COMMENT BIEN DÉFINIR LA MATRICE DES RISQUES DE SON ENTREPRISE ?
La gestion des risques dans les organisations devient aujourd’hui de plus en plus naturel et nécessaire. Lors de la mise en place d’une gestion des risques documentée, la question se pose de déterminer la méthodologie d’analyse des risques la mieux adaptée à son entreprise et en particulier la question de savoir quelle matrice utiliser. Cet article vous propose quelques pistes de réflexions, de questions à se poser et quelques bonnes pratiques.
La qualité de la gestion des risques est un élément fondamental de la performance et de l’efficacité d’une organisation. Dès lors, bien choisir sa matrice des risques permettra d’assurer une gestion de qualité des risques de votre entreprise. Il existe des normes d’aide à la gestion des risques telles que la norme ISO 31000.
Vous pouvez utiliser des exemples de matrices existantes (exemple matrice SUVA) ou définir votre matrice des risques personnalisée pour votre organisation.
Les dimensions de la matrice :
Il existe de nombreuses dimensions possibles pour les matrices de risques. On trouve généralement des matrices de dimension 5 x 5, mais également 6 x 6. Il existe également des matrices non symétriques, par exemple de dimension 6 x 4.
Plus la matrice aura des grandes dimensions, plus votre analyse des risques sera fine. Les matrices de grandes dimensions (par exemple 10 x 10) vont nécessiter d’être plus précis dans l’évaluation, et éventuellement d’avoir des sous-critères d’évaluation plus fins.
La définition des zones ou niveaux de risque :
Il s’agit du nombre de couleurs de la matrice. Le nombre de zones de risques est en général de 3 ou 4 : élevé (souvent rouge), moyen (souvent orange), faible (souvent vert ). Plus vous définissez de zones de risques, plus fine sera la priorisation de vos risques. Un point important est la définition de la zone de risque la plus élevée car elle définit la zone de non acceptation du risque.
Attention à la quantification des seuils !
Il est essentiel que les échelles d’évaluation de la probabilité et de l’impact soient quantifiés, c’est-à-dire d’avoir une échelle objective (avec des seuils clairement chiffrés) afin que l’évaluation des risques soit aussi objective que possible, qu’elle varie le moins possible d’une personne à l’autre et qu’elle soit traçable dans le temps. (c’est-à-dire de pouvoir retrouver pourquoi vos aviez mis cette valeur à ce moment-là)
Une seule matrice ou plusieurs matrices ?
L’avantage d’utiliser une seule matrice pour tous les risques de votre organisation est de pouvoir les comparer facilement entre eux et ainsi avoir une vision d’ensemble. Toutefois, dans certains cas, l’utilisation de matrices spécifiques par métier (par exemple pour la sécurité au travail) permet de faire des analyses spécifiques.
Nous sommes à votre disposition si vous avez besoin d’un appui pour mettre en place ou améliorer votre système de gestion des risques, pour intégrer votre système de contrôle interne avec votre système de management de la sécurité, d’améliorer la gouvernance de votre système de contrôle interne.
SIRIS+ est notamment le logiciel GRC (governance-risk-compliance) adapté pour toutes les tailles d’entreprise, petites entreprises, PME et grandes entreprises qui souhaitent gérer de façon numérique, digitale, intégrée leur système de management (risques, processus, améliorations, audits internes, conformité réglementaire) de A à Z.
Dans SIRIS+ vous pouvez paramétrer vos matrices comme vous le souhaitez.
Nous échangeons volontiers à ce sujet avec vous. Vous pouvez nous contacter au moyen du formulaire ci-dessous :
