Vous êtes sur la page 1sur 39

10/16/2019

Université Moulay Ismail


Ecole Nationale Supérieure d’Arts et Métiers- Meknès
‫جامعة موالي امساعيل‬
Risk management word cloud
‫ مكناس‬- ‫املرسة الوطنية العليا للفنون و املهن‬

Management des risques


Risk Management

Version 6 : 25 septembre 2019

Par: Prof. CHERRAFI Anass


Docteur et Ingénieur d’Etat en Génie Industriel 1

Présentation des participants 0 Objectifs


A la fin du module vous devez savoir:

1. Comprendre les concepts et les processus


fondamentaux relatifs au management du risque;
2. Connaître la corrélation entre la norme ISO 31000
et la norme CEI/ISO 31010, ainsi qu’avec d’autres
normes et cadres règlementaires;
3. Comprendre les approches, les méthodes et
01 Succinctement : Nom, Filière…. techniques utilisées pour gérer le risque dans un
organisme;
02 Vos attentes de cette formation. 4. Savoir interpréter les principes et les lignes
directrices de la norme ISO 31000 v 2018.
03 Les questions auxquelles vous souhaitez avoir une réponse.

1
10/16/2019

Présentation des participants 1 Introduction


Quelques événements qui ont éveillée les consciences
Catastrophe de Tchernobyl, Ukraine, 1986

Explosion du réacteur n°4 de la centrale nucléaire


ukrainienne de Tchernobyl.
4000 Morts.
200 000 atteints de cancer…

Les attentats du 11 septembre 2001, USA

01 Examen: 70% 2 977 morts.


6 291 personnes sont blessées.
02 Projet: 30% Ont profondément et durablement modifié la
situation politique dans le monde ainsi que les
relations internationales.

1 Introduction 1 Introduction
Quelques événements qui ont éveillée les consciences Quelques événements qui ont éveillée les consciences
Tsunami, 26 décembre 2004

Séisme dans l’océan indien qui engendré un


Piratage informatique, janvier 2018
Tsunami.
220 000 morts. Piratage de la plateforme d’échange tokyoïte
Coincheck.
Le plus grand « crypto-hack » de l’histoire.
La crise économique 2008
Boum des matières premières. Vol de 530 millions de dollars.
Problèmes de chômage et d’emploi.
Stagnation de la croissance économique.
Dégradation des finances publiques.
Augmentation des dettes publiques.
Inflation dans plusieurs pays.
7 8

2
10/16/2019

1 Introduction 1 Introduction
Quelques événements qui ont éveillée les consciences Quelques événements qui ont éveillée les consciences

Douar Tizrt, Province de Taroudant, Aout 2019. Province de Errachidia, Septembre 2019.

9 10

1 Introduction 1 Introduction
Contexte: Importance d’un système de management des risques Historique

Le mot risque pourrait venir du mot latin resecum « ce qui coupe, écueil »
Les organisations qui ont recours à
d’où l’origine maritime « rocher escarpé » ou pourrait découler du
un système de management des
nouveau italien risimre, qui signifie "oser."
risques augmentent leurs chances
d'atteindre leurs objectifs, sont
Les opportunités et les menaces sont les deux côtés de la même pièce
mieux à même de cerner les
appelée risque. Quand l’issue est favorable on parle d’opportunité, quand
opportunités et les menaces et l’issue est défavorable on parle de menace.
d'allouer et d'utiliser efficacement
les ressources pour le
Etude de cas:
Philips Electronics management des risques.

11 12

3
10/16/2019

1 Introduction 1 Introduction
Domaine d'application de la gestion du risque Bénéfices de management des risques

Le management du risque est utilisée dans de nombreux domaines : Bénéfices attendus de la gestion du risque :
• L’assurance • Amélioration de la confiance des parties prenantes
• La banque • Amélioration de la performance globale de l’entreprise
• L’armée • Amélioration de la réputation de l’entreprise
• L’énergie • Amélioration de la résilience de l’entreprise
• L’aérospatial • Appréciation améliorée des opportunités et des menaces
• Les projets • Augmentation de la vraisemblance d'atteindre les objectifs
• Les dispositifs médicaux • Augmentation des opportunités à saisir
• La médecine • Création de la valeur pour l’entreprise
• L’entreprise • Diminution des pertes
• La construction • Etablissement d’un cadre adéquat pour la de mise en place de façon maîtrisée de
• Les marchés…… toute activité

13 14

1 Introduction 1 Introduction
Bénéfices de management des risques Bénéfices de management des risques

Bénéfices attendus de la gestion du risque :


• Etablissement d’une base fiable pour la prise de décisions
« Le Management des risques vise essentiellement à attirer
• Identification des lacunes
l'attention de toutes les parties prenantes sur le fait que de
• Moins de travail à refaire
bonnes pratiques de management des risques permettent de
• Obtention d’un avantage concurrentiel
garantir la viabilité et le succès à long terme d'une
• Optimisation de l’utilisation des ressources
organisation. Car négliger de gérer les risques revient à prendre
• Protection du patrimoine de l’entreprise
le risque de connaître des échecs »
• Réaction efficace aux changements
• Réduction des coûts et des délais
Jason Brown, président de l’ISO/TC 262, le comité technique
• Réduction des surprises opérationnelles
responsable de la révision de la norme ISO 31000.
• Respect scrupuleux des exigences légales
• Visibilité accrue des responsabilités de chaque membre du personnel

15 16

4
10/16/2019

2 Concepts et définitions 2 Concepts et définitions


Quelques définitions Quelques définitions

La cindynique: Science qui étudie les risques.

Un risque peut avoir des impacts négatifs (on parle de menaces) ou bien des impacts
positifs (on parle d’opportunités).

Saisir une opportunité c’est prendre des risques, mais ne pas saisir une opportunité peut
nous exposer à des risques.

Opportunité: combinaison de circonstances favorables pour l’atteinte des objectifs.

17 18

2 Concepts et définitions 2 Concepts et définitions


Quelques définitions: risque Quelques définitions

Les définitions du mot risque sont multiples. Quelques exemples :

• Effet de l’incertitude sur l'atteinte des objectifs. ISO Guide 73 (2009) Vraisemblance: possibilité que quelque chose se produise

• Effet de l’incertitude. ISO 45001 (2018)


• Effet de l’incertitude. ISO 9001: 2015 Dans la terminologie du management du risque, le mot «vraisemblance» est utilisé pour
indiquer la possibilité que quelque chose se produise, que cette possibilité soit définie,
Un effet est un écart, positif ou négatif, par rapport à une attente.
mesurée ou déterminée de façon objective ou subjective, qualitative ou quantitative, et

Notre préférence : qu'elle soit décrite au moyen de termes généraux ou mathématiques [telles une

Risque : Effet de l’incertitude sur l'atteinte des objectifs. ISO Guide 73 (2009) probabilité ou une fréquence sur une période donnée].

19 20

5
10/16/2019

2 Concepts et définitions 2 Concepts et définitions


Quelques définitions Observation

• Dans la norme ISO 9001 V 2015, il est fait une différence entre
risques (conséquences négatives) et opportunités
Conséquence: effet d'un événement affectant les objectifs. (conséquences positives).
• Un événement peut engendrer une série de conséquences. • Dans l’ISO 31000, seul le risque est évoqué (qui peut avoir des
• Une conséquence peut être certaine ou incertaine et peut avoir des effets positifs ou conséquences positives ou négatives
négatifs sur l'atteinte des objectifs. • Pour la suite de cette présentation, le terme risque est utilisé
• Les conséquences peuvent être exprimées de façon qualitative ou quantitative. au sens de l’ISO 31000.
• Des conséquences initiales peuvent déclencher des réactions en chaîne.

Autres mots utilisés: impact, gravité, conséquence et sévérité.

21 22

2 Concepts et définitions 2 Concepts et définitions


Les différentes catégories de risque Les différentes catégories de risque

Catégorie de risques Exemples


Il existe une multitude de risques qui peuvent menacer et mettre en cause la pérennité Risques géopolitiques Blocus économique, attentats, guerres, climat insurrectionnel…

ainsi que l’atteinte des objectifs d’une organisation. Afin de les gérer de manière efficace, Risques économique Inflation, évolution de la demande, des besoins, des marchés…
Incohérence entre ;les différents segments constitutifs du modèle
chaque organisme doit identifier et classer ses risques en fonction de ses enjeux Risques stratégiques
stratégique
prioritaires. Risques financiers Liquidité, taux de change, risque de crédit, dilution du capital…

Pour chaque secteur d’activité existe un faisceau spécifique de risques susceptibles Risques engendrés par les infrastructures, les énergies, les cycles de
Risques opérationnels
production….
d’impacter les organismes, de manière propre et spécifique. Et, pour chaque organisme Risques industriels Risques liés aux activités de fabrication, de transformation…
du même secteur d’activité, le spectre des risques à couvrir sera spécifique, en fonction Risques juridiques Contrefaçon, responsabilité pénale du dirigeant…

de son histoire, de sa taille, de son ancienneté, de son organisation, de son mode de Risques liés aux matériels, aux logiciel, aux application , aux
Risques informatiques
infrastructures réseaux…
fonctionnement, de son encadrement, etc. Risques sociaux ou
Perte d’homme clé, mal -être, stress, harcèlement sexuel, suicide…
De même, chaque processus et sous-processus traduisant une activité de l’organisme va psychosociaux
Risque d’image ou de
être aussi exposé à un spectre de risques spécifiques, plus ou moins sévères. Contrefaçon, rumeurs, concurrence déloyale, espionnage industriel…
réputation
Risque de knowledge
Perte de connaissance et de savoir-faire
23 management 24

6
10/16/2019

2 Concepts et définitions 2 Concepts et définitions


Quelques définitions: Danger Quelques définitions: Danger

Le danger peut être:

• Propriété intrinsèque à une substance, à un système qui peut conduire à un • Une personne: un hacker
dommage. • Un processus: une consigne inadaptée
• Source de dommage potentiel. ISO Guide 73 (2009) • Un objet: un couteau
• Source ou situation susceptible des causer des traumatismes et pathologies. ISO
• Un phénomène: le brouillard
45001 (2018).
• Une substance: l’essence
• Contrairement au risque qui est un évènement, le danger est une chose (par
exemple un outil, une machine, un produit, un document…). Cette chose est danger si • Une pratique: descendre les escaliers en courant
elle est affectée d’une caractéristique qui la transforme en source potentielle de • Un procédé: Le soudage à l’arc
dommages (un document ambigu, un produit corrosif, un opérateur mal formé…).

25 26

2 Concepts et définitions 2 Concepts et définitions


Quelques définitions: Danger Modélisation standard du risque

Pour ne pas confondre danger et risque quelques exemples simples :

Danger Risque

Présence de l’eau sur le sol d’un atelier Risque de glissade sur le sol mouillé

Défaut d’isolation d’un équipement électrique Risque d’électrocution

Lorsqu’on a présence simultanée d’un danger et d’une cible on se trouve en présence


27 d’une situation dangereuse. 28

7
10/16/2019

2 Concepts et définitions 2 Concepts et définitions


Modélisation standard du risque Modélisation standard du risque

Danger Cible Risque

La vitesse d’une voiture Le chauffeur ou les piétons Risque d’accident

Produit inflammable Environnement Risque d’incendie

Lorsqu’on a présence simultanée d’un danger et d’une cible on se trouve en présence


d’une situation dangereuse.
29 30

2 Concepts et définitions 2 Concepts et définitions


Temporalité du risque et pilote du risque Quelques définitions

Période d’activité Le risque (et son niveau) est fonction de l’impact et de la vraisemblance.

Le risque est apparu

Axe du temps
Risque Impact Vraisemblance

Le risque est Le risque est


latent actif Le risque est éteint

Un risque apparu n’est plus un risque mais un problème

31 32

8
10/16/2019

2 Concepts et définitions 2 Concepts et définitions


Matrice d’évaluation du risque Prévention et protection

33 34

2 Concepts et définitions 2 Concepts et définitions


Prévention et protection Prévention et protection

Risque
Limite d’acceptabilité Domaine de prévention Domaine de protection

Agissent avant pour Agissent après pour en


diminuer la probabilité atténuer les

(vraisemblance) conséquences

Les actions de prévention et de protection sont mises en place avant la période


active du risque !

35 36

9
10/16/2019

2 Concepts et définitions 2 Concepts et définitions


Prévention et protection Prévention et protection

Les promeneurs sur la falaise


Des promeneurs marchent le long d’une falaise en calcaire d’une hauteur de près de 50m. Sur
l’ensemble du parcours, des panneaux informent les promeneurs de l’instabilité des bords de la
Prévention ou protection ? falaise, les infiltration d’eau rendant le calcaire friable. Aux endroits les plus dangereux, des
barrières ont été posées afin d’empêcher les promeneurs de trop s’approcher.
1. Remplacer un solvant inflammable par un autre non inflammable
2. Installer un système d’extinction incendie
Danger (s) Hauteur de la falaise et friabilité de des bords
Cible (s) Promeneurs
Menace (s) Pour chaque promeneur, risque de chute mortelle s’ils s’approchent du bord
Prévention Panneaux d’information, barrières
Protection -

37 38

2 Concepts et définitions 2 Concepts et définitions


Prévention et protection Plan de mitigation et plan de contingence

Le serveur informatique de la société Alpha Risk


Pour installer son serveur informatique, la société Alpha Risk s’est dotée d’une salle spécifique ou
elle a installé l’air conditionné. Pour palier à tout incident potentiel, Alpha Risk réalise chaque soir
des sauvegardes de l’ensemble des données gérées par ce serveur.

Danger (s) Chaleur dans la salle informatique


Cible (s) Serveur
Menace (s) Si température supérieure à 35°c, panne du serveur entrainant des pertes
de données
Prévention Climatisation
Protection Sauvegarde des données

39 40

10
10/16/2019

2 Concepts et définitions 2 Concepts et définitions


Le risque brut et le risque net Le risque brut et le risque net

• Avant tout essai de réduction (prévention/ protection) , le risque est dit inhérent ou
brut.
• Ce premier niveau de risque reste de fait très théorique car, même lors d’une toute
première évaluation, il préexiste généralement des mesures de prévention ou de
protection.
• Une fois les dispositions de prévention et de protection mises en place et leur
efficacité vérifiée, on obtient un risque dit résiduel ou net.

41 42

2 Concepts et définitions 1 Introduction


Quelques définitions: Management des risques Qui s’occupe de la maîtrise des risques en entreprise?

• Activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du Management des Risk Manager
risque. ISO Guide 73 (2009) risques
• Culture, processus et structures mis en place pour gérer efficacement les opportunités
et les effets négatifs. Business Continuity Institute (Institut de continuité des activités). Garant méthodologique
Vecteur de performance

Toute l’entreprise

43 44

11
10/16/2019

2 Concepts et définitions 3 Système de Management des risques


Conditions de réussite Les ressources normatives du risque

Le risque et l’approche par les risques (risk based thinking) sont présents dans beaucoup
de normes et référentiels. Quelques exemples des plus répandus :

• ISO 9001 v 2015 : Système de Management de la Qualité (SMQ)


• ISO 14001 v 2015: Système de Management de l’Environnement (SME)
• ISO 45001 v 2018: Système de management de la santé et de la sécurité au
travail (SST)

45 46

3 Système de Management des risques 3 Système de Management des risques


Les référentiels ISO 31000, COSO ERM et AMF ISO 31000: 2018 Mangement du risques – Lignes directrices

• Norme internationale de référence pour l’approche risque.


ISO 31000 COSO ERM Cadre de référence AMF
• 1ere version parue en 2009.
Norme qui fournit des Référentiel de contrôle • Une norme qui propose des principes, un cadre et des lignes directrices pour gérer
principes, un cadre et des Référentiel qui permet aux interne et de gestion des toute forme de risques…
lignes directrices pour gérer entreprises de mieux risques visant a améliorer le • A destination de tout type d’entreprise ou d’organisation.
toute forme de risque. Cette comprendre l’impact pilotage des activités des • Peut s’appliquer à tout type de risque, quelque soit sa nature.
norme peut être utilisée par concret de la culture sur la entreprises et sécuriser • ISO 31000 ne se prête pas à des fins de certification. Elle donne des orientations pour
tout type d'organisme sans gouvernance des risques et l’atteinte de leurs objectifs. les programmes d'audit internes ou externes. Les organisations qui l'utilisent peuvent
distinction de taille, l’appréciation des risques Ce cadre a vocation à être évaluer leurs pratiques en matière de management du risque au regard d'un
d'activité ou de secteur. Elle dans la sélection et adapte aux entreprises selon référentiel reconnu au niveau international, qui offre des principes rigoureux pour un
n’a pas vocation à être l’exécution de la stratégie. leurs spécificités de secteur, management et une gouvernance efficaces.
certifiante. d’organisation et de taille.

47 48

12
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Les avantages de la norme ISO 31000: 2018

Organisation International de Normalisation


ISO 31000 aide les organismes à développer une stratégie de management du risque
visant à identifier et à atténuer les risques de façon efficace. Ces organismes sont ainsi L’ISO (Organisation internationale de normalisation) est une organisation internationale
plus susceptibles d’atteindre leurs objectifs et disposent d’actifs mieux protégés. non gouvernementale, indépendante, composée de 162* organismes nationaux de
L’objectif premier d’ISO 31000 est de contribuer au développement d’une culture du normalisation. Par ses membres, l’Organisation réunit des experts qui mettent en
management du risque permettant aux employés et aux parties prenantes de prendre commun leurs connaissances pour élaborer des Normes internationales d’application
conscience de l’importance du suivi et de la gestion des risques. La mise en œuvre d’ISO volontaire, fondées sur le consensus, pertinentes pour le marché, soutenant l’innovation
31000 permet également aux organismes de comprendre les opportunités positives et les et apportant des solutions aux enjeux mondiaux. L’ISO a publié plus de 22000* Normes
conséquences négatives associées au risque et les aide à prendre des décisions plus internationales et publications associées, couvrant la quasi-totalité des secteurs, des
éclairées, et ainsi plus efficaces, notamment en matière d’affectation des ressources. technologies à la sécurité des denrées alimentaires, en passant par l’agriculture et la
Cette norme peut en outre jouer un rôle essentiel dans l’amélioration de la gouvernance santé.
d’un organisme et, à terme, de sa performance.
* Données de l’année 2018

49 50

3 Système de Management des risques 3 Système de Management des risques


Normes associées Structure de la norme ISO 31000: 2018

Le Guide ISO 73:2009, Management du risque – Vocabulaire, qui complète ISO 31000
en fournissant un ensemble de termes et définitions relatifs au management du risque.
IEC 31010:2019, Management du risque – Techniques d’appréciation du isque, une
norme axée sur l'évaluation des risques, qui donne aux décideurs un meilleur éclairage
sur des risques pouvant gêner la réalisation des objectifs et leur permet d'évaluer
l'adéquation et l'efficacité des contrôles déjà mis en place. Cette norme traite des
concepts de l'évaluation des risques, des processus et de la sélection des techniques
d'évaluation des risques.
ISO/TR 31004, Management du risque – Lignes directrices pour l’implémentation de
l’ISO 31000: Norme d'accompagnement de l'ISO 31000 qui fournit des lignes directrices
permettant de choisir et d'appliquer des techniques systématiques d'évaluation des
risques

51 52

13
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Les principes de Management des risques Les principes de Management des risques

Création et préservation de la valeur


La finalité de la gestion du risque est la création et la préservation de la valeur. Pour
atteindre les objectifs et améliorer les performances globales il convient de respecter
scrupuleusement les principes listés dans l’article 4 de la norme ISO 31000.

Comme l’indique le titre de la norme (Management du risque – Lignes directrices) la


norme ISO 31000 ne contient pas d’exigences et une entreprise ne peut pas être
certifiée selon cette norme.

53 54

3 Système de Management des risques 3 Système de Management des risques


Les principes de Management des risques Les principes de Management des risques

Intégré Structuré et global

Intégrer la gestion du risque dans tous les processus de l’entreprise est un objectif clé. Une approche structurée et globale du management du risque contribue à la cohérence
de résultats qui peuvent être comparés.
Il convient de sensibiliser régulièrement l’ensemble du personnel à prendre en compte le
Cette approche est opportune et globale. Elle aide à définir les priorités et à prendre les
risque dans la conception, le développement, l’industrialisation, la production et le soutien bonnes décisions.
opérationnel…

55 56

14
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Les principes de Management des risques Les principes de Management des risques

Adaptation au contexte
La gestion du risque est taillée sur mesure en fonction du contexte de l’entreprise, des Inclusif

objectifs prioritaires et des ressources disponibles. L’implication appropriée et au moment opportun des parties prenantes permet de prendre
en compte leurs connaissances, leurs opinions et leur perception. Ceci conduit à un

Il est recommandé que l’effort de la mise en place de la gestion du risque management du risque mieux éclairé et plus pertinent.

soit proportionné au niveau du risque dans l’entreprise.

57 58

3 Système de Management des risques 3 Système de Management des risques


Les principes de Management des risques Les principes de Management des risques

Meilleure information disponible


Dynamisme
La gestion du risque est basée sur les meilleures informations nécessaires et la
Les enjeux internes et externes du contexte de l’entreprise changent en permanence.
communication des performances obtenues.
La gestion du risque est dynamique, itérative et réactive à tout changement. Les informations sont identifiées, conservées, disponibles, claires et accessibles aux
parties prenantes.

59 60

15
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Les principes de Management des risques Les principes de Management des risques

Amélioration continue
Facteurs humains et culturels
L’efficacité de gestion du risque est améliorée en continu à l’aide de la formation de
Les facteurs humains et culturels sont pris en compte à toutes les étapes de gestion du
l’ensemble du personnel et de l’expérience des personnes avec une forte influence.
risque.
L’amélioration de la gestion du risque prend en compte :
Les attentes, spécificités et aptitudes des parties prenantes sont identifiées et intégrées
• les ressources disponibles
aux activités permettant de mieux atteindre les objectifs
• la contribution des parties prenantes
• l'efficacité du processus existant
• les opportunités potentielles
• la surveillance et l’évaluation des performances

61 62

3 Système de Management des risques 3 Système de Management des risques


Processus Processus: Finalité

Le processus du management du risque se doit de suivre une boucle d'amélioration


continue avec un cycle perpétuellement reconduit et amélioré pour tendre vers
l'excellence du management du risque.
Il convient que le management du risque soit :
• Partie intégrante du management,
• Intégré à la culture et aux pratiques, et
• Adapté aux processus métiers de l'organisme.

63 64

16
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Observations Processus

Toute activité d’une organisation implique des risques qu’il convient de gérer. Le
• Il convient de prendre en compte la nature dynamique et variable du comportement
processus de management des risques facilite la prise de décision.
humain et de la culture tout au long du processus de management du risque.
Le management des risques comprend l’application de méthodes logiques et
• Bien que le processus de management du risque soit souvent présenté comme un
systématiques permettant:
processus séquentiel, dans la pratique, il est itératif..
• De communiquer et de consulter tout au long de ce processus.
• D’établir le contexte de l’organisation afin d’identifier, d’analyser, d’évaluer et de traiter
les risques liés à une activité, un processus, une fonction ou un produit.
• De surveiller et d’examiner l’évolution des risques.
• De rapporter et de consigner les résultats de manière appropriée.

65 66

3 Système de Management des risques 3 Système de Management des risques


Communication et consultation

La communication et la consultation ont pour but d’aider les parties prenantes Parties prenantes (intéressées)

pertinentes à comprendre le risque, les principes de prise de décisions et les raisons


Partie intéressée ou partie prenante: personne ou organisme qui peut soit influer sur une
pour lesquelles certaines actions sont nécessaires. La communication vise à accroître la
décision ou une activité, soit être influencée ou s’estimer influencée par une décision ou
sensibilisation et la compréhension du risque, alors que la consultation implique
une activité
l’obtention d’un retour et d’informations pour étayer la prise de décisions.
Exemple: Clients, propriétaires, personnel d’un organisme, prestataires, établissements
Une étroite coordination entre les deux facilite des échanges d’informations factuels,
financiers, autorités réglementaires, syndicats, fournisseurs, assurances…
opportuns, pertinents, précis et compréhensibles tout en prenant en compte la
confidentialité et l’intégrité des informations ainsi que le droit à la vie privée des
personnes.
Il convient que la communication et la consultation avec les parties prenantes
internes et externes concernées aient lieu à toutes les étapes du processus de
management du risque.

67 68

17
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Communication et consultation Périmètre d’application, contexte et critères

La communication et la consultation visent à:


• Réunir différents domaines d’expertise pour chaque étape du processus de
L’établissement du périmètre d’application, du contexte et des critères a pour but
management du risque;
d’adapter le processus de management du risque, en permettant une appréciation du
• S’assurer que les différents points de vue sont pris en compte de manière appropriée
risque efficace et un traitement du risque approprié. Le périmètre d’application, le
dans la définition des critères de risque et lors de l’évaluation des risques;
contexte et les critères impliquent de définir le périmètre d’application du processus et
• Fournir suffisamment d’informations pour faciliter la surveillance du risque et la prise
de comprendre le contexte interne et externe.
de décisions;
• Faire naître un sentiment d’inclusion et de propriété parmi ceux affectés par le risque.

69 70

3 Système de Management des risques 3 Système de Management des risques


Définition du domaine d’application Définition du domaine d’application

Trois dimensions sont intéressantes pour


définir le périmètre de management du
risque:
Il convient que l’organisme définisse le périmètre d’application de ses activités de
1. Les unités de gestion qui sont couvertes
management du risque.
par le système (processus, produit/
Le processus de management du risque pouvant être appliqué à différents niveaux (par
service, activité, métier, filiale…)
exemple au niveau de la stratégie, des opérations, d’un programme, d’un projet ou 2. Les domaines de risques que
d’autres activités), il est important d’être précis quant au domaine d’application considéré, l’organisme décide d’incorporer à son
aux objectifs pertinents à prendre en compte et à leur alignement sur les objectifs de système (risques environnementaux,
l’organisme. risques SST….).
3. Le niveau de déploiement souhaité
(niveau de granularité souhaité)

71 72

18
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Définition du domaine d’application: Exemple Contexte interne et externe

Cas d’une entreprise industrielle:


Le domaine d’application de nos Systèmes de Management des Risques couvre les
activités de conception et fabrication de produits mécaniques, électroniques, électriques Le contexte interne et externe est l’environnement dans lequel l’organisme cherche à
et informatiques et la fabrication de freins pour train réalisés au 15 Zone Industrielle X, définir et atteindre ses objectifs.
Tanger, Maroc. Il s’applique à tous les projets, produits, services et processus de Il convient que le contexte du processus de management du risque soit établi à partir de
l’entreprise. la compréhension de l’environnement externe et interne dans lequel opère l’organisme et
Cas d’une université: qu’il reflète l’environnement spécifique de l’activité à laquelle le processus de
La présente politique s’applique à : management du risque doit être appliqué.
1. Toutes les unités administratives et académiques de l’université; Outils: SWOT , PESTEL, 7S, 5 forces de Porter….
2. Tous les types de risques auxquels l’université est exposée dans le cadre de ses
activités.

73 74

3 Système de Management des risques 3 Système de Management des risques


Contexte externe: PESTEL Contexte interne et externe: SWOT

75 76

19
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Contexte interne et externe: SWOT Contexte interne et externe: SWOT

Etude de cas:
CTM

77 78

3 Système de Management des risques 3 Système de Management des risques


Contexte interne : Framework 7S McKinsey Framework 7S McKinsey: Exemple
Quelle est la stratégie et comment sont définis les
domaines d’activité stratégique? Y-a-t-il un projet
d’entreprise et si oui lequel?

L’organisme dispose-t-il Comment sont structures


des savoir faire les ressources de
nécessaires à l’organisme (humaines,
l’exécution de ses financières et techniques)?
activités? Peut-il Comment sont organisés
aisément se les les liens hiérarchiques et
procurer? Les fait-il fonctionnels?
évoluer de manière
satisfaisante? Comment fonctionne
l’organisme? Ses
Comment peut-on processus sont-ils décrits?
qualifier le style de Les règles de gestion sont-
management et de elles formalisées? Les
direction? Etc. procédures sont elles
appliquées?

Quelles sont les principales attentes des salariés, leurs besoins,


leurs motivations…?l’effectif est-il stable ou constate-t-on un
turn-over important?
79 80

20
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Définition des critères de risque Définition des critères de risque

Pour fixer les critères de risque, il convient de prendre en compte les éléments suivants:
• La nature et le type d’incertitudes pouvant avoir une incidence sur les résultats et les
objectifs (tangibles et intangibles);
Il convient que l’organisme spécifie le niveau et le type de risque pouvant ou non être
• La façon dont les conséquences (positives et négatives) et la vraisemblance seront
pris par l’organisme, en fonction des objectifs. Il convient également qu’il définisse des
définies et mesurées;
critères permettant d’évaluer l’importance du risque et d’étayer les processus
• Les facteurs liés au temps;
décisionnels. Il convient que les critères de risque soient alignés sur le cadre
• La cohérence dans l’utilisation des mesures;
organisationnel de management du risque et adaptés à la finalité et au domaine
• La méthode de détermination du niveau de risque;
d’application spécifique de l’activité considérée.
• La façon dont les combinaisons et séquences de plusieurs risques seront prises en
compte;
• La capacité de l’organisme.

81 82

3 Système de Management des risques 3 Système de Management des risques


Définition des critères de risque: Echelle de cotation de la vraisemblance Définition des critères de risque: Echelle de cotation de la gravité

1 : Mineur 4 : Significative 16 : Importante 64 : Majeure


Vraisemblance Temporalité Probabilité
Difficultés Dysfonctionnement Perturbation obligeant Evènements pouvant
8 : Très forte De tous les jours à une fois par mois Survenance supérieure à 20% opérationnelles obligeant) faire des à faire des choix entrainer des arrêts
circonscrites et limités choix tactiques en drastiques, abandon de longs de production
Survenance compris entre 5% et dans le tems jouant sur les variables projets. voire conditionner la
4 : Forte De 1 fois par mois à 1 fois tous les 6 mois
20%
Légère dégradation de d’ajustement Objectifs atteints à pérennité de
la performance Objectifs atteints à plus de 50% l’entreprise.
Survenance compris entre 1% et
2 : Faible De 1 fois tous les 6 mois à 1 fois par an Objectifs atteints à plus de 80% Objectifs atteints à
5%
plus de 95% moins de 50%.
1 : Très faible Moins de 1 fois par an Survenance inférieure à 1%

83 84

21
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Définition des critères de risque: Limite d’acceptabilité Définition des critères de risque: Limite d’acceptabilité

Définir un niveau de seuil de décision (limite d’acceptabilité), en dessous duquel on


considère le risque est acceptable.

I: Risques Intolérables: actions impératives, à mettre en oeuvre sans délai même si les moyens à
consacrer sont importants
S:Risques Sérieux: Actions à engager le plus rapidement possible, dans la limite des possibilités
financières de l’organisme
m: Risques Moyens: Actions à engager dans le cadre des budgets disponibles
s: Risque Supportable: Actions à engager si elles sont simples et consomment peu de ressources
N: Risques Négligeables: Inutile d’envisager des actions 85 86

3 Système de Management des risques 3 Système de Management des risques


Appréciation du risque Identification du risque

• L’appréciation du risque est le processus global d’identification, d’analyse et


• L’identification du risque a pour but de rechercher, reconnaître et décrire les risques
d’évaluation du risque.
qui peuvent aider ou empêcher un organisme d’atteindre ses objectifs. Il est
essentiel que les informations utilisées pour l’identification des risques soient
• Il convient que l’appréciation du risque soit menée de façon systématique, itérative et
pertinentes, appropriées et à jour.
collaborative, en s’appuyant sur les connaissances et les opinions des parties
prenantes.
• Il convient que l’organisme identifie les risques, que leurs sources soient ou non sous
son contrôle. Il convient de tenir compte du fait qu’il peut y avoir plusieurs types de
• Il convient d’utiliser les meilleures informations disponibles, complétées si nécessaire
résultat pouvant avoir diverses conséquences tangibles ou intangibles.
par une enquête plus approfondie.

87 88

22
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Identification du risque Identification du risque

Identifier les risques:


Obtenir une liste exhaustive des risques pouvant :
Quels sont :
• Provoquer
• Les sources de risques internes
• Stimuler
• Les sources de risques externes
• Empêcher
• Les domaines impactés (réaction en chaîne)
• Gêner
• Le ou les événements à l'origine de chacun des risques
• Accélérer
Caractériser les risques:
• Ou retarder,
• Quels sont, par type de risque identifié :
l'atteinte des objectifs avec leurs causes et conséquences significatives.
• La ou les causes possible
Constitution de l''équipe:
• La ou les conséquences en découlant
• Avec des personnes aux connaissances appropriées.
• L'éventail des conséquences potentielles (évidentes ou non) pouvant en découler.
• Avec une documentation appropriée et à jour.

89 90

3 Système de Management des risques 3 Système de Management des risques


Identification du risque: Méthodes Exemple: identification des risques liés à un projet d’expertise collectif

• Brainstorming
• Entretiens structurés ou semi structurés
• Techniques delphi
• Que se passerait il si? SWIFT
• Analyse des Modes de Défaillance de leurs Effets et de leur Criticité AMDE/AMDEC
• Listes de contrôle
• Analyse par arbres de pannes
• Analyse par arbres d’évènement
• SWOT, 7S….

91 92

23
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Exemple: identification des risques liés à un projet de digitalisation Quick - Check

Identifier les risques liés à un projet de


construction d’un pont en béton armé.

93 94

3 Système de Management des risques 3 Système de Management des risques


Analyse du risque Analyse du risque: Causes

L’analyse des risque implique d’en étudier les causes et les conséquences pour en Humain: manque de formation, incompétence, absentéisme…
déduire respectivement la vraisemblance et la gravité.
Organisationnel: Inexistence de procédures, informations manquantes…

Technique: matériel inadéquat ou insuffisant, matières dangereuses…

Bonnes pratiques: Pour identifier les causes on


peut utiliser le diagramme 5M, les 5 pourquoi, arbre
des causes…

96 97

24
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Analyse du risque: Les conséquences Quick - Check

Listes des conséquences les plus couramment observées:


Impact financier: Il peut être direct ou indirect.
Impacts économiques:
• Qualité: livrable défaillant, plan qualité non respecté, délais non tenus…
• Performance: productivité en baisse, surconsommation des matières, coûts en Analyser les causes et les conséquences
hausse… des risques que vous avez identifié dans
• Social: démotivation turn-over, conflits… l’activité précédente (voir diapo. 94).
• Image: réputation de l’organisme entachée, perte de confiance des clients…
Impacts étiques:
• Humain: accident du travail, maladie professionnelle…
• Environnemental: nuisances, pollutions…
• Sociétal: arrêt d’entreprise (fournisseurs, sous-traitants), destruction d’emplois…

98 99

3 Système de Management des risques 3 Système de Management des risques


Évaluation du risque Évaluation du risque

Deux types d’approche

L’évaluation du risque a pour but de déboucher sur des décisions plus judicieuses.
L’évaluation du risque consiste à comparer les résultats de l’analyse du risque aux
Qualitative Quantitative
critères de risque établis afin de déterminer si une action supplémentaire est exigée. Cela
peut déboucher sur la décision: Estimation de Echelle d’indices de
Valeur de probabilité
l’incertitude fréquence
• de ne rien faire de plus;
• d’examiner les options de traitement du risque;
Estimation des Echelle d’indices de Valeur(s) de perte
• d’entreprendre une analyse plus approfondie afin de mieux comprendre le risque; conséquences gravité potentielle
• de maintenir les moyens de maîtrise du risque existants;
Valeur monétaire
Echelle d’indices de
• de réexaminer les objectifs. Evaluation du risque d’exposition au
criticité
risque

10 10
0 1

25
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Évaluation du risque: illustration des différentes approches Évaluation du risque: Approche qualitative

illustration des différentes approches

Quantitative
Qualitative
Déterministe Probabiliste

10 10
2 3

3 Système de Management des risques 3 Système de Management des risques


Évaluation du risque: Approche quantitative déterministe Évaluation du risque: Approche quantitative déterministe

𝑛
Exposition au risque= 𝑖=1 𝑃 𝑅𝐼𝑖 ∗ 𝐴(𝑅𝐼𝑖) Perte potentielle Exposition au
Risque Probabilité
(Gravité) risque (Criticité)

P(RI) est la probabilité du risque et A (Ri) l’ampleur de la perte due au risque A 10 % 90.000 MAD 9.000 MAD

B 25 % 120.000 MAD 30.000 MAD


Exemple: On estime à 50% la probabilité que le prototype n’obtienne pas l’agrément du
C 5% 80.000 MAD 4.000 MAD
ministère de l’industrie. Si tel est le cas le projet prendra 4 mois de retard et on devra
D 20 % 100.000 MAD 20.000 MAD
reprendre l’étude et présenter un nouveau prototype. Le cour est estimé à 1 240 000
Total 63.000 MAD
MAD (ventes perdues et travaux supplémentaire).

Exposition au risque= 0,5 * 1 240 000 = 620 000 MAD

10 10
4 5

26
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Évaluation du risque: Approche probabiliste Quick - Check

Activité pratique sur @Risk:


1. Durée d’un projet
2. Budget d’un projet

Evaluer des risques que vous avez


identifié dans l’activité précédente (voir
diapo. 94).

10 10
6 7

3 Système de Management des risques


Traitement du risque

Le traitement du risque a pour but de choisir et de mettre en œuvre des options pour
aborder le risque.

Le traitement du risque implique un processus itératif:


• Formuler et choisir des options de traitement du risque;
• Elaborer et mettre en œuvre le traitement du risque;
• Apprécier l’efficacité de ce traitement;
• Déterminer si le risque résiduel est acceptable;
• S’il n’est pas acceptable, envisager un traitement complémentaire.

10
8

27
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Traitement du risque Acceptation du risque résiduel après traitement

Risque brut

Le risque résiduel se définit comme


étant le risque net après prise en
Traitement
compte des mesures, actions,
dispositions… atténuants le risque
Risque net / résiduel brut. Il peut être obtenu après
plusieurs itérations. Il peut être
accepté ou non.
Inacceptable

Acceptable

Risque résiduel
acceptable

11 111
0

3 Système de Management des risques 3 Système de Management des risques


Le traitement des risques: Les 6 options possibles Sélection des options de traitement du risque
Certaines option peuvent être combinées:

Réduire un risque, c’est soit réduire sa probabilité d’occurrence (prévention), soit réduire
Maintien du Prise de risque
Refus du risque augmentée ses conséquences (protection).
risque
Pour cela, on peut utiliser, seuls ou en combinaison :

Refus de commencer ou de Maintien du risque fondé sur Prise ou augmentation d’un Des instruments techniques :
poursuivre l’activité porteuse une décision éclairée (sans risque afin de saisir une • De prévention, tels que des détecteurs, des équipements de sécurité, des contrôles
du risque opportunité) opportunité
d’accès,

Partage du • De protection, tels que des murs coupe-feu, des stockages cloisonnés, des
Modification de Modification de
la vraisemblance la conséquence risque équipements de protection individuels, des sauvegardes informatiques, des stocks de
pièces détachées ou de produits finis, la partition des moyens, voire leur duplication
Elimination ou réduction de la Elimination ou réduction de la Partage des conséquences (exemple : back-up informatique),
source du risque conséquence du risque avec un tiers (exemple par le
biais de contrats, de
souscription de couvertures
d’assurance);
11 11
2 3

28
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Sélection des options de traitement du risque Sélection des options de traitement du risque

Des instruments d’organisation : Ces instruments se classent en sept catégories:


• De prévention, par exemple des procédures opératoires, des consignes de sécurité, 1. Suppression du risque (f=0)
l’externalisation de certaines fonctions, la formation redondante. 2. Prévention (f )
• De protection, tels que des plans de sauvegarde ou de survie, des fournisseurs 3. Protection (G )
redondants. 4. Ségrégation par partition (G )
Des instruments juridiques : tels que des clauses contractuelles de limitation de 5. Ségrégation par duplication (G )
responsabilités, des contrats de travail. 6. Transfert contractuel (f )
Des instruments humains: formations, sensibilisations… 7. Stratégies aval (G ):

11 11
4 5

3 Système de Management des risques 3 Système de Management des risques


Sélection des options de traitement du risque Sélection des options de traitement du risque

La Prévention (f ) :
La Suppression (f = 0) : Comme nous l’avons dit précédemment, la prévention agit sur la probabilité d’occurrence
Traitement radical, la suppression (ou évitement) élimine le risque par renoncement à d’un événement dommageable.
une activité à laquelle ce risque est associé. En général, ces mesures sont prises pour des événements ayant une fréquence assez
La suppression agit donc sur la fréquence, qu’elle annule. importante.
Elles agissent sur l’un au moins des événements de la chaîne conduisant à l’événement
dommageable.

11 11
6 7

29
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Sélection des options de traitement du risque Sélection des options de traitement du risque

La Protection (G ) : La ségrégation par partition (G ) :

La protection vise à limiter les conséquences d’un sinistre. Cet instrument de réduction des risques consiste à ne pas « mettre tous ses œufs dans

On distingue deux types d’instruments de protection : le même panier ».

• Ceux qui sont mis en place et actifs avant le sinistre ; Par exemple :

• Ceux qui sont mis en place mais ne sont activés qu’au moment du sinistre. • Couper un stockage en deux parties distinctes séparées par un mur coupe-feu, voire
dans deux bâtiments différents.
• Produire avec deux machines de plus faible capacité plutôt qu’avec une seule de
capacité double.
• Fabriquer un même produit sur différents ateliers, voire différentes usines.
• Ne pas s’approvisionner auprès d’un seul fournisseur.
• Ne pas mettre les sauvegardes informatiques à côté des ordinateurs.
• Ne pas faire voyager toute une équipe dans le même avion.

11 11
8 9

3 Système de Management des risques 3 Système de Management des risques


Sélection des options de traitement du risque Sélection des options de traitement du risque

La ségrégation par duplication (G ) :


Au contraire de la ségrégation par partition, la ségrégation par duplication permet
La ségrégation par partition (G ) :
d’annuler totalement les conséquences d’un sinistre, puisque le « double » n’entre en
Bien entendu, un sinistre affectera néanmoins l’entreprise, puisque la totalité des
service que lorsque la ressource dupliquée est hors d’usage. Le cas le plus fréquent de
ressources est nécessaire, mais la perte sera moindre. Par ailleurs, la ségrégation par
ségrégation par duplication se trouve dans le domaine informatique, où l’on n’hésite pas
partition a un coût, par perte d’économie d’échelle, et par des frais de fonctionnement
à maintenir inactif un « miroir » du système informatique en service, compte tenu des
généralement plus élevés. Il importe donc de bien peser les avantages et les
conséquences estimées d’une interruption du traitement de l’information, mais aussi du
inconvénients de cet instrument avant de le mettre en œuvre.
coût sans cesse décroissant des matériels informatiques.
Cette technique de réduction des risques est utilisable dans bien d’autres domaines.

12 12
0 1

30
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Sélection des options de traitement du risque Sélection des options de traitement du risque

La ségrégation par duplication (G )


Exemple : Le transfert contractuel pour réduction (f )
• Ne pas concentrer le savoir-faire entre les mains d’une seule personne, mais imposer • Instrument qui peut apparaître machiavélique, le transfert contractuel pour réduction
sa documentation et sa diffusion, consiste à faire prendre le risque par une autre entité juridique qui exécute une
• Avoir des pièces de rechange d’avance, voire dupliquer l’outil de production, prestation ou fournit un produit en lieu et place de l’entité ayant ainsi transféré le
• Avoir plus de véhicules que nécessaire, risque.
• Qualifier plus de fournisseurs que nécessaire. • Le risque est réduit lorsque le prestataire est plus compétent dans le domaine
concerné que l’entreprise elle-même. On peut alors espérer que sa gestion des
Compte tenu de son coût d’immobilisation de ressources non productives, la risques spécifiques à son métier sera meilleure et que les sinistres seront moins
ségrégation par duplication se justifie particulièrement dans le cas de risques de importants ou moins nombreux, et en tous cas totalement supportés par le prestataire.
forte gravité.

12 12
2 3

3 Système de Management des risques 3 Système de Management des risques


Sélection des options de traitement du risque Sélection des options de traitement du risque

Les stratégies de crise (G )


Les stratégies de crise sont évidemment des instruments de réduction des risques. Elles
sont sans effet sur la fréquence et n’agissent que sur la gravité. Ce sont des instruments Traiter le risque n’est pas une fin en soi. Ce qui compte, c’est trouver l’optimum entre les
très puissants, mais malheureusement peu souvent envisagés avant le sinistre. Ce n’est coûts de traitement et le coût du risque. Le choix d’un programme de gestion des risques
que lorsque l’entreprise est en situation de crise qu’elle essaye – dans la panique – de se fait donc selon deux critères :
trouver les moyens d’en limiter les effets induits et qu’elle n’avait pas envisagés. • Un critère technique : quels sont les instruments les plus efficaces pour traiter un
Les stratégies de crise doivent être élaborées à froid, sur des scénarios recensés et risque, compte tenu de la nature de ce risque et de sa gravité présumée ?
hiérarchisés, en donnant bien entendu priorité aux sinistres de gravité pour lesquels la • Un critère financier : les instruments sélectionnés sont-ils d’un coût raisonnable par
réduction des conséquences prend tout son sens, et sans prendre en compte les rapport à la criticité (fréquence x gravité) du risque ?
assurances, dont les effets – exclusivement financiers – ne se feront généralement sentir
que bien après que la crise soit calmée.

12 125
4

31
10/16/2019

B Cadre organisationnel 3 Système de Management des risques


Sélection des options de traitement du risque Sélection des options de traitement du risque

Ce gain a cependant un coût. Il a fallu prendre des dispositions préventives et


La réduction du conduit à une nouvelle criticité f’ x G’ plus faible que la criticité initiale, la protectives, c’est-à-dire investir et accroître les frais de fonctionnement. En terme de
prévention/ protection ayant fait chuter la probabilité de f à f’ < f et ayant réduit la gravité trésorerie et de compte de résultat, ces dispositions représentent une charge annuelle
de G à G’ < G. égale à la somme des amortissements des investissements et des frais de
Le flux négatif virtuel de trésorerie se trouve donc réduit, passant de C = f x G à C’ = f’ x fonctionnements liés aux dispositions prises.
G’, ce qui génère évidemment un gain de trésorerie virtuel égal à C - C’. Si I est l’investissement supposé amorti linéairement sur n années, et FF les frais de
Le risque de perte ayant été réduit, son lissage dans le temps devient lui aussi plus fonctionnement, le coût annuel des dispositions prises est égal à I/n + FF.
faible. D’un côté, nous avons gagné C - C’ = (f x G) - ( f’ x G’).
De l’autre, nous avons dépensé I/n + FF.

126 127

3 Système de Management des risques 3 Système de Management des risques


Sélection des options de traitement du risque Sélection des options de traitement du risque

Le jeu en valait la chandelle si et seulement si le gain annuel lissé excède le coût annuel

moyen, soit si :

128 129

32
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Sélection des options de traitement du risque Sélection des options de traitement du risque

Supposons un atelier de production adjacent à un bâtiment de stockage de matières


premières inflammables.
Un incendie de ce dernier conduirait à la destruction de l’atelier, dont la perte est estimée
à 8.000.000 Dhs. La probabilité d’un tel sinistre étant estimée à 1/1000. Le coût annuel de cette disposition serait alors de 25.000 Dhs.

L’entreprise envisage alors l’installation d’un système d’extinction automatique, d’un coût Grâce à ce système d’extinction automatique, la perte chuterait à 200.000 Dhs, la

de 300.000 amortissable sur 30 ans, et dont l’entretien annuel coûterait 15.000 Dhs. probabilité du sinistre n’étant pas affectée. Le flux de trésorerie virtuel négatif ne serait

Grâce à ce système d’extinction automatique, la perte chuterait à 200.000 Dhs, la plus que 200 Dhs, soit un gain de 7.800 Dhs, certes important, mais inférieur au coût du

probabilité du sinistre n’étant pas affectée. système. Bien que techniquement adaptée, cette disposition sera rejetée, car
économiquement injustifiée.

130 131

3 Système de Management des risques 3 Système de Management des risques


Élaboration et mise en œuvre des plans de traitement du risque Quick - Check

Il convient que les informations fournies dans le plan de traitement comportent:


• La justification du choix des options de traitement, y compris les avantages attendus;
• Les personnes responsables de l’approbation et de la mise en oeuvre du plan;
Proposer des plans de traitement pour
• Les actions proposées;
les risques que vous avez identifié dans
• Les ressources nécessaires, en tenant compte des impondérables;
l’activité précédente (voir diapo. 94).
• Les mesures des performances;
• Les contraintes;
• Les rapports et le suivi requis;
• Le moment où les actions sont censées être entreprises et achevées.

132 13
4

33
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Suivi et revue Suivi et revue

Le suivi et la revue ont pour but de s’assurer de l’efficacité et la performance des


Le suivi et la revue ont pour but de s’assurer et d’améliorer la qualité et l’efficacité de la
activités du processus de management notamment des actions du plan de traitement
conception, de la mise en œuvre et des résultats du processus. Il convient que le suivi
des risques.
continu et la revue périodique du processus de management du risque et de ses résultats
Il convient que le suivi continu et la revue périodique du processus de management du
soient planifiés dans le processus de management du risque, en définissant clairement
risque et de ses résultats soient planifiés dans le processus de management du risque,
les responsabilités.
en définissant clairement les responsabilités.

Bonnes pratiques:
Bonnes pratiques: Utilisation des indicateurs (KPI) • Utilisation des indicateurs (KPI) et des tableaux de bord ( associé à chaque
et des tableaux de bord risque un ou des indicateurs).
• Planifier des revues régulières.
135 136

3 Système de Management des risques 3 Système de Management des risques


Suivi et revue: Exemples des KPI pour les risques liés aux fournisseurs Enregistrement et élaboration de rapports

Il convient que le processus de management du risque et ses résultats soient


documentés et fassent l’objet de rapports selon des mécanismes appropriés.
L’enregistrement et l’élaboration de rapports a pour but de:
• Communiquer sur les activités de management du risque et leurs résultats au sein de
l’organisme;
• Fournir des informations en vue de la prise de décisions;
• Améliorer les activités de management du risque;
• Faciliter l’interaction avec les parties prenantes, y compris celles ayant la
responsabilité des activités de management du risque.

137 138

34
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Enregistrement et élaboration de rapports Enregistrement et élaboration de rapports

Bonnes pratiques: Utilisation des Systèmes d’Information


Outil de reporting: Cartographie des risques
139 140

3 Système de Management des risques 3 Système de Management des risques


Cartographie des risques Cartographie des risques

La cartographie est un outil clé du processus de management des risques qui permet de
répondre aux différents phases du processus de management des risques, à savoir:
• Identifier et évaluer les risques
• Représentation graphique et synthétique des risques d’une organisation.
• Traiter les risques
• Il permet de recenser les risques majeurs d’une organisation et de les présenter de
• Suivre leur évolution.
façon synthétique sous une forme hiérarchisée.
La cartographie est aussi le positionnement des risques majeurs selon différents axes, tel
que: l’impact potentiel, la probabilité de survenance ou le niveau actuel de maîtrise des
risques

141 142

35
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Missions de la cartographie des risques Missions de la cartographie des risques

Il est utile de cartographier les risques et de les représenter visuellement sur une matrice
à deux dimensions :

Identifier et hiérarchiser les facteurs de risque.


Dresser un état des lieux complet des vulnérabilités.
La cartographie constitue un outil d’aide à la décision pour les responsables de
l’entreprise ou de l’organisation. C’est un puissant outil de pilotage.
A ce titre , elle s’inscrit dans le dispositif de gouvernance des risques?

143 144

3 Système de Management des risques 3 Système de Management des risques


Cartographie des risques: Diagramme de KIVIAT ou Radar Activité pratique

145 146

36
10/16/2019

3 Système de Management des risques 3 Système de Management des risques


Activité pratique: Autres Softeware de Management des Risques Management des risques: Facteurs clés de réussite

• Soutien du Conseil d’Administration et Senior Management


• Ressources allouées claires et suffisante
• Formuler une définition du risque claire et commune pour toute l’entreprise
• Créer un référentiel de gestion du risque solide pour assurer l’exhaustivité
(méthodologie)
• Responsabilité claire, également pour les risques qui transcendent plusieurs
fonctions et département (pas de zone grises)
• Travailler avec des KPI/KRI’s mesurables
• Etablir une bonne structure de reporting & de suivi des progrès
• Implémenter un outil de support qui répond aux besoins de la compagnie
• Evaluer une fois, satisfaire tout le monde

147 148

4 Les outils et techniques d’appréciation du risque 4 Les outils et techniques d’appréciation du risque
La norme ISO 31010 Appliquer en amont la gestion du risque coûte 10 fois moins cher que de gérer une crise

• L’appréciations des risques peut être réalisée à divers degrés de

• La norme ISO 31010 est destinée à refléter les bons usages en matière profondeur et de détail et par de nombreuses méthodes, de la plus

de choix et d’utilisation des techniques d’appréciation des risques. simple à la plus complexe.
• La norme ISO 31010 est par nature générale de sorte qu’elle puisse
• Il convient que la forme d’appréciation et son résultat soient cohérents
servir de guide dans de nombreuses industries et pour différents types
de systèmes. avec les critères de risques développés dans le cadre de

l’ établissement du contexte.

149 150

37
10/16/2019

4 Les outils et techniques d’appréciation du risque 4 Les outils et techniques d’appréciation du risque
Appliquer en amont la gestion du risque coûte 10 fois moins cher que de gérer une crise Sélection des techniques

Sélection des techniques


Il convient de choisir la ou les techniques sur la base de facteurs applicables, tels que: Disponibilité des
• Les objectifs de l'étude.
ressources
• Les besoins des décideurs.
Complexité
• Le type et l'ensemble des risques en cours d'analyse.
• L'amplitude potentielle des conséquences.
Nature et degré
• Le degré de compétence. d’incertitude
• La disponibilité des informations et des données.
• La modification/mise à jour nécessaire de l'évaluation des risques.
• Toutes exigences réglementaires et contractuelles. L’annexe A.2 de la norme ISO 31010 illustre les relations conceptuelles entre les
différentes catégories de techniques d’appréciation des risques et les facteurs liés à une
situation à risque donnée.
151 152

4 Les outils et techniques d’appréciation du risque 4 Les outils et techniques d’appréciation du risque
Applicabilité des outils utilisés pour l'évaluation des risques Applicabilité des outils utilisés pour l'évaluation des risques

153 154

38
10/16/2019

4 Les outils et techniques d’appréciation du risque 4 Les outils et techniques d’appréciation du risque
Applicabilité des outils utilisés pour l'évaluation des risques Applicabilité des outils utilisés pour l'évaluation des risques

155 156

4 Les outils et techniques d’appréciation du risque


Attributs d'un choix d'outils d'évaluation des risques

157 Email: anass.cherrafi.1@gmail.com

39