Elaborer une cartographie des risques en six étapes
, les éléments susceptibles de les accroître (facteurs)
La cartographie des risques se base sur une description objective, structurée et documentée des risques existants. La description fait ressortir l’existence des risques et leur probabilité (occurrence), les éléments susceptibles de les accroître (facteurs aggravants), et les réponses apportées ou à apporter, dans le cadre d’un plan d’actions.
Etape 1 : clarifier les rôles et les responsabilités de chacun dans l’élaboration, la mise en œuvre et la mise à jour de la cartographie des risques
Dans une organisation, c’est l’instance dirigeante qui prend la décision et endosse la responsabilité, au nom de l’organisation, d’engager une démarche de pilotage de gestion des risques.
A ce titre, elle impulse l’exercice de cartographie des risques et désigne un risk manager.
L’instance dirigeante valide la stratégie de gestion des risques mise en œuvre et veille à ce que les acteurs de la gestion des risques disposent des moyens humains et financiers suffisants pour exercer leurs responsabilités.
Le risk manager est désigné par l’instance dirigeante. Dans de nombreuses organisations, le risk manager cumule plusieurs fonctions.
Le risk manager pilote le déploiement, la mise en œuvre, l’évaluation et l’actualisation du programme de gestion des risques, en étroite coopération avec les parties prenantes de l’organisation.
Il pilote ainsi l’élaboration de la cartographie des risques, en accompagnant chaque service dans l’audit de ses fonctions, des processus mis en œuvre, des risques induits, et des mesures préventives en place.
A l’issue de son élaboration, le risk manager communique la cartographie des risques à l’instance dirigeante. Celle-ci valide formellement la stratégie de gestion des risques mise en œuvre.
Le risk manager s’assure de la mise en œuvre du plan d’actions retenu
Les responsables des processus managériaux, opérationnels et support
rendent compte des risques spécifiques au périmètre relevant de leur responsabilité afin qu’en soient tirées les conséquences sur la probabilité d’occurrence, les potentiels facteurs aggravants et la cotation des risques.
L’ensemble du personnel apporte sa contribution à l’exercice de cartographie en rendant compte des facteurs spécifiques dues aux fonctions exercées afin qu’en soient tirées les conséquences sur la probabilité d’occurrence, les potentiels facteurs aggravants et la cotation des risques.
Etape 2 : identifier les risques inhérents aux activités
Cette étape vise à dresser la typologie des risques à laquelle les organisations sont exposées dans le cadre de leurs activités.
Il ne s’agit pas de décliner la typologie théorique des risques auxquelles une organisation est exposée mais de procéder à un état des lieux précis permettant d’identifier, de manière circonstanciée et documentée, les risques qui lui sont propres.
De ce fait, le recensement exhaustif des risques inhérents aux activités nécessite, outre la connaissance de l’organisation mobilisée et des rôles impartis, une maîtrise fine des processus mis en œuvre.
Etape 3 : évaluer l’exposition aux risques
Cette étape vise à évaluer le niveau de vulnérabilité de l’organisation en cause pour chaque risque identifié à l’étape précédente. Il s’agit ici de déterminer les risques «bruts» auxquels cette organisation est exposée du fait de ses activités, c’est à dire les risques considérés en amont des moyens de prévention mis en œuvre.
Ce niveau de vulnérabilité est évalué au moyen de deux types d’indicateurs :
une probabilité d’occurrence
des coefficients appliqués aux facteurs jugés aggravants
La méthodologie et les modalités de calcul des risques «bruts» devront figurer dans une annexe à la cartographie des risques, rappelant les définitions retenues et décrivant les procédures d’identification des risques et les conventions de comptabilisation adoptées.
Etape 4 : évaluer l’adéquation et l’efficacité des moyens visant à maîtriser ces risques
Cette étape vise à évaluer le niveau de maîtrise par l’organisation des risques afin de déterminer les risques «nets» ou « résiduels » auxquels elle est exposée du fait de ses activités. Il s’agit donc de réévaluer les risques «bruts» en prenant en considération les moyens de prévention mis en œuvre.
A ce stade d’élaboration de la cartographie, le risk manager s’attachera à évaluer l’efficacité des mesures de prévention existantes afin de maîtriser les risques. Cette évaluation sera fonction de la structuration des dispositifs en place et du bilan tiré de leur mise en œuvre.
La méthodologie et les modalités de calcul des risques «nets» ou «résiduels» devront faire l’objet d’une annexe à la cartographie des risques, rappelant les définitions retenues et décrivant les procédures d’identification des risques et les conventions de comptabilisation adoptées.
Etape 5 : hiérarchiser et traiter les risques «nets» ou «résiduels»
Une fois les risques déterminés, il convient de les hiérarchiser en distinguant les risques que la direction ne veut pas prendre et ceux auxquels elle assume de s’exposer.
Une fois cette limite d’acceptabilité fixée et définie dans la procédure annexe, il s’agit de déterminer, dans le cadre de la stratégie de gestion des risques, les mesures à mettre en œuvre afin de corriger les lacunes du dispositif de prévention et ainsi limiter la probabilité d’occurrence et le défaut d’anticipation de facteurs aggravants.
Sur la base de ces éléments, un plan d’actions sera élaboré. Le calendrier et les modalités de mise en œuvre de ce plan d’action, ainsi que son suivi et les modalités de compte-rendu associés, sont confiés au risk manager.
Etape 6 : formaliser la cartographie et la tenir à jour.
La cartographie des risques est écrite et structurée. Son résultat est présenté de manière synthétique. A cet égard, il est rappelé que la forme de la cartographie des risques facilite son appropriation comme outil de pilotage des risques.
La documentation peut être organisée par métier et par processus. Elle est accompagnée d’une annexe décrivant les modalités d’élaboration de la cartographie des risques et la méthodologie de classification des risques.
Enfin, la nécessité d’actualiser la cartographie est évaluée chaque année. En tout état de cause, la cartographie des risques doit être mise à jour en fonction de l’évolution de l’activité.
Parmi les évènements nécessitant de réévaluer la cartographie figurent notamment : l’évolution du modèle économique, de nouveaux processus ou leur transformation, un changement affectant l’organisation, une évolution significative du contexte réglementaire ou économique…
