestations du risque, identifier les objectifs de risque, etc.
• Déterminer un cadre
• Concevoir une analyse des risques impliqués à chaque étape
• Convenir des solutions de gestion des risques
Identification
Une fois le contexte correctement établi, l'étape suivante consiste à identifier les menaces ou les risques potentiels. Cette identification peut se faire au niveau de la source ou du problème.
L'analyse des sources implique une analyse de la source des risques et la mise en place de mesures d'atténuations adaptées. La source des risques peut être interne ou externe au système. Il peut s'agir par exemple des employés de l'entreprise, de l'inefficacité opérationnelle d'un processus spécifique, etc.
L'analyse des problèmes quant à elle s'intéresse plus aux effets qu'à la cause des risques. Une chute de la production par exemple peut entraîner des pertes financières.
Le choix de la méthode varie selon les secteurs, la culture organisationnelle et d'autres facteurs.
Étude
Une fois que les risques ont été identifiés, ils sont étudiés selon leur vraisemblance et leur impact. Ce processus peut être simple, comme pour l'étude des risques tangibles, ou plus complexe lorsqu'il s'agit de risques intangibles. Cette étude s'apparente plus ou moins à un jeu de devinettes et la décision la plus éclairée détermine le succès du plan.
Deux méthodes peuvent être employées : une méthode qualitative reposant sur la meilleure estimation de la vraisemblance et des conséquences en utilisant les connaissances et l'expérience locales, ou une méthode quantitative axée sur des distributions de probabilité et des prévisions de perte.