Présentation
EnglishRÉSUMÉ
L’objet de cet article est d’expliciter l’objectif et la manière de réaliser des cartographies des risques. En détaillant les méthodologies les plus usitées mais aussi des approches alternatives, il démontre l’intérêt, exemples à l’appui, de la cartographie des risques en termes de dispositif outillé d’aide à la décision sur les risques passés, présents et futurs dans les organisations. Dans cet article seront également abordés les domaines obligatoires mais aussi souhaitables de réalisation de cartographie des risques. Enfin, l’article fournit des préconisations managériales pour éviter certains écueils dans la réalisation et la maintenance de la cartographie des risques.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Nicolas DUFOUR : Docteur en gestion, - Professeur associé, CNAM Lirsa, Risk manager, Antony, France
INTRODUCTION
La cartographie des risques est un outil d’aide à la décision au service des décideurs (membres de la gouvernance mais aussi managers opérationnels). Initialement conçue comme un outil d’aide au pilotage des polices d’assurance (risques assurables, risques non assurables à traiter par des éléments de maîtrise du risque), la cartographie des risques est devenue une méthode très usitée de représentation et de formalisation de la réflexion et des décisions sur les risques dans les organisations. En pratique, la cartographie des risques est autant une démarche que l’un des outils de représentation du risque. Elle vise à décliner un processus d’identification, d’évaluation, de priorisation, de traitement et de suivi des risques de l’entreprise et, sans prétendre à l’exhaustivité, doit permettre d’animer auprès des décideurs et experts de l’organisation concernée sur leurs principaux risques. En outre, la cartographie des risques doit permettre de décliner un cadre d’appétence aux risques, soit la définition et la formalisation d’une priorisation des risques centrée sur l’acceptation ou le refus de certains risques. Cette démarche conduit à définir les principaux risques à traiter et à suivre, tels que ceux devant faire l’objet de mesures prioritaires (transfert de risque assurantiel, programme d’audit et de contrôle poussé, plan de formation), ainsi que les indicateurs clés de maîtrise des risques associés .
L’objet de cet article est donc de tracer les contours des usages et utilisateurs de la cartographie des risques, mais aussi de détailler les méthodologies mises en œuvre et la manière dont elles s’appliquent autour d’exemples sectoriels et de cas d’application. Nous abordons le rôle clé des méthodes fondées sur l’approche fréquence-coût, le passage du risque brut au risque net, mais aussi d’autres approches alternatives de la cartographie des risques. L’article aborde enfin les bonnes pratiques et écueils à éviter autour de la cartographie des risques, de son usage et de son maintien dans le temps.
MOTS-CLÉS
gestion des risques carte de chaleur cartographie des risques dispositif de gestion des risques
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Environnement - Sécurité > Sécurité et gestion des risques > Méthodes d'analyse des risques > Cartographie des risques - Méthodologies et applications > Cas de cartographie des risques obligatoires
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Sécurité des SI : organisation dans l'entreprise et législation > Cartographie des risques - Méthodologies et applications > Cas de cartographie des risques obligatoires
Cet article fait partie de l’offre
Environnement
(514 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
5. Cas de cartographie des risques obligatoires
Cette section présente différents types de cartographie de risques d’inspiration réglementaire. Ces cartographies des risques, obligatoires dans leur mise en pratique et utilisation, adressent des catégories de risques spécifiques qu’il convient d’identifier et pour lesquels des mesures d’atténuation de risques doivent aussi être tracées.
5.1 Document unique sur l’évaluation des risques professionnels
Au titre des approches de cartographie de risques obligatoires figure le document unique de l’évaluation des risques professionnels (DUERP). En France, le Code du travail fixe à son article R. 4121-1 l’obligation de le mettre en œuvre dès l’embauche du premier salarié. De très nombreuses entreprises sont donc concernées. Le DUERP permet d’identifier, d’évaluer et de prioriser les risques par unité de travail. Il se présente comme une cartographie des risques en prenant en compte une méthodologie similaire, mais intégrant quelques spécificités liées à son objet même, la maîtrise des risques professionnels. On note aussi parmi ces spécificités le fait que le DUERP privilégie les mesures de prévention collective en premier lieu et doit indiquer dans les cas où celles-ci peuvent ne pas suffire les mesures de prévention et de protection à titre individuel à mettre en œuvre. Le tableau 4 fournit un exemple illustratif.
Également, le DUERP s’intéresse aux unités de travail, soit des groupes d’activités professionnelles dans l’organisation présentant une exposition aux risques similaire. Pour le reste, le DUERP comprend des mesures de cotation de la fréquence, mais aussi de la gravité de chaque risque ainsi que l’efficacité des mesures mises en œuvre pour atténuer les risques.
HAUT DE PAGE5.2 Cartographie des risques de corruption
La loi dite Sapin 2 applicable depuis juin 2017 portant notamment sur les risques de corruption et de conflit d’intérêt implique notamment la réalisation d’une cartographie des risques de corruption, servant de bases à la prise en compte d’autres mesures telles qu’un dispositif de contrôle interne dédié, un dispositif d’alerte professionnel, un code de conduite anticorruption, ou encore des formations de...
Cet article fait partie de l’offre
Environnement
(514 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Cas de cartographie des risques obligatoires
BIBLIOGRAPHIE
-
(1) - AUBRY (C.), DUFOUR (N.) - La fonction Risk Manager. - Ed. Gereso (2019).
-
(2) - DUFOUR (N.) - Contribution à l’analyse critique de la norme de contrôle. Le cas des risques opérationnels dans le secteur financier : de la normativité à l’effectivité. - Thèse de doctorat, CNAM Lirsa (2015).
-
(3) - DARSA (J.-D.) - La gestion des risques en entreprise. - Ed. Gereso (2011).
-
(4) - BARR (A.), RAIMBAULT (C.-A.) - Les risques émergents, un pilotage stratégique. - Economica (2010).
-
(5) - FIZAINE (F.), DUFOUR (N.) - Erreur d’interprétation et erreur de prévision en économie de l’énergie et de la finance. - L’erreur humaine : « Modèles et représentations », Gilles Teneau, Nicolas Dufour, Max-Pierre Moulin, édition l’Harmattan, 360 p. (2015).
-
...
DANS NOS BASES DOCUMENTAIRES
-
Maîtrise des risques cyber. Identification, détection, analyse.
-
Gestion de la continuité d’activité. Structuration et mise en pratique.
-
Norme ISO 31000:2018, Management du risque – Lignes directrices, Mise en œuvre opérationnelle.
-
Processus de lutte contre la fraude pour la protection des organisations.
-
Normes ISO 2700x : vers la gouvernance de la sécurité des systèmes d’information.
NORMES
-
Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Exigences - ISO/IEC 27001 - 2013
-
Management du risque – Lignes directrices, Mise en œuvre opérationnelle - ISO 31000 - 2018
ANNEXES
Article R. 4121-1 du Code du travail relatif au document unique évaluation.
Article L. -561-15 du Code monétaire et financier relatif à la vigilance en matière de LCB-FT.
Article 17 de la loi dite « Sapin II », a loi pour la transparence, l’action contre la corruption et la modernisation de la vie économique.
Règlement Européen DORA : Digital Opérationel Resilience ACT (directive 2022/2256).
Directive CSRD : Corporate Sustainability Reporting Directive relative au reporting de durabilité.
HAUT DE PAGECet article fait partie de l’offre
Environnement
(514 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive