Quelles étapes pour la gestion du risque en entreprise ?

Cinq étapes, quatre étapes, parfois huit. Combien y a-t-il vraiment d’étapes pour la gestion du risque en entreprise ? En réalité, le nombre d’étapes que l’on suit dans sa GRE n’est souvent qu’une question de communication interne. Entre cinq et huit étapes, rien ne diffère vraiment, si ce n’est que certaines sont subdivisées en sous-étapes. Si la question du 5 ou du 8 relève donc plus de la communication interne, la gestion des risques n’en recoupe pas moins une démarche spécifique.

Si vous avez lu notre guide sur la gestion des risques en entreprise, vous savez peut-être que votre société, votre département et vos activités sont directement concernés par la GRE. C’est parce que les enjeux sont colossaux que la gestion des risques en entreprise doit suivre une méthode, et donc des étapes, peu importe leur subdivision.

Quelles sont les étapes de la gestion du risque en entreprise ?

Dans notre guide sur la GRE cité ci-dessus, nous avons déjà décliné la gestion des risques en entreprises en 5 étapes :

1 / Identification des risques

Il s’agit de la première phase du processus, qui consiste à dresser la liste des menaces qui planent sur l’entreprise à différents niveaux. L’enjeu de cette étape de gestion des risques pour l’entreprise est de ne rien sous-estimer. Elle réclame donc de comparer l’organisation de la structure à la typologie des différents risques pour les sociétés.

2 / Évaluation des risques

Cette étape de GRE varie selon les méthodes. Elle consiste souvent à croiser la probabilité du risque avec son impact potentiel sur l’entreprise. Le groupe de travail émet dans ce cas une cartographie des risques, qui les classe des moins graves aux plus graves.

3 / Définition des solutions de gestion des risques

Ces solutions s’appellent aussi, dans le jargon GRE, des “barrières de sécurité”. Elles peuvent avoir un objectif de prévention ou de protection. Elles peuvent viser l’élimination du risque quand il est jugé grave, ou la limitation de ses conséquences.

4 / Mise en œuvre des solutions de gestion des risques

5 / Mesure régulière de l’efficacité de la gestion des risques

Quand la GRE est déclinée en 8 étapes

Pourquoi, alors, certains experts décomptent-ils 8 étapes de gestion des risques ? Cette logique peut émerger si l’on subdivise les première et deuxième étapes en sous-étapes :

• L’identification des risques recoupe dans ce cas leur analyse méthodique, parfois un par un, parfois par degré de gravité. L’exhaustivité relative de l’analyse dépend effectivement de la méthode de gestion des risques choisie. Certaines méthodes recommandent une analyse “un par un”, pour ne sous-estimer aucun danger. D’autres préconisent une analyse du risque basée sur son degré de gravité supposé.
• L’évaluation du risque recoupe donc aussi, dans ce cas, le classement des risques potentiels par niveau de gravité.
• Cette évaluation donne lieu à la détermination de niveaux de sécurité à atteindre, au vu des risques identifiés et classés.

Cette organisation de la GRE aboutit donc à un cycle de gestion des risques en entreprise décliné en 8 étapes :

1 / Identification des risques

2 / Analyse des risques

3 / Classement des risques

4 / Évaluation des risques en croisant leur niveau d’impact à leur probabilité

5 / Définition des objectifs de sécurisation à atteindre

6 / Plan d’actions de sécurisation

7 / Mise en place des solutions de GRE, par exemple en s’appuyant sur un logiciel de gestion des risques

8 / Mesures régulières de l’efficacité du plan d’actions

Quelle chronologie pour l’étape d’identification du risque ?

Vous l’aurez compris, c’est le déroulé des étapes d’identification et d’évaluation du risque qui influe sur la forme de tout le cycle de gestion des risques. Il existe probablement un nombre d’étapes de gestion des risques en entreprises qui vous parle plus. Vous jugez ce nombre plus facile à conceptualiser, et donc à communiquer aux équipes. Le nombre d’étapes de la GRE n’est souvent qu’une question de communication interne.

Peu importe le nombre de phases officielles, la démarche d’identification du risque se subdivise toujours de la même façon : identification des risques, analyse et évaluation. Cette méthode est indétrônable. Elle constitue le socle du déploiement de solutions de gestion des risques efficaces.

Les divergences sur la méthode à adopter en étape d’évaluation

Pour une analyse des risques performante et utile, les méthodes se ressemblent et divergent à la fois. Il existe notamment de nombreux débats quant aux techniques d’évaluation des risques. La plupart des méthodes du marché sont nominales ou ordinales. Elles dépendent donc de jugements subjectifs des risques selon leur impact (“faible” à “élevé”) et selon leur probabilité (« improbable » à “très probable”).

Ce classement, tout subjectif qu’il soit, peut donner lieu à une stratégie de numérotation des risques. La numérotation facilite la communication interne sur la GRE mise en place. Elle aide les collaborateurs qui ne participent pas à l’évaluation des risques à comprendre les résultats obtenus par le groupe de travail.

D’autres méthodes, comme la méthodologie de quantification du risque FAIR™, invitent à quantifier le risque pour le classer de façon mathématique. En se basant sur un chiffrage financier des conséquences des risques identifiés, il serait ainsi possible de dépasser la subjectivité propre aux méthodes nominales d’évaluation du risque.

Les étapes pour une évaluation du risque fiable

Quelles que soient les conclusions tirées du débat entre évaluation du risque nominale ou quantifiée, voici les étapes qui permettent à l’évaluation des risques d’être performante :

1 / Définir les objectifs de sécurité du groupe de travail dédié à la GRE. Cette phase nécessite notamment d’identifier les activités essentielles à la structure et ses actifs principaux ;

2 / Choisir la méthode d’analyse qui convient le mieux aux objectifs identifiés : analyse nominale, ordinale, quantifiée ;

3 / Constituer un groupe de travail pluridisciplinaire, surtout si la méthode choisie implique une certaine forme de subjectivité. La diversité des profils doit permettre d’équilibrer l’analyse et d’éviter les zones grises ;

3 / Déterminer les critères qui vont orienter l’analyse du risque : est-ce le degré d’impact sur le fonctionnement de l’entreprise ? La probabilité d’occurrence du risque ? Le risque financier ?

5 / Classer les risques selon leurs degrés d’acceptabilité, lesquels vont déterminer les prises volontaires de risque ;

6 / Formaliser un document récapitulatif de l’analyse communicable en interne, et compréhensible pour les personnes qui ne participent pas au groupe de travail.