Il est possible de commencer par définir une liste de risques génériques que l'on retrouve quelle que soit l'activité. Il s'agit en particulier des risques du type catastrophe naturelles, interruption de systèmes d'information, erreur humaine, fraude, etc.

Une première liste constituée par une équipe centrale, va permettre d'éviter de refaire un travail complet d'analyse des risques avec les opérationnels métiers pour se concentrer sur les risques spécifiques à leur activité. Cette liste pourra s'inspirer de textes réglementaires et de listes fournies par des partenaires de la profession (groupements interprofessionnels, compagnies d'assurances, etc.).

Cette liste pourra ensuite être complétée lors d'entretiens avec les opérationnels responsables des processus qui pourront définir à quels types de risques ils sont sensibles et en donner une définition précise. Dans ce cas, on identifie les processus et les diverses parties prenantes ou les acteurs de l'organisation concernés par ces types de risques ou ces facteurs de risques.

On établit pour chaque partie prenante un questionnaire spécifique d'identification des risques en sélectionnant parmi les types de risques ou facteurs de risques ceux qui peuvent la concerner.

Un questionnaire peut ainsi être réalisé et envoyé aux différentes parties prenantes pour leur permettre d'identifier les risques les concernant.

Des experts de chacun des sujets concernés analysent les réponses à ces questionnaires, avec éventuellement l'aide des acteurs concernés, pour finaliser l'identification des risques.

Il est possible ensuite de retirer de la liste générique, qui a été complétée par les risques spécifiques à l'activité, les événements à risque qui ne s'appliquent pas au domaine (ex : activité purement manuelle, ne faisant pas appel à un système d'information).

 

Il est possible de rechercher les risques de ne pas atteindre les objectifs d'une organisation ou de ne pas satisfaire les exigences réglementaires ou internes à cette organisation à partir de la description des processus de l'organisation.

On sélectionne pour cela les processus qui contribuent à l'atteinte de ces objectifs ou à la satisfaction de ces exigences. Puis on détermine les risques en analysant les flux échangés entre les acteurs qui interviennent dans ces processus, ainsi que les opérations réalisées par ces acteurs. On recherche parmi ces flux et ces opérations lesquels pourraient, en cas de mauvais fonctionnement, empêcher l'atteinte des objectifs ou la satisfaction des exigences de l'organisation.

Il est possible de compléter cette approche en s'appuyant sur d'autres critères d'identification des risques tels que des listes de types de risques ou de facteurs de risques quand ceux-ci sont disponibles.

Si une cartographie des processus de l'entreprise existe déjà, il est possible d'en tirer parti pour identifier les risques.

Les événements à risque peuvent être associés à chacun des processus modélisés.

Les risques associés à un processus sont visibles dans la section Contrôles et Risques de la page de propriétés Caractéristiques du processus.

Il est possible d'utiliser toutes sortes d'enregistrements historiques, tels que des bases d'incidents, de défauts, de réclamations, etc.

Il s'agit d'analyser ces bases pour y découvrir des événements à risque. On précisera ensuite pour chaque risque ainsi découvert son contexte d'apparition (processus, acteur de l'organisation, site de l'entreprise, etc.).