Une fois les risques identifiés, il faut les évaluer afin de définir ceux qui sont prioritaires, c’est-à-dire ceux que l’entreprise doit traiter en premier.
Les risques prioritaires se déterminent à partir de deux critères : la probabilité et la gravité. On évalue ces critères en fonction d’une échelle propre à chaque PME, qui dépend de son activité, de ses objectifs et des risques qui lui sont propres. Cette échelle est graduée de 1 à 4 dans les cas les plus courants, de 1 à 10 dans les autres.
Le niveau de risque peut se calculer à l’aide de la formule suivante :
Risque (criticité) = Probabilité × Gravité
Exemple : un risque est analysé dans les établissements de Lille et Marseille, d’une entreprise. On voit que le niveau de criticité semble plus élevée à Lille, quoique la gravité pour l’entreprise soit la même.
Elle se construit grâce aux critères de probabilité et de gravité. Elle permet de visualiser les zones de fragilité de l’entreprise à un instant précis en plaçant les risques évalués. Exemple :
La représentation graphique donne ceci :