Le management des risques : comment le mettre en place ? Définition et Processus

C’est quoi le management des risques ? Risk Management : définition

Le processus de management des risques ou risk management est un processus qui vise à identifier, analyser et évaluer les risques potentiels liés aux activités d’une entreprise, et à les traiter afin d’en éliminer ou d’en réduire l’impact.

Cette stratégie peut s’appliquer à tous les secteurs d’activité, quelle que soit la taille de l’entreprise. Elle peut être très efficace pour anticiper les situations de crise et mesurer les risques potentiels liés à une transformation profonde, à la conduite du changement (nouveau positionnement commercial, transformation digitale, projet d’internationalisation, etc.) La gestion des risques permettra ainsi d’éviter ou de minimiser les situations qui pourraient mettre en péril l’atteinte des objectifs ou la pérennité de l’entreprise.

Plusieurs organisations disposent d’équipes spécialisées dans la gestion des risques, dirigées par un risk manager. En effet, dans certains secteurs, comme le monde de la finance, la gestion des risques est une condition nécessaire au bon fonctionnement de l’entreprise.

Quels sont les grands types de risques dans les entreprises ?

Le monde des risques susceptibles de perturber les opérations d’une entreprise se divise en plusieurs catégories distinctes :

1. Les risques financiers : Ces risques incluent l’augmentation des coûts de fabrication ou de production, la diminution de la demande, la baisse du chiffre d’affaires, le risque de faillite, ainsi que les problèmes de trésorerie.
2. Les risques stratégiques : Ces risques sont associés à des choix de décision inappropriés ou des orientations stratégiques inadéquates. Ils englobent une gouvernance instable, l’émergence de nouveaux concurrents sur le marché, l’évolution des besoins du marché, un positionnement commercial dépassé, des menaces à la réputation et la dépréciation de l’image de marque.
3. Les risques juridiques, réglementaires et légaux : Cette catégorie inclut la nécessité de se conformer aux règles en vigueur pour les locaux, les modifications législatives en matière de travail ou de traitement des données, l’adaptation à de nouvelles normes et exigences légales, ainsi que la gestion des litiges juridiques.
4. Les risques liés à l’environnement : Ces risques trouvent leur source en dehors de l’entreprise et englobent des éléments tels que l’instabilité politique, les catastrophes naturelles, les crises économiques et les urgences sanitaires.
5. Les risques informatiques et techniques : Cette catégorie couvre les menaces liées à la cybercriminalité, les pannes informatiques et les problèmes techniques en général.
6. Les risques opérationnels : Ces risques concernent la baisse de la productivité due à des facteurs tels que l’absentéisme, le désengagement, le télétravail et un taux élevé de rotation du personnel. Ils incluent également les limitations de la capacité de production.

Comment faire un management des risques processus – Risk management process

L’analyse des risques est une approche qualitative de résolution de problèmes qui utilise divers outils d’évaluation pour élaborer et classer les risques dans le but de les évaluer et de les résoudre.

L’analyse qualitative des risques consiste à identifier les menaces (ou les opportunités), la probabilité qu’elles se produisent et les impacts potentiels si elles se produisent. Les résultats sont généralement présentés sous la forme d’une matrice de classement probabilité/impact appelée matrice des risques. Ce type d’analyse permet également de classer les risques par source ou par effet.

Comment mettre en place une gestion efficace des risques ?

La démarche de management des risques se déploie en trois phases essentielles :

1. Identification des risques : La première étape d’une gestion des risques consiste en leur identification. Elle requiert une analyse minutieuse des facteurs présentant un potentiel de danger. Cela implique un examen approfondi en interne ainsi qu’une évaluation attentive du contexte et du marché. Cette démarche vise à déceler la nature du risque, à en cerner les origines, les déclencheurs et les spécificités.
2. Évaluation des risques : L’évaluation des risques consiste à analyser les enjeux, les probabilités d’occurrence, la gravité et l’acceptabilité du risque. Des paramètres tels que les coûts, les délais et les performances servent d’indicateurs pour évaluer l’ampleur du risque. Dans cette optique, la norme ISO 31000 « Management du risque – lignes directrices » s’impose comme un guide de référence en matière de managemnt des risques, en fournissant les principes fondamentaux de la gestion des risques. Elle inclut notamment des références pour évaluer le niveau de criticité d’un risque. Cette analyse des risques permet ensuite d’évaluer les mesures à adopter : le risque est-il tolérable ? Doit-il faire l’objet d’une surveillance, d’une réduction ou d’une élimination totale ?
3. Maîtrise des risques : Si le risque s’avère inacceptable, la mise en place d’une stratégie visant à éliminer ou réduire le risque devient nécessaire. L’élimination du risque implique la suppression de ses causes et une réévaluation de la stratégie de projet, voire des objectifs ou moyens à mettre en œuvre. Pour réduire le risque, il est essentiel de réduire sa probabilité d’occurrence et/ou d’en minimiser l’impact ou la portée. En outre, la maîtrise des risques exige la mise en place de mesures préventives, telles que le contrôle qualité, l’obtention de certifications, la veille concurrentielle et environnementale, la formation des employés, l’établissement de protocoles de sécurité ainsi que la souscription d’assurances. Le management des risques s’inscrit ainsi dans une démarche d’amélioration continue au sein de l’organisation.

Comment faire un plan de management des risques ?

Un plan de management des risques décrit la manière dont une organisation va gérer les risques. Il présente des éléments tels que l’approche du risque de l’organisation, les rôles et responsabilités des équipes de gestion du risque, les ressources utilisées pour gérer le risque, les politiques et les procédures.

Le processus en sept étapes de l’ISO 31000 est un guide utile à suivre. Voici un aperçu de ses composantes :

1 – Communication et consultation.

La sensibilisation étant un élément essentiel du management des risques, les responsables de la gestion des risques doivent également mettre en place un plan de communication éfficace.

Celle ci nécessite une politique de management des risques comprenant un système d’information et de communication approprié, ainsi que des orientations données par l’organisation.

La mise en place d’une gestion de l’information (collecte, documentation et retour d’expérience) permet de constituer des bases de données historiques (internes à l’entreprise) ou des banques de données d’accident (accessibles à tous) permettant la mise en oeuvre de raisonnements à partir des cas d’expérience.

Cette étape donne le ton des décisions en matière de risques à tous les niveaux. Le public visé comprend toutes les partie intéressée (prenante) par la manière dont l’organisation tire parti des risques positifs et minimise les risques négatifs.

2 – Établir le contexte.

Cette étape consiste à définir la vulnérabilité et la tolérance au risque propres à l’organisation, c’est-à-dire la mesure dans laquelle le risque peut s’écarter de la vulnérabilité. Les facteurs à prendre en compte sont les objectifs commerciaux, la culture d’entreprise, la législation réglementaire, la politique de l’environnement, etc.

3 – Identification des risques

L’identification des risques est le processus de recherche, de reconnaissance et d’enregistrement des risques.

• L’identification des risques a pour objet d’identifier les raisons pour lesquelles les objectifs du système ou de l’organisation pourraient ne pas être atteints.
• Une fois les risques identifiés, il convient que l’organisation identifie tous les contrôles existants tels que les fonctions, les personnes, les processus et les systèmes.
• Le processus d’identification des risques comprend l’identification des causes et de l’origine des risques, des événements, des situations ou des circonstances susceptibles d’avoir un impact sur les objectifs et la nature de cet impact.

Les méthodes d’identification des risques peuvent inclure :

• des méthodes reposant sur la preuve (des listes de contrôle et des examens des données historiques, par exemple);
• les approches systématiques en équipe, dans laquelle une équipe d’experts suit un processus systématique d’identification des risques au moyen d’un ensemble structuré d’invites ou de questions;
• des techniques de raisonnement inductif, telles que HAZOP.

4 – Analyse des risques

Cette phase consiste à comprendre et à étudier profondément les risques. Elle constitue une donnée d’entrée de l’évaluation des risques et dans la prise de décision sur la nécessité de les traiter et sur les stratégies ou méthodes de traitement les plus appropriées.

Elle consiste aussi à déterminer les conséquences et les probabilités pour les risques identifiés en tenant compte de la présence (ou non) et de l’efficacité des contrôles existants. Probabilité et conséquence associée sont alors combinées pour déterminer le niveau de risque.

5 – L’évaluation des risques

L’évaluation des risques et des opportunités peut être effectuée de deux manières : qualitative et quantitative. L’évaluation qualitative évalue le niveau de gravité en se basant sur la probabilité et l’impact de l’événement. L’évaluation quantitative, quant à elle, analyse l’impact financier ou le bénéfice de l’événement. Les deux types d’évaluation sont nécessaires pour une évaluation complète des risques et des opportunités.

La norme ISO 31000 « Management du risque – Lignes directrices » est un guide de référence en matière de management du risque, qui fournit les principes fondamentaux du management du risque. Elle comprend des cadres pour l’évaluation de l’échelle de criticité d’un risque.

Outils et méthodes d’analyse des risques

• Méthode du Diagramme de Succès ou de Fiabilité (MDS/MDF)
• Méthode de l’Arbre des Défaillances (ADD) ou des Causes
• Méthode de l’Arbre des Conséquences ou Arbres d’Evénements
• Diagramme Causes-Conséquences (MDCC)
• Analyse Préliminaire des Risques / Dangers (APR/APD)
• Analyse des Modes de Défaillance et de leurs Effets (AMDE)
• Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité (AMDEC)
• Hazard and operability (HAZOP)
• Hazard Analysis Critical Control Point (HACCP)
• Hazard identification (Hazid)
• Méthode des Combinaisons des Pannes Résumées (MCPR)
• Méthode de l’Espace des Etats (MEE)
• Processus de Markov
• Réseaux de Pétri

6 – Traitement des risques

La maîtrise et l’anticipation des risques impliquent à la fois des mesures de prévention et de protection.

Pour une maitrise éfficace, il est important de mettre en place des dispositifs de prévention et des stratégies d’élimination ou de réduction du risque, telles que le contrôle de la qualité, en obtenant des certifications, en surveillant la concurrence et l’environnement, en formant les employés, en mettant en place des protocoles de sécurité et en souscrivant des assurances.

Lorsqu’il s’agit de gérer les risques et les opportunités, un projet doit définir une stratégie de traitement en fonction de la nature du risque. 7 stratégies sont envisageables :

1. un refus du risque : ne pas démarrer ou poursuivre l’activité porteuse du risque,
2. la prise ou l’augmentation d’un risque afin de saisir une opportunité,
3. l’élimination de la source de risque,
4. une modification de la vraisemblance,
5. une modification des conséquences,
6. un partage du risque avec une ou plusieurs autres parties (incluant des contrats et un financement du risque),
7. un maintien du risque fondé sur un choix argumenté.

7 – Mettre en place des plans d’actions – Reporting fréquent des risques

Une fois les risques évalués, le management détermine quels traitements appliquer à chacun de ces risques. Le choix des traitements adéquats nécessite la prise en compte de facteurs tels que :

• L’effet des traitements potentiels sur la probabilité d’occurrence et l’impact des risques,
• Le rapport coût / bénéfice des traitements potentiels
• Les opportunités éventuelles, au-delà de la gestion du risque en question, permettant de contribuer à la réalisation des objectifs de l’organisation.