Évaluation du risque
L'évaluation du risque est un processus de la gestion des risques d'entreprise qui implique la détermination du nombre de risques auxquels une entreprise fait face. Alors que l'évaluation du risque peut se concentrer sur l'évaluation de l'impact négatif qu'engendre l'exposition de l'entreprise à l'incertitude, il permet également d'identifier des opportunités potentielles.
Développer des critères d'évaluation
La première étape du processus d'évaluation du risque consiste à développer un ensemble typique de critères d'évaluation pouvant être utilisés dans les secteurs opérationnels, les entités ou les unités commerciales.
Si la gestion des risques d'entreprise est une activité nouvelle pour votre entreprise ou service, vous pouvez commencer par évaluer le risque en terme de probabilité et d'impact. Une fois que vous avez précisé votre processus d'évaluation et avez une meilleure visibilité du profil de risque de votre entreprise, vous pouvez commencer à évaluer le risque dans des dimensions supplémentaires, comme la vulnérabilité et la vélocité.
Pour plus d'informations sur le développement des critères d'évaluation, consultez la rubrique Configuration des paramètres de notation du risque.
Évaluer le risque inhérent
Le risque inhérent correspond à un calcul qui provient de l'évaluation d'un risque non traité. Il s'agit du risque brut auquel l'entreprise est confrontée si aucun contrôle ou tout autre facteur d'atténuation n'est mis en place.
Comment puis-je évaluer le risque inhérent ?
Vous évaluez le risque inhérent selon un cadre de score de risque défini par votre entreprise.
Évaluer le risque inhérent implique :
- associer des risques aux objectifs stratégiques définis dans la carte Stratégie ;
- évaluer le risque dans tous les secteurs opérationnels au niveau de plusieurs facteurs de score de risque.
Le tableau ci-dessous décrit trois approches que vous pouvez utiliser pour évaluer le risque inhérent :
| Approche | Utile pour... | Informations |
|---|---|---|
| Évaluer de manière collaborative le risque à l'aide d'un atelier du risque | les entreprises désireuses d'échanger et de collaborer sur le score de risque dans la plateforme Diligent One | |
| Évaluer de manière individuelle le risque dans le profil du risque | les entreprises désireuses d'entrer manuellement des données dans leur profil du risque après avoir mené des discussions en-dehors de la plateforme Diligent One | Évaluer le risque inhérent |
| Utiliser des pilotes d'évaluation pour automatiser les évaluations du risque | les entreprises qui veulent automatiser les évaluations de risque et notifier les intervenants clés lorsque des modifications sont apportées | Automatiser les évaluations des risques stratégiques |
Définir le traitement du risque
Le traitement du risque désigne les mesures qu'une entreprise prend pour atténuer le risque. Il peut s'agir d'initiatives, de programmes, de politiques ou d'objectifs de contrôle, que vous pouvez créer dans l'application Projets et lier aux risques stratégiques dans l'application Stratégie.
Comment définir le traitement du risque ?
Une fois que vous évaluez le risque inhérent, vous pouvez définir le traitement du risque. Vous définissez le traitement du risque en liant les objectifs dans l'application Projets aux risques stratégiques dans l'application Stratégie. Ce lien vous permet d'agréger les informations sur l'assurance et les résultats de test de Projets et d'évaluer le risque résiduel dans Stratégie.
Pour plus d’informations, consultez la section Définir le traitement du risque.
Évaluer le risque résiduel
Le risque résiduel est un calcul qui provient de l'évaluation de la valeur du risque restant après la mise en place des contrôles et des autres facteurs d'atténuation. Le risque résiduel est important pour présenter les domaines où se trouve le risque le plus élevé dans l'entreprise afin de pouvoir déployer les ressources en conséquence.
Comment puis-je évaluer le risque résiduel ?
Une fois le risque inhérent évalué et le mode de traitement du risque défini, vous exécutez une évaluation de traitement préliminaire qui indique de combien le traitement réduit le risque. Vous pouvez ainsi identifier les domaines dans lesquels l'activité est exposée au risque au delà de l'appétence au risque de l'entreprise.
Évaluer le risque résiduel implique l'indication d'un pourcentage de traitement afin de définir la valeur selon laquelle le traitement réduit le risque inhérent. Le pourcentage de traitement repose sur l'efficacité prévue des efforts de traitement définis avant que les contrôles ne soient testés pour l'assurance.
Pour connaître les étapes de l'évaluation du risque résidue, consultez la rubrique Évaluer le risque résiduel.
Identification des risques par rapport aux opportunités
Lorsque vous avez terminé l'évaluation de risque inhérent et l'évaluation du traitement préliminaire, vous percevez mieux les domaines de l'entreprise auxquels apporter le plus d'attention. Il se peut que vous vouliez surveiller les risques qui impactent le plus votre entreprise et vous assurer que les traitements sont capable de réduire l'impact du risque de manière efficace.
Quelquefois, l'évaluation du traitement préliminaire montre que vous recherchez trop de ressources pour atténuer le risque (% traitement >= 100%). Dans ce cas, l'évaluation du risque montre les opportunités potentielles pour réduire le montant du traitement pour un risque donné et diminuer les ressources liées au traitement du risque.
