Dans le cadre d’une démarche de gestion des risques, il s’avère toujours pertinent de réaliser une cartographie des risques de l’organisation. Mais plusieurs méthodes existent pour le faire. Alors, quelles méthodes choisir, le point avec notre expert en Risk management, Grégoire Mottier.
Une cartographie des risques de l’entreprise permet avant tout de visualiser les risques sous forme de tableaux et graphiques en rendant leur analyse plus facile et plus compréhensible. Oui, mais comment faire et par quoi commencer?
Comment procéder?
Pour répondre à cette question, il n’est pas inutile de revenir aux notions fondamentales proposées par la norme ISO 31000 qui comprend les phases suivantes:
Les étapes d’un cartographie des risques
Les phases d’analyse et d’évaluation retiendront particulièrement notre attention puisqu’il s’agira de donner des scores (analyse, fréquence et gravité ) pour les comparer aux critères de risques pour décider de leur traitement. Ces critères seront déterminés par l’organisation en fonction niveau de tolérance (acceptation), des exigences réglementaires, des objectifs de l’entreprise ainsi que des pratiques ou normes en vigueur dans l’activité considérée.
Les échelles d’analyse
Pour la partie «analyse», la littérature évoque des échelles «qualitatives, quantitatives ou numériques». À ce sujet nous avons observé sur le marché des méthodologies faisant simplement référence à des notions d’occurrence, sans faire appel à des notions temporelles, en indiquant simplement le fait qu’un risque était «fréquent» ou «rare» sans autres précisions et repères dans le temps. Selon notre expérience, cette démarche est à proscrire et nous accorderons notre préférence à une cotation utilisant une référence temporelle comme celle-ci:
- Chaque jour: Risque qui peut se produire quotidiennement.
- Mensuel: Risque qui peut se produire chaque mois.
- Annuel: Risque qui peut se produire une fois par an.
- Décennal: Risque qui peut se produire une fois tous les dix ans.
La notion de gravité
En ce qui concerne la notion de gravité, certains auteurs évoquent des échelles avec des définitions plutôt généralistes dont voici un exemple:
- Mineur: Impact faible ou négligeable. Peu ou pas d’effets sur les opérations, la sécurité, ou la réputation.
- Modéré: Impact notable mais gérable. Affecte certaines opérations, avec des effets limités sur la sécurité ou la réputation.
- Significatif: Impact majeur. Interruption de certaines opérations, risque élevé pour la sécurité, ou atteinte à la réputation.
- Grave: Impact très élevé. Interruption majeure, risques sérieux pour la sécurité, ou atteinte importante à la réputation.
- Catastrophique: Impact extrême. Dommages sévères, mise en danger de vies humaines, ou atteinte irréparable à la réputation.
Pour notre part, nous privilégierons une classification par domaines répartis entre:
- les impacts environnementaux,
- les conséquences financières,
- les atteintes à l’image ou la réputation,
- les atteintes à la santé des collaboratrices et collaborateurs (cette dernière catégorie étant souvent incluse dans les conséquences financières).
Avec une classification par domaine, les mesures de traitement de risques seront bien plus riches que si seul l’impact financier, par exemple, était pris en compte.
Délivrer un score à chaque risque
Une fois les cotations en fréquence (f) et gravité (g) déterminées, nous pourrons alors appliquer l’opération fxg pour obtenir un score permettant ensuite à l’organisation de traiter ce risque avec la meilleure efficacité possible.
Mais plus précisément, pourquoi est-il utile de donner des scores aux différents risques? Hé bien, pour:
- Permettre de les quantifier de manière la plus objective possible
- Faciliter la priorisation des mesures de traitement
- Permettre de les suivre et d’observer leur évolution dans le temps
Ces scores pourront être représentés à titre d’exemple de la manière suivante, avec une échelle allant de 1 à 25:
Représentation des scores
Mais alors, comment les différents scores vont-ils être déterminés?
Si certains d’entre eux peuvent dépendre de critères ou KPIs objectifs (taux d’absences, défauts sur une ligne de produits et autres), d’autres dépendent forcément de la perception parfois subjective des parties prenantes, sans pouvoir recourir à des éléments statistiques.
Dans ce cadre et en cas d’intervention de plusieurs personnes en tant que parties prenantes sur des éléments liés à la gestion de risques, il existe une forte tentation de procéder par vote sur les éléments de fréquence et de qualité pour exprimer un score final. De notre point de vue, cette stratégie est insatisfaisante et deviendra finalement une source de frustration pour plusieurs personnes. Il est bien plus pertinent de recourir à un véritable consensus entre «propriétaires de risques» pour délivrer les scores en question, avec les avantages suivants:
- Meilleure cohérence avec les objectifs de l’organisation
- Meilleure compréhension des risques et des facteurs qui les déterminent
- Réduction des tensions et désaccords entre les parties prenantes
- Engagement et implication accrue des propriétaires de risque
Dans tous les cas et indépendamment de la méthodologie utilisée, l’absence de déni et la gestion de risques au sein d’une organisation ayant adopté une «culture du droit à l’erreur» resteront des conditions-cadres indispensables pour une cartographie de risques réussie!