Ecole Nationale Polytechniques d’Oran - Maurice AUDIN

Filière : Génie industriel

Spécialité : Management industriel et logistique

Cours de
LA GESTION DE RISQUE EN ENTREPRISE

Mohamed Cherif RAHMANI Ver. 1.0

Enseignant associé
2019
Table des matières
1. INTRODUCTION GENERALE SUR LA GRE ................................................................................................... 13
1.1. QU’EST-CE QU’UN RISQUE ? ............................................................................................................. 14
1.2. CATÉGORIES DE RISQUES.................................................................................................................. 15
1.3. QU’EST-CE QUE LA GESTION DES RISQUES ? ..................................................................................... 16
1.4. COMMENT CONCEVOIR LA GESTION DE RISQUE ? ............................................................................ 18
Étape 1 : identification des risques................................................................................................................ 18
2. LA GESTION DES RISQUES. ....................................................................................................................... 22
2.1. LE PLAN DE GESTION DES RISQUES ................................................................................................... 22
2.2. CONTRÔLE INTERNE ET GESTION DES RISQUES................................................................................. 24
2.3. IMPACT DES TI SUR LE CONTRÔLE INTERNE ET LA GESTION DES RISQUES ......................................... 25
2.4. NORMES ET STANDARDS - COSO ERM .............................................................................................. 27
2.5. RÔLES ET RESPONSABILITÉS ............................................................................................................. 30
3. TYPOLOGIE DES RISQUES ......................................................................................................................... 32
3.1. LES RISQUES EXTERNES ET STRATEGIQUES ....................................................................................... 33
3.1.1. risques externes : aigus ou larvés ................................................................................................. 33
3.1.2. Risques Stratégiques : Délibérés Et Ciblés ..................................................................................... 34
3.2. RISQUE FINANCIER ........................................................................................................................... 34
3.2.1. Financement Stratégique.............................................................................................................. 35
3.2.2. Financement Opérationnel ........................................................................................................... 35
3.3. RISQUES DE CONFORMITÉ................................................................................................................ 35
3.4. RISQUE JURIDIQUE ........................................................................................................................... 37
3.4.1. Définition Des Risques Juridiques ................................................................................................. 37
3.4.2. Le risque juridique aux conséquences négatives ........................................................................... 37
3.4.3. Les conséquences du risque juridique négatif ............................................................................... 38
3.4.4. Connaissance Approfondie et Actualisée de la Réglementation .................................................... 39
3.4.5. Expertise Juridique ....................................................................................................................... 39
3.4.6. Gestion des contrats..................................................................................................................... 39
3.5. RISQUE DE REPUTATION................................................................................................................... 40
4. INTRODUCTION A L’ANALYSE DES MODES DE DEFAILLANCE, DE LEURS EFFETS ET LEURS CRITICITES. ....... 42
4.1. DÉFINITIONS..................................................................................................................................... 42
4.2. HISTORIQUE ET DOMAINES D’APPLICATION ..................................................................................... 42
4.3. TYPES D’AMDEC ET DÉFINITIONS TYPES............................................................................................ 43
4.3.1. Définitions d’un mode,cause et l’effet d’une défaillance ............................................................... 43
4.3.2. Deux aspects de la méthode: ........................................................................................................ 44
4.4. LES ÉTAPES DE LA MÉTHODE ............................................................................................................ 45
4.4.1. La constitution d’un groupe de travail .......................................................................................... 45

2
 4.4.2. L’analyse fonctionnelle ................................................................................................................. 47
4.4.3. L’étude qualitative des défaillances .............................................................................................. 49
4.4.4. L’étude quantitative ..................................................................................................................... 49
4.4.5. La hiérarchisation ......................................................................................................................... 52
4.4.6. La recherche des actions préventives/correctives ......................................................................... 52
4.4.7. Le suivi des actions prises et la réévaluation de criticité ................................................................ 52
4.4.8. La présentation des résultats ........................................................................................................ 53
5. BIBLIOGRAPHIE ........................................................................................................................................ 55

3
Tables des figures
Figure 1: Processus de gestion du risque ............................................................................................................... 16
Figure 2: Univers du risque - exemple de la production ........................................................................................ 18
Figure 3: RISK 'HEAT MAP'..................................................................................................................................... 20
Figure 4: exemple 'HEAT MAP' production ............................................................................................................ 21
Figure 5: LE MODELE COSO 2 SOUS FORME DE CUBE ........................................................................................... 27
Figure 6: COSO ERM SWEET SPOT ......................................................................................................................... 28
Figure 7: l'interaction entre gestion de risque et contrôle interne ........................................................................ 36
Figure 8: L'influence de la réputation d'une entreprise sur les parties prenantes................................................. 41
Figure 9: Les Etapes de l'MADEC ........................................................................................................................... 46
Figure 10: Ordinogramme d'un processus ............................................................................................................ 48

12
1. INTRODUCTION GENERALE SUR LA GRE

Le risque est inhérent à l’entreprise. Il a toujours existé et constitue, d’après les

économistes, son essence. Créer une entreprise, c’est déjà prendre un risque. Sa survie
n’est jamais assurée. Même les entreprises de grande taille n’ont aucune garantie de
pérennité. Enron, ArthurAndersen, Alstom et Parmalat sont des exemples de
multinationales qui ont disparu ou qui ont dû lutter pour leur survie. Si l’activité
entrepreneuriale est à la base une activité risquée, d’autres risques sont venus se greffer.

C’est en fait vraiment à la fin des années 1970 et au début des années 1980 que la question
de la gestion des risques prend un réel essor dans l’ensemble des pays occidentaux. La
fonction du risk manager est apparue à cette période, en même temps que le secteur de
l’assurance se développait. En effet, afin de pouvoir s’assurer, les entreprises devaient être
aux normes affichées par les assureurs, ce qui supposait de nouvelles compétences au sein
des entreprises. Entreprises et assureurs ont ainsi collaboré pour construire une politique
de gestion des risques efficace.

À l’ensemble de ces risques, deux nouveaux types de risques sont venus s’ajouter : les
risques mettant en danger la personne humaine, sa dignité, sa santé et ses droits et les
risques informationnels. Ces risques sont intimement liés les uns aux autres et entrent en
« synergie » lorsqu’ils se combinent.

13
1.1. QU’EST-CE QU’UN RISQUE ?
Chacun sait ce qu’est un risque et pourtant il n’est pas si facile d’en donner une définition
claire. Le risque est souvent défini comme un événement futur incertain qui peut avoir une
influence négative sur la réalisation des objectifs de l’entreprise. Ce n’est certainement pas
une définition parfaite, mais elle contient l’essentiel : l’incertitude et les conséquences
négatives ou limitatives possibles. Dans le domaine de la gestion de risque, les spécialistes
définissent le risque comme la combinaison d’un impact et de la probabilité d’une menace.
La menace est en l’occurrence un événement qui peut empêcher l’entreprise ou
l’organisation d’atteindre ses objectifs.

Un exemple : un incendie dans le hall de production constitue une menace. L’impact est
défini en examinant les conséquences financières et opérationnelles de cet incendie.

La probabilité est évaluée en fonction de données historiques et de l’éventuelle

inflammabilité des produits stockés ou de la sensibilité au feu du hall de production (dans
quelle mesure est-il construit avec des matériaux inflammables ?).

Le risque est la combinaison des conséquences potentielles de l’incendie (‘impact’) et de la

possibilité qu’il se déclenche effectivement (‘probabilité’).

RISQUE = IMPACT x PROBABILITÉ

14
1.2. CATÉGORIES DE RISQUES
Une approche mathématique des risques permet de les pondérer et de les comparer. Le
principal avantage est qu’il est alors possible de les classer par ordre de priorité, sachant
que l’entreprise a intérêt à se concentrer sur les plus grands risques.

Les risques auxquels une organisation est confrontée peuvent être la conséquence de
facteurs externes et internes. Cette distinction est extrêmement importante pour la
manière de concevoir les plans et actions prévus pour couvrir les risques. En effet, les
menaces venant de l’extérieur sont plus difficiles à limiter ou à maîtriser que celles dont la
cause se trouve à l’intérieur de l’organisation. À côté de cette première répartition (interne
versus externe), les risques peuvent également être groupés par domaine. Les catégories
souvent utilisées sont les suivantes :

risques stratégiques – Ils sont liés aux choix stratégiques ou à l’absence de stratégie
claire ;

risques financiers – Ce sont tous les risques liés aux aspects financiers de l’organisation, y
compris les risques de fraude ;

risques opérationnels – Ces risques sont directement liés à la gestion de l’entreprise ou à

la chaîne de valeur (production, achats, logistique…). Ils peuvent encore être subdivisés en
fonction de la nature de la gestion ;

risques informatiques – Ils découlent du fonctionnement de l’environnement

informatique, y compris les actifs, l’organisation et les processus informatiques ;

risques juridiques et de compliance – Ces risques sont liés au respect et au suivi de la

législation, des contrats et autres obligations spécifiques, des règles et normes qu’une
entreprise ou organisation doit appliquer ;

risques de réputation – Ils menacent renom et la renommée de l’entreprise ou de ses

produits et services. Il faut parfois des années pour se construire une renommée. À
l’inverse, celle-ci peut être détruite très rapidement.

15
1.3. QU’EST-CE QUE LA GESTION DES RISQUES ?
Autant il existe de définitions du risque, autant il en existe de la gestion du risque et de
tout ce qui y est lié. Des instances comme l’International Organization for Standardization
(ISO), le Committee of Sponsoring Organizations of the Treadway Commission (COSO) et
l’Institute of Risk Management (IRM) ont élaboré un certain nombre de normes
internationales.

Figure 1: Processus de gestion du risque

Celles-ci sont une aide précieuse parce qu’elles tracent un cadre général et font une
distinction claire entre le processus de gestion de risque et son intégration dans

16
l’organisation. Le graphique suivant illustre le processus de gestion de risque selon la
norme ISO.

La gestion de risque est le processus par lequel les organisations abordent

méthodiquement les risques liés à leurs activités dans le but d’obtenir un avantage
durable pour chaque activité et pour l’ensemble de celles-ci.

En d’autres termes, la gestion de risque est un processus continu indissociable de l’activité

entrepreneuriale et qui doit en faire partie intégrante. Une réflexion unique sur les risques
peut apporter quelques idées nouvelles, mais si on n’en fait rien par la suite, la plus-value
sera très minime. La gestion de risque est aussi un processus continu et évolutif, qui se
reflète tant dans la stratégie de l’organisation que dans son exécution. Elle doit gérer de
manière systématique tous les risques liés aux activités des organisations dans le passé, le
présent et surtout l’avenir.

Comme nous l’avons déjà indiqué, la gestion de risque doit faire partie intégrante de la
culture de l’organisation et être portée et soutenue par la direction générale (‘tone at the
top’). Une gestion de risque efficace traduit la stratégie en objectifs tactiques et
opérationnels qui attribuent des responsabilités transversales dans l’organisation et qui
intègrent la gestion de risques dans la description de fonction de chaque collaborateur.
Bref, la gestion de risque est la tâche et la responsabilité de chacun dans l’organisation.

Enfin, une bonne gestion de risque se concentre sur l’identification et le traitement des
risques. Elle identifie les aspects positifs et négatifs de tous les facteurs qui peuvent
influencer l’organisation. Elle augmente la chance de réussite et réduit le risque d’échec et
l’incertitude concernant la réalisation des objectifs généraux de l’organisation.

17
 1.4. COMMENT CONCEVOIR LA GESTION DE RISQUE ?
Comme le montre le graphique ci-dessous, la première étape de l’élaboration d’une
gestion de risque est la réalisation d’une ‘estimation des risques’. Selon l’ISO/IEC Guide 73,
ce processus regroupe l’identification, l’analyse et l’évaluation des risques. Nous détaillons
ici ces trois étapes.

Étape 1 : identification des risques

Pour mener à bien l’étape d’identification des risques, il faut une connaissance
approfondie de l’organisation et de ses activités. Dans ce cadre, il est utile d’abord
‘cartographier’ les différentes catégories de risques qui s’appliquent à l’organisation.
Celles-ci constituent ensemble l’univers de risques de l’organisation.

Pour tracer les contours de cet univers de risques, vous pouvez partir d’une liste de
catégories de risques comme mentionné plus haut. Vous pouvez regrouper ces catégories
pour étayer la discussion sur la gestion de risque et l’identification des risques en
particulier. C’est ce que fait le tableau suivant, qui donne un exemple de ce que pourrait
être l’univers de risque d’une entreprise de production moyenne.

Figure 2: Univers du risque - exemple de la production

18
Étape 2 : analyse des risques
Si l’on veut piloter quelque chose, il faut pouvoir le mesurer. C’est pour cette raison qu’il
est important d’attribuer une valeur ou un score aux risques. Comme indiqué plus haut, on
peut pondérer un risque en fonction de l’impact d’un événement déterminé et de la
probabilité qu’il survienne. L’analyse de risque consiste donc à concrétiser cet impact et
cette probabilité. Certains éléments seront connus, d’autres devront être estimés le plus
correctement possible. Sur la base de toutes les informations disponibles, un score aussi
fidèle que possible est attribué à chaque risque.

En cas d’incertitudes, il est impossible de procéder à une estimation exacte. C’est pourquoi
on utilise souvent des classes pour estimer l’impact et la probabilité, par exemple de la
classe 1 (très faible) à la classe 5 (très important). Pour objectiver au maximum
l’estimation, nous décomposons l’impact en plusieurs dimensions, comme la dimension
financière. Compte tenu de la situation spécifique de l’entreprise, on détermine de cette
manière à partir de quel montant une perte éventuelle (impact) reçoit un score de 1 à 5
(voir tableau ci-contre).

EXEMPLE DE DIMENSION FINANCIÈRE

DE L’IMPACT D’UN RISQUE
En dessous Score 1

de 25000 DA Impact très faible
Entre 25 000 Score 2

et 50 000 DA Faible
Entre 50 000 Score 3

et 100 000 DA Moyen
Entre 100 000 Score 4

et 200 000 DA Important
Au-delà Score 5

de 200 000 Da Très important

Outre la dimension financière, on peut utiliser des dimensions comme le ‘préjudice causé à
l’image’, la ‘perte de qualité’ ou le ‘retard opérationnel’. Il importe de ne pas retenir plus
de trois ou quatre dimensions. Car si la liste est trop longue, chaque risque sera important
du point de vue de l’une des dimensions et cela n’aidera évidemment pas à fixer des
priorités. Sélectionnez donc en conscience les principaux risques que vous voulez éviter et
estimez leur impact et leur probabilité le plus correctement possible.

19
Étape 3 : évaluation des risques
Puisqu’il n’est ni possible ni souhaitable de maîtriser tous les risques, il est important de
fixer des priorités. C’est en effet sur la base de l’analyse des risques que l’on décide des
actions futures. Cette décision peut être d’effectuer des analyses complémentaires,
d’entreprendre des actions pour réduire le risque ou de ne rien faire (par exemple parce
qu’il est très peu probable que le risque se produise), pour autant que l’on procède
toujours en connaissance de cause. Le résultat de l’analyse de risques peut être utilisé
pour établir un profil de risque dans lequel chaque risque reçoit une pondération et est
classé selon ce score. On peut ainsi classer chaque risque identifié et se faire une idée de
son importance relative. Grâce à ce processus, on peut désigner les domaines de
l’organisation pour lesquels le niveau de gestion des risques peut être augmenté, réduit ou
redistribué.

Figure 3: RISK 'HEAT MAP'

Graphiquement, les risques s’inscrivent dans une matrice ou ‘heatmap’, où leur impact et
leur probabilité apparaissent sur l’axe des X et l’axe des Y.

20
 Figure 4: exemple 'HEAT MAP' production

Une autre manière de représenter le résultat de l’analyse de risques est l’univers de risque
dont nous avons parlé précédemment. On y utilise un code de couleur pour indiquer
l’importance du risque (par exemple risque relativement limité ou risque majoré) dans
différents domaines. Cette présentation graphique est souvent utilisée pour préparer les
discussions sur la gestion de risque, au sein du comité d’audit par exemple. Les étapes
décrites ci-dessus aboutissent à une liste de risques prioritaires. Sur la base de celle-ci,
l’entreprise ou l’organisation peut ensuite élaborer un plan d’action concret. Celui-ci a
pour objectif de prendre des mesures pour les risques prioritaires afin qu’ils restent dans
les limites acceptables pour l’entreprise (‘risk appetite’).

21
2. LA GESTION DES RISQUES

Une analyse des risques a été effectuée dans le chapitre précédent, donnant lieu à une liste
des risques à prendre en compte en priorité. La manière de procéder est définie dans un
plan d’action concret. Celui-ci contient des mesures qui garantissent que les risques ne
dépassent pas les limites acceptables pour l’entreprise.

2.1. LE PLAN DE GESTION DES RISQUES

Comme dans tout bon plan d’action, les tâches, responsabilités et délais de réalisation sont
clairement définis et suivis. En général, le plan est élaboré pour une période d’un an, qui
correspond à l’exercice comptable de l’entreprise. En effet, les risques ne sont pas une
donnée statique, mais ils évoluent en fonction de la dynamique de l’entreprise et de ses
marchés. Dès lors, il doit chaque année être remis à jour.

Les actions que vous pouvez entreprendre pour maîtriser les risques sont très diverses.
Pour l’essentiel, elles peuvent être ramenées à une des solutions suivantes :

 Les accepter

Habituellement, les petits risques sont acceptés comme ‘cost of doing business’ (ils font
partie des affaires) et on n’investit ni temps ni moyens pour les éviter pro-activement. Si
un petit risque survient néanmoins, on le résout en temps réel ;

 Les éviter

L’entreprise ou l’organisation décide alors de ne pas réaliser une activité donnée afin
d’éviter les risques qui y sont liés. Elle peut ainsi décider de ne pas procéder à un rachat
étranger en raison de l’instabilité économique ou politique, de la fraude, de la corruption,
etc. dans ce pays ;

 Les transférer

L’exemple le plus connu de transfert de risque est l’assurance. Contre paiement, on

repousse le risque vers un tiers. Un autre exemple de transfert de risque est la
collaboration avec une société de factoring ;

22
  Les mitiger

Dans ce cas, l’entreprise tente activement d’endiguer (ou d’atténuer) le risque via des
contrôles internes. C’est cette solution qui requiert la plus grande adaptation de
l’entreprise. Par ailleurs, l’organisation des contrôles internes doit être bien réfléchie de
manière à couvrir un maximum de risques avec un minimum de contrôles (il faut limiter
les coûts !).

Ce qui importe, c’est que les décisions soient prises en connaissance de cause, sur la base
d’une analyse des risques et de tous les aspects pertinents : l’importance du risque, son
impact potentiel et les coûts des mesures de prévention. Dans certains cas, l’entreprise fait
même un business case pour les investissements requis.

Certains risques sont acceptables, notamment lorsqu’ils sont petits (et peu probables) ou
lorsque les coûts de prévention sont trop élevés. En général, la direction prépare les
décisions relatives à la prévention des risques et les fait valider par le conseil
d’administration.

En effet, c’est ce dernier qui a la responsabilité finale et qui décide quels sont les risques
acceptables et ceux qui ne le sont pas.

Il est important que les décisions soient bien documentées, afin que les acteurs puissent
s’y référer lorsqu’un incident survient effectivement. À ce moment, on peut prouver, grâce
à la documentation, que toutes les décisions ont été bien pensées, en tenant compte de
tous les éléments pertinents disponibles.

23
2.2. CONTRÔLE INTERNE ET GESTION DES RISQUES
Les risques peuvent être limités au moyen de mesures de contrôle interne, également
appelées mesures de gestion.

Le contrôle interne est défini comme ‘un système développé par l’organe de gestion et mis
en œuvre sous sa responsabilité par le management exécutif. Il contribue à la maîtrise des
risques et des activités de la société, à l’efficacité de ses opérations, à l’utilisation efficiente
de ses ressources, à la protection de ses actifs et à la prévention de la fraude. Cela en
fonction des objectifs, de la taille et de la complexité des activités de la société’. Au sens
plus strict, des mesures de gestion sont développées et mises en œuvre pour réduire les
risques. Voici quelques exemples de mesures de contrôle interne et des risques y
afférents:

 la limite de crédit pour réduire le risque de crédit des clients (risque financier)

 le 3-way match pour approuver les factures de fournisseurs à l’aide du bon de

commande, du bon de livraison et de la facture ;

 le recours à plusieurs fournisseurs et à des clauses contractuelles en vue d’éviter

une rupture de stock ou de livraison de matières premières (risque opérationnel) ;

 la maintenance préventive des machines de production (risque opérationnel) ;

 l’application de procédures d’injonction de payer pour suivre le recouvrement de

factures de clients (risque financier) ;

 la répartition ou la séparation des fonctions et des responsabilités dans le

processus d’acquisition (risque de fraude) ;

 un générateur de secours pour faire face aux pannes d’électricité (risque

opérationnel) ;

 un Business Continuity Plan (BCP) pour garantir la continuité des activités en cas
d’incidents majeurs (risque de continuité) ;

 un firewall en guise de protection contre les attaques des systèmes IT par des
hackers (risque informatique) ;…

24
Nous établissons en outre une distinction entre les mesures préventives et les mesures
correctives :

 les mesures préventives empêchent que survienne effectivement un risque

donné. Il s’agit notamment de la séparation des fonctions, des limites de crédit ... ;

 les mesures correctives limitent quant à elles l’impact d’un risque lorsqu’il
survient. Les rapports des contrôles sont un exemple typique de mesure corrective
pour détecter des anomalies. Un BCP en est un autre. Les assurances sont
également considérées comme des mesures correctives.

2.3. IMPACT DES TI SUR LE CONTRÔLE INTERNE ET LA GESTION

DES RISQUES
L’automatisation des processus d’entreprise a un impact considérable sur la gestion des
risques et le contrôle interne. D’une part, les contrôles automatisés permettent de réduire
les risques mais, d’un autre côté, ils introduisent de nouveaux risques en raison de la
dépendance accrue aux TI.

Un système ERP (Enterprise Resource Planning) doit consacrer suffisamment d’attention

au contrôle interne afin de réduire sensiblement les risques. Ainsi, dans un cycle de vente,
les étapes suivantes peuvent être introduites par exemple :

la vérification automatique du crédit lors de l’introduction d’un ordre de vente ;

l’utilisation des prix de vente imposés par le système ;

la gestion des listes de prix par une personne autorisée ;

des rapports en cas de prix de vente modifiés et de faibles marges ;

la facturation automatique après la livraison des marchandises.

Dès que ces mesures de gestion sont correctement implémentées, elles sont mises en
œuvre de manière cohérente par le système ERP. Les modifications éventuelles sont
gérées de manière contrôlée, de sorte que les contrôles restent pertinents et appliqués. En
cas de fraude, les logs du système ERP peuvent être consultés en vue de tracer les actions
et leurs exécutants.

25
En revanche, la dépendance accrue des TI introduit également de nouveaux risques.

Ainsi, l’indisponibilité des systèmes (en cas de panne de courant par exemple) peut avoir
un impact considérable sur la continuité des processus critiques de l’entreprise
(l’expédition de marchandises par exemple).

Par ailleurs, les systèmes doivent bien sécuriser les informations confidentielles. Les listes
de clients et de prix surtout sont des informations fortement prisées par la concurrence.
Et, dans le cadre de la loi sur la vie privée, il faut également sécuriser les données
personnelles des collaborateurs et des clients.

26
2.4. NORMES ET STANDARDS - COSO ERM
En 2004, le Committee of Sponsoring Organizations of the Treadway Commission (COSO)
a lancé un guide pour la gestion des risques, utilisé dans le monde entier par de
nombreuses organisations mettant en place une gestion des risques. Sous forme de cube
(graphique 1), le modèle COSO présente la relation entre :

les objectifs d’une organisation ;

les composantes de gestion ;

et les entités/unités nécessitant une gestion interne.

Figure 5: LE MODELE COSO 2 SOUS FORME DE CUBE

L’idée sous-jacente du modèle COSO ERM (Enterprise Risk Management) est que chaque
entreprise doit pouvoir trouver son ‘sweet spot’ (voir Figure 6). Cela implique, d’une part,
de prendre suffisamment de risques pour pouvoir exploiter des opportunités et, d’autre
part, d’introduire des contrôles suffisants pour ne pas déraper complètement. Selon le
COSO, l’objectif ultime de toute entreprise doit être d’atteindre ce niveau de risque
optimal. Le modèle COSO ERM peut aider à y parvenir.

27
 Insufiscient Optimal Excessive
Risktaking Risktaking Risktaking

Expected
Entreprise Sweet Spot
Value

Risk Level

Figure 6: COSO ERM SWEET SPOT

Selon le COSO, la gestion des risques comporte 8 composantes reliées :

 L’environnement interne :

Il englobe la nature d’une organisation et la façon dont les risques sont appréhendés et
pris en compte par l’ensemble des collaborateurs, à l’inclusion de la gestion des risques et
du taux d’acceptation des risques, de l’intégrité, des normes et valeurs éthiques et de
l’environnement dans lequel les collaborateurs opèrent ;

 la fixation des objectifs :

Sans objectifs, la direction ne peut identifier les événements potentiels susceptibles d’en
affecter la réalisation. La direction met en place un processus de fixation des objectifs qui
veille à ce que ceux-ci soient en ligne avec la mission et avec le taux d’acceptation des
risques ;

 l’identification des événements :

Les événements internes et externes qui affectent la réalisation des objectifs d’une
entreprise doivent être identifiés. On établit pour cela une distinction entre risques et
opportunités. Les opportunités sont prises en compte lors de l’élaboration de la stratégie
ou au cours du processus de fixation des objectifs ;

28
  l’évaluation des risques :

Les risques sont analysés, tant en fonction de leur probabilité que de leur impact. Cette
analyse sert de base pour déterminer la façon dont ils doivent être gérés ;

 le traitement des risques :

Le management définit les réactions à certains risques : évitement, acceptation, réduction

ou partage. Pour ce faire, il élabore un ensemble de mesures permettant de mettre en
adéquation le niveau des risques avec le seuil de tolérance et le taux d’acceptation des
risques ;

 les activités de contrôle :

L’entreprise formule et déploie des politiques et procédures afin de veiller à l’application

effective des mesures de traitement des risques ;

 l’information et la communication :

L’entreprise identifie, collecte et communique les informations sous un format et dans des
délais permettant aux collaborateurs d’assumer leurs responsabilités. Plus globalement,
une communication efficace doit être horizontale, verticale et bilatérale au sein de
l’entreprise ;

 le pilotage :

Le processus de gestion des risques est piloté dans sa globalité et modifié en fonction des
besoins. Le pilotage s’effectue au travers des activités permanentes de management ou par
le biais d’évaluations indépendantes ou encore par une combinaison de ces deux
modalités.

29
2.5. RÔLES ET RESPONSABILITÉS
C’est le conseil d’administration qui est, in fine, responsable de la mise en place de
systèmes efficaces de gestion des risques et de contrôle interne.

L’organisation, la mise en œuvre et le contrôle de ces systèmes sont délégués à la

direction. Il appartient au conseil d’administration de veiller à ce que la direction ait
effectivement les choses en main et de s’assurer régulièrement que les risques importants
auxquels est exposée l’organisation soient effectivement identifiés. Et aussi que le système
de contrôle interne réduise effectivement les risques à un niveau acceptable.

En bref, le contrôle de l’efficacité des systèmes relève de la responsabilité du conseil

d’administration. L’évaluation de l’efficacité de ces systèmes est, quant à elle, souvent
déléguée au comité d’audit. Le comité d’audit est érigé par le conseil d’administration et a
un rôle purement consultatif. D’un point de vue juridique, toutes les compétences
décisionnelles restent collégialement aux mains du conseil d’administration. Le comité
d’audit est chargé des tâches suivantes :

 surveillance du rapportage financier ;

 suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques de la

société ;

 s’il y a un audit interne, suivi de celui-ci et de son efficacité ;

 suivi du contrôle légal des comptes annuels et des comptes consolidés, en ce

compris le suivi des questions et recommandations formulées par l’auditeur
externe ;

 examen et suivi de l’indépendance de l’auditeur externe.

L’organisation, la mise en œuvre et le contrôle de l’efficacité des systèmes de gestion des

risques et de contrôle interne relèvent, pour leur part, de la responsabilité de la direction.

Celle-ci doit veiller à ce que les risques soient gérés de manière adéquate dans le cadre de
ses responsabilités. Et aussi à la mise en œuvre de mesures de contrôle interne lorsque
cela s’avère nécessaire pour maîtriser les risques.

La direction est souvent considérée comme la première ligne de défense contre les
risques.

30
Il arrive de plus en plus fréquemment que l’équipe de direction compte également un
gestionnaire des risques. Il ou elle dresse l’inventaire des risques de l’organisation, veille à
bien définir les responsabilités en termes de gestion des risques et surveille la mise en
œuvre d’une stratégie efficace de gestion des risques. Dans bon nombre d’entreprises ou
d’organisations, le gestionnaire des risques tient un registre des risques et tous les
incidents doivent lui être rapportés. Le gestionnaire des risques est souvent considéré
comme la deuxième ligne de défense contre les risques.

Enfin, certaines organisations ont un auditeur interne. Il examine et évalue la pertinence

et l’efficacité de la gestion des risques et du contrôle interne de l’organisation. Si le
gestionnaire des risques appartient à l’équipe de direction et lui apporte son soutien pour
la gestion des risques, l’aspect de l’audit interne mis en avant est l’appréciation
indépendante des risques et des processus de contrôle interne. En vue de consolider son
indépendance, il ou elle ne fait pas partie de l’équipe de direction et fait directement
rapport au conseil d’administration ou au comité d’audit. L’audit interne est souvent
considéré comme la troisième ligne de défense contre les risques.

31
3. TYPOLOGIE DES RISQUES

Il existe différentes manières de cataloguer les risques. On peut les classer sur la base de
leur origine et de leurs conséquences sur le fonctionnement de l’organisation, de
l’entreprise ou même d’un système ou processus déterminé. On peut aussi les classer
selon la probabilité que survienne une anomalie ou un incident. Il n’existe toutefois pas de
panacée pour répartir les risques. Chaque entreprise doit déterminer elle-même comment
elle veut le faire, pourquoi et à quel niveau ou pour quel aspect de sa gestion.

Indépendamment de la répartition que l’entreprise choisit, les catégories doivent être

appliquées de manière uniforme dans toute l’organisation afin que l’analyse, l’évaluation
et le suivi de tous les risques puissent se faire de manière cohérente.

Dans ce chapitre, nous classons les risques en six grands domaines, en tenant compte des
types de risque les plus courants :

RISQUES EXTERNES ET STRATÉGIQUES

Situation politique, évolution macroéconomique, influence démographique, événement

naturel…

RISQUES FINANCIERS

Financement à long terme et opérationnel, fluctuations des devises et des intérêts, gestion
des débiteurs…

RISQUES DE COMPLIANCE

Règles Fiscales, facturation, comptabilité, administration…

RISQUES JURIDIQUES

Contrats, Législation sociale, propriété intellectuelle …

RISQUES OPÉRATIONNELS

Production, achats, transports, logistique, environnement, contrefaçon,

approvisionnement énergétique, qualité, supplychain…

RISQUES IT

Données, protection de la vie privée, continuité, cybercriminalité, phishing, fraude…

32
Nous ne parlons pas dans ce cours, Sinon indirectement, des risques en matière de
sécurité, de santé, de bien-être et d’environnement. Quelques exemples concrets : la
sécurité au travail (prévention et protection contre les accidents du travail, incendie,
explosion…), la protection de la santé du travailleur, la charge psychosociale causée par le
travail (stress, harcèlement, satisfaction professionnelle…), l’ergonomie (adaptation des
équipements de travail et du poste de travail aux possibilités du travailleur), l’hygiène du
travail (aération, éclairage, température, substances nocives…), l’embellissement des lieux
de travail(sanitaires, réfectoire…), etc. Ces risques ne sont pas abordés dans cette
brochure parce qu’ils relèvent du domaine spécifique du Comité de prévention et de
protection au travail ou du coordinateur environnemental.

3.1. LES RISQUES EXTERNES ET STRATEGIQUES

Les risques externes et stratégiques constituent une catégorie à part dans la typologie des
risques. La grande différence avec les risques financiers, juridiques, opérationnels ou de
compliance est que les risques stratégiques et, plus encore, les risques externes sont
moins maîtrisables. Autrement dit : il n’est pas évident de les éviter parce qu’ils se situent
souvent en dehors de la sphère d’influence de l’organisation et sont donc plus difficiles à
contrôler via des processus ou des règles. Mais difficile ne signifie pas impossible.

Il existe au moins 02 types de risques externes et stratégiques :

Risques externes aigus ou larvés

Risques stratégiques ciblés délibérés.

3.1.1.risques externes : aigus ou larvés

Les risques externes sont des risques qui viennent de l’extérieur de l’entreprise et sur
lequel elle n’a pas ou guère d’influence. Citons les catastrophes naturelles, les facteurs
macro-économiques, politiques ((insécurité juridique, grèves), législatifs,
démographiques, l’évolution climatique, la concurrence croissante …

Selon certains auteurs, il existe deux sortes de risques externes qui se distinguent en
fonction du rythme auquel ils se produisent. Le ‘Big Bang’ est un problème aigu et grave.
On parle aussi de ‘cygnes noirs’ ou d’événements imprévisibles auxquels personne ne
s’attendait, que presque personne n’a vus arriver, mais qui ont des conséquences énormes.
On citera comme exemples un crash boursier ou la catastrophe nucléaire de Fukushima,

33
qui a remis en question la politique nucléaire partout dans le monde. Mais le
comportement ad hoc des parties prenantes, des politiques ou des concurrents peut aussi
donner lieu à un incident grave.

Le deuxième groupe de risques externes est celui des ‘Slow Risks’ : ces risques sont la
conséquence de situations ou de phénomènes qui traînent depuis des années à l’intérieur
ou à l’extérieur de l’entreprise. Ils constituent une menace larvée.

Avant, le management considérait les risques externes comme des ‘cas de force majeure’,
contre lesquels ils ne pouvaient rien entreprendre. Actuellement, cette attitude est
inacceptable. Malgré le fait que les risques externes sont souvent imprévisibles ou
échappent aux radars, une entreprise ou une organisation peut toujours mieux s’armer
pour faire face à leur éventualité. En effet, gérer les risques externes exige une réflexion
‘en scénario’ qui dépassera la gestion de risque classique.

3.1.2.Risques Stratégiques : Délibérés Et Ciblés

Les risques stratégiques sont liés à la stratégie de l’entreprise et sont donc des risques que
l’entrepreneur choisit délibérément. Il met en balance le risque (la menace) et le
rendement (l’opportunité). Bref, les risques stratégiques sont pris dans un but précis.
Ainsi, les banques prennent un risque de crédit en prêtant de l ‘argent. Ou une entreprise
s’installe sur un nouveau marché pour augmenter son chiffre d’affaires. Certaines
entreprises prennent délibérément des risques stratégiques pour se positionner ou se
distinguer de la concurrence– par exemple lorsqu’elles développent un nouveau produit.

3.2. RISQUE FINANCIER

Pour se développer, une entreprise doit investir, que ce soit sur fonds propres ou avec des
moyens externes. Ces investissements peuvent revêtir de nombreuses formes. Par
exemple des biens d’équipement ayant une durée de vie déterminée, ou un nouveau projet
qui doit être préfinancé. Quelle que soit leur forme, les investissements se font
normalement sur le long terme et impliquent des risques financiers qui appellent une
réponse stratégique. Mais il n’y a pas que les investissements qui génèrent des risques. Le
fonctionnement quotidien, le préfinancement de ventes réalisées et la gestion optimale du
capital de l’entreprise ... aussi. Heureusement, il existe une solution pour chaque risque
financier.

34
 3.2.1.Financement Stratégique
Qu’il s’agisse du financement de leurs investissements à long terme ou de leurs contrats
commerciaux à long terme, il est important que les entreprises connaissent les risques
auxquels elles s’exposent et s’assurent de manière adéquate.

3.2.2.Financement Opérationnel

La vente de biens comporte certains risques. Les risques inhérents aux contrats de vente
peuvent toutefois être ramenés à un niveau acceptable moyennant un financement et une
assurance adéquats, et ce même au niveau international. La solution retenue par votre
entreprise pour chaque risque dépend de nombreux facteurs.

Nous pouvons citer ici quelques risques liés au financement opérationnel tel que :

Les prix des matières premières

Fluctuations des taux de change

Fluctuation des intérêts

Solvabilité des clients et débiteurs …

3.3. RISQUES DE CONFORMITÉ

Le mot ‘compliance’ est dérivé du verbe anglais ‘to comply’ et signifie ‘conformité’. Cela
veut dire qu’une personne, une organisation ou une entreprise travaille en conformité
avec la législation et la réglementation en vigueur. Autrement dit, celui qui est en
conformité respecte les normes et conventions et connaît et suit les règles et les lois. Celui
qui ne le fait pas s’expose à un risque.

Celui qui souhaite rester au courant de toute la réglementation doit faire preuve de
sensées priorités et d’organisation. Car sans connaissances approfondies, il est impossible
de respecter correctement toutes les règles et lois, d’être ‘en conformité’ autrement dit. Or,
celui qui ne le fait pas s’expose à d’importants risques.

Les risques de non-conformité peuvent entrainer par exemple :

 Sanction judiciaire, administrative ou disciplinaire

 Coûts liés au non-respect d’une réglementation

 Atteinte à la réputation (la réputation et image de marque sont des actifs à

préserver)

35
  Pertes financières

 Pertes commerciales (perte d’un client)

L’organisation de la conformité repose sur :

 la politique de conformité,

 un plan de conformité : expose une planification des activités de la fonction au

regard des domaines pertinents pour l’organisme ainsi que son exposition au
risque de conformité

 des relais ou correspondants dans les différents services/lignes métier : juristes,

actuaires, gestionnaires, etc.

 un comité de conformité, permettant de réunir les différents intervenants de la

conformité, et de piloter le dispositif,

 des partenaires (internes ou externes).

Figure 7: l'interaction entre gestion de risque et contrôle interne

36
3.4. RISQUE JURIDIQUE
Les entreprises doivent tenir compte à la fois du droit national, européen et international.

La réglementation qui s’applique à l’entreprise et à ses activités détermine le terrain

juridique sur lequel elle doit opérer. Les sanctions qui s’appliquent à ceux qui enfreignent
les règles du jeu juridique sont très diverses : elles vont de la responsabilité civile et
pénale (amendes, dédommagements) au retrait d’autorisations et à la perte de droits et
d’actifs.

Ces sanctions, qui sont la conséquence d’une infraction aux obligations et normes
juridiques, peuvent avoir un impact important sur l’activité et menacer directement ou
indirectement la survie de l’entreprise. Les sanctions affectent parfois même la vie privée
des dirigeants, particulièrement en cas de responsabilité des administrateurs.

3.4.1.Définition Des Risques Juridiques

De manière générale, les risques juridiques sont décrits comme les risques liés au respect
et au suivi de la législation, des contrats et autres obligations et normes spécifiques que
l’entreprise doit respecter. Dans d’autres termes, les risques juridiques découlent de la
réglementation qui s’applique à l’entreprise ou des contrats conclus par celle-ci.

Chaque processus de l’entreprise peut comporter un risque juridique.

Bref, une entreprise qui veut identifier ses risques juridiques ne peut le faire sans une
connaissance approfondie des processus concrets.

3.4.2.Le risque juridique aux conséquences négatives

On peut définir le risque juridique négatif comme la circonstance où l’organisation :

engage sa responsabilité civile ou pénale ;

subit un préjudice du fait d’une inexécution contractuelle, est victime d’un délit civil ou
d’une infraction pénale ;

subit un préjudice du fait du changement de la norme juridique qui lui est applicable.

37
Toutes ces situations ont en commun la conjonction d’une norme juridique et d’un
événement qui va susciter le risque juridique. Deux notions constitutives du risque
juridique qu’il convient de préciser.

3.4.3.Les conséquences du risque juridique négatif

Le risque juridique négatif engendre des conséquences tant sur l’organisation que sur ses
agents.

Ces conséquences contribuent à la définition même du risque juridique. Les conséquences

du risque juridique peuvent être appréhendées à travers

 le risque pénal ;

 le risque financier ;

 le risque d’image.

 Le risque pénal

Le risque pénal est supporté tant par l’organisation en qualité de personne morale que par
les dirigeants ou leurs délégataires en qualité de personne physique. Il résulte de la
commission d’une infraction pénale (crime, délit et contravention), soit d’un
comportement transgressif, intentionnel ou non, qui engage la responsabilité de la
personne morale ou de son dirigeant.

 Le risque financier

Le risque financier est constitué par les dommages et intérêts que l’organisation devra
payer à la victime d’un comportement transgressif ou d’un dommage dont elle serait
responsable. Sauf dans le cas où les dommages et intérêts sont contractualisés (clause
pénale), le risque financier qui résulte du risque juridique est difficilement évaluable dans
son montant car celui-ci est fixé par un juge, parfois sur la base de rapports d’expertise.

 Le risque d’image

Le risque juridique peut être de nature à contredire la politique de communication et

l’image de l’organisation. Ce sera le cas d’un comportement transgressif de l’organisation
qui contredit directement sa communication, telle qu’elle résulte de ses messages
publicitaires, ou de déclarations solennelles résultant d’une charte éthique, par exemple.

38
Les conséquences, en termes d’image, peuvent être infiniment plus lourdes à gérer que la
sanction elle-même.

3.4.4.Connaissance Approfondie et Actualisée de la

Réglementation
Comme on l’a dit, les risques juridiques découlent de la réglementation qui s’applique à
votre entreprise ou des contrats qu’elle conclut.

Si les risques juridiques dépendent du respect des obligations légales (non contractuelles),
votre entreprise peut éviter ces risques, en théorie du moins, en respectant simplement
les règles. Le vrai défi est toutefois d’être effectivement informé de toutes les règles qui
s’appliquent à l’entreprise.

Enfin, la connaissance de la législation en vigueur est indispensable pour traduire la

gestion des risques en politiques internes.

3.4.5.Expertise Juridique
En cas de décisions ou d’investissements ayant une influence significative sur l’entreprise,
le coût d’une expertise juridique interne ou externe contrebalance l’impact financier du
risque.

3.4.6.Gestion des contrats

Si les risques sont liés au respect des obligations contractuelles de l’entreprise, celle-ci
peut les maîtriser grâce à une gestion correcte des contrats.

Les contrats au contour mal définis et les accords imprécis sont le terreau de la méfiance
et des dommages financiers. La première manière de les éviter est de ne pas entamer les
discussions contractuelles avant une évaluation pertinente des risques juridiques pour
votre entreprise.

39
3.5. RISQUE DE REPUTATION
Le risque de réputation est une expression qui désigne le risque financier qu'encourent
des entreprises, à propos de leur image de marque qui pourrait être ternie par des
scandales. Ceux-ci sont notamment liés à leurs pratiques sociales et environnementales.
Mais les premiers facteurs de risques sont majoritairement liés à l’éthique et à l’intégrité
de l’entreprise. Ensuite viennent les risques liés à la sécurité, puis ceux concernant les
produits et services de l’entreprise.

La réputation d'une entreprise se mesure par l'excédent de valeur de l'organisation sur la

valeur de ses actifs physiques. Ainsi, dans les pays développés, et étant donné la place
des marchés financiers, on estime que l'image représente environ 60 % à 70 % de la
valeur des entreprises. Il est nécessaire d'intégrer l'impact sur la réputation dans l'analyse
des vulnérabilités.

Le concept de réputation d’une entreprise n’est pas complètement cerné, plusieurs

théories socio-économiques sont émises à ce sujet ; néanmoins les sociologues des
organisations soulignent que les classements en matière de réputation des entreprises
(comme celui du magazine américain Fortune ou le Global Pulse 2008, réalisé par le
Réputation Institute) sont des constructions sociales, qui dépendent des relations qu’une
firme donnée a développées avec ses stakeholders, dans un environnement institutionnel
commun. Les entreprises sont évaluées selon plusieurs dimensions, chacune dépendant de
différents critères.

40
 Les attentes des parties prenantes
Parties prenantes
Fondant la réputation de
(stakeholders)
l’entreprise
Confiance/respect/admiration
Clients Service /traitement équitable
Qualité du produit
Culture d’entreprise
Environnement de travail, sain et pur
Employés
Traitement juste et équitable
Opportunités de carrière
Volume d’affaires satisfaisant
Stabilité financière
Fournisseurs et
réactivité et souplesse des
partenaires
opérations
solidarité du management
Rentabilité des investissements
Investisseurs Gouvernance d’entreprise
Respect des normes légales
Implication dans la societé civile
Contribution fiscale
société Respect de l’environnement
Traitement juste et equitable des
populations

Figure 8: L'influence de la réputation d'une entreprise sur les parties prenantes

41
 4. INTRODUCTION A L’ANALYSE DES MODES DE
DEFAILLANCE, DE LEURS EFFETS ET LEURS
CRITICITES.

4.1. DÉFINITIONS

AMDEC est l’acronyme de «Analyse des modes de défaillances, de leurs effets et leur
criticité» (Failure Mode and EffectAnalysis, FMEA). Cette technique a pour but
d’étudier, d’identifier, de prévenir ou au moins de réduire les risques de
défaillances d’un système, d’un processus, d’un produit.
L’Association française de normalisation (Afnor) définit l’AMDEC comme étant "une
méthode inductive qui permet de réaliser une analyse qualitative et quantitative de
la fiabilité ou de la sécurité d’un système. La méthode consiste à examiner
méthodiquement les défaillances potentielles des systèmes (analyse des modes de
défaillance), leurs causes et leurs conséquences sur le fonctionnement de
l’ensemble (les effets). Après une hiérarchisation des défaillances potentielles,
basée sur l’estimation du niveau de risque de défaillance, soit la criticité, des
actions prioritaires sont déclenchées et suivies.

4.2. HISTORIQUE ET DOMAINES D’APPLICATION

L’AMDEC a été créée aux États-Unis par la société Mc Donnell Douglas en 1962. Elle
consistait à dresser la liste des composants d’un produit et à cumuler des
informations sur les modes de défaillance, leur fréquence et leurs conséquences. La
méthode a été mise au point par la NASA et le secteur de l’armement sous le nom
de FMEA pour évaluer l’efficacité d’un système. Dans un contexte spécifique,
cette méthode est un outil de fiabilité. Elle est utilisée pour les systèmes où l’on
doit respecter des objectifs de fiabilité et de sécurité. À la fin des années soixante-
dix, la méthode fut largement adoptée par Toyota, Nissan, Ford, BMW, Peugeot,
Volvo, Chrysler et d’autres grands constructeurs d’automobiles.
La méthode a fait ses preuves dans les industries suivantes : spatiale, armement,
mécanique, électronique, électrotechnique, automobile, nucléaire, aéronautique,
chimie, informatique et plus récemment, on commence à s’y intéresser dans les
services.
Aujourd’hui, dans un contexte plus large comme celui de la qualité totale, la prévention
n’est pas limitée à la fabrication. Il est maintenant possible d’anticiper les
problèmes dans tous les systèmes du processus d’affaires et de rechercher à priori
des solutions préventives. C’est pourquoi l’application de l’AMDEC dans les
différents systèmes du processus d’affaires est très utile, souvent même

42
 indispensable. Cette méthode est donc considérée comme un outil de la qualité
totale.

4.3. TYPES D’AMDEC ET DÉFINITIONS TYPES

Il existe plusieurs types d’AMDEC, parmi les plus importants, mentionnons:

 L’AMDEC-organisation s’applique aux différents niveaux du processus d’affaires:
du premier niveau qui englobe le système de gestion, le système d’information, le
système production, le système personnel, le système marketing et le système
finance, jusqu’au dernier niveau comme l’organisation d’une tâche de travail.
 L’AMDEC-produit ou l’AMDEC-projet est utilisée pour étudier en détail la phase
de conception du produit ou d’un projet. Si le produit comprend plusieurs
composants, on applique l’AMDEC-composants.
 L’AMDEC-processus s’applique à des processus de fabrication. Elle est utilisée
pour analyser et évaluer la criticité de toutes les défaillances potentielles d’un
produit engendrées par son processus. Elle peut être aussi utilisée pour les postes
de travail4.
 L’AMDEC-moyen s’applique à des machines, des outils, des équipements et
appareils de mesure, des logiciels et des systèmes de transport interne.
 L’AMDEC-service s’applique pour vérifier que la valeur ajoutée réalisée dans le
service corresponde aux attentes des clients et que le processus de réalisation de
service n’engendre pas de défaillances5.
 L’AMDEC-securité s’applique pour assurer la sécurité des opérateurs dans les
procédés où il existe des risques pour ceux-ci.

4.3.1.Définitions d’un mode,cause et l’effet d’une défaillance

Par défaillance on entend simplement qu’un produit, un composant ou un ensemble:

 ne fonctionne pas;
 ne fonctionne pas au moment prévu;
 ne s’arrête pas au moment prévu;
 fonctionne à un instant non désiré;
 fonctionne, mais les performances requises ne sont pas obtenues
Le mode de défaillance est la façon dont un produit, un composant, un ensemble, un
processus ou une organisation manifeste une défaillance ou s’écarte des
spécifications. Voici quelques exemples pour illustrer cette définition :

43
  déformation;
 vibration;
 coincement;
 desserrage;
 corrosion;
 fuite;
 perte de performance;
 court-circuit;
 flambage;
 ne s’arrête pas;
 ne démarre pas;
 dépasse la limite supérieure tolérée, etc.
Une cause de défaillance est évidemment ce qui conduit à une défaillance. On définit et on
décrit les causes de chaque mode de défaillance considérée comme possible pour
pouvoir en estimer la probabilité, en déceler les effets secondaires et prévoir des
actions correctives pour la corriger.
Les effets d’une défaillance sont les effets locaux sur l’élément étudié du système + les
effets de la défaillance sur l’utilisateur final du produit ou du service.

4.3.2.Deux aspects de la méthode:

L’aspect qualitatif et quantitatif.

L’aspect qualitatif de l’étude consiste à recenser les défaillances potentielles des fonctions
du système étudié, de rechercher et d’identifier les causes des défaillances et d’en
connaître les effets qui peuvent affecter les clients, les utilisateurs et
l’environnement interne ou externe.
L’aspect quantitatif consiste à estimer le risque associé à la défaillance potentielle. Le but
de cette estimation est l’identification et la hiérarchisation des défaillances
potentielles. Celles- ci sont alors mises en évidence en appliquant certains critères
dont, entre autres, l’impact sur le client. La hiérarchisation des modes de
défaillance par ordre décroissant, facilite la recherche et la prise d’actions
prioritaires qui doivent diminuer l’impact sur les clients ou qui élimineraient
complètement les causes des défauts potentiels.

44
 4.4. LES ÉTAPES DE LA MÉTHODE

La méthode s’inscrit dans une démarche en huit étapes (figure 1). Comme dans plusieurs
démarches, il y a une phase préparatoire qui consiste en une collecte de données
pour réaliser l’étude, la mise sur pied d’un groupe de travail et la préparation des
dossiers, tableaux, logiciels.

4.4.1. La constitution d’un groupe de travail

Il s’agit de constituer l’équipe multidisciplinaire qui aura à réaliser l’étude. Les personnes
impliquées dans une étude AMDEC-processus, par exemple, représentent les
services de recherche et développement, des achats, du marketing, de la
maintenance, de la qualité, des méthodes et de la fabrication. La présence d’un
animateur bien formé à des techniques spécifiques de la démarche et du travail en
équipe est une condition de succès de l’application de la méthode.
La préparation de l’AMDEC-produit est sous la responsabilité de l’ingénieur de produit.
Avant la réunion de l’équipe, il prépare les six premières colonnes du tableau
AMDEC (voir le tableau 1) : le numéro de chaque pièce, sa fonction, les modes de
défaillance potentielle, les causes possibles, les effets potentiels, les vérifications
courantes de conception. Au début de la réunion, l’équipe analyse chacun des
éléments du document pour s’assurer que rien ne manque. Les autres membres
d’équipe sont :
Le représentant des ventes qui est l’interface entre l’entreprise et le client. Il fournit à
l’équipe les informations nécessaires sur les besoins et attentes du client.
Le représentant du service qualité qui joue le rôle de facilitateur ou de coordonnateur et
qui fait le lien entre toutes les étapes de la méthode. Il participe à la détermination
des défaillances potentielles de conception durant le processus de production.
L’ingénieur de fabrication est très influent au sein de l’équipe, particulièrement en ce qui
concerne le développement de la conception et des procédés de fabrication.

45
 Figure 9: Les Etapes de l'MADEC

Il est toutefois important de préciser que les grandes équipes (dont le nombre des
participants est supérieur à sept) sont moins efficaces que les petites (entre quatre

46
 et six participants). La clé du succès de l’équipe AMDEC réside dans
l’engagement total de ses membres et l’interaction entre ceux-ci.

Actions
Mode d'une défaillance

Causes possibles de la
Fonction du produit

Effet de la défaillance
Evaluation Résultats
préventives

Recommandées

Occurrence
Occurrence
défaillance

Détection

Détection
potentielle

Criticité

Criticité
Gravité

Gravité
Prises
Tableau 1

4.4.2.L’analyse fonctionnelle

Une défaillance est la disparition ou la dégradation d’une fonction. Donc pour trouver les
défaillances potentielles il faut connaître les fonctions.
Le but de l’analyse fonctionnelle est de déterminer d’une manière assez complète les
fonctions principales d’un produit, les fonctions contraintes et les fonctions
élémentaires.
 Les fonctions principales sont les fonctions pour lesquelles le système a été conçu,
donc pour satisfaire les besoins de l’utilisateur.
 Les fonctions contraintes répondent aux interrelations avec le milieu extérieur.
 Les fonctions élémentaires assurent les fonctions principales, ce sont les fonctions
des différents composants élémentaires du système.

Selon l’AMDEC, un système (produit complexe) peut être décomposé en trois niveaux :
système, sous-systèmes, composant. Ces appellations s’appliquent à la fois, à une
décomposition matérielle et fonctionnelle. En résumé, on décompose le système en
plusieurs niveaux d’arborescence. Le niveau au sommet est le système, le niveau
de base est le composant. C’est grâce à l’analyse fonctionnelle que l’on pourra
établir la meilleure arborescence possible pour un système. L’AMDEC sera alors
conduite à partir du niveau composant puis remontera aux divers étages de
l’arborescence (approche bottom-up).
Pour un processus, la décomposition fonctionnelle se fait en procédés. Pour un procédé, la
décomposition se fait en opérations ou activités et pour les opérations la
décomposition se fait en tâches. Un excellent moyen pour réaliser la

47
décomposition fonctionnelle est l’ordinogramme du processus. La figure 2 illustre
une ordinogramme (flow chart) du processus d’une distributrice de café. Ce
processus est un ensemble d’opérations élémentaires qui se déroulent à partir du
besoin à satisfaire jusqu’à la consommation du café. Une fois les fonctions
identifiées, on passe à l’étape de l’analyse ou l’étude qualitative.

Figure 10: Ordinogramme d'un processus

48
 4.4.3.L’étude qualitative des défaillances

Celle-ci consiste à identifier toutes les défaillances possibles, à déterminer les modes de
défaillance, à identifier les effets relatifs à chaque mode de défaillance, à analyser
et à trouver les causes possibles et les causes les plus probables des défaillances
potentielles. Pour réaliser cet objectif, on s’appuie sur l’analyse fonctionnelle. À
partir des fonctions définies on cherche directement les défaillances potentielles
(voir le tableau 2.1). Ainsi l’analyse fonctionnelle aide à trouver en amont les
causes et en aval les effets de chaque mode de défaillance.
Prenons dans le processus de la distributrice de café l’opération "la distributrice remplit le
verre". L’opération est effectuée correctement si le verre est rempli d’un café qui
correspond à une qualité et à un volume désirés. Un mode de défaillance est que la
distributrice ne remplit pas le verre. Un deuxième mode de défaillance est que la
distributrice remplit le verre avec de l’eau seulement. Un troisième mode de
défaillance est que la concentration de café est très faible dans le verre. À partir de
ces trois modes de défaillance on analyse quel est l’effet potentiel (sans doute
négatif) pour le client. L’étude est complète si on identifie quelles sont les causes
possibles.
Pour chaque mode on peut avoir une ou plusieurs causes. Pour le deuxième mode de
défaillance une cause possible est que la machine manque de café. Une deuxième
cause possible est qu’il y a un blocage dans le circuit interne de la machine qui
empêche la fusion entre l’eau chaude et le café.
Le but de l’AMDEC est de faire ressortir les points critiques afin de les éliminer, de
prévoir un mode de prévention. La mise en évidence de ces points se fait selon
certains critères dans une analyse quantitative.

4.4.4.L’étude quantitative

Il s’agit d’une estimation de l’indice de criticité du trio cause-mode-effet de la défaillance

potentielle étudiée selon certains critères. Plusieurs critères peuvent être utilisés
pour déterminer cet indice. Souvent dans la pratique on considère qu’une
défaillance est d’autant plus importante si :
 ses conséquences sont graves ;
 elle se produit souvent ;
 elle se produit et on risque de ne pas la détecter.
Dans la pratique on attribue trois notes - chacune sur une échelle de 1 à 10 - pour chaque
trio cause-mode-effet :
 La note G - gravité de l’effet - les conséquences sur le client/utilisateur

49
  La note O - la probabilité d’occurrence - la fréquence d’apparition
 La note D - la probabilité de non-détection - le risque de non-détection
L’indice de criticité (C) s’obtient en multipliant ces trois notes précédentes soit celle de la
gravité, de la probabilité d’occurrence et de la probabilité de non-détection :

C=GxOxD

Le tableau 3 illustre une estimation de l’indice de criticité des modes-causes-effets des

défaillances dans le processus «distributrice de café». Si celle-ci remplit le verre
seulement avec de l’eau chaude, le client sera très insatisfait. On estime donc pour
la gravité une note de 10. La cause «manque de café dans la distributrice» peut
arriver souvent ; on estime donc pour la probabilité d’occurrence la note 5. La
détection est faite par l’agent d’entretien lorsqu’il vient remplir la machine de café
moulu ; donc pour la probabilité de non-détection on estime aussi la note 5. Les
trois notes multipliées nous donnent l’indice de criticité qui, dans ce cas, est égal à
250.
Le mot criticité correspond au terme anglais « risk priority number ».

50
 Évaluation Actions préventives Résultats
Opération Mode de Effet de Cause
du possible de Recommandées prises
défaillance défaillance
processus potentielle défaillance

2 5 6 60
La La distributrice
La distributrice de café
distributrice est en panne
ne remplit pas le verre Client
de café
et ne prend pas la insatisfait
remplit le
monnaie Manque d'eau 7 0 6 0
verre

Manque de café
La distributrice remplit dans la 5 5 10 250
le verre avec de l’eau et Client très distributrice
ne rend pas la monnaie insatisfait
Blocage dans la
10 1 10 100
distributrice

7 1 8 56
La concentration du Manque de café
café est faible Client
insatisfait • Qualité du café 1 10 8 80

Tableau 2
 4.4.5.La hiérarchisation

La difficulté essentielle d’une étude qui veut anticiper les problèmes et rechercher les
solutions préventives provient de la très grande variété des problèmes potentiels à
envisager. D’où le besoin d’une hiérarchisation, qui permet de classer les modes de
défaillances et d’organiser leur traitement par ordre d’importance.
La hiérarchisation suivant l’échelle de criticité permet de décider des actions prioritaires.
En effet, c’est une liste d’articles ou de processus critiques. Le classement est fait
par ordre décroissant généralement en quatre catégories (C>100 ; 100>C>50 ;
50>C>20 ; 20>C). Ce classement permet de moduler les actions préventives, leur
priorité variant en fonction de la catégorie. Très souvent les entreprises utilisent
pour l’AMDEC-produit/processus un seuil de criticité de 100 et pour l’AMDEC-
moyen un seuil de 16.

4.4.6.La recherche des actions préventives/correctives

Après le classement des différents modes de défaillances potentielles d’après les indices
de criticité, le groupe désigne les responsables de la recherche des actions
préventives ou correctives. Les outils tels que le diagramme causes-effet, l’analyse
de Pareto, le brainstorming, le travail en équipe, doivent être appliqués pour une
recherche efficace. En pratique, le groupe de travail s’attache à réduire l’indice de
criticité par des actions qui visent :
 la réduction de la probabilité d’occurrence (exemple : par la modification de la
conception du produit ou du processus)
 la réduction de la probabilité de non-détection (exemple : par la modification de la
conception du processus ou par la modification du système de contrôle)
 la réduction de la gravité de l’effet de défaillance (exemple : par la modification de
la conception)

4.4.7.Le suivi des actions prises et la réévaluation de criticité

C’est le moment de vérité pour la méthode. Un nouvel indice de criticité est calculé de la
même façon que lors de la première évaluation, en prenant en compte les actions
prises. Cette valeur du nouvel indice de criticité est parfois appelée risque résiduel
et peut être illustrée sous forme du diagramme Pareto.
L’objectif de cette réévaluation est de déterminer l’impact et l’efficacité des actions prises.
Le nouvel indice de criticité doit donc être inférieur au seuil de criticité. Le tableau

52
 3 illustre une telle réévaluation qui nous montre que grâce aux actions prises, les
nouveaux indices de criticité sont inférieurs à un seuil de criticité égal à 50.

4.4.8.La présentation des résultats

Pour pouvoir effectuer et appliquer l’AMDEC, les entreprises utilisent des tableaux
conçus spécialement pour le système étudié et préparés en fonction des objectifs
recherchés. Ces tableaux sont habituellement disposés en forme de colonnes et
contiennent, en général, les informations nécessaires pour réaliser l’étude. Les
tableaux 1 à 4 illustrent la réalisation d’un AMDEC-processus.

53
 Évaluation Actions préventives Résultats
Opération Mode de Effet de Cause
du possible de Recommandées prises
défaillance défaillance
processus potentielle défaillance

2 5 6 60 Suivi statistique des vérification

La La distributrice pannes +
La distributrice de café
distributrice est en panne vérification mensuelle de inscrire
ne remplit pas le verre Client l’état de la distributrice le numéro de
de café 1 3 5 15
et ne prend pas la insatisfait Inscrire le numéro de téléphone de
remplit le l’entretien sur l’appareil l'agence de
monnaie 7 0 6 0
verre Manque d'eau l'entretien

Remplir l’appareil
Manque de café chaque
chaque matin
remplir la
La distributrice remplit dans la 5 5 10 250 matin avec du café 2 2 10 40
distributrice de
le verre avec de l’eau et Client très distributrice café
ne rend pas la monnaie insatisfait
Entretien préventif
Blocage dans la un entretien 2 1 10 20
10 1 10 100 préventif
distributrice
mensuel
Régulier

Manque de café 7 1 8 56 Une vérif. par jour 1 vérification 1 1 5 5

La concentration du Sélection des marques,
par jour
café est faible Client identification délais de
insatisfait marque et
• Qualité du café 1 10 8 80 conservation délai de
1 1 8 8
conservation

Tableau 3
5. BIBLIOGRAPHIE

1. Management des risques, Pascal KERBEL, Editions EYROLLES, 2009.

2. Joseph KELADA, L’amdec – cours, École des HEC, 1994.
3. Organisation internationale de normalisation, Compendium ISO 9000, 2e édition,
1992, page 146.
4. AFNOR, Norme NF X 60-510, décembre 1986.
5. Mouvement Français pour la Qualité, AMDEC- Projet de guide pédagogique,1991.
6. Potential FMEA, Ford Motors Co., septembre 1988.

55