Lernzettel: Introduction à la gestion des risques

📋 Plan du Cours

1. Notion de risque
2. Management des risques
3. Définition du risk management
4. Processus de gestion des risques
5. Principaux risques organisationnels
6. Cartographie des risques
7. Options de traitement des risques
8. Plan de traitement et surveillance

📖 1. Notion de risque

🔑 Notions clés & Définitions

• Risque ISO 31000 : Le risque est l’effet de l’incertitude sur la réalisation des objectifs de l’organisation (ISO 31000, 2018).
• Risque de Knight : Pour Knight, le risque correspond à une incertitude qui peut être mesurée, contrairement à l’incertitude non mesurable.
• Risque IIA : Le risque est un événement incertain susceptible d’influencer les objectifs, par des impacts négatifs ou des variations de performance.
• Risque et impact sur objectifs : Le risque est surtout relié à l’effet ou à l’impact qu’une incertitude peut produire sur les objectifs de l’organisation.

📝 Points essentiels

• Un environnement incertain favorise l’apparition du risque, souvent de nature aléatoire, ce qui rend la réalisation des objectifs incertaine.
• On distingue difficilement problèmes, causes, effets et risques, car les mêmes faits peuvent être interprétés comme l’un ou l’autre selon le contexte.
• Le risque relie une incertitude à la conséquence sur les objectifs, donc à l’impact attendu sur l’organisation.
• Dans l’exemple public, une panne de bus peut entraîner des citoyens bloqués puis un impact sur le service public.
• Dans l’exemple privé, une défaillance fournisseur peut provoquer un impact financier et opérationnel.

💡 Astuce mémo

ISO 31000 = Incertitude → Objectifs : le risque, c’est l’impact mesuré de l’incertitude sur les objectifs.

📖 2. Management des risques

🔑 Notions clés & Définitions

• Management : Le management regroupe les actions de planification, organisation, direction et contrôle pour atteindre les objectifs avec efficacité et efficience.
• Management des risques : Le management des risques est une activité coordonnée qui vise à diriger et piloter une organisation face aux risques.
• Risk management : Le risk management est un processus structuré pour identifier, analyser, traiter, suivre et communiquer les risques afin d’atteindre les objectifs.

📝 Points essentiels

• Le management des risques poursuit trois objectifs : protéger les ressources et actifs, sécuriser les objectifs stratégiques et opérationnels, et saisir des opportunités en limitant les impacts négatifs.
• Le risk management combine un cycle : identifier le risque, évaluer le risque (probabilité et impact), traiter le risque, puis surveiller et communiquer.
• L’évaluation du risque vise à quantifier ou estimer la probabilité d’occurrence et l’intensité des conséquences pour décider d’un traitement approprié.
• Les décisions de traitement incluent réduire, transférer, éviter ou accepter le risque selon le niveau trouvé et les critères établis.

📖 3. Définition du risk management

🔑 Notions clés & Définitions

• Critères de risque : Les critères de risque sont les repères qui fixent à partir de quand un risque devient acceptable ou tolérable et comment il sera évalué de façon cohérente.
• Finalité ISO 31000 : La finalité ISO 31000 combine l’identification, l’évaluation, le traitement, puis le suivi et la communication pour piloter les risques de bout en bout.

📝 Points essentiels

• Le management des risques est un processus combiné qui vise à identifier, évaluer, traiter, puis suivre et communiquer sur les risques.
• Les critères de risque prennent en compte l’avis des parties prenantes, le seuil d’acceptabilité ou de tolérance, et la façon de considérer les combinaisons de risques.
• Les critères de risque s’appuient aussi sur le cadre légal en vigueur, ainsi que sur des éléments comme la réputation, l’urgence d’agir et la capacité d’intervention pour réduire l’impact.
• Selon ISO 31000:2018, l’évaluation des risques doit être transparente, documentée et fondée sur des critères clairs et cohérents.

💡 Astuce mémo

I-E-T-S : Identifier → Évaluer → Traiter → Suivre et communiquer.

📖 4. Processus de gestion des risques

🔑 Notions clés & Définitions

• Registre des risques : Le registre des risques est un tableau de suivi centralisant chaque risque avec sa description, son origine, son responsable et ses liens avec les objectifs.
• Diagramme d’Ishikawa : Le diagramme d’Ishikawa est un outil de visualisation qui classe les causes possibles d’un risque par grandes familles puis en sous-causes.
• Évaluation des contrôles : L’évaluation des contrôles consiste à vérifier l’existence, l’adéquation et l’efficacité opérationnelle des contrôles associés à un risque.
• Appréciation du risque : L’appréciation du risque compare le niveau estimé au regard de critères établis pour décider d’un traitement ou d’un maintien des contrôles existants.
• Plan de traitement du risque : Le plan de traitement du risque formalise les raisons de choix, les responsables, les actions, les besoins de ressources, le calendrier et les exigences de surveillance.

📝 Points essentiels

• Le registre des risques recense pour chaque risque sa description, son origine interne ou externe, son responsable et ses liens avec les objectifs.
• Le diagramme d’Ishikawa organise les causes en catégories principales (ex. méthodes, matériel, personnel, environnement, processus, systèmes) puis en sous-causes.
• L’analyse du risque peut être qualitative, semi-quantitative ou quantitative, avec une base transparente et des critères clairs enregistrés.
• L’évaluation du risque compare le niveau obtenu aux critères de risque établis dans le contexte et peut conduire à traiter le risque ou à ne pas le traiter au-delà des contrôles existants.
• Le traitement du risque est itératif : on vérifie si le risque résiduel est tolérable, puis on crée un nouveau traitement si ce n’est pas le cas, en appréciant l’efficacité du dernier.
• Les plans de traitement précisent notamment les raisons du choix, les responsables de l’approbation et de la mise en œuvre, les actions, les ressources, la performance, le calendrier et le dispositif de rapports/surveillance.

💡 Astuce mémo

Registre + Ishikawa pour trouver les causes; Analyse → critères pour décider; Traitement itératif + plan surveillé.

📖 5. Principaux risques organisationnels

🔑 Notions clés & Définitions

• Stratégie d’acquisition inappropriée : Risque organisationnel lié à des décisions d’acquisition mal calibrées qui déstabilisent la trajectoire et l’exécution de la stratégie.
• Défaillances des systèmes informatiques : Risque organisationnel où une panne ou une faiblesse du SI perturbe les opérations, la continuité et la performance.
• Incapacité de satisfaire la réglementation : Risque organisationnel provenant d’une non-conformité légale et réglementaire qui expose l’organisation à des sanctions et à des interruptions.
• Départs de collaborateurs clés : Risque organisationnel lié à la perte de compétences critiques et à un remplacement insuffisant, pouvant ralentir ou bloquer l’activité.

📝 Points essentiels

• Exemple de cartographie KPMG: 1) Stratégie d’acquisition inappropriée, 2) perte de confiance des investisseurs due à des critiques médiatisées, 3) perte liée aux exigences réglementaires et légales non satisfaites.
• Exemple de cartographie KPMG: 4) défaillances des systèmes informatiques, 5) incapacité à disposer du temps suffisant pour valoriser la stratégie commerciale, 6) incapacité à gérer l’incertitude économique et à y réagir.
• Exemple de cartographie KPMG: 7) plans de continuité et anti-sinistre inadéquats face à une défaillance majeure du réseau informatique.
• Exemple de cartographie KPMG: 8) incapacité à protéger la marque, 9) division internationale incapable d’appliquer la stratégie de croissance escomptée.
• Exemple de cartographie KPMG: 10) départs de collaborateurs clés et planification inadéquate de leur remplacement.

📖 6. Cartographie des risques

🔑 Notions clés & Définitions

• Heat map des risques : Une heat map visualise la criticité des risques en croisant probabilité et impact pour repérer ceux à traiter en priorité.
• Score probabilité × impact : Un score quantifie un risque en multipliant sa probabilité par son impact pour faciliter la classification en niveaux.
• Niveaux de score et couleurs : Une grille associe des intervalles de scores à des couleurs pour traduire le niveau du risque, de faible à critique.
• Diagramme de Pareto : Un diagramme de Pareto classe les risques par coût cumulé afin d’identifier les quelques risques responsables de la majorité de l’impact.
• Value at Risk VaR : Une VaR mesure la perte maximale probable sur un horizon donné, pour un niveau de confiance donné.

📝 Points essentiels

• Le score d’un risque se calcule comme Probabilité × Impact (exemple : 3/5 × 4/5 donne un score 12), puis il est classé par couleur pour prioriser le suivi.
• Intervalles de la heat map : 1–5 Vert (faible), 6–10 Jaune (moyen), 11–15 Orange (élevé), 16–25 Rouge (critique).
• Exemple Pareto : pour des coûts 80 000, 40 000, 15 000, 5 000, les 2 premiers risques (R1+R2) expliquent 86% du total de 140 000.
• Simulation Monte Carlo : elle estime pertes ou résultats en générant des tirages aléatoires quand le problème est trop complexe pour un calcul manuel direct.
• VaR 80% dans l’exemple : pertes triées 0, 0, 100, 100, 100 et position ⌈5×0.8⌉=4 donc VaR 80% = 100 MAD, non dépassée dans 80% des cas.

💡 Astuce mémo

Score = P×I : vert 1–5, jaune 6–10, orange 11–15, rouge 16–25, comme un feu tricolore qui s’aggrave.

📖 7. Options de traitement des risques

🔑 Notions clés & Définitions

• Réduire : Option de traitement visant à diminuer la probabilité d’occurrence ou la gravité d’un risque en mettant en place des mesures concrètes.
• Éviter : Option de traitement consistant à supprimer ou empêcher l’apparition du risque en modifiant l’activité ou ses conditions.
• Plan de traitement des risques : Document qui associe, pour chaque risque, l’option retenue, les actions prévues, les responsables, les ressources, l’échéance et l’indicateur de suivi.
• Revue après coup : Évaluation réalisée après la fin d’un projet ou après un incident afin d’ajuster les contrôles et d’améliorer le futur traitement des risques.

📝 Points essentiels

• Une option de traitement s’appuie sur l’objectif visé par l’évaluation, les besoins des décideurs, le type de risques et l’ampleur possible des conséquences.
• La technique choisie dépend aussi du niveau de compétence requis, des ressources disponibles et de la qualité des informations et données disponibles.
• Les exigences réglementaires et contractuelles font partie des critères de sélection des techniques de traitement des risques.
• Il n’existe pas de technique universellement “bonne” ou “mauvaise” : elle doit être adaptée, compréhensible et surtout traçable, reproductible et vérifiable.
• Une “revue après coup” (audit d’un projet terminé ou rapport d’incident après fraude) sert à ajuster les contrôles futurs.
• Exemple de tableau : Retard des paiements fournisseur (impact Élevé, probabilité Moyen) traité par Réduire avec un calendrier strict et un indicateur 5% de paiements à temps ; Non-conformité réglementaire (impact Élevé, probabilité Faible) traitée par Éviter avec formation et audit semestriel ;

📖 8. Plan de traitement et surveillance

🔑 Notions clés & Définitions

• Traçabilité des techniques : Une exigence d’utilisation des techniques de management des risques où les choix et résultats peuvent être retracés jusqu’à leurs bases et étapes.
• Reproductibilité des techniques : Une propriété permettant de refaire l’analyse avec les mêmes éléments et d’obtenir des résultats comparables pour vérifier la cohérence du travail.
• Vérifiabilité des résultats : Une caractéristique selon laquelle les résultats produits par la technique peuvent être contrôlés et confirmés par d’autres acteurs ou contrôles.

📝 Points essentiels

• La technique de traitement n’est pas universellement bonne ou mauvaise : elle doit être adaptée, donner des résultats compréhensibles et rester traçable, reproductible et vérifiable.
• Le choix d’une ou plusieurs techniques dépend notamment des objectifs de l’évaluation, des besoins des décideurs, du type et de l’ensemble des risques, et de l’amplitude possible des conséquences.
• Le choix dépend aussi du niveau de compétence requis, du besoin en ressources, de la disponibilité des informations et données, ainsi que des exigences réglementaires et contractuelles.
• Une gestion structurée des aléas améliore les prévisions, permet de décider plus vite et mieux, et contribue à fidéliser clients et partenaires.

💡 Astuce mémo

OTBATCDR : Objectifs, Types de risques, Amplitude, Besoins décideurs, Compétences/Ressources, Données, Réglementaire/Contractuel.

📅 Repères chronologiques

📊 Tableaux de synthèse

Méthodes d’évaluation du risque

Options de traitement du risque

⚠️ Pièges & confusions fréquents

1. Confondre le risque avec la simple présence d’un problème : le cours relie le risque à l’effet/impact sur les objectifs, pas au fait brut.
2. Croire que «probabilité» et «fréquence» sont interchangeables sans contexte : le cours distingue la chance d’occurrence (vraisemblance) et l’approche d’estimation.
3. Multiplier les scores sans critère : le score P×I n’est qu’une base de classement, la décision dépend des plages d’acceptabilité définies dans le contexte.
4. Oublier l’étape d’évaluation des contrôles : le niveau de risque dépend aussi de l’adéquation et de l’efficacité des contrôles existants.
5. Prendre une technique “au hasard” : le cours impose traçabilité, reproductibilité et vérifiabilité, et une adaptation à l’objectif et aux contraintes.
6. Confondre analyse qualitative/semi-quantitative/quantitative : les méthodes diffèrent par l’usage d’échelles et par la présence (ou non) de mesures chiffrées.
7. Se tromper sur l’itération du traitement : si le risque résiduel n’est pas tolérable, on génère un nouveau traitement et on en apprécie l’efficacité.

✅ Checklist Examen

1. Définir le risque selon ISO 31000:2018 et reformuler la différence proposée par Knight et par IIA.
2. Expliquer en une phrase pourquoi un environnement incertain rend la réalisation des objectifs incertaine et pourquoi on confond souvent problèmes/causes/effets/risques.
3. Décrire le cycle du risk management : identifier, évaluer (probabilité & impact), traiter, surveiller et communiquer.
4. Citer ce qu’apportent les critères de risque : seuil acceptable/tolérable, prise en compte des parties prenantes, cadre légal et gestion des combinaisons de risques.
5. Donner la finalité ISO 31000 : démarche de bout en bout incluant identification, évaluation, traitement, suivi et communication.
6. Présenter la fonction du registre des risques (contenu minimal) et le rôle du diagramme d’Ishikawa (familles puis sous-causes).
7. Indiquer les trois types d’analyse du risque (qualitative, semi-quantitative, quantitative) et préciser ce que chacune permet de produire.
8. Expliquer l’appréciation du risque : comparaison au regard des critères établis lors de l’établissement du contexte et décision de traiter ou non.
9. Lister les options de traitement vues et distinguer Réduire, Éviter, Transférer/Partager et Accepter, puis rappeler l’itération sur le risque résiduel.
10. Maîtriser la cartographie : heat map (couleurs/intervalle), matrice Probabilité×Impact (score), et Pareto (logique des premiers risques responsables de l’essentiel).
11. Expliquer au moins une simulation chiffrée : Monte Carlo (principe) et VaR (définition/lecture via horizon et niveau de confiance).
12. Décrire ce qui doit figurer dans un plan de traitement (raisons, responsables, actions, ressources, calendrier, surveillance/indicateur) et ce que fait la surveillance du risque.
13. Distinguer maîtrise des risques (opérationnel) et pilotage des risques (stratégique), et donner les objectifs associés à chacun.
14. Rappeler la logique OTBATCDR pour choisir une technique (objectifs/types/amplitude/besoins compétences/données/exigences réglementaires/contractuelles) et la contrainte de traçabilité/reproductibilité/vérifiabilité.