5 confusions fréquentes dans l’identification, l’analyse et l’évaluation des risques
Qu’il s’agisse de contraintes réglementaires, de complexification de leurs activités ou encore de sécurité informatique, les entreprises font face à l’émergence de risques divers et variés. Pour les identifier et les gérer, nombres d’entre elles mettent en place des dispositifs et des outils de Risk Management.
Ces outils se basent sur des méthodologies très diverses, qu’il convient d’adapter en fonction du contexte organisationnel dans lequel elles s’insèrent. Néanmoins, elles conservent toutes des règles communes fondamentales indispensables pour que le dispositif de gestion des risques ne soit pas uniquement considéré en interne comme un centre de coût.
Voici 5 exemples d’erreurs classiques souvent réalisées dans
le cadre du processus d’identification, d’analyse et d’évaluation des risques
en entreprise.
1- Confondre l’analyse et l’évaluation des risques
Analyser les risques signifie en identifier l’origine et les impacts associés à un niveau qualitatif. Prenons l’exemple d’une crevaison de pneu sur la route. L’analyse des risques vise à identifier ce qui a pu causer la crevaison (état des pneus, routes endommagées, etc.) pour mesurer les conséquences immédiates (humaines, financières, matérielles, etc.) et sur le long terme.
L’évaluation des risques consiste ensuite à définir, de
manière quantitative, le niveau de risques associé sur la base d’une
méthodologie adaptée, harmonisée en interne et convenue en amont. Dans le cadre
de la crevaison, l’enjeu est de placer le risque sur une échelle multicritère
afin de le situer par rapport à d’autres accidents de la route plus ou moins
graves (carambolage, panne d’essence, etc.).
2- Impliquer les mauvais acteurs dans l’analyse et l’évaluation des risques
Il est souvent tentant pour les décideurs de confier le travail d’analyse des risques au responsable du processus, du produit ou du contexte concerné, sans impliquer les personnes sur le terrain. Seulement est-ce vraiment efficace demander à une personne qui ne connaît ni la voiture, ni son conducteur, d’évaluer le risque d’une potentielle crevaison ?
Evaluer un risque nécessite des compétences et une expérience liées au contexte d’analyse ainsi que des objectifs afférents et le niveau d’efficacité actuel. Pour cela, il est recommandé de disposer d’un outil qui permet de centraliser, en interne, les informations sur les rôles et compétences des différents acteurs pour faciliter le choix des interlocuteurs adéquats et d’éviter l’erreur.
3- Ne pas évaluer les risques en fonction des objectifs définis
Les objectifs définis par l’entreprise et alignés avec sa stratégie doivent également être utilisés dans le cadre de l’identification et l’évaluation des risques. S’ils ne le sont pas, le danger est que l’évaluation des risques soit faite uniquement par rapport à ce que l’on appelle « l’appétit » au risque de l’évaluateur, et non pas directement par rapport à ce que l’entreprise s’est fixé d’atteindre.
Ramener les objectifs au centre de la démarche permet de s’assurer de sa réelle connexion avec la stratégie poursuivie par l’entreprise, et ce à chaque niveau organisationnel.
4- Confondre risque brut et risque net
Un risque « Brut » est considéré sans l’ensemble des dispositifs de maîtrise et de contrôle qui l’entoure – organisation, contrôles divers, documentation, etc. Un risque « Net » est, au contraire, évalué en prenant compte l’ensemble des dispositifs déjà en place et effectifs.
Ces deux notions, même si connues par les personnes en charge de ce travail d’évaluation, ne sont pas toujours évidentes à appréhender, en particulier lorsque les éléments de maîtrise ne sont pas placés directement à leur disposition par l’intermédiaire d’une solution informatique dédiée.
5- Mettre en place de nouvelles actions de maîtrise des risques sans vérifier l’efficacité des actions existantes
Reprenons notre exemple de crevaison et imaginons que le conducteur décide d’investir dans de nouveaux pneus anti-crevaison haut de gamme. Cette opération va augmenter son budget de manière très conséquente alors même que changer ses habitudes de conduite ou réaliser régulièrement des contrôles de pression de pneus pourraient s’avérer tout aussi efficace et surtout bien moins onéreux !
Il est courant que le premier réflexe pour traiter un risque soit de proposer des actions supplémentaires, souvent coûteuses, sans prendre le temps d’évaluer celles qui sont déjà en place ou pouvant être améliorées.
Lorsqu’il est bien défini, adapté au contexte et partagé, le processus d’identification, d’analyse et d’évaluation des risques constitue un atout stratégique clé de la prise de décision opérationnelle et stratégique. A l’inverse, un dispositif de gestion des risques intégrant mal ce processus peut entraîner des coûts importants, une « lassitude » en interne ainsi qu’une perte de temps considérable sans bénéfices précis.