Gestion des risques
La gestion des risques consiste à identifier, évaluer et contrôler les menaces auxquelles sont exposés le capital et les bénéfices d'une entreprise. Ces menaces, ou risques, peuvent avoir diverses origines, notamment des incertitudes financières, des actions en justice, des erreurs de gestion stratégique, des accidents ou des catastrophes naturelles.
Les menaces contre la sécurité de l’IT et les risques liés aux données, ainsi que les stratégies de gestion des risques permettant de les atténuer, font désormais partie des principales priorités des entreprises numériques.
Par conséquent, de plus en plus, le plan de gestion des risques comporte des processus destinés à identifier et contrôler les menaces contre les actifs numériques de l'entreprise, y compris ses données internes, les informations à caractère personnel des clients et la propriété intellectuelle.
Normes de gestion des risques
Depuis le début des années 2000, plusieurs organismes professionnels et publics ont établi des règles de conformité avec la réglementation qui examinent en détail les plans, les politiques et les procédures de gestion des risques des entreprises.
Dans un nombre croissant de secteurs, les conseils d'administration ont l'obligation d'examiner la conformité des processus de gestion des risques de l'entreprise et de communiquer les informations correspondantes. Par conséquent, l'analyse des risques, les audits internes et autres moyens d'évaluer les risques, sont devenus des éléments majeurs de la stratégie d'une entreprise.
Plusieurs organismes, tels que le National Institute of Standards and Technology (NIST) et l'ISO, ont élaboré des normes de gestion des risques. Ces normes sont conçues pour aider les entreprises à identifier des menaces spécifiques, évaluer les vulnérabilités particulières afin de déterminer les risques correspondants, trouver les moyens de réduire leur nombre, puis mettre en place des mesures pour minimiser l’impact de ces risques dans le cadre de leur stratégie d'entreprise.
Les principes ISO 31000, par exemple, fournissent des cadres pour l'amélioration des processus de gestion des risques que les entreprises peuvent utiliser, quels que soient leur taille ou le secteur cible. Les entreprises qui utilisent ISO 31000 « augmentent leurs chances d'atteindre leurs objectifs, sont mieux à même de cerner les opportunités et les menaces et d'allouer et utiliser efficacement les ressources pour le management des risques » selon la page Web de l'ISO.
Même si la norme ISO 31000 ne peut pas être utilisée pour une certification, elle peut guider l'analyse des risques internes ou externes, et elle permet aux entreprises de comparer leurs pratiques de gestion des risques avec les références mondialement reconnues.
L'ISO recommande d'intégrer les domaines cibles ou principes suivants dans le processus global de gestion des risques :
- Le processus doit créer de la valeur pour l'entreprise.
- Il doit faire partie intégrante du processus organisationnel global.
- Il doit être inclus dans le processus global de prise de décisions de l'entreprise.
- Il doit prendre en compte explicitement toutes les incertitudes.
- Il doit être systématique et structuré.
- Il doit être fondé sur les meilleures informations disponibles.
- Il doit être adapté au projet.
- Il doit prendre en compte les facteurs humains, y compris les erreurs potentielles.
- Il doit être transparent et exhaustif.
- Il doit pouvoir s'adapter aux changements.
- Il doit être en permanence suivi et amélioré si nécessaire.
Les normes ISO et d'autres normes similaires ont été élaborées partout dans le monde pour permettre aux entreprises d'appliquer de manière systématique les meilleures pratiques en gestion des risques. Le but ultime de ces normes est d'établir des cadres et des processus communs afin que les stratégies de gestion des risques soient efficacement mises en œuvre.
Ces normes sont souvent reconnues par des organismes internationaux de réglementation, ou par des groupes des secteurs cibles. En outre, elles sont régulièrement complétées et actualisées afin de prendre en compte l'évolution rapide des sources de risques pour les entreprises. Même si généralement l'application de ces normes est volontaire, la mise en conformité peut être exigée par les organismes de réglementation du secteur ou par les dispositions d'un contrat commercial.
Stratégies et processus de gestion des risques
Tous les plans de gestion des risques suivent les mêmes étapes, qui se combinent pour former le processus global de gestion des risques :
- Identification des risques. L'entreprise identifie et définit les risques potentiels qui peuvent avoir des répercussions néfastes sur un processus ou un projet spécifique.
- Analyse des risques. Une fois les risques spécifiques identifiés, l'entreprise détermine la probabilité qu'ils surviennent, ainsi que leurs conséquences. L'objectif de l'analyse est de mieux comprendre chaque occurrence spécifique d'un risque, et la manière dont elle pourrait influencer les projets et les objectifs de l'entreprise.
- Appréciation et évaluation des risques. Les risques sont ensuite évalués de manière plus approfondie après avoir déterminé la probabilité globale de leur survenue combinée avec leurs conséquences. L'entreprise peut alors décider si le risque est acceptable et si elle veut le prendre en fonction de son appétit pour le risque.
- Atténuation des risques. A cette étape, l'entreprise évalue les risques les plus élevés et élabore un plan pour les atténuer en utilisant des contrôles des risques spécifiques. Ce plan comprend des processus d'atténuation des risques, une tactique de prévention des risques et des plans d'urgence en cas de concrétisation d'un risque.
- Suivi des risques. Le plan d'atténuation comprend aussi des mesures de suivi à la fois des risques et du plan global afin de surveiller en permanence les risques nouveaux et existants. Le processus global de gestion des risques doit être examiné et actualisé si besoin.
Approches de gestion des risques
Une fois que les risques spécifiques auxquels est exposée l'entreprise ont été identifiés et que le processus de gestion des risques a été mis en œuvre, il existe plusieurs stratégies différentes qu'elle peut adopter en fonction du type de risque :
- Evitement des risques. Bien que l'élimination totale de tout risque soit rarement possible, les stratégies d'évitement des risques sont conçues pour contrer un maximum de menaces afin d'éviter les conséquences coûteuses et perturbatrices d'un incident néfaste.
- Réduction des risques. Les entreprises ont parfois la possibilité de limiter les effets que certains risques peuvent avoir sur leurs processus. Elles y parviennent en modifiant certains aspects du plan global d'un projet ou d'un processus, ou en réduisant leur portée.
- Partage des risques. Il arrive que les conséquences d'un risque soient partagées, ou réparties entre plusieurs participants à un projet ou départements de l'entreprise. Un risque peut également être partagé avec un tiers, par exemple un fournisseur ou un partenaire commercial.
- Maintien d'un risque. Parfois, une entreprise décide que cela vaut la peine de courir un risque du point de vue commercial et donc de le maintenir et de faire face aux éventuelles conséquences. Les entreprises maintiennent souvent un certain niveau de risques lorsque les profits potentiels d'un projet sont supérieurs aux coûts des risques potentiels.