Publié le 25 mars 2019 – 2 min lu
Un plan de gestion des risques est un document écrit qui détaille le processus de gestion des risques de l’organisation. Ce processus commence par la création d’une équipe de parties prenantes à travers l’organisation pour examiner les risques potentiels pour l’organisation. Cette équipe de parties prenantes doit comprendre la direction générale, le responsable de la conformité et tous les responsables de service. Si l’organisation développe des logiciels, alors un chef de projet de chaque équipe de projet devrait également être inclus pour examiner la gestion du projet et répondre aux risques du projet.
Une fois créée, l’équipe peut commencer à travailler sur le processus de gestion des risques.
Définir les objectifs
D’abord, les membres de l’équipe doivent examiner les objectifs commerciaux, tels que le développement de produits ou les partenariats commerciaux avec des tiers. En commençant par les objectifs commerciaux, le processus de gestion des risques s’aligne sur les objectifs actuels ainsi que sur les objectifs futurs.
Identification des risques
La deuxième étape de la création d’un plan de gestion des risques réside dans l’examen des actifs numériques tels que les systèmes, les réseaux, les logiciels, les appareils, les fournisseurs et les données. Le catalogage de ces actifs permet ensuite aux membres de l’équipe d’identifier les risques pour ces actifs. Un risque, ou événement incertain, peut être une condition positive ou négative qui a un impact financier, opérationnel ou de réputation.
Évaluation des risques
Après avoir identifié les risques, l’équipe de gestion des risques doit évaluer le risque. Les risques positifs, comme la livraison anticipée d’un produit, peuvent également entraîner des risques négatifs, comme l’incapacité d’un client à respecter un calendrier de paiement. L’organisation doit prévoir les risques afin de trouver un moyen d’analyser leur impact potentiel.
Analyse des risques
Pour chaque risque identifié et évalué, l’équipe doit examiner la probabilité que l’événement se produise, puis estimer les impacts sur l’entreprise s’il se produit. Multiplier la probabilité par l’impact estimé peut donner un aperçu de l’effet d’un risque. Un risque dont la probabilité est faible entraîne un impact financier dévastateur. En revanche, un risque dont la probabilité est élevée peut n’avoir aucun impact. Une partie de l’analyse quantitative ou qualitative consiste à créer la matrice d’évaluation des risques. Cela permet à l’équipe de gestion des risques d’utiliser l’analyse des risques et d’attribuer des notes telles que élevée, moyenne ou faible.
Tolérance au risque
Après avoir attribué des cotes de risque, l’équipe travaille pour déterminer si elle va accepter, transférer, atténuer ou refuser un risque. L’équipe peut décider d’accepter un risque faible, un événement potentiel qui n’est pas susceptible de se produire et qui aurait peu d’impact s’il se produisait. Cependant, elle peut aussi devoir refuser un risque élevé, un événement potentiel qui a une forte probabilité de se produire et qui aurait un impact important.
Atténuation des risques
Pour les risques acceptés, l’équipe doit créer un ensemble de stratégies d’atténuation des risques. Pour chaque risque qu’une organisation accepte ou transfère, elle doit définir des réponses aux problèmes qui peuvent survenir. En matière de sécurité de l’information, cela signifie définir des contrôles pour protéger les données contre les cybercriminels. Ainsi, les stratégies d’atténuation des risques agissent comme un plan d’urgence au cas où l’événement se produit pour aider à limiter l’impact défini.
Plan de gestion des risques
Le plan de gestion des risques est un document qui contient toutes les considérations d’évaluation, d’analyse, de tolérance et d’atténuation des risques.