WO2014147502A1 - Methode d'evaluation et de gestion des risques et vulnerabilites systemiques et sectoriels encourus par une organisation - Google Patents

Methode d'evaluation et de gestion des risques et vulnerabilites systemiques et sectoriels encourus par une organisation Download PDF

Info

Publication number
WO2014147502A1
WO2014147502A1 PCT/IB2014/059415 IB2014059415W WO2014147502A1 WO 2014147502 A1 WO2014147502 A1 WO 2014147502A1 IB 2014059415 W IB2014059415 W IB 2014059415W WO 2014147502 A1 WO2014147502 A1 WO 2014147502A1
Authority
WO
WIPO (PCT)
Prior art keywords
deviation
database
activity
risk
dimensions
Prior art date
Application number
PCT/IB2014/059415
Other languages
English (en)
Inventor
Philippe Le Goff
Catherine Hugel-Le Goff
Original Assignee
H & Lg Consultants Sàrl
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by H & Lg Consultants Sàrl filed Critical H & Lg Consultants Sàrl
Publication of WO2014147502A1 publication Critical patent/WO2014147502A1/fr

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/08Insurance

Abstract

L'invention concerne une méthode et un système informatisé permettant d'évaluer et de gérer de manière les risques et vulnérabilités tant systémiques que sectoriels encourus par une organisation. Dans son principe, la méthode consiste à réaliser un maillage des domaines systémiques et sectoriels de l'activité de tel sorte qu'une maille corresponde à une entité élémentaire de l'activité globale mise en œuvre par l'organisation. L'ensemble des mailles couvre la totalité de l'activité. La méthode propose alors de positionner dans un espace vectoriel à n dimensions à valeurs discrètes les modes possibles de déviation par rapport à un état idéal de l'activité unitaire contenue dans une maille. Les coordonnées obtenues pour la maille permettent de calculer la norme, au sens de la méthode selon l'invention, du vecteur « vulnérabilité intrinsèque primaire » de l'activité unitaire considérée. Un calcul vectoriel sur l'ensemble des mailles de l'espace permet alors de combiner chaque maille avec l'ensemble de toutes les mailles du système et de moduler la valeur de « vulnérabilité intrinsèque primaire » par les contributions des mailles voisines au sens de norme développée par la méthode selon l'invention. Ce calcul vectoriel fournit la valeur de la « vulnérabilité combinée primaire » pour l'activité unitaire contenue dans la maille, cette « vulnérabilité combinée primaire » représentant le risque de déviation pour l'activité unitaire.

Description

Méthode d'évaluation et de gestion des risques et vulnérabilités svstémiques et sectoriels encourus par une organisation L'invention concerne une méthode permettant d'évaluer et de gérer de manière interactive, dynamique et objective les risques et vulnérabilités systémiques et sectorielles encourus par une organisation.
Le risque est une notion connue de tous mais souvent appréhendée de manière fort différente à travers une population d'individus hétérogène. Pour l'homme de l'art, le risque est compris selon les définitions données dans le cadre normatif et dans les documents de référence de son domaine d'activité. Il est généralement admis que les premières notions pour un « risque codifié » se trouvent dans les métiers de l'Assurance quand bien même le concept de risque était connu depuis de très anciennes civilisations. Il est souvent intéressant de constater que les notions les plus courantes sont également souvent les plus floues, ou tout au moins, les plus subjectives car intimement liées à la nature de chaque individu. Le risque fait partie de ces concepts si largement vulgarisés qu'ils deviennent difficiles à harmoniser. Pourtant, les définitions du risque et de la gestion du risque ont été standardisées par différentes normes internationales dont les contenus et les approches générales ou sectorielles sont convergentes. Pour illustrer ceci, on peut citer par exemple les normes ISO 31000 et ISO 14971 , on peut citer aussi le texte ICH Q9 s'adressant aux industries du secteur pharmaceutique.
Ces piliers ont donné des fondements sinon scientifiques tout au moins rationnels dans la façon d'appréhender la notion de risque et de sa gestion. Selon les cultures et les sensibilités des individus ou des organisations appelés à mettre en œuvre une politique de gestion du risque, l'homme de l'art observe certaines variations mais les bases des méthodes restent globalement les mêmes et correspondent au schéma reproduit dans la figure 1 qui détaille le processus de management du risque selon la norme ISO 31000 :2009(F).
Cette figure 1 fait apparaître que l'appréciation du risque s'effectue en trois étapes successives :
■ Identification du risque,
Analyse du risque,
Evaluation du risque.
Ces trois étapes donnent le socle pour une politique de gestion du risque fondée sur les références normatives ouvertes au public. Elles ont pour but de recenser et de libeller les risques, de déterminer dans quel contexte ils interviennent et de les hiérarchiser selon des échelles quantitatives ou qualitatives pour rationaliser une discrimination entre les risques nécessitant l'apport de mesures de réduction du risque et ceux qui sont acceptables en l'état.
Si, sur un plan pratique, cette approche classique fait sens et crée autour d'elle les conditions d'un vaste consensus, il n'en reste pas moins vrai qu'elle souffre aussi de la subjectivité et des limites inhérentes à la méthode. En effet, dès l'étape initiale, par la prise en compte d'une situation comme étant à risque ou non en fondant la recherche sur l'apport de réponses à la question « qu'est-ce qui pourrait subvenir de mauvais ? » cette approche accepte comme postulat que l'imagination d'un individu ou d'un groupe puisse être structurée et exhaustive. Il apparaît cependant évident qu'un tel postulat est difficilement vérifié.
Dans la pratique, les étapes d'analyse et d'évaluation sont souvent regroupées dans une seule étape. Sur ce point comme sur le précédent, un certain nombre de biais empêchant de mener objectivement la démarche ont été avancés par des spécialistes de la psychologie humaine notamment dans l'article « Problems with scoring methods and ordinal scales in risk assessment ; D. Hubbard, D. Evans ; IBM J. Res. & Dev. Vol. 54 No. 3 Paper 2 May/June 2010 ».
A ces constats s'ajoute encore le fait que les méthodes classiques peinent à considérer les combinaisons de risques alors que les événements récents, comme celui de l'accident de Fukushima, rappellent que les effets cumulés peuvent avoir des conséquences plus sévères que la seule juxtaposition des effets pris isolément.
L'art antérieur fait ressortir des approches différentes de la méthodologie générale et de ses variantes décrites dans les normes internationales. Par exemple, le brevet US 7,756,896 propose une méthode analytique multidimensionnelle principalement dans le domaine de la gestion de portefeuilles de valeurs. Cette approche se positionne comme étant une méthode de gestion du risque. La revue du texte publié suggère davantage qu'il s'agit d'une méthode d'analyse multifactorielle développée pour définir des optima de positions de valeurs pour un portefeuille donné ce qui de facto situe ce point de fonctionnement sur des minima de risque.
La demande de brevet US 2007/0208600 s'applique à la gestion du risque en général tel que prescrit dans la norme ISO 31000. Il propose un système informatisé permettant de collecter et valoriser les événements associés à la politique de gestion du risque et ainsi permettre une mise à jour et une actualisation de l'évaluation des risques. Des outils d'analyse basés sur les indicateurs renseignent sur la performance de la politique de gestion du risque.
Le brevet US 8,355,932 s'applique à la gestion du risque de détournement ou de violation d'une propriété intellectuelle. Il fournit une méthode de contrôle sous forme de liste de vérification (checklist) spécifique au domaine.
Enfin, l'article PS/INF 1/2010 publié sur le site www.picscheme.org par Ph. Le Goff et al décrit une approche adaptée à la gestion du risque dans le secteur pharmaceutique. Un découpage de l'espace de travail en étapes de travail élémentaires est décrit. La méthode cite également l'intérêt d'avoir un système informatisé d'aide à la gestion. Une plateforme de mise en commun et l'importance d'une gestion communautaire sont mentionnées.
Ces références de l'art antérieur sont significatives dans la mesure où quand elles s'écartent de la méthodologie générale donnée par les normes internationales elles deviennent alors plus des outils analytiques paramétrés pour un domaine d'activité spécifique, le plus souvent les secteurs bancaires et financiers, que de réelles politiques de gestion globale du risque organisationnel. La demande de brevet US 2007/0208600 se réclamant de la méthode générale telle que par exemple décrite dans la norme ISO 31000 apporte une amélioration à l'homme de l'art en lui fournissant un outil de gestion des événements et informations nouvelles pour permettre le maintien de la pertinence du système mais sans pour autant apporter une méthode ou une approche nouvelle.
Dans ce contexte, le but de la présente invention est d'offrir une méthode mise en œuvre par ordinateur permettant d'évaluer et de gérer les risques et vulnérabilités systémiques et sectoriels encourus par une organisation se démarquant résolument des approches classiques proposées dans les domaines de la gestion du risque pour réduire la subjectivité et proposer, par une interface utilisateur, un mode convivial de gestion dynamique du risque organisationnel global. Un objectif de la présente invention est donc d'apporter à l'homme du métier une méthode qui rationalise sa démarche et lui donne un outil capable de véritablement gérer une politique du risque objective et quantitative.
La présente invention a pour objet une méthode mise en œuvre par ordinateur d'évaluation et de gestion des risques selon la revendication 1 . La présente invention a également pour objet un système informatisé ou programme d'ordinateur selon la revendication 3 pour la mise en œuvre de la méthode. Le système informatisé peut être fourni sur un support d'enregistrement ou sur un support de communication. Chacun des supports d'enregistrement et des moyen de communication peut fournir le programme d'ordinateur d'une manière lisible par un ordinateur pour un système informatique à usage général exécutant une série de codes. Avec le système informatisé lisible par un ordinateur, l'ordinateur exécute des processus en réponse au système.
La méthode et le système informatisé selon l'invention vont maintenant être décrits en détail en référence aux figures annexées. La figure 1 , commentée plus haut, est un schéma détaillant le processus de management du risque selon la norme ISO 31000 :2009(F).
La figure 2 illustre de manière schématique une arborescence d'une organisation en processus, sous-processus, étapes élémentaire et modes de déviation.
La figure 3 est une représentation graphique des modes de déviation de l'activité globale de l'organisation dont l'arborescence est illustrée à la figure 2.
La figure 4 illustre schématiquement une déviation par rapport à un état idéal sous l'impulsion des forces exercées par les causes,
Les figures 5 à 7 illustrent différentes interfaces utilisateur du système informatisé pour la mise en œuvre de la méthode selon l'invention.
L'invention concerne une méthode mise en œuvre par ordinateur permettant d'évaluer et de gérer de manière interactive, dynamique et objective les risques et vulnérabilités tant systémiques que sectoriels encourus par une organisation. L'invention s'appuie sur une méthode se démarquant résolument des approches classiques proposées dans les domaines de la gestion du risque pour réduire la subjectivité et proposer, par une interface utilisateur, un mode convivial de gestion dynamique du risque organisationnel global.
Dans son principe, la méthode consiste à réaliser un maillage des domaines systémiques et sectoriels de l'activité de tel sorte qu'une maille corresponde à une entité élémentaire de l'activité globale mise en œuvre par l'organisation. L'ensemble des mailles couvre la totalité de l'activité. La méthode propose alors de positionner dans un espace vectoriel à n dimensions à valeurs discrètes les modes possibles de déviation par rapport à un état idéal de l'activité unitaire contenue dans une maille. Les coordonnées obtenues pour la maille permettent de calculer la norme, au sens de la méthode selon l'invention, du vecteur « vulnérabilité intrinsèque primaire » de l'activité unitaire considérée.
Les dimensions de l'espace vectoriel sont elles-mêmes organisées en quatre catégories que l'on assimile à des dimensions liées aux causes, aux conséquences, aux liens fonctionnels et aux symptômes pouvant être associés à une vulnérabilité. La méthode est dotée d'outils d'autoévaluation permettant de connaître la pertinence du maillage sur les quatre catégories de dimensions de l'espace vectoriel normé.
Un calcul vectoriel sur l'ensemble des mailles de l'espace permet alors de combiner chaque maille avec l'ensemble de toutes les mailles du système et de moduler la valeur de « vulnérabilité intrinsèque primaire » par les contributions des mailles voisines au sens de norme développée par la méthode selon l'invention. Ce calcul vectoriel fournit la valeur de la « vulnérabilité combinée primaire » pour l'activité unitaire contenue dans la maille.
La méthode propose alors à l'utilisateur d'introduire des mesures de pérennisation organisationnelle. L'introduction de ces mesures génère un espace vectoriel adjoint au précédent dans lequel les coordonnées des mailles adjointes sont redéfinies et conduisent, si les mesures de pérennisation organisationnelles sont efficaces, à l'obtention d'une valeur de « vulnérabilité intrinsèque adjointe » inférieure à la valeur de la « vulnérabilité intrinsèque primaire ». Pour chaque maille de l'espace vectoriel adjoint, la valeur de la « vulnérabilité combinée adjointe » est calculée.
Le résultat obtenu sur l'ensemble des mailles de l'espace vectoriel adjoint permet de connaître l'exposition globale de l'activité de l'organisation au risque de quelque nature qu'il soit. Aussi, la méthode selon l'invention permet de quantifier de manière objective l'efficience des mesures de pérennisation organisationnelle par comparaison avec les résultats obtenus dans l'espace vectoriel primaire. La méthode permet de connaître, par le calcul, l'effet d'une ou de plusieurs mesures de pérennisation sur la vulnérabilité de l'organisation.
Un système informatisé donne l'interface utilisateur nécessaire à la mise en œuvre de la méthode. Il fournit l'ensemble des informations nécessaires au pilotage d'une gestion rationnelle du risque dans l'organisation. Il donne, en mode dynamique, les interfaces graphiques permettant une appréciation rapide et facilitée des composantes des risques et des vulnérabilités.
La méthode selon l'invention et le système informatisé associé donnent à l'homme de l'art exerçant une fonction critique dans l'organisation une solution objective et modulable permettant de gérer les risques et les vulnérabilités systémiques et sectorielles. La méthode selon l'invention et le système informatisé associé sont compatibles avec tout domaine d'activité. L'approche objective et standardisée s'accommode parfaitement d'une utilisation en communauté ou dans un mode de surveillance catégorielle tel que, par exemple, dévolu aux autorités, aux organismes certificateurs, aux cabinets d'audits.
Les différentes étapes de la méthode selon l'invention ainsi que sa mise en œuvre par le système informatisé selon l'invention vont maintenant être décrites en détail.
La première étape consiste en la réalisation de l'arborescence totale de l'organisation dont on veut évaluer et ensuite gérer le risque.
La méthode considère en premier les prescriptions organisationnelles édictées par la norme internationale ISO 9001 qui stipule que :
• Toute organisation développe son activité selon des axes appelés processus.
· L'ensemble des processus couvre la totalité de l'activité d'une organisation.
La méthode distingue les processus en deux catégories :
a. Les processus systémiques qui sont des constantes applicables à tout type d'organisation, c'est-à-dire qu'ils sont indépendants de l'activité développée.
b. Les processus sectoriels qui sont des paramètres spécifiques à un secteur d'activité ; ceci signifie que deux organisations distinctes, et sans liens directs, qui auraient la même activité auront les mêmes processus systémiques et les mêmes processus sectoriels. Chaque processus peut être subdivisé en sous-processus ; chaque sous- processus peut être subdivisé en étapes élémentaires.
L'arborescence en processus, sous-processus et étape élémentaire est pertinente quand une activité unitaire (activité nécessaire à la réalisation de l'étape, unitaire parce que nécessaire et suffisante à elle seule pour ladite réalisation) peut être associée à chaque étape élémentaire.
Toute activité unitaire associée à une étape élémentaire donnée est décrite par la série des exigences essentielles à sa réalisation ; le nombre d'exigences essentielles pouvant être liées à une activité unitaire est variable mais est le plus souvent compris entre trois et douze exigences. Une exigence essentielle correspond à un besoin explicite fondamental et nécessaire à la bonne réalisation de l'activité unitaire.
Pour chaque exigence essentielle, les différents modes de déviations possibles sont listés un à un. Un mode de déviation correspond à une situation particulière dans laquelle l'activité unitaire dévie de son état idéal. La figure 2 illustre de manière schématique un exemple d'arborescence totale d'une organisation.
Durant l'approche initiale, la description de l'arborescence est basée sur les travaux de spécialistes des systèmes organisationnels et du secteur d'activité de l'organisation concerné. La mise à jour de l'arborescence est placée sous contrôle permanent afin d'en garantir sa pertinence, notamment pour inclure et placer sous maîtrise les nouvelles technologies du secteur d'activité ou tout changement au niveau de l'organisation. Une arborescence décrivant une activité traditionnelle compte généralement de l'ordre de 500 à 5Ό00 modes de déviations.
Une fois l'arborescence construite, l'étape suivante consiste à référencer chaque mode de déviation par un code donnant le repère univoque d'un mode de déviation dans l'arborescence. Ce code correspond également aux coordonnées du mode de déviation dans un espace E représentant l'activité de l'organisation. La figure 3 montre un mode de disposition et de représentation graphique des modes de déviation. Chaque petit cercle représente un mode de déviation. En pointant, ou en cliquant un cercle, ses coordonnées, et donc sa position dans l'arborescence, sont données par le système informatisé. Dans un mode de disposition préféré, les petits cercles sont disposés au bout de rayons convergents vers le centre de la figure. Les modes de déviations de la partie gauche sont de préférence colorés et correspondent à des modes de déviation liés à des processus systémiques, les modes de déviations de la partie droite sont gris et correspondent à des modes de déviation liés à des processus sectoriels.
Les éléments de l'espace E, c'est-à-dire les modes de déviations exprimés en code ou coordonnées, sont gérés par le système informatisé comme autant de niveaux d'une base de données relationnelle pour offrir à l'utilisateur une gestion simple et conviviale.
Dans une étape suivante, un espace C à n dimensions est créé de manière indépendante à la construction de l'espace E. Les dimensions de l'espace C sont de quatre classes :
· Les dimensions donnant les causes d'une déviation,
• Les dimensions donnant les conséquences d'une déviation,
• Les dimensions donnant les symptômes d'une déviation,
• Les dimensions donnant les liens fonctionnels concernés par la déviation, un lien fonctionnel existant entre deux étapes si une réalisation de l'un influence une réalisation de l'autre (par exemple, il n'y a en général par le lien fonctionnel entre le secteur facturation et le secteur nettoyage des locaux dans une entreprise).
Chaque mode de déviation est également repéré par des coordonnées de l'espace C. Les coordonnées d'un mode de déviation dans l'espace C s'expriment par une série binaire donnant la position du mode de déviation sur chacune des dimensions de l'espace. En pratique, les coordonnées affichées par le système informatisé se composent de la concaténation en un seul terme des dimensions pour lesquelles la position du mode de déviation est non nulle. Toutefois, pour accroître la convivialité à l'utilisation, le terme concaténé des dimensions ayant une composante non nulle est affiché dans quatre cellules différentes correspondant aux quatre classes des dimensions de l'espace C.
La méthode selon l'invention définit une norme sur l'espace C. En conséquence, l'espace C a la structure d'un espace vectoriel normé (ci-après EVN). On définit alors la distance au point P (désignant la position d'un mode de déviation) de l'EVN C comme le résultat d'une expression algébrique obtenue par une combinaison linéaire dans laquelle chaque dimension est caractérisée par une composante paramétrique spécifique. Les valeurs des paramètres associés à chaque dimension de l'espace C sont attribuées par un groupe d'experts. Elles restent constantes dans leurs domaines d'application pour, par exemple, permettre les comparaisons directes de deux organisations actives dans le même secteur. La distance au point P s'interprète comme étant l'éloignement du mode de déviation représenté par ce point par rapport à un état idéal de l'activité unitaire concerné. Aussi, la distance au point P définit la « vulnérabilité intrinsèque » de l'activité unitaire, exprimée par une exigence essentielle, décrite en ce point.
La méthode selon l'invention permet ensuite le calcul rationnel des risques cumulés et/ou agrégés. Pour chaque point P de l'espace C, la méthode calcule dans une étape suivante les distances relatives à l'ensemble des autres points de l'espace C. La méthode selon l'invention a ceci de spécifique qu'une distance relative entre un couple (P, P') de deux points de l'espace C n'est définie que si les coordonnées des points du couple ont en commun des valeurs non nulles de positionnement selon des dimensions appartenant à la classe des liens fonctionnels, c'est-à-dire s'il existe des liens fonctionnels entre les modes de déviation représenté par P et P'. Par convention, la méthode selon l'invention attribue la valeur « 0 » à un couple (P, P') de points pour lequel la distance relative n'est pas définie. Ainsi, cette convention traduit le fait que deux activités unitaires sans liens fonctionnels (activités unitaires dans des processus totalement indépendants par exemple) n'ont aucune influence l'un sur l'autre. Pour un point P0 de l'espace C, la contribution de l'environnement à la distance du point par rapport à un état idéal (définition de la « vulnérabilité intrinsèque ») est donnée par un calcul prenant en compte l'ensemble des distances relatives (P0, Pi) et en les associant dans une combinaison linéaire pour donner au point P0 le terme contributif de son environnement :
Soit dj la distance du point Pj à l'état idéal (valeur de la « vulnérabilité intrinsèque ») et soit t0j la distance relative du point P0 au du point Pj, pour tout point Pj de l'espace C, le terme contributif w0 s'exprime alors par
Figure imgf000013_0001
Le calcul du terme contributif w0 nécessite l'introduction d'une approche itérative, similaire à celle notamment utilisée pour déterminer une solution numérique aux équations de Navier-Stokes dans le domaine de la mécanique des fluides. Aussi, le calcul du terme contributif s'effectue selon un algorithme contrôlé par l'obtention d'une différence entre les termes d'ordre n-1 et n inférieure à une valeur de convergence. Le système informatisé permet d'afficher la courbe de convergence du terme contributif en fonction de la valeur « n » de l'itération.
La distance D0 pondérée de l'environnement d'un point P0 à son état idéal s'exprime alors par :
D0 = d0 + w0 = d0 +∑ to i■ d,
La distance D0 pondérée représente la valeur de la « vulnérabilité combinée » au point P0 de l'espace C.
Pour chaque mode de déviation de l'espace E représenté par un point P dans l'espace C, l'organisation en charge de sa gestion du risque apporte des mesures de pérennisation destinées à réduire la vulnérabilité au point P :
soit par réduction de la vulnérabilité intrinsèque en réduisant la distance du point P (et donc du mode de déviation) à l'état idéal ;
soit par réduction de la vulnérabilité combinée en réduisant la valeur du terme contributif de l'environnement w0. Les mesures de pérennisation sont gérées par le système informatisé YsGall comme autant de niveaux d'une base de données relationnelle pour offrir à l'utilisateur une gestion simple et conviviale. Le système informatisé YsGall permet d'afficher en parallèle la base des données primaires (modes de déviation) et celle adjointe des mesures de pérennisation.
Par l'application des mesures de pérennisation, la position du point P est déterminée dans un espace vectoriel normé AC adjoint à l'espace C. Les nouvelles valeurs des vulnérabilités sont calculées :
■ Ad donne la valeur de la vulnérabilité intrinsèque adjointe,
AD donne la valeur de la vulnérabilité combinée adjointe.
Les valeurs et paramètres calculés dans l'espace C sont dites « primaires » tandis que les valeurs et paramètres calculés dans l'espace AC sont dites « adjointes ».
La méthode selon l'invention permet le calcul d'outils statistiques et analytiques utiles à la gestion pilotée de la politique de gestion du risque. Le système informatisé donne les moyens d'affichage et de valorisation des résultats statistiques et analytiques calculés par la méthode selon l'invention. Parmi ces outils d'aide à la gestion de la politique de gestion du risque, on cite par exemple :
Les cartographies relationnelles des activités unitaires de l'espace E dans les dimensions de l'espace C :
o causes - conséquences
o sous-processus - liens fonctionnels ,
Les cumuls d'ensemble d'étapes unitaires associées,
La vulnérabilité d'une organisation par le calcul et l'affichage des distances à un objectif de seuil paramétré par l'utilisateur.
La méthode selon l'invention permet en outre l'évaluation économique de la mise en œuvre et du maintien des mesures de pérennisation.
La méthode selon l'invention associée au système informatisé sous la forme d'une base de données relationnelle gère un ensemble de commentaires et d'informations au format texte utiles à la gestion pilotée de la politique de management du risque.
La méthode selon l'invention se démarque significativement des approches de gestion du risque connues. En inscrivant la politique de management du risque dans un cadre scientifique, la méthode selon l'invention rationalise les étapes de gestion du risque pour accroître leur objectivité et permettre, par un mode de quantification innovant, une harmonisation de la démarche sur différentes organisations œuvrant dans un même secteur d'activité.
Une des idées à l'origine de la méthode selon l'invention consiste à considérer que les risques ne devraient pas être perçus comme des événements extérieurs à l'organisation impactée et pouvant survenir de manière imprévisible mais au contraire comme étant le résultat d'une vulnérabilité latente. Il est utopique de croire qu'une méthode de gestion des risques quelque qu'elle soit puisse protéger une organisation de tout événement indésirable en analogie avec celle du parapluie. Une bonne approche de gestion du risque doit être beaucoup plus subtile pour viser à atténuer les effets des événements indésirables, qui continueront à survenir de manière totalement imprévisible, pour que ces effets soient sans impact majeur ou, tout au moins, ne conditionne pas la survie de l'organisation. Pour autant, la méthode de l'invention ne se définit pas comme étant une méthode destinée à accroître la seule résilience d'une organisation qui, au sens premier du terme « résilience », laisse percevoir un système courbant l'échiné face à l'adversité mais elle se veut, au contraire, volontaire et dynamique pour permettre une réduction continue des vulnérabilités de l'organisation.
Dans l'approche conceptuelle de la méthode selon l'invention, l'idée consiste à se détacher de l'irrationnel, le risque par définition, pour ne se concentrer que sur le rationnel. Pour ceci, la méthode prend le parti de décomposer en éléments irréductibles l'ensemble des forces et des objets présents dans le champ des activités d'une organisation. Selon ce découpage, les objets sont représentés par les exigences essentielles telles qu'illustrées à la figure 2. Sous l'impulsion des forces constituées par les causes, les exigences essentielles se trouvent déplacées et créent une déviation par rapport à l'état idéal en direction d'une ou de plusieurs conséquences indésirables pour l'organisation. La figure 4 donne une représentation graphique de ce principe.
Les dimensions de type « causes » de l'espace C sont construites sur un diagramme de type Ishikawa dont les dimensions initiales sont augmentées pour compter un minimum de douze classes dimensionnelles dérivant d'une approche de diagramme 6M. Chaque classe dimensionnelle est elle-même divisée en éléments simples qui donneront les dimensions causales. La méthode selon l'invention poursuit cette classification en introduisant un algorithme de maillage des causes entre elles et une attribution de coefficients de pondération pour chacune des dimensions. Ces coefficients de pondération sont calculés en considérant le nombre de nœuds associés à une dimension (un nœud désigne une dimension ou un réseau de dimensions) et le nombre de dimensions de type symptômes.
Les dimensions de type « conséquences » de l'espace C sont construites sur un principe similaire à celui des dimensions de type « causes ».
La méthode selon l'invention considère que les impacts possibles des déviations observées dans la mise en œuvre de l'activité par rapport à un état idéal peut par conjugaison des effets dépasser leurs seules juxtapositions. L'approche de la méthode selon l'invention pour le calcul des effets conjugués est à la fois originale et rationnelle. Cette approche consiste à construire un modèle fondé sur les lois mathématiques applicables aux espaces vectoriels normés et pouvant dans son principe s'assimiler à un calcul par volumes finis. Dans les calculs par volumes finis, tels que par exemple mis en œuvre pour trouver une solution numérique aux équations de Navier-Stokes dans le domaine de la dynamique des fluides, les valeurs des paramètres calculés dans chaque volume sont modulées par celles calculées dans les éléments voisins. Dans un calcul par volumes finis, l'ensemble des paramètres doit encore être « lissé » sur la totalité du domaine de calcul par un algorithme itératif jusqu'à l'obtention d'une solution globale stable. Dans l'approche de la méthode selon l'invention, un principe comparable est mis en application avec toutefois une différence de taille : les voisins immédiats d'un volume ne sont a priori pas connus. Pour résoudre cette problématique, la méthode selon l'invention s'est dotée d'une définition spécifique pour la notion de distance. En effet, deux éléments sont dits voisins quand les distances entre ces éléments sont minimales ou inférieures à une limite prédéfinie. Au sens de la méthode selon l'invention, une distance est d'autant plus courte que les déviations ont en commun davantage de causes et de conséquences pour autant que ces déviations soient placées sur les mêmes liens fonctionnels.
Aussi par le traitement d'une déviation quelle qu'elle soit, la méthode selon l'invention impulse une approche globalisée à l'ensemble des déviations qui lui sont liées et contribuent à la valeur de la vulnérabilité. Ce concept permet d'évaluer de manière objective et rationnelle les effets des mesures de pérennisation pour l'ensemble des déviations liées à celle sur laquelle les mesures sont censées s'appliquer directement. En ceci, la méthode selon l'invention fournit une véritable solution de gestion de la pérennisation dynamique dans une organisation en donnant à l'homme de l'art un outil permettant d'évaluer la portée des mesures avant leur mise en œuvre ou l'impact en cas de défaillance dans leur implémentation.
La mise en œuvre de la méthode selon l'invention est facilitée par le système informatisé qui donne à l'utilisateur l'interface permettant de gérer l'ensemble des fonctions de la méthode. Le système se compose de trois fenêtres principales ouvrant sur :
■ La gestion des vulnérabilités systémiques et sectorielles évaluées en mode primaire (dans l'espace C),
■ La gestion des vulnérabilités systémiques et sectorielles évaluées en mode pérennisé (dans l'espace adjoint AC), La gestion analytique et dynamique des composantes de la pérennisation organisationnelle.
Les figures 5 à 7 donnent des exemples des principales vues d'écran associées aux fenêtres des interfaces utilisateurs. Celles-ci sont susceptibles d'évoluer pour accroître l'ergonomie utilisateur sans que ces modifications ne touchent le contenu du procédé inventif.
Le système informatisé communique avec les différentes plateformes informatiques sur lesquelles il peut être installé par ses fonctions de lecture, écriture et sauvegarde de fichiers au format .txt avec ou sans la mise en œuvre des opérations de cryptage / décryptage des fichiers. Ces fichiers sont destinés à être de nature publique ou privée.
Les fichiers publics sont par exemple :
La base de données des modes de déviation systémiques primaires,
La base de données des modes de déviation sectorielles primaires,
Les bases de données donnant les quatre classes de dimensions de l'espace C :
o Causes
o Conséquences
o Liens fonctionnels
o Symptômes
Les fichiers privés sont par exemple :
La base de données des modes de déviation organisationnelles primaires compilées,
La base de données des modes de déviation organisationnelles pérennisées compilées,
La base de données des mesures de pérennisation organisationnelle. La méthode selon l'invention mise en oeuvre par le système informatisé donne à tout acteur ou à toute organisation, concerné par sa pérennité, une approche rationnelle dans un outil simple et efficace lui permettant de gérer sa politique du risque en réduisant sa vulnérabilité par l'apport des mesures adéquates. La méthode et le système peuvent être utilisés pour une utilisation analytique en temps réel ou pour une évaluation prospective et/ou rétrospective de la pertinence des mesures de pérennisation mises en œuvre. La méthode et le système sont compatibles avec tout type d'activité sectorielle que celle-ci soit industrielle, financière, de l'assurance, des intérêts publics (telle que la protection des catastrophes ou la sécurisation d'opérateurs vitaux), etc ..

Claims

REVENDICATIONS Méthode mise en œuvre par ordinateur d'évaluation et de gestion du risque dans une organisation dont l'activité globale est divisée en activité unitaire, la réunion de toutes les activités unitaires donnant l'activité globale de l'organisation, la méthode comprenant les étapes suivantes :
• Enregistrer dans une première base de données l'ensemble des déviations possibles par rapport à un état idéal de toutes les exigences essentielles fondamentales et nécessaires à la réalisation d'une activité unitaire ;
• Pour toute déviation (P0) de la première base de donnée à laquelle a été attribué des coordonnées dans un premier espace vectoriel normé de dimensions n, lesdites dimensions étant liées à quatre classes : causes de la déviation, conséquence de la déviation, symptôme d'une déviation et liens fonctionnels avec d'autres déviation, calculer dans le premier espace vectoriel normé d'une part la distance (d0) entre ladite déviation (P0) et un état idéal et d'autre part la distance relative (t0j) entre ladite déviation (P0) et toutes les autres déviations (Pj) de la première base de donnée,
• Calculer la valeur du risque combiné pour toute déviation (P0) de la base de donnée selon la formule :
Do = d0 +∑ t0,i . di,
Où dj désigne la distance par rapport à un état idéal pour toute autre déviation (Pj) de la base de données, le calcul étant itératif et poursuivi jusqu'à obtention d'une valeur de convergence (différence absolue pour un terme entre deux valeurs consécutives d'itération) inférieure au seuil déterminé par l'utilisateur.
2. Méthode selon la revendication 1 , caractérisée qu'elle comprend en outre les étapes :
• Enregistrer dans une seconde base de données des mesures de pérennisation ;
• Pour toute déviation (P0) de la première base de donnée à laquelle a été attribué des coordonnées dans un second espace vectoriel normé de dimensions n adjoint au premier espace vectoriel normé, lesdites dimensions étant liées à quatre classes : causes de la déviation, conséquence de la déviation, symptôme d'une déviation et liens fonctionnels avec d'autres déviation, lesdites classes étant pondérées par les mesures de pérennisation de la seconde base de donnée, calculer dans le second espace vectoriel normé d'une part la distance (Ad0) entre ladite déviation (P0) et un état idéal et d'autre part la distance relative (t0,i) entre ladite déviation (P0) et toutes les autres déviations (Pi) de la première base de donnée,
• Calculer la valeur du risque combiné pérennisé pour toute déviation (P0) de
Figure imgf000021_0001
la base de donnée selon la formule : Où Adj désigne la distance par rapport à un état idéal pour toute autre déviation (Pi) de la base de données, le calcul étant itératif et poursuivi jusqu'à obtention d'une valeur de convergence (différence absolue pour un terme entre deux valeurs consécutives d'itération) inférieure au seuil déterminé par l'utilisateur.
3. Programme d'ordinateur pour l'évaluation et la gestion du risque comprenant un code permettant la mise en oeuvre des étapes de la méthode selon l'une des revendications 1 ou 2 lorsque le programme est exécuté par un ordinateur.
PCT/IB2014/059415 2013-03-22 2014-03-04 Methode d'evaluation et de gestion des risques et vulnerabilites systemiques et sectoriels encourus par une organisation WO2014147502A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CH6542013A CH707784A2 (fr) 2013-03-22 2013-03-22 Méthode d'évaluation et de gestion des risques et vulnérabilités systémiques et sectoriels encourus par une organisation.
CH0654/13 2013-03-22

Publications (1)

Publication Number Publication Date
WO2014147502A1 true WO2014147502A1 (fr) 2014-09-25

Family

ID=50346054

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/IB2014/059415 WO2014147502A1 (fr) 2013-03-22 2014-03-04 Methode d'evaluation et de gestion des risques et vulnerabilites systemiques et sectoriels encourus par une organisation

Country Status (2)

Country Link
CH (1) CH707784A2 (fr)
WO (1) WO2014147502A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070208600A1 (en) 2006-03-01 2007-09-06 Babus Steven A Method and apparatus for pre-emptive operational risk management and risk discovery
US7756896B1 (en) 2002-03-11 2010-07-13 Jp Morgan Chase Bank System and method for multi-dimensional risk analysis
US8355932B2 (en) 2005-04-08 2013-01-15 Ocean Tomo Llc System and method for managing intellectual property-based risks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7756896B1 (en) 2002-03-11 2010-07-13 Jp Morgan Chase Bank System and method for multi-dimensional risk analysis
US8355932B2 (en) 2005-04-08 2013-01-15 Ocean Tomo Llc System and method for managing intellectual property-based risks
US20070208600A1 (en) 2006-03-01 2007-09-06 Babus Steven A Method and apparatus for pre-emptive operational risk management and risk discovery

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
D. HUBBARD; D. EVANS: "Problems with scoring methods and ordinal scales in risk assessment", IBM J. RES. & DEV., vol. 54, no. 3, 2 May 2010 (2010-05-02)
JOSE BARATEIRO ET AL: "Integrated management of risk information", COMPUTER SCIENCE AND INFORMATION SYSTEMS (FEDCSIS), 2011 FEDERATED CONFERENCE ON, IEEE, 18 September 2011 (2011-09-18), pages 791 - 798, XP032021116, ISBN: 978-1-4577-0041-5 *
NITIN NAYAK ET AL: "Knowledge Driven Enterprise Risk Management", SRII GLOBAL CONFERENCE (SRII), 2012 ANNUAL, IEEE, 24 July 2012 (2012-07-24), pages 564 - 573, XP032242176, ISBN: 978-1-4673-2318-5, DOI: 10.1109/SRII.2012.69 *

Also Published As

Publication number Publication date
CH707784A2 (fr) 2014-09-30

Similar Documents

Publication Publication Date Title
Eccles et al. Exploring social origins in the construction of ESG measures
Jones et al. Tax haven networks and the role of the Big 4 accountancy firms
Behl et al. A conceptual framework for the adoption of big data analytics by e-commerce startups: a case-based approach
Sharma et al. Analysing the adoption of cloud computing service: A systematic literature review
Erol et al. Assessing the feasibility of blockchain technology in industries: evidence from Turkey
Dener et al. GovTech maturity index: The state of public sector digital transformation
Ibrahim et al. The convergence of big data and accounting: innovative research opportunities
Khalili et al. A temporal framework of social resilience indicators of communities to flood, case studies: Wagga wagga and Kempsey, NSW, Australia
Hassani et al. Scenario analysis in risk management
CN101861586A (zh) 知识产权和财务信息的聚集、分析和呈现
Wong et al. Financial accounting fraud detection using business intelligence
Micheni Diffusion of big data and analytics in developing countries
Hasani et al. Evaluating the adoption of cybersecurity and its influence on organizational performance
Damle et al. Identifying critical drivers of innovation in pharmaceutical industry using TOPSIS method
Tsai et al. Hybrid MADM-based study of key risk factors in house-for-pension reverse mortgage lending in Taiwan's banking industry
Snilstveit et al. Protocol: Incentives for climate mitigation in the land use sector: A mixed‐methods systematic review of the effectiveness of payment for environment services (PES) on environmental and socio‐economic outcomes in low‐and middle‐income countries
Ku-Mahamud et al. Blockchain, cryptocurrency and Fintech market growth in Malaysia
Rana et al. Emerging Technologies of Big Data in the Insurance Market
Próchniak et al. WIG-20 Warsaw Stock Exchange companies: are they ready for governance matters disclosures based on EU sustainable reporting standards?
Kirfi et al. Determinants of Clients’ intention to adopt Takaful services in Gombe state
Nepelski et al. Estimating investments in general purpose technologies
WO2014147502A1 (fr) Methode d'evaluation et de gestion des risques et vulnerabilites systemiques et sectoriels encourus par une organisation
WO2022015496A1 (fr) Application de télématique visant à générer des primes d'assurance dynamiques
WO2022015488A1 (fr) Affinement de modèle entraîné par événement de gestion d'assurance et de risque
Chataigner Some contributions of machine learning to quantitative finance: volatility, nowcasting, cva compression

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14712041

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14712041

Country of ref document: EP

Kind code of ref document: A1