2020-05-13_08h37_33.png
Guide.png
Risk 0.png
Risk 1.png
R3.png
R4.png
R5.png
R6.png

Le Management des Risques 
FMEA et la Norme ISO 31000

Aperçu de la gestion des risques et des contrôles

 

« Plus faibles sont les risques, meilleure est l'entreprise. » - Sophocle

36

Préambule

L’objet de cette partie n’est pas de faire une revue exhaustive de la GRC (Gouvernance Risque et Conformité). C’est un livre entier qu’il faudrait y consacrer. Nous souhaitons juste démontrer que, selon nous, la relation BPM et la maitrise des risques est une relation indissociable.

  • Priver le BPM de l’analyse des risques, c’est le priver de l’un ses apports fondamentaux, notamment dans le cadre de sa recherche de l’amélioration continue.

  • Priver les risques de la relation avec les processus, c’est se priver d’un effet de levier notoire dans la maitrise de ces mêmes risques et l’identification des contrôles chargés dans minimiser les conséquences prévisionnelles.

 

Cette relation si elle parait évidente par son énoncée, ne se traduit pas dans les outils mis à la disposition des entreprises. La plupart d’entre eux traitent en effet, soit du management des risques, soit du BPM et les passerelles pour faire dialoguer ces outils entre eux, sont insuffisantes et/ou lourdes à gérer, même à l’intérieur d’une suite chez un même éditeur.

  • La dimension risque et par conséquent des contrôles mis en place, est ainsi incomplète dans les outils BPM,

  • La dimension processus dans les outils de maitrise des risques ne permet pas d’avoir les liaisons avec les rôles, les applicatifs les indicateurs et recréent des silos que le BPM / Business Process Management voulait éradiquer.

  • Les modifications des processus à la suite d’une évaluation des risques et la conduite du changement qu’elle induit ne sont alors pas ou très insuffisamment prise en compte dans le référentiel des processus si les passerelles ne sont pas correctement établies,

  • La préséance du référentiel des processus sur le référentiel des risques ou inversement, est toujours l’objet d’un vaste débat. Pour notre part nous considérons que tout étant processus et comme le processus est au centre de tout, le général doit l’emporter sur le particulier65.

 

Seuls quelques « providers - fournisseurs » offrent par le biais de modules, des solutions complètes qui permettent cette parfaite adéquation entre la maitrise des risques et des contrôles et le BPM ou management par les processus. C’est bien évidemment un élément dont il faudra tenir compte quand vous aurez à faire le choix de la solution ou des solutions !

 

La relation BPM et maitrise des risques et donc pour nous un élément clé pour le management par les processus et ce quel que soit la nature du risque, qu’il soit stratégique, opérationnel ou catastrophique (lié aux aléas climatiques, cyber attaques, incendie et plus généralement tous les sujets qui entrainent des plans de secours ou des plans de continuité – DRP Disaster recovery plan dans le but d’atteindre la résilience c’est-à-dire le niveau de satisfaction client du business as usual).

 

Le Management des risques – la norme ISO 31000

« Les grandes actions sont habituellement accomplies avec de grands risques. » – Hérodote, 484 avant JC.

 

Les risques sont une partie intégrante de l’activité de l’Entreprise. Ils sont la conséquence de ses choix stratégiques. Comme il n’y pas de risque « Zéro », L’Entreprise doit apprendre à gérer ses risques pour en minimiser les effets, ce qui veut dire que les risques doivent être identifiés, évalués (en termes d’impact, de probabilité d’occurrence et de probabilité de détection), minimiser (par la mise en place de contre-mesures – les contrôles), et ils doivent être revus en permanence. C’est le management des risques.

Bien entendu, les risques augmentent si les choix stratégiques conduisent l’entreprise à se réorganiser, ce qu’elle fait et doit faire en permanence, pour faire face aux nouveautés technologiques, à la concurrence des pays émergents qui produisent des produits similaires, ou sont à même de proposer les mêmes services à des coûts bien moindres. 

L’agilité et l’adaptabilité si elles sont nécessaires, génèrent comme le revers d’une médaille, leur dose d’incertitude. De plus les volumes de données collectées, traitées et conservées constituent une exposition supplémentaire aux risques, mais ouvrent aussi la porte à des opportunités qu’il faut savoir entrevoir et saisir.

 

En d’autres termes le Management des risques permet notamment :

  • De mettre en place des mesures de protection auxquelles l’Entreprise doit recourir pour protéger son activité.

  • De se concentrer sur les risques qui pourraient réellement affecter le devenir de l’Entreprise,  en permettant leur évaluation et leur priorisation.

Le management des risques fait lui-même partie d’un ensemble plus vaste appeler GRC66 :

  • La réalisation fiable des objectifs c’est la GOUVERNANCE,

  • La compréhension et la gestion de l’incertitude dans le contexte de l’atteinte des objectifs opérationnels est la GESTION DES RISQUES

  • Et, agir avec intégrité est la CONFORMITE.

 

Evaluation des Risques – FMEA (Failure Modes & Effects Analysis)

Selon la méthodologie FMEA (Failure Modes and Effects Analysis /AMDEC) couramment utilisée en Lean6sigma Un risque est la combinaison :

  • De son importance ou de son impact (incidence ou gravité),

  • De la probabilité d’incidence (aussi appelée probabilité d’occurrence ou de survenance)

  • Et de la probabilité de détection c’est-à-dire de pouvoir détecter l’incidence ou l’occurrence du risque avant que celui-ci ne se produise pour en minimiser les effets. 

 

Il existe plusieurs méthodologies de management des risques. Les plus connues sont l’ERM Enterprise Risk Management ou COSO 2. L’autre est décrite par la norme ISO 31000 qui vient de faire l’objet en 2018 d’une mise à jour venant préciser certains points de la version originale de 2009.

A partir de la norme ISO 31000, nous avons construit une méthodologie de management des risques (RMM® Risk Management Methodology)67. Nous nous contenterons dans cet ouvrage de vous présenter les principales phases de cette méthodologie (Cf. schéma M36), et de vous indiquer à quelles techniques et/ou méthodologie elles font appel :

 

  • RMC - Risk Management Context - C’est l’analyse du contexte du référentiel des processus et ce quel que soit la catégorie des risques (Stratégiques – analyse des processus « TO BE », Opérationnels – Base d’incidents ou catastrophiques),

  • RAM – Risk Assessment Methodology – Evaluation des Risques - FMEA Failure Mode & Effect Analysis est une méthodologie qui permet entre autres d’effectuer une priorisation des risques, grâce à un système d’évaluation qui facilite leur dispersion et donc leur degré de criticité pour l’organisation,

  • RMP – Risk Management Process – Exposition aux risques et le degré de tolérance de l’entreprise par catégorie ou type de risque (Beaucoup de publication parlent d’appétence aux risques. Selon nous, aucune entreprise ne peut avoir appétence à s’exposer à des risques) – FMEA,

  • RMOP – Risk Monitoring process C’est le suivi des mesures mise en place pour minimiser l’impact des risques - FMEA

Evaluation des Risques – FMEA (Failure Modes & Effects Analysis)

  1. Analyse des risques FMEA

Selon la méthodologie FMEA utilisée en Lean 6Sigma, l’analyse des risques se fait à partir de trois dimensions / critères68 qui sont :

 

  • Impact / Severity / Significance sont les mots anglo-saxons pour définir cette première dimension. C’est l’impact qu’aura le risque sur l’organisation, si celui-ci se produit.

  • Probabilité d’occurrence ou de Survenance : Cette deuxième dimension traite de la probabilité ou de la possibilité que le risque se produise.

  • Probabilité de détection : Cette troisième dimension traite de la capacité de l’organisation à déceler les éléments, les signes ou les symptômes avant-coureurs que le risque va se produire.

    • Cette troisième dimension est cruciale dans l’analyse du risque. Elle traduit la capacité de l’organisation à mettre en place des éléments d’anticipation, d’alerte ou des analyses récurrentes pour détecter les risques avant qu’ils ne se produisent pour en annihiler ou pour le moins en juguler les effets (mesures d’analyse et de contrôle).

    • Prenons l’exemple d’une Cyber attaque :

      1. La probabilité d’occurrence ou de survenance est grande.

      2. L’impact peut être dévastateur pour l’organisation

      3. Quelles sont les mesures mises en place pour la détecter si elle survient, sont-elles efficaces etc.

      4. L’analyse de ce risque particulier sera donc différente selon, que des mesures existent, qu’elles sont testées régulièrement et que la preuve de leur efficacité a été avérée. Ce qui peut ne pas apparaitre clairement dans les analyses de risque ou cette dimension n’est pas mise en exergue.

 

Rappel : La méthodologie FMEA est purement une affaire de jugement. Cette analyse doit donc être non seulement conduite par des experts du risque, mais aussi par les experts métiers seuls à même d’évaluer de manière holistique, les conséquences sur l’ensemble de l’organisation, si le risque se produit.

 

Analyse des risques simplifiées

Analyse à deux dimensions

La plupart des analyses de risques utilisent une version simplifiée, se basant uniquement sur les deux premières dimensions arguant, que la probabilité de détection est implicitement contenue dans les deux autres dimensions.

Il est bien sûr évident qu’une analyse de risque à trois dimensions est plus complexe à mettre en place qu’une analyse à deux dimensions. 

Si la probabilité de détection peut effectivement être couverte dans l’analyse d’impact et de la probabilité de survenance, on peut alors se contenter d’une analyse à deux dimensions.

Cette simplification une fois acquise, nous pouvons craindre qu’au fur et à mesure du temps, que la probabilité de détection ne soit plus ou insuffisamment prise en compte. Cela peut avoir à termes, dans l’évaluation des risques, une incidence sur la dispersion des risques et donc sur leur priorisation.

 

Analyse des risques des systèmes d’informations

Dans l’analyse des risques des systèmes d’informations, l’analyse de l’impact se subdivise en trois sous-dimensions regroupées sous l’acronyme CIA69 :

  • Confidentiality - Confidentialité

  • Integrity - Intégrité

  • Availability - Disponibilité.

 

Le tableau ci-dessous reprend l’analyse à deux dimensions Impact et probabilité d’occurrence ou de survenance.

A la différence d’une analyse classique, l’impact est analysé préalablement sous ces 3 sous-dimensions, ce qui ne modifie en rien le principe du calcul de la valeur du risque initial ou IRV (Inherent Risk Value).

 

Analyse de la dispersion et priorisation

IRV - Inherent Risk Value

Une fois l’évaluation des risques effectuée, chaque risque se voit attribuer une valeur qui est le produit :

  • Soit de l’impact x par la probabilité d’occurrence x probabilité de détection pour une évaluation à 3 dimensions => IRV = I x PO x PD

  • Soit de l’impact x par la probabilité d’occurrence, pour une évaluation à 2 dimensions (IRV = I x PO)

  • Cette valeur est appelée IRV (Inherent Risk value).

 

Chaque risque ayant son IRV, il est possible pour l’Entreprise de réaliser une courbe de dispersion qui doit permettre la priorisation :

  • Plus l’IRV est faible plus l’exposition au risque est faible

  • Plus l’IRV est importante plus l’exposition au risque est grande

La logique voudrait que l’organisation se concentre en priorité sur ses plus fortes expositions aux risques. Cependant dans le cas de « quick wins » /gains rapides, l’organisation peut avoir intérêt à se concentrer sur des cas qu’elle peut solutionner rapidement, en utilisant des moyens limités avec un effet de levier important.

 

Toutes les opérations décrites ci-dessus font partie intégrantes de l’étape 2 RAM Risk Assessment Methodology de la « Risk Management Methodology®70 ».

 

Pour plus d'information voir le "Guide du BPM" pages  250 à 261 

Notes

65 Cf. Chapitre 1 – L’Organisation – Schéma O.1

66 GRC pour Gouvernance, Risques et Conformité à ne pas confondre avec Gestion de la Relation Client

67 https://www.icseconsulting.com/training-sessions

68 Cf. §3.4.7 l’Objet ou la vue Risque.

69 FMEA étant une méthodologie créée par le pentagone peut-être faut-il y voir un clin d’œil.

70 RMM Risk Management Methodology a été développée par ICSE sur la base de la norme ISO 31000 - Cf. www.icseconsulting.com/icse-home-page

Copyright ICSE