Comment procéder -1-
1. Planification/définition du système
Au cours de la phase de planification, les informations et la documentation existantes quant à la gestion des risques de l'entreprise sont examinées. Ainsi, il est possible de se faire une idée de la situation actuelle et du développement futur de la gestion des risques. Sur la base de ces résultats et du processus de sélection effectué, la planification du projet est mise en route.
Avant d'effectuer la planification, il est important de savoir quels éléments relatifs à la gestion des risques sont déjà disponibles et quels objectifs peuvent ainsi être atteints. Il convient, entre autres, de prendre en considération les aspects suivants:
- Quelle est l'organisation de l'entreprise?
- Quels sont les instruments de gestion utilisés?
- L'entreprise a-t-elle déjà effectué une évaluation des risques?
- Comment les risques fondamentaux ont-ils été identifiés, surveillés et documentés?
- Comment se présente le paysage informatique et quels risques spécifiques à ce domaine doivent être intégrés à ladite évaluation?
L'application du projet de la gestion des risques dépend du soutien de la direction et du conseil d'administration. Sans cet appui, le projet pourrait être reporté voire même avorter. Les rôles et les responsabilités sont attribués selon les fonctions clé de l'entreprise, devant être fixées par écrit et annoncées aux collaborateurs concernés.
2. Identification et évaluation du risque
Au cours de la phase identification du risque, tous les risques possibles sont listés sous forme de scénario. Les risques sont identifiés, évalués puis classés selon leur priorité.
Lors de cette étape, l'accent est mis sur les principaux risques de l'entreprise. En outre, la check-list est souvent appelée liste des dangers. La plupart du temps, les possibilités personnelles sont limitées. Par conséquent, il est important de se concentrer sur les risques majeurs afin de les éliminer avec un maximum de réussite.
Risques externes et internes
Source: KPMG Schweiz, Methodik zur Einführung eines Risikomanagementsystems, 2008
En principe, l'identification du risque commence par une analyse des points forts et faibles, c'est-à-dire une analyse SWOT (Strenghts = forces, Weaknesses = faiblesses, Opportunities = opportunités, Threats = dangers). Cette dernière peut être effectuée dans le cadre d'un séminaire accompagné d'entretiens avec les responsables clé de l'entreprise. L'analyse SWOT est un instrument simple permettant, d'une part, de comprendre la gestion des risques dans l'entreprise et, d'autre part, d'indiquer les liens existant entre les problèmes majeurs et les objectifs de l'entreprise. En outre, l'objectif d'une analyse SWOT est d'identifier les principaux facteurs internes et externes ayant une influence sur le développement de l'entreprise et les valeurs de l'organisation.
Les résultats révélés par le séminaire et les entretiens, les analyses du benchmark et les informations issues d'autres sources internes et externes servent à créer une base de données incluant toutes les informations majeures relatives au risque. Ainsi, les risques sont classés par genre, de manière à être attribués à la catégorie adéquate du modèle de risque (cf. illustration ci-après).
Profil des opportunités et des menaces
| Niveau | Menace | Opportunité |
| insignifiant | à ignorer au vu de la taille de l'organisation, le budget n'est presque pas diminué |
à ignorer au vu de la taille de l'organisation, le budget ne diffère presque pas |
| limité |
les conséquences sont minimes et peuvent être financées par le cash-flow, le budget est légèrement diminué |
le budget est légèrement plus avantageux, pour certains points, à ce qui était prévu |
| perceptible |
les comptes annuels diminuent, l'EBIT est inférieur à ce qui était prévu |
les comptes annuels et l'EBIT sont meilleurs que ce qui était prévu |
|
critique/optimiste |
les comptes annuels ne cessent de se dégrader, l'EBIT est menacé (risque) |
les comptes annuels et l'EBIT sont nettement supérieurs à ce qui était prévu |
|
catastrophique/ |
l'existence de l'organisation est menacée, les fonds propres sont presque ou totalement épuisés |
les comptes annuels et l'EBIT sont extraordinairement positifs et considérablement supérieurs à ce qui était prévu |
Une fois le catalogue de risque défini, il convient d'effectuer une évaluation des risques générale pour tous les risques identifiés. L'évaluation des risques permet de déterminer quand un risque est supportable et peut donc être accepté par le propriétaire du risque.
A cet effet, un seuil de tolérance du risque est souvent indiqué dans l'environnement des risques. On pourrait donc dire que les risques qui sont situés au-delà de ce seuil ne doivent pas être tolérés; par contre, ceux qui sont situés sous ce seuil sont acceptables.
En outre, l'évaluation du risque s'effectue, en règle générale, sur deux dimensions:
- La probabilité décrit la vraisemblance qu'un événement survienne. En principe, la probabilité est prévue pour une période de trois ans. Cette période sert de base lorsque l'entreprise dispose d'un cycle de planification stratégique;
- Les conséquences décrivent l'effet que produit réellement cet événement. L'évaluation requiert normalement une valeur financière. Vu que tous les risques ne peuvent pas être évalués d'un point de vue financier, il est également possible de les estimer par rapport à leur qualité. Pour ce faire, il convient de se servir des risques de réputation, de conformité, pour la santé et pour la sécurité ainsi que des dépenses engagées par le management pour contrôler la situation au cas où l'événement surviendrait.
Le résultat de l'évaluation des risques est représenté graphiquement, sous forme de carte des risques.
Carte des risques de la société fiduciaire xy
L'exemple ci-dessous met en évidence les principaux risques d'une société fiduciaire. Leur évaluation est effectuée sur deux dimensions: la probabilité et les conséquences. L'expérience montre que les entreprises se focalisent souvent sur 10 principaux risques environ.Exemple d'une liste de dangers dans une société fiduciaire
|
No |
Zone de danger0 Domaine de danger |
Description du risque |
Probabilité1 |
Potentiel de dommages2 |
Respon-sable |
Mesures |
Echéance |
|
|
1 |
Menace stratégique Activité commerciale courante |
Dépend de peu de clients, la perte du client entraîne des licenciements |
Possible |
Menace l'existence de l'entreprise |
XY |
Diversification de la clientèle par la focalisation sur une autre branche, élaboration d'une planification de marketing |
Décembre 20xx |
|
|
4 |
Direction et collaborateurs Collaborateurs Comportement |
Malversation d'un collaborateur/Atteinte de l'image de marque |
Très rare |
Menace l'existence de l'entreprise |
ZY |
Vérification des autorisations de signature. Vérification du processus d'autorisation. Vérification du processus de surveillance. |
Juin 20xx |
|
|
6 |
Direction et collaborateurs Pratiques commerciales déloyales |
Application imprécise (laxiste, superficielle, pas sérieuse) des standards commerciaux |
Improbable |
Menace l'existence de l'entreprise |
ZY |
Audits fonctionnels par les supérieurs hiérarchiques, sondages auprès de la clientèle, formation et formation continue |
Deux fois par an Jusqu'à juin 20xx Tous les deux mois |
|
|
10 |
Menace opérationnelle Dangers pour les installations de production |
Inondation des locaux |
Très rare |
Menace l'existence de l'entreprise |
XX |
Nouveau local informatique au 1er étage du bâtiment, s'assurer du bon déroulement du transfert du site |
Juillet 20xx Janvier 20xx |
|
|
16 |
Menace financière Liquidités et non-paiements |
Dépassement de la limite de crédit - intérêts bancaires plus élevés |
Fréquent |
Sensible |
ZZ |
Améliorer le processus des relances et la planification des liquidités |
Octobre 20xx
|
|
Inscrivez-vous au blog
Soyez prévenu par email des prochaines mises à jour
Rejoignez les 57 autres membres