Background Image
Table of Contents Table of Contents
Previous Page  15 / 56 Next Page
Information
Show Menu
Previous Page 15 / 56 Next Page
Page Background

M"me tonalité chez Patrick Leroh… Président de la

commission Responsabilités de l¬AMRAE : 

Quantifier

permet de suggérer, de hiérarchiser des priorités d'ac-

tion qui soient basées sur de véritables études d'impact

afin de mieux les légitimer. Il faut donc avoir en main

des études suffisamment solides. Il faut impérative-

ment arriver à objectiver les impacts des menaces et faire

l'exercice de leur quantification

 Buantifier n¬est donc

pas seulement un moyen de valoriser un risque mais

aussi de compléter une démarche qualitative pour

apporter une aide à la décision.

Pour Patrick Leroy, c’est une démarche que ne peuvent

plus ignorer les Risk Managers : 

ils font de plus en plus,

l'objet de questionnements de la part des Directeurs

financiers, des Comex, des administrateurs, qui leur

demandent une vision stratégique des risques de l'entre-

prise, c'est-à-dire des menaces susceptibles d'entraver

gravement la bonne marche de l'organisation. Or pour

donner cette vision stratégique (résumée sous la forme

des 5H), il y a notamment le How Much ? Combien ? Quel

chiffre ? Le Risk Manager ne peut plus se contenter soit

d'acheter de l'assurance (on a complètement dépassé ce

stade), soit de décrire les menaces de façon vaguement

technique en essayant de faire peur. Il ne peut pas non

plus s'abriter simplement derrière une liste de procédures

internes ou promouvoir un peu de prévention au hasard

pour essayer de démontrer une “certaine maîtrise”



UNE DÉMARCHE POUSSÉE PAR LA MONTÉE

DES RISQUES ÉMERGENTS

Mais dire que la quantification est une démarche

nouvelle dans les entreprises —hors financi!res˜ est

faux. Dans son étude, Denis Zandvliet rappelle que

certaines organisations font de la quantification depuis

pr!s d¬une trentaine d¬années 

La maturité n’est pas

la même entre entreprises financières et les autres parce

que malheureusement, c’est l’incitation du règlemen-

taire qui fait prendre conscience des réalités, même si,

dans certains domaines, cette prise de conscience existe

depuis longtemps. Par exemple, dans les industries à

très haut risque, spatiales, nucléaires, hydroélectriques.

Beaucoup d’entre elles utilisent les réseaux bayésiens

depuis très longtemps pour mesurer leurs risques



souligne Catherine Veret-Jost, Présidente du cabinet

de conseil 4aveYo… forte d¬une longue expérience du

monde bancaire et qui a assisté, avec Bâle II, à l’intro-

duction de la quantification des risques

Cependant, avec l’évolution du contexte dans lequel

op!rent les entreprises… le suYet a pris ces derni!res

années une nouvelle dimension, comme le rappelle

Gis!le Ducrot… Senior Manager chez EJ : 

La probléma-

tique de la quantification s’est vraiment révélée avec l’évo-

lution de la typologie des risques auxquels sont soumises

les entreprises. Pendant longtemps, la plus grande partie

de la gestion des risques était regardée par les Directions

des assurances et couverte par des programmes d’assu-

rance essentiellement «dommage aux biens» (property).

Sur ces risques, la quantification est issue d’études histo-

riques, permettant des processus stables et une fluidité

entre le risque, son niveau de maîtrise et sa logique de

financement. Mais aujourd’hui, nous sommes sur des

risques plus immatériels qui peuvent mettre en jeu le déve-

loppement de l’entreprise. À l’instar des risques cyber, des

risques liés à la réputation, à l’image… Les entreprises

s’internationalisent et donc s’exposent à de nouvelles

typologies de risques moins facilement contrôlables. Des

risques qui sont aujourd’hui inclus dans la cartographie

des risques des entreprises mais qui deviennent difficiles à

appréhender, tant en termes d’impacts que d’anticipation

de leurs évolutions



Patrick Leroy est encore plus direct dans son approche

pour appeler les Risk Managers à s¬emparer du suYet Il

prend l’exemple de la fraude et du risque cyber, avec

notamment les impacts de mise en cause de responsa-

bilités de la personne morale et des dirigeants : 

Si l’on

pose la question de savoir combien de Risk Managers ont

procédé véritablement à une étude pour évaluer ces types

de risques et éclairer leurs Directions générales sur les

impacts directs et indirects, on s'apercevra rapidement

de l’insuffisance du niveau de maturité. Ensuite, si une

démarche est mise en place pour solliciter le marché de

l'assurance en vue d’une couverture, il va falloir jauger

les besoins tant en termes de contenu de couverture

qu'en montant quantifié. Car à défaut, comment fera le

Risk Manager pour mettre en place des outils de finance-

ment de risques et connaître l'appétence aux risques des

Patrick Leroy,

Président de la commission

Responsabilités de l’AMRAE

Gisèle Ducrot,

Senior Manager chez EY

Catherine Veret-Jost,

Présidente du cabinet de

conseil Cavejo

«Quantifier permet 

de suggérer, de hiérarchiser

des priorités d'action qui

soient basées sur de véritables

études d'impact afin de 

mieux les légitimer. »

Patrick Leroy, Président de la commission

Responsabilités de l’AMRAE

L6D C D62FI 32J D:6?D ‚

UNE APPROCHE INDUCTIVE

Les réseaux bahésiens sont la conYonction du théo-

rème de Bayes sur les probabilités conditionnelles

et de la théorie des graphes, c'est-à-dire le fait de

pouvoir faire des arbres de causalité assez com-

plexes mais qui distinguent bien les causes et les

conséquences. Et trouver à partir de là les indica-

teurs pertinents afin de mesurer explicitement l im-

pact des actions de réduction.

ATOUT RISK MANAGER, LA REVUE DE L’AMRAE

I N°5 I

JUIN 2015

15

DOSSIER

LA QUANTIFICATION DES RISQUES

1 10 11 12 13 14 15 16 17 18 19 20 21 56  FlippingBook