top of page

Risk Management ou la Maitrise des Risques

DEMO+ Risk Management

Le "Diagnostic d'Evaluation de la Maturité de l'Organisation"  basé sur la norme ISO 31000 intègre tous les éléments du standard dans son référentiel sur la "Maitrise des Risques".

Extrait du Diagnostic DEMO+ RISK MANAGEMENT uploader sur la plateforme DATAMENSIO:

  • 4 Thèmes 

  • 10 Sujets​​

  • 147 Questions

Capture d’écran 2026-02-03 081922.png

« Plus faibles sont les risques, meilleure est l'entreprise. » -

Sophocle

Préambule

L’objet de cette partie n’est pas de faire une revue exhaustive de la GRC (Gouvernance Risque et Conformité). C’est un livre entier qu’il faudrait y consacrer. Nous souhaitons juste démontrer que, selon nous, la relation BPOM Business Process & Organization Management et la maitrise des risques est une relation indissociable: 

  • Priver le BPOM de l’analyse des risques, c’est le priver de l’un ses apports fondamentaux, notamment dans le cadre de sa recherche de l’amélioration continue.

  • Priver les risques de la relation avec les processus, c’est se priver d’un effet de levier notoire dans la maitrise de ces mêmes risques et l’identification des contrôles chargés dans minimiser les conséquences prévisionnelles.

Cette relation si elle parait évidente par son énoncée, ne se traduit pas dans les outils mis à la disposition des entreprises. La plupart d’entre eux traitent en effet, soit du management des risques, soit du BPOM et les passerelles pour faire dialoguer ces outils entre eux, sont insuffisantes et/ou lourdes à gérer, même à l’intérieur d’une suite chez un même éditeur.

  • La dimension risque et par conséquent des contrôles mis en place, est ainsi incomplète dans les outils BPOM,

  • La dimension processus dans les outils de maitrise des risques ne permet pas d’avoir les liaisons avec les rôles, les applicatifs les indicateurs et recréent des silos que le BPOM Business Process & Organization Management voulait éradiquer.

  • Les modifications des processus à la suite d’une évaluation des risques et la conduite du changement qu’elle induit ne sont alors pas ou très insuffisamment prise en compte dans le référentiel des processus si les passerelles ne sont pas correctement établies,

  • La préséance du référentiel des processus sur le référentiel des risques ou inversement, est toujours l’objet d’un vaste débat. Pour notre part nous considérons que tout étant processus et comme le processus est au centre de tout, le général doit l’emporter sur le particulier.

Seuls quelques « providers - fournisseurs » offrent par le biais de modules, des solutions complètes qui permettent cette parfaite adéquation entre la maitrise des risques et des contrôles et le BPOM ou management par les processus. C’est bien évidemment un élément dont il faudra tenir compte quand vous aurez à faire le choix de la solution ou des solutions !

La relation BPOM et maitrise des risques et donc pour nous un élément clé pour le management par les processus et ce quel que soit la nature du risque, qu’il soit stratégique, opérationnel ou catastrophique (lié aux aléas climatiques, cyber attaques, incendie et plus généralement tous les sujets qui entrainent des plans de secours ou des plans de continuité – DRP Disaster recovery plan dans le but d’atteindre la résilience c’est-à-dire le niveau de satisfaction client du business as usual).

2020-02-26_12h17_38.png

“The lower the risks, the better the company .” 

Sophocles

Preamble

The purpose of this section is not to provide an exhaustive review of GRC (Governance, Risk, and Compliance). That would require an entire book. Our sole objective here is to demonstrate that, in our view, the relationship between BPOM (Business Process & Organization Management) and risk management is inseparable.

  • Depriving BPOM of risk analysis means depriving it of one of its fundamental contributions, particularly in the context of its pursuit of continuous improvement.

  • Depriving risk management of its relationship with processes means foregoing a powerful lever for controlling those same risks and for identifying the controls designed to minimize their foreseeable consequences.

 

Although this relationship may seem obvious in theory, it is not reflected in the tools made available to organizations. Most tools address either risk management or BPOM, and the bridges that allow these tools to communicate with one another are insufficient and/or cumbersome to manage—even within a single software suite from the same vendor.

  • As a result, the risk dimension, and consequently the associated controls, is incomplete in BPOM tools.

  • Conversely, the process dimension in risk management tools does not make it possible to establish links with roles, applications, and indicators, thereby recreating silos that BPOM (Business Process & Organization Management) originally aimed to eliminate.

  • Changes to processes following a risk assessment, and the change management they entail, are therefore not—or only very insufficiently—taken into account in the process repository when the interfaces between tools are not properly established.

  • The question of whether the process repository should take precedence over the risk repository, or vice versa, is still the subject of extensive debate. For our part, since everything is a process and since the process lies at the heart of everything, we believe that the general should prevail over the particular.

 

Only a few providers offer, through modular solutions, truly comprehensive approaches that ensure full alignment between risk and control management and BPOM, or process-based management. This is, of course, a key factor to consider when choosing a solution—or set of solutions.

The relationship between BPOM and risk management is therefore, in our view, a key element of process-based management, regardless of the nature of the risk—whether strategic, operational, or catastrophic (related to climate hazards, cyberattacks, fires, and more generally all issues that trigger contingency plans or business continuity plans, such as DRP – Disaster Recovery Plans), with the ultimate goal of achieving resilience, that is, maintaining customer satisfaction under business-as-usual conditions.

as usual).

american-flag-2a.jpg
2020-02-26_16h23_27.png
R4.png
R5.png
R6.png

Le Management des risques – la norme ISO 31000

« Les grandes actions sont habituellement accomplies avec de grands risques. »

Hérodote, 484 avant JC.

 

Les risques sont une partie intégrante de l’activité de l’Entreprise. Ils sont la conséquence de ses choix stratégiques. Comme il n’y pas de risque « Zéro », L’Entreprise doit apprendre à gérer ses risques pour en minimiser les effets, ce qui veut dire que les risques doivent être identifiés, évalués (en termes d’impact, de probabilité d’occurrence et de probabilité de détection), minimiser (par la mise en place de contre-mesures – les contrôles), et ils doivent être revus en permanence. C’est le management des risques.

Bien entendu, les risques augmentent si les choix stratégiques conduisent l’entreprise à se réorganiser, ce qu’elle fait et doit faire en permanence, pour faire face aux nouveautés technologiques, à la concurrence des pays émergents qui produisent des produits similaires, ou sont à même de proposer les mêmes services à des coûts bien moindres. 

L’agilité et l’adaptabilité si elles sont nécessaires, génèrent comme le revers d’une médaille, leur dose d’incertitude. De plus les volumes de données collectées, traitées et conservées constituent une exposition supplémentaire aux risques, mais ouvrent aussi la porte à des opportunités qu’il faut savoir entrevoir et saisir.

En d’autres termes le Management des risques permet notamment :

  • De mettre en place des mesures de protection auxquelles l’Entreprise doit recourir pour protéger son activité.

  • De se concentrer sur les risques qui pourraient réellement affecter le devenir de l’Entreprise,  en permettant leur évaluation et leur priorisation.

Le management des risques fait lui-même partie d’un ensemble plus vaste appeler GRC (66) :

  • La réalisation fiable des objectifs c’est la GOUVERNANCE,

  • La compréhension et la gestion de l’incertitude dans le contexte de l’atteinte des objectifs opérationnels est la GESTION DES RISQUES

  • Et, agir avec intégrité est la CONFORMITE.

 

Evaluation des Risques – FMEA (Failure Modes & Effects Analysis)

Selon la méthodologie FMEA (Failure Modes and Effects Analysis /AMDEC) couramment utilisée en Lean6sigma Un risque est la combinaison :

  • De son importance ou de son impact (incidence ou gravité),

  • De la probabilité d’incidence (aussi appelée probabilité d’occurrence ou de survenance)

  • Et de la probabilité de détection c’est-à-dire de pouvoir détecter l’incidence ou l’occurrence du risque avant que celui-ci ne se produise pour en minimiser les effets. 

 Il existe plusieurs méthodologies de management des risques. Les plus connues sont l’ERM Enterprise Risk Management ou COSO 2. L’autre est décrite par la norme ISO 31000 qui vient de faire l’objet en 2018 d’une mise à jour venant préciser certains points de la version originale de 2009.

 

A partir de la norme ISO 31000, nous avons construit une méthodologie de management des risques (RMM® Risk Management Methodology) (67). Nous nous contenterons dans cet ouvrage de vous présenter les principales phases de cette méthodologie (Cf. schéma M36), et de vous indiquer à quelles techniques et/ou méthodologie elles font appel :

 

  • RMC - Risk Management Context - C’est l’analyse du contexte du référentiel des processus et ce quel que soit la catégorie des risques (Stratégiques – analyse des processus « TO BE », Opérationnels – Base d’incidents ou catastrophiques),

  • RAM – Risk Assessment Methodology – Evaluation des Risques - FMEA Failure Mode & Effect Analysis est une méthodologie qui permet entre autres d’effectuer une priorisation des risques, grâce à un système d’évaluation qui facilite leur dispersion et donc leur degré de criticité pour l’organisation,

  • RMP – Risk Management Process – Exposition aux risques et le degré de tolérance de l’entreprise par catégorie ou type de risque (Beaucoup de publication parlent d’appétence aux risques. Selon nous, aucune entreprise ne peut avoir appétence à s’exposer à des risques) – FMEA,

  • RMOP – Risk Monitoring process - C’est le suivi des mesures mise en place pour minimiser l’impact des risques - FMEA

Evaluation des Risques – FMEA (Failure Modes & Effects Analysis)

Selon la méthodologie FMEA utilisée en Lean 6Sigma, l’analyse des risques se fait à partir de trois dimensions / critères (68) qui sont :

  • Impact / Severity / Significance sont les mots anglo-saxons pour définir cette première dimension. C’est l’impact qu’aura le risque sur l’organisation, si celui-ci se produit.

  • Probabilité d’occurrence ou de Survenance : Cette deuxième dimension traite de la probabilité ou de la possibilité que le risque se produise.

  • Probabilité de détection : Cette troisième dimension traite de la capacité de l’organisation à déceler les éléments, les signes ou les symptômes avant-coureurs que le risque va se produire.

    • Cette troisième dimension est cruciale dans l’analyse du risque. Elle traduit la capacité de l’organisation à mettre en place des éléments d’anticipation, d’alerte ou des analyses récurrentes pour détecter les risques avant qu’ils ne se produisent pour en annihiler ou pour le moins en juguler les effets (mesures d’analyse et de contrôle).

    • Prenons l’exemple d’une Cyber attaque :

      1. La probabilité d’occurrence ou de survenance est grande.

      2. L’impact peut être dévastateur pour l’organisation

      3. Quelles sont les mesures mises en place pour la détecter si elle survient, sont-elles efficaces etc.

      4. L’analyse de ce risque particulier sera donc différente selon, que des mesures existent, qu’elles sont testées régulièrement et que la preuve de leur efficacité a été avérée. Ce qui peut ne pas apparaitre clairement dans les analyses de risque ou cette dimension n’est pas mise en exergue.

Rappel : La méthodologie FMEA est purement une affaire de jugement. Cette analyse doit donc être non seulement conduite par des experts du risque, mais aussi par les experts métiers seuls à même d’évaluer de manière holistique, les conséquences sur l’ensemble de l’organisation, si le risque se produit.

 

Analyse des risques simplifiées

Analyse à deux dimensions

La plupart des analyses de risques utilisent une version simplifiée, se basant uniquement sur les deux premières dimensions arguant, que la probabilité de détection est implicitement contenue dans les deux autres dimensions.

Il est bien sûr évident qu’une analyse de risque à trois dimensions est plus complexe à mettre en place qu’une analyse à deux dimensions. 

Si la probabilité de détection peut effectivement être couverte dans l’analyse d’impact et de la probabilité de survenance, on peut alors se contenter d’une analyse à deux dimensions.

Cette simplification une fois acquise, nous pouvons craindre qu’au fur et à mesure du temps, que la probabilité de détection ne soit plus ou insuffisamment prise en compte. Cela peut avoir à termes, dans l’évaluation des risques, une incidence sur la dispersion des risques et donc sur leur priorisation.

 

Analyse des risques des systèmes d’informations

Dans l’analyse des risques des systèmes d’informations, l’analyse de l’impact se subdivise en trois sous-dimensions regroupées sous l’acronyme CIA(69) :

  • Confidentiality - Confidentialité

  • Integrity - Intégrité

  • Availability - Disponibilité.

Le tableau ci-dessous reprend l’analyse à deux dimensions Impact et probabilité d’occurrence ou de survenance.

A la différence d’une analyse classique, l’impact est analysé préalablement sous ces 3 sous-dimensions, ce qui ne modifie en rien le principe du calcul de la valeur du risque initial ou IRV (Inherent Risk Value).

 

Analyse de la dispersion et priorisation

IRV - la notion d'Inherent Risk Value

Une fois l’évaluation des risques effectuée, chaque risque se voit attribuer une valeur qui est le produit :

  • Soit de l’impact x par la probabilité d’occurrence x probabilité de détection pour une évaluation à 3 dimensions => IRV = I x PO x PD

  • Soit de l’impact x par la probabilité d’occurrence, pour une évaluation à 2 dimensions (IRV = I x PO)

  • Cette valeur est appelée IRV (Inherent Risk value).

Chaque risque ayant son IRV, il est possible pour l’Entreprise de réaliser une courbe de dispersion qui doit permettre la priorisation :

  • Plus l’IRV est faible plus l’exposition au risque est faible

  • Plus l’IRV est importante plus l’exposition au risque est grande

La logique voudrait que l’organisation se concentre en priorité sur ses plus fortes expositions aux risques. Cependant dans le cas de « quick wins » /gains rapides, l’organisation peut avoir intérêt à se concentrer sur des cas qu’elle peut solutionner rapidement, en utilisant des moyens limités avec un effet de levier important.

Toutes les opérations décrites ci-dessus font partie intégrantes de "l’étape 2 RAM Risk Assessment Methodology" de la « Risk Management Methodology ».

 

Pour plus d'information voir le "Guide du BPM"

pages  250 à 261 ​​

Risk Management – ISO 31000 Standard

“Great actions are usually carried out with great risks.”
Herodotus, 484 BC

 

 

 

Risks are an integral part of an organization’s activities. They are the consequence of its strategic choices. As there is no such thing as “zero risk,” organizations must learn to manage risks in order to minimize their effects. This means that risks must be identified, assessed (in terms of impact, probability of occurrence, and probability of detection), mitigated (through the implementation of countermeasures or controls), and continuously reviewed. This is what risk management is about.

Naturally, risks increase when strategic choices lead the organization to reorganize—something it does, and must do, continuously—in order to cope with technological innovation, competition from emerging countries producing similar products, or offering comparable services at significantly lower costs.

Agility and adaptability, while necessary, generate—as the other side of the coin—their share of uncertainty. Moreover, the volumes of data collected, processed, and stored constitute additional exposure to risk, while at the same time opening the door to opportunities that must be identified and seized.

In other words, Risk Management makes it possible in particular:

  • To implement protective measures that the organization must rely on to safeguard its activities.

  • To focus on risks that could genuinely affect the organization’s future, by enabling their assessment and prioritization.

 

Risk management itself is part of a broader framework known as GRC⁶⁶:

  • The reliable achievement of objectives is Governance,

  • Understanding and managing uncertainty in the context of achieving operational objectives is Risk Management,

  • Acting with integrity is Compliance.

 

Risk Assessment – FMEA (Failure Modes & Effects Analysis)

According to the FMEA (Failure Modes and Effects Analysis / AMDEC) methodology, commonly used in Lean Six Sigma, a risk is the combination of:

  • Its importance or impact (severity),

  • The probability of occurrence,

  • And the probability of detection, i.e., the ability to detect the occurrence or impact of the risk before it materializes, in order to minimize its effects.

 

Several risk management methodologies exist. The most well-known are ERM (Enterprise Risk Management) and COSO II. Another is described by the ISO 31000 standard, which was updated in 2018 to clarify certain aspects of the original 2009 version.

 

Based on ISO 31000, we have developed a **Risk Management Methodology (RMM®)**⁶⁷. In this book, we will limit ourselves to presenting the main phases of this methodology (see diagram M36) and indicating the techniques and/or methodologies on which they rely:

  • RMC – Risk Management Context: analysis of the process repository context, regardless of the category of risk (strategic – “TO BE” process analysis; operational – incident databases; catastrophic risks),

  • RAM – Risk Assessment Methodology: risk assessment using FMEA, which among other things enables risk prioritization through an evaluation system that highlights risk dispersion and, therefore, criticality for the organization,

  • RMP – Risk Management Process: exposure to risks and the organization’s tolerance level by category or type of risk (many publications refer to “risk appetite”; in our view, no organization can truly have an appetite for exposure to risk) – FMEA,

  • RMOP – Risk Monitoring Process: monitoring the measures implemented to reduce the impact of risks – FMEA.

 

 

 

Risk Analysis – FMEA ( Failure Mode & Effect Analysis)

According to the FMEA methodology used in Lean Six Sigma, risk analysis is based on three dimensions / criteria⁶⁸:

  • Impact / Severity / Significance: the impact the risk would have on the organization if it were to occur,

  • Probability of occurrence: the likelihood that the risk will materialize,

  • Probability of detection: the organization’s ability to identify elements, signs, or early warning signals indicating that the risk is about to occur. 

    • This third dimension is crucial in risk analysis. It reflects the organization’s ability to implement anticipation mechanisms, alerts, or recurring analyses to detect risks before they materialize, in order to eliminate—or at least mitigate—their effects (analysis and control measures). 

    • Let us take the example of a cyberattack:

      • The probability of occurrence is high,

      • The impact can be devastating for the organization,

      • What measures are in place to detect it if it occurs? Are they effective? 

      • The analysis of this specific risk will therefore differ depending on whether detection measures exist, whether they are regularly tested, and whether their effectiveness has been proven. This aspect may not clearly appear in risk analyses where this dimension is not explicitly highlighted.

 

Reminder: FMEA is fundamentally a matter of judgment. Risk analysis must therefore be conducted not only by risk experts, but also by business experts, who are the only ones capable of holistically assessing the consequences for the entire organization should the risk materialize.

 

 

Simplified Risk Analysis

Two-Dimensional Analysis

 

Most risk analyses use a simplified version based solely on the first two dimensions, arguing that the probability of detection is implicitly included in them.

It is, of course, obvious that a three-dimensional risk analysis is more complex to implement than a two-dimensional one.

If the probability of detection can effectively be covered within the analysis of impact and probability of occurrence, then a two-dimensional analysis may be sufficient.

However, once this simplification is adopted, there is a risk that over time the probability of detection will no longer—or insufficiently—be taken into account. In the long term, this may affect risk dispersion and therefore risk prioritization.

 

 

Information Systems Risk Analysis

In information systems risk analysis, impact is subdivided into three sub-dimensions grouped under the CIA⁶⁹ acronym:

  • Confidentiality,

  • Integrity,

  • Availability.

 

The table alongside illustrates a two-dimensional analysis based on impact and probability of occurrence.

Unlike a traditional analysis, impact is first analyzed through these three sub-dimensions, without changing the principle of calculating the Initial Risk Value, or IRV (Inherent Risk Value).

 

Dispersion Analysis and Prioritization

IRV – Inherent Risk Value Concept

Once risks have been assessed, each risk is assigned a value calculated as:

  • Impact × Probability of Occurrence × Probability of Detection for a three-dimensional assessment
    → IRV = I × PO × PD,

  • Or Impact × Probability of Occurrence for a two-dimensional assessment
    → IRV = I × PO.

This value is called the IRV (Inherent Risk Value).

Once each risk has an IRV, the organization can produce a dispersion curve to enable prioritization:

  • The lower the IRV, the lower the risk exposure,

  • The higher the IRV, the greater the risk exposure.

Logic suggests that the organization should primarily focus on its highest risk exposures. However, in the case of quick wins, it may be beneficial to focus on issues that can be resolved rapidly, using limited resources with a strong leverage effect.

All the operations described above are an integral part of Step 2 – RAM (Risk Assessment Methodology) of the Risk Management Methodology.

 

For further information, see the “BPM Guide”,

pages 250 to 261.

2020-05-13_08h37_33.png

© 2024  ICSE  - Internal Control Structure Evaluation

Copyright ICSE

bottom of page