Évaluation des risques Impact et probabilité

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

La norme ISO 27001 ne dit pas vraiment comment procéder à l’évaluation des risques, elle dit qu’il faut évaluer les conséquences et les probabilités et déterminer l’étendue du risque. Cela souligne, bien entendu, le fait que le mieux qu’il faut espérer est un consensus dans la détermination de la probabilité des conséquences d’un risque (c’est-à-dire la détermination de sa probabilité en tant que résultat du risque). En d’autres termes, l’évaluation des risques consiste à analyser et à évaluer les risques pour déterminer au mieux si, et si oui, à quel niveau, des mesures d’atténuation sont nécessaires. Sources : 19,0,3]

En outre, la matrice d’évaluation des risques exige que l’équipe évalue l’impact de chaque événement de contrôle des risques (c’est-à-dire son impact sur le projet). Pour ce faire, elle détermine et évalue sa probabilité et son occurrence. Il est intéressant de noter que les processus de contrôle des risques ayant une faible probabilité et un impact élevé ont un taux d’influence plus faible que ceux ayant une forte probabilité mais qui surestiment souvent le risque. En d’autres termes, lorsqu’on utilise la matrice probabilité-effet, les risques qui diffèrent en quantité ne sont pas évalués de la même manière. [Sources : 1,9,6,12]

La probabilité de l’impact peut être décrite de manière relativement numérique, ainsi que les effets du risque réalisé et ses effets sur le résultat de ce risque. Sources : 6]

Les calculs d’évaluation des risques peuvent avoir un impact important sur la façon dont les risques sont évalués. Par exemple, l’analyse du risque peut être utilisée pour peser le risque dans deux dimensions : la possibilité et l’effet. Sources : 7,8]

La plupart des matrices d’évaluation des risques se présentent comme suit : un axe représente la probabilité qu’un scénario de risque se produise, et l’autre les dommages qu’il causera. Sources : 22,10]

Il existe essentiellement deux façons d’analyser les risques, en utilisant des méthodes qualitatives et quantitatives. On parle d’analyse qualitative des risques, qui repose sur le processus d’identification des risques (RIP) ou sur l’évaluation quantitative des risques (QRP). QA). Il existe deux façons différentes de hiérarchiser les risques, en fonction de la probabilité et de l’impact du risque. Le risque identifié dans le processus d’identification est hiérarchisé en fonction de la probabilité d’impact déterminée pour un événement de contrôle du risque avec une méthode qualitative telle que la méthode d’évaluation qualitative du risque ou la méthode d’analyse quantitative du risque. Des analyses qualitatives des risques seront effectuées et il existe plusieurs façons de hiérarchiser les risques en fonction des probabilités et des impacts de chaque risque individuel, par exemple en termes d’impact économique, d’impact environnemental ou de dommages à l’environnement. [Sources : 2,1,0,6]

Une fois qu’un risque est identifié, le processus d’analyse des risques doit déterminer s’il se produira, quelles conséquences il pourrait avoir et comment il pourrait affecter les objectifs du projet. Les risques seront analysés et évalués par rapport à la probabilité qu’ils se produisent s’ils se produisent. Assurez-vous que vous savez comment vous allez évaluer les risques et que vous disposez de directives communes expliquant comment évaluer la probabilité et l’impact des projets et quelle méthode utiliser pour calculer les ratios de risque. Sources : 15,5,7]

Vous pouvez également utiliser des outils de gestion des risques pour identifier et évaluer la probabilité et l’importance des risques pour le projet. Si vous êtes un chef de projet et que vous voulez un risque minimal et un flux de travail libre, essayez d’intégrer une matrice d’évaluation des risques dans le processus. [Sources : 21,21]

Il aide une organisation à identifier et à hiérarchiser les différents risques en évaluant la probabilité de chaque risque et en estimant l’impact qu’aurait un tel risque. La probabilité est la mesure dans laquelle un événement qui affecte le projet est un risque d’impact. La probabilité globale d’un risque dans chaque scénario comprend le nombre de résultats possibles, la gravité des impacts et les impacts potentiels sur l’ensemble du projet. Sources : 20,16,6]

Essentiellement, l’évaluation des risques consiste à évaluer la probabilité qu’un risque se produise et l’impact qu’il aura sur le projet. La possibilité d’impact pour chaque risque est multipliée par la probabilité d’évaluer le risque en fonction de sa probabilité d’occurrence, ce qui donne une valeur définitive pour ce risque. Ces valeurs sont combinées pour créer un « niveau de risque » et influencer les conséquences qui se sont produites. [Sources : 8,13]

L’évaluation des risques devra identifier l’impact potentiel de chaque événement de contrôle des risques sur le projet et son impact sur les autres parties prenantes. L’évaluation de la probabilité d’un risque et de son impact est l’étape suivante de la gestion des risques. Une fois l’identification des risques établie, les événements à risque sont analysés afin de déterminer la probabilité de leur occurrence et les conséquences de celle-ci. [Sources : 11,11,18]

Mesurer la probabilité d’un événement signifie que le décideur est en mesure de sélectionner le résultat le plus probable pour chaque événement de maîtrise des risques et son impact sur le projet. La matrice d’évaluation des risques signifie que vous devez vérifier la probabilité qu’un événement de maîtrise des risques puisse se produire. En parlant de complexité, il existe deux types d’évaluation des risques qui sont souvent utilisés pour vous aider à réfléchir à l’impact. Sources : 17,4,14]

Sources :

[0] : https://advisera.com/27001academy/knowledgebase/how-to-assess-consequences-and-likelihood-in-iso-27001-risk-analysis/
[1] : https://www.projectmanager.com/training/how-to-analyze-risks-project
[2] : https://www.mindtools.com/pages/article/newPPM_78.htm
[3] : https://www.bmc.com/blogs/risk-assessment-vs-vulnerability-assessment/
[4] : https://www.preventionweb.net/disaster-risk/concepts/deterministic-probabilistic/
[5] : https://searchsecurity.techtarget.com/definition/risk-analysis
[6] : http://apppm.man.dtu.dk/index.php/Impact_and_Probability_in_Risk_Assessment
[7] : http://intaver.com/risk-scores/
[8] : https://blog.masterofproject.com/business-impact-risk-analysis/
[9] : https://study.com/academy/lesson/risk-assessment-matrix-definition-examples.html
[10] : http://www.perseus-net.eu/site/content.php?artid=2204
[11] : https://pm4id.org/chapter/11-2-risk-management-process/
[12] : https://www.praxisframework.org/en/library/probability-impact-assessment
[13] : http://www.fao.org/fishery/eaf-net/eaftool/eaf_tool_4/en
[14] : https://www.pivotpointsecurity.com/blog/using-matrix-models-for-risk-assessment/
[15] : https://www.pmlearningsolutions.com/blog/qualitative-risk-analysis-vs-quantitative-risk-analysis-pmp-concept-1
[16] : https://cio-wiki.org/wiki/Risk_Matrix
[17] : https://tms-outsource.com/blog/posts/risk-assessment-matrix/
[18] : https://www.mitre.org/publications/systems-engineering-guide/acquisition-systems-engineering/risk-management/risk-impact-assessment-and-prioritization
[19] : https://paladinrisk.com.au/risk-tip-3-developing-consequence-matrix/
[20] : https://www.workiva.com/blog/building-risk-assessment-matrix
[21] : https://www.ntaskmanager.com/blog/risk-assessment-matrix/
[22] : https://www.itgovernance.eu/blog/en/what-is-an-iso-27001-risk-assessment-and-how-should-you-report-on-it