Forrester : développer un modèle d’évaluation des risques
Afin d’établir une pratique réussie de la gestion des les risques, il est nécessaire de se pencher sur la vie politique de l’organisation, la gestion des projets à long terme, et d’obtenir un soutien interne aussi large que possible.
Afin d’établir une pratique réussie de la gestion des les risques, il est nécessaire de se pencher sur la vie politique de l’organisation, la gestion des projets à long terme, et d’obtenir un soutien interne aussi large que possible. Toutefois, l’art et la science de la gestion des risques résident dans les méthodes retenues pour évaluer les risques. Parce qu’il est impossible de gérer ce que l’on ne mesure pas, la gestion du risque échoue en l’absence de mesures de haute qualité.
Malgré la réussite éprouvée des efforts d’évaluation des risques dans des organisations du monde entier, le scepticisme persiste - y compris au sein des plus grandes entreprises et des cabinets de conseil - quant à la pertinence des programmes formels de gestion des risques, en raison du temps et des ressources qu’ils requièrent. Ce scepticisme s’appuie généralement sur des conceptions erronées du processus de gestion des risques : tout cela est subjectif, compliqué, et demande d’importants efforts pour confirmer ce qui relève finalement du bon sens.
Pour obtenir le support nécessaire de collègues, il faut comprendre que la mesure des risques n’est pas basée uniquement sur des estimations subjectives, mais peut s’appuyer sur des faits et des données sans être trop compliquée. Il est également nécessaire d’expliquer que de bon processus de gestion du risque vont toujours permettre de découvrir des informations et des perspectives au-delà de ce qui est déjà connu, y compris dans les organisations les plus mûres.
Afin de concevoir un processus de gestion du risque efficace, il est important de rester flexible et de s’assurer que les projets sont compatibles avec les objectifs métiers. Une méthodologie d’évaluation des risques doit refléter des ressources, des besoins et un niveau de maturité spécifiques, des différentes parties de l’organisation, tout en coordonnant l’ensemble à haut niveau, afin que chaque domaine de risque puisse être comparé au travers de l’organisation. En fait, le principal défi de l’analyse du risque est souvent la construction d’un modèle d’évaluation suffisamment pratique pour permettre une participation de toute l’organisation, tout en fournissant des informations suffisamment sophistiquées pour permettre la prise de décision de l’exécutif.
Le type d’information et le niveau de détail avec lequel le risque est mesuré va dépendre largement des ressources disponibles et de l’information requise par les acteurs clés de l’organisation. Les facteurs susceptibles d’être considérés lors de l’analyse du risque et de la formulation du modèle d’évaluation du risque sont notamment les suivants :
Impact du risque - C’est l’effet du risque sur un actif, un processus, un objectif ou une autre cible évoquée dans la phase d’identification du risque. Un risque peut être défini comme n’ayant qu’un seul impact, comme une perte financière, ou plusieurs impacts, opérationnels, réglementaires ou stratégiques.
Probabilité d’occurence du risque - Il peut être évalué suivant un score de 1, pour une certitude, ou de 0, pour un risque qui ne surviendra pas. Mais il peut également être évalué suivant le nombre de fois où le risque est susceptible de survenir dans un temps précis, ou encore par de simples estimations telles que élevé, moyen, ou faible.
Efficacité du contrôle - De nombreuses organisations s’intéressent tant à la magnitude du risque qu’à celle des contrôles susceptibles d’altérer son impact et/ou sa probabilité. Des mesures sophistiquées de l’efficacité des contrôles peuvent également intégrer l’examen de leur conception et de leur effectivité opérationnelles, ainsi que la part de risque réduite par chaque contrôle.
Préparation au risque - Le niveau de préparation peut être mesuré comme un élément de contrôle, en se concentrant exclusivement sur les contrôles réactifs mis en place pour réduire l’impact d’un risque. La vulnérabilité au risque est souvent appréhendée comme l’opposé de la préparation, et permet aussi de mesurer dans quelle mesure une organisation est susceptible d’être affectée par la survenue du risque.
Urgence du risque - Bien qu’il ne s’agisse pas d’une mesure traditionnelle, certaines organisations étendent leurs mesures de probabilité du risque avec celle de l’urgence. Les indicateurs d’urgence tiennent compte du temps susceptible de s’écouler avant la survenue d’un risque afin d’aider à définir des priorités dans les efforts de traitement. Il est également possible de considérer le temps séparant l’occurence du risque de celle des impacts.
Coût/effort de traitement - Mesurer les coûts et les efforts nécessaires pour traiter un risque peuvent également aider à déterminer les priorités. Par exemple, si deux risques obtiennent les mêmes évaluations, celui dont la remédiation est la moins onéreuse peut être traité en premier dans le plan de réponse.
Lors du choix des facteurs à intégrer dans l’analyse de risque, il convient de fournir suffisamment d’information pour décider sereinement quel risque accepter, éviter, contenir, transférer, partager ou renforcer. Il faut garder à l’esprit que la manière dont les risques sont mesurés et visualisés va largement dépendre des besoins et des attentes de ceux qui consommeront l’information. Par exemple, il est possible d’aller là d’analyses qualitatives de base jusqu’à des données financières détaillées. Des échanges avec l’exécutif et les directions métiers sont nécessaires afin de découvrir les besoins d’évaluation des risques de l’organisation. Ceux sont eux qui peuvent décrire leurs objectifs les plus importants et les indicateurs propres à leurs fonctions ou à leurs métiers. Et c’est avec eux qu’il convient de discuter des risques qui affecteront leurs capacités à atteindre leurs objectifs avant de décider, in fine, de quelles informations ils ont besoin pour améliorer leurs processus de prise de décisions.
La gestion du risque n’est pas forcément trop compliquée. Pour certains domaines de risque simples, l’identification et l’analyse peuvent être réalisées lors d’une conversation de 30 minutes. Toutefois, certains domaines impliquant des investissements conséquents nécessitent des évaluations plus sophistiquées.
Par Chris McClean, analyste sénior chez Forrester Research. Adapté de l’anglais par la rédaction.