Gestion des risques dans une entreprise

Une entreprise est une organisation ou une unité institutionnelle, mue par un

projet décliné en stratégie, en politiques et en plans d'action, dont le but est de produire
et de fournir des biens ou des services à destination d'un ensemble de clients ou usagers,
tout en réalisant un benefice.

Chaque entreprise accueille les risques qui caractérisé sa activité.

Les risques d’entreprise sont tous les évènements pouvant survenir et qui sont de
nature à réduire sa rentabilité, voire à remettre en question son existence. Il peut s’agir
de menaces qui se réalisent, d’erreurs de gestion ou de prévisions ou encore de la
survenance d’aléas défavorables 

Veille, identification des risques par l'audit, analyse par la recherche des facteurs
de risques et des vulnérabilités, maîtrise des risques par les mesures de prévention et de
protection : c'est la démarche classique de gestion des risques.

Classification des risques:

Typologie selon l’origine des risques:

 Risque spéculatif (normal) pris par le décideur à l’occasion d’un acte de gestion
dans le but d’obtenir un gain, tout en sachant que dans certains cas (informations
incomplètes ou biaisées, excès de confiance en soi, etc.)
 Risque pur, ou statique, ou accidentel, ou encore aléatoire, se manifeste
généralement de manière inattendue, soudaine et brutale. Son issue est toujours
un dommage et une perte

L’identification des risques : Etape du risk management

Le processus général de l’analyse de risque (risk assessment) s’inscrit dans une

démarche en quatre temps, cette démarche est la suivante:
 1) Analyse du système - l’analyse fonctionnelle qui vise à identifier les principals
fonctions et finalités du système étudié et leurs interactions. Elle permet d’établir
un état des lieux qui sert ensuite de fondement au reste de l’analyse.
2) Identification des risques - L’entreprise identifiera les risques encourus au niveau
des activités ou des processus et établira une cartographie des risques
3) Modélisation qualitative des risques réalisée à l’aide:
a) L’analyse par arbre de défaillances (Fault Trees), une technique dite
descendante (top-down), qui part d’un phénomène pour en comprendre les
causes
b) L’analyse par arbre d’événements: ils partent de l’événement redouté pour
en déduire les conséquences en fonction des événements ultérieurs qui
peuvent se produire
4) La modélisation quantitative des risques : deux classes d’outils, suivant que l’on
s’intéresse à la statique du système ou à sa dynamique.
 Dans le premier cas, les arbres de défaillance et arbres
d’événements peuvent être quantifiés pour faire apparaître la
probabilité d’occurrence d’un événement redouté et ses
consequences
 Dans le deuxième cas, ca se fera à l’aide des chaînes de
Markov, des réseaux de Petri, et de la simulation de Monte-
Carlo

La gestion du risque est l'avant-dernière phase de traitement du risque. Elle vise

à en réduire les différentes formes ou sources. Dès que l'on a évalué les plus fortes
vulnérabilités, on connaît mieux les causes, les objets de risque, et les conséquences
pour ces vulnérabilités. Il existe diverses stratégies pour traiter les risques, telles que la
prévention, les actions correctives et les palliatifs.

La gestion des risques, ou management du risque, est la discipline qui s'attache

à identifier, évaluer et prioriser les risques relatifs aux activités d'une organisation,
quelles que soient la nature ou l'origine de ces risques, pour les traiter méthodiquement
de manière coordonnée et économique, de manière à réduire et contrôler la probabilité
des événements redoutés, et réduire l'impact éventuel de ces événements.

À ce titre, il s'agit d'une composante de la stratégie d'entreprise qui vise à réduire

la probabilité d'échec ou d'incertitude de tous les facteurs pouvant affecter son projet
d'entreprise. La gestion en continu de la grille de risques d'une entreprise suppose vision
et vigilance du dirigeant et de ses conseils et cadres, pour la réadapter aux réalités du
terrain et des systèmes régulatoires qui s'y appliquent.

Dans les grandes entreprises, on trouve des équipes spécialisées à la tête

desquelles œuvre un gestionnaire du risque. Il a donc vocation à gérer les risques de
l'entreprise qui l'emploie. Les entreprises de taille moyenne sont encore peu
préoccupées de gestion des risques. Selon une étude du cabinet d'audit Mazars, qui a
interrogé environ 200 entreprises affichant des chiffres d'affaires de 100 millions à
quelques milliards d'euros, les risques qui les inquiètent le plus sont ceux qui peuvent
entraîner une sanction du client, suivis des risques techniques ou opérationnels.
Viennent ensuite les risques industriels, juridiques, fiscaux et informatiques.

Le risque est l’association de quatre facteurs : un danger,

une probabilité d'occurrence, sa gravité et de son acceptabilité. Le danger étant un
événement redouté, le « risque » ne se confond donc pas avec le danger, mais résulte de
ce que ce danger a une certaine probabilité de se manifester et entraînerait des
conséquences d'une certaine gravité. La criticité d'un risque résulte de la combinaison
de l'impact et de la probabilité d'un risque.

Le facteur de risque est un élément présent susceptible de causer un risque,

c'est-à-dire la survenance de l'accident.

Les facteurs de risque se qualifient par leur domaine (humain, culturel,

matériel, technique (risque toxique, thermique, d'explosion.., juridique, etc.) ou leur
point d'application (le projet lui-même, et l'organisation au sein de laquelle il va
s'insérer). Ils se quantifient en niveau d'incertitude et/ou de complexité.

Un accident de voiture pourra par exemple se produire pour un conducteur qui a

bu de l'alcool, en présence d'un camion, sur une route dangereuse, alors qu'il pleut
(quatre facteurs de risque), la probabilité et l'impact de l'accident étant d'autant plus
importants que la dose d'alcool absorbée par le conducteur était importante, le camion
puissant et lourd, la route sinueuse et sans visibilité, et la pluie battante (criticités).

Impact et gravité

Un événement n'est perçu comme un risque que dans la mesure où il peut avoir
un impact (en principe négatif) sur l'atteinte d'un objectif que l'on cherche à réaliser, ou
sur une valeur à laquelle on adhère et que l'on veut respecter dans son activité. Ainsi, si
je veux organiser une promenade familiale, une mauvaise météo peut être un « risque »,
soit parce qu'elle m'obligerait à annuler la sortie (objectif abandonné), soit parce qu'elle
transformerait la sortie en mauvaise expérience (valeur de confort compromise) ;
inversement, si la pluie n'est pas jugée inconfortable, elle ne constitue pas un « risque »
à proprement parler, mais une simple éventualité.

Contrairement à la probabilité, l'appréciation d'un tel impact est nécessairement

subjective. Elle dépend de l'entité qui formule cette appréciation, des valeurs qu'elle
respecte et de l'importance qu'elle accorde au projet potentiellement compromis.

Dans l'analyse et la gestion des risques, le « risque » est, par principe, un

événement aux conséquences négatives. C'est par abus de langage que l'on entend
parfois parler d'un « risque de gagner au loto » (la formulation correcte dans ce cas est
que l'on a « une chance de gagner »). Pour parler des événements imprévus aux
conséquences positives, on parlera plutôt d'une « opportunité ». La gestion des
opportunités est tout à fait symétrique de celle des risques sur le plan des méthodes.
Tout ce qui est dit des risques se transpose directement sur les opportunités. Cependant
ces deux aspects se différencient radicalement, la plupart du temps, en termes de plus-
value attendue et de fonctions d'entreprises : en règle générale, une entreprise
responsable doit avant tout gérer ses risques à un niveau le plus souvent assez détaillé;
rares sont les entreprises où les opportunités sont effectivement gérées par le
responsable au même titre que les risques.

Finesses de l'analyse des risques

1. Gestion qualitative des risques

 Bien que les concepts mis en œuvre soient dans tous les cas essentiellement les
mêmes, les buts et méthodes employés vont être très différents suivant que la gestion du
risque s'intéresse à la maîtrise des risques d'un projet, à l'analyse de sécurité d'un
système, à la maîtrise du fonctionnement d'une institution, du contrôle qualité ou du
contrôle interne, à des risques de santé publique, à la couverture de risques de change.

En effet, la conduite d'un projet est par nature pleine d'imprévus, il ne sert donc à
rien de se préoccuper de scénarios très improbables, sachant que les hasards du projet
conduiront de toute manière à en modifier la planification longtemps avant que quoi que
ce soit d'« improbable » n'ait eu le temps de survenir. Pour les mêmes raisons, les
classes de risques et de conséquences peuvent être larges, dans la mesure où
l'information nécessaire est ici surtout qualitative.

2. Gestion quantitative des risques

On peut comprendre qu'une gestion purement qualitative est impossible pour

apprécier l'importance respective d’événements s'étageant sur neuf ordres de grandeur.
Un niveau de sûreté éloignant une catastrophe à un niveau de 10−6 par an ne peut pas
reposer sur des dispositifs simples, mais doit s'appuyer sur des mesures de conception,
et des dispositions de sécurité et de contrôle multiples et indépendants, dont la fiabilité
individuelle soit suffisante pour que la probabilité de leur défaillance simultanée,
laissant la porte ouverte à la catastrophe, soit au niveau attendu. Et l'analyse de risque
associée ne peut plus être qualitative, mais doit être chiffrée en s'appuyant sur des
données d'expérience objectives.

Approches spécifiques de la gestion du risque

1. Gestion des risques d'un projet

Un projet présente la double caractéristique d'avoir une organisation et des objectifs

qui évoluent très fortement dans le temps suivant l'avancement du projet, et d'être le
plus souvent un processus défini pour l'occasion, avec par conséquent une part
importante de risques liée à l'organisation elle-même et au bon déroulement de ses
différentes tâches.
 Par rapport à une gestion des risques « classique », la gestion des risques d'un projet
reflète cette originalité :

 Les niveaux de risque étudiés sont généralement élevés, parce que l'occurrence
d'événements imprévus étant une quasi certitude, la gestion des risques faibles
serait une perte de temps.

 Les événements redoutés sont souvent les mêmes d'un projet à l'autre : mauvaise
expression du besoin, défaillance ou indisponibilité d'une ressource, dérapage
financier et calendaire, spécification non tenue.

 La gestion du risque consistant le plus souvent à modifier la planification du

projet, ou à se préparer à le faire, la gestion des risques d'un projet tend à être une
fonction opérationnelle (contrairement à une gestion des risques classique, plutôt
fonctionnelle et transverse).

 La gestion du risque peut généralement se contenter d'une approche purement

qualitative en ce qui concerne les probabilités d'occurrence, mais demandera
souvent une analyse beaucoup plus poussée en termes d'impacts financiers et
calendaires.

 La gestion du risque est généralement modulaire, chaque sous-traitant étant

responsable de sa partie et de ses marges ; ce qui entraîne des problèmes de
coordinations spécifiques.

2. Gestion de risques sociétaux

Prise au niveau d'une collectivité voire d'une nation, la gestion des risques présentent
deux caractéristiques atypiques :

 L'échelle de temps considérée est typiquement séculaire, au contraire des

entreprises où elle est plus couramment annuelle.

 L'enjeu majeur est la détection très en amont des risques émergents, à partir de
signaux faibles qu'il faut recueillir et traiter.
 De ce fait, les risques traités (santé publique, risque sismique, conflit armé...) sont
généralement très éloignés des préoccupations quotidiennes de la collectivité, qui ne les
perçoit qu'à travers les crises qu'ils peuvent engendrer.

3. Étude de dangers

L'étude de dangers se place dans le cadre réglementaire de la sécurité industrielle. Ce

cas particulier de gestion des risques présente deux particularités :

 L'inventaire des dangers à prendre en considération est le plus souvent imposé par
la réglementation, ce qui supprime en pratique la problématique de perception et
d'explicitation des risques.
 Le périmètre à prendre en compte ne se limite pas à l'entreprise, mais doit
intégrer tout son environnement géographique.