Pour rappel

L’entité élabore collaborativement et met à jour la liste des principaux risques auxquels elle est confrontée à court et moyen terme. Elle en évalue la criticité en termes d’impact et de probabilité. Lorsqu’aucun changement ou événement n’est intervenu, la mise à jour est effectuée périodiquement (au minimum tous les 3 ans).

L’entité met en œuvre les plans d’action, les procédures internes et les contrôles aptes à prévenir les principaux risques identifiés et à en réduire leurs impacts.

La cartographie des risques est le pilier du dispositif d’amélioration continue dans l’association :

  • pas de dispositif de contrôle interne sans cartographie des risques.
  • pas de cartographie efficace sans une mise à jour lorsque nécessaire (en cas d’événement) ou périodiquement.
  • pas d’amélioration continue revue / mise jour de la cartographie des risques...

Les étapes d’élaboration de la cartographie des risques

Une cartographie des risques est idéalement composée des étapes suivantes :

  • Identification et formulation des risques (évènement potentiel défavorable) auxquels l’entité peut être confrontée. Cette étape peut être réalisée en s’appuyant sur une approche process enrichie par les échanges avec les opérationnels de l’organisme.
    Quels sont les processus majeurs de l’organisme, quelles ont les étapes dans le processus, quels sont les acteurs ? Les étapes du processus peuvent-ils générer des risques (saisie d’information à des étapes de la chaine, stockage inadéquat multiple de données...) ?
  • Evaluation de la gravité : classement par niveau de criticité (probabilité d’apparition / en 4 niveaux de probabilité de survenance) × (impact en cas de survenance / en 4 niveaux d’impact).
  • Identification et mise en place de parades pour : diminuer la probabilité d’apparition et/ou réduire l’impact en cas de survenance.
    Identification des responsables de la mise en œuvre des parades.
    Suivi des plans d’action de mise en œuvre des parades.
  • Présentation et validation de la cartographie de risques et des plans d’action dans la gouvernance choisie : par exemple, lors une session d’un Comité de Direction, (ou du Comité de vigilance) puis à l’organe collégial d’administration où sera présenté un bilan périodique des actions mises en place (en priorité sur les risques majeurs). Lorsque validé par les instances de gouvernance, il est présenté au CA.
  • La réalisation et le suivi de la cartographie doivent être confiés à un responsable en charge du projet. Ce dernier s’assure de bien associer les équipes de manière collaborative, veille à assurer la cohérence dans l’évaluation des risques et le niveau de granularité des événements et facteurs de risques. Il a également pour mission de s’assurer du suivi par les personnes en charge des risques et plan d’actions associé. Il rend compte du suivi des plans d’action en Codir et CA a minima 1 fois par an, ou si nécessaire (absence de suivi, nouveaux événements de risques).
    • Pour formuler les risques : est regardé l’événement redouté : la(les) cause(s) de l’événement (confirmation des causes en listant les scénarios possibles / les plus probables de survenance de l'événement) et la(les) conséquence(s) de l’événement sur l’organisme.
    • Pour mettre en œuvre les parades :
      • compréhension des facteurs, événements qui contribuent à la survenance du risque. Il est souvent confondu l’événement par exemple intrusion ou cyber attaque dont la cause est une faille de sécurité, un défaut de mise à jour de patch et la conséquence par exemple une fuite de donnée, un risque de réputation, une pénalité potentielle etc.
      • prévention : réduire la probabilité que l’événement redouté nous impacte et ainsi diminuer la probabilité d’occurrence du risque en diminuant ou supprimant certains des facteurs de risque.
      • atténuation : diminuer les conséquences potentielles de l’événement et ainsi minimiser l’impact de l’événement lorsque l’on ne peut agir sur le facteur de risque lui-même, mais que l’on peut agir sur ses conséquences.

La mise à jour de la cartographie des risques

Elle doit être effectuée :

  • de manière « continue » selon la survenance de différents types d’événements.
  • de manière périodique (typiquement tous les 3 ans a minima) en l’absence d’événements.

Pourquoi revoir la cartographie de manière continue ?

La cartographie est un outil de pilotage des risques de l’organisme, pas un exercice de style à ranger dans les dossiers ! Son utilité est d’accompagner la démarche d’améliorations continue et le dispositif de contrôle de contrôle de l’organisme. C’est aussi un outil à utiliser en accompagnement de la construction ou la mise à jour d’un plan stratégique. On cherchera à évaluer les nouveaux risques induits par un changement de stratégie.

Qu’entend-on par revoir la cartographie ?

C’est revoir l’évaluation de l’événement de risque concerné dans la cartographie et le réévaluer ainsi que les plans d’action associés. Cela n’induit pas une revue exhaustive.

Quels types d’événements peuvent amener à revoir tout ou partie de la cartographie des risques ?

  • Modification du projet associatif, ajout d’une nouvelle activité lucrative ou non. Elle modifie ses parties prenantes concernées (bénéficiaires, usagers...). Cette nouvelle activité, ce nouveau segment de personnes bénéficiaires peut engendrer des risques spécifiques non prévus dans la cartographie actuelle.
  • Perte d’un financeur ou d’un financement majeur (par exemple départ d’un membre fondateur). La cartographie n’avait pas évalué la probabilité de perte à un niveau suffisant jugeant que les financeurs ou les fondateurs étaient engagés auprès de l’association depuis l’origine et ne présentait pas de risque apparent d’arrêt de cet accompagnement. Cet événement amène à se questionner sur la pérennité d’autres financeurs… et de réévaluer la probabilité en conséquence. Un autre plan d’action pour réduire ce risque peut alors être évalué pour sécuriser le financement.
  • Départ imprévu d’une personne clé (président, DG...).
  • Réclamation ou alerte relative à une activité, à un comportement : la réclamation peut formaliser un risque avéré pour la personne émettrice, de même que pour l’alerte peut mettre à jour une situation non prévue générant des risques pour la continuation de l’activité et la réputation de l’association.
  • Survenance d’un incident, d’une erreur imprévue :
    • intrusion informatique non anticipée, perte de données, site inaccessible... peuvent ne pas avoir été anticipés ou leur survenance peut avoir été mal analysée avec une gravité (impact × probabilité) inappropriée.
    • le plan de sécurisation des données avait été décidé. La personne en charge ne l’a pas exécuté (pour une cause d’absence, de maladie, de manque de moyens...) et le suivi des actions relatives à la cartographie des risques n’a pas été réalisé.

Pourquoi revoir la cartographie de manière périodique ?

C’est un outil de pilotage et le revoir c’est aussi le réévaluer collaborativement avec les nouveaux entrants. C’est souvent avec un regard neuf qu’il peut être détecté des incohérences dans les risques remontés ou dont la gravité n’est pas jugée de manière consistante. Et même si cette revue n’amène pas de modification, cela permet de se la réapproprier et de la partager avec le CA qui doit être conscient des risques encourus et des plans d’action décidés.

Le suivi du plan d’actions de la cartographie des risques contribue à sécuriser et solidifier le dispositif

Un suivi régulier du plan d’actions de remédiation et de prévention est nécessaire pour :

  • mettre à jour ce plan compte tenu des changements survenus (modification du projet, nouvelles orientations du plan stratégique...) ;
  • s’assurer que les personnes responsables de ces actions sont bien en charge et les délais sont respectés ou s’ils doivent être modifiés ou décalés ;
  • réviser le plan s’il n’est plus adapté...

Le chef de projet ou le responsable de la cartographie (ou la personne nommée pour ce rôle) est en charge du suivi des plans d’action et de rendre compte au Codir puis au CA.

La fréquence recommandée est de 2 fois/an (ou plus fréquemment si les risques sont jugés majeurs pour la pérennité de l’organisme).

En synthèse

La cartographie des risques est le résultat d’un travail collaboratif et d’intelligence collective. Les plans d’action de remédiation et de prévention sont proposés et validés. Leur réalisation effective est suivie.

Elle est portée par la gouvernance de l’organisme : c’est l’outil de pilotage des risques de l’association. Elle fait l’objet d’une communication et de points réguliers sur l’avancement des plans d’action auprès de la gouvernance dédiée et du CA selon le calendrier choisis.

Auteur

Institut IDEAS pour le Crédit Mutuel