Management des risques d’entreprise – Quelle méthode pour structurer l’impalpable ?

Les diverses crises internationales (catastrophe BP dans le golfe du Mexique, crise financière européenne, crise sanitaire liée à la Covid-19…) ont rappelé à chaque dirigeant d’entreprise et membre de Conseil d’administration combien il est nécessaire d’évaluer ses propres niveaux de risque et de s’assurer de la capacité à faire face à un incident majeur. Si le management des risques est aujourd’hui inévitable dans le monde industriel ou le domaine de la santé, il s’installe aussi dans les autres secteurs d’activité, dans les grandes entreprises comme dans les PME. Une question se pose alors « Quelle méthode de management des risques pour structurer l’impalpable ?  »

Comment gérer les risques impalpables en entreprise

 

Des exigences communes ou particulières

En Suisse, la loi impose à toutes les sociétés de donner « des indications sur la réalisation d’une évaluation du risque ». C’est l’article 663b du Code des obligations.
Des exigences supplémentaires s’appliquent à certains secteurs : ISO 22000 pour le secteur alimentaire, les directives de la FINMA pour les banques, BPL ou ISO 13485 pour les établissements médicaux, ISO 27001 pour la sécurité de l’information, etc.
Enfin, selon la taille ou la nature de l’établissement, la loi prévoit des cadres réglementaires particuliers : directive MSST pour la sécurité au travail, SOX pour les entreprises cotées, article 728a du CO pour celles soumises au contrôle ordinaire, etc.

En France, l’article L. 230-2 du Code du travail oblige toutes les entreprises à évaluer les risques professionnels pour la santé et la sécurité des travailleurs. S’ajoutent aussi de nombreuses exigences spécifiques. Pour ne citer qu’un seul exemple, les autorités administratives sont soumises à une analyse des risques relatifs à la sécurité des échanges électroniques (Décret n° 2010-112).

 

Une même problématique

Si chaque entreprise possède ses particularités, la problématique demeure la même : quelle méthode adopter pour une gestion des risques utile, performante et conforme aux exigences ? Et surtout, comment structurer le management des risques autour de ces notions impalpables ?

 

Outils à disposition

Il existe de nombreux outils et techniques d’évaluation des risques, du simple brainstorming réalisable par tous à des méthodes plus spécifiques comme HACCP pour l’alimentaire, l’AMDEC (souvent utilisée dans les secteurs automobile, aéronautique, ferroviaire et matériel médical), la méthode COSO basée sur les objectifs d’entreprise, etc.

 

Une méthode de management des risques pour tout établissement et tout type de risque

Nous vous proposons ci-après un vocabulaire et une méthode en 7 points, basés sur la norme internationale ISO 31000 relative au management des risques.

 

Facilitez votre gestion des risques !
Le logiciel Optimiso Suite simplifie et automatise l’analyse des risques, la création de la documentation et des rapports. Vous identifiez, évaluez et suivez les risques avec facilité.

 

1. Fixer le contexte

La première étape consiste à délimiter le cadre dans lequel s’inscrit le management des risques, c’est-à-dire :

a. le périmètre (production, comptabilité finance, toute l’entreprise, etc.);
b. les objectifs d’entreprise (s’assurer de la fiabilité des états financiers, de la croissance du chiffre d’affaires, de la qualité du produit ou service, préserver la santé et la sécurité au travail, assurer la continuité de l’activité, etc.);
c. les acteurs (Conseil d’administration, Direction, Responsables de service, etc.);
d. la méthode d’identification des risques (par les processus, par les objectifs d’entreprise, par le brainstorming, par les actifs, par l’historique des incidents, par les sites géographiques).
e. les critères de risque (échelle de la vraisemblance et des conséquences) et déterminer leur niveau (s’il est acceptable ou tolérable).

 

2. Identifier les risques

Selon la méthode choisie, on dressera le listing des processus, des objectifs d’entreprise, des actifs, des plans des locaux et/ou de l’historique des incidents. Sur la base de ce listing, on identifiera les risques, leurs sources (causes/menaces) et leurs conséquences.

Prenons l’exemple d’un risque commun :
Risque : Incendie
Sources : Foudre, cigarette, pyromane…
Conséquences : Décès d’un collaborateur, perte de matériel, rupture de service…

 

3. Analyse du risque

Elle consiste à mesurer les niveaux de vraisemblance (probabilité) et d’impact afin d’identifier le niveau du risque sur plusieurs critères (humain, financier, image, etc.).
On aura identifié au préalable les moyens de maîtrise (mesures de protection ou de contrôle) mis en place pour diminuer les risques.

Moyens de maîtrise : Paratonnerre, extincteur, assurance…
Probabilité : Peu probable
Impact : Très significatif
Niveau de risque : Faible sur le critère financier, grave sur le critère humain

 

4. Évaluation du risque

On estimera ici le niveau de risque retenu – par exemple selon l’échelle « faible, important, grave » – pour finalement décider si le risque doit être traité ou non.

Niveau de risque final retenu : Grave pour l’entreprise

 

5. Traitement du risque

Il s’agit de sélectionner et mettre en place des mesures de traitement pour réduire le niveau de risque. Le traitement peut notamment inclure les options suivantes : éviter le risque (renoncer à l’activité ou éliminer la source de risque), réduire le risque (par les conséquences ou les causes), partager le risque (transfert à une assurance) ou accepter le risque (poursuite de l’activité sans mesure de traitement du risque).

Traitement du risque : Porte pare-feu, interdiction de fumer dans les locaux

Evaluation d'un risque d'incendie

6. Mise en œuvre de la surveillance

Parmi toutes les mesures de protection en place, il faudra retenir celles considérées comme clés et en vérifier systématiquement la réalisation ou le bon fonctionnement. Si des incidents surviennent, il est essentiel de les inventorier et d’en traiter la source.

 

7. Revue/réévaluation des risques

Il est nécessaire de réévaluer les risques au minimum une fois par année. Cette nouvelle évaluation s’effectue par l’analyse des incidents qui se sont produits – il s’agit d’en tirer des leçons – et par la détection des changements dans les contextes internes et externes à l’entreprise.

 

Conclusion

Bien que cette méthode s’applique à tout établissement et tout type de risque, il est bien entendu nécessaire de tenir compte des produits/services, des objectifs, de l’activité ou encore des projets de chaque entreprise. Pour qu’une évaluation des risques soit utile, il est indispensable que la méthode soit adaptée à l’entreprise et, surtout, clairement définie et décrite.
Attention cependant à ne pas croire que tous les risques seront parfaitement maîtrisés, le risque zéro n’existe pas !

 

Facilitez votre gestion des risques !
Le logiciel Optimiso Suite simplifie et automatise l’analyse des risques, la création de la documentation et des rapports. Vous identifiez, évaluez et suivez les risques avec facilité.
Modifié le 19 octobre 2023

Partager cet article