« Le pire risque c’est de ne pas en prendre » Sarkozy Notion de risque 102 Définition Le risque est un concept bien mal défini et encore plus galvaudé ! On dira ainsi : Il y a un risque d’orage (situation) ; La machine risque une surcharge électrique (cause) ; Je risque la perte de mon investissement (conséquence) ; Cette usine est un risque majeur pour ses assureurs (victime). Notion de risque (suite) 103 Il importe donc d’adopter une définition précise, qui se démarque des différentes acceptions du langage courant. Un risque est une situation (ensemble d’événements simultanés ou consécutifs) dont l’occurrence est incertaine et dont la réalisation affecte les objectifs de l’entité (individu, famille, entreprise, collectivité) qui le subit. Certains risques pourront avoir des effets positifs. Ce sont ceux que l’on recherche, et que l’on appelle « chance » ou « opportunités ». D’autres auront assurément des effets négatifs. Ce sont ceux que l’on craint (menaces). Un risque se caractérise donc par deux grandeurs : • Sa probabilité d’occurrence, ou fréquence f. • Ses effets, ou gravité G. Un risque se mesure par le produit de ces deux grandeurs, sa criticité C : C=GxF Notion de risque (suite) 104 Causes, effets, incertitude et objectifs Les risques sont exprimés dans les termes d’une relation de cause à effet. Notion de risque (suite) 105 Causes, effets, incertitude et objectifs (suite) Le risque est caractérisé par un événement incertain (ou incertitude) pouvant affecter l’organisation. Cette notion d’événement incertain est l’élément central dans la définition. Le défi est d’identifier un événement potentiel qui, s’il se produisait, pourrait déclencher une série de conséquences indésirables pour l’Organisation. La notion d’événement incertain doit être interprétée de manière large afin de couvrir un grand nombre de situations mais elle doit être suffisamment précise pour permettre d’identifier les causes menant à l’événement, leur effet ou leur conséquence et, par conséquent, les mesures à prendre pour gérer le risque. Notion de risque (suite) 106 Causes, effets, incertitude et objectifs (suite) Formuler un risque peut représenter un exercice complexe requérant de différencier correctement entre les causes, l’événement déclenchant le risque et la conséquence / impact de ce risque. Les risques doivent être appréciés et hiérarchisés en relation avec des objectifs. La formulation d’un risque doit comprendre la cause de ce risque et son impact possible sur l’objectif. Notion de risque (suite) 107 Causes, effets, incertitude et objectifs (suite) Notion de risque (suite) 108 Causes, effets, incertitude et objectifs (suite) Il faut en tout cas avoir à l’esprit qu’un risque formulé de manière peu rigoureuse rendra impossible de l’apprécier et d’y appliquer les contrôles appropriés ainsi que de poursuivre le processus de gestion du risque. Notion de risque (suite) 109 Plan de management des risques : GESTION DES RISQUES Surveillance et maîtrise Traitement des risques Évaluation quantitative Évaluation qualitative Identification Objectifs des risques (priorisés) ANALYSE DES RISQUES Retours d’expériences Notion de risque (suite) 110 La démarche de conception et déploiement d’un dispositif de maîtrise des risques : Le référentiel COSO : Entreprise Risk Management 111 L’incertitude est une donnée intrinsèque à la vie de toute organisation. Aussi l’un des principaux défis pour la direction réside-t-il dans la détermination d’un degré d’incertitude acceptable afin d’optimiser la création de valeur, objectif considéré comme le postulat de base dans le concept de management des risques. L’incertitude est source de risques et d’opportunités, susceptibles de créer ou de détruire de la valeur. Le management des risques offre la possibilité d’apporter une réponse efficace aux risques et aux opportunités associés aux incertitudes auxquelles l’organisation fait face, renforçant ainsi la capacité de création de valeur de l’organisation. Le référentiel COSO : Entreprise Risk Management (suite) 112 Le management des risques comprend les éléments suivants : Aligner l’appétence pour le risque avec la stratégie de l’organisation : L’appétence pour le risque est une donnée que la direction prend en considération lorsqu’elle évalue les différentes options stratégiques, détermine les objectifs associés et développe le dispositif pour gérer les risques correspondants. Développer les modalités de traitement des risques : Le dispositif de management des risques apporte une méthode permettant de choisir de façon rigoureuse parmi les différentes options de traitement des risques que sont : l’évitement, la réduction, le partage ou l’acceptation du risque. Diminuer les déconvenues et les pertes opérationnelles : Les organisations améliorent leur capacité à identifier et traiter les événements potentiels, ce qui leur permet d’atténuer les impondérables et de diminuer les coûts ou pertes associés. Identifier et gérer les risques multiples et transverses : Chaque entité est confrontée à une multitude de risques affectant différents niveaux de l’organisation. Le dispositif de management des risques renforce l’efficacité du traitement des impacts en cascade et apporte des solutions intégrées pour les risques à conséquences multiples. Saisir les opportunités : C’est en prenant en compte un large éventail d’événements potentiels que la direction est le mieux à même d’identifier et tirer parti des opportunités de façon proactive. Améliorer l’utilisation du capital : C’est en ayant une vision claire des risques de l’organisation que la direction peut évaluer efficacement les besoins en capitaux et en améliorer l’allocation. Le référentiel COSO : Entreprise Risk Management (suite) 113 Le management des risques traite des risques et des opportunités ayant une incidence sur la création ou la préservation de la valeur. Il se définit comme suit : Le management des risques est un processus mis en œuvre par le conseil d’administration, la direction générale, le management et l'ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l'organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation. Cette définition reflète certains concepts fondamentaux. Le dispositif de management des risques : Est un processus permanent qui irrigue toute l’organisation ; Est mis en œuvre par l’ensemble des collaborateurs, à tous les niveaux de l’organisation ; Est pris en compte dans l’élaboration de la stratégie ; Est mis en œuvre à chaque niveau et dans chaque unité de l’organisation et permet d’obtenir une vision globale de son exposition aux risques ; Est destiné à identifier les événements potentiels susceptibles d’affecter l’organisation, et à gérer les risques dans le cadre de l’appétence pour le risque ; Donne à la direction et au conseil d’administration une assurance raisonnable (quant à la réalisation des objectifs de l’organisation) ; Est orienté vers l’atteinte d’objectifs appartenant à une ou plusieurs catégories indépendantes mais susceptibles de se recouper. Le référentiel COSO : Entreprise Risk Management (suite) 114 Lien entre le contrôle interne et la gestion des risques des entités : À bien des égards, la gestion des risques des entités peut être considérée comme une évolution naturelle du modèle de contrôle interne. La plupart des organisations tendront à appliquer entièrement le modèle de contrôle interne avant de mettre en œuvre les concepts inhérents à la gestion des risques des entités, dont le contrôle interne fait intégralement partie. Le modèle de gestion des risques des entités comprend le contrôle interne, mais représente en outre une conceptualisation plus approfondie de la manière dont les décisions de gestion prises par une organisation devraient découler de sa mission principale et des objectifs dérivés ; de plus, il représente un outil susceptible d’aider la direction à déterminer la réponse correcte face à un événement particulier. ISO 31000 115 La norme ISO 31000 « Management du risque » est intéressante car elle permet d’aboutir à une convergence potentielle entre une méthodologie normative et une méthodologie réglementaire (COSO). La norme ne concerne pas seulement les groupes cotés mais l’ensemble des organisations privées ou publiques. La norme ISO 31000 est structurée en trois points : principes de management des risques ; cadre organisationnel du management des risques ; processus de management des risques. ISO 31000 (suite) 116 Principes de management des risques : La norme ISO 31000 prévoit un certain nombre de principes fédérateurs structurants : S’assurer de la création de la valeur À la différence de la méthodologie du COSO, la norme ISO fait ressortir explicitement l’exigence de création de valeur ou de protection de cette dernière via la protection des biens et des personnes et la protection de l’image de l’organisation. Faire partie intégrante des processus organisationnels La norme reconnaît le dispositif de risk management en tant que processus global et s’assure de l’existence d’une interrelation entre processus et risques. Être intégré dans la prise de décision stratégique ISO 31000 reconnaît la dimension risk assessment comme étant une dimension essentielle et met en exergue l’implication du top management en termes d’arbitrage risques/opportunités, ainsi que le niveau d’appétence des dirigeants en termes de maîtrise des risques. ISO 31000 (suite) 117 Traiter explicitement de l’incertitude La norme demande à l’organisation de donner sa définition des risques aléatoires et incertains ainsi que de qualifier la notion de risques acceptables et inacceptables. Avoir une approche systématique, structurée et proactive La norme est fondée sur la construction d’un dispositif récurrent basé sur le retour d’expérience et la notion d’éradication du risque. Se baser sur la meilleure information disponible ISO 31000 reconnaît l’exigence d’étayer le dispositif de risk management sur l’étude de séries chronologiques antérieures, mais aussi d’éléments de veille permettant de mieux anticiper le futur. Être construit sur mesure La norme ISO reconnaît la nécessité d’adapter le dispositif de management des risques à l’organisation, aux spécificités culturelles de l’organisation. Cet aspect est fort intéressant et se différencie de la méthodologie du COSO, qui est relativement monolithique. ISO 31000 (suite) 118 Intégrer les facteurs humains et culturels de l’organisation La norme reconnaît le poids du comportemental dans la mise en œuvre d’un dispositif de management des risques efficace. À noter, là encore, une différence substantielle avec le COSO, qui ne met en exergue que l’aspect méthodologique, sans s’intéresser à la dimension psychosociologique. Être transparent et participatif ISO 31000 met en exergue l’importance de construire un dispositif de management des risques avec la collaboration des parties prenantes (fournisseurs, sous-traitants, entités portant des processus externalisés). Être dynamique, itératif et réactif ISO 31000 reconnaît la nécessité d’être en veille permanente par rapport à l’identification des risques émergents. Faciliter l’amélioration et l’évolution continue de l’organisation La finalité du dispositif est la montée en puissance du niveau de maturité du dispositif de management des risques (attributs d’un management des risques amélioré). ISO 31000 (suite) 119 Le cadre organisationnel du management des risques Le dispositif de management des risques de la norme ISO est structuré en cinq étapes. 1 - Mandat et engagement : Cette étape nécessite un engagement officiel des acteurs de la gouvernance en conformité avec l’ensemble des réglementations en vigueur. 2 - Conception du cadre organisationnel de management du risque : Elle passe par une analyse stratégique du type forces et faiblesses, risques et opportunités en intégrant à cette démarche les parties prenantes externes. L’originalité de la norme ISO réside dans l’intégration systématique de ces dernières dans le dispositif de management des risques, du fait qu’elles portent une partie significative des risques de sinistralité. 3 - Mise en œuvre du management des risques : Elle passe par la mise en œuvre du cadre organisationnel de management des risques et se traduit, entre autres, par l’obligation pour l’organisation de justifier ses prises de décision, y compris la détermination des objectifs alignés sur les résultats du processus de management des risques. ISO 31000 (suite) 120 4 - Surveillance et revue du cadre organisationnel : Cette étape impose la construction d’indicateurs de performance permettant de monitorer la montée en puissance de la maturité du dispositif de risk management et d’effectuer régulièrement des revues de performance. 5 - Amélioration continue du cadre organisationnel : Cette étape doit se matérialiser par une éradication des causes des risques les plus significatifs via retour d’expérience. ISO 31000 (suite) 121 Le processus de management des risques Le processus décrit par la norme ISO se décompose en cinq étapes. 1 - Communication et consultation Cette première étape vise à partager, avec les parties liées, une même vision du dispositif de management des risques à mettre en œuvre, en échangeant les hypothèses de travail communes. 2 - Établissement du contexte Par la prise en compte de l’ensemble des contraintes et opportunités offertes par les évolutions réglementaires (réglementaire, concurrentiel, monétaire, démographique, etc.) et de la flexibilité de l’organisation interne mise en œuvre pour anticiper ces risques environnementaux. ISO 31000 (suite) 122 3 - Appréciation du risque Identification du risque L’objectif est de réaliser une cartographie des risques basée sur les événements susceptibles de faciliter, d’empêcher, de différer l’atteinte des objectifs. Le dispositif vise aussi à s’intéresser aux risques liés à la non-saisie d’une opportunité. Dans ce sens la norme ISO 31000 couvre à la fois les dimensions corporate et business risk management. Analyse du risque La norme demande de décrire les causes des risques affectant les processus ainsi que leur impact positif ou négatif, en probabilisant les faits générateurs. La méthodologie proposée va dans le sens des approches classiques développées en termes de contrôle interne et de management des risques. Évaluation du risque Cette étape consiste à comparer le niveau de risque estimé lors de la simulation des scénarii de risques avec les critères de risque établis lors de l’établissement du contexte. Si le niveau de risque ne satisfait pas les critères d’acceptabilité (parce qu’il se traduit par une remise en cause de la pérennité de l’entreprise), il convient que le risque fasse l’objet d’un traitement (duplication, séparation, suppression, etc.). ISO 31000 (suite) 123 4 - Traitement du risque L’objectif de cette étape est de supprimer le risque ou de réduire le niveau de vulnérabilité de l’entreprise : éviter le risque en décidant de ne pas commencer une nouvelle activité ou de supprimer une activité existante ; supprimer la source du risque via des investissements de protection ; changer la probabilité d’occurrence via des investissements de duplication ; partager le risque avec une ou plusieurs parties prenantes (dont transfert par l’assurance). 5 - Surveillance et revue Cette phase passe par la construction d’un système d’information management des risques permettant de suivre le monitoring des risques. Identifier les risques 124 Quelques outils L’identification des risques vise à obtenir un panorama de l’ensemble des risques auxquels l’Organisation fait face. L’identification des risques peut être menée soit par une équipe spécifique, qui peut être extérieure à l’Organisation, soit par le biais d’un processus d’auto-appréciation au niveau des responsables fonctionnels. Les risques sont identifiés en fonction des cibles (objets de risque), et non pas des sources de risque : Risques associés aux fonctions ; Risques associés aux processus ; Risques associés aux ressources. Identifier les risques (suite) 125 Quelques outils (suite) 1. Revues de documentation. 2. Analyse des listes de contrôle 3. Techniques de collecte des informations : Le remue-méninges / L'entretien / Le Focus Group / L’analyse SWOT Forces Faiblesses En quoi les forces de En quoi les faiblesses de l’organisation permettent- l’organisation pourraientOpportunités elles de saisir telle ou elles empêcher de saisir telle ou telle opportunité ? telle opportunité ? Menaces En quoi les forces de l’organisation permettentelles de contrer telle ou telle menace ? En quoi les faiblesses de l’organisation renforceraient-elles telle ou telle menace ? Identifier les risques (suite) 126 L'identification des risques détermine quels risques peuvent avoir un impact sur le projet. L'identification des risques est un processus itératif car de nouveaux risques peuvent se révéler pendant que le projet progresse dans son cycle de vie. Chaque processus est porteur de risques caractéristiques, néanmoins selon des intensités différentes en fonction du type de projet. projet Tout est connecté à huit processus : Analyse qualitative 127 Méthodes inductives : des causes vers les effets Analyse qualitative (suite) 128 Méthodes inductives : des causes vers les effets (suite) Arbre des conséquences AMDEC (Analyse des Modes de Défaillance et de leurs Effets et Criticité) HAZOP (HAZard and Operability) Analyse qualitative (suite) 129 Méthodes inductives : des causes vers les effets (suite) Arbre des conséquences Permet d’élaborer un diagramme représentant l’ensemble des éventualités de diverses combinaisons d’évènements. Le développement de l’arbre commence par un évènement déclencheur et progresse suivant une logique binaire : chaque évènement conduit à identifier deux états successifs possibles, l’un acceptable et l’autre non. Cette démarche fournit ainsi la séquence logique des différents évènements susceptibles de se produire en aval de l’évènement primaire (initiateur) et permet alors leur évaluation. Analyse qualitative (suite) 130 Méthodes inductives : des causes vers les effets (suite) AMDEC : de quoi s’agit-il ? L’AMDEC est une Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité. C’est une technique d’analyse qui part de l’examen des causes possibles de défaillance des éléments d’un système pour aboutir aux effets de ce système. Il existe cinq principaux types d'AMDEC : l'AMDEC fonctionnelle, permet, à partir de l'analyse fonctionnelle (conception), de déterminer les modes de défaillances ou causes amenant à un événement redouté ; l'AMDEC produit (ou service), permet de vérifier la viabilité d'un produit (ou service) développé par rapport aux exigences du client ou de l'application ; l'AMDEC process, permet d'identifier les risques potentiels liés à un processus conduisant à des outputs non conformes ou des pertes de cadence ; l'AMDEC moyen de production (ou servuction), permet d'anticiper les risques liés au non fonctionnement ou au fonctionnement anormal d'un équipement, d'un matériel… ; l'AMDEC flux, permet d'anticiper les risques liés aux ruptures de flux matière ou d'informations, les délais de réaction ou de correction, les coûts inhérents au retour à la normale. Analyse qualitative (suite) 131 Méthodes inductives : des causes vers les effets (suite) AMDEC : Démarche 1. Une connaissance précise du système étudié et son environnement est impérative. Ces informations sont généralement les résultats de l'analyse fonctionnelle, et éventuellement du retour d'expériences. Il faut également définir les moyens nécessaires, l'organisation et les responsabilités associées. 2. Évaluer les effets des modes de défaillance. 3. Classer les effets des modes de défaillance par niveau de criticité, par rapport à certains critères de sûreté de fonctionnement préalablement définis au niveau du système en fonction des objectifs fixés (fiabilité, sécurité, etc.). 4. Identifier les composants les plus critiques et de proposer alors les actions et les procédures « juste nécessaires » pour y remédier. Analyse qualitative (suite) 132 Méthodes inductives : des causes vers les effets (suite) HAZOP Permet d’étudier l’influence de déviations des divers paramètres régissant le système analysé par rapport à leurs valeurs nominales de fonctionnement. À l’aide de mots-clefs, les dérives imaginées de chaque paramètre sont examinées systématiquement afin de mettre en évidence leurs causes, leurs conséquences, les moyens de détection et les actions correctrices. Repère Dérive Cause Conséquence Moyens de détection Actions Gravité Fréquence correctives Mots – guide : TROP DE excès d’un paramètre (débit, pression, température, viscosité,…) / PAS DE absence du paramètre désiré / MOINS DE insuffisance d’un paramètre / EN PLUS présence intempestive (vapeur, solide,… impuretés, eau, air,…) / AUTRES démarrage intempestif, arrêt, fonctionnement trop rapide, trop lent,… Analyse qualitative (suite) 133 Méthodes déductive : des effets vers les causes Arbre des causes L’arbre des causes est la représentation graphique de l’enchaînement logique des faits qui ont provoqué un accident (évènement non souhaité ou redouté). Recueil de données : Collecter les faits (concrets, précis) ; Examiner l’ensemble des éléments en relation avec le thème analysé ; Remonter le plus loin possible en partant de l’incident (effet) ; Rechercher en priorité les faits inhabituels. Comment construire l’arbre des causes : Rechercher le ou les faits ultimes (initiateur, à l’origine…) ; Se poser plusieurs questions pour chaque fait : 1. Qu’a-t’il fallu pour que cela arrive ? 2. Est-ce nécessaire ? 3. Est-ce suffisant ? Vérifier. Analyse qualitative (suite) 134 Méthodes déductive : des effets vers les causes (suite) Arbre des causes : exemples Analyse quantitative 135 L'analyse quantitative du risque consiste à évaluer la probabilité d'un risque et à estimer la façon dont ses complications peuvent avoir des répercussions sur les objectifs de l’organisation (ou d’un projet). Elle repose sur l'utilisation d'outils statistiques permettant en premier lieu d'obtenir une mesure rationnelle des incertitudes, et sur l'utilisation de l'approche probabiliste. Le concept de variable aléatoire formalise la notion de grandeur variant selon le de résultat d'un probabilité, tirage ou quant à d'une lui, expérience formalise et aléatoire. quantifie le Le concept sentiment d'incertitude vis-à-vis de l'événement en considération. La probabilité d'occurrence d'un événement E est notée P(E). P(E) est un nombre variant entre zéro et un : 0 ≤ P(E) ≤ 1. La probabilité d'un événement inévitable est la valeur unité, celle d'un évènement impossible est la valeur nulle. Hiérarchiser les risques 136 Après une appréciation probabiliste du risque, on est à même d’élaborer des matrices de risque permettant de systématiser l’appréciation et la hiérarchisation des risques. Les risques identifiés sont soumis à un exercice d’appréciation en termes de deux critères : leur probabilité – une description qualitative ou quantitative de la probabilité – quelle est la probabilité que tels risques/incertitudes se produisent. Et, s’ils se produisent : leur impact potentiel – les implications positives ou négatives d’un risque ou d’une incertitude – quelles sont les conséquences possibles et quelle est l’ampleur de leur impact ? (implications/conséquences/effets quant aux effets et résultats attendus). Hiérarchiser les risques (suite) 137 Une matrice de risque présente une vue d’ensemble ordonnée des risques auxquels une organisation fait face. La vulnérabilité est la combinaison de l’impact qu’un risque peut avoir sur l’achèvement d’un objectif et sa probabilité de survenir. Hiérarchiser les risques (suite) 138 La matrice Probabilité / Gravité Préventive Secours Hiérarchiser les risques (suite) 139 La matrice Probabilité / Gravité (autre présentation) Différents modes de traitement des risques 140 Réduire un risque, c’est soit réduire sa probabilité d’occurrence (prévention), soit réduire ses conséquences (protection, action de secours). Gravité de l’effet Trois attitudes de base possibles face à un risque : Élimination du risque ; Atténuation du risque ; Risque moyen Acceptation du risque. Risque fort La règle des 4 T (+1) : Éviter - Mitiger Transférer - Partager Tolérer ; Risque moyen Risque faible Traiter ; Transférer ; Retenir - Accepter Contrôler - Prévenir mettre un Terme. Tirer profit d’une opportunité. Probabilité d’occurrence Différents modes de traitement des risques (suite) 141 Il existe diverses stratégies pour traiter les risques, comme la prévention, les actions correctives et les palliatifs. La prévention (atténuation) : Elle consiste à diminuer la probabilité d’occurrence du risque en diminuant ou supprimant certains des facteurs de risque. La prévention est souvent la meilleure stratégie. Les actions correctives : Elles visent à diminuer l’effet du risque lorsque celui-ci intervient. Minimiser l’impact constitue souvent une stratégie efficace lorsque l’on ne peut agir sur le facteur de risque lui-même, mais que l’on peut agir sur ses conséquences. Par exemple, on ne peut pas empêcher une avalanche, mais on peut aménager des couloirs d’avalanche pour la canaliser. Le palliatif ou changement de périmètre (transfert) : Il consiste en quelque sorte à « profiter de l’occurrence du risque », non pour en diminuer la probabilité ou les conséquences, mais en utilisant à son profit l’événement. C’est le cas typique de l’assurance, qui n’empêche ni l’accident, ni une maison de brûler, mais qui propose un « dédommagement » pour le préjudice subi. S’assurer est le dernier moyen de traiter les conséquences d’événements aléatoires complètement subis. Différents modes de traitement des risques (suite) 142 Pour cela, on peut utiliser, seuls ou en combinaison : d’organisation techniques juridiques des instruments Différents modes de traitement des risques (suite) 143 Instruments techniques : de prévention, tels que des détecteurs, des équipements de sécurité, des contrôles d’accès ; de protection, tels que des murs coupe-feu, des stockages cloisonnés, des équipements de protection individuels, des stocks de pièces détachées ou de produits finis, la partition des moyens, voire leur duplication (exemple : sauvegardes informatiques (back-up informatique)). Instruments d’organisation : de prévention, par exemple des procédures opératoires, des consignes de sécurité, l’externalisation de certaines fonctions… ; de protection, tels que des plans de sauvegarde ou de survie, des fournisseurs redondants. Instruments juridiques : tels que des clauses contractuelles de limitation de responsabilités, des contrats de travail. Différents modes de traitement des risques (suite) 144 Contrôler l’application du plan 145 Le niveau des risques sur un projet évoluent dans le temps ; Deux actions à appliquer régulièrement et rigoureusement : Revoir régulièrement la situation d’ensemble du projet pour déterminer comment les risques ont évolués ; S’assurer que les actions préventives du plan d’atténuation des risques sont bien appliquées … en évaluer l’efficacité. Communiquer régulièrement la situation du projet en termes de risques.