Risque inhérent.
Le risque inhérent est défini par le COSO comme étant le risque existant en l’absence d’action du management qui pourrait en modifier l’impact ou la probabilité.
Mieux, l’ISO 31000 ne définit pas le risque inhérent.
Évaluer le risque inhérent pose un réel problème car l’absence d’action du management pour en modifier l’impact ou la probabilité est presque impossible à réaliser. En effet dès lors que l’entreprise a mis en place des règles, des processus ou des activités, elle a implicitement réduit l’impact et ou la probabilité du risque.
Ceci reviendrait il à évaluer un risque en l’absence de l’entreprise ?
D’autres considérations sont à prendre en compte car le risque évolue intrinsèquement en fonction d’un grand nombre de circonstances:
- liées à l’entreprise, comme le niveau des objectifs par exemple.
- externes à l’entreprise comme le contexte socio-économique ou l’évolution de la réglementation par exemple.
Évaluer un risque inhérent revient à se projeter dans un contexte supposé, ou dans un contexte passé pour estimer un impact et une probabilité. Cette démarche ne répond ni à des critères d’objectivité, ni à une réalité factuelle facilement démontrable.
Conformément au texte de l’ISO 31000 où le risque inhérent n’est pas défini, celui ci ne répond pas à une réalité objective et factuelle.
Risque résiduel.
Le COSO Enterprise Risk Management Framework de 2004 définit le risque résiduel comme étant le risque qui subsiste après que le management ait apporté des réponses à ce risque. Le COSO 2013 précise que ces réponses ont été développées et mises en oeuvre.
Les Normes ISO et notamment l’ISO 31000 définit le risque résiduel comme étant le risque qui subsiste après le traitement du risque.
Dans les faits, le risque résiduel est le risque actuel, dans un contexte réel et existant, avec des dispositions de maîtrise du risque en place.
Le risque résiduel peut être évalué sur des bases tangibles ou factuelles par le risk manager, par le management ou par l’audit.
L’évolution d’un risque dans le temps.
L’intention de définir un risque inhérent est louable car ceci permettrait de mesurer l’efficacité des moyens de prévention qui ont été déployés, et très certainement d’en justifier le coût.
Si tel est le besoin, il n’est pas indispensable de remonter à l’origine non pas de l’univers mais de l’entreprise.
Il suffit de s’appuyer sur les évaluations successives du risque pour constater l’évolution du niveau de maîtrise. On peut dès lors estimer que l’évaluation initiale du risque se rapproche le plus de ce que l’on pourrait qualifier de risque inhérent.
Le niveau cible après le déploiement du plan de remédiation pour maîtriser un risque correspond à un niveau de risque futur. Ce niveau cible reflète souvent le risque jugé tolérable par le management et de ce fait il peut matérialiser l’appétence au risque.
Une page spécifique dédiée à l’appétence au risque est en projet.