SOMMAIRE

NOTRE DÉCRYPTAGE DE LA NORME

Chapitre : Introduction 3
Chapitre 4 : Contexte de l’organisme 4
Chapitre 5 : Leadership 5
Chapitre 6 : Planification 5
PRÉ-REQUIS

Définir un sponsor adapté 6

Identification d’un référentiel / Univers des risques commun 6
Définir un langage commun, adapté à l’organisation 7
Définition des stratégies de réponse 7
Piloter l’amélioration par les risques 7
NOTRE DÉCRYPTAGE DE LA NORME
Dans chaque chapitre de la norme où la notion de
« risques et opportunités » est présente, quelques
clefs de décryptage sont nécessaires pour définir
une approche risque conforme aux exigences, mais
surtout à valeur ajoutée.
CHAPITRE : INTRODUCTION

La notion de risques et opportunités est présente dès l’introduction, ainsi que le champ du traitement :
- « Associé au contexte » au sens large, qu’il soit interne ou externe ;
- « Aux objectifs de l’organisme » : outil de management, la gestion des risques et opportunités
intègre tous les évènements qui pourraient remettre en cause l’atteinte des objectifs stratégiques de
l’organisation, ainsi que leurs déclinaisons opérationnelles. Demandez à votre Management ce qui l’
empêche de dormir, et vous commencerez déjà à faire de la gestion de risque !
La démarche de gestion de risques implique d’ailleurs de pouvoir replacer ceux-ci dans leur contexte, en
les rattachant à des processus et/ou des familles de risques.

Types de risques Exemples de sous-famille

Risques de marché (taux, action, etc)
Financiers
Risques de liquidité
Risques de non-conformité
Juridiques et réglementaires
Risques d’évolution réglementaire
Risques lié à la sécurité des données, au pilotage
Risques de non respect des contrats
Risques de fraude
Opérationnels
Risques en lien avec les ressources humaines
Risques en lien avec les systèmes d’information
Risques en lien avec le marketing, la commercialisation des produits
Risques économiques
Risques politiques
Externes Risques climatiques, de catastrophes naturelles
Risques de sécurité physique, malveillance
Risques liés au marché (concurrence, concentration, etc)

Dans le chapitre 0.3.3, la norme associe l’efficacité du SMQ à la gestion des risques et opportunités :
l’organisation doit planifier et mettre en œuvre des actions au regard des risques et des opportunités.
Derrière ces notions, et donc dès l’introduction de la norme, c’est l’objectif de la boucle vertueuse de la
gestion de risques qui est décrite :
- Identifier les risques et opportunités ;
- Hiérarchiser les risques en fonction des éléments de maitrise déjà en place ;
- Définir une cible et les plans d’actions pour l’atteindre ;
- Suivre le résultat des plans d’actions et monitorer la démarche de gestion de risques.
On rentre ainsi sur une cartographie des risques à 3 dimensions : impact, probabilité de survenance,
mais aussi maturité du dispositif de maîtrise.

3
 CRITICITÉ
Risque Faible Risque Significatif Risque Critique Risque Stratégique
RI RII RIII RIV Stratégique RISQUES RISQUES
IV CRITIQUES Couverture du MAITRISÉS
IMPACT risque à
renforcer
Stratégique Critique
IV III

Critique Significatif
III II Risques
courants
RISQUES DE
Significatif Faible
NON-QUALITÉ, RISQUES
II I
NON PRIORITAIRES SUR-CONTROLÉS

Faible Absence de maîtrise Insuffisance Acceptable Satisfaisant

I 1 2 3 4
MAITRISE
DES RISQUES
Très rare Rare Probable Très probable
A B C D
PROBABILITÉ

Exemples de modèles de cartographie

Scoring Signification Indicateurs facilitant la mesure

1 Absence de maîtrise Aucune procédure n’existe.
Aucun contrôle/analyse n’est réalisé.
2 Insuffisant Aucune procédure n’existe.
Des contrôles sont réalisés régulièrement mais ne sont pas formalisés.
3 Acceptable Des procédudes existent mais sont incomplètes.
Des contrôles sont réalisés et formalisés.
4 Satisfaisant Les procédudes existent.
Les contrôles sont réalisés et formalisés.

Exemple de mesure de la maturité des dispositifs de maitrise

CHAPITRE 4: CONTEXTE DE L’ORGANISME

Les « enjeux externes et internes » qui influent sur L’évaluation des risques permettra notamment
l’atteinte des objectifs de l’organisme désignent d’identifier les risques stratégiques : cela nécessite
évidemment les risques et opportunités. de définir des critères de scoring adaptés.
Pour rappel, l’ISO 9000 définit le risque comme Les plans d’amélioration des processus permettront
« l’effet de l’incertitude sur l’atteinte des objectifs ». également de mieux les maitriser et donc de limiter
La description des processus devrait désormais la fréquence ou l’impact des risques. Cela implique
intégrer les risques et opportunités inhérents. Mais de s’appuyer sur des responsabilités clairement
au-delà, les processus porteurs des risques les définies pour chaque processus et donc souvent
plus importants, c’est-à-dire remettant en cause pour les risques liés.
les objectifs stratégiques de l’entreprise, seront à
traiter en priorité (processus clés ou critiques).

CRITÈRE DE MESURE ÉVALUATION INDÉPENDANTE DES CRITÈRES CRITICITÉ DU RISQUE

(Impact / Probabilité)

Impact Image Niveau d’impact Image Mesure de

l’Impact
Impact Financier Niveau d’impact Financier I, II, III, IV
MESURE DU
RISQUE

RI, RII, RIII, RIV

Mesure de la
Probabilité
Probabilité Niveau de Probabilité
A, B, C, D

Exemple de schéma de mesure de la criticité

4
CHAPITRE 5 : LEADERSHIP

Prendre ou accepter des risques est inhérent au méthodologie et de l’apport de la démarche

rôle d’une Direction. En revanche, pour les gérer de risques.
manière structurée et promouvoir la démarche, le
Management a souvent besoin d’être accompagné
Enfin, pour que l’outil soit efficace, il doit être
et formé à l’approche risques.
adapté aux besoins du Management qui prend une
part active dans la définition de la méthodologie
Mais la gestion de risques doit surtout devenir appliquée, notamment par exemple les échelles de
un des outils de Management de l’entreprise. scoring.
Ceci requiert obligatoirement la maîtrise de la

CHAPITRE 6 : PLANIFICATION

CRITICITÉ Dans la version 2015, le chapitre 6 « planification »

intègre toutes les actions préventives, et, en premier
Critique
III 5 7 8 2 lieu, celles issues de l’analyse des risques.
- Planifier renvoit à la notion de priorisation des
actions et donc à la priorisation des risques ;
Significatif
II 4 9 7 1 - Les actions de prévention doivent répondre à
une stratégie, à une volonté du Management face
à chaque risque. Ainsi, ne rien faire est une des
Faible
8 6 5 3
possibilités face à un risque, qui revient à l’accepter !
I
- Définir les actions possibles nécessite d’avoir
identifié les failles et les dispositifs de maîtrise
Absence de maîtrise Insuffisance Acceptable Satisfaisant
1 2 3 4 manquants. Cela implique également de définir
MAITRISE DES RISQUES la cible à atteindre et nécessite donc de pouvoir
Zone d’actions Zone d’actions Zone d’actions mesurer les résultats des actions menées.
PRIORITÉ 1 PRIORITÉ 2 PRIORITÉ 3

En conclusion

Si la norme ne renvoit pas à EVALUATION DES DISPOSITIFS

une méthodologie définie (pas EVALUATION INTITIALE DES RISQUES DE MAÎTRISE
> Univers et identification > Recensement par typologie
d’exigence de moyens), les
MAITRÎSE

> Criticité et hiérarchie > Performance et pertinence

analyses FFRO (SWOT) souvent
Cartographie des risques Cartographie des risques / maîtrise
proposées sont insuffisantes Risques bruts Risques nets CRITICITÉ

pour permettre d’aborder les

Stratégique RISQUES RISQUES
IV CRITIQUES Couverture du MAITRISÉS
Risque Faible Risque Significatif Risque Critique Risque Stratégique risque à
RI RII RIII RIV renforcer
Critique
IMPACT III

notions de planification de
Stratégique
IV
Significatif
II Risques
Critique
courants
III
RISQUES DE

priorisations exigées.
Faible
NON-QUALITÉ, RISQUES
I
Significatif NON PRIORITAIRES SUR-CONTROLÉS
II

Absence de maîtrise Insuffisance Acceptable Satisfaisant

Faible 1 2 3 4

2
I
MAITRISE

1
DES RISQUES
Très rare Rare Probable Très probable
A B C D
PROBABILITÉ

Notre méthodologie PYX4

Risque, à la fois simple,
AMÉLIORATIONS
PROCESS AUDIT INTERNE

complète et adaptable, reprend STRATÉGIE DE RÉPONSE

INCIDENT

PILOTAGE DE LA GESTION DES RISQUES

chacune de ces étapes. Elle > Accepter CRITICITÉ
Brute
> Evolution des risques > Transférer
utilise également les interfaces > Recensement des sinistres > Supprimer Nette

avec les autres fonctions et/ou 4

> Suivi des plans d’actions > Circonscrire Cible

démarches traitant du risque Plans d’actions d’amélioration

dans l’organisation :
CRITICITÉ

Critique
III 7 7 7 7

Significatif
II
11 11 11 11

Faible
I 6 6 6 6

Absence de maîtrise Insuffisance Acceptable Satisfaisant

MAITRISE
1 2 3 4 DES RISQUES

3
Zone d’actions Zone d’actions Zone d’actions
PRIORITÉ 1 PRIORITÉ 2 PRIORITÉ 3

5
PRÉ-REQUIS
Lancer une démarche de gestion de risques et
opportunités nécessite des prérequis en amont qui
garantiront le succès de votre démarche.
Les 5 exemples que nous vous proposons s’appuient sur les meilleures pratiques du
marché, et reposent notamment sur les préconisations de l’AMF dans son cadre de
référence. Ils concernent les éléments clefs à intégrer dans la démarche, qui devra
être pilotée comme un projet.

1. DEFINIR UN SUPPORT ADAPTÉ (Chapitre 5 - leadership)

La démarche de gestion des risques doit être - Adapter et affiner la stratégie de l’entreprise ;
idéalement sponsorisée par l’organe dirigeant le - Structurer la gestion des risques ;
plus élevé possible dans la hiérarchie. Support de
- Renforcer la sensibilisation des acteurs de
la démarche, il entérinera sa cohérence avec la
l’entreprise
culture et la stratégie de l’organisation.
Il devra nommer le chef de projet et valider
Il devra valider la définition du risque et par là-
l’équipe projet constituée. Celle-ci doit intégrer
même l’orientation de la démarche.
quelques représentants significatifs fonctionnels
Il devra fixer les objectifs précis du projet, comme et opérationnels avec une bonne connaissance
par exemple : des problématiques métiers et risques.
- Identifier et classifier les risques de l’ensemble Il devra valider le champs d’action des premiers
de l’organisation ; travaux : risques majeurs, panel de risques d’une
- Anticiper les risques et ainsi mettre en place activité, d’une famille…
des plans d’actions visant à limiter leur impact et
renforcer la maîtrise des activités ;

2. IDENTIFICATION D’UN RÉFÉRENTIEL / UNIVERS DES RISQUES COMMUN

(Chapitre 6 - contexte de l’organisme)
Cette étape se déroule en atelier de travail de et performance / ressources / information /
l’équipe projet. L’approche doit reprendre les organisation,
objectifs fixés par le sponsor. - par réponse : moyen humain / pilotage
Il existe plusieurs possibilités pour organiser les / organisation / contrôles, systèmes /
risques en familles: documentation / assurance,
- par domaine concerné : les risques Stratégiques Il est préférable de faire un croisement entre
/ Financiers / Opérationnels (par processus), plusieurs axes de classification afin de créer des
- par population concernée : clients / investisseurs sous-groupes de risques qui faciliteront leur
/ personnel / environnement, analyse.
- par cause de risque : accident / erreur /
malveillance / conformité / système / qualité

6
 3. DEFINIR UN LANGAGE COMMUN, ADAPTÉ À L’ORGANISATION

Afin de garantir la compréhension du projet par - Définition des différentes phases du projet,
chacun des acteurs ainsi que l’homogénéité des (risque brut / net, identification des risques,
futurs travaux, le chef de projet réalise un glossaire stratégie de réponse, cartographie des risques...)
des termes spécifiques à la gestion des risques :
- Définition des types de risque (majeur / mineur)
- Définition du risque et des familles de risques - Échelles de mesure de criticité, ...
(stratégique / non stratégique, spécifique / non
spécifique, ...),

4. DÉFINITION DES STRATÉGIES DE RÉPONSE (Chapitre 6 - planification)

L’Équipe projet définit les différentes stratégies Ces options doivent être validées par le Chef de
de réponse aux risques possibles : Supprimer / projet et cohérentes avec les objectifs fixés par le
Transférer / Circonscrire. comité de pilotage.
Des propriétaires pour chaque risque doivent avoir Les stratégies de réponse retenues sont validées
été identifiés en fonction du type de risque à traiter. formellement par le comité de pilotage.

5. PILOTER L’AMÉLIORATION PAR LES RISQUES

(Chapitre 6 - planification)
L’Équipe projet fait régulièrement le point avec les de la mesure du risque (lié au modification de
relais afin de suivre l’évolution des travaux. Ce suivi l’environnement, la sinistralité...) et du coût des
peut être réalisé via : plans d’actions.
- la mise en place d’un tableau de bord de suivi
L’ensemble de la méthodologie devra être testée
des réponses aux risques (mise à jour des fiches,
lors d’un pilote. Ce dernier permettra :
réception de plans d’actions attendus, quantification
des coûts liés au transfert de risque...) , - Présenter des premiers livrables à la direction
- la mise en place d’une communication régulière - De valider les outils et les livrables, mesurer
entre Équipe projet / relais et relais / propriétaires l’adhésion à la démarche, valider les supports de
de risques pour suivre l’évolution des travaux. communication,
L’équipe projet analyse régulièrement l’évolution - Mesurer le temps nécessaire pour chaque risque
du coût des plans d’actions initiés. Elle ajuste et adapter la feuille de route de déploiement,
les arbitrages en fonction de l’évolution à la fois -…

Phase 1 Phase 2 Phase 3

CADRAGE FORMATION & MÉTHODOLOGIE SYNTHÈSE & PROSPECTIVE

- Définition des axes 1 Sensibilisation à la gestion des risques

prioritaires et 1 Rédaction d’un plan de
- Définition du pilotage de la mission
identification des déploiement de la
- Définition du pilotage de la mission
interlocuteurs clefs. méthodologie de
2 Définition de la méthodologie de gestion gestion de risques
- Définition des livrables. MESURE DU
de risques adaptée
- Définition du pilotage RISQUE
2 Bilan de fin de mission
de la mission 3 Phase de test
RI, RII, RIII, RIV

Points d’avancement

et/ou comités de Pilotage

7
 Découvrez comment gérer vos risques !

Auteur : Alexandre Basse