Les 8 étapes du cycle de gestion des risques

Contents

Les étapes du cycle de gestion des risques, le risque… Que signifient vraiment ces termes et quels sont leurs enjeux ? Par définition, le risque est le potentiel de perte incontrôlée de quelque chose de valeur. Il peut également être défini comme l’interaction intentionnelle avec l’incertitude, un aspect des mesures prises malgré l’incertitude. Et en ce qui concerne le cycle de gestion des risques, il montre comment réduire de façon méthodologique le risque possible.

C’est indéniable, l’avenir est incertain. Personne ne sait malheureusement pas de quoi demain sera fait. Le pire comme le meilleur peut arriver,  Cela dit, dans la gestion des risques opérationnels des organismes, on se doit d’être précis et prévoyant dans ses décisions. Pour ce faire, les décisions et/ou les actions prises doivent être guidées et éclairées par des méthodes approuvées qui ont fait leurs preuves, le contrôle de gestion interne, le processus de gestion, et le processus de gestion des risques sont indispensables, pour mener à bien de telles actions, et c’est pour cela qu’il doivent être gérés par la hiérarchie de haut niveau

C’est pourquoi, le management de tout organisme qui évolue dans un environnement empli d’incertitudes (de probabilités)  doit maitriser le cycle de la gestion des risques de l’entreprise, avec si nécessaire la mise en place d’une cartographie des risques identifiés. Son premier rôle est la prévention des risques, peu importe le processus,  et il consiste surtout  en une évaluation des risques, minutieuse et détaillée, pour aboutir à la maitrise du risque, de  tous les risques.

Nos amis anglo-saxons parleront plus de risk-management (identification  des risques, et management des risques),  qui n’est ni plus ni moins que la simple gestion du risque (des risques dans une entreprise), en fait c’est une discipline, gérée par  le risk manager, qui va tout faire pour les hiérarchiser, pour en évaluer les risques,  pour  en réduire la portée du risque probable ou du risque encouru, son rôle consiste donc à y appliquer les systèmes régulateurs nécessaires, pour les adapter aux réalités du contexte et en diminuer la portée.

Votre entreprise est unique, le document unique, qui intègre et évalue tous les risques identifiés liés à votre métier aussi, il est à réaliser, dès le premier employé le D.U.  (Document unique) est obligatoire, il est imposé pour assurer la sécurité et protéger physiquement et mentalement vos salariés (Loi  article L 4121-1 code du travail), le but du D.U. est non seulement d’identifier les risques opérationnels, mais aussi de les évaluer et de les prévenir. Il intégrera tous les risques de santé et/ou risques de sécurité au travail.

La maitrise des risques techniques est une nécessité, (ils sont par principe indésirables), mais parmi les autres types de risques, il convient de citer les :  risques organisationnels, risques internes, risques externes, risques majeurs, risques mineurs, risques industriels, risques chimiques ou risques de produits chimiques, risques sismiques, risques informatiques, risques financiers, risques sanitaires, risques juridiques, risques fiscaux, risques technologiques, cyber risques ou cyberisques, risques viraux, risques liés aux malwares et autres trojans, risques naturels,  risques électriques, risques inondations (marées, crues, débordements), risques professionnels, risques stratégiques, risques pertinents, risques objectifs, et bien d’autres encore, telles que les catastrophes naturelles,  tout  ce qui peut contribuer à réduire un risque de défaillance.

La gestion des risques, nécessite avant tout un plan d’action, ou un plan de gestion pour pouvoir exceller dans le management du risque, de la gestion de crise, aux risques d’un projet , voici les 8 étapes clés qui le constituent, des étapes qui demeurent vraies peu importe la nature, l’important est la maitrise des risques liés  auxquels vous êtes exposés, l’idéal est de les gérer, de les identifier,  comme une gestion de projet pour tous les risques potentiels ;  il parait indispensable d’identifier les risques et d’analyser tous  les risques, quels qu’ils soient, tous les risques  d’entreprise sont concernés.

Identifier les risques, les matérialiser et les enregistrer.

C’est l’étape où les menaces, les vulnérabilités et les risques associés sont identifiés pour être matérialisés puis enregistrés. Ce processus, comme tout le reste, doit être systématique afin d’éviter qu’un risque ne soit involontairement écarté ou mis de côté. Par ailleurs, il est aussi nécessaire qu’au cours de cette étape, tous les risques répertoriés, sans exception, soient identifiés et enregistrés (incluant même d’identifier les risques associés), et ce, même si parmi eux il y en a qui ont déjà été contrôlés par l’organisme dans  le passé. Le gestionnaire des risques est là, pour évaluer et gérer les risques.

L’identification des risques  ou aléas, (les aléas par définition, sont des dangers potentiels de tous types),  consiste à identifier ce qui peut mal tourner. À cette fin, vous devez dresser une liste complète des sources des risques et d’événements qui pourraient avoir un impact sur vous, sur la communauté, sur votre projet ou bien au bon déroulement de vos activités. Il faut, assurer la maîtrise des risques en toute circonstance, le fait qu’il existe de nombreuses façons dont un événement peut se produire rend important l’étude de toutes les causes et scénarios possibles, et leur analyse servira pour une éventuelle atténuation, ou bien pour initier des mesures correctives.

C’est pourquoi, rien ne doit être négligé. Les méthodes et les outils utilisés pour identifier les risques, et faire une analyse des risques encourus, comprennent des listes de contrôle, des jugements fondés sur l’expérience et les enregistrements, des organigrammes, un remue-méninge, une analyse des systèmes, une analyse de scénarios et des techniques d’ingénierie des systèmes.  Les accidents de travail, sont parfois une bonne base d’analyse, pour apprécier la bonne approche de gestion des risques, et apprécier tous les risqués liés, pour aboutir a bien définir les risques, ou bien déterminer les risques.

Le fait d’appliquer ces méthodes aideront à matérialiser les risques sur le papier et dans l’esprit de chacun. Après quoi, il sera plus évident de saisir les dangers qu’ils représentent, et même tout simplement leur existence. Un plan de gestion des risques est une réelle nécessité (risques associés, risques actuels risques découlant d’une gestion incohérente) , dans tout système d’information, en matière de gestion, analyser les risques, avec des outils de gestion adaptés, est le plus, qui qualifiera le bon système de management.

Les risques et la façon de gérer ces risques de gestion  sont normalisés à l’international, et l’ISO Organisation Internationale de Normalisation a produit et publié plusieurs normes ISO, en fait, il s’agit d’apporter une réponse aux préoccupations majeures avant d’entreprendre une activité. «  Quelle serait la meilleure façon de procéder ».

  • ISO 9000 sur le management de la qualité.
  • ISO 14000 sur le management environnemental.
  • ISO/IEC 27001 sur le management de la sécurité de l’information.

 Leur but : des activités plus saines, des services et des produits meilleurs et performants, et une meilleure réglementation applicable à tous (Internationale).

 

Analyser un par un les risques

L’analyse des risques est l’étape suivante dans le cycle de gestion des risques. C’est lors de cette étape que le niveau du risque et sa nature sont évalués et compris. Les informations qui en résulteront permettront aux décideurs de savoir si les risques identifiés doivent être traités ou non (selon leur vulnérabilité). L’analyse des risques se fait un à un pour qu’ils puissent chacun bénéficier d’un maximum d’attention et d’analyse. De même, les décisions des décideurs devront, elles, aussi être prises au cas par cas.

L’analyse des risques implique quelques d’études et examens qui ne s’improvisent pas : étude approfondie des sources de risques ; leurs conséquences ; la probabilité que les risques se produisent, la probabilité que ses conséquences se produisent… D’autres méthodes sont aussi préconisées et plus particulièrement l’analyse statistique et les calculs de probabilité. En effet, le niveau de risque peut être estimé en utilisant une analyse statistique et des calculs combinant impact et probabilité.

Mais une question se pose : où trouver les éléments et les informations nécessaires pour estimer l’impact et la probabilité de choses qui ne se sont même pas produites ? Pour ce genre de situation, il est d’usage d’utiliser les informations fournies par les expériences passées, les pratiques fiables, les normes ou directives internationales, les études et analyses de marché…  on parlera de cartographie des risques, pour mieux les gérer, pour effectuer le traitement des risques qu’il convient.

 Du fait de son importance capitale, l’analyse des risques doit être effectuée ou du moins menée par une personne ou une équipe compétente ayant une bonne connaissance pratique de la situation et maîtrisant les démarches scientifiques de gestion des risques, ou du processus de management des risques, il faut que l’équipe soit capable, d’estimer les risques, en utilisant des méthodes et des outils adaptés et compréhensibles par tous, en clair de pouvoir maitriser les risques et les évènements indésirables pouvant survenir.

A tel point qu’ici et là, se sont créées de grandes écoles internationales, qui proposent un Mastère spécialisé dans la Pratique de la gestion des risques, avec pour objectif d’améliorer la gestion du risque, en fait les élèves  de haut niveau (Bac+ 4, Bac + 5 souvent recherchés par les grandes SII  ou par les ETI),  avec des plannings très chargés, par une approche de gestion globale et une démarche de synthèse,  apprennent  à prévenir les risques opérationnels (ingénierie corrective financière), à savoir mener des analyses en tous genres, y inclus les analyses financières, pour apporter des solutions et piloter l’excellence et la performance, en utilisant des modes de gestion, souvent éprouvés. C’est une formation de management de très haut niveau, pour maitriser les risques financiers.

D’autres formations ont aussi vu le jour, telles que celle concernant le QSE, Responsable Qualité Sécurité Environnement, parfois rapprochée de la HSE.  C’est aussi une formation de haut rang, initiée par l’AFNOR,  qui a de plus en plus d’amateurs,  qui se rapproche de la norme ISO 14001, mais qui va plus loin que la norme QSE, en y ajoutant une performance globale, une transversalité partagée, mais non symétrique, intégrant la gestion des risques psychosociaux, la pollution, le bien-être au travail, et l’implication du personnel, c’est un moyen idéal pour  effectuer une évaluation des risques professionnels, des dispositifs médicaux y sont parfois aussi associés.

Classer les risques identifiés potentiels,  après les avoir évalués

Les risques analysés sont ensuite classés en fonction du niveau de leur degré de perte attendue. Cette dernière est définie comme une combinaison de probabilité et d’impact potentiel. La valeur du risque peut ainsi être calculée comme suit : Risque (perte attendue) = probabilité x impact. Dans cette formule, « Probabilité » désigne la probabilité que l’événement à risque se produise pendant la période qui nous intéresse. Et « impact » est l’ensemble des effets de l’événement à risque (temps, pertes matérielles, humaines, financières…). Pour un risque donné identifié, le résultat des calculs déterminera si un traitement est nécessaire ou non. Évidemment, il y en aura forcément un impact,  si les pertes attendues sont ou non négligeables.

À propos du classement, tous les risques avec le même niveau de pertes attendues sont regroupés dans une seule et même catégorie. Il en résultera plusieurs catégories qui regrouperont tous les risques identifiés. Notez que chaque catégorie se traite différemment. Les moyens et les efforts engagés ne seront pas les mêmes. Par ailleurs, lors du classement, les professionnels suggèrent de développer ce que l’on appelle un « registre des risques ». Celui-ci est efficace pour éviter les angles morts. En effet, un registre permettrait d’avoir une vue complète sur l’ensemble des risques. De cette manière, on évite de négliger certains risques ou d’accorder trop d’attention à certains.

La façon de nommer (les incidents)  les classements du risque diffère d’un domaine à un autre, souvent des matrices de risques sont créées, pour mieux prendre la mesure de gestion des risques.  Dans le domaine de l’assurance par exemple, les managers du risque classent les individus opérant dans le domaine de la santé entre les trois catégories suivantes : Risques préférés, Risques standard et Risques inférieurs.

Évaluation approfondie des risques et traitement

Dans une normale démarche de gestion des risques, tous les risques  identifiés et classés vont être revus et évalués pour ensuite être traités. Les informations fournies par les précédentes étapes aideront dans la prise des décisions. Lors de cette étape d’évaluation, les analystes vont se décider sur les risques qui vont être traités et ceux qui seront traités en priorité. Le traitement, soulignons-le, a pour but de modifier les risques pour qu’ils atteignent un niveau acceptable.

Néanmoins, il arrive qu’à cette étape certains risques présentent encore quelques zones d’ombre. Si c’est le cas, une analyse très approfondie pourra encore être conduite, car tout doit être limpide. C’est une règle très importante en gestion des risques professionnels ou non professionnels.

Les risques les plus probables avec un fort impact seront traités en priorité. Ceux avec un niveau moins élevé suivront. En revanche, les risques dits acceptables ne seront pas traités, car ils ne sont suffisamment pas graves pour justifier un traitement. Outre le niveau de risque, d’autres critères peuvent néanmoins interférer pour justifier un traitement : conséquences, la probabilité d’événements, impact cumulatif d’une série d’évènements… Les éventuels coûts de gestion, les probabilités d’occurrence… et dans des cas très précis, la résilience.

Fixer les exigences de sécurité

Exigences de sécurité, mesures de sécurité ou encore mesures de traitement des risques… Tous ces termes évoquent plus ou moins les mêmes choses. Et ils visent principalement l’élimination ou la réduction des effets des risques et leurs impacts. Pour déterminer les exigences de sécurité appropriées, l’équipe de gestion de crises répertorie toutes les possibilités envisageables, mais ne choisit que les plus adaptées. Elle a pour cela le choix entre plusieurs méthodes : l’évitement, l’optimisation, le transfert ou encore la conservation des risques. Ces méthodes peuvent être envisagées et adoptées séparément ou en combinaison.

Voici quelques exemples d’exigences de sécurité qui ont le mérite d’être très efficaces : 

  • Eviter le risque en prenant la décision d’arrêter l’activité ou bien l’évènement à l’origine de ce risque.
  • Pour les risques saisonniers, il suffit de reporter à une période convenable la reprise de l’activité.
  • Poursuivre une activité qui pourrait réduire le risque
  • Modifier l’impact des risques de manière à réduire les dégâts et les pertes
  • Faire en sorte que d’autres parties partagent le risque pour qu’il soit supportable pour tous
  • Conserver le risque est aussi une solution quand les coûts de la gestion sont supérieurs aux avantages qu’on pourrait en tirer.

 Organiser et concevoir le plan d’actions de sécurité

L’organisation et la conception du plan d’actions de sécurité est la sixième étape du cycle de gestion des risques. La prévention des risques implique que  les plans d’action soient utilisés pour décrire avec précision,  de façon préventive, étape par étape, comment les mesures de sécurité seront mises en œuvre, de façon ordonnée et qualitative. Sans plan, l’équipe pourrait se perdre en chemin et des mesures importantes pourraient aussi être oubliées.

La conception du plan d’action de sécurité (et la prise de décision qui en découle) doit impérativement prendre en compte les informations suivantes pour qu’il puisse être fiable :

  • les ressources nécessaires aux actions,
  • les calendriers des actions,
  • les priorités,
  • les responsables de toutes les parties concernées par le risque, le gain…
  • les responsabilités de toutes les parties concernées par les actions qui vont être prochainement entreprises,
  • les démarches à suivre pour la surveillance

Une fois élaboré, le plan doit être distribué à toutes les parties prenantes pour être approuvé. Si tout le monde est d’accord, il est mis en œuvre. En outre, le soutien de la haute direction et de tous les cadres et professionnels,  est essentiel tout au long du cycle de vie du processus. À cette fin, l’équipe de gestion des risques doit régulièrement fournir et adresser des rapports complets et réguliers.

 Mesurer l’évolution et l’avancement du plan d’action de sécurité

C’est très important de mettre en œuvre une sorte de processus continu de monitoring pour mesurer l’évolution et l’avancement de tout ce qui a été entrepris. Sans ce processus de contrôle ou encore s’il est mal exécuté, la mise en œuvre du plan d’action pourrait dévier. Tout le processus serait compromis.

La surveillance commence très tôt par la vérification des actions à entreprendre. Avant qu’elles ne soient mises en œuvre, ces actions doivent être revues et mises à jour dans le cas où l’environnement, les risques ou la situation a eu le temps d’évoluer. Par ailleurs, chaque étape du processus de gestion des risques doit être consignée et enregistrée. Les hypothèses, méthodes, sources de données, résultats et motifs des décisions… Tout cela doit être inclus dans ce qu’on appelle le matériel enregistré.

Ce dernier doit ensuite être confié à une équipe pour être revu, vérifié et mesuré. D’autre part, chaque action entreprise et ses résultats doivent être systématiquement confrontés aux résultats attendus préalablement définis lors de la précédente étape du cycle de gestion des risques. Il en va de même pour les calendriers, les ressources… Etes-vous dans les temps sur l’exécution des actions ? Les ressources ont-elles été surexploitées ou au contraire sous-exploitées ?

Valider en mesurant l’efficacité de votre sécurité

Un cycle (ou référentiel) est par définition une suite de phénomènes se renouvelant sans arrêt dans un ordre immuable. C’est pourquoi, lors de cette dernière étape, vous revenez aux risques, comme à la toute première étape, mais cette fois-ci pour voir l’efficacité des mesures prises. Normalement, si les mesures de sécurité prises sont efficaces, les risques aux conséquences non négligeables devraient être réduits à un niveau correct, effacés, ou encore évités.

Réduction des risques, cette dernière étape du cycle est aussi pour l’organisme ou bien l’équipe qui a mené la gestion de réduire les risques l’occasion de faire une sorte de validation des expériences acquises. Elle consiste en l’enregistrement de toutes les informations et connaissances acquises depuis le début du cycle. Concrètement, les hypothèses, les méthodes et les actions qui se sont révélées fructueuses vont être enregistrées pour enrichir la base de données.

Ce sont des informations très précieuses, car elles ont été vérifiées et approuvées après vérification de résultats. Elles seront d’une aide très précieuse pour améliorer la gestion des risques pour les occasions à venir. Quant aux hypothèses, méthodes et actions qui se sont finalement révélées inefficaces, elles doivent aussi être consignées, c’est ce que nous appellerons à tout moment répondre aux risques, ou bien dit autrement, les laisser tels quels, mais après les avoir analysés et répertoriés (en fait, le savoir, mais surtout l’assumer).