Code d'accès oubliés !

Espace Membres
L'association
Devenir membre
Comité Scientifique Permanent
Les Rencontres AMRAE
Pôle Traitement des Risques
Pôle ERM
Agenda des manifestations
Univers des risques
Publications à vendre
AMRAE Formation
Actualités/Presse
Emploi
Enquêtes
Mon compte
Organisation Générale
Assemblée Générale
Comité Scientifique Permanent
Spécial Séminaire Stratégie Amrae
Organisation des Commissions, Groupes de Travail, Groupes Thématiques
Pôle Traitement des Risques
Pôle ERM
Journée des commissions
Café d'Echange (Nouveau!)
Agenda des Pôles et des manifestations
Univers des risques
Liste des forums
Guide interactif de la gestion des risques lies à l'environnement pour les PME/PMI
Le Baromètre du Risk Manager 2011
Annuaire

Méthodologie



La gestion globale des risques dans les entreprises

"La prise de risque est inhérente à toute société. Il n'existe pas de croissance, ni de création de valeur dans une société, sans prise de risque. S'ils ne sont pas correctement gérés et maîtrisés, ces risques peuvent affecter la capacité de la société à atteindre ses objectifs. En continuant à prévenir et à gérer les risques, les dispositifs de gestion de risques et de contrôle interne jouent un rôle clé dans la conduite et le pilotage des différentes activités."

"Les dispositifs de gestion des risques et de contrôle interne : cadre de référence " - Groupe de Travail de l'Autorité des Marchés Financiers dont l'AMRAE pilotait la mise à jour du cadre de référence – Juillet 2010"

La gestion globale des risques a comme objectifs de :

a) sécuriser l'atteinte des objectifs de l'entreprise,

b) permettre aux dirigeants de disposer d'une vision globale et commune des principales menaces et opportunités manquées de l'entreprise,

c) allouer les ressources financières, humaines et technologiques aux véritables enjeux de l'entreprise.

La gestion globale et intégrée des risques (ou Entreprise-wide Risk Management) repose sur un dispositif organisé au sein de l’entreprise. Même si cette organisation et les ressources associées dépendent de la taille de l’entreprise, les étapes essentielles du dispositif restent les mêmes : 

a) un cadre organisationnel comprenant les rôles et responsabilités des acteurs, un langage commun, une politique d’appétence aux risques, le format et la périodicité de la cartographie des risques… 

b) un processus comprenant 5 phases successives:

1- L’analyse du contexte,

2- L’identification des risques,

3- L’évaluation des risques,

4- La maîtrise des risques,

5- Le contrôle de la maitrise et du dispositif

 

Processus pour une gestion globale des risques

 


 

Détail des 5 phases successives

Etablir le contexte

L’objectif de cette étape est de connaître les éventuels éléments de risque de l’entreprise. Pour ce faire, il convient:

>>>>TRES ORIENTE ENVIRONNEMENT
-  d’analyser l’activité de l’entreprise (ex : nucléaire, déchets, utilisation de produits chimiques…),

-  d’examiner l’emplacement des bâtiments (ex : près d’un cours d’eau, en bas d’une colline, sur une zone sismique, à proximité des voies de transport dangereux..),

-  d’appréhender la législation à laquelle l’entreprise est soumise (ex : REACH…),

- de connaître les entreprises voisines et leurs activités.

Plus généralement, il faut se demander : « Quels seraient les éléments de l’entreprise ou de son environnement qui pourraient avoir une incidence sur ses activités ? »

 

Identifier les risques

Cette étape consiste à recenser  les risques susceptibles de menacer l’atteinte des objectifs de l’entreprise. En effet, pour que le recensement des risques ne ressemble pas à une liste à la Prévert, il est essentiel d’adosser les risques aux objectifs stratégiques ou opérationnels de l’entreprise.  Ces risques peuvent prendre deux formes : les menaces potentielles ou la possibilité de passer à côté d’une opportunité.

L’identification des risques revient à donc se poser continuellement ces deux questions : « quelles sont les menaces et/ou événements susceptibles  de contrarier ma stratégie et/ou d’empêcher mes objectifs de se réaliser  » ? « Est-ce que je passe à côté d’une opportunité intéressante pour mon entreprise ? ».

Un risque se caractérise par un événement (redouté), ayant une ou plusieurs sources et une ou plusieurs conséquences.

Les dirigeants peuvent s’aider d’un univers de risques (cf. figure 2) leur permettant de couvrir l’ensemble des activités de l’entreprise.

 

Evaluer les risques

Cette étape est essentielle car elle consiste à donner un poids / une importance relative à chacun des risques identifiés, ce qui permettra de les hiérarchiser les uns par rapport aux autres. En effet, chaque événement redouté peut avoir des conséquences plus ou moins catastrophiques et une probabilité d'apparition plus ou moins grande.

Les conséquences peuvent être de plusieurs sortes :

  • environnementales,
  • humaines et sociales,
  • financières,
  • juridiques,
  • sur l’image de l’entreprise.

Même si quasiment toutes ces conséquences peuvent se traduire en conséquences financières, il est important de faire l’exercice en pensant à chacune des catégories de conséquences, ce qui peut aussi permettre d'identifier de nouveaux risques.

Pour réaliser cette étape, l’entreprise construit deux échelles très simples lui permettant d’estimer pour chaque risque identifié préalablement l’ensemble des conséquences possibles et la probabilité que l'évènement se réalise.

Les conséquences possibles et la probabilité de réalisation de l'évènement doivent être « justifiées » et « documentées » au maximum, permettant de limiter les estimations farfelues ou totalement insensées.

 

Maîtriser les risques

Cette étape consiste à décider de ce que l’entreprise va faire pour limiter les risques qu’elle juge inacceptables. Au préalable, il est donc nécessaire pour un dirigeant / une équipe de direction de définir des limites financières, environnementales, sociales et de sécurité, juridiques et de dégradation de l’image que l’entreprise ne doit pas franchir. Cet exercice permettra de connaître les risques à traiter en priorité.

Le coût de la maîtrise des risques ne doit pas dépasser le gain lié à la réduction espérée des conséquences. En effet, si votre risque menace de vous faire perdre 100 et que les mesures du traitement vous couteront 120, il est inutile d’engager ces mesures sauf si elles concernent une mise en conformité obligatoire. Dans ce cas le calcul ne s’applique pas.

  

Les mesures de maîtrise peuvent être de deux natures (tableau 1):

1) les mesures de prévention vont agir sur la probabilité de réalisation. Exemple : je construis un mur d’enceinte autour de mon usine, cela empêchera l’eau de venir détruire mes stocks. Je limite la probabilité du risque d’inondation au sein de mon entreprise.

2) les mesures de protection vont agir sur les conséquences - exemple : j’équipe mon usine de sprinklers et de murs coupe-feu, je réduis ainsi les conséquences d’un incendie.

Mesures de maîtrise (liste non exhaustive)PréventionProtection
Travaux d’infrastructures / bâtiments x x
Procédures / contrôle interne x x
Formations x x
Plans de continuité d’activités   x
Plan de gestion de crise x x
Transfert aux assurances   x
Stockage   x
Transfert à un sous-traitant x  

Tableau 1 : Nature des mesures de maîtrise des risques (Source AMRAE).

 

Les mesures de maîtrise peuvent avoir plusieurs objectifs :

- objectif de réduction des risques : l’entreprise met en œuvre des actions permettant de diminuer la probabilité de réalisation de l'évènement et/ou de ses conséquences.

- objectif de suppression de la source du risque : l’entreprise décide d’actions et de mesures permettant d’annuler l’objet / l’activité porteuse du risque (exemple : j’ai une activité de revente de déchets soumises à de multiples normes. Je préfère stopper cette activité car la probabilité que je ne sois pas conforme est très importante et les mesures à prendre pour s’assurer de la conformité trop onéreuses).

- objectif de transfert de la source ou des conséquences du risque :

> l’entreprise préfère confier à un sous-traitant l’activité car elle estime que celui-ci est plus compétent, plus fiable qu’elle sur ces sujets. Cela n’exonère pas l’entreprise de ses responsabilités (il est même recommandé de réaliser des audits régulièrement chez les dits sous-traitants) mais permet de limiter la probabilité de réalisation d’un risque (exemple : je transfère à un prestataire informatique l’hébergement de mes serveurs afin de limiter le risque de destruction au sein de mon entreprise).

> l’entreprise souhaite transférer les conséquences financières d’un risque (exemple : je ne peux pas totalement exclure le risque d’incendie dans mon entreprise, si cela m’arrive, je souhaite recevoir un chèque me permettant de reconstruire mon usine et de limiter les pertes liées à la non-exploitation de l’usine. Je vais transférer à une assurance les conséquences financières).

- mention spéciale sur l’acceptabilité du risque : comme évoqué précédemment, cette « non-mesure » a pour objectif de décider que les moyens à engager sont trop importants par rapport aux gains espérés.

 

Contrôler la maîtrise et le dispositif

Cette étape consiste à vérifier que les mesures de maîtrise décidées sont effectivement mises en œuvre et qu’elles ont atteint les objectifs.

Mettre en place un dispositif de contrôle adapté à vos moyens et à votre situation vous permettra d'assurer un niveau de maîtrise acceptable et satisfaisant.

Ce dispositif permettra ainsi de suivre vos risques liés à l'environnement, que ce soit en éliminant les causes ou en limitant les conséquences pour garantir la sécurité et la pérennité de votre activité.

En l'absence de contrôle, vous ne pourrez pas vous assurer :

  • de la mise en œuvre réelle des actions décidées
  • de leur efficacité
  • de la bonne appréhension des risques par le personnel

Cette « mise sous contrôle » constitue également un excellent argument pour maîtriser le montant de vos primes d'assurance, d'où la nécessité d'aborder ces questions avec votre responsable financier. 

Les actions de contrôle peuvent prendre plusieurs formes :

   - une revue périodique du plan d'actions visant à assurer que les actions sont mises en oeuvre. La périodicité est à adapter à votre situation et en fonction du plan d'actions. Essayez de mettre des jalons qui correspondent à la planification de vos actions ou à des moments clés de votre activité (période de moindre activité qui permet de prendre un peu de recul),

   - un bilan plus succinct des principales actions (associées aux risques majeurs) qui comportera la liste des actions réalisées et si possible une estimation de leur efficacité,

    - un ou plusieurs contrôles terrain sur une mesure vitale pour votre activité afin de vous assurer que la mesure perdure dans le temps,

    - un audit par un organisme externe sur l’efficacité de votre plan.

Ces contrôles doivent vous permettre de réadapter régulièrement vos plans d'actions dans une logique d'amélioration continue.

Un des moyens de mesurer l'efficacité des actions est de faire une nouvelle évaluation du risque après leur mise en oeuvre. La réduction des impacts potentiels du risque traduit l'efficacité de vos mesures.

Pour être efficace, le dispositif de gestion des risques doit faire partie intégrante du management de l’organisme, prendre en compte la culture et les pratiques de l’entreprise et s’intègrer aux processus « métier ».

Prendre en compte les retours d’expérience

Ce paragraphe n’est pas développé dans ce guide mais il était indispensable de rappeler son importance dans la phase d’une analyse de risque.

En effet, les événements subis par l’entreprise dans le passé permettent à celle-ci  :

- d’analyser toutes les anomalies, tous les incidents et accidents constatés,

- de rechercher les causes et les enchainements,

- de retirer les divers enseignements,

- de définir les mesures de correction et d’amélioration.

Quelle que soit la catégorie de risques analysée,  il est important de comprendre et de s’approprier la démarche globale.

 

 

Découvrez à présent la démarche proposée dans l'onglet "Mettre en pratique" : un outil permettant d’identifier et d'évaluer les principaux risques liés à l'environnement pour votre entreprise afin de décider s’il y a lieu de mesures de maîtrise et de contrôle.