En résumé : comment faire une cartographie des risques ?
La cartographie des risques se construit en 6 étapes :
- Définir le projet
- Recenser les risques
- Évaluer les risques
- Réaliser la matrice des risques
- Élaborer le plan de gestion des risques
- Évaluer, contrôler et adapter la cartographie des risques
Socle de la stratégie de gestion des risques, la cartographie des risques est un document critique de l’organisation. Son objectif ? Identifier, évaluer et hiérarchiser les risques à l’échelle d’une structure, d’une activité, d’un processus ou d’un projet. L’anticipation, la prévention et la maîtrise des risques protègent l’organisation. Elles aident la direction et le management à prendre les bonnes décisions stratégiques et opérationnelles. A contrario, une cartographie des risques incomplète, incohérente ou inadéquate peut mettre en danger l’organisation.
Exercice collectif complexe, l’élaboration et la gestion d’une cartographie des risques nécessitent du temps, des moyens et de la coordination. Voici les étapes clés pour réaliser une cartographie des risques pertinente et efficace.
1️⃣ 1ère étape : définir le projet de cartographie des risques
Le cadrage de la cartographie des risques
Toute démarche de gestion de projet commence par l’analyse de l’existant et le cadrage des besoins et des objectifs. Cette phase préparatoire permet de définir précisément le périmètre du projet et d’y affecter les moyens humains et financiers adéquats.
Cette étude est portée par le chef de projet chargé du pilotage et du suivi de la cartographie des risques. Selon la taille et le budget de l’organisation, la mission peut être confiée au risk manager ou manager des risques, au service d’audit interne, à un responsable occupant une position transversale dans l’entreprise ou encore à un cabinet de conseil extérieur.
La mobilisation des parties prenantes dans le projet de cartographie
Les risques dans l’organisation sont nombreux et complexes. Le chef de projet a à recueillir un maximum de données pertinentes et à jour pour les lister, les évaluer et les hiérarchiser précisément et objectivement.
Relever ce défi exige de mobiliser un maximum d’acteurs de l’organisation, dans un processus collectif et participatif où chacun apporte sa vision, avec notamment un prisme opérationnel « de terrain ». Pour une cartographie des risques exhaustive et juste, il peut être pertinent d’associer au processus de réflexion les tiers externes, clients, fournisseurs et autres partenaires.
2️⃣ 2ème étape : recenser les risques de l’organisation
Le recensement des domaines de risques
Les risques dans une structure sont de nature diverse : risques opérationnels, stratégiques, financiers, sociaux, de réputation, de sécurité, environnementaux, juridiques, de conformité, etc. Les risques peuvent être internes à l’organisation ou externes.
Quelle que soit son échelle, la cartographie des risques doit être exhaustive. Au vu de son caractère stratégique, aucune menace ne doit être négligée. Avant de passer à la phase d’identification des risques, il est primordial de répertorier en amont tous les domaines de risques. Cet inventaire sert ensuite de fil conducteur pour analyser les risques de façon plus fine.
L’identification des risques de l’organisation
L’identification des risques auxquels l’organisation est exposée concrètement est un processus long mais essentiel à la réussite de l’exercice de cartographie des risques. C’est là que la démarche collective et participative prend tout son sens. Elle s’appuie sur des outils comme les entretiens exploratoires, les benchmark, les rapports de conformité ou les audits internes.
Chaque collaborateur impliqué doit pouvoir transmettre des données précises sur les risques identifiés dans son domaine de responsabilité. Ces informations sont complétées par les retours des parties prenantes externes, portant sur l’impact de leurs propres activités sur l’entreprise. L’utilisation d’un outil collaboratif et intuitif facilite le recueil et la modélisation des informations et des données liées aux risques.
3️⃣ 3ème étape : évaluer les risques et leur niveau de criticité
L’analyse des risques
Dans la cartographie des risques, l’analyse des risques repose sur deux critères :
• L’impact ou la gravité pour l’organisation.
• La probabilité de survenance ou la fréquence d’occurrence.
Chaque facteur est classé sur une échelle de notation numérique via une méthode de scoring. Elle peut inclure de trois à cinq niveaux selon la précision souhaitée par l’organisation, allant de « très faible » à « critique », en passant par « faible », « modéré », « fort ».
Le croisement des données permet d’évaluer le niveau de criticité du risque pour l’entreprise. Les risques sont hiérarchisés et priorisés en fonction du scoring. Par exemple, un risque ayant obtenu le score 5 pour son impact et le score 4 pour sa probabilité de survenance sera considéré comme très critique et à traiter en priorité.
L’évaluation du seuil de risque acceptable pour l’organisation
Si elle s’appuie sur des éléments objectifs, l’analyse de la criticité d’un risque est subjective à chaque structure. Une même menace aura un impact différent selon la taille de l’organisation, sa solidité financière, son socle social, son intégration dans son environnement, la confiance de ses partenaires, etc.
Le classement des risques en risques mineurs, acceptables, majeurs ou critiques dépendra de la capacité de l’organisation à être vulnérable et à amortir les impacts. Certains risques devront faire l’objet d’arbitrages au niveau de la direction et du management pour valider s’ils sont acceptables ou non.
4️⃣ 4ème étape : réaliser la matrice des risques
L’élaboration de la matrice des risques
La matrice des risques est une modélisation graphique des résultats de la cartographie des risques. Elle se présente sous la forme d’un schéma bidimensionnel, avec deux axes. L’axe horizontal représente l’impact des risques et l’axe vertical la probabilité de survenance.
La matrice est divisée en plusieurs cases. Chacune est identifiée par une couleur. En haut à droite, en rouge, apparaissent les risques les plus critiques pour l’organisation, avec un impact fort et une probabilité de survenance élevée. À l’inverse, les risques mineurs sont identifiés en bas à gauche, en vert. Ce sont les risques aux impacts négligeables avec une fréquence de survenance très faible. Les autres risques intermédiaires sont souvent repérés en jaune ou orange.
La communication sur la cartographie des risques
La matrice des risques est un outil de communication. Synthèse lisible de la cartographie des risques, la matrice :
• Facilite l’élaboration du plan de gestion des risques et la hiérarchisation des actions.
• Permet de rendre compte de l’avancement de la cartographie des risques auprès de la direction, du management et des partenaires.
• Offre un support visuel synthétique pour alerter les décideurs et les guider dans leurs choix d’orientations.
• Aide à communiquer sur les risques dans l’organisation et à sensibiliser les collaborateurs pour mettre en place les mesures de prévention.
5️⃣ 5ème étape : élaborer et mettre en œuvre le plan de gestion des risques
L’élaboration du plan de gestion des risques de l’organisation
Les résultats de la cartographie des risques aident à construire le plan de gestion des risques de l’organisation. Selon le risque, l’objectif peut être de le supprimer, réduire sa probabilité de survenance ou minimiser son impact.
Le plan de gestion des risques priorise les actions, processus et contrôles à mettre en place, en fonction de la criticité des risques. Il précise pour chaque risque les délais de mise en œuvre, le responsable du suivi, les éventuelles étapes et l’état d’avancement.
Ce tableau est croisé avec la matrice des risques dans le registre des risques. Celui-ci est une synthèse du plan de gestion des risques, complétée de données relatives à la nature du risque, la gravité de son impact, sa probabilité de survenance et son niveau de criticité.
La mise en œuvre des mesures de prévention et réduction des risques
Vient ensuite l’entrée dans la phase opérationnelle. Il s’agit de déployer concrètement dans l’organisation les actions du plan de gestion des risques.
Le responsable de la cartographie des risques joue le rôle de chef d’orchestre. Il met en musique le plan d’actions, mobilise, communique, engage et s’assure de l’adhésion des collaborateurs. Il accompagne les changements induits par les mesures et aide à dépasser, par la communication et la formation, les éventuelles résistances.
6️⃣ 6ème étape : évaluer, contrôler, adapter la cartographie des risques
L’évaluation du plan de gestion des risques
Le risk manager, ou tout autre responsable du projet de la cartographie des risques, évalue et suit la bonne mise en œuvre des processus et mesures de maîtrise des risques. Il s’assure de leur efficacité et évalue les résultats.
Selon l’organisation interne, le risk manager peut s’appuyer dans cette mission sur les services d’audit interne et de contrôle interne. Via des audits et contrôles ciblés, ceux-ci vérifient la bonne application sur le terrain des actions de prévention et de réduction des risques.
Si nécessaire, le plan d’actions est adapté au fur et à mesure des retours d’expérience et de l’évolution des risques, dans un processus d’amélioration continue.
L’adaptation de la cartographie des risques
La cartographie des risques est un document dynamique. Pour garder sa pertinence, elle doit être mise à jour au minimum une fois par an, et en fonction des mutations intervenues dans l’environnement de l’entreprise, ses activités et ses processus.
La veille est au cœur du métier de la gestion des risques. Le responsable de la cartographie des risques doit être à l’affût de chaque changement. De nouveaux risques peuvent apparaître, suite, par exemple, à une crise financière, un conflit géopolitique, une nouvelle loi ou la mise en place d’une nouvelle méthode de travail. Un risque mineur peut devenir majeur si sa fréquence et son impact augmentent.
La cartographie des risques est un exercice complexe. Elle met en jeu de nombreux acteurs et données, internes et externes à l’organisation. C’est un outil de pilotage vivant qui exige une veille constante. Le processus d’élaboration peut être optimisé en recourant à un logiciel de cartographie des risques dédié. Une plateforme collaborative et intuitive facilite l’engagement des parties prenantes, ainsi que le recueil, l’analyse, le traitement et la modélisation des informations. Un logiciel sécurise les données et la traçabilité des échanges. Il facilite le pilotage et la gestion du projet via l’automatisation des tâches et des alertes.
Le choix d’un logiciel de cartographie des risques assure de ne manquer aucune étape de la cartographie des risques et de réaliser chacune avec efficacité, dans le respect des règles de l’art.