Tribunes

De la Gestion Opérationnelle du Risque à la Gestion des Risques Opérationnels

Eviter les risques est impossible, sauf à ne rien faire. Il est donc essentiel de gérer les risques pour éviter l'échec.

Publicité« Si vous voulez aller sur la mer, sans aucun risque de chavirer, alors, n'achetez pas un bateau : achetez une île ! »
Marcel Pagnol (Fanny).

Voilà tout, ou presque, résumé en une courte phrase !

Le risque stratégique tire la croissance

Toute action, toute décision comporte un risque, le risque de gagner ! Est-il à contrario possible de gagner sans prendre de risques ?
Le risque n'est plus un mot 'tabou'. La « prise de risques » tire la croissance, elle est vitale lorsqu'il s'agit de risques « stratégiques » choisis, liés aux orientations de l'entreprise, de ses produits, de son développement. Elle est gouvernée par un subtil équilibre entre appétence et capacité.
La gestion opérationnelle du risque garantit alors contre une prise de risque inconsidérée, une prise de risque au-delà de la capacité à l'assumer. Suivre et réévaluer en permanence chaque risque pour s'assurer qu'il n'engage pas au-delà de la capacité mesurée, mais aussi pour identifier l'appétence résiduelle libérée par un risque 'affaibli' et l'employer au plus vite à de nouvelles prises de risques, c'est là le 'quotidien obligé' de tout système de management de la croissance.

Le risque opérationnel paralyse l'activité

Conduire une action suppose la mise en oeuvre d'outils et de moyens. A leur tour, ces outils, ces moyens sont autant de sources de risques additionnels, notamment du fait de leur manque de fiabilité, par un mauvais usage ou par détournement de leur finalité. Ces risques « opérationnels » ne sont pas choisis mais subits ! Ils ne rapportent rien et peuvent couter très cher. Ils étouffent l'entreprise en paralysant son activité.

Encombrée de ces risques opérationnels, l'action engagée pour accompagner la croissance porte en son sein son propre poison ! C'est de ce paradoxe qu'émerge la nécessaire gestion des risques opérationnels.

Eradication, protection, surveillance, réaction, prévention, transfert, ces mots décrivent par le menu le paysage familier du gestionnaire des risques. Mais si ces risques peuvent, hypothétiquement, coûter très cher, leur traitement, lui, à toujours un coût, et qui peut être très élevé. C'est bien là le second paradoxe : la gestion des risques opérationnels s'accompagne elle-même de nouveaux risques opérationnels, et non des moindre !

Une organisation pour répondre à 3 questions

Gérer les risques opérationnels suppose une organisation et une démarche pragmatique pour répondre à trois questions simples : quoi faire, dans quel ordre, comment en vérifier l'efficience ?

Comme pour toute démarche permanente, notamment en matière de qualité, d'environnement et de sécurité, l'organisation repose sur un système de management, en charge de l'animation de la démarche, du suivi des actions et du pilotage des choix et les renoncements, associé à des acteurs de terrain qui identifient les risques, participent à leur appréciation et conçoivent des actions priorisées de prévention, de protection, d'éradication ou de transfert.

PublicitéCertains organismes sont soumis à des contraintes réglementaires ou légales qui leur imposent un inventaire quasi complet des risques opérationnels identifiables... ceux-là opteront pour une approche méthodique détaillée comme en proposent notamment EBIOS, ISO 27005 ou MEHARI.

D'autres, qui n'ont pas ces contraintes réglementaires ou légales, verront dans ces méthodes une analyse complexe, trop lourde et trop couteuse : traiter le dixième des risques qu'elles identifient est un seuil déjà hors de portée d'une majorité d'entreprises, qui leur préfèrent une démarche simple, rapide et pragmatique.

« Pragmatisme », le mot est lâché ! Le 'possible' n'a d'intérêt que s'il est 'probable', et le 'probable' n'est étudié que s'il s'est déjà produit quelque part et que ses effets sont couteux à court terme !

Voilà pourquoi de plus en plus d'entreprises se tournent aujourd'hui vers un des enseignements de « l'oncle Sam » : l'analyse de l'impact sur l'activité est plus utile à la gestion d'un risque opérationnel que la mesure intrinsèque de sa criticité.

Article rédigé par

Thierry Durand, Responsable du pôle Audit et Conseil de NES

Thierry Durand, Président et Fondateur de la société de conseil Phorcys, Ingénieur diplômé de l'ESME‐Sudria, bénéficie de plus de 30 ans d'expérience de responsabilités professionnelles au sein d'entreprises majeures ( Chrysler France, Sogédac, Automobiles Peugeot, Automobiles Citroën, PSA, PCA ...), dont 25 années dédiées à la sécurité des systèmes d'information, la gestion du risque, et la gouvernance d'entreprise au travers du management du risque.
Thierry a su y développer une capacité d'adaptation et de communication dans le cadre de cultures d'entreprises diversifiées, françaises et internationales.
Le management du pôle « Audit et Conseil » de NES offre à Thierry la chance de mettre son expérience, sans cesse renouvelée, au service de ses clients.
Reconnu par ses pairs, Thierry a reçu en 2006 et en 2007 la distinction de l'intervenant Net Focus le plus apprécié parmi les meilleurs experts français de la Gestion des Identités et des Accès (IAM).
Il est membre du « club EBIOS » piloté par les services du premier ministre (SGDN/ANSSI) et chargé de développer et de promouvoir la méthodologie d'analyse des risques du même nom. Il est également membre du « Cercle Européen de la sécurité des systèmes d'information » et membre du « Computer Security Institute » (New York et Los Angeles).
Thierry a participé à la rédaction d'ouvrages présentant la « cyber criminalité » et publie
régulièrement des articles au sein des revues « Global Security Magazine », « Journal du Net - Solutions sécurité », « 01 Sécurité », « Solutions Logicielles »...
Les certifications ISO27001 «lead auditor» et ISO27001 «responsable d'implémentation» par LSTI, l'enregistrement en tant qu'expert auprès du «Seventh Research Framework Programme» de la Commission Européenne, consacrent sa recherche permanente de l'efficacité et de l'excellence.