La définition proposée par l'ISO 31000 un risque est l'effet de l'incertitude sur les objectifs (fixés), un effet étant un écart négatif ou positif sur ce qui est attendu.
Chaque domaine d'activité va plus ou moins reprendre cette notion
En finance, la notion de risque se traduit par les effets (négatifs) de l'incertitude sur les flux financiers. On distingue l'incertitude économique liée aux risques politiques, naturels, d'inflation. et l'incertitude financière liée aux risques de liquidité, de change, de taux. Quelle que soit sa nature, le risque se traduit par une fluctuation de la valeur du titre financier exprimé par sa volatilité.
En projet, il est recommandé d'établir la liste des événements pouvant affecter l'atteinte des résultats dans les délais, coûts et conformité aux attentes impartis. Ces événéments, positifs ou négatifs, sont recensés et analysés dans la revue de risques et la revue d'opportunité.
En Système d'Information, le risque est une combinaison d’une menace et des pertes qu’elle peut engendrer. Il y convient dès lors d'analyser les menaces potentielles, accidentelles ou malveillantes, et de les croiser avec les conséquences sur les infrastructures et les activités sous-jacentes.
Le stantard en matière d'audit interne donne comme définition la "possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs". Le risque se mesurant en terme de conséquences et de probabilité.
Il convient de mesurer son exposition au risque ainsi que son aversion au risque, sa capacité de soutenir un risque ainsi que sa capacité de réaction.
Quelques utilisations : risque industriel, risque juridique, risque de contre-partie, risque de fraude, risque projet, risque d'image, risque opérationnel, risque environnement, risque naturel,...
Quelques standards : ISO 31000, ISO 73, ...
Risque résiduel
Le risque résiduel reste la part que l'on accepte de prendre une fois la stratégie de gestion de risque déployée.
Le risque résiduel peut se définir comme le niveau minimal que l'on accepte, par choix (décision de ne pas traiter en dessous d'un certain niveau supportable pour l'organisation), ou par contrainte (la couverture du risque est trop complexe, trop couteuse à mettre en oeuvre)
Si le risque est traité par des mesures d'évitement de l'origine ou de réduction des conséquences, le risque résiduel est ce qui reste en cas de non efficacité des mesures mises en place pour limiter le risque.
Si le risque est transféré, le risque se déporte sur un tiers. Le risque résiduel sera la défaillance du tiers.
Le niveau de risque résiduel peut évoluer en fonction de l'évolution du contexte de l'organisation. Il doit être revu régulièrement.
Scénario de risque
Parmi les risques, les scénarios vont décrire comment un risque est perçu, comment il peut se réaliser et quel impact il pourrait avoir sur l'organisation. Un scénario n'est pas exhaustif. Il permet juste de focaliser l'attention de l'organisation.
Formaliser un risque au travers d'un scénario permet de communiquer. Il est recommandé de le faire a minima pour les risques critiques sur lesquelles une surveillance est nécessaire.
On suivra le schéma suivant :
- Origine de l'événement redouté
- Moyen utilisé
- Fragilité en jeu
- Impact estimé
