CFST Plan de gestion des risques

On peut procéder de différentes manières pour identifier les risques au niveau de l’organisation et des processus. Dans un exercice spécifique où la gestion des risques est intégrée dans le processus de définition des objectifs, les risques peuvent être identifiés lors de l’élaboration des objectifs.

Les risques peuvent aussi être identifiés grâce à des interviews, des sessions de brainstorming, une auto-évaluation ou des listes de contrôle, etc

Une évaluation distincte est effectuée pour chaque risque :

• l’impact d’un risque ou l’ampleur du dommage potentiel ;
• la probabilité qu’un risque se produise.

L’impact est mesuré en termes de ‘dommages’ que peuvent subir l’organisation ou le processus si le risque se produit. La probabilité est l’estimation de la possibilité que le risque se manifeste.

L’évaluation de l’importance du risque résulte de la combinaison de l’impact et de la probabilité.

On vérifie les mesures de gestion qui existent déjà pour couvrir ces risques. Ces mesures ou procédures sont destinées à prévenir les risques ou, s’ils se produisent malgré tout,à en limiter l’impact. Il importe de vérifier si ces mesures sont efficientes et efficaces. Des mesures efficientes contribuent au maximum à la réalisation des objectifs. Des mesures efficaces sont des mesures de gestion qui couvrent réellement les risques visés.

Validation de l’analyse

Après l’inventaire des risques et des mesures de gestion existantes, le management de l’organisation devra avant tout se déclarer d’accord avec ces analyses et ces résultats. Le management doit s’assurer que tous les risques connus sont identifiés et que lesmesures de gestion inventoriées existent réellement dans la pratique et sont appliquées.

On peut ainsi avoir une vision des risques subsistant dans l’organisation (risques résiduels).

Gérer les risques résiduels

Le management doit ensuite indiquer comment il compte gérer ces risques résiduels au sein de l’organisation. Quatre attitudes peuvent être adoptées :

• On évite le risque, on veille à ce qu’il ne se produise pas ;
• On introduit des mesures de gestion complémentaires pour éliminer ou limiter le risque ;
• On répartit le risque entre plusieurs acteurs ou on le transfère à un tiers ;
• On accepte le risque et on n’adopte pas de mesures de gestion complémentaires.

Le choix à faire concernant un risque n’est pas nécessairement un choix exclusif. Ainsi, il peut être souhaitable de limiter un risque déterminé en prenant des mesures de gestion complémentaires et, en outre, de transférer ce risque réduit en l’assurant.

Les choix du management seront déterminés entre autres par une évaluation des coûts et bénéfices, quantitatifs et qualitatifs, liés à l’introduction de certaines mesures de gestion.

Tous ces éléments constituent la base d’un plan de management des risques destiné à introduire des mesures de gestion (complémentaires)

Il est conseillé que chaque organisation, et plus particulièrement le management :

• réexamine tous les aspects du processus de gestion des risques au moins une fois par an ;
• (ré)évalue régulièrement la probabilité et l’impact des risques existants et nouveaux ;
• réévalue régulièrement l’efficacité de ses mesures de gestion.