Fonctionnalités communes : Autres fonctionnalités : L’environnement des solutions HOPEX : Les risques et contrôles : Les risques
   
Les risques
Accéder aux risques
Pour accéder aux risques :
*Dans le bureau Environnement cliquez sur Univers des Risques > Risques > Tous les risques.
*Il est possible de visualiser les risques couverts par un dispositif de contrôle à partir de la section Périmètres de la page du dispositif de contrôle. Pour plus de détails, voir "Les contrôles".
Pour accéder aux risques les risques les plus importants :
*Dans le bureau Environnement cliquez sur Univers des risques > Risques > Risques clés.
Caractéristiques d’un risque
Pour accéder aux caractéristiques d’un risque :
*Sélectionnez un risque à partir d’une liste de risques ou de risques clés et cliquez sur le bouton Propriétés.
La page de propriétés du risque apparaît dans le volet de droite.
Dans cette page, vous pouvez préciser :
le Code d’identification du risque
le Nom du risque
le fait que le risque est de haut niveau en cochant éventuellement la case Risque clé
le Propriétaire du risque
le Mode d’identification du risque
Le risque peut avoir été identifié à partir, par exemple :
d’une "base d’incidents"
d’un "atelier"
d’un "sondage"
d’une "mission d’audit"
la Description détaillée du risque
*le Statut du risque n’est pas modifiable parce qu’il est géré par le workflow associé au risque. Pour plus de détails, voir le guide HOPEX Enterprise Risk Management.
Le périmètre d’un risque
Le périmètre du risque permet de définir la localisation d’un risque. Il porte sur plusieurs types de composants :
les Entités concernées par le risque. Pour plus de détails, voir "Les entités".
*Une entité peut être interne ou externe à l'entreprise : une entité interne représente un élément de l'organisation d'une entreprise tel qu'une direction, un service ou un poste de travail. Il est défini à un niveau plus ou moins fin en fonction de la précision à fournir sur l'organisation (cf type d'acteur). Ex : la direction financière, la direction commerciale, le service marketing, l'agent commercial. Une entité externe représente un organisme qui échange des flux avec l'entreprise. Ex : Client, Fournisseur, Administration.
les Processus métier et des Processus organisationnels exposés au risque. Pour plus de détails, voir "Les processus".
*Un processus métier représente un système qui fournit des produits ou des services à un client interne ou externe à l'entreprise ou à l'organisation. Aux niveaux supérieurs, un processus métier définit une structuration et une catégorisation du métier de l'entreprise. Il peut être décomposé en d'autres processus. Le lien vers les processus organisationnels permet de décrire l'implémentation réelle du processus métier dans l'organisation. Un processus métier peut également être détaillé à l'aide d'une vue fonctionnelle.
*Un processus organisationnel décrit la marche à suivre pour mettre en oeuvre tout ou partie du processus d'élaboration d'un produit ou un flux.
les Objectifs et exigences attendus vis à vis de la gestion du risque. Pour plus de détails, voir "Les objectifs et les exigences".
*Un objectif est un but que l'on cherche à atteindre ou la cible visée pour un processus ou une opération. Il permet de mettre en évidence les points que l'on veut améliorer pour ce processus ou cette opération.
*Une exigence est un besoin ou une attente formulés explicitement, imposés comme une contrainte à respecter dans le cadre d'un projet de certification, d'organisation ou de modification du système d'information d'une entreprise.
les Applications : pour plus de détails, voir "Les applications".
*Une application est un ensemble de composants logiciels qui constituent un tout cohérent au regard des développements informatiques.
les Lignes métier : pour plus de détails, voir "Les lignes métier de l’organisation".
*Une ligne métier est une compétence ou un regroupement de compétences qui est d'intérêt pour l'entreprise. Elle correspond, par exemple, à des grands segments produits ou à des canaux de distribution ou à des activités métier.
L’analyse d’un risque
L’analyse d’un risque a pour objectif d’obtenir une bonne compréhension de ce risque.
L’analyse du risque doit prendre en compte :
les causes du risque,
les conséquences positives ou négatives de ce risque.
La phase d’analyse permet d’associer un risque à :
des types de risque
des facteurs de risques
des conséquences
d’autres risques
Pour analyser un risque :
1. Sélectionnez un risque et ouvrez sa page de propriétés.
2. Sous l’onglet Caractéristiques, dépliez la section Analyse.
Un risque est caractérisé par :
des Types de risque, pour plus de détails, voir "Les types de risque".
*Un type de risque définit une typologie de risque normalisée dans le cadre d’une organisation.
des Facteurs de risque, pour plus de détails, voir "Les facteurs de risque".
*Un facteur de risque est un élément qui contribue à l’apparition d’un risque ou qui en est le déclencheur. Un même facteur de risque peut être à l’origine de plusieurs risques différents. Exemples : l’utilisation d’un produit chimique dangereux, la complexité d'une application, la taille d'un projet, le nombre d'intervenants, la nouveauté technique, l'absence d'assurance qualité, le manque de rigueur dans la définition des exigences, etc.
des Conséquences de risque : pour plus de détails, voir "Les conséquences des risques".
*Une conséquence de risque peut être positive ou négative. Elle est associée à un type qui permet de la caractériser, par exemple : image, environnement, employés.
des Risques associés
des Incidents
*Un incident est un fait de source interne ou externe ayant une incidence sur l'organisation. Il constitue l’élément de base de la collecte des données concernant le risque opérationnel.
Les types de risque
*Un type de risque définit une typologie de risque normalisée dans le cadre d’une organisation.
Un type de risque permet de caractériser un risque. Un risque peut par exemple être de type réglementaire, juridique, technique, etc.
La décomposition des types de risque sera propre aux différentes activités et selon la ligne de métier ou l’activité particulière. Il pourra y avoir une plus ou moins grande décomposition des types de risques génériques en niveaux de types de risques spécifiques.
Il est important de se doter d’un cadre de définition d’un type de risque identifiable, mesurable, gérable et de se limiter dans le nombre de niveaux pour conserver une nomenclature exploitable.
La validation de la nomenclature doit permettre de s’assurer qu’un même type de risque défini dans deux entités ou deux activités différentes aura la même définition et le même sens afin de conserver un dispositif cohérent.
Le dispositif mis en place devant répondre également à des besoins réglementaires, il sera nécessaire de définir une deuxième nomenclature afin de pouvoir répondre aux aspects déclaratifs et de pouvoir échanger avec les instances de contrôle.
Pour créer vos propres types de risque :
1. Dans le bureau Environnement sélectionnez Univers des Risques > Risques > Types de risque.
2. Dans le menu contextuel du dossier "Types de risque", sélectionnez Nouveau
3. Renseignez le nom du type de risque et cliquez sur OK.
Le nouveau type de risque apparaît dans l’arborescence du navigateur.
*Vous pouvez de la même manière créer un sous-type de risque à partir d’un type de risque.
Les facteurs de risque
Beaucoup de facteurs de risque sont définis dans le cadre de réglementations internationales, nationales ou inter-professionnelles, ou au sein de l’entreprise elle-même.
*Un facteur de risque est un élément qui contribue à l’apparition d’un risque ou qui en est le déclencheur. Un même facteur de risque peut être à l’origine de plusieurs risques différents. Exemples : l’utilisation d’un produit chimique dangereux, la complexité d'une application, la taille d'un projet, le nombre d'intervenants, la nouveauté technique, l'absence d'assurance qualité, le manque de rigueur dans la définition des exigences, etc.
On pourra associer à chaque risque un ou plusieurs facteurs de risque, sources de risques ou dangers qui ont intrinsèquement le potentiel de mettre en danger le fonctionnement de l’organisation. Par exemple, des produits chimiques dangereux, des concurrents, des gouvernements, etc.
Les conséquences des risques
Pour définir les conséquences associées à un risque :
*Dans la page d’un risque, section Analyse, onglet Conséquences de risque, cliquez sur l’onglet Nouveau.
La page de création d’une conséquence apparaît.
*Une conséquence de risque ne pouvant porter que sur un seul risque, le champ Risque est pré-rempli avec le risque courant.
Dans la section Conséquences du risque, vous pouvez préciser le Code d’identification de la
La conséquence créée apparaît dans la liste des conséquences associées au risque.
Le RACI sur un risque
La page de propriétés d’un risque présente une section RACI pour définir les différentes personnes responsables de la gestion de ce risque. Pour plus de détails, voir "Le RACI".