Bien qu’il existe d’innombrables types de risques, les quatre principaux typesRobert S. Kaplan, Anette Mikes, (June 2012), Managing Risks: A New Framework, Harvard Business Review. dans lesquels ProActive Risk Management (PARM) se spécialise sont décrits dans la liste suivante :

Risques physiques

Les risques physiques comprennent les risques associés aux bâtiments et à l’infrastructure. Les risques d’incendie, d’explosion, de stockage ou de manipulation des stocks sont tous considérés comme des risques physiques. Les matières dangereuses, les déversements et les accidents entrent également dans cette catégorie. Dans la plupart des cas, ces risques peuvent être évités.

Risques environnementaux

Les catastrophes naturelles, la proximité d’installations potentiellement dangereuses et le niveau de criminalité dans le voisinage sont autant de risques environnementaux. Dans la mesure où une entreprise a la liberté de choisir l’environnement dans lequel elle travaille, certains de ces risques peuvent être évités, d’autres peuvent être stratégiques et le reste est externe.

Risques humains

L’alcoolisme, la toxicomanie, les problèmes de comportement, le casier judiciaire et les problèmes financiers sont autant de types de risques humains. Ce type de risque comprend également le détournement de fonds, le vol et la fraude. En général, tous ces risques peuvent être considérés comme évitables.

Risques technologiques

La catégorie de risques la plus récente et qui connaît la croissance la plus rapide est celle des risques technologiques. Le piratage, l’usurpation d’identité, la violation de données et les publications nuisibles à la réputation sur les médias sociaux sont les exemples les plus courants de ce type de risque.Les menaces de ce type qui proviennent de l’intérieur de l’organisation devraient être considérées comme évitables, mais la plupart du temps, elles apparaissent de l’extérieur de l’entreprise et sont donc classées comme externes.

Malgré toute la rhétorique et l’argent investis dans ce domaine, la gestion des risques est trop souvent traitée comme une question de conformité qui peut être résolue en élaborant de nombreuses règles et en veillant à ce que tous les employés les respectent. Bien entendu, nombre de ces règles sont judicieuses et permettent de réduire certains risques qui pourraient gravement nuire à l’entreprise. Le problème avec ce type de raisonnement est que la gestion des risques basée sur des règles ne diminuera ni la probabilité ni l’impact de tous les risques. La conformité ne garantit pas la sécurité.

Les risques qui entrent dans la catégorie des risques évitables sont mieux gérés par une prévention active : surveiller les processus opérationnels et orienter les comportements et les décisions des personnes vers les normes souhaitées.

Les risques classés dans la catégorie Stratégie ne peuvent pas être gérés au moyen d’un modèle de contrôle fondé sur des règles. Il faut au contraire un système de gestion des risques conçu pour réduire la probabilité que les risques supposés se concrétisent et pour améliorer la capacité de l’entreprise à gérer ou à contenir les événements à risque s’ils se produisent. Un tel système n’empêcherait pas les entreprises de se lancer dans des projets risqués ; au contraire, il leur permettrait de se lancer dans des projets plus risqués et plus rémunérateurs que ne le feraient des concurrents dotés de programmes de gestion des risques moins efficaces.

Les risques externes sont ceux qui posent le plus de problèmes. Par nature, une entreprise ne peut ni les contrôler ni les influencer, et encore moins les prévenir. La gestion de ces risques doit se concentrer d’abord sur leur identification, puis sur l’atténuation de leur impact.