1. Moyens de réduction des risques

 

Un bilan est effectué sur la base de l’audit avec pour objectif, parmi les risques identifiés et avec la connaissance des probabilités d’occurrence et des impacts associés, la sélection des mesures de réduction des menaces et/ou des impacts qui pourront être mises en œuvre.

 

L’analyse s’applique ici de manière prioritaire aux risques dotés à la fois d’une forte probabilité d’occurrence et d’un impact majeur sur au moins l’un des critères opérationnel, financier ou d’image. Ce sont donc les risques qui ont été cartographiés dans le quadrant supérieur à droite de la carte des vulnérabilités.

ZOOM STRATÉGIE & CONCEPT DE GESTION DES RISQUES   [retour "Gestion des risques"]

Dans un deuxième temps, il est judicieux de s’intéresser également :

  • aux risques à probabilité d’occurrence élevée mais à faible impact

  • aux risques à fort impact mais à faible probabilité d’occurrence.

 

Il s’agit ensuite d’identifier quelles mesures préventives peuvent être prises, soit pour diminuer la probabilité d’occurrence du risque, soit pour amoindrir l’impact que ce risque engendrerait.

 

Au niveau du bilan sur les moyens de réduction des risques, il est alors nécessaire, pour chaque mesure identifiée :

  1. de décrire la mesure et la manière dont elle serait mise en œuvre

  2. de qualifier les avantages et inconvénients que la mise en œuvre de chaque mesure de réduction engendrerait

  3. de chiffrer quantitativement le coût économique de cette mise en œuvre

  4. de recalculer le niveau de vulnérabilité qui résulterait pour le risque, une fois la mesure de réduction mise en œuvre

 

 

2. Niveau d'acceptabilité des mesures de réduction des risques [retour "Gestion des risques"]

 

Le catalogue des risques, obtenu lors du bilan précédent, fait l’objet d’un tri afin de retenir les mesures qu’il sera acceptable de mettre en œuvre.

 

Parmi les critères de tri qu’il est possible d’utiliser, on peut citer :

  1. le coût pour la mise en œuvre

  2. l’intérêt de la mesure, en terme d’amplitude de la réduction du risque

  3. l’applicabilité effective de la mesure

  4. l’intérêt, pour l’entreprise, de réduire prioritairement tel ou tel type d’impact

 

Cette démarche est accomplie principalement en collaboration avec l’entreprise cliente. Il en résulte un catalogue des mesures de réduction du risque, trié par ordre décroissant d’importance.

 

La dernière étape consiste à déterminer le calendrier pour le déploiement des différentes mesures en se basant sur le niveau d’urgence de chaque mesure. Il est judicieux d’utiliser des durées standard pour classer les mesures, par exemple un mois, six mois et deux ans.

 

Il en résulte finalement une version calendaire du catalogue des mesures de réduction des risques. Ce calendrier peut alors être associé aux coûts de mise en œuvre ; le plan financier en résultant est comparé aux possibilités de réalisation et peut impacter en retour le calendrier, en anticipant certaines mesures ou au contraire en les reportant à plus longue échéance.

 

 

3. Cahier des charges pour la mise en œuvre

 

Chaque mesure de réduction du risque doit être perçue comme une modification à apporter à un système existant, modification dont la mise en œuvre va constituer un projet (gestion du changement ou Change Management).

 

En fonction de l’envergure de la modification, il sera souvent possible de regrouper ensemble la mise en œuvre simultanée de plusieurs mesures. A l’autre extrême, une mesure de grande envergure devra faire l’objet d’un projet complet pouvant faire intervenir plusieurs ressources pendant plusieurs trimestres.

 

Dans ce cas, il sera nécessaire de recourir à une organisation complète de projet avec un phasage progressif : initialisation, analyse, conseil, déploiement et contrôle, finalisation. Il est alors indispensable de spécifier par un cahier des charges le contexte de la réalisation, les exigences opérationnelles et constructives attendues, etc.

 

[retour "Gestion des risques"]