Identification et évaluation du risque
Au cours de la phase d’identification du risque, tous les risques possibles sont listés sous forme de scénario. Les risques sont identifiés, évalués puis classés selon leur priorité.
Lors de cette étape, l'accent est mis sur les principaux risques de l'entreprise. En outre, la check-list est souvent appelée liste des dangers. La plupart du temps, les possibilités personnelles sont limitées. Par conséquent, il est important de se concentrer sur les risques majeurs afin de les éliminer avec un maximum de réussite.
Risques externes et internes
En principe, l'identification du risque commence par une analyse des points forts et faibles, c'est-à-dire une analyse SWOT (Strenghts = forces, Weaknesses = faiblesses, Opportunities = opportunités, Threats = dangers). Cette dernière peut être effectuée dans le cadre d'un séminaire accompagné d'entretiens avec les responsables clé de l'entreprise. L'analyse SWOT est un instrument simple permettant, d'une part, de comprendre la gestion des risques dans l'entreprise et, d'autre part, d'indiquer les liens existant entre les problèmes majeurs et les objectifs de l'entreprise. En outre, l'objectif d'une analyse SWOT est d'identifier les principaux facteurs internes et externes ayant une influence sur le développement de l'entreprise et les valeurs de l'organisation.
Les résultats révélés par le séminaire et les entretiens, les analyses du benchmark et les informations issues d'autres sources internes et externes servent à créer une base de données incluant toutes les informations majeures relatives au risque. Ainsi, les risques sont classés par genre, de manière à être attribués à la catégorie adéquate du modèle de risque (cf. illustration ci-après).
Profil des opportunités et des menaces
Source: Dr. Bruno Brühwiler, Management und Qualität, 5/2009
Une fois le catalogue de risque défini, il convient d'effectuer une évaluation générale des risques pour tous les risques identifiés. L'évaluation des risques permet de déterminer quand un risque est supportable et peut donc être accepté.
A cet effet, un seuil de tolérance du risque est souvent indiqué dans l'environnement des risques. On pourrait donc dire que les risques qui sont situés au-delà de ce seuil ne doivent pas être tolérés; par contre, ceux qui sont situés sous ce seuil sont acceptables.
En outre, l'évaluation du risque s'effectue, en règle générale, sur deux dimensions:
- La probabilité décrit la vraisemblance qu'un événement survienne. En principe, la probabilité est prévue pour une période de trois ans. Cette période sert de base lorsque l'entreprise dispose d'un cycle de planification stratégique;
- Les conséquences décrivent l'effet que produit réellement cet événement. L'évaluation requiert normalement une valeur financière. Vu que tous les risques ne peuvent pas être évalués d'un point de vue financier, il est également possible de les estimer par rapport à leur qualité. Pour ce faire, il convient de se servir des risques de réputation, de conformité, pour la santé et pour la sécurité ainsi que des dépenses engagées par le management pour contrôler la situation au cas où l'événement surviendrait.
Le résultat de l'évaluation des risques est représenté graphiquement, sous forme de carte des risques.
Carte des risques de la société fiduciaire xy
L'exemple ci-dessous met en évidence les principaux risques d'une société fiduciaire. Leur évaluation est effectuée sur deux dimensions: la probabilité et les conséquences. L'expérience montre que les entreprises se focalisent souvent sur 10 principaux risques environ.
0. Zones de dangers: menace stratégique; menace opérationnelle; menace financière; direction et collaborateurs
1. Fréquent: hebdomadaire; possible = mensuel; rare = annuel; très rare = tous les cinq ans; improbable = < 5 ans
2. Insignifiant = < CHF 5'000; minime = < CHF 10'000; sensible = < CHF 50'000; critique = < CHF 100'000; menace l'existence = > CHF 100'000
Les différentes méthodes d'évaluation des risques
Une entreprise peut faire son choix entre diverses méthodes pour évaluer ses risques. Celles-ci se répartissent en cinq différents groupes.
Il existe de nombreuses méthodes servant à évaluer les risques, qui se répartissent au total dans cinq groupes:
- Techniques de créativité: brainstorming, méthode Delphi, matrice morphologique
- Analyses de sénarios: analyse de cause racine, analyse des défaillances et des fausses manœuvres, analyse du scénario du pire cas
- Analyses d'indicateurs: Critical Incidents-Reporting Systems, Change Based Risk Management
- Analyses des dangers: AMDEC, analyses des dangers, HAZOP, HACCP
- Analyses statistiques: déviation standard, intervalle de confiance, simulation de Monte-Carlo
Source: Risikomanagement, Schweiz. Vereinigung für Qualitäts- und Management-Systeme (SQS), Zollikofen; 2008