L’art de la gestion des risques

La gestion des risques est un art. Elle fait appel à  de nombreuses connaissances et ne se réduit certainement pas à  parcourir une liste de contrôle. Présentation de la méthodologie et des principaux termes qui caractérise la gestion des risques.

La gestion des risques et sa terminologie

Comme tout domaine, la gestion des risques possède des termes spécifiques qui lui permettent de mettre des mots sur des activités et des principes d’appréciation. Ainsi, la gestion des risques consiste d’abord à  bien interpréter la combinaison de leur définition, soit :

• La gestion qui consiste à   administrer (une affaire, des intérêts) pour le compte d’autrui ;
• Les risques qui concernent un danger éventuel, plus ou moins prévisible, inhérent à  une situation ou à  une activité.

La gestion des risques consiste donc à  administrer une activité ou des intérêts face à  un danger éventuel plus ou moins prévisible.

En langage mathématique, le risque se traduit par une fonction intégrant des variables relatives à  l’importance du danger et la probabilité de survenance:

Risque = f (impact, probabilité)

Exemple de risques : Fraude, accident à  vélo, vol de données, infection par un malware, incendie, etc. Selon cette formule, la gestion des risques se confine intervenir à  intervenir sur deux dimensions, soit l’impact et/ou la probabilité.

Les 4 stratégies de gestion des risques

Pour gérer un risques, quatre stratégies de base sont possibles et la pratique nous montre qu’il s’agit habituellement d’une combinaison d’entre elles:

• La suppression du risque: Théoriquement la plus efficace mais pratiquement la plus difficile à  mettre en oeuvre car elle nécessite d’être en mesure d’amputer un élément essentiel. Par exemple en interdisant à  un enfant de prendre son vélo, il est préservé du risque d’un accident à  vélo;
• La réduction du risque: La méthode consiste à  mettre en place des mesures organisationnelles, processus ou technique en vue de diminuer soit l’impact ou la probabilité de survenance d’un événement qui présente un danger;
• Le transfert du risque qui consiste à  externaliser le risque et sa gestion. C’est le cas d’une assurance prise pour se préserver d’un risque. L’externalisation de services informatiques est également un exemple typique de transfert de risque où une compétence particulière est louée en vue de réduire globalement l’exposition au risque;
• L’acceptation du risque. En sachant que le risque zéro n’existe pas, elle fait donc  partie  par défaut de la stratégie. On parle également d’appétit pour les risques qui caractérise en fait cette capacité et volonté d’accepter les risques.

Des contrôles pour réduire le risque

Dans le contexte de la gestion des risques, le contrôle est le terme générique correspondant à  une mesure capable de réduire le niveau de risque, soit en conséquence d’influer sur l’impact ou la probabilité d’un événement non souhaité.

Un contrôle permet de diminuer le niveau de risque

Le contrôle va donc de réduire le risque d’un niveau initial à  résiduel. Dans la pratique, un contrôle peut être une mesure de type :

• organisationnel > l’organisation et les responsabilités sont arrangées de manière à  réduire le risque;
• processus > les tà¢ches et la manière dont elles sont réalisées permettent de réduire le risque;
• technique > un outil ou une technologie permet de diminuer le risque comme par exemple en automatisant une série d’opérations à  l’aide d’un développement informatique.

Habituellement, les contrôles sont catégorisés au sein de 2 familles distinctes:

• Préventif: Le contrôle mis en place a pour objectif de prévenir le risque par exemple en s’assurant, par exemple, qu’une personne ne peut pas saisir et valider une même transaction pour le risque de fraude;
• Détectif: Le contrôle a pour objectif de détecter si un risque s’est réalisé. Comme un détective qui arrive sur la scène du crime après le meurtre, le contrôle détectif peut être, par exemple, une revue des journaux d’événements informatiques (logs);

Les bonnes pratiques précisent qu’un risque doit être couvert en principe par 2 contrôles préventif et détectif. Il est ainsi possible d’atteindre un bon niveau d’assurance en s’appuyant sur le fait que si la prévention n’a pas correctement fonctionné, le contrôle détectif devrait être en mesure de rattraper le risque dans un deuxième temps.

Quel est le risque final ?

Les méthodes de gestion des risques s’articulent autour de plusieurs notions de risque pour être en mesure d’apprécier le risque final d’un environnement. Il est ainsi habituel d’identifier 4 risques :  

1. Le risque inhérent: c’est le risque qui est directement associé avec l’environnement pris en considération. Par exemple, le risque de noyade est directement lié à  l’existence d’une piscine;
2. Le risque de contrôle: Il s’agit du risque qu’un contrôle ne fonctionne pas comme souhaité ou pensé. Si le design du contrôle n’est pas bon, celui-ci ne sera donc pas aussi efficace que souhaité. Par exemple, toujours dans le cas de la piscine, une clôture peut être un bon contrôle pour réduire le risque de noyade d’un enfant. Par contre, si la hauteur de la clôture n’est pas suffisante, le risque ne sera pas réduit comme souhaité car l’enfant pourrait l’enjamber;
3. Le risque résiduel: Il représente l’appréciation du niveau de risque corrigé et réduit en prenant en compte l’effet des contrôle pour réduire le niveau de risque inhérent à  l’environnement

Ces types de risques peuvent se représenter de la manière suivante:

Le risque inhérent, le risque de contrôle et le risque résiduel

Le risque de mauvaise interprétation, également appelé le risque d’audit, est le quatrième risque. Il correspond à  la prise en compte du risque de mal apprécier le risque ou le contrôle. L’exemple type est un auditeur qui arrive à  une conclusion où une appréciation  incorrecte  de l’environnement observé.  

La quantification du risque final peut être illustrée la manière suivante:

La gestion des risques: Une affaire d’appréciation

Comme cet article le montre, la gestion des risques nécessite de prendre en considération de nombreuses dimensions. Elle requiert des compétences professionnelles et des connaissances spécifiques à  l’environnement et aux risques concernés. Sans comprendre les enjeux du domaine observé, il ne sera pas possible d'apprécier et encore moins de gérer adéquatement ses risques. Dans cette optique, il devient clair qu’une démarche mécanique basée sur une  liste de contrôle ne correspond pas à  de la gestion des risques. Le jugement humain est donc une composante indissociable de la gestion des risques … une force et une faiblesse qui en font finalement un art.