L’analyse des risques est un processus consistant en la prise en compte des éléments, actions ou processus, et l’évaluation de la gravité et de l’occurrence des risques et menaces auxquels ces éléments, actions et processus sont soumis afin de pouvoir les anticiper et d’apporter, le cas échéant, les mesures préventives ou curatives.

Différentes méthodes peuvent entrer en compte dans l’analyse des risques.

Méthode déductive : (principe du diagramme d’Ishikawa) cette méthode permet de déterminer la ou les combinaisons des causes (défaillances, défauts fautes,…) et impacts concernant une problématique avérée et un évènement qui a eu lieu. On s’évertue en somme à remonter le courant ayant conduit au problème.

Qualite-diagramme-causes-effets-ishikawa

Méthode inductive : elle servira à faire une étude préliminaire de l’hypothèse et de l’impact d’un risque prévisible afin de prendre les mesures en amont pour diminuer ou supprimer l’importance de ce risque.

Diverses méthodes peuvent être citées : analyse préliminaire des risques, analyse des modes de défaillance et de leurs effets et criticité (AMDEC), la méthode organisée systémique d’analyse des risques (MOSAR) par exemple.

L’analyse des risques devra se faire suivant plusieurs axes. On utilise communément la matrice COSO dédiée au contrôle interne (Committee of Sponsoring Organizations of the Treadway Commission), afin de balayer de manière exhaustive les différents services et processus de l’entreprise.

matrice_coso

La détermination des risques résulte des tâches à accomplir au sein des différents processus cités, prenant en compte les éventuels dysfonctionnements pouvant survenir au sein de chacun d’entre eux.

Alsaperfo_elements d un fichier risques

Cette analyse donne lieu à une cartographie avec lisibilité et visibilité globale. Les divers risques seront ainsi reportés sur un diagramme de criticité (ou diagramme de Farmer).

Alsaperfo_Diagramme farmer

Cette situation est, par essence, évolutive. Certains des risques seront maîtrisés par la formalisation d’actions correctrices, et d’autre évolueront par une modification de l’occurrence par exemple, ce qui pondèrera le risque initialement évalué.

Il est à souligner que les risques évalués initialement sont les risques bruts. Lors des actions de contrôle et d’élaboration d’actions correctrices, il sera déterminé l’efficacité des actions entreprises. Ces dernières seront évaluées et mèneront, après l’attribution d’un coefficient à l’établissement des risques résiduels nets.

Si, après le nouveau calcul, le risque résiduel net se trouvait au-dessus d’une limite établie au préalable, des actions en profondeur et spécifiques devront être étudiées.

Dans le domaine du management des risques, la norme ISO 31000 est dévolue à la tâche.