Qu’est-ce que le principe de prudence et quelle est sa place en gestion de risque informationnel dans la santé ?

Le principe de prudence, un concept philosophique, trouve ses origines dans les vertus d’Aristote (Aubenque, 1963) et de son maître Platon (Giroux, 2002). Pour Aristote, le phronesis (traduit en latin par Cicéron par prudentia) encadre toutes les vertus de l’Homme sage (Lecours,2003; Aubenque, 1963). Bien que la sagesse conseille la réserve dans certaines situations, elle exige l’action dans d’autres. La capacité de faire le bon choix in situ devient une question de vertu. L’acteur individuel sage et vertueux, moulé par l’habitude, le mentorat et l’expérience, démontre sa prudence dans les jugements concrets faits dans l’action lors de circonstances spécifiques pour éviter l’injustice intentionnelle. Il choisit avec discernement les moyens appropriés aux finalités véritablement bonnes pour lui, comme individu, mais surtout pour l’ensemble des résidents de la cité (Aristote, cité dans Aubenque, 1963).

Dans la tradition chrétienne, le principe de prudence se retrouve dans les écrits d’Ambroise de Milan (Saint Ambroise), Augustin d’Hippone (Saint Augustin) et Thomas d’Aquin (Saint Thomas d’Aquin). Dans son Summa Theologica, (II,I,61), Thomas d’Aquin déclare que la prudence est l’une des quatre vertus cardinales, avec la justice, la fortitude et la tempérance.

Dans l’ère moderne, le bien individuel prends l’avant-scène sur le bien commun. Au début de la révolution industrielle, Adam Smith (Smith,1853) décrit la prudence comme une vertu qui concerne l’individu, sa santé, sa fortune, son rang et sa réputation. Smith présente la prudence comme la vertu parcimonieuse du banquier qui commande le respect sans amour ou admiration. Chez Kant, la prudence perd son statut de vertu pour s’identifier avec l’intérêt personnel, la raison morale excluant les préférences et les bénéfices personnels. L’action moralement correcte existe, selon Kant, quand, par volonté pure, l’acteur individuel s’impose une loi morale raisonnable à l’encontre du désir ou de l’avantage personnel. Dans cette perspective, l’action est considérée plus méritoire quand l’inclination est sciemment contrecarrée. Plusieurs théoriciens contemporains arguent d’un déclin de la prudence par un passage de la vertu comme sagesse pratique d’Aristote au profit de l’approche Kantienne (Uyl,1991; Dunne,1997; Gadamer,1975; MacIntyre,1984; Nussbaum,1986; Zagzebski,1996 dans Kane,2006).

Par exemple, l’application du principe de prudence de Smith pourrait suggérer qu’un mensonge est pardonnable, même nécessaire, quand les conséquences de dire la vérité vont à l’encontre du désir ou de l’avantage personnel, alors qu’en appliquant la position de loi morale de Kant (Kane, 2006) le mensonge, dans n’importe quelle circonstance, est proscrit. Cependant, ces deux visions sont très loin de la position d’Aristote pour qui la vertu n’est jamais la simple application de lois universelles impersonnelles. Dans une application du point de vue aristotélicien, le mensonge peut se justifier s’il est dans l’intérêt général de la cité et des ses habitants.

Dans le domaine de la gestion organisationnelle, une position Kantienne du comportement règlementé s’avère attrayante pour la gouvernance des organisations. Cependant, le quotidien des organisations est caractérisé par le changement et l’incertitude. Les situations réelles auxquelles font face les organisations ne sont jamais tout à fait identiques. Ainsi, l’application au quotidien d’une éthique soutenue par des règles invariables devient difficile à mettre en œuvre. Dans toute circonstance donnée, la décision vertueuse, doit prendre en considération de multiples dimensions, dont les règles, les principes, les conventions applicables, les sensibilités et les intérêts des individus et des organisations affectées. Dans plusieurs champs d’activités, les individus et les organisations affectés se retrouvent au-delà du périmètre de la prise de décision. Il devient donc nécessaire de ce questionner sur quelle approche de la prudence, celle d’Aristote, de Thomas d’Aquin, de Kant ou des autres penseurs, trouve son application dans la prise de décision dans nos organisations modernes qui souhaite être vertueuses ou être perçues comme telles. Dans la situation qui nous concerne dans cet article, c’est-à-dire dans les décisions sur le risque associé à la gestion de l’information, ou risque informationnel, dans le domaine de la santé, la prise de risques indus pourra entrainer des conséquences négatives (morbidité, mortalité, perte de qualité de vis) pour les individus ou les populations concernés. La position adoptée a une influence sur les décisions.
Une des premières mises en œuvre du principe de prudence dans le domaine de la santé nous proviens de Thomas Snow qui a fait enlever le robinet d’une fontaine à Londres afin de réduire la transmission du Choléra à Londres (Broad Street) en 1854. Cet épisode marque la naissance de l’épidémiologie.

Prudence ou précaution ?

Le principe de prudence est différent du principe de précaution. Utilisé d’abord en Allemagne à la fin des années 1960 dans le cadre de législation environnementale puis repris dans la Déclaration de Rio au Sommet de la Terre de 1992, le Vorsorgeprinzip ou principe de précaution, est un principe juridique d’action publique qui autorise les pouvoirs publics à prendre les mesures nécessaires pour faire face à des risques non avérés, mais éventuels (Larrère et Larrère,2000). Le principe de prudence s’applique aux risques avérés, démontrés ou connus. Bien que la distinction entre la vertu philosophique (prudence) et le principe, essentiellement juridique, d’action (précaution) tend à s’estomper dans l’opinion publique et dans certains textes, il s’agit de deux concepts différents qu’il est important de distinguer. C’est par principe de prudence que l’acteur individuel agira avec précaution. Dans cet article il est question du principe de prudence.

La place de la prudence en gestion de risque informationnel dans la santé

La gestion est la mise en œuvre de tous les moyens humains et matériels d’une organisation pour atteindre les objectifs préalablement fixés (Office québécois de la langue française,2006) par des actes visant une transformation du monde réel par le travail, la médiation ou l’instrumentation (Dejours,1995). La gestion du risque est nécessaire parce les organisations doivent identifier ce qui est prévisible afin d’assurer leur pérennité (Watkins,2003) et identifier les actions susceptibles de produire des résultats qui réduisent son efficacité, qui vont à l’encontre de l’atteinte de ses objectifs ou qui produisent des résultats négatifs. En sécurité de l’information, la norme internationale ISO 17799 recommande aux organisations d’identifier les risques sont le plus significatifs pour elles (Norme ISO17799:2005). Ainsi, la gestion de risque est l’une des composantes d’une gestion prudente. C’est-à-dire que, sachant qu’il existe la possibilité qu’ils se produisent des aléas, dysfonctions ou événement, susceptible de réduire l’utilité attendue, soit de nuire à l’atteinte efficace des objectifs, le gestionnaire, en tant qu’acteur individuel vertueux, doit tenir compte du risque. Ainsi, une première application du principe de prudence en gestion de risque informationnel est qu’il faille faire de la gestion de risque.
Fondamentalement, la gestion du risque comprend les processus d’identification des menaces, de l’ordonnancement de celles-ci et de la mobilisation de ressources afin de les traiter adéquatement (Watkins,2003). Ces processus sont accomplis par des activités d’identification des risques, d’évaluation du risque et de traitement du risque (Hancock,2002;Alberts,1999;Schumacher,1997). En particulier, l’identification et l’évaluation du risque peuvent être influencé par l’appétence au risque, à des biais de nature psychosociaux, à facteurs culturels et à d’autres forces qui peuvent influencer la perception des variables, de l’attribution de valeur à ces viables et de leur importance relative. L’acteur individuel vertueux devra agir avec prudence dans le choix des variables et de leur mesure. Il devra être rigoureux afin d’identifier l’ensemble des variables. Il devra mettre en place des mesures pour s’assurer de la validité internet et externe dans l’approche qu’il prendra pour opérationnaliser ces processus de gestion de risque. Ces processus s’apparente aux règles de scientificité appliquée en recherche. Nous identifierons ces éléments comme une seconde application du principe de prudence en gestion de risque: rigueur et scientificité.

Dans le cas d’une organisation du secteur de la santé, les objectifs de l’organisation incluent les respects de règles, de lois et de normes qui contiennent des provisions relatives aux informations. Qu’il s’agisse de données concernant les patients, de dossiers cliniques, de résultats de tests, de données populationnelles ou de d’autres données de nature médicale, il y a une pléthore de codes de déontologie d’ordres professionnels, de lois sur la santé, de loi sur l’accès, de traités et des accords (e.g. Helsinky) qui trouvent leur application. Ainsi, dans le contexte de la santé, la gestion du risque informationnel doit prendre en compte , entre autre, la confidentialité, l’intégrité et la disponibilité de l’information.
Une troisième application du principe de prudence en gestion de risque: lorsqu’il ne peut déterminer la probabilité d’occurrence d’un aléa, avec un niveau raisonnable de confiance, l’acteur individuel vertueux doit fonder ses estimations sur la base d’avis d’experts, de données probantes et des meilleures connaissances scientifiques.
Dans la même veine, une quatrième application du principe de prudence en gestion de risque: lorsqu’il ne peut déterminer l’impact résultant d’un aléa ou d’une dysfonction avec un niveau raisonnable de confiance, que les connaissances actuelles sont insuffisantes pour déterminer l’impact ou qu’il existe une doute raisonnable qu’il puisse y avoirs des impacts, même à long terme, ou qu’il s’agisse d’une nouvelle situation, par exemple l’utilisation d’une nouvelle technologie, l’acteur individuel vertueux doit fonder ses estimations sur la base d’avis d’experts, de données probantes et des meilleures connaissances scientifiques.

Finalement, comme cinquième application du principe de prudence en gestion de risque: dans le doute, l’acteur individuel vertueux doit prendre toutes les mesures raisonnables pour réduire l’impact ou préférer l’abandon d’un projet à une prise de risque inopiné.

Bibliographie

Aubenque, P. (1963) La prudence chez Aristote, Presses universitaires de France, Paris

Diderot, D. et als. (1777) Encyclopédie, ou dictionnaire raisonné des sciences, des arts et des métiers, par une société de gens de lettres, Pellet, Imprimeur libraire rue des Belles Filles, Genève, disponible en ligne: http://portail.atilf.fr.ezproxy.usherbrooke.ca/encyclopedie/Formulaire-de-recherche.htm accédé le 6 avril 2010.

Kane, J.(2006)In search of prudence : The hidden problem of managérial reform, Public Administration Review, Volume 6, Issue 5, P 711-724

Giroux, L., Giroux, N. (2002) De la prudence : étude du Charmide de Platon, Éditions du renouveau pédagogique, Saint-Laurent, Québec
Smith, A.(1853), 6, 14)

Larrère, C. et Larrère, R. (2000) Les OGM, entre hostilité de principe et principe de précaution, Cités n° 4, PUF

Lecours, D. (2003) OGM: Un tour d’horizon complêt, Futura Sciences, accédé en ligne le 9 avril 2010, http://www.futura-sciences.com/fr/doc/t/genetique/d/ogm-un-tour-dhorizon-complet_223/c3/221/p4/

Une grille d’évaluation des méthodologies d’analyse de risque.

imuseepar Marc-André Léger, DESS, MScA

Chargé de cours, Programme de 2e cycle de gouvernance, audit et sécurité TI
Chargé de cours, Microprogramme de 2e cycle Normalisation en santé
Université de Sherbrooke, Longueuil, Québec (Canada)

Sommaire

Cet article discute des critères d’évaluation de méthodologies d’analyse de risque. Ces critères sont appliqués dans un tableau dont les résultats sont aussi présentés. Les méthodes CRAMM, ÉBIOS et Octave semblent supérieures. Méhari nécessite un encadrement. Les autres méthodes sont immatures ou invérifiables.

Introduction

Un des outils dans l’arsenal du professionnel de la sécurité et des organisations qui souhaitent mettre en œuvre un processus de gestion du risque informationnel est la méthode d’analyse de risque. De nombreuses méthodes sont disponibles, certaines gratuitement, d’autres à un coût élevé. Dans certains cas, des organisations créées des méthodes d’analyse de risque afin de répondre à des besoins précis et tenir compte de contraintes particulières. Chacune de ces méthodes peut s’avérer un outil efficace lorsqu’elles sont utilisées diligemment dans un contexte limité. Cependant, comme tout outil, elles ont des limites. Elles ont une utilité propre, souvent dans un contexte organisationnel particulier ou un domaine d’activité limité (banque, ministère). De même, comme d’autres méthodologies de recherche, elles cherchent à mesurer des concepts, le risque informationnel, par l’intermédiaire de variables (comme la menace ou l’impact) selon des échelles de mesure (par exemple : bas, moyen, élevé). Plusieurs des concepts mesurés ne peuvent être mesurés directement (comme lire la température sur un thermomètre) mais indirectement, en demandant à quelqu’un d’indiquer quelle est son estimation de la valeur de la mesure de la variable attribuée au concept. Ainsi comme toute méthodologie, la méthodologie d’analyse de risque informationnel doit tenir compte de plusieurs sources d’erreur, soit en relation à la sélection des individus qui donnent les réponses, de l’interprétation à donner aux réponses, du type de mesures utilisées, de l’analyse (explicative ou statistique) ou de l’interprétation des résultats.

Dans le domaine de la médecine, il est nécessaire de déterminer le risque associé à l’introduction de protocoles de soins ou de nouveaux médicaments. Pour des raisons historiques et éthiques, le domaine de la médecine a systématisé l’utilisation de méthodologies. Plusieurs études ont été réalisées sur les sources d’erreurs et de biais, ainsi que les moyens à mettre en œuvre pour limiter ou contrôler leur impact. Le but étant de s’assurer que les résultats d’une étude soient fidèles à la réalité.

Cet article présente une grille d’analyse des méthodes d’analyse de risque en relation à des critères d’évaluation provenant de diverses sources, dont les exigences de rigueur méthodologique issues de la médecine et les normes internationales ISO. Ce tableau est disponible sur: www.ismsiug.ca . Dans un premier temps, un rappel de certains concepts est présenté. L’article présente ensuite les critères d’évaluation utilisés, les résultats pour conclure avec des suggestions pour la suite des choses.

Approche de cet article

Différentes méthodologies et certains outils méthodologiques ont été examinés. Ils ont été choisis en fonction de ce qui est utilisé et disponibles au Québec. Elles sont:

Méthodologie

Source

Langue

Masse critique d’utilisateurs

Disponible

Audicta

Audicta – Medical technologies

Anglais et Français

Non

Oui

Callio Secura

Callio

Anglais, Français et autres

Non

Non

CRAMM

Insight une division de Siemens

Anglais

Oui

Oui

ÉBIOS

France (DCSSI et Club EBIOS)

Anglais, Français et autres

Oui

Oui

ISO 13335-2

ISO

Anglais

Non

Non

IRAM

GAC-BNF

Anglais

Non

Non

IVRI

par l’auteur de cet article

Français

Non

Non

MÉHARI

CLUSIF

Français

Oui

Oui

OCTAVE

CERT au Carnegie Melon University

Anglais

Oui

Oui

RiskIT

R&D-Ware Oy

Anglais

Non

Oui

RiskPro

HEC (Montréal) – CIRANO

Français

Non

Non

Tableau 1: Méthodologies analysées

Certaines de celles-ci ne sont pas présentées dans cet article parce qu’elles ne sont pas facilement disponibles pour analyse (IRAM, RiskIT, Risk Pro), qu’elles ne soient plus disponibles suite à la cessation des activités (Callio) ou l’abandon du projet (ISO 13335-2, IVRI). Bien qu’il existe d’autres méthodologies, celles-ci n’ont pu être identifiées et ajoutées.

Les méthodologies d’analyse ou de gestion de risque ont été analysées individuellement par l’auteur en appliquant des critères présentés plus bas. Lorsque possible des copies des documents et des outils étant évalués. Les résultats ont ensuite été compilés dans un tableau qui a été distribué à un groupe d’experts en gestion de risque et à des experts des différentes méthodologies d’analyse de risque. Lorsque que nécessaire des explications additionnelles ont été fournies. Les experts ont soumis des suggestions de correctifs qui ont été intégrés dans un tableau révisé, qui est présenté avec cet article. Au besoin, s’il y avait absence de consensus sur les commentaires, des discussions ont eu lieu afin d’arriver au résultat présenté.

Des méthodologies analysées, seules quatre (4) ont pu démontrer un nombre d’utilisateurs suffisant pour en assurer la pérennité : CRAMM, EBIOS, Méhari et Octave. Dans les autres cas, aucune information ne permet de croire que le nombre d’utilisateurs de la méthodologie sur le terrain est suffisamment important pour assurer sa survie à long terme internationalement.

Ce qu’on mesure: le risque

Tel que je l’ai décrit dans un article précédent, la sécurité de l’information fait référence à deux concepts : la sécurité et l’information. La sécurité étant définie comme l’absence de risques inacceptables. Le risque informationnel vise à préserver ou améliorer la qualité des actifs informationnels d’une organisation en fonction de ses attentes (disponibilité, intégrité) ou des attentes de ses clients (protection de la vie privée). La sécurité est aussi nécessaire parce que la technologie appliquée à l’information crée des risques. Les équipements ont une durée de vie limitée et sont sujets à des pannes. Mais ces problèmes peuvent être prévisibles, des données étant disponibles sur les capacités et les performances de ceux-ci. Le risque de panne pouvant être estimé objectivement sur la base de données statistique, le risque devient la probabilité, sur une période donnée, de devoir réparer un équipement. Il y a donc plusieurs définitions possibles du risque. Il est donc nécessaire de bien définir le risque. Malheureusement, beaucoup de ce qui a été écrit sur le risque est basé sur des données anecdotiques ou sur des études limitées à un aspect particulier. L’usage de ces définitions est incertain. Il est essentiel de définir ce que risque signifie pour cet article.

Le mot risque tire ses origines du terme italien utilisé au Moyen âge: risco, signifiant rocher escarpé, écueil. Il fut utilisé par les premières compagnies d’assurance pour désigner le péril couru en mer. Le mot tire aussi ses origines du latin resecum signifiant coupant. Ces premières compagnies d’assurances (17ième siècle) assuraient les bateaux contre le risco… le terme a évolué pour devenir le mot risque. Le risque est souvent défini comme une combinaison de la probabilité d’occurrence d’un dommage et de sa gravité. Pour Knight, un auteur significatif sur le risque à son époque, le risque réfère à des situations par lesquelles le décideur assigne des probabilités mathématiques aux événements aléatoires auxquels il fait face. Le risque est aussi défini comme une variation dans les résultats (outcomes) qui peuvent survenir sur une période déterminée dans une situation donnée. Le risque est aussi une fonction de la distribution de la variance des probabilités. Fondamentalement, le risque est un construit social, il dépend de celui qui le perçoit. La plupart des définitions du risque intègrent un élément de subjectivité, selon la nature du risque et du domaine. Mais il existe un risque objectif, quantifié dans des polices d’assurance auto, par exemple.

L’ensemble des définitions du risque nous suggère le risque comme:

  • Une discontinuité

  • Une dysfonction

  • Un désastre

  • La différence entre ce qui était attendu ($) et la réalité

  • Probabilité(d’un événement) x ses Conséquences

Le risque informationnel dépend de l’acceptabilité en relation à des attentes envers les actifs informationnels, souvent déclarés à priori dans une organisation. Les attentes sont établies sur la base de politiques, de stratégie et du contexte (politique, environnemental, social, technologique et économique). En quelque sorte, en gestion du risque informationnel, il est nécessaire de délimiter le carré de sable (limites de l’organisation) et tracer une ligne dans le sable (baseline) sur la base des attentes et du contexte qui délimite ce qui est acceptable et ce qui ne l’est pas, ce qui à nous et ce qui aux autres (externalités).

L’on distingue le risque objectif, lorsque la variation existe dans le monde réel (naturel) et est la même pour tous les individus dans une situation identique, du risque subjectif, lorsqu’il y a estimation du risque objectif par un individu. Quand on ne peut exprimer l’aléatoire par des probabilités, même subjectives, on doit plutôt parler d’incertitude. Le terme risque est généralement utilisé lorsqu’il existe au moins la possibilité de conséquences négatives, s’il ne s’agit que de conséquences probables positives, on parlera plutôt de possibilités. Cet article ne discute pas d’incertitude, qui sera mitigée par des plans de relève, de continuité des affaires ou de gestion d’incidents. Il ne sera pas non plus question de possibilités, n’étant pas une préoccupation de sécurité comme telle.

Qu’est-ce qu’une méthodologie

La méthodologie, science de la méthode, est une métaméthode, une méthode des méthodes, une sorte de coffre à outils. Dans ce coffre chaque outil est un processus, une technique ou une technologie appropriée à résoudre une énigme particulière ou à déterminer la valeur d’une variable particulière. Lorsque l’on travaille dans un domaine, une méthodologie permet d’établir un enchainement d’actions à effectuer, de questions à se poser, de choix à faire, qui permet de mener de manière plus efficace une étude ou la résolution d’un problème. C’est un des éléments qui font la différence entre un art et une profession. En recherche, la méthodologie est cette systématisation de l’étude, indépendamment du sujet de l’étude lui-même. C’est ce qui permet d’obtenir des résultats qui ont une scientificité démontrable, qui peuvent être reproduits ou vérifiés par des individus extérieurs à l’étude. Une méthodologie d’analyse de risque informationnel propose une série d’activités et d’outils permettant d’analyser le risque informationnel dans un contexte précis et à un moment précis. En recherche médicale différentes qualités sont requises d’une méthodologie :

  1. Crédibilité : Les résultats de l’analyse des données recueillies reflètent l’expérience des participants ou le contexte avec crédibilité.

  2. Authenticité : La perspective émic (intérieure des participants) présentée dans les résultats de l’analyse démontre une conscience des différences subtiles d’opinion de tous les participants.

  3. Criticité : Le processus d’analyse des données recueillies et des résultats montre des signes d’évaluation du niveau d’importance relative des éléments entre eux.

  4. Intégrité : L’analyse reflète une validation de la validité répétitive et récursive associée à une présentation simple.

  5. Explicité: Les décisions et interprétations méthodologiques de même que les positions particulières de ceux qui réalisent l’étude (l’enquêteur) sont considérées.

  6. Réalisme: Des descriptions riches et respectant la réalité sont illustrées clairement et avec verve dans les résultats.

  7. Créativité: Des méthodes d’organisation, de présentation et d’analyse des données créative sont incorporées à l’étude.

  8. Exhaustivité: Les conclusions de l’étude couvrent l’ensemble des questions posées au départ de façon exhaustive.

  9. Congruence: Le processus et les résultats sont congruents, vont de pair les uns avec les autres et ne s’inscrivent pas dans un autre contexte que celui de la situation étudiée.

  10. Sensibilité: L’étude a été faite en tenant compte de la nature humaine et du contexte socioculturel de l’organisation étudiée.

Le tableau suivant présente le sommaire de l’évaluation du traitement de ces différentes qualités dans les méthodes analysées.

Qualité

Audicta

CRAMM

EBIOS

MEHARI

OCTAVE

Crédibilité

Oui

Oui

Oui

Oui

Oui

Authenticité

Non

Non

Non

Non

Non

Criticité

Oui

Oui

Oui

Oui

Oui

Intégrité

Oui

Non

Oui

Oui

Oui

Explicité

Non

Non

Non

Non

Non

Réalisme

Non

Non

Oui

Non

Non

Créativité

Oui

Non

Oui

Oui

Oui

Exhaustivité

Non

Non

Non

Non

Non

Congruence

Oui

Oui

Oui

Oui

Oui

Sensibilité

Non

Non

Oui

Non

Non

Tableau 2: le sommaire de l’évaluation du traitement de ces différentes qualités dans les méthodes analysées.

Le tableau montre qu’aucune des méthodologies ne satisfait tous les critères de qualité des résultats.

Pourquoi est-ce important?

Selon Jung, il existe deux façons d’obtenir de l’information sur le monde qui nous entoure: directement perçu par nos sens (e.g. on peut toucher, sentir ou voir) ou par intuition qui amène du contenu de l’inconscient au conscient (e.g la mémoire de connaissances acquises). La psychologie cognitive enseigne que cette information, bien qu’elle puisse sembler exacte à l’individu, est sujette à nombre de biais, entre autres:

  • Les paralogismes (erreurs de raisonnement) formels et informels

  • La dissonance cognitive

  • Les heuristiques de jugement

  • Les variations perceptuelles dues à l’appartenance à différents groupes sociaux

  • Les limites de la vigilance

Exprimé simplement, c’est important d’utiliser une méthodologie de qualité en analyse du risque informationnel pour les raisons suivantes:

  1. le processus doit être indépendant de ceux qui le réalisent

  2. les résultats de l’analyse doivent être représentatif de la réalité

  3. les résultats sont utilisés pour prendre des décisions.

La validité interne fait référence à l’exactitude des résultats. Il y a validité interne lorsqu’il y a concordance entre les données et leur interprétation. Une étude peut être considérée pour sa validité interne, c’est-à-dire qu’elle est vraie pour la population à l’étude, c’est-à-dire que les résultats de l’étude correspondent à ce qui a été étudié pour ces individus à ce moment dans le temps. Sans contrôles formels et sans faire une étude approfondie, il est impossible d’évaluer la validité Internet de toutes les méthodologies à l’étude. Quant à la validité externe, qui réfère à la généralisabilité des résultats (permets d’en tirer des conclusions impartiales au sujet d’une population cible plus grande que l’ensemble des sujets), cet aspect de la validité n’est important qu’en ce qui concerne une population cible externe particulière, ce qui est moins critique pour les petites organisations compte tenu de l’utilisation limitée, mais plus significative aux grandes organisations. Par exemple, les résultats d’une analyse de risque menée avec sept participants dans une unité d’affaires peuvent être généralisés à l’ensemble de l’organisation (la population cible étant formée de toute l’organisation et ;la population disponible formée de sept individus). Ici aussi, sans contrôles formels et sans faire une étude approfondie, il est impossible d’évaluer la validité externe.

La mesure des variables

Un premier problème porte sur la mesure des variables que l’on cherche à étudier lors d’une analyse de risque. La mesure est l’attribution de nombres à des objets, à des événements ou à des individus selon des règles préétablies dans le but de déterminer la valeur d’un attribut donné. En recherche, une variable est un concept auquel une mesure peut être déterminée. Elle correspond à une qualité (e.g. petit, grand) ou à un caractère (e.g. grandeur, age) qui sont prêtés à un élément (personnes, événements) faisant objet d’une recherche et auquel une valeur est attribuée. Les variables sont reliées aux concepts théoriques au moyen de définitions opérationnelles servant a mesurer des concepts et peuvent être classées de différentes façons selon les rôles qu’elles remplissent dans une recherche. La mesure est l’attribution de nombres à des objets, à des événements ou à des individus selon des règles préétablies dans le but de déterminer la valeur d’un attribut donné.

Une partie du risque informationnel peut être mesuré objectivement sur la base de données historique d’une organisation: le risque informationnel objectif. Cependant, peu d’organisations disposent d’une quantité de données objectives fiables sur une période suffisante pour les utiliser efficacement. Il est important de noter qu’il y a dans cette partie du risque, une problématique de distribution des probabilités qui demande éclaircissement. Si l’on peut assigner un risque potentiel sur la base de probabilités de réalisation d’événements futurs, on assume que ces événements sont distribués normalement lors d’un très grand nombre d’observations. Cet à priori est très discutable sans une base de connaissances suffisante et un grand nombre d’observations.

Tout ce qui ne peut pas être mesuré objectivement doit l’être subjectivement. Ainsi, tout ce qui n’est pas du risque objectif est placé, dans cet article, dans le camp du risque informationnel subjectif. Toute approche méthodologique cherchant à déterminer quelle est la situation d’une organisation en matière de gestion de risque informationnel subjectif, doit intégrer des façons d’identifier les attentes de l’organisation (valeurs et croyances) par les individus qui la composent et par les documents disponibles, sorte d’artéfacts. D’un point de vue méthodologique, une approche qualitative est, seule, capable de décrire le phénomène du risque informationnel dans son contexte particulier compte tenu de l’état actuel des connaissances. Les contrôles méthodologiques sont donc requis afin de s’assurer de la congruence des résultats d’une analyse de risque avec la réalité de l’organisation étudiée. Si l’on ne pouvait garantir la validité des résultats, on ouvre la porte à des critiques sur les résultats et sur les recommandations éventuelles suite à une étude.

Les échelles de mesure

L’on distingue les mesures discrètes (des catégories) des mesures continues. La mesure continue utilise des valeurs numériques selon des règles de mesure (quantité, longueur, température). Elle permet de déterminer si une caractéristique est présente et, si oui, à quel degré. Les échelles de mesure sont habituellement classées en quatre catégories, telles que présentées dans le tableau ci-dessous par ordre croissant de précision et de complexité du calcul mathématique envisageable.

Échelle de mesure

Description

Exemple(s)

Échelle nominale

Classe les objets dans de catégories.
Les nombres sont sans valeur numérique.
Des tests non paramétriques et des statistiques descriptives peuvent être utilisés.

Sexe masculin ou féminin, race, religion.

Échelle ordinale

Les objets sont classés par ordre de grandeur.
Les nombres indiquent des rangs et non des quantités.
Permets l’utilisation de statistiques descriptives.
Peut permettre l’utilisation statistique s’il existe un continuum sous-jacent d’intervalles

Degré de scolarité: Secondaire 1, secondaire 2, secondaire 3

Niveau d’exposition bas, moyen ou élevé.

Catégorie salariale: modeste (0 à 20000$), basse (20001$ à 35000$), etc.

Échelle à intervalles

Les intervalles entre les nombres sont égaux.
Les nombres peuvent être additionnés ou soustraits.
Les nombres ne sont pas absolus, car le zéro est arbitraire.
Permets un grand nombre d’opérations statistiques.

La température mesurée en degrés Celsius

Échelle à proportions

L’échelle a un zéro absolu.
Les nombres représentent des quantités réelles et il possible d’exécuter sur elles toutes les opérations mathématiques.

La température mesurée en degrés Kelvin, le poids, la taille, le revenu.

Tableau 1: catégories d’échelles de mesure

Il est critique de s’assurer qu’une rigueur scientifique est présente dans toute analyse de risque. Certaines méthodes utilisent des données qualitatives auxquelles sont assignées des valeurs numériques sur lesquelles une analyse statistique est effectuée. Si en plus ces valeurs assignées sont utilisées dans des calculs mathématiques, c’est plutôt douteux. Le passage d’une donnée qualitative à une donnée quantitative ne peut se faire sans qu’il soit appuyé par un cadre rigoureux qui doit être vérifié rigoureusement. Sinon, quelle signification donner aux résultats ? Quel est leur précision ?

La majorité des méthodologies analysées utilisent des échelles ordinales et des échelles à intervalles. Ce type d’échelle de mesure n’est pas approprié pour des opérations mathématiques complexes, mais peut faire l’objet d’analyse statistique. Le problème est que certaines de celles-ci (Audicta, CRAMM et MHARI) effectue des opérations mathématiques complexes qui ne sont pas appropriées compte tenu de l’échelle de mesure. Audicta et CRAMM semblent disposer de contrôles méthodologiques pour dominer la situation. Dans le cas de EBIOS, l’approche par tableau croisé évite cette situation problématique. Octave est le seul qui utilise une échelle à proportion permettant une utilisation optimale des données.

L’échantillonnage

Il est essentiel de se questionner sur l’échantillonnage en analyse de risque. Si l’on rencontre un nombre limité de membres d’une organisation pour obtenir des informations permettant d’assigner des valeurs à des variables, il est essentiel que ces personnes fournissent des réponses qui sont en mesure de fournir un portrait réel et complet de la situation: l’échantillon doit être représentatif de la population qu’il représente. Toutes les méthodologies ont un échantillon non probabiliste déterminé par choix raisonné. Ce qui signifie que, dans chaque cas, les individus qui participent à l’étude sont choisis par les individus qui font l’analyse de risque. Ainsi, de nombreux biais de sélections sont introduits, en fonction de relations de pouvoir, de disponibilité, de priorités organisationnelles et individuelles, etc. Ainsi, toutes les méthodologies semblent disposer d’un échantillon sont on ne peut déterminer la représentativité. Il est donc incertain que l’ensemble de la situation, tel qu’elle existe dans la réalité, ne puisse s’exprimer dans les résultats de l’analyse de risque. De même, il n’y a aucun contrôle de la saturation afin de s’assurer que tout ce qui est à dire sur la situation sous analyse soit dit par les individus qui sont inclus dans l’échantillon.

Conclusion

Le tableau détaillé, présenté en annexe (ici), applique des contrôles méthodologiques utilisés dans le domaine de la recherche clinique et enseignés à la faculté de Médecine de l’Université de Sherbrooke, tel que mentionné en début d’article. La grille permet d’avoir un aperçu des différentes méthodologies disponibles au Québec en 2006. Comme il est expliqué dans l’analyse, aucune des méthodologies d’analyse de risque étudié ne rencontre l’ensemble des critères d’évaluation.

Bien qu’il soit difficile de démontrer la supériorité d’une méthode sur une autre, il est apparent que certaines soient méthodologiquement supérieures aux autres. Les méthodes CRAMM,EBIOS et Octave semblent supérieures que les autres. Méhari est dans une seconde catégorie de bonnes méthodes, mais qui nécessite un encadrement solide (formation, consultant, vérificateur externe) pour limiter les biais. Les autres méthodes sont immatures ou invérifiables. Cependant, toute méthode utilisée par un praticien formé et compétent est susceptible de donner des résultats qui ont une certaine valeur pour l’organisation. Il serait nécessaire de procéder à des analyses très poussées pour permettre de tirer des conclusions véritablement solides, ce qui est peu probable.

Bibliographie

Beucher, S., Reghezza, M., (2004) Les risques (CAPES Agrégation), Bréal

Blakley, B., McDermott, E., Geer, D.(2001), Session 5: less is more: Information security is information risk management, Proceedings of the 2001 workshop on New security paradigms, September 2001

Fortin, M.-F., Côté, J., Filion, F. (2006). Fondements et étapes du processus de recherche, Chenelière ducation, Montréal (Québec), 485 pages

ISO (1999) Guide 51 Safety aspects, Guidelines for their inclusion in standards, International Standards Organization

ISO (2002) Guide 73, Management du risque, Vocabulaire, Principes directeurs pour l’utilisation dans les normes , International Standards Organization

Knight, Frank H. (1921) Risk, Uncertainty, and Profit, Boston, MA: Hart, Schaffner & Marx; Houghton Mifflin Company

Office québécois de la langue française (2005) Grand dictionnaire terminologique, en ligne: http://www.olf.gouv.qc.ca/ressources/gdt_bdl2.html

Copyright décembre 2006, Marc-André Léger

révisé: 2007-09-30 09:06:48 -0400

The attributes of risk in healthcare

The attributes of risk

Risk in informations systems is generally perceived in relation to attributes. proposes the attributes of confidentiality, integrity and availability, aswell other attributes such as authenticity, accountability, non-repudiation and reliability may also be involved [ISO 17799]. [Zhou, 1999] proposes confidentiality, integrity, availability, non repudiation and authentification. We present here some definitions.

Confidentiality

Confidentiality is the property that information is not made available or disclosed to unauthorized individuals, entities, or processes.1 Confidentiality exists when information is communicated in the context of a special relationship (such as doctor-patient, lawyer-client, etc.) where the information is intended to be held in confidence or kept secret [CIHR, 2002]. It is an ethical concept that regulates communication of information between individuals [Roger, 1998]. The status of confidential is accorded to data or information indicating that it is sensitive for some reason, and therefore it needs to be protected against theft, disclosure, or improper use, or both, and must be disseminated only to authorized individuals or organizations with a need to know.’2Individuals have a right to the privacy and confidentiality of their health information [Buckovich, 1999].

Confidentiality is at the heart of medical practice and is essential for maintaining trust and integrity in the patient-physician relationship. Knowing that their privacy will be respected gives patients the freedom to share sensitive personal information with their physician [WMA, 2002]. The Declaration of Geneva, that requires physicians to « preserve absolute confidentiality on all he knows about his patient even after the patient has died » [WMA, 2002].

Confidentiality is a managerial responsibility: it concerns the problems of how to manage data by rules that are satisfactory to both the managers of data banks and the persons about whom the data pertain [Thompson, 2001]. The enforcement of classification-clearance matching is mandated by directives and regulations: an individual may not exercise his own judgement to violate it [Bell, 1976]. In the same way, as health professionals do not belong to the same structures, which are independent to each other, confidentiality of the activity of each structure must be ensured as well [Kerkeri, 2001]. In [Pace, 2003], confidentiality is maintained by de-identifying reports and eliminating elements within the database that would facilitate linking a report to a specific event identified by other means, such as through the patient’s medical record.

Integrity

Integrity is the property of safeguarding the accuracy and completeness of assets [ISO 13335-1]. Integrity is a property determined by approuved modification of information [Bell, 1976].

Individuals have the right to the integrity of their health information. Entities and/or persons that create, maintain, use, transmit, collect, or disseminate individual health information shall be responsible for ensuring this integrity [Buckovich, 1999].

Continuity of care might imply a complete communication of medical data, respecting its integrity and its availability [Roger, 1998]. For example, in a picture archiving and communication system (PACS), the data integrity is essential for passing the correct information to the doctor [Tsong, 2003].

Outside of signing checksums on large fields (such as medical images), integrity can only be partially guaranteed by authenticating the individual at the source site responsible for transferring the information, and trusting the individual to verify the data [Cody, 2003].

Data integrity includes minimization of data redundancy, improvement of data maintenance, and elimination of multiple versions of data [Candler, 1999].

In addition to malicious threats, the threats that come from software, hardware, or network failure, or the threats that come from simple human error can affect the integrity of an information system [Cody, 2003].

Availability

Availability is the property of being accessible and usasable upon demand by an authorized entity (ISO 7498-2:1989).

The availability of intelligently integrated and verified, operational information could have a profound effect on decisionmaking in a wide range of contexts [Brender, 1999]. Health research, particularly in the areas of health services and policy, population and public health, critically depends on the ready availability of existing data about people [CIHR, 2002].

Non repudiation

Non-repudiation refers to the ability to prove an action or event has taken place, so that this event or action cannot be repudiated later.3

[ISO13888-1] identifies the following non repudiation services:

  • Non repudiation of creation: to protect against an entity’s false denial of having created the content of a message.

  • Non repudiation of delivery: to protect against a recipient’s false denial of having received the message and recognised the content of a message.

  • Non repudiation of knowledge: to protect against a recipient’s false denial of having taken notice of the content of a received message.

  • Non repudiation of origin: to protect against the originator’s false denial of having approved the content of a message and of having sent a message.

  • Non repudiation of receipt: to protect against a recipient’s false denial of having received a messagenon-repudiation of sending: This service is intended to protect against the sender’s false denial of having sent a message.

  • Non repudiation of submission: to provide evidence that a delivery authority has accepted the message for transmission.

  • Non repudiation of transport: to provide evidence for the message originator that a delivery authority has delivered the message to the intended recipient.

Non-repudiation technologies, such as digital signatures, are used to insure that a person performing an action cannot subsequently deny performing that action. This is useful for digital contracts, statements and anywhere else that a signature would be used in the physical world. Digital signatures are commonly used for non-repudiation, and are normally based on PKI, which uses asymmetric cyphers [Helvey, 2004].

Digital signature safeguards can provide protection to enable non-repudiation [ISO 13335-2].

Cryptographic techniques (e.g. based on the use of digital signatures) can be used to prove or otherwise the sending, transmission, submission, delivery, receipt notification, etc. of messages, communications and transactions [ISO 13335-2].

Access controls

Access control technologies are used to protect information by restricting access to information or operations, according to the identity of the accessor. Common mechanisms for access control are discretionary (DAC), mandatory (MAC), and role-based (RBAC). DAC is based on the identity or group membership of the user, and allows the user to specify which other users may access the information. MAC is common in secure operating systems, and uses labels and access control lists to protect information. RBAC allows access control policies to be defined according to the user’s role in an organization, such as administrator, supervisor, researcher, and so on [Helvey, 2004].

Health care organisations have knowingly compromised information security through less than satisfactory access controls simply in order to encourage all staff to use the computer systems. Once such compromise has been adopted, it is subsequently very difficult to convince users of the need to strengthen access control..Once appropriate access control and auditing is installed, staff scepticism soon turns to acceptance as they come to realise their importance and benefit [Gaunt, 2000].

In a HIPAA mandated PACS environment, from an application point of view, there should be a log mechanism to keep track the access information such as [CAO, 2003]:

  • Identification of the person that accessed this data

  • Date and time when data has been accessed

  • Type of access (create, read, modify, delete)

  • Status of access (success or failure)

  • Identification of the data.

The model for authorisation and access control in distributed health information systems has to deal with policy description and negotiation including policy agreements, authentication, certification, and directory services but also audit trails, altogether forming the privilege management infrastructure [Blobel, 2004].

Technology can help ensure the granting and restriction of access to those users with legitimate needs, by means of passwords, access codes, and other identifying mechanisms [Buckovich, 1999].

Privacy vs security

The right to privacy entitles people to exercise control over the use and disclosure of information about them as individuals. The privacy of a patient’s personal health information is secured by the physician’s duty of confidentiality [WMA, 2002].

Privacy is a social, cultural and legal concept, all three aspects of which vary from country to country [Thompson, 2001]. While security of personal data may be instrumental for this purpose, ‘data security is a very different thing from privacy’.4

Privacy: ‘‘The right of individuals to be left alone and to be protected against physical or psychological invasion or the misuse of their property. It includes freedom from intrusion or observation into one’s private affairs, the right to maintain control over certain personal information, and the freedom to act without outside interference.’’5

Information privacy can be thought of as a set of controls placed upon organizations over the uses of personal information in their custody and control, and the rights conferred upon individuals over their personal information. What becomes clear in mapping out these security and privacy elements is that some of the components of privacy protection can be addressed by security safeguards, while others cannot. Some security functions may actually hinder or even threaten necessary privacy protection. Some privacy measures may weaken or threaten justified security measures.Hence the security–privacy paradox [Cavoukian, 2003].

The Declaration of Helsinki states: « It is the duty of the physician in medical research to protect the life, health, privacy, and dignity of the human subject » [WMA, 2002].

A recurring idea is that a research database of patient data can and should be ‘‘scrubbed’’ of personal identifying information, and thereafter the ‘‘clean’’ database can be made available for research on a less restricted basis.

[Behlen, 1999] argues that such complete scrubbing is not feasible, and even if it were feasible, it would not be appropriate ethically. A troublesome requirement for exemption is that of ‘‘throwing away the key’’ that links data to a patient. This requirement presents some practical, scientific, and ethical problems:

  • It forecloses the possibility of benefit to the patient.;

  • The requirement greatly complicates the maintenance of a current database;

  • The requirement eliminates some checks against scientific fraud.

Quality of data is crucial to privacy protection. Security is necessary, but far from sufficient, to ensure privacy. Computer scientists and others often take ‘privacy’ to mean (only) ‘data security’ against risks of unauthorized access, physical damage to databases or transmissions, and the like. However, it is no comfort to a privacy-aware individual to be told that inaccurate, outdated, excessive and irrelevant data about her are encrypted and stored behind hacker-proof firewalls until put to use by (say) a credit-granting organization in making decisions about her [Raab, 2004]. Following intense scrutiny in some research projects, it may be necessary to conduct an independent reanalysis of the data and results to confirm the quality of the original data [Shortreed, 2003].

Privacy of information collected during health care processes is necessary because of significant economic, psychologic, and social harm that can come to individuals when personal health information is disclosed [Barrows, 1996].

Privacy and confidentiality of the patient record has attracted extensive debate and analysis, including discussion of research. Although policy issues regarding research access to public health databases have been analyzed in detail, less attention has been paid to the problem of how to oversee and administer, within the framework of applicable public policy, multicenter research using privately held patient records. In addition to public policy, the policies of each participating institution must be considered [Behlen, 1999].

The relationship between health care provider and patient is one characterized by intimacy and trust, and confidentiality is embedded at least implicitly in patient-provider interactions. The notion of confidentiality in health care has a strong professional tradition that has suffered progressive erosion due to thirdparty reimbursement schemes, managed care and other health care organizational structures, and the perceptions and culture of professionals within modem health care systems. One third of medical professionals have indicated that information is given to unauthorized people “somewhat often”. [Barrows, 1996]

Ethical issues in healthcare database risk management

Clinical research must be done in the utmost respect of ethical concerns [Beecher, 1966].The rights to privacy and confidentiality are intimately connected with the right to respect for one’s dignity, integrity and autonomy are constitutionally enshrined in the Canadian Charter of Rights and Freedoms and Quebec’s Charter of Human Rights and Freedoms [CIHR, 2002]. Privacy and confidentiality lie at the root of international and national ethics guidelines, as well as professional codes of deontology [CIHR, 2002] [CIHR, 2004]. They are the principal drivers of the requirement for adequate treatment of risk in healthcare organisations [Senate, 2002]. Legal uncertainty also makes it difficult for consumers to be aware of and understand their privacy and confidentiality rights [Buckovich, 1999].

The core principles at the heart of Canadian privacy legislation form the basis of the Canadian Standards Association [CSA, 2003] Model Code for the Protection of Personal Information are [CIHR, 2004], this with [WMA, 1994] [WMA, 1995] [WMA, 2002] [Buckovich, 1999] [CIHR, 2004], identifies the following areas of risk that need to addressed in a CDW:

  • Policies

  • Confidentiality;

  • Privacy;

  • Integrity;

  • Availability

  • Safeguards;

    1. Limiting Collection

    2. Management controls;

    3. Processes to enable Challenging Compliance; and

    4. De-identification of data;

    5. Secure transmission of data;

    6. Accountability;

  • Openness;

    1. Informed consent;

    2. Identifying Purposes;

    3. Access to information by patients (right to withhold, segregate, amend and copy);

    4. Limiting Use, Disclosure, and Retention;

    5. Full disclosure (No secret databases shall exist);

    6. Non-commercial use (No medical record shall be sold, utilized for marketing purposes without the prior informed consent of the individual);

  • Documentation and training

This is in accord with the requirements of the declarations of Lisbon [WMA, 1995], Geneva [WMA, 1994], Helsinki [WMA, 2002], as well as [Belmont, 1979] [Helsinky, 1964] [Nuremberg, 1949] [Harkness, 2001].

Challenge: The selection and categorization of the different areas of risk that comprise the overall risk and areas of threats that should be considered in the implementation and use of a clinical data warehouse.

This would be a significant improvement when compared to the commonly used approaches that are mainly concerned with confidentiality, integrity and availability. This would also be better suited to the identified requirements that we have found in literature.

Combining the requirements

If we put this in the form of a table, the requirements could be represented as:

Risk Requirement category

Stakeholder category

Confidentiality

Integrity

Availability

Privacy

Policies

Openness

Safeguards

Documentation and training

Patients

1, 14, 35, 54, 57, 58, 60

7, 47, 66

2, 3, 4, 8

1b, 5, 6, 9, 11, 38, 39

14, 29, 30, 35, 36, 37

24, 50

49

Data users

53,

7b, 64, 65, 69, 70

72

13

40, 43

17, 18, 19, 35

19, 24, 42, 44, 45, 75, 76, 77, 78, 79, 80, 81, 82, 84

25, 48

Healthcare organisations

14, 33, 54, 56, 60, 61

7b, 66

9, 10, 12, 13

26, 40, 61

14, 15, 16, 17, 18, 29

24, 50, 87

25, 48, 51

Healthcare professionals 32, 58, 59, 62 46 73 9, 59 33 31, 33 32 25
Professional associations 13 52 25
Healthcare industry 13 26 15, 16

Insurers

13, 20

26

15, 18,

Government

13

26

15, 16, 18, 22, 29

28, 50

48

NGOs and Community groups

13

26

Educational

74

13

41

17

IT staff 34, 56, 60, 61, 63 7b, 66, 69, 71 10 26, 40, 61 35 19, 23, 24, 27, 34, 83, 85, 86, 88, 89, 90 25, 48

IT industry

15

Other

21

The requirements presented in this table were identified in our literature review a complete list of the requirements with the references are presented in Annex a.

Challenge: further work could identify additional requirements that have been missed, further analysis may be needed. As well the list of stakeholders and the categorization of stakeholder groups requires validation.

1 [ISO/IEC 7498-2] as described in [ISO 1335-1]

2 American Society for Testing and Materials Committee E31 on Healthcare Informatics, Subcommittee E31.17 on Privacy, Confidentiality, and Access. Standard guide for confidentiality, privacy, access, and data security principles for health information including computer-based patient records. Philadelphia, Pa.: ASTM, 1997:2. Publication no. E1869-97. As cited in [Buckovich, 1999]

3 (ISO/IEC 13888-1:1997; ISO IS 7498-2:1989) as defined in [ISO 13335-1]

4 Calvin C. Gotlieb. Privacy: A Concept Whose Time Has Come and Gone, In D. Lyon and E. Zureik, editors, Surveillance,

Computers and Privacy, pp. 156–171. University of Minnesota Press, Minneapolis, 1995 as cited in [Thompson, 2001]

5 American Society for Testing and Materials Committee E31 on Healthcare Informatics, Subcommittee E31.17 on Privacy, Confidentiality, and Access. Standard guide for confidentiality, privacy, access, and data security principles for health information including computer-based patient records. Philadelphia, Pa.: ASTM, 1997:2. Publication no. E1869-97. As cited in [Buckovich, 1999]

Definitions of risk

This document presents various definitions of risk found in litterature.
It is intended as a tool for students.

The word risks has its origins in the Middle-Ages Italian word risco,meaning jagged rock, used by early insurance companies to indicate the danger at sea.

Beucher(2004)


From the Latin resecum.

Beucher(2004)


Risk is discontinuity

Léger(2006)


Risk is dysfonction

Léger(2006)


Risk is disaster

Léger(2006)


Risk is the difference between what was expected and happened

Léger(2006)


Risk is the Probability of a negative event while considering its consequences.

Léger(2006)


Risk as an undesirable event.

Aubert(2001)


In some situations, risk is equated to a possible negative event.

Aubert(2001)


Levin and Schneider (1997; p. 38) defines risks as “… events that, if they occur, represent a material threat to an entity’s fortune”. Using this definition, risks are the multiple undesirable events that may occur. Applied in a management context, the “entity” would be the organization. Given that perspective, risks can be managed using insurance, therefore compensating the entity if the event occurs; they can also be managed using contingency planning, thus providing a path to follow if an undesirable event occurs. This definition of risk is analogous to the concept of risk as a possible reduction of utility discussed by Arrow (1983).

Aubert(2001)


Risk as a probability function. Some fields, instead of focusing on negative events, are primarily concerned with the probabilities of an event. For example, medicine often focuses solely on the probability of disease (e.g. heart attack), since the negative consequence is death in many cases. It would be useless to focus on the consequence itself since it is irreversible. Odds of occurrence are the key element. Data is used to determine what can influence those probabilities (heredity, smoking habits, cholesterol level, etc.). In its definition of sentinel events (occurrence involving death or serious injury), the Joint Commission on the Accreditation of Healthcare Organizations uses “risk” as the chance of serious adverse outcome (Kobs, 1998). Life insurance adopts this approach and uses mortality tables to evaluate these probabilities. In this context, a “good risk” will be a person with a low probability of dying within a given period (and hence, for the insurance company, a low probability of having to pay a compensation) and a “bad risk” would be a person with a high probability of dying within the period.

Aubert(2001)


Risk as variance. Finance adopts a different perspective of risk, where risk is equated to the variance of the distribution of outcomes. The extent of the variability in results (whether positive of negative) is the measure of risk.

Aubert(2001)


Risk is defined as the volatility of a portfolio’s value (Levine, 2000). Risk management means arbitrating between risk and returns. For a given rate of return, managers will prefer lower volatility but would be likely to tolerate higher volatility if the expected return was thought to be superior. Portfolio managers therefore aim to build a portfolio that is on the efficient frontier, meaning it has “the highest expected return for a given level of risk, and the lowest level of risk for a given expected return” (Schirripa and Tecotzky, 2000; p. 30).

Aubert(2001)


Risk as expected loss. Other fields, such as casualty insurance, adopt a perspective of risk as expected loss. They define risk as the product of two functions: a loss function and a probability function. Car insurance is a good example. In the eventuality of an accident, there is a loss function that represents the extent of the damages to the car, which can range from very little damage to the total loss of the car. There is also a probability function that represents the odds that an incident will occur. The expected loss (risk) is the product of these two functions (Bowers et al. 1986).

While in certain circumstances, the probability of occurrence of an undesirable outcome can be estimated on the basis of past performance characteristics of the object under study (Linerooth- Bayer and Wahlstrom, 1991), in several areas, probabilities are often difficult, if not impossible to assess on the basis of past performance (Barki, Rivard, and Talbot, 1993). Consequently, several risk assessment methods adopt the approach of approximating the probability of undesirable outcomes by identifying and assessing factors that influence their occurrence (Anderson and Narasimhan,1979; Boehm, 1991; Barki et al., 1993).

In a software development context, for instance, Barki et al. [5] have identified such factors, which belong to five broad categories: technological newness, application size, software development team’s lack of expertise, application complexity, and organizational environment. The degree to which each factor is present in a software project will contribute to increase the probability of occurrence of an undesirable outcome (here, project failure). Once this list is drawn, risk management methods try simultaneously to reduce the loss related to the undesirable event itself (such as penalties compensating for delays in the system delivery) or by reducing the probability of occurrence of such an event, by reducing the level of the risk factors (for example, by carefully selecting team members). While the definition of risk is not explicit about probability distribution, these probabilities (taking the form of factors) are taken into account when the risk evaluation is performed.

Aubert(2001)


First it is necessary to define risk – “the combination of the probability of an event and its consequences.”2 There can be more than oneconsequence from an event and the consequences can be positive or negative. For safety and environmental risks, most of theconsequences of interest are negative in value and impact human health in terms of mortality and morbidity risks.

Shortreed(2003)


In business terms, a risk is the possibility of an event which would reduce the value of the business were it to occur. Such an event is called an « adverse event. » Every risk has a cost, and that cost can be (more or less precisely) quantified. The cost of a particular risk during a particular period of time is the probability of an adverse event occurring during the time period multiplied by the downside consequence of the adverse event. The probability of an event occurring is a number between zero and one, with zero representing an event which will definitely not occur and one representing an event which definitely will occur. The consequence of an event is the dollar amount of the reduction in business value which the event will cause if it occurs [Har]

Blakley(2002)


Risk arises because users are consciously aware the information is ofuncertain quality and that relying on poor information , knowledge, or the documents they produce.

Chopra(2003)


In our interviews, several respondents openly acknowledged that they could never achieve 100% security on their own because their risks are often created by the behaviors of others who also lack the incentive to heighten security.

Bennett(2004)


Another way to estimate the intensity of the competition consists of making the link between the principal players’ market shares and the “generic medicines” risk, in other words the percentage of patent medicines’ sales for which the patent will be up during a given period.

GUILHON(1999)


March and Shapira (1987) observe that according to classical decision theory, risk is generally understood to be the distribution of possible outcomes, their likelihood, and their subjective values. In project management, this definition can be applied to time, cost, performance, and many other influential factors in any project that impact these three concerns. However, project managers, firms, and stakeholders rarely share the very same view or opinion of what the possible outcomes are for a project, much less their likelihood. Kahneman