Hoja de repaso: Gestion des Risques et Leur Traitement

📋 Plan du Cours

1. Notion de risque
2. Management et objectifs
3. Management des risques
4. Processus de gestion des risques
5. Cartographie des risques
6. Critères de probabilité et d’impact
7. Options de traitement des risques
8. Traitements préventif et correctif
9. Traitements de mitigation et a posteriori
10. Plan de traitement et surveillance

📖 1. Notion de risque

🔑 Notions clés & Définitions

• Risque ISO 31000 : Le risque est l’effet de l’incertitude sur l’atteinte des objectifs d’une organisation (ISO 31000, 2018).
• Risque Knight 1921 : Le risque correspond à une incertitude qui peut être évaluée et mesurée (Knight, 1921).
• Risque IIA : Le risque est un événement incertain pouvant impacter les objectifs de l’organisation (IIA, audit interne).
• Types d’incertitude : L’incertitude peut prendre plusieurs formes, comme l’aléa pur, l’ambiguïté ou l’incertitude stratégique, selon la nature des informations manquantes ou incontrôlables.

📝 Points essentiels

• Le risque se manifeste dans un environnement incertain, souvent de nature aléatoire, et se juge à l’impact possible sur les objectifs.
• Il est difficile de distinguer risque, problèmes, causes et effets, car les mêmes situations peuvent être décrites à différents niveaux de causalité.
• Une façon opérationnelle de penser le risque est de relier un événement incertain à ses conséquences sur la performance et sur la réalisation des objectifs.
• Exemples : une panne de bus peut bloquer des citoyens et impacter le service public, et une défaillance fournisseur peut générer un impact financier et opérationnel.

💡 Astuce mémo

Risque = Incertitude → Effet sur Objectifs (ISO 31000).

📖 2. Management et objectifs

🔑 Notions clés & Définitions

• Management : Le management regroupe des activités de planification, organisation, direction et contrôle pour atteindre les objectifs de façon efficace et efficiente.
• Management des risques : Le management des risques est une démarche coordonnée pour diriger et piloter une organisation face aux risques afin d’atteindre ses objectifs.
• Objectifs du risk management : Les objectifs du management des risques visent à protéger les ressources, sécuriser les objectifs stratégiques et opérationnels, et saisir les opportunités tout en limitant les impacts négatifs.

📝 Points essentiels

• Le management des risques combine l’idée de pilotage avec la recherche d’atteinte des objectifs, en agissant face à l’incertitude et à ses effets sur la performance.
• Les exemples de management incluent la planification des tâches d’un service public pour distribuer des allocations et la supervision d’une équipe pour respecter délais et qualité.
• Les objectifs affichés couvrent à la fois la protection des actifs, la sécurisation des objectifs et la capacité à tirer profit d’opportunités en limitant les effets défavorables.

💡 Astuce mémo

Planifier-Organiser-Diriger-Contrôler : le management se reconnaît par ses 4 verbes, comme une chaîne pour atteindre l’objectif.

📖 3. Management des risques

🔑 Notions clés & Définitions

• Critères de risque : Référentiels servant à juger quand un risque devient acceptable ou tolérable et à fixer comment mesurer probabilité et conséquences.
• Identification du risque : Étape qui consiste à recenser et décrire tous les risques susceptibles d’affecter les objectifs, qu’ils soient internes ou externes.
• Appréciation du risque : Phase d’évaluation qui compare le niveau de risque obtenu aux critères définis pour décider d’un traitement ou d’un maintien des contrôles.

📝 Points essentiels

• Selon l’ISO 31000, le management des risques est un processus combiné qui enchaîne identifier, évaluer (probabilité et impact), traiter (réduire, transférer, éviter ou accepter), puis suivre et communiquer.
• L’identification des risques doit être exhaustive, continue et intégrée aux processus de l’organisation afin de couvrir aussi les risques liés à l’absence de saisie d’opportunités.
• L’évaluation du risque doit être transparente et documentée, avec des critères clairs et cohérents, puis comparée aux critères de risque du contexte.
• À l’issue de l’évaluation, on décide soit d’un traitement, soit de ne pas traiter davantage en conservant les moyens de maîtrise existants.
• L’estimation de la vraisemblance peut s’appuyer sur des données historiques, des techniques prédictives (ex. analyse par arbre de panne) ou l’avis d’experts dans un cadre structuré.

💡 Astuce mémo

IÉTS : identifier, évaluer, traiter, suivre (ISO 31000).

📖 4. Processus de gestion des risques

🔑 Notions clés & Définitions

• Processus ISO 31000 : Ensemble d’actions combinées qui organise l’identification, l’évaluation, le traitement, puis le suivi et la communication des risques.
• Analyse du risque : Phase qui produit des données pour juger le niveau de risque en étudiant contrôles, conséquences, vraisemblance/probabilité et facteurs d’incertitude.
• Dépistage des risques : Tri préliminaire qui repère les risques les plus significatifs et écarte les risques insignifiants pour concentrer les ressources.

📝 Points essentiels

• Le processus ISO 31000 combine : identifier le risque, évaluer le risque (probabilité & impact), traiter le risque (réduire, transférer, éviter, accepter), puis suivre et communiquer.
• L’appréciation du risque consiste à comparer le niveau déterminé aux critères définis lors de l’établissement du contexte pour décider de traiter, approfondir ou conserver les moyens de maîtrise existants.
• En analyse qualitative, les niveaux comme «élevé», «moyen» et «faible» doivent être clairement définis et la base de tous les critères doit être enregistrée.
• Le plan d’analyse inclut : évaluation des contrôles, analyse des conséquences, analyse de vraisemblance/probabilité, dépistage des risques, puis prise en compte des incertitudes et de la sensibilité.
• L’analyse peut être qualitative, semi-quantitative ou quantitative, y compris des combinaisons, selon les circonstances et les données disponibles.
• L’évaluation des risques doit être transparente, documentée et fondée sur des critères clairs et cohérents.

📖 5. Cartographie des risques

🔑 Notions clés & Définitions

• Matrice Probabilité × Impact : La matrice Probabilité × Impact est une grille qui classe chaque risque selon sa chance de survenir et la gravité de ses conséquences.
• Heat map des risques : La heat map des risques est une représentation couleur qui rend immédiatement visibles les risques faibles, modérés ou critiques selon probabilité et impact.
• Risque brut : Le risque brut est le niveau de risque évalué avant la prise en compte de l’efficacité des contrôles existants.
• Risque net résiduel : Le risque net résiduel est le niveau de risque qui reste après application et prise en compte des contrôles existants.

📝 Points essentiels

• Sur une cartographie probabilité–impact, la probabilité est placée en abscisse (X-axis) et l’impact en ordonnée (Y-axis).
• Dans la heat map, un risque en haut à droite est considéré comme le plus critique pour l’organisation.
• Zones de couleur : vert = risque faible (surveiller), orange = risque modéré (mesures préventives), rouge = risque élevé (priorité absolue).
• Critères KPMG probabilité : événement attendu dans la plupart des cas, probable dans la plupart des cas, devoir se produire à un moment donné, risquant de se produire, seulement dans des cas exceptionnels.

💡 Astuce mémo

X = chance, Y = gravité : la “position” haut-droit = risque le plus critique.

📖 6. Critères de probabilité et d’impact

🔑 Notions clés & Définitions

• Échelle de probabilité : Une échelle ordinale classe la probabilité d’un risque avec des niveaux du très faible jusqu’au très élevé.
• Échelle d’impact : Une échelle ordinale classe la gravité des conséquences du risque du mineur à la catastrophe.
• Score probabilité×impact : Un score combine la probabilité et l’impact pour transformer une évaluation en niveaux chiffrés et en couleurs de criticité.

📝 Points essentiels

• L’analyse qualitative classe les risques sans chiffres précis en utilisant des échelles, avec probabilité Très faible→Faible→Moyenne→Élevée→Très élevée et impact Mineur→Modéré→Majeur→Critique→Catastrophique.
• Le risque se mesure par deux caractéristiques : la fréquence (probabilité d’occurrence) et la gravité (conséquences), l’objectif étant de juger ces deux dimensions séparément avant de les combiner.
• L’analyse quantitative vise une priorisation chiffrée avec la formule Risque = Probabilité × Impact.
• Sur la matrice, un risque placé haut et à droite est le plus critique, car probabilité et gravité y sont élevées.
• Le code couleur du score indique Vert pour 1–5, Jaune pour 6–10, Orange pour 11–15, Rouge pour 16–25.
• Les critères de vraisemblance de KPMG vont de l’événement attendu dans la plupart des cas jusqu’à l’événement ne se produisant que dans des cas exceptionnels.

💡 Astuce mémo

Matrice : plus c’est haut et à droite, plus le risque est critique.

📖 7. Options de traitement des risques

🔑 Notions clés & Définitions

• Traitement du risque : Processus de management qui décide d’accepter des niveaux résiduels, puis propose et vérifie des traitements jusqu’à ce que le risque résiduel soit tolérable.
• Refus du risque : Option de traitement qui conduit à ne pas démarrer ou à arrêter l’activité porteuse du risque, pour éviter l’exposition.
• Mitigation : Catégorie de traitement qui vise à réduire la gravité ou l’impact d’un risque même si l’événement finit par se produire.
• Plan de traitement du risque : Document structurant les actions retenues, avec responsables, ressources, calendrier, indicateurs et exigences de surveillance et de reporting.

📝 Points essentiels

• Le traitement du risque suit une logique itérative : on juge si les niveaux résiduels sont tolérables, sinon on crée un nouveau traitement, puis on évalue son efficacité.
• Les options possibles comprennent notamment : refus du risque, prise/augmentation d’un risque pour saisir une opportunité, élimination de la source, modification de la vraisemblance, modification des conséquences, partage du risque, ou maintien du risque argumenté.
• La sélection des options compare coûts et efforts de mise en œuvre aux avantages attendus, en tenant compte des traitements non justifiables économiquement et des risques secondaires générés par le traitement.
• Les plans de traitement précisent les raisons du choix (avantages attendus), les responsables de l’approbation et de la mise en œuvre, ainsi que les actions, ressources, performances, contraintes, rapports, surveillance, calendrier et séquencement.
• Les actions peuvent être classées comme préventives (éviter avant), correctives (corriger après l’anomalie), de mitigation (réduire l’impact si le risque se réalise), et a posteriori (analyser et tirer des leçons après l’incident).

💡 Astuce mémo

Préventif = avant, Correctif = après l’erreur, Mitigation = “si ça arrive, j’en limite l’impact”, A posteriori = je tire les leçons.

📖 8. Traitements préventif et correctif

🔑 Notions clés & Définitions

• Traitement préventif : Action ou contrôle visant à empêcher un problème avant qu’il ne survienne, en agissant en amont du risque.
• Traitement correctif : Action mise en œuvre après la survenue d’un problème pour corriger la situation et éviter qu’il ne se reproduise.

📝 Points essentiels

• Le traitement préventif est dit proactif : il agit avant l’événement pour réduire la probabilité d’occurrence.
• Un exemple de traitement préventif est la formation du personnel pour limiter les erreurs de saisie comptable et la validation avant paiement.
• Le traitement correctif est dit réactif : il agit après l’événement pour corriger une erreur détectée et ajuster les procédures.
• Un exemple de traitement correctif est la rectification d’une erreur comptable repérée lors d’un audit et la mise à jour des procédures après incident.

💡 Astuce mémo

Préventif = Avant (A = Avant) ; Correctif = Après (C = Correction après)

📖 9. Traitements de mitigation et a posteriori

🔑 Notions clés & Définitions

• Plans de prévention et de mitigation : Ce sont des dispositifs opérationnels visant à réduire les risques avant qu’ils ne se matérialisent et à définir des actions correctives lorsque des écarts apparaissent.
• Procédures et contrôles internes : Ce sont des mécanismes réglementaires et procéduraux destinés à garantir l’application correcte des règles et des normes internes.
• Audits internes : Ce sont des évaluations périodiques qui vérifient l’efficacité des mesures déployées pour gérer les risques.
• Indicateurs de performance et de risque : Ce sont des mesures KPI/KRI qui servent à évaluer à la fois la performance des contrôles et la criticité des risques suivis.

📝 Points essentiels

• Les plans de prévention et de mitigation combinent anticipation des risques opérationnels et définition de mesures correctives en cas d’écart.
• Les procédures et contrôles internes servent de cadre pour s’assurer que les règles internes sont appliquées correctement.
• Le registre des risques opérationnels sert à documenter les risques identifiés et à en assurer le suivi.
• Les KPI/KRI permettent de mesurer l’efficacité des contrôles et la criticité des risques.
• Les audits internes évaluent régulièrement l’efficacité des mesures déjà mises en place, dans une logique d’amélioration a posteriori.

💡 Astuce mémo

Mitigation = “agir avant” (prévenir) puis “corriger après” (auditer) : prévention + contrôle + preuve par audit.

📖 10. Plan de traitement et surveillance

📅 Repères chronologiques

📊 Tableaux de synthèse

Comparaison des actions de traitement

⚠️ Pièges & confusions fréquents

1. Confondre “risque” et “problème” : le risque renvoie à l’incertitude et à l’impact possible sur les objectifs, pas seulement à un incident observé.
2. Croire que l’évaluation du risque se fait toujours avec des chiffres : l’analyse qualitative (ex. “faible/moyen/élevé”) est aussi documentée.
3. Inverser probabilité et impact sur la matrice : ici probabilité = abscisse (X) et impact = ordonnée (Y).
4. Oublier le risque résiduel : le risque brut évalue avant contrôles, le risque net résiduel évalue après prise en compte de l’efficacité des contrôles.
5. Mélanger identification et appréciation : l’identification doit être exhaustive et continue, tandis que l’appréciation compare au regard des critères de risque du contexte.
6. Choisir une option de traitement sans considérer les risques secondaires et la logique itérative : on doit vérifier que le risque résiduel devient tolérable.
7. Prendre “mitigation” comme “éviter” : mitigation réduit l’impact/gravité même si l’événement se produit, alors que “éviter” supprime l’exposition en ne démar r r enant/poursuivant pas l’activité.

✅ Checklist Examen

1. Définir le risque à partir des trois approches (ISO 31000, Knight 1921, IIA) et expliquer la difficulté de distinguer risque/problème/causes/effets.
2. Expliquer le management et le management des risques (processus coordonné) ainsi que les objectifs : protéger ressources, sécuriser objectifs, saisir opportunités en limitant les impacts négatifs.
3. Lister la chaîne ISO 31000 : identifier, évaluer (probabilité & impact), traiter, puis suivre et communiquer.
4. Décrire les notions “critères de risque”, “identification exhaustive/continue”, et “appréciation du risque” (comparaison aux critères du contexte pour décider traitement ou conservation des contrôles).
5. Présenter les étapes d’analyse du risque : évaluation des contrôles, conséquences, vraisemblance/probabilité, dépistage, puis prise en compte des incertitudes et sensibilités.
6. Expliquer les options de traitement (refus, élimination de la source, réduire, transférer/partager, modification vraisemblance/conséquences, maintien argumenté) et la sélection coûts/efforts vs avantages + prise en compte des risques secondaires.
7. Distinguer les types d’actions : préventive (avant), corrective (après la survenue), mitigation (réduit impact si ça arrive), a posteriori (tirer leçons).
8. Décrire les dispositifs de surveillance et gouvernance : surveillance de l’efficacité des contrôles, registre des risques, KPI/KRI, audits internes et amélioration a posteriori.
9. Expliquer la construction de la cartographie/matrice : axes X/Y, zones couleur (vert/orange/rouge) et notion de risque critique “haut et droite”.
10. Maîtriser l’échelle de probabilité et d’impact (Très faible→Très élevée, Mineur→Catastrophique) et le score Vert 1–5, Jaune 6–10, Orange 11–15, Rouge 16–25.
11. Expliquer au moins une technique d’identification (ex. brainstorming, Delphi, AMDE/AMDEC, HAZOP, arbre de panne) et une technique d’évaluation quantitative citée (Monte Carlo, VaR) avec l’idée générale du calcul.
12. Décrire le traitement du risque en boucle : vérifier la tolérabilité du risque résiduel, créer/ajuster un nouveau traitement si non tolérable, puis apprécier l’efficacité, avec plan de traitement (responsables, ressources, calendrier, indicateurs, reporting/surveillance).