Académique Documents
Professionnel Documents
Culture Documents
Cours de
LA GESTION DE RISQUE EN ENTREPRISE
2
4.4.2. L’analyse fonctionnelle ................................................................................................................. 47
4.4.3. L’étude qualitative des défaillances .............................................................................................. 49
4.4.4. L’étude quantitative ..................................................................................................................... 49
4.4.5. La hiérarchisation ......................................................................................................................... 52
4.4.6. La recherche des actions préventives/correctives ......................................................................... 52
4.4.7. Le suivi des actions prises et la réévaluation de criticité ................................................................ 52
4.4.8. La présentation des résultats ........................................................................................................ 53
5. BIBLIOGRAPHIE ........................................................................................................................................ 55
3
Tables des figures
Figure 1: Processus de gestion du risque ............................................................................................................... 16
Figure 2: Univers du risque - exemple de la production ........................................................................................ 18
Figure 3: RISK 'HEAT MAP'..................................................................................................................................... 20
Figure 4: exemple 'HEAT MAP' production ............................................................................................................ 21
Figure 5: LE MODELE COSO 2 SOUS FORME DE CUBE ........................................................................................... 27
Figure 6: COSO ERM SWEET SPOT ......................................................................................................................... 28
Figure 7: l'interaction entre gestion de risque et contrôle interne ........................................................................ 36
Figure 8: L'influence de la réputation d'une entreprise sur les parties prenantes................................................. 41
Figure 9: Les Etapes de l'MADEC ........................................................................................................................... 46
Figure 10: Ordinogramme d'un processus ............................................................................................................ 48
12
1. INTRODUCTION GENERALE SUR LA GRE
C’est en fait vraiment à la fin des années 1970 et au début des années 1980 que la question
de la gestion des risques prend un réel essor dans l’ensemble des pays occidentaux. La
fonction du risk manager est apparue à cette période, en même temps que le secteur de
l’assurance se développait. En effet, afin de pouvoir s’assurer, les entreprises devaient être
aux normes affichées par les assureurs, ce qui supposait de nouvelles compétences au sein
des entreprises. Entreprises et assureurs ont ainsi collaboré pour construire une politique
de gestion des risques efficace.
À l’ensemble de ces risques, deux nouveaux types de risques sont venus s’ajouter : les
risques mettant en danger la personne humaine, sa dignité, sa santé et ses droits et les
risques informationnels. Ces risques sont intimement liés les uns aux autres et entrent en
« synergie » lorsqu’ils se combinent.
13
1.1. QU’EST-CE QU’UN RISQUE ?
Chacun sait ce qu’est un risque et pourtant il n’est pas si facile d’en donner une définition
claire. Le risque est souvent défini comme un événement futur incertain qui peut avoir une
influence négative sur la réalisation des objectifs de l’entreprise. Ce n’est certainement pas
une définition parfaite, mais elle contient l’essentiel : l’incertitude et les conséquences
négatives ou limitatives possibles. Dans le domaine de la gestion de risque, les spécialistes
définissent le risque comme la combinaison d’un impact et de la probabilité d’une menace.
La menace est en l’occurrence un événement qui peut empêcher l’entreprise ou
l’organisation d’atteindre ses objectifs.
Un exemple : un incendie dans le hall de production constitue une menace. L’impact est
défini en examinant les conséquences financières et opérationnelles de cet incendie.
14
1.2. CATÉGORIES DE RISQUES
Une approche mathématique des risques permet de les pondérer et de les comparer. Le
principal avantage est qu’il est alors possible de les classer par ordre de priorité, sachant
que l’entreprise a intérêt à se concentrer sur les plus grands risques.
Les risques auxquels une organisation est confrontée peuvent être la conséquence de
facteurs externes et internes. Cette distinction est extrêmement importante pour la
manière de concevoir les plans et actions prévus pour couvrir les risques. En effet, les
menaces venant de l’extérieur sont plus difficiles à limiter ou à maîtriser que celles dont la
cause se trouve à l’intérieur de l’organisation. À côté de cette première répartition (interne
versus externe), les risques peuvent également être groupés par domaine. Les catégories
souvent utilisées sont les suivantes :
risques stratégiques – Ils sont liés aux choix stratégiques ou à l’absence de stratégie
claire ;
risques financiers – Ce sont tous les risques liés aux aspects financiers de l’organisation, y
compris les risques de fraude ;
15
1.3. QU’EST-CE QUE LA GESTION DES RISQUES ?
Autant il existe de définitions du risque, autant il en existe de la gestion du risque et de
tout ce qui y est lié. Des instances comme l’International Organization for Standardization
(ISO), le Committee of Sponsoring Organizations of the Treadway Commission (COSO) et
l’Institute of Risk Management (IRM) ont élaboré un certain nombre de normes
internationales.
Celles-ci sont une aide précieuse parce qu’elles tracent un cadre général et font une
distinction claire entre le processus de gestion de risque et son intégration dans
16
l’organisation. Le graphique suivant illustre le processus de gestion de risque selon la
norme ISO.
Comme nous l’avons déjà indiqué, la gestion de risque doit faire partie intégrante de la
culture de l’organisation et être portée et soutenue par la direction générale (‘tone at the
top’). Une gestion de risque efficace traduit la stratégie en objectifs tactiques et
opérationnels qui attribuent des responsabilités transversales dans l’organisation et qui
intègrent la gestion de risques dans la description de fonction de chaque collaborateur.
Bref, la gestion de risque est la tâche et la responsabilité de chacun dans l’organisation.
Enfin, une bonne gestion de risque se concentre sur l’identification et le traitement des
risques. Elle identifie les aspects positifs et négatifs de tous les facteurs qui peuvent
influencer l’organisation. Elle augmente la chance de réussite et réduit le risque d’échec et
l’incertitude concernant la réalisation des objectifs généraux de l’organisation.
17
1.4. COMMENT CONCEVOIR LA GESTION DE RISQUE ?
Comme le montre le graphique ci-dessous, la première étape de l’élaboration d’une
gestion de risque est la réalisation d’une ‘estimation des risques’. Selon l’ISO/IEC Guide 73,
ce processus regroupe l’identification, l’analyse et l’évaluation des risques. Nous détaillons
ici ces trois étapes.
Pour tracer les contours de cet univers de risques, vous pouvez partir d’une liste de
catégories de risques comme mentionné plus haut. Vous pouvez regrouper ces catégories
pour étayer la discussion sur la gestion de risque et l’identification des risques en
particulier. C’est ce que fait le tableau suivant, qui donne un exemple de ce que pourrait
être l’univers de risque d’une entreprise de production moyenne.
18
Étape 2 : analyse des risques
Si l’on veut piloter quelque chose, il faut pouvoir le mesurer. C’est pour cette raison qu’il
est important d’attribuer une valeur ou un score aux risques. Comme indiqué plus haut, on
peut pondérer un risque en fonction de l’impact d’un événement déterminé et de la
probabilité qu’il survienne. L’analyse de risque consiste donc à concrétiser cet impact et
cette probabilité. Certains éléments seront connus, d’autres devront être estimés le plus
correctement possible. Sur la base de toutes les informations disponibles, un score aussi
fidèle que possible est attribué à chaque risque.
En cas d’incertitudes, il est impossible de procéder à une estimation exacte. C’est pourquoi
on utilise souvent des classes pour estimer l’impact et la probabilité, par exemple de la
classe 1 (très faible) à la classe 5 (très important). Pour objectiver au maximum
l’estimation, nous décomposons l’impact en plusieurs dimensions, comme la dimension
financière. Compte tenu de la situation spécifique de l’entreprise, on détermine de cette
manière à partir de quel montant une perte éventuelle (impact) reçoit un score de 1 à 5
(voir tableau ci-contre).
Outre la dimension financière, on peut utiliser des dimensions comme le ‘préjudice causé à
l’image’, la ‘perte de qualité’ ou le ‘retard opérationnel’. Il importe de ne pas retenir plus
de trois ou quatre dimensions. Car si la liste est trop longue, chaque risque sera important
du point de vue de l’une des dimensions et cela n’aidera évidemment pas à fixer des
priorités. Sélectionnez donc en conscience les principaux risques que vous voulez éviter et
estimez leur impact et leur probabilité le plus correctement possible.
19
Étape 3 : évaluation des risques
Puisqu’il n’est ni possible ni souhaitable de maîtriser tous les risques, il est important de
fixer des priorités. C’est en effet sur la base de l’analyse des risques que l’on décide des
actions futures. Cette décision peut être d’effectuer des analyses complémentaires,
d’entreprendre des actions pour réduire le risque ou de ne rien faire (par exemple parce
qu’il est très peu probable que le risque se produise), pour autant que l’on procède
toujours en connaissance de cause. Le résultat de l’analyse de risques peut être utilisé
pour établir un profil de risque dans lequel chaque risque reçoit une pondération et est
classé selon ce score. On peut ainsi classer chaque risque identifié et se faire une idée de
son importance relative. Grâce à ce processus, on peut désigner les domaines de
l’organisation pour lesquels le niveau de gestion des risques peut être augmenté, réduit ou
redistribué.
Graphiquement, les risques s’inscrivent dans une matrice ou ‘heatmap’, où leur impact et
leur probabilité apparaissent sur l’axe des X et l’axe des Y.
20
Figure 4: exemple 'HEAT MAP' production
Une autre manière de représenter le résultat de l’analyse de risques est l’univers de risque
dont nous avons parlé précédemment. On y utilise un code de couleur pour indiquer
l’importance du risque (par exemple risque relativement limité ou risque majoré) dans
différents domaines. Cette présentation graphique est souvent utilisée pour préparer les
discussions sur la gestion de risque, au sein du comité d’audit par exemple. Les étapes
décrites ci-dessus aboutissent à une liste de risques prioritaires. Sur la base de celle-ci,
l’entreprise ou l’organisation peut ensuite élaborer un plan d’action concret. Celui-ci a
pour objectif de prendre des mesures pour les risques prioritaires afin qu’ils restent dans
les limites acceptables pour l’entreprise (‘risk appetite’).
21
2. LA GESTION DES RISQUES
Une analyse des risques a été effectuée dans le chapitre précédent, donnant lieu à une liste
des risques à prendre en compte en priorité. La manière de procéder est définie dans un
plan d’action concret. Celui-ci contient des mesures qui garantissent que les risques ne
dépassent pas les limites acceptables pour l’entreprise.
Les actions que vous pouvez entreprendre pour maîtriser les risques sont très diverses.
Pour l’essentiel, elles peuvent être ramenées à une des solutions suivantes :
Les accepter
Habituellement, les petits risques sont acceptés comme ‘cost of doing business’ (ils font
partie des affaires) et on n’investit ni temps ni moyens pour les éviter pro-activement. Si
un petit risque survient néanmoins, on le résout en temps réel ;
Les éviter
L’entreprise ou l’organisation décide alors de ne pas réaliser une activité donnée afin
d’éviter les risques qui y sont liés. Elle peut ainsi décider de ne pas procéder à un rachat
étranger en raison de l’instabilité économique ou politique, de la fraude, de la corruption,
etc. dans ce pays ;
Les transférer
22
Les mitiger
Dans ce cas, l’entreprise tente activement d’endiguer (ou d’atténuer) le risque via des
contrôles internes. C’est cette solution qui requiert la plus grande adaptation de
l’entreprise. Par ailleurs, l’organisation des contrôles internes doit être bien réfléchie de
manière à couvrir un maximum de risques avec un minimum de contrôles (il faut limiter
les coûts !).
Ce qui importe, c’est que les décisions soient prises en connaissance de cause, sur la base
d’une analyse des risques et de tous les aspects pertinents : l’importance du risque, son
impact potentiel et les coûts des mesures de prévention. Dans certains cas, l’entreprise fait
même un business case pour les investissements requis.
Certains risques sont acceptables, notamment lorsqu’ils sont petits (et peu probables) ou
lorsque les coûts de prévention sont trop élevés. En général, la direction prépare les
décisions relatives à la prévention des risques et les fait valider par le conseil
d’administration.
En effet, c’est ce dernier qui a la responsabilité finale et qui décide quels sont les risques
acceptables et ceux qui ne le sont pas.
Il est important que les décisions soient bien documentées, afin que les acteurs puissent
s’y référer lorsqu’un incident survient effectivement. À ce moment, on peut prouver, grâce
à la documentation, que toutes les décisions ont été bien pensées, en tenant compte de
tous les éléments pertinents disponibles.
23
2.2. CONTRÔLE INTERNE ET GESTION DES RISQUES
Les risques peuvent être limités au moyen de mesures de contrôle interne, également
appelées mesures de gestion.
Le contrôle interne est défini comme ‘un système développé par l’organe de gestion et mis
en œuvre sous sa responsabilité par le management exécutif. Il contribue à la maîtrise des
risques et des activités de la société, à l’efficacité de ses opérations, à l’utilisation efficiente
de ses ressources, à la protection de ses actifs et à la prévention de la fraude. Cela en
fonction des objectifs, de la taille et de la complexité des activités de la société’. Au sens
plus strict, des mesures de gestion sont développées et mises en œuvre pour réduire les
risques. Voici quelques exemples de mesures de contrôle interne et des risques y
afférents:
la limite de crédit pour réduire le risque de crédit des clients (risque financier)
un Business Continuity Plan (BCP) pour garantir la continuité des activités en cas
d’incidents majeurs (risque de continuité) ;
un firewall en guise de protection contre les attaques des systèmes IT par des
hackers (risque informatique) ;…
24
Nous établissons en outre une distinction entre les mesures préventives et les mesures
correctives :
les mesures correctives limitent quant à elles l’impact d’un risque lorsqu’il
survient. Les rapports des contrôles sont un exemple typique de mesure corrective
pour détecter des anomalies. Un BCP en est un autre. Les assurances sont
également considérées comme des mesures correctives.
Dès que ces mesures de gestion sont correctement implémentées, elles sont mises en
œuvre de manière cohérente par le système ERP. Les modifications éventuelles sont
gérées de manière contrôlée, de sorte que les contrôles restent pertinents et appliqués. En
cas de fraude, les logs du système ERP peuvent être consultés en vue de tracer les actions
et leurs exécutants.
25
En revanche, la dépendance accrue des TI introduit également de nouveaux risques.
Ainsi, l’indisponibilité des systèmes (en cas de panne de courant par exemple) peut avoir
un impact considérable sur la continuité des processus critiques de l’entreprise
(l’expédition de marchandises par exemple).
Par ailleurs, les systèmes doivent bien sécuriser les informations confidentielles. Les listes
de clients et de prix surtout sont des informations fortement prisées par la concurrence.
Et, dans le cadre de la loi sur la vie privée, il faut également sécuriser les données
personnelles des collaborateurs et des clients.
26
2.4. NORMES ET STANDARDS - COSO ERM
En 2004, le Committee of Sponsoring Organizations of the Treadway Commission (COSO)
a lancé un guide pour la gestion des risques, utilisé dans le monde entier par de
nombreuses organisations mettant en place une gestion des risques. Sous forme de cube
(graphique 1), le modèle COSO présente la relation entre :
L’idée sous-jacente du modèle COSO ERM (Enterprise Risk Management) est que chaque
entreprise doit pouvoir trouver son ‘sweet spot’ (voir Figure 6). Cela implique, d’une part,
de prendre suffisamment de risques pour pouvoir exploiter des opportunités et, d’autre
part, d’introduire des contrôles suffisants pour ne pas déraper complètement. Selon le
COSO, l’objectif ultime de toute entreprise doit être d’atteindre ce niveau de risque
optimal. Le modèle COSO ERM peut aider à y parvenir.
27
Insufiscient Optimal Excessive
Risktaking Risktaking Risktaking
Expected
Entreprise Sweet Spot
Value
Risk Level
L’environnement interne :
Il englobe la nature d’une organisation et la façon dont les risques sont appréhendés et
pris en compte par l’ensemble des collaborateurs, à l’inclusion de la gestion des risques et
du taux d’acceptation des risques, de l’intégrité, des normes et valeurs éthiques et de
l’environnement dans lequel les collaborateurs opèrent ;
Sans objectifs, la direction ne peut identifier les événements potentiels susceptibles d’en
affecter la réalisation. La direction met en place un processus de fixation des objectifs qui
veille à ce que ceux-ci soient en ligne avec la mission et avec le taux d’acceptation des
risques ;
Les événements internes et externes qui affectent la réalisation des objectifs d’une
entreprise doivent être identifiés. On établit pour cela une distinction entre risques et
opportunités. Les opportunités sont prises en compte lors de l’élaboration de la stratégie
ou au cours du processus de fixation des objectifs ;
28
l’évaluation des risques :
Les risques sont analysés, tant en fonction de leur probabilité que de leur impact. Cette
analyse sert de base pour déterminer la façon dont ils doivent être gérés ;
l’information et la communication :
L’entreprise identifie, collecte et communique les informations sous un format et dans des
délais permettant aux collaborateurs d’assumer leurs responsabilités. Plus globalement,
une communication efficace doit être horizontale, verticale et bilatérale au sein de
l’entreprise ;
le pilotage :
Le processus de gestion des risques est piloté dans sa globalité et modifié en fonction des
besoins. Le pilotage s’effectue au travers des activités permanentes de management ou par
le biais d’évaluations indépendantes ou encore par une combinaison de ces deux
modalités.
29
2.5. RÔLES ET RESPONSABILITÉS
C’est le conseil d’administration qui est, in fine, responsable de la mise en place de
systèmes efficaces de gestion des risques et de contrôle interne.
Celle-ci doit veiller à ce que les risques soient gérés de manière adéquate dans le cadre de
ses responsabilités. Et aussi à la mise en œuvre de mesures de contrôle interne lorsque
cela s’avère nécessaire pour maîtriser les risques.
La direction est souvent considérée comme la première ligne de défense contre les
risques.
30
Il arrive de plus en plus fréquemment que l’équipe de direction compte également un
gestionnaire des risques. Il ou elle dresse l’inventaire des risques de l’organisation, veille à
bien définir les responsabilités en termes de gestion des risques et surveille la mise en
œuvre d’une stratégie efficace de gestion des risques. Dans bon nombre d’entreprises ou
d’organisations, le gestionnaire des risques tient un registre des risques et tous les
incidents doivent lui être rapportés. Le gestionnaire des risques est souvent considéré
comme la deuxième ligne de défense contre les risques.
31
3. TYPOLOGIE DES RISQUES
Il existe différentes manières de cataloguer les risques. On peut les classer sur la base de
leur origine et de leurs conséquences sur le fonctionnement de l’organisation, de
l’entreprise ou même d’un système ou processus déterminé. On peut aussi les classer
selon la probabilité que survienne une anomalie ou un incident. Il n’existe toutefois pas de
panacée pour répartir les risques. Chaque entreprise doit déterminer elle-même comment
elle veut le faire, pourquoi et à quel niveau ou pour quel aspect de sa gestion.
Dans ce chapitre, nous classons les risques en six grands domaines, en tenant compte des
types de risque les plus courants :
RISQUES FINANCIERS
Financement à long terme et opérationnel, fluctuations des devises et des intérêts, gestion
des débiteurs…
RISQUES DE COMPLIANCE
RISQUES JURIDIQUES
RISQUES OPÉRATIONNELS
RISQUES IT
32
Nous ne parlons pas dans ce cours, Sinon indirectement, des risques en matière de
sécurité, de santé, de bien-être et d’environnement. Quelques exemples concrets : la
sécurité au travail (prévention et protection contre les accidents du travail, incendie,
explosion…), la protection de la santé du travailleur, la charge psychosociale causée par le
travail (stress, harcèlement, satisfaction professionnelle…), l’ergonomie (adaptation des
équipements de travail et du poste de travail aux possibilités du travailleur), l’hygiène du
travail (aération, éclairage, température, substances nocives…), l’embellissement des lieux
de travail(sanitaires, réfectoire…), etc. Ces risques ne sont pas abordés dans cette
brochure parce qu’ils relèvent du domaine spécifique du Comité de prévention et de
protection au travail ou du coordinateur environnemental.
Selon certains auteurs, il existe deux sortes de risques externes qui se distinguent en
fonction du rythme auquel ils se produisent. Le ‘Big Bang’ est un problème aigu et grave.
On parle aussi de ‘cygnes noirs’ ou d’événements imprévisibles auxquels personne ne
s’attendait, que presque personne n’a vus arriver, mais qui ont des conséquences énormes.
On citera comme exemples un crash boursier ou la catastrophe nucléaire de Fukushima,
33
qui a remis en question la politique nucléaire partout dans le monde. Mais le
comportement ad hoc des parties prenantes, des politiques ou des concurrents peut aussi
donner lieu à un incident grave.
Le deuxième groupe de risques externes est celui des ‘Slow Risks’ : ces risques sont la
conséquence de situations ou de phénomènes qui traînent depuis des années à l’intérieur
ou à l’extérieur de l’entreprise. Ils constituent une menace larvée.
Avant, le management considérait les risques externes comme des ‘cas de force majeure’,
contre lesquels ils ne pouvaient rien entreprendre. Actuellement, cette attitude est
inacceptable. Malgré le fait que les risques externes sont souvent imprévisibles ou
échappent aux radars, une entreprise ou une organisation peut toujours mieux s’armer
pour faire face à leur éventualité. En effet, gérer les risques externes exige une réflexion
‘en scénario’ qui dépassera la gestion de risque classique.
34
3.2.1.Financement Stratégique
Qu’il s’agisse du financement de leurs investissements à long terme ou de leurs contrats
commerciaux à long terme, il est important que les entreprises connaissent les risques
auxquels elles s’exposent et s’assurent de manière adéquate.
3.2.2.Financement Opérationnel
La vente de biens comporte certains risques. Les risques inhérents aux contrats de vente
peuvent toutefois être ramenés à un niveau acceptable moyennant un financement et une
assurance adéquats, et ce même au niveau international. La solution retenue par votre
entreprise pour chaque risque dépend de nombreux facteurs.
Nous pouvons citer ici quelques risques liés au financement opérationnel tel que :
Celui qui souhaite rester au courant de toute la réglementation doit faire preuve de
sensées priorités et d’organisation. Car sans connaissances approfondies, il est impossible
de respecter correctement toutes les règles et lois, d’être ‘en conformité’ autrement dit. Or,
celui qui ne le fait pas s’expose à d’importants risques.
35
Pertes financières
la politique de conformité,
36
3.4. RISQUE JURIDIQUE
Les entreprises doivent tenir compte à la fois du droit national, européen et international.
Ces sanctions, qui sont la conséquence d’une infraction aux obligations et normes
juridiques, peuvent avoir un impact important sur l’activité et menacer directement ou
indirectement la survie de l’entreprise. Les sanctions affectent parfois même la vie privée
des dirigeants, particulièrement en cas de responsabilité des administrateurs.
Bref, une entreprise qui veut identifier ses risques juridiques ne peut le faire sans une
connaissance approfondie des processus concrets.
subit un préjudice du fait d’une inexécution contractuelle, est victime d’un délit civil ou
d’une infraction pénale ;
subit un préjudice du fait du changement de la norme juridique qui lui est applicable.
37
Toutes ces situations ont en commun la conjonction d’une norme juridique et d’un
événement qui va susciter le risque juridique. Deux notions constitutives du risque
juridique qu’il convient de préciser.
le risque pénal ;
le risque financier ;
le risque d’image.
Le risque pénal
Le risque pénal est supporté tant par l’organisation en qualité de personne morale que par
les dirigeants ou leurs délégataires en qualité de personne physique. Il résulte de la
commission d’une infraction pénale (crime, délit et contravention), soit d’un
comportement transgressif, intentionnel ou non, qui engage la responsabilité de la
personne morale ou de son dirigeant.
Le risque financier
Le risque financier est constitué par les dommages et intérêts que l’organisation devra
payer à la victime d’un comportement transgressif ou d’un dommage dont elle serait
responsable. Sauf dans le cas où les dommages et intérêts sont contractualisés (clause
pénale), le risque financier qui résulte du risque juridique est difficilement évaluable dans
son montant car celui-ci est fixé par un juge, parfois sur la base de rapports d’expertise.
Le risque d’image
38
Les conséquences, en termes d’image, peuvent être infiniment plus lourdes à gérer que la
sanction elle-même.
Si les risques juridiques dépendent du respect des obligations légales (non contractuelles),
votre entreprise peut éviter ces risques, en théorie du moins, en respectant simplement
les règles. Le vrai défi est toutefois d’être effectivement informé de toutes les règles qui
s’appliquent à l’entreprise.
3.4.5.Expertise Juridique
En cas de décisions ou d’investissements ayant une influence significative sur l’entreprise,
le coût d’une expertise juridique interne ou externe contrebalance l’impact financier du
risque.
Si les risques sont liés au respect des obligations contractuelles de l’entreprise, celle-ci
peut les maîtriser grâce à une gestion correcte des contrats.
Les contrats au contour mal définis et les accords imprécis sont le terreau de la méfiance
et des dommages financiers. La première manière de les éviter est de ne pas entamer les
discussions contractuelles avant une évaluation pertinente des risques juridiques pour
votre entreprise.
39
3.5. RISQUE DE REPUTATION
Le risque de réputation est une expression qui désigne le risque financier qu'encourent
des entreprises, à propos de leur image de marque qui pourrait être ternie par des
scandales. Ceux-ci sont notamment liés à leurs pratiques sociales et environnementales.
Mais les premiers facteurs de risques sont majoritairement liés à l’éthique et à l’intégrité
de l’entreprise. Ensuite viennent les risques liés à la sécurité, puis ceux concernant les
produits et services de l’entreprise.
40
Les attentes des parties prenantes
Parties prenantes
Fondant la réputation de
(stakeholders)
l’entreprise
Confiance/respect/admiration
Clients Service /traitement équitable
Qualité du produit
Culture d’entreprise
Environnement de travail, sain et pur
Employés
Traitement juste et équitable
Opportunités de carrière
Volume d’affaires satisfaisant
Stabilité financière
Fournisseurs et
réactivité et souplesse des
partenaires
opérations
solidarité du management
Rentabilité des investissements
Investisseurs Gouvernance d’entreprise
Respect des normes légales
Implication dans la societé civile
Contribution fiscale
société Respect de l’environnement
Traitement juste et equitable des
populations
41
4. INTRODUCTION A L’ANALYSE DES MODES DE
DEFAILLANCE, DE LEURS EFFETS ET LEURS
CRITICITES.
4.1. DÉFINITIONS
AMDEC est l’acronyme de «Analyse des modes de défaillances, de leurs effets et leur
criticité» (Failure Mode and EffectAnalysis, FMEA). Cette technique a pour but
d’étudier, d’identifier, de prévenir ou au moins de réduire les risques de
défaillances d’un système, d’un processus, d’un produit.
L’Association française de normalisation (Afnor) définit l’AMDEC comme étant "une
méthode inductive qui permet de réaliser une analyse qualitative et quantitative de
la fiabilité ou de la sécurité d’un système. La méthode consiste à examiner
méthodiquement les défaillances potentielles des systèmes (analyse des modes de
défaillance), leurs causes et leurs conséquences sur le fonctionnement de
l’ensemble (les effets). Après une hiérarchisation des défaillances potentielles,
basée sur l’estimation du niveau de risque de défaillance, soit la criticité, des
actions prioritaires sont déclenchées et suivies.
L’AMDEC a été créée aux États-Unis par la société Mc Donnell Douglas en 1962. Elle
consistait à dresser la liste des composants d’un produit et à cumuler des
informations sur les modes de défaillance, leur fréquence et leurs conséquences. La
méthode a été mise au point par la NASA et le secteur de l’armement sous le nom
de FMEA pour évaluer l’efficacité d’un système. Dans un contexte spécifique,
cette méthode est un outil de fiabilité. Elle est utilisée pour les systèmes où l’on
doit respecter des objectifs de fiabilité et de sécurité. À la fin des années soixante-
dix, la méthode fut largement adoptée par Toyota, Nissan, Ford, BMW, Peugeot,
Volvo, Chrysler et d’autres grands constructeurs d’automobiles.
La méthode a fait ses preuves dans les industries suivantes : spatiale, armement,
mécanique, électronique, électrotechnique, automobile, nucléaire, aéronautique,
chimie, informatique et plus récemment, on commence à s’y intéresser dans les
services.
Aujourd’hui, dans un contexte plus large comme celui de la qualité totale, la prévention
n’est pas limitée à la fabrication. Il est maintenant possible d’anticiper les
problèmes dans tous les systèmes du processus d’affaires et de rechercher à priori
des solutions préventives. C’est pourquoi l’application de l’AMDEC dans les
différents systèmes du processus d’affaires est très utile, souvent même
42
indispensable. Cette méthode est donc considérée comme un outil de la qualité
totale.
43
déformation;
vibration;
coincement;
desserrage;
corrosion;
fuite;
perte de performance;
court-circuit;
flambage;
ne s’arrête pas;
ne démarre pas;
dépasse la limite supérieure tolérée, etc.
Une cause de défaillance est évidemment ce qui conduit à une défaillance. On définit et on
décrit les causes de chaque mode de défaillance considérée comme possible pour
pouvoir en estimer la probabilité, en déceler les effets secondaires et prévoir des
actions correctives pour la corriger.
Les effets d’une défaillance sont les effets locaux sur l’élément étudié du système + les
effets de la défaillance sur l’utilisateur final du produit ou du service.
44
4.4. LES ÉTAPES DE LA MÉTHODE
La méthode s’inscrit dans une démarche en huit étapes (figure 1). Comme dans plusieurs
démarches, il y a une phase préparatoire qui consiste en une collecte de données
pour réaliser l’étude, la mise sur pied d’un groupe de travail et la préparation des
dossiers, tableaux, logiciels.
Il s’agit de constituer l’équipe multidisciplinaire qui aura à réaliser l’étude. Les personnes
impliquées dans une étude AMDEC-processus, par exemple, représentent les
services de recherche et développement, des achats, du marketing, de la
maintenance, de la qualité, des méthodes et de la fabrication. La présence d’un
animateur bien formé à des techniques spécifiques de la démarche et du travail en
équipe est une condition de succès de l’application de la méthode.
La préparation de l’AMDEC-produit est sous la responsabilité de l’ingénieur de produit.
Avant la réunion de l’équipe, il prépare les six premières colonnes du tableau
AMDEC (voir le tableau 1) : le numéro de chaque pièce, sa fonction, les modes de
défaillance potentielle, les causes possibles, les effets potentiels, les vérifications
courantes de conception. Au début de la réunion, l’équipe analyse chacun des
éléments du document pour s’assurer que rien ne manque. Les autres membres
d’équipe sont :
Le représentant des ventes qui est l’interface entre l’entreprise et le client. Il fournit à
l’équipe les informations nécessaires sur les besoins et attentes du client.
Le représentant du service qualité qui joue le rôle de facilitateur ou de coordonnateur et
qui fait le lien entre toutes les étapes de la méthode. Il participe à la détermination
des défaillances potentielles de conception durant le processus de production.
L’ingénieur de fabrication est très influent au sein de l’équipe, particulièrement en ce qui
concerne le développement de la conception et des procédés de fabrication.
45
Figure 9: Les Etapes de l'MADEC
Il est toutefois important de préciser que les grandes équipes (dont le nombre des
participants est supérieur à sept) sont moins efficaces que les petites (entre quatre
46
et six participants). La clé du succès de l’équipe AMDEC réside dans
l’engagement total de ses membres et l’interaction entre ceux-ci.
Actions
Mode d'une défaillance
Causes possibles de la
Fonction du produit
Effet de la défaillance
Evaluation Résultats
préventives
Recommandées
Occurrence
Occurrence
défaillance
Détection
Détection
potentielle
Criticité
Criticité
Gravité
Gravité
Prises
Tableau 1
4.4.2.L’analyse fonctionnelle
Une défaillance est la disparition ou la dégradation d’une fonction. Donc pour trouver les
défaillances potentielles il faut connaître les fonctions.
Le but de l’analyse fonctionnelle est de déterminer d’une manière assez complète les
fonctions principales d’un produit, les fonctions contraintes et les fonctions
élémentaires.
Les fonctions principales sont les fonctions pour lesquelles le système a été conçu,
donc pour satisfaire les besoins de l’utilisateur.
Les fonctions contraintes répondent aux interrelations avec le milieu extérieur.
Les fonctions élémentaires assurent les fonctions principales, ce sont les fonctions
des différents composants élémentaires du système.
Selon l’AMDEC, un système (produit complexe) peut être décomposé en trois niveaux :
système, sous-systèmes, composant. Ces appellations s’appliquent à la fois, à une
décomposition matérielle et fonctionnelle. En résumé, on décompose le système en
plusieurs niveaux d’arborescence. Le niveau au sommet est le système, le niveau
de base est le composant. C’est grâce à l’analyse fonctionnelle que l’on pourra
établir la meilleure arborescence possible pour un système. L’AMDEC sera alors
conduite à partir du niveau composant puis remontera aux divers étages de
l’arborescence (approche bottom-up).
Pour un processus, la décomposition fonctionnelle se fait en procédés. Pour un procédé, la
décomposition se fait en opérations ou activités et pour les opérations la
décomposition se fait en tâches. Un excellent moyen pour réaliser la
47
décomposition fonctionnelle est l’ordinogramme du processus. La figure 2 illustre
une ordinogramme (flow chart) du processus d’une distributrice de café. Ce
processus est un ensemble d’opérations élémentaires qui se déroulent à partir du
besoin à satisfaire jusqu’à la consommation du café. Une fois les fonctions
identifiées, on passe à l’étape de l’analyse ou l’étude qualitative.
48
4.4.3.L’étude qualitative des défaillances
Celle-ci consiste à identifier toutes les défaillances possibles, à déterminer les modes de
défaillance, à identifier les effets relatifs à chaque mode de défaillance, à analyser
et à trouver les causes possibles et les causes les plus probables des défaillances
potentielles. Pour réaliser cet objectif, on s’appuie sur l’analyse fonctionnelle. À
partir des fonctions définies on cherche directement les défaillances potentielles
(voir le tableau 2.1). Ainsi l’analyse fonctionnelle aide à trouver en amont les
causes et en aval les effets de chaque mode de défaillance.
Prenons dans le processus de la distributrice de café l’opération "la distributrice remplit le
verre". L’opération est effectuée correctement si le verre est rempli d’un café qui
correspond à une qualité et à un volume désirés. Un mode de défaillance est que la
distributrice ne remplit pas le verre. Un deuxième mode de défaillance est que la
distributrice remplit le verre avec de l’eau seulement. Un troisième mode de
défaillance est que la concentration de café est très faible dans le verre. À partir de
ces trois modes de défaillance on analyse quel est l’effet potentiel (sans doute
négatif) pour le client. L’étude est complète si on identifie quelles sont les causes
possibles.
Pour chaque mode on peut avoir une ou plusieurs causes. Pour le deuxième mode de
défaillance une cause possible est que la machine manque de café. Une deuxième
cause possible est qu’il y a un blocage dans le circuit interne de la machine qui
empêche la fusion entre l’eau chaude et le café.
Le but de l’AMDEC est de faire ressortir les points critiques afin de les éliminer, de
prévoir un mode de prévention. La mise en évidence de ces points se fait selon
certains critères dans une analyse quantitative.
4.4.4.L’étude quantitative
49
La note O - la probabilité d’occurrence - la fréquence d’apparition
La note D - la probabilité de non-détection - le risque de non-détection
L’indice de criticité (C) s’obtient en multipliant ces trois notes précédentes soit celle de la
gravité, de la probabilité d’occurrence et de la probabilité de non-détection :
C=GxOxD
50
Évaluation Actions préventives Résultats
Opération Mode de Effet de Cause
du possible de Recommandées prises
défaillance défaillance
processus potentielle défaillance
2 5 6 60
La La distributrice
La distributrice de café
distributrice est en panne
ne remplit pas le verre Client
de café
et ne prend pas la insatisfait
remplit le
monnaie Manque d'eau 7 0 6 0
verre
Manque de café
La distributrice remplit dans la 5 5 10 250
le verre avec de l’eau et Client très distributrice
ne rend pas la monnaie insatisfait
Blocage dans la
10 1 10 100
distributrice
7 1 8 56
La concentration du Manque de café
café est faible Client
insatisfait • Qualité du café 1 10 8 80
Tableau 2
4.4.5.La hiérarchisation
La difficulté essentielle d’une étude qui veut anticiper les problèmes et rechercher les
solutions préventives provient de la très grande variété des problèmes potentiels à
envisager. D’où le besoin d’une hiérarchisation, qui permet de classer les modes de
défaillances et d’organiser leur traitement par ordre d’importance.
La hiérarchisation suivant l’échelle de criticité permet de décider des actions prioritaires.
En effet, c’est une liste d’articles ou de processus critiques. Le classement est fait
par ordre décroissant généralement en quatre catégories (C>100 ; 100>C>50 ;
50>C>20 ; 20>C). Ce classement permet de moduler les actions préventives, leur
priorité variant en fonction de la catégorie. Très souvent les entreprises utilisent
pour l’AMDEC-produit/processus un seuil de criticité de 100 et pour l’AMDEC-
moyen un seuil de 16.
Après le classement des différents modes de défaillances potentielles d’après les indices
de criticité, le groupe désigne les responsables de la recherche des actions
préventives ou correctives. Les outils tels que le diagramme causes-effet, l’analyse
de Pareto, le brainstorming, le travail en équipe, doivent être appliqués pour une
recherche efficace. En pratique, le groupe de travail s’attache à réduire l’indice de
criticité par des actions qui visent :
la réduction de la probabilité d’occurrence (exemple : par la modification de la
conception du produit ou du processus)
la réduction de la probabilité de non-détection (exemple : par la modification de la
conception du processus ou par la modification du système de contrôle)
la réduction de la gravité de l’effet de défaillance (exemple : par la modification de
la conception)
C’est le moment de vérité pour la méthode. Un nouvel indice de criticité est calculé de la
même façon que lors de la première évaluation, en prenant en compte les actions
prises. Cette valeur du nouvel indice de criticité est parfois appelée risque résiduel
et peut être illustrée sous forme du diagramme Pareto.
L’objectif de cette réévaluation est de déterminer l’impact et l’efficacité des actions prises.
Le nouvel indice de criticité doit donc être inférieur au seuil de criticité. Le tableau
52
3 illustre une telle réévaluation qui nous montre que grâce aux actions prises, les
nouveaux indices de criticité sont inférieurs à un seuil de criticité égal à 50.
Pour pouvoir effectuer et appliquer l’AMDEC, les entreprises utilisent des tableaux
conçus spécialement pour le système étudié et préparés en fonction des objectifs
recherchés. Ces tableaux sont habituellement disposés en forme de colonnes et
contiennent, en général, les informations nécessaires pour réaliser l’étude. Les
tableaux 1 à 4 illustrent la réalisation d’un AMDEC-processus.
53
Évaluation Actions préventives Résultats
Opération Mode de Effet de Cause
du possible de Recommandées prises
défaillance défaillance
processus potentielle défaillance
Remplir l’appareil
Manque de café chaque
chaque matin
remplir la
La distributrice remplit dans la 5 5 10 250 matin avec du café 2 2 10 40
distributrice de
le verre avec de l’eau et Client très distributrice café
ne rend pas la monnaie insatisfait
Entretien préventif
Blocage dans la un entretien 2 1 10 20
10 1 10 100 préventif
distributrice
mensuel
Régulier
Tableau 3
5. BIBLIOGRAPHIE
55