Associé à l’ensemble des produits de la suite HOPEX, HOPEX Risk Mapper permet de modéliser l’environnement, d’évaluer les risques puis de les traiter et enfin, de les maîtriser grâce à une politique de contrôle efficace.

Le processus recommandé par HOPEX est donc composé des étapes suivantes :

Le contexte dans lequel les risques doivent être gérés comprend l’environnement externe et interne de l’organisation, ses objectifs stratégiques, ainsi que les objectifs spécifiques de l’activité de gestion des risques.

Il est nécessaire d’identifier les risques concernés, puis de les analyser et enfin d’en faire une estimation afin de disposer des éléments nécessaires à leur traitement éventuel.

Il est nécessaire de déterminer où, quand, pourquoi et comment des événements peuvent empêcher, dégrader ou améliorer l’atteinte des objectifs de l’organisation.

Les événements internes et externes susceptibles d’affecter l’atteinte de ces objectifs doivent être décrits en faisant la distinction entre risques et opportunités. Les opportunités peuvent ensuite être prises en compte lors de l’élaboration de la stratégie ou au cours du processus de fixation des objectifs.

Plus particulièrement, il est possible de proposer plusieurs méthodes d’identification des risques en fonction du contexte.

Il s’agit de compléter l’identification de chaque risque en indiquant précisément ce qui peut arriver, où, quand, pourquoi et comment cela peut arriver. Cette analyse peut amener à la découverte de nouveaux risques qui n’avaient pas été identifiés directement lors de l’étape précédente. On évalue également l’efficacité des contrôles existants qui peuvent permettre de prévenir ce risque.

Après avoir identifié et analysé les risques encourus par l’entreprise, l’étape suivante consiste à estimer leur importance de manière à mettre en évidence les risques les plus importants à traiter.

Les risques sont estimés en prenant en compte :

L’évaluation des risques constitue ainsi une étape essentielle pour obtenir une liste des risques pouvant nécessiter un traitement, avec un ordre de priorité.

En s’appuyant sur les évaluations réalisées précédemment, le niveau acceptable pour chaque risque est défini.

Traiter les risques implique :

Des politiques et procédures sont définies et déployées afin de veiller à la mise en place et l’application effective des mesures de traitement des risques.

Le pilotage s’effectue au travers des activités permanentes de management ou par le biais d’évaluations indépendantes ou encore par une combinaison de ces deux modalités.

Les axes présentés dans ce guide sont les suivants :

Les informations utiles sont identifiées, collectées, et communiquées sous un format et dans des délais permettant aux collaborateurs d’exercer leurs responsabilités. Plus globalement, la communication doit circuler verticalement et transversalement au sein de l’organisation de façon efficace.

L’information et la communication sont fondamentales à chaque étape du processus de gestion des risques. Elles doivent impliquer un dialogue avec les différentes parties prenantes avec un effort particulier sur les remontées du terrain plutôt qu’un flux d’information à sens unique depuis les décideurs vers les opérationnels.