D.S.O. 03/10 |
L’acronyme DSO peut signifier de multiples notions différentes : Days Sales Outstanding (délai de rotation du crédit client, en anglais), Demande Sans Objet, Défaillance sur Objectif …. Mais dans notre contexte de gestion des risques, le DSO est le facteur essentiel à mesurer, afin de critériser puis prioriser les risques à traiter au sein de l’entreprise. Essentiel, cet indicateur traduit le niveau d’exposition d’un risque donné. Retour sur les notions de Détectabilité, de Sévérité et d’Occurrence.
Compte tenu de la multitude des risques qu’elle doit maîtriser, l’entreprise doit optimiser son allocation de ressources en faveur de la maîtrise des risques et ainsi gérer ses risques prioritaires au mieux, de la manière la plus efficace. Chaque risque doit donc être critérisé individuellement, afin de permettre à l’organisation de mieux identifier et donc traiter les risques les plus significatifs. Cette priorisation est réalisée, au sein de la société RISKEAL, autour de trois concepts complémentaires essentiels :
La Détectabilité - D :
La notion de détectabilité consiste à s’interroger sur la capacité opérationnelle d’un système organisationnel, quel qu’il soit, à détecter le risque entrant. Par exemple, l’entreprise est-elle capable de détecter qu’un collaborateur détourne des actifs pour son utilisation personnelle ? Avec quelle rapidité ? Cette notion de détectabilité introduit donc les capacités opérationnelles des organisations à collecter les signes précurseurs, repérer les risques, ainsi que leur délai de détection. Se poser la question de la détectabilité du risque constitue souvent une source majeure d’enjeux jamais envisagés…. L’entreprise devra donc, dans un premier temps, et pour chaque risque individuel identifié, déterminer si son fonctionnement lui permet de détecter de manière permanente ou impossible, de manière graduée, les risques entrants.
La Sévérité – S :
Second critère essentiel de priorisation de traitement, la mesure ou l’estimation chiffrée par l’entreprise de l’impact financier subi en cas de survenance effective du risque. Concrètement, si le risque identifié se réalise, quel en sera le coût financier ? Cette mesure de sévérité (appelée aussi gravité) doit être maximaliste, économique et financière. Elle peut être mesurée en score intelligible (de 1 : inexistant à 10 : désastre financier !), en tranches de montants (1 k€, 100 k€…) etc. La mesure de la gravité de l’impact en cas de survenance du risque doit être la plus précise possible, ce qui n’est pas toujours simple à réaliser en pratique, et souvent la cause de débats acharnés.
L’occurrence – O :
La détermination de l’occurrence, ou de la probabilité d’occurrence de l’évènement identifié comme un risque, constitue la dernière étape de critérisation factuelle des enjeux à traiter. L’occurrence consiste à déterminer combien de fois le risque X ou Y s’est effectivement concrétisé par le passé. Cette mesure peut être réalisée de manière empirique, statistique, standard (1 : 1 sur 2 ; 10 : 1 sur 1000000), à l’appui de l’expérience propre de l’organisation, de ses concurrents, d’activités connexes…Mais elle contribue significativement à la détermination du facteur risque des évènements à traiter de manière prioritaire. Au final, les risques individuels seront classés selon le facteur Risque R, composante obtenue par la multiplication et le classement décroissant des contributions ainsi calculées, selon le principe R = D x S x O. Il ne restera plus qu’à positionner ces éléments sur une représentation visuelle (cartographie), et ainsi repérer aisément les principales zones de fragilité à traiter. Tout un programme !
Pour un entreprise durable, investissez dans votre pérennité.
Jean-David DARSA |
