Les étapes de la gestion des risques
Associé à HOPEX Business Process Analysis, HOPEX Risk Mapper permet d'évaluer les risques puis de les traiter et enfin, de les maîtriser grâce à une politique de contrôle efficace.
Le processus de gestion des risques recommandé est donc composé des étapes suivantes :
Analyser l'environnement
Le contexte dans lequel les risques doivent être gérés comprend l'environnement externe et interne de l'organisation.
• L'environnement externe définit principalement le cadre de conformité dans lequel l'organisation opère, ainsi que les acteurs externes.
Pour plus de détails, voir Environnement externe.• L'environnement interne décrit l'organisation.
Pour plus de détails, voir Environnement interne.Identifier, analyser et évaluer les risques
Il est nécessaire d'identifier les risques concernés, puis de les analyser et enfin d'en faire une estimation afin de disposer des éléments nécessaires à leur traitement éventuel.
Identifier les risques
Il est possible de proposer plusieurs méthodes d'identification des risques en fonction du contexte.
• Méthode basée sur l'atteinte des objectifs de l'organisation ;
• Méthode basée sur des listes de types de risque, de facteurs de risques ou de types de contrôles appliqués à un contexte d'apparition ;
• Méthode basée sur des données historiques (bases d'incidents, de réclamations ou de défauts).
Pour plus de détails, voir Identifier les risques.Analyser les risques
Il s'agit de compléter l'identification de chaque risque en indiquant précisément ce qui peut arriver, où, quand, pourquoi et comment cela peut arriver. Cette analyse peut amener à la découverte de nouveaux risques qui n'avaient pas été identifiés directement lors de l'étape précédente.
Pour plus de détails, voir Définir les caractéristiques d'un risque.Evaluer les risques
Après avoir identifié et analysé les risques encourus par l'entreprise, l'étape suivante consiste à estimer leur importance de manière à mettre en évidence les risques les plus importants à traiter.
Les risques sont estimés en prenant en compte :
• leur fréquence d'occurrence,
• leur impact.
Pour plus de détails, voir Évaluer les risques.Traiter les risques
En s'appuyant sur les évaluations réalisées précédemment, le niveau acceptable pour chaque risque est défini.
Traiter les risques implique :
• l'identification des différentes options possibles,
• l'évaluation de ces options
• la préparation et la mise en œuvre des plans de traitement :
Suivi opérationnel et politique de contrôle
Des politiques et procédures sont définies et déployées afin de veiller à la mise en place et l'application effective des mesures de traitement des risques.
Le pilotage s'effectue au travers des activités permanentes de management ou par le biais d'évaluations indépendantes ou encore par une combinaison de ces deux modalités.
Information et communication
Les informations utiles sont identifiées, collectées, et communiquées sous un format et dans des délais permettant aux collaborateurs d'exercer leurs responsabilités. Plus globalement, la communication doit circuler verticalement et transversalement au sein de l'organisation de façon efficace.
L'information et la communication sont fondamentales à chaque étape du processus de gestion des risques. Elles doivent impliquer un dialogue avec les différentes parties prenantes avec un effort particulier sur les remontées du terrain plutôt qu'un flux d'information à sens unique depuis les décideurs vers les opérationnels.