Organigramme d'évaluation des risques : identifier et atténuer les risques métier
Apprenez à créer un organigramme d'évaluation des risques qui identifie, analyse et atténue les risques métier. Inclut des modèles pour les risques informatiques, financiers et de projet.
Chaque entreprise fait face à des risques — défaillances opérationnelles, pertes financières, violations de conformité, cyberattaques. Les organisations qui gèrent bien les risques ne sont pas celles qui évitent l'incertitude ; ce sont celles qui ont un processus systématique pour les identifier et y répondre. Un organigramme d'évaluation des risques transforme ce processus en quelque chose de reproductible, auditable et transmissible.
Ce guide explique comment créer un organigramme complet d'évaluation des risques, de l'identification initiale à la surveillance et à la révision. Il couvre les principales catégories de risques, les critères de décision à chaque étape, et des exemples spécifiques à l'industrie que vous pouvez adapter immédiatement.
Ce que fait un organigramme d'évaluation des risques
Un organigramme d'évaluation des risques documente le processus de votre organisation pour évaluer les menaces potentielles et décider de la marche à suivre. Contrairement à un registre des risques statique ou une feuille de calcul, un organigramme rend la logique de décision explicite — qui fait quoi, dans quelles conditions et ce qui se passe ensuite.
La valeur est dans le processus, pas seulement dans le résultat :
- Les nouveaux membres d'équipe suivent les mêmes étapes que les vétérans
- Les auditeurs peuvent voir qu'un processus défini existe et est suivi
- Les lacunes de couverture deviennent visibles lorsqu'aucune étape ne gère un scénario particulier
- Traitement cohérent entre les départements et types de risques
Le cadre fondamental d'évaluation des risques
La plupart des cadres de risques suivent la même structure générale, quel que soit le secteur ou le type de risque :
┌──────────────┐
│ Identifier │
│ le risque │
└──────┬───────┘
│
▼
┌──────────────┐
│ Analyser │
│ Probabilité │
│ et Impact │
└──────┬───────┘
│
▼
┌──────────────┐
│ Évaluer │
│ le niveau │
│ de risque │
└──────┬───────┘
│
▼
┌──────────────────────────────────────────────────────┐
│ Traiter : Accepter / Atténuer / Transférer / Éviter│
└──────┬───────────────────────────────────────────────┘
│
▼
┌──────────────┐
│ Mettre en │
│ œuvre les │
│ contrôles │
└──────┬───────┘
│
▼
┌──────────────┐
│ Surveiller │
│ et réviser │
└──────────────┘
Chaque étape a sa propre logique de décision, et le processus se boucle — la surveillance alimente de nouvelles informations dans le prochain cycle d'identification.
Étape 1 : Identification des risques
La première étape consiste à faire remonter les risques potentiels avant qu'ils se matérialisent. Cette étape répond à : qu'est-ce qui pourrait mal tourner ?
Sources courantes d'identification des risques :
- Incidents historiques — Qu'est-ce qui a mal tourné par le passé, en interne ou dans des organisations similaires ?
- Cartographie des processus — Parcourez chaque processus métier et demandez où des défaillances pourraient survenir
- Entretiens d'experts — Les chefs de département et le personnel de première ligne connaissent souvent les risques qui n'apparaissent pas dans les rapports
- Sources externes — Rapports sectoriels, orientations réglementaires, flux de renseignements sur les menaces
- Événements de changement — Nouveaux systèmes, acquisitions, changements de marché, changements réglementaires
Le résultat de cette étape est une liste de risques bruts. À ce stade, aucun filtrage ne se produit — capturez tout avant d'évaluer.
┌─────────────────────┐
│ Déclencheur : │
│ Nouveau risque │
│ identifié │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Est-ce une variante│
│ d'un risque connu ?│
└──────────┬──────────┘
│
┌──────┴──────┐
Oui Non
│ │
▼ ▼
┌───────────┐ ┌───────────────┐
│ Mettre à │ │ Créer un │
│ jour le │ │ nouvel │
│ dossier │ │ enregistrement│
└───────────┘ └───────┬───────┘
│
▼
┌────────────────┐
│ Attribuer un │
│ propriétaire │
└────────┬───────┘
│
▼
┌────────────────┐
│ Passer à │
│ l'analyse │
└────────────────┘
Chaque risque identifié doit avoir un propriétaire — une personne nommée responsable du suivi et de la réponse.
Étape 2 : Analyse des risques
L'analyse quantifie le risque selon deux dimensions : la probabilité (quelle est la probabilité que cela se produise ?) et l'impact (à quel point ce serait grave si cela se produisait ?).
Matrice Probabilité x Impact
| Impact \ Probabilité | Rare (1) | Peu probable (2) | Possible (3) | Probable (4) | Presque certain (5) |
|---|---|---|---|---|---|
| Catastrophique (5) | 5 | 10 | 15 | 20 | 25 |
| Majeur (4) | 4 | 8 | 12 | 16 | 20 |
| Modéré (3) | 3 | 6 | 9 | 12 | 15 |
| Mineur (2) | 2 | 4 | 6 | 8 | 10 |
| Négligeable (1) | 1 | 2 | 3 | 4 | 5 |
Score = Probabilité x Impact. Ce score guide l'évaluation à l'Étape 3.
┌─────────────────────┐
│ Évaluer la │
│ probabilité │
│ (échelle 1-5) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Évaluer l'impact │
│ (échelle 1-5) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Calculer le score │
│ de risque = P x I │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Documenter le │
│ risque inhérent │
│ (avant contrôle) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Des contrôles sont-│
│ ils déjà en place ?│
└──────────┬──────────┘
│
┌──────┴──────┐
Oui Non
│ │
▼ ▼
┌─────────────┐ ┌────────────────┐
│ Documenter │ │ Documenter │
│ le score de │ │ le score de │
│ risque │ │ risque non │
│ résiduel │ │ contrôlé │
└─────┬───────┘ └───────┬────────┘
└──────────────────┘
│
▼
┌─────────────────────┐
│ Passer à │
│ l'évaluation │
└─────────────────────┘
Évaluer à la fois le risque inhérent (avant contrôles) et le risque résiduel (après contrôles) montre si vos contrôles existants fonctionnent réellement.
Étape 3 : Évaluation des risques
L'évaluation transforme le score en décision : ce risque est-il acceptable en l'état, ou nécessite-t-il une action ?
La plupart des cadres utilisent trois bandes de risque :
| Score de risque | Bande | Action par défaut |
|---|---|---|
| 15-25 | Élevé | Action immédiate requise |
| 8-14 | Moyen | Action requise dans un délai défini |
| 1-7 | Faible | Surveiller ; accepter si aucun contrôle rentable n'existe |
┌─────────────────┐
│ Score de risque│
└────────┬────────┘
│
┌───────────────┼───────────────┐
│ │ │
Score 1-7 Score 8-14 Score 15-25
│ │ │
▼ ▼ ▼
┌────────────┐ ┌─────────────┐ ┌────────────┐
│ FAIBLE │ │ MOYEN │ │ ÉLEVÉ │
│ Accepter │ │ Action │ │ Action │
│ ou │ │ dans 90 │ │ immédiate │
│ surveiller│ │ jours │ │ requise │
└────────────┘ └─────────────┘ └────────────┘
│ │ │
└───────────────┴───────────────┘
│
▼
┌─────────────────────┐
│ Sélectionner la │
│ stratégie de │
│ traitement │
└─────────────────────┘
Étape 4 : Traitement des risques
Une fois un risque évalué, vous choisissez comment le gérer. Il existe quatre options de traitement standard :
| Traitement | Définition | Quand l'utiliser |
|---|---|---|
| Accepter | Reconnaître le risque, ne pas agir | Risques à faible score où le coût du contrôle dépasse la perte potentielle |
| Atténuer | Mettre en œuvre des contrôles pour réduire probabilité ou impact | La plupart des risques moyens et élevés |
| Transférer | Transférer le risque à une autre partie (assurance, contrats) | Risques à impact financier quantifiable |
| Éviter | Arrêter l'activité qui crée le risque | Risques élevés sans atténuation rentable |
┌─────────────────────┐
│ Le coût du │
│ traitement est-il │
│ < perte attendue ? │
└──────────┬──────────┘
│
┌──────┴──────┐
Oui Non
│ │
▼ ▼
┌──────────┐ ┌──────────────────────┐
│ Atténuer │ │ Accepter, Transférer,│
│ │ │ ou Éviter │
└────┬─────┘ └──────────┬───────────┘
│ │
└─────────┬─────────┘
│
▼
┌────────────────────────┐
│ Le risque peut-il être │
│ transféré (assuré, │
│ externalisé) ? │
└───────────┬────────────┘
│
┌──────┴──────┐
Oui Non
│ │
▼ ▼
┌─────────┐ ┌────────────────────┐
│Transférer│ │ L'activité │
└─────────┘ │ génératrice peut- │
│ elle être stoppée ?│
└────────┬───────────┘
│
┌──────┴──────┐
Oui Non
│ │
▼ ▼
┌────────┐ ┌────────┐
│ Éviter │ │Accepter│
└────────┘ │ avec │
│ révision│
└────────┘
Étape 5 : Planification de l'atténuation
Pour les risques que vous choisissez d'atténuer, la prochaine étape consiste à définir des contrôles spécifiques et à attribuer des responsabilités.
Un plan d'atténuation répond à quatre questions :
- Quel contrôle sera mis en œuvre ?
- Qui est responsable de sa mise en œuvre ?
- Quand sera-t-il terminé ?
- Comment l'efficacité sera-t-elle mesurée ?
┌─────────────────────────┐
│ Définir le type de │
│ contrôle : │
│ - Préventif │
│ - Détectif │
│ - Correctif │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Attribuer le │
│ propriétaire et le │
│ délai │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Définir la métrique de │
│ succès (comment │
│ saurez-vous que ça │
│ fonctionne ?) │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Estimer le risque │
│ résiduel après │
│ contrôle │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Risque résiduel │
│ acceptable ? │
└──────────┬──────────────┘
│
┌──────┴──────┐
Oui Non
│ │
▼ ▼
┌──────────┐ ┌────────────────┐
│ Procéder │ │ Ajouter des │
│ à la │ │ contrôles supp │
│ mise en │ │ ou reconsidérer│
│ œuvre │ │ le traitement │
└──────────┘ └────────────────┘
Étape 6 : Surveillance et révision
L'évaluation des risques n'est pas un exercice ponctuel. Les risques évoluent avec l'entreprise, et les contrôles se dégradent avec le temps.
┌─────────────────────┐
│ Définir la │
│ fréquence de │
│ révision : │
│ Élevé : Trim. │
│ Moyen : Semestriel │
│ Faible : Annuel │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Événement │
│ déclencheur ? │
│ (incident, audit, │
│ changement majeur) │
└──────────┬──────────┘
│
┌──────┴──────┐
Oui Non
│ │
▼ ▼
┌──────────┐ ┌──────────────────┐
│ Révision │ │ Attendre la │
│ immédiate│ │ révision planifiée│
└────┬─────┘ └────────┬─────────┘
└─────────────────┘
│
▼
┌─────────────────────┐
│ Le contrôle est-il │
│ encore efficace ? │
└──────────┬──────────┘
│
┌──────┴──────┐
Oui Non
│ │
▼ ▼
┌────────────┐ ┌────────────────┐
│ Continuer │ │ Mettre à jour │
│ la │ │ le contrôle ou │
│ surveillance│ │ réévaluer le │
│ │ │ score de risque│
└────────────┘ └────────┬───────┘
│
▼
┌─────────────────┐
│ Revenir à │
│ l'Étape 3 : │
│ Évaluation │
└─────────────────┘
Catégories de risques et exemples spécifiques à un domaine
Risque opérationnel
Les risques opérationnels proviennent des personnes, des processus, des systèmes et des événements externes.
| Exemple de risque | Probabilité | Impact | Traitement |
|---|---|---|---|
| Départ d'un employé clé | Probable | Majeur | Atténuer : formation croisée, documenter processus |
| Défaillance fournisseur | Possible | Majeur | Atténuer : double source ; Transférer : pénalités contrat |
| Erreur de saisie | Presque cert. | Mineur | Atténuer : contrôles de validation |
| Inondation de bureau | Rare | Catastrophique | Transférer : assurance ; Atténuer : site de secours |
Organigramme d'évaluation des risques de sécurité informatique :
┌───────────────────────┐
│ Menace de sécurité │
│ identifiée │
└──────────┬────────────┘
│
▼
┌───────────────────────┐
│ Le système est-il │
│ exposé externalement? │
└──────────┬────────────┘
│
┌──────┴──────┐
Oui Non
│ │
▼ ▼
┌──────────┐ ┌──────────────────┐
│ Risque │ │ Le système est-il│
│ d'expo. │ │ sur réseau │
│ élevé │ │ interne ? │
└────┬─────┘ └────────┬─────────┘
│ ┌──────┴──────┐
│ Oui Non
│ │ │
│ ▼ ▼
│ ┌────────┐ ┌──────────┐
│ │ Risque │ │ Risque │
│ │ moyen │ │ faible │
│ └────────┘ └──────────┘
│ │ │
└──────────┴─────────────┘
│
▼
┌─────────────────────┐
│ Appliquer contrôles:│
│ correctifs, MFA, │
│ segmentation réseau,│
│ surveillance │
└─────────────────────┘
Risque financier
Les risques financiers affectent les flux de trésorerie, la rentabilité ou le bilan.
Points de décision courants dans les organigrammes de risque financier :
- Exposition aux devises : Le risque dépasse-t-il un seuil défini ? Si oui, envisager des instruments de couverture.
- Risque de crédit : La contrepartie remplit-elle les critères de crédit ? Si non, exiger une garantie ou refuser.
- Risque de liquidité : Les actifs liquides sont-ils suffisants pour couvrir 90 jours de charges d'exploitation ? Si non, déclencher une révision de la gestion de trésorerie.
Risque de projet
Les risques de projet sont limités dans le temps. Un risque qui compte en semaine 1 peut être non pertinent en semaine 10.
┌───────────────────────┐
│ Nouveau risque de │
│ projet identifié │
└──────────┬────────────┘
│
▼
┌───────────────────────┐
│ Le risque est-il sur │
│ le chemin critique ? │
└──────────┬────────────┘
│
┌──────┴──────┐
Oui Non
│ │
▼ ▼
┌──────────┐ ┌────────────────────┐
│ Action │ │ Ajouter au registre│
│ immédiate│ │ des risques, │
│ requise │ │ surveiller en réun.│
└──────────┘ └────────────────────┘
Risque de conformité
Les risques de conformité proviennent des exigences réglementaires, des contrats et des politiques internes.
Décision clé : Y a-t-il une échéance réglementaire spécifique ? Si oui, le calendrier d'atténuation n'est pas négociable — la conformité n'est pas optionnelle.
Risque de réputation
Les risques de réputation sont plus difficiles à quantifier mais souvent les plus lourds de conséquences. Un indicateur utile : si ce risque se matérialisait et devenait public, comment affecterait-il la confiance des clients, le cours de l'action ou le recrutement ?
Pour les risques de réputation, la décision de traitement implique souvent la planification des communications en plus des contrôles opérationnels.
Créer votre organigramme d'évaluation des risques avec Flowova
Créer un organigramme complet d'évaluation des risques from scratch prend du temps. L'outil texte vers organigramme de Flowova vous permet de décrire votre processus de risque en langage naturel et génère un organigramme structuré en quelques secondes. Vous pouvez ensuite modifier les nœuds directement, ajouter des branches de décision et ajuster la mise en page sans toucher manuellement à un canevas de diagramme.
Pour les organisations adaptant un cadre de risques existant (ISO 31000, COSO ERM, NIST RMF), les modèles d'organigrammes de Flowova fournissent un point de départ que vous pouvez adapter à votre secteur spécifique et à votre appétit pour le risque.
Erreurs courantes dans les organigrammes d'évaluation des risques
Confondre probabilité et impact. Un risque à probabilité élevée et faible impact (comme un bourrage d'imprimante) obtient un score plus faible qu'un risque à faible probabilité et impact élevé (comme une violation de données). Distinguez clairement les deux dimensions dans votre logique de notation.
Pas de propriété claire. Un risque sans propriétaire n'est le problème de personne. Chaque enregistrement de risque doit avoir un individu nommé, pas un département ou un comité.
Traiter la surveillance comme optionnelle. La boucle de surveillance est ce qui rend l'évaluation des risques continue plutôt qu'un exercice de conformité ponctuel. Intégrez-la dans l'organigramme et attribuez la responsabilité explicitement.
Scores de risque obsolètes. Les contrôles qui fonctionnaient il y a deux ans peuvent ne plus être efficaces. Planifiez des révisions et déclenchez-les sur des événements significatifs — un nouveau déploiement de système, un changement réglementaire, un incident sectoriel.
Réussite/échec binaire. Le traitement des risques réel est rarement accepter/refuser. Intégrez les quatre options de traitement (accepter, atténuer, transférer, éviter) comme des chemins distincts, chacun avec ses propres critères de décision.
Conclusion
Un organigramme d'évaluation des risques convertit une obligation de gouvernance abstraite en un processus concret et reproductible. En documentant chaque étape — identification, analyse, évaluation, traitement, mise en œuvre et surveillance — vous créez un système que n'importe quel membre de l'équipe peut suivre et que n'importe quel auditeur peut valider.
Commencez par le flux fondamental à six étapes, puis superposez une logique de décision spécifique à votre domaine pour vos catégories de risques prioritaires. Révisez l'organigramme lui-même au moins annuellement : si votre entreprise a changé, le processus de risque doit le refléter.
Ressources associées
- Guide de cartographie des processus — Cartographier et améliorer les flux de travail opérationnels
- Guide des diagrammes en couloirs — Responsabilité inter-fonctionnelle dans les organigrammes
- Arbre de décision vs organigramme — Choisir le bon type de diagramme
- Outil texte vers organigramme — Convertir des descriptions de risques en diagrammes instantanément
