• Post category:Divers
  • Post comments:0 commentaire
  • Post last modified:janvier 15, 2022
  • Temps de lecture :29 min de lecture
Notez cette article

Les scandales financiers et les accidents industriels ont conduit les entreprises à s’intéresser à la notion de risque et à en faire un outil de pilotage au même titre que le contrôle des résultats et le suivi des coûts. La notion de gestion de risque, ou Risk Management, est alors apparue. Accolée à la gestion de la qualité, cette notion s’est très vite développée et structurée pour proposer des référentiels, des méthodes et des outils opérationnels.

management des risques

En réponse aux divers scandales financiers, aux catastrophes industrielles et aux nouvelles législations, telles SOAX et LSI, le Risk Management est devenu un enjeu réel ainsi qu’un passage obligatoire. Dans un environnement de plus en plus incertain et concurrentiel, les approches globales de Risk Management visent à identifier les risques à l’échelle de l’entreprise et à mesurer leurs incidences financières. Elles visent également à prendre en compte la mesure du risque dans l’appréciation du contrôle interne, des performances opérationnelles et dans les choix stratégiques.

Quels sont les objectifs du management des risques ?

Le management des risques a pour objectif de ramener les risques encourus à un niveau résiduel acceptable. Il repose sur trois fondements :

  • 1. Méthodes et techniques.
  • 2. Pratiques professionnelles (culture).
  • 3. Comportement individuel des acteurs face aux risques.

Même si les responsables de projet sont habitués à l’utilisation de méthodes et techniques diverses, ce n’est pas toujours le cas quand il s’agit de management des risques, où une certaine méconnaissance règne.

L’expérience montre aussi que les responsables de projet sont moins enclins à développer une attitude adaptée dans le domaine du management des risques. L’un – les méthodes et techniques – ne va pas sans l’autre – la culture et l’attitude – en matière de « maîtrise » des risques de projet.

Quels sont les objectifs de la gestion des risques ?

Au cœur même de toute gestion des risques se trouvent l’atteinte des objectifs de l’organisme et l’optimisation de la performance. Les objectifs de la gestion des risques se déclinent donc à partir des objectifs des grandes directions qu’elle doit assister pour « passer les coups durs ».

Il s’agit de prévoir les moyens, de toute nature, qui permettent à l’organisme d’atteindre ses objectifs permanents, en toutes circonstances et, surtout, quelle que soit la sévérité de l’événement dommageable qui la frappe.

En particulier avec l’appui direct du risk-manager, l’objectif financier est de mettre à la disposition de l’organisme, au bon moment, les montants de trésorerie nécessaires pour compenser l’impact des événements dommageables.

La gestion des risques s’intéresse, par essence, à une matière aléatoire, ou volatile. Donc, son résultat peut être lui-même aléatoire et dépend de l’horizon temporel retenu. C’est pourquoi les professionnels ont pris l’habitude de définir des objectifs « avant sinistre » et « après sinistre ».

Ces termes font référence directement aux pratiques de l’assurance, mais ils sont retenus, ici, du fait de leur usage très répandu dans la profession. On aurait pu retenir également « dysfonctionnement » qui évite toute hypothèse sur l’origine de la rupture dans le fonctionnement normal, mais ce terme reste trop vague. Il convient donc de préciser les objectifs, en distinguant l’avant et l’après sinistre. En réalité, dans la mesure même où la raison d’être de la gestion des risques est de réduire l’incertitude et/ou l’impact des sinistres, il faut analyser en priorité les objectifs d’après sinistre.

Risque ou opportunité, comment voir l’incertain ?

Face à un avenir aléatoire, dans la pratique de la vie de l’entreprise, le risque « opportunités » et le risque « menaces » sont les deux côtés d’une même pièce : les issues favorables constituent une opportunité, les issues défavorables une menace.

C’est d’ailleurs ce qui est souligné dans la norme ISO 31000 qui a retenu comme définition du risque : « l’impact de l’incertitude sur les objectifs ».

Dans la vie de l’entreprise, comme dans les théories économiques et financières, le risque est considéré comme inhérent à l’acte d’entreprendre.

La prise de risque est même la justification de la rémunération de l’entrepreneur, et la théorie financière définit le rendement d’un investissement comme la somme de deux facteurs :

  • Le rendement de base, de l’investissement sans risque (assimilé, en général, aux bons du trésor de même maturité).
  • Une prime de risque, c’est-à-dire un supplément de rémunération consenti à l’investisseur, pour le récompenser d’avoir accepté une volatilité dans son résultat.

La tendance actuelle de la gestion des risques est de s’efforcer de gérer les menaces et les opportunités de façon globale, en analysant tout organisme comme un portefeuille d’aléas à équilibrer pour atteindre l’efficacité économique optimale.

Toutefois, il faut souligner que cette approche est surtout essentielle pour le volet « financement des risques » qui doit s’intégrer effectivement dans une stratégie financière. Au niveau de la réduction du risque, en réalité, ce sont les menaces qui doivent être identifiées, analysées et traitées par action pour réduire la probabilité ou contenir l’impact. C’est pourquoi la plupart des questions qui suivent seront focalisées sur les risques « menaces » qui demeurent le cœur du métier de la plupart des risk-managers.

Définition et terminologie de la notion risque

Définition générale du risque

Le terme risque dans le langage courant recouvre des significations différentes. Se révèle complexe et a évolué au fil du temps. Elle est envisagée différemment selon les domaines et les spécialités. Ainsi le mot risque revêt une signification différente pour le spécialiste de l’environnement, l’assureur, le banquier, l’ingénieur, le soignant ou le cadre de direction. Le gestionnaire de risques l’associe au terme de vulnérabilité.

Définition du Petit Robert

Le Petit Robert définit le risque comme un Danger éventuel prévisible, Eventualité d’un événement ne dépendant pas exclusivement de la volonté des parties et pouvant causer la perte

Définitions scientifiques

Le risque est l’exposition (plus ou moins) volontaire à une situation qui a une probabilité faible mais non nulle de se produire réellement et dont l’occurrence provoquerait un dommage.

Daniel Bernoulli, en 1738, dans Specimen theoriae novae demensura sortis apporte la première définition scientifique : « le risque est l’espérance mathématique d’une fonction de probabilité d’événements ». En termes plus simples, il s’agit de la valeur moyenne des conséquences d’événements affectés de leur probabilité. Ainsi, un événement e1 a une probabilité d’occurrence p1 avec une conséquence probable C1 ; de même un événement en aura une probabilité pn et une conséquence Cn, alors le risque r vaudra :

définition scientifique du risque

Définition financière

La finance définit le risque comme étant« un élément d’incertitude qui peut affecter l’activité d’un agent ou le déroulement d’une opération économique »

Autres définitions

Le risque représente la possibilité qu’un événement survienne et dont les conséquences seraient susceptibles d’affecter les personnes, les actifs, l’environnement, les objectifs de la société ou sa réputation.

« Le risque est une situation non souhaitée ayant des conséquences négatives résultant de la survenue d’un ou plusieurs événements dont l’occurrence est incertaine »« C’est tout événement redouté qui réduit l’espérance de gain et/ ou d’efficacité dans une activité »

Définition du risque selon les normes iso

Selon le référentiel ISO Guide 73 (Vocabulaire du management du risque) qui a été revu lors du développement de la norme ISO 31000:2009 (Management du risque : Principes et lignes directrices), la nouvelle définition abandonne la vision de l’ingénieur :

La nouvelle norme ISO 31000 a tiré profit des échanges entre les experts internationaux issus d’organismes très variés (industriels, administrations, ONG, etc.) relevant de multiples secteurs d’activités. Elle favorise la prise en compte des risques par l’ensemble de l’organisme et fournit aux parties prenantes l’assurance d’une meilleure maîtrise de ces risques.

Le processus de Management de risques qu’elle propose, complète ceux existants en y intégrant par exemple la prise en compte explicite du contexte dans lequel le risque est étudié.

La norme introduit un second processus « le risque est la combinaison de probabilité d’évènement et de sa conséquence » pour coupler les risques aux objectifs de l’organisation ainsi : « le risque est l’effet de l’incertitude sur les objectifs »

Définition du risque selon iso 31000 ?

Elle définit le risque comme l’effet de l’incertitude sur les objectifs. Cela signifie que chaque processus comporte un élément de risque qui doit être géré et que chaque résultat est incertain. Elle est définie en termes d’objectifs qui fournissent une définition conceptuelle du risque. voir l’article : Définition de la gestion des risques selon iso 31000:2018 télécharger gratuitement PDF Download free

La notion du risque

Toute situation, toute activité peut produire un événement profitable ou dommageable. Le risque est défini par la probabilité de survenue de cet événement et par l’ampleur de ses conséquences. Dans certains domaines, on ne prend en compte que les conséquences négatives, que les pertes et pas les gains ; on parle alors de risque aryétique . Il peut être appliqué à une personne, une population, des biens, l’environnement ou le milieu naturel.

La Gestion des Risques : Risk Management

Définitions et Evolution de la fonction

Définitions :

La gestion des risques est l’utilisation de processus, méthodes et outils pour gérer et faire face à des risques qui pourraient représenter des menaces pour la réussite d’une entreprise. Selon COSO II : « Le management des risques est un processus mis en œuvre par le Conseil d’Administration, la direction générale, le management et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation.

Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation. » « C’est l’art de protéger l’entreprise contre les incertitudes ou encore la combinaison des techniques permettant de limiter la survenance d’événements aléatoires pouvant compromettre la pérennité de l’entreprise ».

Evolution de la profession :

La gestion des risques « moderne » est née aux États-Unis d’Amérique dans les années soixante de la découverte du rôle central de la trésorerie pour la survie de l’entreprise et accessoirement des difficultés de placement des coûts de couverture d’assurance.

Recruté pour assister le trésorier, le premier risk manager s’est concentré sur le financement et la réduction des accidents du travail en jouant sur les « coûts de frottement » (marges) et la fréquence.

Ensuite, le risk- manager a vu son champ s’élargir du fait des cycles du marché de l’assurance, avec les dommages aux biens, les pertes financières et les engagements de responsabilités de l’entreprise. Cette situation a débouché sur des montages financiers plus complexes et la mise en place de plans de continuité.

Au début du 21ème siècle, la gouvernance, l’éthique et le principe de précaution ont propulsé le risk manager dans les instances dirigeantes. C’est pourquoi aujourd’hui la responsabilité ultime du risk manager est la recherche de la résilience stratégique (capacité de rebond). Mise à part dans certains secteurs historiques comme l’industrie maritime, nucléaire, pétrolière, chimique ou l’aviation, …, la gestion des risques « moderne » constitue une démarche d’analyse et d’identification systématique relativement récente dans le monde économique.

D’après le Baromètre annuel du risk management publié par Protiviti en 2006, plus de trois quarts des entreprises ont mis en place un dispositif de gestion des risques, et plus de 80% des sociétés cotées en sont dotées.

Importance du Risk Management

Le Risk Management est devenu une des fonctions principales de la gestion d’une entreprise: le marché des capitaux ne pardonne plus aucune faute grave, et le Risk Management fait partie intégrale des nouvelles réglementations comme le Sarbanes-Oxley Act ou Bâle II. Le risque zéro n’existe pas. Alors, comment donc l’éviter, le réduire, l’éliminer? Comment gérer les affaires, personnelles et sociétales?

Ainsi questionné, pour toute entreprise, la gestion du risque s’attache à identifier les risques qui pèsent sur les actifs de l’entreprise (ce qu’elle possède pour sa pérennité, ses moyens, ses biens), ses valeurs au sens large, y compris, et peut être même avant tout, sur son personnel. On distingue généralement deux catégories d’actifs : les financiers et les non financiers. Les dirigeants d’entreprises ont pour mission de rendre leur exploitation viable (équilibrer les charges avec les ressources) voire de la développer (ressources supérieures aux charges = production de richesse). Le résultat obtenu leur permettra de survivre (résultat nul) voire d’en assurer la pérennité en la développant (résultat positif).

Au-delà de la gestion financière des risques et du clivage risques financiers/non financiers, l’analyse approfondie des risques de l’entreprise impose une veille étendue qui peut s’assimiler à de l’intelligence économique. Cette prévention des risques pesant sur les actifs aboutit à établir une grille des risques avec à chaque fois des veilles ciblées adaptées à chaque type de risques (politique, juridique, social, environnemental, etc.).

Le phénomène de cause à effet est de plus en plus délicat à analyser avec l’effet systémique que peut présenter désormais la mondialisation financière et l’économie ouverte ou globalisée. Le Risk Management met l’accent sur l’identification de ce qui pourrait mal tourner, l’évaluation de quels risques devraient être traités et la mise en œuvre de stratégies pour faire face à ces risques. Les entreprises ayant identifié les risques seront mieux préparés et auront une façon plus rentable de les traiter. Sa valeur ajoutée est qu’il soit susceptible d’apporter à l’entreprise un avantage comparatif décisif.

Plusieurs caractéristiques la rendent intéressante : elle génère un flux d’informations déterminantes pour la bonne marche de l’entreprise et le pilotage de la performance ; elle est orientée vers les acteurs de l’entreprise (dirigeants, comité d’audit et opérationnels en interne ; actionnaires en externe) ; elle repose sur une suite logique d’opérations ayant pour objectif non seulement la recherche de la qualité de chaque opération mais aussi la bonne articulation des opérations entre elles ; elle permet, via l’approche globale du processus, l’identification des doublons et blocages et peut servir de point de départ à sa simplification voire à sa réingénierie .

La démarche de la gestion des risques permet par ailleurs l’introduction des trois boucles d’apprentissage (inspiré d’Argyris et de Schon, 1978 : Apprentissage en simple, double et triple boucle) et notamment les boucles de type deux et trois. Elle favorise ainsi une culture d’apprentissage où l’articulation diagnostic-pilotage se fait plus naturellement. La maîtrise des risques s’obtient alors non par des dispositifs de surveillance mais par la mise en place d’une organisation de la responsabilité et d’un auto-contrôle des responsables d’activités. Parallèlement à la prise de décision et à l’apprentissage, la gestion du risque consiste en l’évaluation et l’anticipation des risques, ainsi qu’à la mise en place d’un système de surveillance et de collecte systématique des données pour déclencher les alertes.

Le Processus de gestion des risques

Les entreprises font face à un grand nombre de risques, c’est pourquoi la gestion des risques doit être une partie centrale de la gestion stratégique de toute entreprise. La gestion des risques aide à identifier et à aborder les risques auxquels fait face l’entreprise et, ce faisant, augmente la probabilité d’atteindre avec succès ses objectifs.

Le management global des risques a pour objectifs d’identifier, d’évaluer et de maîtriser les risques de toute nature auxquels sont exposés tous les niveaux et processus d’une activité, et qui impactent sa durabilité, ses performances et sa sécurité.

Le processus de gestion des risques améliore la prise de décision, la planification et la priorisation, améliore le taux de succès dans l’atteinte des objectifs et la réalisation de la stratégie, aide à allouer le capital et les ressources de façon plus efficace et permet d’anticiper ce qui pourrait mal tourner, dans le pire des cas, d’empêcher un désastre ou une grave perte financière.

L’activité de gestion des risques s’organise en plusieurs étapes qui peuvent varier d’une entreprise à une autre. Néanmoins, elle s’articule généralement autour des points suivants :

  • Identification et analyse des risques,
  • Détermination de stratégies de gestion et de mesures de contrôle,
  • Reporting fréquent.

Dans sa version aboutie, la gestion des risques vise à l’appropriation des risques par tous les opérationnels. Ils doivent donc les reconnaître et les traiter en mettant en œuvre une démarche itérative suivante :

C'est quoi le management des risques ?

Le processus est mis en place à chaque niveau de décision. Ainsi chaque « propriétaire des risques » est en mesure d’identifier et de gérer les risques de son entité. Ensuite, par consolidations successives (principe de subsidiarité), ne remontent à la direction générale que les seules vulnérabilités stratégiques pour l’entreprise.

Le gestionnaire de risques (risk manager) agit en consultant interne et coordinateur garantissant le maintien de la qualité de la démarche par tous. Il participe aux arbitrages et contribue à la construction d’un portefeuille de risques équilibré.

Quels sont les différents types de risques d’une entreprise ?

« Les risques d’entreprise sont tous les évènements pouvant survenir et qui sont de nature à réduire sa rentabilité, voire à remettre en question son existence. Il peut s’agir de menaces qui se réalisent, d’erreurs de gestion ou de prévisions ou encore de la survenance d’aléas défavorables» [BRES].

La Typologie de risques

C’est l’ensemble des risques dont les causes, les conséquences et les responsabilités associées à leur gestion sont de même nature.

Nous distinguons plusieurs types de risques qui sont généralement classés selon l’origine, l’activité, la nature et le niveau :

Classification selon l’origine

Les risques selon leur origine peuvent être regroupés en deux catégories :

  • Le risque interne : c’est le risque résultant de l’organisation et du fonctionnement de l’entreprise ; ses facteurs sont en grande partie maîtrisables.
  • Le risque externe : c’est le risque indépendant de l’organisation et du fonctionnement de l’entreprise et ses facteurs sont difficilement maîtrisables.

Classification selon l’activité

Selon l’activité, on distingue le risque économique et financier, le risque social, le risque environnemental, le risque opérationnel.

  • Le risque économique et financier : il englobe les risques qui menacent les flux liés au titre financier et relèvent du monde économique ou réel (risques politiques, naturels, d’inflation et d’escroquerie…).
  • Le risque social : c’est l’ensemble des facteurs internes ou externes à l’entreprise d’origine humaine, sociale, économique, législative, politique, liés à la communication de l’entreprise ou des médias susceptibles d’affecter temporairement, durablement, voire définitivement le fonctionnement de l’entreprise concernée.
  • Le risque environnemental : c’est l’ensemble des facteurs internes et externes liés à l’environnement dans lequel fonctionne l’entreprise et susceptibles d’empêcher l’atteinte de ses objectifs.
  • Le risque opérationnel : se définit comme « le risque de pertes dues à une inadéquation ou à une défaillance des procédures, personnels, systèmes internes ou à des événements extérieurs »

Classification selon la nature

Il existe quatre types de risques selon la nature :

  • Le risque inhérent : c’est le risque qu’une erreur significative se produise compte tenu des particularités de l’entreprise révisée, de ses activités, de son environnement, de la nature des comptes et de ses opérations. Le risque inhérent d’une entreprise correspond dans son ensemble à la probabilité selon laquelle ses résultats se développent de manière imprévisible. C’est le risque lié au secteur d’activité de l’entreprise ; ce risque ne dépend pas du dispositif de contrôle mis en place par l’entreprise.
  • Le risque de non contrôle : c’est le risque que le système de contrôle interne de l’entreprise ne prévienne pas ou ne détecte pas de telles erreurs. C’est le risque lié aux insuffisances du dispositif de contrôle mis en place au sein d’une entreprise.
  • Le risque de non détection : C’est le risque résiduel après le passage de l’audit interne ou du risk-manager. Ce risque est dû soit à une mauvaise interprétation des conclusions d’une mission d’audit ou de diagnostic du risk manager, soit à une insuffisance d’investigation lors des travaux.
  • Le risque résiduel : C’est le risque qui subsiste après l’application des politiques de maîtrise des risques.

Classification selon le niveau

Selon le niveau du risque, on distingue trois types de risques :

  •  Le risque potentiel : C’est un risque commun à toutes entreprises qui est susceptible de se produire si aucun contrôle n’est exercé pour l’empêcher ou le détecter et corriger les erreurs qui pourraient en résulter. Ce risque est identifié à partir des guides professionnels et de l’expérience du risk manager.
  •  Le risque matériel : C’est un risque qui s’est déjà matérialisé dans l’entreprise et son impact doit être évalué afin de définir une politique efficace pour sa maîtrise.
  •  Le risque possible : C’est le risque potentiel contre lequel une entreprise donnée ne s’est pas dotée de moyens pour le limiter ou le détecter et le corriger. Ce risque est identifié à toutes les étapes de la mission par les diligences mises en œuvre par le risk-manager.

Comment manager les risques ?

L’Approche Bottom-up

Cette approche, dite ascendante consiste en l’identification des risques par les opérations qui sont les plus impliqués dans les processus. Ces risques sont ensuite soumis à la hiérarchie (audit ou riskmanager) dont la charge est de déterminer l’importance et la politique de maîtrise de chacun des risques

Pour MARESCHAL(Gilbert de Mareschal, La cartographie des risques.AFNOR- Ed.2003) , il s’agit donc d’effectuer une remontée des risques du terrain vers les personnes en charge de l’élaboration de la cartographie.

Les étapes de l’approche bottom up :

  • 1. Modélisation des processus de l’entreprise (avec les opérationnels)
  • 2. Identification des risques inhérents (avec les opérationnels)
  • 3. Évaluation des risques résiduels et identification des risques majeurs (opérationnels)
  • 4. Identification des risques liés à la stratégie (avec le directeur de la stratégie)
  • 5. Mixage des risques majeurs et des risques stratégiques (DG et principaux dirigeants)
  • 6. Gestion du portefeuille des risques et des opportunités
  • 7. Pilotage et communication

L’Approche Top-down

Top-down ou descendante, comme son nom l’indique, procède de haut en bas ; elle se présente comme l’inverse de la première. C’est la hiérarchie (audit ou risk manager) qui détecte les risques et les soumet pour avis aux collaborateurs opérationnels.

Les étapes de l’approche top down :

  • 1. Déterminer les risques majeurs par partie prenante
  • 2. Pondérer les risques majeurs pour ne garder que les plus importants
  • 3. Rattachement des processus clés de l’entreprise aux risques opérationnels et aux risques majeurs
  • 4. Hiérarchiser les risques
  • 5. Établir une cartographie des risques (entretiens avec les principaux dirigeants)
  • 6. Valider les risques (par les principaux dirigeants) 7. Alimenter le plan d’audit

L’Approche combinée

Le cloisonnement des approches demeure relativement conceptuel. Ces deux approches sont chacune un idéal type. Il est illusoire de croire qu’une de deux méthodes doit être à terme entièrement privilégiée. En effet, l’approche combinée est la méthode qui combine les approches Bottom-up et Top-down. Si une doit prévaloir lors de l’élaboration de la cartographie des risques, une fois mise en place le processus de la maîtrise des risques est heureusement un mélange de ces deux approches. Selon cette approche, l’identification des risques est faite parallèlement par la hiérarchie et les opérationnels.

L’ensemble des risques répertoriés est soumis ensuite à la direction. Le management des risques doit être interactif entre les hauts dirigeants et les risk owners. Ces derniers surveillent les risques existants, signalent les risques potentiels et établissent le reporting qui est présenté aux dirigeants (bottom up). Quant aux dirigeants, ils fixent les objectifs de gestion des risques et s’assurent du déploiement du système d’échange réciproque ne peuvent être que bénéfiques pour la maîtrise des activités de l’entreprise et les acteurs qui y participent.

Etapes du MR selon les deux approches
Etapes du MR selon les deux approches

L’Approche par le benchmarking

C’est une approche qui consiste à mener une campagne de collecte des meilleures pratiques en matière d’identification et de gestion des risques. Elle permet à l’audit interne d’avoir une idée générale des risques à prendre en compte.

Quelles sont les étapes de la démarche gestion des risques ?

1 – Identification des risques

  • L’identification des risques est le processus de recherche, de reconnaissance et d’enregistrement des risques.
  • L’identification des risques a pour objet d’identifier les raisons pour lesquelles les objectifs du système ou de l’organisation pourraient ne pas être atteints.
  • Une fois les risques identifiés, il convient que l’organisation identifie tous les contrôles existants tels que les fonctions, les personnes, les processus et les systèmes.
  • Le processus d’identification des risques comprend l’identification des causes et de l’origine des risques, des événements, des situations ou des circonstances susceptibles d’avoir un impact sur les objectifs et la nature de cet impact.

Les méthodes d’identification des risques peuvent inclure:

  • des méthodes reposant sur la preuve (des listes de contrôle et des examens des données historiques, par exemple);
  • les approches systématiques en équipe, dans laquelle une équipe d’experts suit un processus systématique d’identification des risques au moyen d’un ensemble structuré d’invites ou de questions;
  • des techniques de raisonnement inductif, telles que HAZOP.
  • Différentes techniques peuvent être utilisées pour améliorer la précision et l’exhaustivité de l’identification des risques, notamment le «brainstorming».
  • Quelles que soient les techniques actuelles utilisées, il est important, dans le processus d’identification des risques, d’accorder une importance particulière aux facteurs humains et organisationnels. Par conséquent, il convient d’inclure les variations humaines et organisationnelles dans le processus d’identification des risques, conjointement aux éléments «matériels» ou «logiciels».

Comment identifier les risques

  • l’analyse de la documentation existante (cahier des charges, contrat, plan de développement, organigramme des tâches…),
  • l’interview d’experts,
  • la réalisation de réunions de brainstorming,
  • l’utilisation d’approches méthodologiques (comme l’AMDEC, l’APR, les arbres de causes…),
  • la consultation de bases de données de risques rencontrés lors de projets antérieurs
  • ou encore l’utilisation de check-lists ou de questionnaires préétablis et couvrant les différents domaines du projet.

2 – Analyse et évaluations des risques

  • L’analyse des risques consiste à comprendre et à étudier profondément les risques.
  • Elle constitue une donnée d’entrée de l’évaluation des risques et dans la prise de décision sur la nécessité de traiter les risques et sur les stratégies ou méthodes de traitement les plus appropriées.
  • L’analyse des risques consiste à déterminer les conséquences et les probabilités pour les risques identifiés en tenant compte de la présence (ou non) et de l’efficacité des contrôles existants. Probabilité et conséquence associée sont alors combinées pour déterminer le niveau de risque.

Méthodes d’analyse des risques

concernant l’évaluation des risques vous pouvez consulter l’article : Comment faire une évaluation des risques professionnels ? – Document unique

3 – Traitement des risques

La norme iso 31000 liste de façon générique les différents traitements des risques, sans entrer dans le détail de ce qu’il est possible de faire. Avouons que, étant donné la disparité des situations potentielles, il lui aurait été bien difficile de tenir un discours pertinent en la matière. Cela aurait même été contre-productif si l’on imagine que la norme aurait pu donner l’impression trompeuse qu’il suffisait de quelques règles d’or pour que les risques diminuent. .. Comme par magie.

  • un refus du risque : ne pas démarrer ou poursuivre l’activité porteuse du risque,
  • la prise ou l’augmentation d’un risque afin de saisir une opportunité,
  • l’élimination de la source de risque,
  • une modification de la vraisemblance,
  • une modification des conséquences,
  • un partage du risque avec une ou plusieurs autres parties (incluant des contrats et un financement du risque),
  • un maintien du risque fondé sur un choix argumenté.

Les différentes actions décidées seront organisées dans un plan d’action structuré, affichant un calendrier précis, déterminant les responsabilités, les moyens nécessaires à l’accomplissement des actions et les résultats attendus.

plan d'action traitement des risques
plan d’action
  • La sélection de l’option de traitement du risque la plus appropriée implique de comparer les coûts et les efforts de mise en œuvre par rapport aux avantages obtenus, compte tenu des obligations légales, réglementaires et autres exigences. Il convient que les décisions tiennent aussi compte des risques dont le traitement n’est pas justifiable au plan économique, par exemple certains risques graves (conséquences hautement négatives) mais rares (faible vraisemblance).
  • Lors du choix des options de traitement du risque, il convient que l’organisme tienne compte des valeurs et des perceptions des parties prenantes et examine les moyens les plus appropriés de communiquer avec elles. Lorsque les options de traitement du risque peuvent avoir un impact n’importe où au sein de l’organisme ou chez les parties prenantes, il convient que celles-ci soient impliquées dans la décision. À efficacité égale, certains traitements du risque peuvent être plus acceptables que d’autres pour certaines parties prenantes.

Pourquoi une nouvelle norme en management des risques ?

Il existe de nombreuses normes ou documents métier concernant le Management des risques et sa déclinaison dans des domaines tels que la sécurité. Cependant, ces normes sont sectorielles (avionique, ferroviaire, nucléaire, procédés, pharmacie, etc.). De plus, elles concernent souvent des points de vue limités comme des étapes particulières du développement de projets (par exemple la conception). Autres documents traitent de risques affectant des technologies spécifiques (par exemple le logiciel ou l’électronique). Autres, enfin, répondent à des sources de dangers ciblées (par exemple, les explosions ou les rayonnements électromagnétiques).

Or, la gestion des risques de systèmes socio techniques complexes comme une installation industrielle ou un développement de projet industriel, nécessite d’aborder la question des risques d’un point de vue global. Ainsi, même si chaque domaine a développé des terminologies et des techniques d’usage partiel et spécifique, il existe des problématiques qui requièrent une approche globale et générique. Par ailleurs, on constate que les ingénieurs ont parfois une perte de repères lorsqu’ils appliquent les standards sectoriels. Ils peinent à les positionner dans une approche de Management des risques globale à l’organisme et ainsi à bien comprendre les apports – mais aussi les limites – de l’application de ces documents.

La nouvelle norme ISO 31000 a tiré profit des échanges entre des experts internationaux issus d’organismes très variés (industriels, administrations, ONG, etc.) relevant de multiples secteurs d’activités. Elle favorise la prise en compte des risques par l’ensemble de l’organisme et fournit aux parties prenantes l’assurance d’une meilleure maîtrise de ces risques.

L’ISO 31000 est une « norme chapeau » permettant d’établir un dialogue entre les secteurs d’activité en leur proposant un vocabulaire et un cadre commun. Cette norme facilitera également le développement des formations dans le domaine de la gestion des risques qui était jusqu’alors rendu difficile par l’impossibilité de multiplier les présentations de pratiques sectorielles.

Laisser un commentaire

management des risques