La phase d’évaluation des risques appelée aussi la cotation des risques tient ses facteurs clés de succès dans les deux phases précédentes.
La survenance d’un risque peut avoir plusieurs conséquences néfastes à la fois sur l’atteinte des objectifs de l’entreprise. Celles-ci sont d’ordre financier, d’image ou de réputation, et de conformité. Par exemple la non-conformité à une règle fiscale est un risque qui peut avoir comme conséquences : une sanction financière par l’administration fiscale, une mauvaise image ou réputation de l’entreprise vis-à-vis de ses partenaires. Les référentiels AMF et COSO appellent « impact » l’ensemble des conséquences d’un risque lorsqu’il se réalise. L’autre paramètre d’évaluation du risque est sa fréquence. Elle est déterminée pour chaque risque et représente le nombre de fois où celui-ci est susceptible de survenir sur une période déterminée. Etant entendu que cette période peut être calquée sur le délai fixé pour atteindre les objectifs. Les données historiques internes de l’entreprise sont pertinentes vis-à-vis du calcul de la probabilité des risques connus ou subis. Quant aux risques mal connus ou non récurrents, la société peut se référer aux données disponibles dans son secteur d’activité. Suivant la politique de l’entreprise, le dispositif de gestion des risques fixe une échelle d’appréciation des impacts et des fréquences des risques de l’entreprise. Nous avons en annexe n°2 un exemple d’échelle d’appréciation de ces impacts et fréquence.
Dans une approche scientifique, le produit de l’impact et de la fréquence détermine l’évaluation du risque brut c’est-à-dire celui qui n’a subi aucune forme de traitement. Pour être plus proche de la réalité, l’évaluation du risque va tenir compte des moyens déjà mis en oeuvre par l’entreprise pour maîtriser ses risques au moment de l’élaboration du dispositif de gestion des risques. Cette étape conduit au risque résiduel qui résulte du risque brut atténué par l’organisation du travail avec la définition des rôles et responsabilités des membres du personnel, et la mise en place des différents outils de contrôle.
La détermination des risques nets ou résiduels boucle le processus de connaissance du risque. Il appartient dès lors à la Direction générale de définir les stratégies pour maîtriser les risques en tenant compte de l’appétence au risque fixée par le Conseil d’administration.