Présentation
En anglaisRÉSUMÉ
L’objet de cet article est d’expliciter l’objectif et la manière de réaliser des cartographies des risques. En détaillant les méthodologies les plus usitées mais aussi des approches alternatives, il démontre l’intérêt, exemples à l’appui, de la cartographie des risques en termes de dispositif outillé d’aide à la décision sur les risques passés, présents et futurs dans les organisations. Dans cet article seront également abordés les domaines obligatoires mais aussi souhaitables de réalisation de cartographie des risques. Enfin, l’article fournit des préconisations managériales pour éviter certains écueils dans la réalisation et la maintenance de la cartographie des risques.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
The purpose of this article is to explain the purpose and manner of risk mapping. By detailing the most used methodologies but also alternative approaches, we demonstrate the interest, examples to support, of risk mapping in terms of a tool to help decision on past, present and future risks in organizations. In this article, mandatory but also desirable areas for risk mapping are also discusses. Finally, the article provides managerial recommendations to avoid certain pitfalls in the implementation and maintenance of risk mapping.
Auteur(s)
-
Nicolas DUFOUR : Docteur en gestion, - Professeur associé, CNAM Lirsa, Risk manager, Antony, France
INTRODUCTION
La cartographie des risques est un outil d’aide à la décision au service des décideurs (membres de la gouvernance mais aussi managers opérationnels). Initialement conçue comme un outil d’aide au pilotage des polices d’assurance (risques assurables, risques non assurables à traiter par des éléments de maîtrise du risque), la cartographie des risques est devenue une méthode très usitée de représentation et de formalisation de la réflexion et des décisions sur les risques dans les organisations. En pratique, la cartographie des risques est autant une démarche que l’un des outils de représentation du risque. Elle vise à décliner un processus d’identification, d’évaluation, de priorisation, de traitement et de suivi des risques de l’entreprise et, sans prétendre à l’exhaustivité, doit permettre d’animer auprès des décideurs et experts de l’organisation concernée sur leurs principaux risques. En outre, la cartographie des risques doit permettre de décliner un cadre d’appétence aux risques, soit la définition et la formalisation d’une priorisation des risques centrée sur l’acceptation ou le refus de certains risques. Cette démarche conduit à définir les principaux risques à traiter et à suivre, tels que ceux devant faire l’objet de mesures prioritaires (transfert de risque assurantiel, programme d’audit et de contrôle poussé, plan de formation), ainsi que les indicateurs clés de maîtrise des risques associés .
L’objet de cet article est donc de tracer les contours des usages et utilisateurs de la cartographie des risques, mais aussi de détailler les méthodologies mises en œuvre et la manière dont elles s’appliquent autour d’exemples sectoriels et de cas d’application. Nous abordons le rôle clé des méthodes fondées sur l’approche fréquence-coût, le passage du risque brut au risque net, mais aussi d’autres approches alternatives de la cartographie des risques. L’article aborde enfin les bonnes pratiques et écueils à éviter autour de la cartographie des risques, de son usage et de son maintien dans le temps.
MOTS-CLÉS
gestion des risques carte de chaleur cartographie des risques dispositif de gestion des risques
KEYWORDS
risk management | heat map | risk mapping | risk management tools
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Environnement - Sécurité > Sécurité et gestion des risques > Méthodes d'analyse des risques > Cartographie des risques - Méthodologies et applications > Glossaire
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Sécurité des SI : organisation dans l'entreprise et législation > Cartographie des risques - Méthodologies et applications > Glossaire
Cet article fait partie de l’offre
Environnement
(511 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
8. Glossaire
Méthode descencante ; top down approach
Méthode d’échange visant le consensus sur les principaux risques (stratégiques et majeurs) de l’organisation en s’appuyant davantage sur la vision des risques qu’a la gouvernance et direction générale de l’organisation et en redéclinant cette vision dans les entités opérationnelles.
Méthode ascendante ; bottom up approach
Méthode d’échange sur les risques, principalement opérationnels, auprès des équipes en charge des périmètres étudiés ainsi que des experts des métiers. Cette méthode vise à analyser finement les risques inhérents aux processus et aux directions étudiés dans le cadre de la cartographie des risques.
EDMR ; risk management devices
Éléments de maîtrise des risques (organisation, contrôles, moyens humains, outils).
Carte de chaleur ; heat map
Représentation sous forme matricielle à deux entrées de l’exposition aux risques intégrant la confrontation de la fréquence d’un risque à ses impacts.
Fréquence ; frequency
Probabilité qu’un risque survienne sur une échelle de temps, généralement annuelle. La fréquence d’un risque se mesure par le nombre de cas constaté d’incidents associés à ce risque sur une période temporelle et sur des sites géographiques donnés.
Coût
Mesure des impacts financiers directs ou indirects d’un risque : coût des assurances, des sinistres, coût en expertise pour remédier un incident.
Impacts ; type of impact
Catégories de conséquences pour la survenance d’un risque donnée. Il peut s’agir des conséquences financières, réputationnelles, humaines, qualité de service, réglementaires en cas de survenance d’un risque.
Risque brut ; gross risk exposure
Exposition de l’organisation à un risque sans tenir compte des éléments de maîtrise des risques existants. Répond à la question : si rien n’était fait, quelle serait l’exposition au risque ?
Risque net ; net risk exposure
Exposition de l’organisation à un risque en tenant compte des éléments de maîtrise des risques mis en place et de leur efficacité en termes de couverture du risque (réduction de la probabilité...
Cet article fait partie de l’offre
Environnement
(511 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Glossaire
BIBLIOGRAPHIE
-
(1) - AUBRY (C.), DUFOUR (N.) - La fonction Risk Manager. - Ed. Gereso (2019).
-
(2) - DUFOUR (N.) - Contribution à l’analyse critique de la norme de contrôle. Le cas des risques opérationnels dans le secteur financier : de la normativité à l’effectivité. - Thèse de doctorat, CNAM Lirsa (2015).
-
(3) - DARSA (J.-D.) - La gestion des risques en entreprise. - Ed. Gereso (2011).
-
(4) - BARR (A.), RAIMBAULT (C.-A.) - Les risques émergents, un pilotage stratégique. - Economica (2010).
-
(5) - FIZAINE (F.), DUFOUR (N.) - Erreur d’interprétation et erreur de prévision en économie de l’énergie et de la finance. - L’erreur humaine : « Modèles et représentations », Gilles Teneau, Nicolas Dufour, Max-Pierre Moulin, édition l’Harmattan, 360 p. (2015).
-
...
DANS NOS BASES DOCUMENTAIRES
-
Maîtrise des risques cyber. Identification, détection, analyse.
-
Gestion de la continuité d’activité. Structuration et mise en pratique.
-
Norme ISO 31000:2018, Management du risque – Lignes directrices, Mise en œuvre opérationnelle.
-
Processus de lutte contre la fraude pour la protection des organisations.
-
Normes ISO 2700x : vers la gouvernance de la sécurité des systèmes d’information.
NORMES
-
Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Exigences - ISO/IEC 27001 - 2013
-
Management du risque – Lignes directrices, Mise en œuvre opérationnelle - ISO 31000 - 2018
ANNEXES
Article R. 4121-1 du Code du travail relatif au document unique évaluation.
Article L. -561-15 du Code monétaire et financier relatif à la vigilance en matière de LCB-FT.
Article 17 de la loi dite « Sapin II », a loi pour la transparence, l’action contre la corruption et la modernisation de la vie économique.
Règlement Européen DORA : Digital Opérationel Resilience ACT (directive 2022/2256).
Directive CSRD : Corporate Sustainability Reporting Directive relative au reporting de durabilité.
HAUT DE PAGECet article fait partie de l’offre
Environnement
(511 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive