Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

4- Processus de la gestion des risques 4-1 Fixer les objectifs à tous les nivea

4- Processus de la gestion des risques 4-1 Fixer les objectifs à tous les niveaux de l’organisation : Quatre objectifs primaires sont à identifier de façon primordiale : - Stratégique : Objectifs de haut niveau, à long terme et susceptible d’impacter l'ensemble de l’organisation. - Opérationnel : Objectifs à court termes axé sur l’activité de l’organisation et visant l'utilisation efficace et efficiente des ressources. - Reporting : objectifs axés sur la fiabilité du reporting (tant externe qu'interne). - Conformité : objectifs visant la conformité aux lois et règlements applicables. 4-2 Identifier les évènements : On peut identifier les évènements des risques de l’organisation à travers une ou plusieurs des méthodes suivantes : - Checklists : vérifier les risques de l’organisation avec un registre des risques basiques déjà établit d’une organisation dans le même secteur avec une taille similaire ; - Benchmarking : Comparaison des risques de l’organisation avec ceux d’une organisation dans le même secteur avec une taille similaire ; - Planification de scénarios : "Et qu'est-ce qui se passerait si...?" les scénarios sont un moyen utile d'examiner une gamme d’événements ou circonstances possibles et déterminer leur impact. Les gestionnaires peuvent être en mesure d’entreprendre un tel exercice en interne, ou l'organisation peut souhaiter employer une équipe d’analystes d'affaires. - Évaluations de la vulnérabilité : en examinant en détail chaque processus ou activité que l'organisation entreprend, il est possible d'identifier les vulnérabilités ou, alternativement, les opportunités qui peuvent surgir. Cette analyse des processus et des activités peut être représentée visuellement par un diagramme de cause à effet. - Questionnaires ou enquêtes : Un questionnaire peut être utilisé pour maximiser le niveau de participation car il peut être diffusé dans toutes l’organisation. - Ateliers d'identification des risques : Atelier rassemblant tous les détenteurs de risques pour les aider à identifier leurs risques. Le même atelier peut être étendu pour examiner les réponses aux risques et plans de mise en œuvre. - Auto-évaluation des risques de contrôle (CRSA), En tant que processus, CRSA peut suivre un certain nombre de formats, y compris questionnaires et ateliers. Il est plus structuré et plus rigoureux qu'une séance de brainstorming, et essentiellement c’est une approche participative qui inclut le personnel de tous les niveaux. Ceux qui sont le plus impliqués dans le l'activité quotidienne examinée sont les personnes les mieux adaptées à soutenir l'identification des risques et des contrôles. CRSA peut être mis en œuvre pour toute activité ou zones d'opération de l'organisation. 4-3 Analyse et évaluation des risques : 4-3-1 Classification des risques : La première étape vers l'analyse et l'évaluation des risques peut être une simple classification des risques sous diverses rubriques. De telles classifications présentent divers avantages, en général, les descriptions des différents types ou aspects de risque nous aident pour comprendre le risque. Lorsqu'elles sont utilisées comme listes de contrôle, elles peuvent aider à l'identification des risques. De plus, ils sont utiles pour analyser les risques et structurer le registre des risques. Il n'existe pas de classification universelle des risques, ces classements sont utiles pour aider à regrouper les risques associés, et peuvent faciliter la détermination la réponse appropriée au risque. Les risques peuvent être classés par nature du risque ainsi : -Risques inhérents / Risques résiduels ; - Risques Positifs / Risques négatifs ; - Risques connus / risque inconnus ou peu connus - Risques prévisibles / risques imprévisibles 4-3-2 Analyse des risques Outre l'identification, la classification du risque en fonction du vaste domaine d'activité auquel il se rapporte, il est essentiel que sa vraie nature soit comprise. Comment surgit-il ? Quels sont les événements déclencheurs ou les conditions qui peut le précipiter ? Souvent, il y a plusieurs étapes intermédiaires entre l'événement déclencheur et le risque lui-même. Par exemple, l’inflation peut ne pas avoir d'impact direct sur une organisation, mais elle déclenchera une série d’événements (c'est-à-dire que le chômage peut augmenter, les individus peuvent avoir moins à dépenser et la demande pour certains produits peut tomber). Par conséquent, plusieurs événements déclencheurs peuvent être nécessaires pour que le risque se matérialise. Une combinaison de la hausse de l'inflation et une mauvaise récolte peuvent avoir un impact sur un fabricant de produits alimentaires, même si l'un de ces les événements seuls pourraient ne pas l'être. Une série de causes et d'effets peuvent entraîner des conséquences importantes lorsqu'elles sont combinées, et de tels événements peuvent avoir un impact considérable sur les revenus de l'organisation. Schématiser les corrélations, les interdépendances, et les conditions qui pourraient conduire à un événement à risque (voir Figure II.8) peuvent aider à clarifier l’effet potentiel ou le danger. 4-3-3 Critères d’évaluation du risque Après avoir classé les risques et identifié l'enchaînement des événements pour révéler leur véritable identité, nous pouvons maintenant examiner comment les risques peuvent être analysés et évalués. Les critères d’évaluation du risque peuvent inclure : A- L’impact (ou conséquence) : selon l’ISO 31000 l’impact c’est le résultat d'un événement affectant les objectifs. L'impact ou la conséquence est une mesure de l'effet projeté du risque s’il sera matérialisé. Selon Sobel et Reding (2012), il peut faire sentir sa présence de différentes manières, notamment : - Impacts financiers ; - Impacts sur l'information financière ; - Impacts environnementaux ; - Impacts sur la réputation de l’organisation ; - Impacts de sécurité ; - Impacts légaux. B- Probabilité (ou fréquence) : La probabilité d’un risque est généralement calculée sur la base de la réalisation de ce dernier sur des périodes de temps données. Dans sa forme la plus simple, nous supposons que le taux de réalisation du risque est assez stable dans une période déterminée. Cependant, ce n'est certainement pas toujours le cas, et des mesures, comme la volatilité, permettront d'affiner notre évaluation de la probabilité. C- Vulnérabilité : La vulnérabilité est une mesure de la sensibilité de l'organisation à un risque donné. Cela dépend de la l'état de préparation de l'organisation, son agilité et son adaptabilité. Compte tenu de cette description, il est clair qu'il est une relation étroite entre la vulnérabilité et l'impact : plus la vulnérabilité est grande, plus la probabilité l'impact sera. Cette analyse est cependant utile et aide à comprendre le risque et à identifier une réponse appropriée. D- Volatilité : Dans certains cas, la probabilité d'un risque varie en fonction de la volatilité de la situation. Quand les conditions varient considérablement, il est plus difficile de prédire la probabilité d'un événement donné. Il est probable qu'un tel risque soit d’une priorité plus élevée à la gestion des risques en raison de sa grande imprévisibilité. E- Rapidité (Vélocity) : Certaines analyses intègrent le critère de vitesse d'apparition du risque. C'est la mesure de la période séparant le moment d’avertissement et de préparation d'une organisation et le moment de la survenance de l'événement et son impact. En ce lui-même, peut être aussi divisé en vitesse de réaction et vitesse de récupération. F- Interdépendance : Il est important non seulement de considérer les risques isolément, mais aussi dans diverses combinaisons. La matérialisation de deux risques ou plus peuvent avoir un impact différent sur l'organisation, selon que les événements se sont produits simultanément ou en parallèle. Par exemple, les centrales nucléaires au Japon sont préparées pour les tremblements de terre et les tsunamis. Cependant, la réalisation de ces deux événements simultanément peuvent permettre à une vague de briser des défenses déjà affaiblies par le sol tremblements. Prenons un autre exemple : les contrôles financiers de routine nécessitent généralement la séparation des tâches clés pour empêcher un employé de commander des marchandises pour usage personnel. Cependant, si deux personnes ou plus décident de s'entendre sur une telle fraude, il sera beaucoup plus difficile à la détecter. G- Corrélation : La corrélation est similaire à l'interdépendance en ce qu'elle se rapporte à la connexion de deux ou plusieurs risques. Dans ce cas, plutôt que la dépendance mutuelle des risques précipitant des nouveaux risques potentiellement inattendus, l'impact ou la probabilité des risques varie. Par exemple, les faiblesses d'une économie nationale peut précipiter les risques de change et entraîner des coûts supplémentaires pour les marchandises et les services faisant l'objet d'échanges internationaux. Ces coûts peuvent s'ajouter à la nécessité d'augmenter l’emprunt national. Les facteurs économiques sous-jacents qui ont conduit aux fluctuations des taux de change peut également être associé à des taux d'intérêt plus élevés et à une plus grande difficulté dans le remboursement des échéances des crédit. 4-3-4 Niveau ou gravité du risque L'appréciation et l'évaluation du niveau des risques comprennent : - Évaluer la probabilité (fréquence et probabilité) de survenance du risque. - Évaluer l'impact (ou la conséquence) du risque survenu. - Évaluer d'autres dimensions du risque (telles que la vélocité, la volatilité et les interdépendances…). - Mesurer la gravité ou le niveau du risque inhérent, défini comme l'ampleur d'un risque ou combinaison de risques, exprimée en termes de combinaison de conséquences et de leur probabilité (ISO 31000). Il s'agit généralement du produit de la probabilité et de l'impact du risque, mais peut également inclure d'autres dimensions. - Comparer la gravité du risque avec l'appétit pour le risque. - uploads/Management/cours-risk-management-partie-3.pdf