Une analyse de risque permet de recenser tous les risques potentiels d’une entreprise en fonction de ses processus internes, de son contexte et des exigences de ses parties intéressées.
Développement
En matière de développement, elle détaille donc tous les risques suivant les critères suivants :
- Processus impacté
- Risque
- Cause
- Criticité
- Plan d’actions
a) Processus impactés
Au sein d’une entreprise, les différents processus internes peuvent être, par exemple :
- Le management
- Les ressources humaines
- Gestion des moyens techniques
- Achats
- Maîtrise des données
- Communication
- Amélioration continue
- Les processus de réalisation
(à adapter en fonction de chaque entreprise)
b) Risque
Il s’agit ici de formaliser les risques mis en évidence en fonction du processus, du contexte de l’entreprise et des besoins et attentes des parties intéressées.
c) Cause
Pour analyser un risque, il est primordial de déterminer son origine.
d) Criticité
Pour déterminer la criticité, on peut par exemple multiplier la probabilité d’apparition de l’incident par la gravité.
- La probabilité d’apparition de l’incident (notée P)
- La gravité (notée G)
e) Plan d’actions
La mise en place d’un plan d’action préventif afin de gérer le risque détecté.
Note : il peut être impossible d’éliminer un risque s’il fait partie du business model de l’entreprise et que ce risque est indispensable pour l’activité de l’entreprise. Dans ce cas, il faudra tenter de diminuer ce risque au maximum grâce à la mise en place de plans d’actions. L’objectif sera de le diminuer à sa cotation la plus basse pour qu’il soit considéré comme un risque résiduel.
Pour ne pas s’éparpiller et rester organisé, des plans d’actions devront être mis en place SEULEMENT pour les risques ayant une cotation de criticité supérieure à un score fixé par l’entreprise. Une fois le plan d’action réalisé et vérifié, un nouveau calcul de la criticité pour les risques traités sera calculé et si le résultat dépasse à nouveau le seuil de cotation fixé, un nouveau plan d’actions devra être acté (et cela, jusqu’à ce que le risque ne puisse plus être diminué).
Exemple
Tout d’abord, je réalise une analyse de risque. Ensuite, après avoir listé tous les risques de l’entreprise (pour rappel, selon son contexte, ses parties intéressées et ses processus internes) et avoir calculé le taux de criticité pour chacun d’entre eux, je décide de traiter tous les risques ayant une cotation de criticité supérieure ou égale à 20.
Des plans d’actions préventifs devront être réfléchis pour tous les risques côtés à 20 ou plus, en déterminant un responsable, un sous-responsable, une date butoire de réalisation, une date de vérification et une évaluation de l’efficacité (+ action réalisée pour évaluer l’efficacité) de l’action pour diminuer le risque.
Après l’évaluation de la criticité, je regarde si tous les risques listés dans mon analyse ont une cotation inférieure à 20.
- Si ce n’est pas le cas, je traite à nouveau les risques supérieurs à 20 en créant un nouveau plan d’actions.
- Si c’est le cas, je détermine un nouveau seuil de cotation à partir duquel les risques seront traités. Par exemple, à partir de maintenant, tous les risques ayant une cotation de 10 ou plus seront traités.
Cette manière de fonctionner se déroulera dès lors indéfiniment jusqu’à ce qu’il n’y ait plus de risques ou jusqu’à ce qu’il n’y ait plus que des risques résiduels.
Attention n°1 : l’analyse de risque doit être revue au moins une fois par an ou lors de chaque gros changement dans l’organisation interne de l’entreprise qui pourrait découler sur de nouveaux risques !
Attention n°2 : Lors de l’établissement du plan d’actions, il faut faire attention à ne pas tomber dans l’excès de procédures ! (Voir article “gestion des plans d’action” pour aller plus loin.