L'évaluation des risques en entreprise

L'évaluation des risques se traduit par une appréciation du niveau d’exposition aux risques, par exemple au moyen de la formalisation d’une matrice des risques,  soit par un scoring, soit par une autoévaluation ou encore au moyen d'audits (internes ou externes).

Les critères d'évaluation des risques.

Trois critères sont généralement à prendre en considération pour évaluer les risques :

  • L’impact correspond à la valorisation des conséquences de la survenance d’un risque sur l’atteinte d’un objectif. Il est généralement estimé, mais lorsque cela est faisable, il est légitime d’exploiter les données statistiques pour procéder à cette valorisation. La valorisation financière est préférable, mais il n’est pas toujours possible de traduire financièrement toutes les formes de préjudices (notamment en ce qui concerne le patrimoine immatériel, même si les dispositifs de mesure de ces données ne cessent de s’améliorer).
  • La fréquence ou la probabilité de survenance est une information qui peut être estimée, ou calculée de manière statistique.
  • Le degré de maîtrise nécessite une évaluation de ce que l’on appelle le risque résiduel. Cette notion est généralement peu aisée à quantifier. Il nous semble préférable d’exploiter les informations dont dispose le contrôle interne pour mesurer le degré de maîtrise. Pour ce faire, il suffit de considérer le niveau de maturité des dispositifs de protection mis en œuvre (contrôle opérationnel, environnement de contrôle, gouvernance, séparation des fonctions...) et d’en déduire le degré de maîtrise de chaque risque.

Pour des commodités d’utilisation, chacun de ces éléments est positionné sur une échelle à 2, 3, 4 ou 5 niveaux. Ceci n’est pas une obligation, mais correspond aux pratiques en vigueur. Les niveaux correspondent à des seuils à définir selon le contexte.

Les modèles de représentation pour l'évaluation des risques.

Trois principaux types de représentation sont universellement utilisés :

  • Matrice de criticité d’un risque selon les axes impact/fréquence.
  • Cartographie globale des risques selon les axes impact/fréquence.
  • Cartographie globale des risques selon les axes criticité/niveau de maîtrise.

Exemples de risques à évaluer.

Une liste de risques génériques, quel que soit le secteur d’activité est proposée ci-après :

  • Failles de sécurité.
  • Accès au SI insuffisamment protégé.
  • Perte d’intégrité, d’accessibilité ou de disponibilité de l’information.
  • Perte de la propriété intellectuelle.
  • Perte de données personnelles et données clients.
  • Inefficacité du programme éthique.
  • Inefficacité de la RSE.
  • Inefficacité du dispositif anti-fraude / anti-corruption.
  • etc.

De manière générale, pour prévenir ces risques, une vigilance particulière est à apporter aux causes suivantes :

  • Mauvaise définition des rôles et responsabilités.
  • Mauvaise définition et mise en œuvre des délégations de pouvoir et de signature.
  • Mauvaise séparation des fonctions.

Partagez cette page avec vos amis: