Management des risques d’entreprise : comment structurer l’impalpable ?

Comment gérer les risques impalpables en entreprise

Les diverses crises internationales, de la catastrophe BP dans le golfe du Mexique à la crise financière européenne, ont rappelé à chaque dirigeant d’entreprise et membre de Conseil d’administration combien il est nécessaire d’évaluer ses propres niveaux de risque et de s’assurer de la capacité à faire face à un incident majeur.

Si le management des risques est aujourd’hui inévitable dans le monde industriel ou le domaine de la santé, il s’installe aussi dans les autres secteurs d’activité, dans les grandes entreprises comme dans les PME.

Des exigences communes ou particulières

En Suisse, la loi impose à toutes les sociétés de donner « des indications sur la réalisation d’une évaluation du risque ». C’est l’article 663b du Code des obligations.
Des exigences supplémentaires s’appliquent à certains secteurs : ISO 22000 pour le secteur alimentaire, les directives de la FINMA pour les banques, BPL ou ISO 13485 pour les établissements médicaux, ISO 27001 pour la sécurité de l’information, etc.
Enfin, selon la taille ou la nature de l’établissement, la loi prévoit des cadres réglementaires particuliers: directive MSST pour la sécurité au travail, SOX pour les entreprises cotées, article 728a du CO pour celles soumises au contrôle ordinaire, etc.

En France, l’article L. 230-2 du Code du travail oblige toutes les entreprises à éva-luer les risques professionnels pour la santé et la sécurité des travailleurs. S’ajoutent aussi de nombreuses exigences spécifiques. Pour ne citer qu’un seul exemple, les autorités administratives sont soumises à une analyse des risques relatifs à la sécurité des échanges électro-niques (Décret n° 2010-112).

Une même problématique

Si chaque entreprise possède ses particularités, la problématique demeure la même: quelle méthode adopter pour une gestion des risques utile, performante et conforme aux exigences ? Et surtout, comment structurer le management des risques autour de ces notions impalpables ?

Outils à disposition

Il existe de nombreux outils et techniques d’évaluation des risques, du simple brainstorming réalisable par tous à des méthodes plus spécifiques comme HACCP pour l’alimentaire, l’AMDEC (souvent utilisée dans les secteurs automobile, aéronautique, ferroviaire et matériel médical), la méthode COSO basée sur les objectifs d’entreprise, etc.

Une méthode pour tout établissement et tout type de risque

Nous vous proposons ci-après un vocabulaire et une méthode en 7 points, basés sur la norme internationale ISO 31000 relative au management des risques.

1. Fixer le contexte

La première étape consiste à délimiter le cadre dans lequel s’inscrit le management des risques, c’est-à-dire :

a. le périmètre (production, comptabilité finance, toute l’entreprise, etc.);
b. les objectifs d’entreprise (s’assurer de la fiabilité des états financiers, de la croissance du chiffre d’affaires, de la qualité du produit ou service, préserver la santé et la sécurité au travail, assurer la continuité de l’activité, etc.);
c. les acteurs (Conseil d’administration, Direction, Responsables de service, etc.);
d. la méthode d’identification des risques (par les processus, par les objectifs d’entreprise, par le brainstorming, par les actifs, par l’historique des incidents, par les sites géographiques).
e. les critères de risque (échelle de la vraisemblance et des conséquences) et déterminer leur niveau (s’il est acceptable ou tolérable).

2. Identifier les risques

Selon la méthode choisie, on dressera le listing des processus, des objectifs d’entreprise, des actifs, des plans des locaux et/ou de l’historique des incidents. Sur la base de ce listing, on identifiera les risques, leurs sources (causes/menaces) et leurs conséquences.

Prenons l’exemple d’un risque commun :
Risque: incendie
Sources: foudre, cigarette, pyromane…
Conséquences: décès d’un collaborateur, perte de matériel, rupture de service…

3. Analyse du risque

Elle consiste à mesurer les niveaux de vraisemblance (probabilité) et d’impact afin d’identifier le niveau du risque sur plusieurs critères (humain, financier, image, etc.).
On aura identifié au préalable les moyens de maîtrise (mesures de protec-tion ou de contrôle) mis en place pour diminuer les risques.

Moyens de maîtrise: paratonnerre, extincteur, assurance…
Probabilité: peu probable
Impact: très significatif
Niveau de risque: faible sur le critère financier, grave sur le critère humain

4. Evaluation du risque

On estimera ici le niveau de risque retenu – par exemple selon l’échelle « faible, important, grave » – pour finalement décider si le risque doit être traité ou non.

Niveau de risque final retenu: grave pour l’entreprise

5. Traitement du risque

Il s’agit de sélectionner et mettre en place des mesures de traitement pour diminuer le niveau de risque. Le traitement peut notamment inclure les options suivantes : éviter le risque (renoncer à l’activité ou éliminer la source de risque), réduire le risque (par les conséquences ou les causes), partager le risque (transfert à une assurance) ou accepter le risque (poursuite de l’activité sans mesure de traitement du risque).

Traitement du risque: porte pare-feu, inter-diction de fumer dans les locaux

Evaluation d'un risque d'incendie

6. Mise en œuvre de la surveillance

Parmi toutes les mesures de protection en place, il faudra retenir celles considérées comme clés et en vérifier systématique-ment la réalisation ou le bon fonctionne-ment. Si des incidents surviennent, il est essentiel de les inventorier et d’en traiter la source.

7. Revue/réévaluation des risques

Il est nécessaire de réévaluer les risques au minimum une fois par année. Cette nouvelle évaluation s’effectue par l’ana-lyse des incidents qui se sont produits – il s’agit d’en tirer des leçons – et par la détection des changements dans les con-textes internes et externes à l’entreprise.

Conclusion

Bien que cette méthode s’applique à tout établissement et tout type de risque, il est bien entendu nécessaire de tenir compte des produits/services, des objectifs, de l’activité ou encore des projets de chaque entreprise. Pour qu’une évaluation des risques soit utile, il est indispensable que la méthode soit adaptée à l’entreprise et, surtout, clairement définie et décrite.
Attention cependant à ne pas croire que tous les risques seront parfaitement maîtrisés, le risque zéro n’existe pas !

Publié le 01 août 2010

Partager cet article