L’identification est la première phase du processus de connaissance des risques. Elle consiste à effectuer une large collecte d’informations dans tous les domaines de l’entreprise notamment ses environnements interne et externe. La réussite de cette phase nécessite une fois de plus la collaboration de l’ensemble du personnel et une bonne connaissance de l’entreprise par le risk manager. Pour réaliser cette tâche, plusieurs méthodes sont disponibles. Toutefois, le dispositif doit préciser quelles méthodes seront utilisées par le risk manager car étant plus adaptées aux spécificités de l’entreprise.
Jacques CHARBONNIER – dans son ouvrage « Le risk management – Méthodologie et pratiques », Editions de l’Argus, septembre 2007 – regroupe les pratiques d’identification des risques en quatre catégories : la recherche des anomalies ou des dysfonctionnements, le recours au passé et/ou à l’expérience, les ressources de l’imagination et les critères ou indicateurs de risques. Quant aux méthodes d’identification proposées par d’autres auteurs, elles peuvent être classées selon les centres d’intérêts ci-après :
– La recherche documentaire : le rapport annuel du Président du Conseil d’administration, les registres d’inscription des incidents, les rapports des auditeurs internes et externes, les comptes rendus des réunions, les revues sur la jurisprudence, les écrits des experts sur le secteur d’activité de l’entreprise, les check-lists sont autant de sources qui peuvent aider à identifier des risques car elles décrivent soit des faits passés, soit l’activité courante de l’entreprise, soit des perspectives d’avenir ;
– La visite de l’entreprise appelée aussi « visite de risque » dans le jargon des assureurs : elle permet au risk manager d’être en contact avec les différentes composantes de l’entreprise (le patrimoine, les clients, les fournisseurs…) et d’en apprécier les risques. Elle permet aussi de confronter les informations tirées de la recherche documentaire à la réalité constatée de visu. A l’issu de la visite, des questions peuvent être posées pour avoir des précisions sur certains points ;
– L’entretien et/ou le questionnaire : cette méthode complète la précédente. Elle permet de recueillir des informations supplémentaires en interrogeant le personnel et les partenaires de l’entreprise. Le brainstorming est une forme d’entretien qui, en plus de fournir des informations, permet l’adhésion des parties prenantes à l’identification des risques. Le recueil de l’information dans l’entreprise peut se faire aux différents niveaux de l’organisation et dans un sens descendant de la Direction générale aux agents d’exécution, méthode appelée Top-down, ou dans le sens ascendant du bas de l’échelle vers la Direction générale, méthode appelée Bottom-up ;
– Les tests : dans cette méthode, le personnel est mis dans une situation de risque qui pourrait survenir et le risk manager observe les attitudes et réactions face au risque. Les simulations et les scenarios de risques permettent de noter les comportements dangereux ou non recommandables qui sont sources de risques pour le personnel et l’entreprise.
Après avoir identifié les risques de l’entreprise, il faut les analyser.