Le management des risques

Introduction

La gestion ou le management des risques (risk management), est la fonction qui vise à définir, évaluer et hiérarchiser les risques en relation avec l’activité de l’organisation, quelles que soient leurs type ou source. Et par la suite, ces risques seront traités systématiquement, de façon coordonnée et économique, afin d’affaiblir et surveiller la probabilité des événements indésirables, et leur éventuel impact.

1. Entreprises et incertitudes

1.1 Définition du terme risque

Le risque est l’ensemble de quatre volets : un danger, une possibilité d’occurrence, sa gravité et son acceptabilité. Le danger est un cas redouté, ainsi le « risque » ne peut pas se confondre avec lui, mais c’est la conséquence de ce que ce danger a la possibilité d’apparaître et causerait des conséquences plus ou moins graves.

1.2 Part d’incertitude

Le taux d’incertitude qui représente pratiquement un risque est souvent faible, c’est-à-dire que le déroulement « naturel » d’une action logique est celui où l’objectif attendu est atteint. Cela ne vaut dire pas qu’il n’y a que peu d’incertitude dans un tel projet, mais plutôt que le niveau d’incertitude souvent atteint est normalement sous contrôle, et n’est pas naturellement à compromettre l’atteinte de l’objectif.

1.3 Facteur de risque

Le facteur de risque ( ou bien péril ou danger) est un facteur présent capable d’entraîner un risque, autrement dit la survenance de l’accident.

1.4 Impact et gravité

Un événement n’est considéré comme un risque que dans le cas où il est possible d’avoir un impact sur l’atteinte d’un objectif visé, ou sur une activité à laquelle on est adhèrant et que l’on veut respecter dans son déroulement.

2. Finesses de l’analyse des risques

2.1 Gestion qualitative

Bien que les concepts mis en place soient toujours principalement les mêmes, les objectifs et les méthodes employés seront différents suivant que le management de risque s’occupe de la maîtrise des risques dans les projets, de l’étude de la sécurité d’un système, de la maîtrise des activités d’une organisation, de la surveillance de la qualité…

2.2 Échelle de gravité et échelle temporelle

à l’inverse, l’étude des risques qui peuvent impacter la santé et la sécurité au travail de l’industrie chimique peut mettre en évidence des actes situés sur une échelle de large gravité (à partir de « se couper légèrement » jusqu’à « nuage toxique faisant des milliers de morts »). Le résultat est que l’échelle de fréquence visée doit être assez large (de « par semaine » à « par millions d’années »).

2.3 Gestion quantitative des risques

On peut s’apercevoir qu’une gestion uniquement qualitative est inapplicable pour démontrer l’importance des événements qui respectivement s’étalent sur neuf niveaux.

Un niveau de sûreté qui peut éloigner une catastrophe à un niveau de 10-6 par an ne peut pas se baser sur des mesures simples, mais doit se reposer sur des dispositifs conceptuels, et des procédures de sécurité et de contrôle nombreux et indépendants.

3. Étapes et principes de la gestion des risques

3.1 Perception et explicitation

Identification du risque

La fonctionnalité la moins contrôlable théoriquement du management formel des risques est leur perception initiale. Il ne s’agit ici, normalement, « que » de faire d’une façon simple l’inventaire des actes redoutés, capables d’impacter significativement l’entreprise étudiée. À cette phase, il faut déterminer le risque : parmi les faibles signaux qui sont identifiés, distinguer ceux qui contiennent des risques plus grands.

Risques historiquement identifiables

Malgré cette limitation claire, il y en a des approches pragmatiques efficaces qui permettent de développer très fortement la question, et même de la réduire à l’essentiel, quand la fonction est une activité courante et reconnue :

  • Pour toutes les activités « semblables » à ce que l’on souhaite maîtriser, une recherche historique ou une enquête de benchmarking permet de définir le type de problèmatique auquelle a pu se heurter le modérateur, et donc de présenter une fiche d’étude d’acte redouté basée sur ces statistiques passées.
  • Aussi, pour toutes ces activités « semblables », une étude critique des mesures formellement prises pour maîtriser l’activité montre profondément des actes redoutés.

Risques méthodologiquement identifiables

à part ces deux sources, qui peuvent être identifiées et évaluées, des méthodologies complémentaires, en général plus ou moins basées sur des pratiques de brainstorming, permettent de faire l’inventaire des actes redoutés plus inhabituels, non déterminables par les statistiques ou les dispositions de coutume ou de réglementation, donc plus ou moins fréquents, ou de faible impact.

Retour d’expérience

En outre, la définition des actes redoutés peut se placer d’autres activités de surveillance :

  • Les observations et suggestions qui résultent d’un audit n’ont de sens que s’ils s’associent à un acte redouté. Ils peuvent être analysés comme des échecs ou des facteurs de risques capables de conduire à des échecs.
  • Les relevés d’évenements ou de défaillances reflètent des petites mesures non contrôlées, qui à un niveau plus important peuvent devenir des facteurs de risques.

3.2 Appréciation du risque

Généralités

Une fois qu’un acte redouté est déterminé à son début, la description officielle du risque peut manifester. Elle consiste à visualiser le risque défini sous forme structurée, comme un tableau par exemple.

Selon les besoins, l’évaluation du risque peut se faire qualitativement à propos des probabilités et des conséquences.

Des pratiques semi-quantitative et quantitative en termes de possibilité d’occurrence et de résultats probables peuvent être intéressantes. Il faut donc approfondir le scénario d’accidents et de ses résultantes.
Les concepts quantitatifs se basent sur la mesure statistique d’événements ou d’échecs.

Les concepts semi-quantitatives sont semblables aux précédents, mais se basent au début sur des estimations intuitives de fréquences, qui sont par la suite fusionnées selon des règles simples.

Caractérisation du scénario

À partir d’un acte redouté, la première étape à faire pour définir un risque de point de vue quantité est de formaliser le scénario de référence dont on parle. L’acte redouté est au milieu entre deux séquences de causes et de conséquences, ce qui amène à des représentations de type arbres logiques ou réseaux.

Pondération des éléments du scénario

Pour passer à une bonne évaluation du risque, il faut bien définir les limites du scénario, de point de vue temps et espace.

Dans le temps, l’unité d’étude sera l’année, et les possibilités envisagées vont être mesurées en nombre d’événements par an. Il est remarquable que l’évaluation du risque varie selon cette limite : au niveau d’une année la crue du siècle est un événement rare ; mais au niveau d’un siècle, c’est un événement sûr.

Aussi, un risque de sécurité au travail n’a plus la même probabilité, selon que l’on s’occupe d’un petit groupe de cinq personnes, ou d’un groupe d’une dizaine de milliers d’employés.

Évaluation de l’impact

L’impact d’un risque se voit selon la situation finale que causerait l’événement.
L’évaluation de l’impact est normalement subjective. Elle varie en fonction des priorités et des valeurs du responsable de l’organisation soumise au risque, et qui doit en assumer l’appréciation.

Les impacts éventuels peuvent être de natures différentes, et il est intéressant de les ramener à un même niveau pour pouvoir faire une comparaison entre les risques. La solution la plus facile en analyse de point de vue quantitatif est d’associer ces impacts à une valeur financière.

3.3 Gestion des risques

Généralités

Veille, définition des risques par les audits, traitement par identification des sources de risques, maîtrise des risques par les procédures de prévention et de protection : c’est la procédure traditionnelle de gestion des risques.

La gestion du risque est l’étape avant-dernière dans le processus de traitement du risque. Elle a comme objectif la réduction des différentes natures ou sources.
Dès l’évaluation des plus grandes vulnérabilités, on peut comprendre mieux les causes, les éléments de risque, et les conséquences. Il y en a des différentes stratégies pour analyser les risques, telles que les actions préventives et correctives.

Priorités dans la réduction des risques

Après l’évaluation individuelle des risques, il est possible de les comparer et de les ordonner pour gérer les priorités. Les risques qu’il faut prioritairement réduire sont ceux qui se voient en même temps avec une grande probabilité, et des conséquences importantes.

Neutralisation des risques prioritaires

La neutralisation des risques se fait par l’identification de toutes les pratiques de prévention et de protection possibles pour éviter le déclenchement des événements et leur enchaînement.

La protection la plus fiable est de s’organiser de telle façon que l’acte redouté soit sans capacité matérielle d’apparaître.

3.4 Mesures de gestion du risque

Prévention : Empêcher que l’événement redouté se produise

La prévention vise à affaiblir la possibilité d’occurrence du risque en diminuant le nombre ou supprimant des éléments basiques de risque.
Comme par exemple les actions multiples réalisées pour éviter de conduire sous l’effet de l’alcool. La prévention est généralement la meilleure solution pour ses ressources propres.

Des actions de prévention peuvent être mises en place pour diminuer le nombre de fois d’apparition de l’acte redouté (tuer le risque).
Cette stratégie est généralement appliquée la première surtout dans le cas où le danger est grand (pouvant entraîner la mort ou pas).

On peut aussi faire la prévention par évitement, là où l’activité à risque peut être totalement suspendue.

Réduction du risque : Diminuer les conséquences de l’événement redouté

En plus des actions de prévention, des actions de correction peuvent être mises en place pour limiter les résultats d’apparition de l’acte redouté. Les actions de correction tendent à affaiblir l’effet du risque lors de son apparition.

Transfert : Transformer l’aléatoire en sur-coût déterminé

Il existe plusieurs types de contrat permettant de transférer même de façon partielle le risque sur un tiers (contrats de caution, contrats d’assurance…).

L’adoucissant, ou le changement de périmètre, consiste plus ou moins à « profiter de l’occurrence du risque », non pas pour en affaiblir le taux de possibilité ou les conséquences, mais en utilisant l’acte à son profit, comme le cas classique de l’assurance, qui n’évite ni l’accident de parvenir, ni votre maison de brûler, mais qui vous prépare un « dédommagement » pour le préjudice en question.

Acceptation : Le risque est trop faible pour justifier le coût d’une réduction

Accepter un risque donne suite à une analyse de danger. Cette analyse permet d’apprécier les dommages qui peuvent être eventuellement causés à des personnes exposées si l’événement redouté a lieu. Alors, un risque sans conséquence grave peut être accepté par les employés de l’entreprise.

3.5 Contrôle

Dispositions de contrôle

Une fois définies, les procédures mises en place pour maîtriser les risques doivent être sujets de contrôle avec le même statut que toutes autres procédures gouvernant l’entreprise :

-Au premier lieu, assurer que les procédures sont saisies et appliquées par les acteurs eux-mêmes, par exemple par l’exécution d’une formation initiale et une sensibilisation par la suite continuellement.

-Au second lieu, assurer que l’encadrement relatif à une activité inclut ces procédures dans les éléments qu’il fait respecter, et qu’il est capable d’identifier et corriger les écarts.

-Au troisième lieu, contrôler la dûreté et la permanence des niveaux qui précèdents, via des audits continus régulièrement qui assurent qu’elles sont identifiées, comprises et mises en œuvre.

Réexamen périodique des risques

Le contrôle continu et régulier doit comprendre les dispositions relatives aux risques définis, tout en assurant qu’elles restent efficaces et suffisantes à propos de l’actualisation de l’évaluation de ce risque.

Dispositions de surveillance

Il y a des risques qui doivent être sujets de statistiques régulières, de façon à s’assurer que le taux d’occurrence reste dans le niveau préfixé.

L’exploitation de ces statistiques peut conduire à définir des tableaux de bords et des niveaux d’alerte, ou se limiter à un examen périodique à l’occasion du réexamen périodique du portefeuille de risques.

Le contrôle statistique peut devenir une obligation légale, par exemple dans le cas des accidents de travail.

4. Approches spécifiques de la gestion du risque

4.1 Gestion des risques d’un projet

Un projet envisage généralement une double définition d’avoir une organisation et des objectifs qui se développent fréquemment à travers le temps selon l’avancement du projet. En outre, d’être le plus que possible un processus déterminé pour l’occasion.

à propos d’une gestion de risques « normale », la gestion des risques d’un projet démontre cette originalité :

  • Les taux de risque analysés sont souvent élevés, parce que l’occurrence des actes imprévus étant une totale certitude, la gestion des risques de faible niveau serait une perte de temps.
  • Les actes redoutés sont généralement les mêmes pour tous les projets : mauvaise expression du besoin, échec ou ressource indisponible, problèmes financiers et calendaires..etc.
  • La gestion du risque consiste dans la plupart de temps à planifier les projet, ou à se préparer à le faire.
  • La gestion du risque peut le plus souvent se contenter d’une approche complètement qualitative à propos des possibilités d’occurrence.
  • La gestion du risque est souvent modulaire, chaque prestataire (sous-traitant) étant responsable de son périmètre et de ses limites.

4.2 Gestion de risques sociétaux

La gestion des risques se dispose de deux caractéristiques inhabituelles :

-L’échelle de temps considérée est classiquement séculaire, par contre les entreprises sont le plus souvent annuelles.
-Le plus grand enjeu est l’identification très évoluée des risques fréquents, à partir de signaux faibles qu’il faut collecter et analyser.

4.3 Étude de dangers

L’étude de dangers ou EDD fait partie de la réglementation de la sécurité industrielle. Ce cas particulier de gestion des risques se caractérise par deux particularités différentes :

-L’inventaire des dangers à considérer est dans la plupart du temps mis en scène par la réglementation, ce qui élimine pratiquement le problème de perception et d’explicitation des risques.
-La zone à considérer n’est pas limitée à l’entreprise, mais doit mettre en place toute sa localisation géographique. Elle indique les localisations habitées à côté du site ainsi que les zones industrielles à proximité.
L’étude de dangers peut se manifester de 6 façons différentes :

-APR (Analyse Préliminaire des Risques), elle arrive en premier emplacement pour définir les risques associés à la conception des projets.

-AMDE (Analyse des modes de Défaillance et de leur Effets), analyse et qualifie l’instant à partir duquel un système ou un composant n’est plus capable de fonctionner normalement.

-AMDEC (Analyse des Modes de Défaillance et de leurs Effets et de leur Criticité), semblable à l’AMDE elle intègre l’évaluation semi-quantitative des causes (probabilité) et effets (gravité).

-HAZID (HAZard IDentification) est une revue de définition des dangers et d’analyse des risques.

-HAZOP (HAZard Operability) méthode dominante dans le traitement de la sécurité des industries de process (chimique, pharmaceutique, pétrolière).

-La  » What-if ? « , en français :  » que-si  » , c’est une méthode de traitement similaire à l’HAZOP mais plus restreinte, elle est limitée aux conséquences sans définir les causes.

Références

G. Jousse Le Risque, cet inconnu ou Traité de riscologie, Imestra Éditions.

Roland Recht, L’effondrement d’une cathédrale au Moyen Âge : calamités et progrès [archive], p. 146.

Rasse G., 2008, Les plans de prévention des risques, Collection Sciences du Risque et du Danger, Éditions Lavoisier.

G. Jousse, Traité de riscologie – La science du risque, Imestra éditions, 2009, 2015.

Laisser un commentaire