Domaines
Actualités
Ressources
Formations
Consulting
Société

MOF : le modèle de gestion des risques

Le modèle de risque d'exploitation applique des techniques éprouvées en matière de gestion des risques pour résoudre les problèmes que les équipes opérationnelles rencontrent quotidiennement. Il existe d'innombrables modèles, structures et autres processus pour gérer les risques. Tous visent à anticiper un avenir incertain. Le modèle de risque d'exploitation ne fait pas exception à la règle. Il se démarque toutefois des autres modèles par ses principes directeurs, sa terminologie personnalisée, son processus structuré et reproductible en cinq étapes et son intégration dans une structure d'exploitation plus vaste.

Le modèle de risque d'exploitation a été élaboré pour répondre aux besoins des utilisateurs désireux de disposer d'une structure qui les aiderait à gérer les risques menaçant leur organisation, tout en travaillant sur la plate-forme Microsoft. Microsoft Solutions Framework a défini un modèle de risque largement applicable, spécialement conçu pour gérer les risques pendant la mise en oeuvre de projets portant en particulier sur le développement et le déploiement de logiciels. Le modèle de risque d'exploitation est basé sur le modèle de risque de la structure MSF, mais présente des extensions et des personnalisations permettant de répondre aux besoins des groupes d'exploitation.

Il est important de remarquer que, si ce modèle a été élaboré dans le cadre d'environnements Microsoft, il est cependant suffisamment général pour s'appliquer à tout environnement d'exploitation au sein des oragnisations.

Les principes de base

Le modèle de risque de MOF se base sur les cinq grands principes suivants pour gérer les risques d'exploitation de manière performante :

  • Evaluation constante des risques : L'équipe doit rechercher en permanence de nouveaux risques, et les risques existants doivent être régulièrement réévalués.
  •  
  • Intégration de la gestion des risques dans chaque rôle et chaque fonction : à un haut niveau, ce principe implique que chaque rôle IT partage les responsabilités de gestion des risques et que chaque processus informatique est conçu compte tenu de la gestion des risques.
  •  
  • Traitement positif de l'identification des risques : Pour que la gestion des risques porte ses fruits, les membres de l'équipe doivent avoir envie d'identifier les risques sans craindre de menaces ni de critiques.
  •  
  • Planification basée sur les risques : Faire vivre un environnement se traduit par l'apport récurrent de changements, dans un certain ordre, à cet environnement. Lorsque c'est possible, il est préférable que l'équipe introduise les changements les plus risqués en premier lieu afin d'éviter de consacrer du temps et des moyens à des changements qui ne pourront être appliqués.
  •  
  • établissement d'un niveau acceptable de formalisme : La réussite passe par l'élaboration d'un processus documenté et diffusé que l'équipe comprend et applique.

Ces principes se retrouvent tous dans le terme proactif. Une équipe qui traite la gestion des risques d'une manière proactive sait que le risque constitue un volet normal des opérations. Au lieu de craindre le risque, elle le considère comme une occasion de préserver l'avenir. Les membres de l'équipe sont foncièrement proactifs, ils appliquent un processus continu, visible, mesurable et reproductible qui leur permet d'évaluer les risques et les opportunités de manière objective et ils prennent les mesures qui s'imposent pour remédier aux causes des risques et aux symptômes identifiés.

Processus de gestion des risques

Le schéma suivant présente les étapes du processus de gestion des risques : l'identification, l'analyse, la planification, le suivi et le contrôle. Il est important de comprendre que chaque risque franchit toutes ces étapes au moins une fois, mais que souvent, il les franchit à de nombreuses reprises. De plus, comme chaque risque présente un calendrier spécifique, de multiples risques peuvent se situer à un certain stade du processus au même moment.

Processus de gestion des risques

Le processus de gestion des risques comporte les documents suivants :

  • Document d'évaluation des risques : Les trois premières étapes consistent à recueillir des informations sur un risque donné et à les consigner dans le document d'évaluation des risques. Les deux dernières étapes se basent sur ce document pour élaborer le processus de prise de décision.
  •  
  • Liste des risques majeurs : Cette liste énumère le petit nombre de risques majeurs auxquels doivent être consacrés en priorité les moyens limités de l'équipe.
  •  
  • Liste des risques caducs : Lorsqu'un risque perd toute pertinence, il est rayé de la liste des risques et ajouté à la liste des risques caducs. Cette liste sert à conserver des références historiques sur lesquelles l'équipe peut se baser.

Les cinq étapes du processus sont les suivantes :

  • Identification Cette étape sert à déterminer l'origine du risque, la nature de la défaillance, la condition ainsi que les conséquences opérationnelles et les impacts métiers pour l'organisation.
  •  
  • Analyse : Cette étape sert à évaluer la probabilité et l'impact du risque qui seront utilisés pour calculer la valeur d'exposition au risque. C'est cette valeur qui permettra de classer le risque selon son importance par rapport aux autres risques.
  •  
  • Planification : Cette étape sert à définir des mesures permettant d'éviter totalement le risque, de le transférer à une autre partie ou de réduire son impact ou sa probabilité, voire les deux. Elle a également pour objet de définir les mesures d'urgence à prendre si le risque se concrétise. Enfin, elle sert à définir des déclencheurs qui signalent qu'un risque est sur le point de se matérialiser.
  •  
  • Suivi : Cette étape sert à recueillir des informations sur la manière dont divers éléments du risque évoluent au fil du temps.
  •  
  • Contrôle : Cette étape sert à mettre en oeuvre les mesures prévues lorsque certains changements interviennent. Ainsi, si un déclencheur atteint une certaine valeur, il faut déclencher le plan d'urgence. En revanche, si un risque a perdu sa pertinence, il doit être placé dans la liste des risques caducs. Si l'impact du risque concerné à changé, il y a lieu de recommencer le processus à l'étape d'analyse pour réévaluer son impact.

AB Consulting & bonneaud.net/// © 2005-2008 - Tous droits réservés
| Nous contacter | Plan du site | Informations légales