Dans le cadre d’une gestion efficace des risques, la définition des échelles de cotation est une étape cruciale pour évaluer la gravité potentielle des risques identifiés. Ainsi, une fois que l’établissement du contexte est réalisé, la construction de ces échelles peut s’avérer complexe et nécessite une compréhension approfondie des critères de risque spécifiques à son organisation. Mais alors, comment construire ces échelles ? Comment mesurer un risque ? Et quels avantages les entreprises peuvent-elles en tirer ? Avec l’aide des travaux Jean Le Ray, nos experts répondent à toutes ces questions dans cet article.
Qu’est-ce que les échelles de cotation ?
Les échelles de cotation des risques sont des outils permettant de rendre objective l’évaluation de la criticité d’un risque, qu’il soit positif (opportunité) ou négatif (menace). Elles permettent ainsi de hiérarchiser les risques entre eux en fonction de leur gravité et de leur impact potentiel sur l’entreprise, permettant donc de concentrer les ressources sur la gestion des risques les plus critiques.
Notions de base : vraisemblance, gravité et ampleur
La vraisemblance
La vraisemblance est la variable évaluant la probabilité qu’un événement se produise. Pour définir la vraisemblance d’un risque, il est nécessaire de définir au préalable les critères et les niveaux de vraisemblance auxquels se référer.
Pour vous éclairer, voici un exemple d’échelle de cotation de vraisemblance avec 2 variables :
Dans notre exemple, nous vous montrons que deux niveaux de vraisemblance. En temps normal, nous avons tendance à en sélectionner quatre. L’objectif est ensuite de leur attribuer une signification commune en déterminant les critères que l’on va prendre en compte. Cela permet d’établir une compréhension cohérente lors de l’évaluation des risques.
Dans un référentiel de vraisemblance, le critère temporel est toujours présent. La périodicité annuelle y figure aussi souvent afin d’établir une distinction entre le niveau faible et très faible. En outre, ce critère temporel permet de s’aligner sur la périodicité comptable. Le critère probabiliste est également requis car certains évènements ne peuvent pas toujours être quantifiés dans le temps.
À noter : Si un événement peut avoir plusieurs impacts qui rentrent en compte dans le calcul de la gravité, il ne peut en revanche avoir qu’une seule vraisemblance.
La gravité et l’ampleur
La gravité (dans le cas d’une menace) ou l’ampleur (dans le cas d’une opportunité) évaluent l’importance du ou des impacts potentiels en cas de réalisation du risque. Ces impacts peuvent être de différentes natures (financier, juridique, environnemental…).
Pour déterminer la gravité ou l’ampleur d’un risque, il est nécessaire de définir préalablement les impacts pertinents pour l’organisation, en garantissant que toutes les parties-prenantes en prennent connaissance. Lorsque l’événement se produit, il entraîne une série de conséquences qui, quelle que soit leur nature, finissent invariablement par engendrer soit un affaiblissement ou un renforcement des ressources d’une organisation.
Concernant la gravité du risque, le niveau de la perte financière peut influencer cette dernière. Cependant, il convient de souligner que la gravité d’un risque ne se limite pas uniquement à son impact financier. En effet, un risque peut avoir une gravité financière faible, mais un gros impact réputationnel par exemple. C’est là que rentre en jeux la gestion multi-impact.
Voici des exemples de niveaux de risque qui peuvent être employés :
- Majeur : événement ayant un impact critique, nécessitant une réévaluation stratégique et pouvant remettre en question sa pérennité ou sa croissance.
- Important : perturbation ou opportunité nécessitant des décisions drastiques, telles que l’abandon de projets ou des ajustements majeurs des ressources, conduisant à une adaptation partielle de la stratégie ou à un report des échéances.
- Significatif : dysfonctionnement ou opportunité exigeant des ajustements tactiques et la révision de certains objectifs opérationnels, pouvant entraîner des retards ou des avancées dans la stratégie de l’organisme, sans remise en cause majeure.
- Mineur : difficulté opérationnelle ou opportunité entraînant une légère dégradation ou amélioration des performances, avec des implications financières limitées, sans modification notable des objectifs.
Il faut cependant noter que ces définitions ne seront pas suffisantes pour garantir une compréhension et une interprétation communes à tous. Pour éviter que chaque acteur ne soit influencé par sa propre appétence au risque, il est nécessaire d’introduire des éléments chiffrés, ou du moins suffisamment précis pour éviter toute ambiguïté. Les échelles de cotation ont donc pour finalité de formaliser des données auxquelles toutes les parties prenantes devront se référer. Il s’agit d’une référence commune pour évaluer et traiter les risques de manière objective.
Une fois les impacts et les niveaux de gravité déterminés, vous serez en mesure de construire un tableau d’échelle de cotation de gravité personnalisé, adapté aux risques spécifiques de votre entreprise.
Pour vous aider, voici un exemple d’échelle de cotation de gravité :
Évaluer la criticité d’un risque
L’évaluation d’un risque, qu’il soit une menace ou une opportunité, repose ainsi sur les critères évoqués ci-dessus : la vraisemblance et la gravité / l’ampleur.
Pour mesurer un risque, et plus particulièrement son niveau de criticité, il faut multiplier la vraisemblance par la gravité. Lorsque l’on se retrouve face à plusieurs impacts, il existe différentes manières de calculer la gravité, comme réaliser la moyenne des impacts par exemple. Nous, nous vous conseillons de prendre l’impact le plus important. Ce calcul s’opère également pour déterminer le niveau d’attractivité d’un risque en multipliant la vraisemblance par l’ampleur de l’opportunité. Plus une opportunité est attractive, plus l’organisme doit avoir envie de dépenser de l’énergie et de mobiliser des ressources pour aller la saisir.
Voici un exemple de matrices appliquées :
Une fois la matrice élaborée avec les niveaux de vraisemblance et de gravité, il s’agit désormais de quantifier cette dernière. Pour obtenir un résultat optimal et significatif pour chaque partie de la matrice, nous vous conseillons d’utiliser les indicateurs suivants :
- sur la ligne des ordonnées : 1 – 2 – 4 – 8
- sur la ligne des abscisses : 1 – 4 – 16 – 64
Ici, on s’aperçoit que les indicateurs sont pertinents, car ils valorisent les traitements à gérer en priorité. Ainsi, plus les chiffres sont élevés, plus il sera impératif, voire obligatoire de traiter le risque.
Afin de définir l’action à entreprendre pour gérer le risque (l’accepter, le traiter, le différer), l’organisation va devoir définir sa propre limite d’acceptabilité.
La limite d’acceptabilité
La limite d’acceptabilité est l’une des notions les plus importantes du management du risque. Elle est généralement représentée par une courbe ou par une ligne, et divise la matrice en deux zones distinctes : celle des risques inacceptables ou celle des risques acceptés.
La définition de cette limite d’acceptabilité est cruciale pour prendre des décisions éclairées en matière de gestion des risques. En effet, cette limite permet de trouver un équilibre entre les bénéfices et les coûts, les impacts et les conséquences indésirables liés aux risques identifiés.
Cependant, pour être plus précis et réaliste, il est recommandé de dessiner trois zones sur la matrice des risques :
- La première zone, située en haut à droite, correspond aux risques dits intolérables. C’est-à-dire que ces risques nécessitent une action immédiate,
- La deuxième zone, en bas à gauche, regroupe les risques dits négligeables. Ce sont ceux pour lesquels aucun traitement particulier n’est nécessaire, car ils auront peu d’impact ou peu de probabilité de se produire.
- La troisième zone se situe donc entre les risques intolérables et les risques négligeables. C’est un espace de choix : si l’entreprise dispose des ressources nécessaires, elle peut se concentrer sur la réduction des risques les plus critiques de la zone. Ceci améliora toujours le niveau de vulnérabilité de l’organisme.
La matrice d’évaluation du risque
Une fois la quantification de la vraisemblance et de la gravité définie, ainsi que le niveau d’acceptabilité de chaque cadrant, nous arrivons à la finalisation de la matrice d’évaluation des risques établis. Cela signifie que l’on met en place des “noms” pour chaque cadrant de la matrice afin de les rendre compréhensible pour tous. Chaque organisation est libre de choisir les termes qui lui convient. La quantification de la matrice d’attractivité des opportunités doit suivre le même système que la criticité des menaces.
Les bénéfices des échelles de cotations
En adoptant une approche rigoureuse dans l’évaluation des risques et en utilisant les échelles de cotation appropriées, les entreprises peuvent renforcer leur capacité à anticiper, prévenir et atténuer les impacts négatifs potentiels. Cela contribue à promouvoir un environnement plus sûr, à protéger les intérêts des parties prenantes et à assurer la pérennité des activités de l’entreprise. C’est un véritable outil pour la mise en place d’un management des risques efficace.
Les points d’attention
L’appréhension du risque est très subjective, car l’appétence au risque diffère d’un individu à l’autre. Ce qui est perçu comme majeur pour l’un, pourra être considéré comme parfaitement dérisoire pour l’autre et inversement. C’est pour cela qu’il est indispensable de partager les critères et les impacts choisis à l’ensemble des parties prenantes d’une entreprise, et que ces derniers soient les plus précis possibles afin d’objectiver au maximum l’analyse et gestion des risques.
De plus, l’appréciation du risque est contingente. Cela signifie qu’elle dépend de la santé financière de l’entreprise. Plus une entreprise aura de moyens financiers, plus elle aura de possibilité d’intervenir sur certains risques.
En conclusion, les échelles de cotation des risques sont des outils précieux pour évaluer, classer et prioriser les risques, tout en permettant une prise de décision éclairée et proactive. Leur utilisation judicieuse permet de minimiser les conséquences indésirables, d’améliorer la résilience de l’entreprise et de favoriser la réalisation des objectifs dans un environnement plus certain.
Si vous souhaitez en savoir davantage sur la gestion des risques, nous vous invitons à prendre contact avec nos experts.
Image à la Une : Maxime Lebrun – Unsplash
Livre de Jean Le Ray : De la gestion des risques au management du risque