Chapitre2 

: Gestion de risque
1) Définition :
La gestion des risques est le processus qui permet d'identifier et d'évaluer les
risques en vue d'élaborer un plan visant à minimiser et à maîtriser ces risques
et leurs conséquences potentielles pour une entreprise. Les risques
représentent une probabilité de perte ou de dommage. Leurs causes sont
multiples : responsabilité légale, catastrophes naturelles, accidents, erreurs
de gestion ou menaces relatives à la sécurité informatique.

Gestion des risques dans l'entreprise

Les stratégies de gestion des risques sont les tactiques mises en œuvre pour
appréhender ces risques et comprendre leurs conséquences potentielles. Elles doivent
faire partie de votre plan de gestion des risques, qui est un processus documenté
décrivant les méthodes qu'utilise votre entreprise ou votre équipe pour identifier les
risques émergents et y remédier.

Processus de gestion des risques

Aucune entreprise n'est en mesure d'éviter systématiquement tous les risques, et tous
les risques n'auront pas forcément une issue négative. Les entreprises doivent évaluer
le rapport bénéfice/risque d'un événement et définir le niveau de risque acceptable.
Cette évaluation peut ensuite servir à prendre des décisions. 

La gestion des risques consiste à classer les risques en fonction de leur probabilité
d'occurrence et de la gravité de leur impact potentiel ainsi qu'à les traiter en cherchant à
les limiter.

Étapes de la gestion des risques :

1. Identification des risques : identifiez et décrivez les risques potentiels. Il peut

s'agir de risques financiers, de risques pour l'exploitation (par exemple pour la
chaîne logistique), de risques liés aux projets, à l'activité et au marché, entre
autres. Les risques identifiés doivent être consignés dans un registre des risques
ou documentés dans un autre format.
2. Analyse des risques : déterminez la probabilité d'occurrence d'un risque grâce
à l'analyse des facteurs et à la documentation de ses conséquences potentielles.
3. Évaluation des risques : déterminez l'importance d'un risque grâce aux audits
internes et aux analyses de risques. Vous devrez également définir le niveau de
risque acceptable ainsi que les éléments à traiter en priorité.  
4. Limitation des risques : une fois le niveau de priorité et l'importance des
risques déterminés, vous pouvez établir une stratégie de réponse qui vise à
minimiser ou à maîtriser ces risques. 
 5. Surveillance des risques : les risques et les indicateurs de mesure doivent être
suivis en permanence afin de garantir l'efficacité des plans de limitation et d'être
alerté lorsqu'un risque devient une menace plus importante.
Approches de gestion des risques
Les principales approches de gestion des risques s'appuient sur les concepts
d'évitement, de réduction, de partage et de rétention.

 Évitement des risques : il s'agit d'arrêter et éviter toute activité qui présente un
risque.
 Réduction des risques : cette approche implique des actions qui permettent de
réduire la probabilité d'occurrence d'un risque ou l'ampleur de son impact.
 Partage des risques : le partage des risques intervient lorsqu'une entreprise
transfère le risque vers une autre ou le partage avec celle-ci. Par exemple, une
entreprise partage un risque lorsqu'elle externalise la fabrication ou le service
clientèle à un tiers.
 Rétention des risques : la rétention des risques se produit lorsque les risques
ont été évalués et que l'entreprise accepte de les prendre. Aucune mesure n'est
prise pour limiter les risques, mais il est possible de mettre en place un plan de
secours.

Les grands types de risques

  Risques naturels
Des risques ayant pour cause des phénomènes naturels, qui peuvent créer des dommages pour
la population, des équipements ou des ouvrages.
Ils sont gérés par les autorités et peuvent impliquer des acteurs privés.
Exemples de risques naturels :

 Canicule
 Grand froid, neige, grêle
 Inondation
 Sécheresse
  Feux de forêts
 Tempête
 Tsunami
 Avalanches
 Mouvement de terrain
 Retrait / gonflement des argiles
 Cyclones
 Éruption volcanique
 Séisme

Risques sanitaires
Les risques sanitaires peuvent atteindre la population (et/ou les animaux).
Ces risques sont maitrisés par les autorités et au besoin par des acteurs privés.
Les risques sanitaires concernent historiquement les problèmes de contamination, mais ils sont aussi
étendus aux technologies, aux risques naturels …
Un risque sanitaire devient une catastrophe sanitaire lorsqu’il n’est plus maitrisé.
Exemples de dangers (risques de contamination) :

 Biologiques (virus, parasites, bactéries…)

 Chimiques (hydrocarbures, métaux lourds…)
 Physiques (rayonnement, température, matériaux dangereux…)

Exemple de situation dangereuses (risques de contamination) :

 Exposition via voie digestive

 Exposition via voie respiratoire
 Exposition via les muqueuses

Catégories de risques sanitaires en santé animale en France :

1. 1ʳᵉ catégorie : peut porter atteinte à la santé publique

2. 2ᵉ catégorie : peut porter atteinte à l’économie
3. 3ᵉ catégorie : maitrise implique des acteurs privés

Risques médicaux
Ces risques concernent essentiellement les patients, voire leur entourage et les professionnels de santé.
Ils peuvent survenir dans le cadre d’une prise en charge médicale.
Ces risques sont à maitriser par les professionnels du secteur (industriels et professionnels de santé)
sous la surveillance des autorités compétentes.
Statuer sur l’acceptabilité des risques médicaux nécessite d’impliquer le patient.
Exemple de dommages :

 Décès
 Handicap permanent
 Handicap temporaire
 Douleur importante
 Gène

Exemples de dangers :

 Mauvais geste technique

 Mauvaise organisation
 Infection nosocomiale
 Mauvaise prescription
 Problème matériel

Exemples de mesures de maitrise :

 Formation des professionnels de santé

 Mise en place d’un système qualité
 Suppression des risques par conception des dispositifs, des produits, des protocoles
 Ajout de moyens de protection
 Information, sensibilisation, prévention

Risques professionnels / en entreprise / pour la santé au travail

Les risques professionnels peuvent impacter les salariés, ils sont maitrisés par l’employeur.
Ceci constitue une obligation légale (voir le code du travail).
Exemples de dangers :

 Amiante
 Travaux en hauteur
  Risques psychosociaux (voir ci-après)
 Troubles musculosquelettiques
 Pénibilité
 Chaleur Froid
 Travaux routiers
 Bruit
 Espaces confinés
 Exposition à des substances dangereuses (amiante peinture plomb soudure…)

Risques psychosociaux
Les risques psychosociaux font partie de la famille des « risques pour la santé au travail ».
Ils désignent des risques de dommage physique ou psychiques, ils sont essentiellement causés par
l’Homme, sur l’Homme.
Exemples de dommages :

 Stress (causes possibles : horaires management fluctuant interruptions…)

 Violence / Harcèlement moral physique ou sexuel (causé par des employés et/ou des
personnes externes des usagers…)
 Épuisement professionnel (causes possibles : surcharge de travail, mauvaise planification,
mauvais management…)

Risques technologiques
Les risques technologies accompagnent l’innovationet peuvent impacter la population, ses
infrastructures, son environnement.
Exemples de risques technologiques :

 Transport et stockage de matières dangereuses

 Accident industriel (ex : AZF)
 Accident nucléaire
 Rupture de barrage
 Risques miniers
 Pollution des sols
 Émissions de polluants et de GES dans l’atmosphère
 Pollution des réseaux et canalisations
  Industrie des hydrocarbures
 Déchets dangereux
 Silos

Risques numériques / risques en cybersécurité

Les risques numériques peuvent impacter des produits et/ou leurs utilisateurs, ils sont à maitriser par
les concepteurs des solutions numériques.
De nos jours, l’accent est mis sur les risques de cybersécurité de tous les domaines sensibles.
Exemples dommages :

 Violation de confidentialité
 Atteinte à l’intégrité
 Atteinte à la disponibilité
 Propagation de fausse nouvelles
 Incitation à la haine
 Abrutissement des masses

Exemples de dangers (attaquants / pirates) :

 Organisation étatique
 Organisation terroriste
 Personne interne à l’organisation ciblée
 Attaquant isolé
 Hobbyiste / passionné
 Robot

En France, l’ANSSI porte l’analyse des risques selon la méthode EBIOS.

Risques sociaux
Les risques sociaux sont extrêmement larges, ils peuvent impacter la population et leurs causes sont très
diverses.
Exemples de risques sociaux :

 Risques pour la santé:

 o Risques pour de maladie (ex : SIDA)
o Risques d’accident (ex : accidents au travail)
o Risque d’invalidité (ex : accidents de la route)
o Risque de décès (ex : pollution grave)
o Risques pour la maternité (ex : baisse fécondité, mortalité infantile, mortalité
en couche …)
o Risque de vieillesse (beaucoup de risques sont corrélés à l’âge)
 Risques de nature financière / économique / emploi (pauvreté, emploi précaire, chômage,
retraite…)
 Risques d’inégalité / d’exclusion (sociale, professionnelle… selon le sexe, l’âge, l’origine, le
culte …)
 Risque pour la famille
 Risque associés au logement (prix, densité, équipements…)
 Risques liés à la démographie, à l’immigration, à l’émigration
 Risques associés aux compétences(insuffisance, obsolescence…)

Risques financiers
Les risques financiers se traduisent par une perte d’agent, pour un individu ou un organisme, dans le
cadre d’opérations financières.
Les causes sont multiples, la maitrise est individuelle et, le cas échéant, assurée par les autorités.
Exemples de dangers :

 Fluctuation du marché
 Fluctuation des taux
 Mauvaise gestion
 Crédit non remboursable
 Météo (et oui)

Risques géographiques
Le monde de la géographie parlera d’aléa (le danger), et de facteur de vulnérabilité (la vulnérabilité au
dommage).
Les aléas pourront être naturels, causés par l’homme, par ses technologiesExemples de vulnérabilités :

 Sous-équipement
  Surpeuplement
 Dépendance aux technologies
 Sous-compétences
 Sous-estimation / mauvaise estimation du risque
 Maitrise non-planifiée

Risques géopolitiques
Ces risques affectent les relations entre les états, ils sont le plus souvent causés par ces derniers, qui
devront les maitriser. C’est le dernier niveau de risque, avant les risques climatiques.
Exemples de dangers :

 Conflits armés
 Guerres commerciales
 Indépendantisme, Nationalisme (ex : Brexit)
 Idéologie spécifique (ex : terrorisme)
 Accès aux ressources naturelles (ex : eau, pétrole)
 Inégalités (ex : inégalités des richesses, inégalités en santé)
 Exportation de troubles (ex : décès de George Floyd)

la politique de gestion de risque :

1) Généralités sur la politique de gestion de risque :

-1.1). Objet, buts et champ d’application de la politique de gestion des risques

-Objet
La Confédération est exposée à divers risques. Elle est confrontée à de nouveaux défis: environnement
de plus en plus interconnecté et complexe, efficacité accrue requise en matière de fourniture des
prestations, gestion administrative responsable, diversité du catalogue des tâches de l’administration
fédérale et restrictions budgétaires.
Focalisée sur les conséquences financières, la politique de gestion des risques pose les bases de la (⇒)
gestion des risques au sein de la Confédération.
La politique de gestion des risques
• détermine une approche homogène et systématique des divers risques encourus au sein de
l’administration fédérale,
• fait partie intégrante des obligations de diligence que les départements et les unités
administratives doivent remplir dans le cadre de leurs activités,
• soutient les départements et les unités administratives dans l’exercice efficace de leurs tâches,
et
 • fournit des instruments et des mesures pour identifier, évaluer, maîtriser et surveiller les
risques potentiels avec cohérence et efficacité.
1.2 Buts
Avec la politique de gestion des risques, le Conseil fédéral poursuit les buts suivants :
• exécution des tâches axées sur les résultats, la rentabilité et l’anticipation,
• maintien du bon fonctionnement de l’administration en tout temps,
• garantie d’un niveau élevé de sécurité physique pour les personnes et les valeurs
patrimoniales,
• élimination maximale des cas de responsabilité civile,
• soutien des instances dirigeantes au moyen d’informations sur les risques complètes,
transparentes et actualisées,
• conscience élevée des risques chez les collaborateurs de la Confédération,
• vue d’ensemble de la situation en matière de risques au niveau de la Confédération (y c.
responsabilité en matière de couverture des déficits selon l’art. 19 de la loi sur la responsabilité
[LRCF, RS 170.32]), des départements et des unités administratives,
• contrôle et réduction au minimum des coûts des risques1 ,
• préservation de la bonne réputation de la Confédération en son propre sein, dans le public et
vis- à-vis de ses autres interlocuteurs.

1.3 Champ d’application

En vertu du modèle des quatre cercles, le champ d’application de la politique de gestion des
risques s’étend aux unités administratives des 1er et 2e cercles, soit à l’administration centrale et
aux unités GMEB2 .
Les organisations du 3e cercle et les entreprises du 4e cercle possèdent leurs propres politiques
de gestion des risques. Les départements responsables de ces organisations et de ces
entreprises s’assurent qu’elles disposent de leur propre gestion des risques.
Principes de maîtrise des risques
2.1 Stratégie de maîtrise des risques
Pour la maîtrise des risques, la Confédération applique les priorités suivantes:
• Evitement3
• Réduction
• Financement
Le volet «Financement» de la stratégie de maîtrise comprend l’auto-prise en charge et le
transfert des risques. Cette stratégie concerne notamment les assurances

-C'est quoi une politique de gestion des risques ?

Approche servant à déterminer la meilleure voie à prendre en cas d'incertitude en
identifiant, en évaluant, en comprenant, en communiquant les questions liées
aux risques et en prenant les mesures appropriées à leur égard.

-Pourquoi une politique de gestion des risques ?

Celle-ci permet une meilleure connaissance de ses risques et une prise de risques
étudiée, afin d'accroître sa performance et lui permettre de mieux tirer parti de ses
opportunités.

-Quel est l'objectif principal de la gestion des risques ?

Une démarche de gestion des risques a pour but d'assurer la sécurité du patient et des
soins qui lui sont délivrés et, en particulier, de diminuer le risque de survenue
d'événements indésirables chez le patient.

-) Quels sont les principes de la gestion des risques ?

Principes de la gestion des risques

La gestion des risques se traduit comme un processus permettant d'évaluer les gains et
les coûts d'une réduction du risque et de choisir les solutions adaptées. La décision doit
prendre en compte les différentes circonstances qui entourent le projet.

2)Etapes d’une politique de gestion de risque :

Les 4 étapes du management des risques sont :
 Processus de Management des
Risques : les 4 étapes essentielles
 30 septembre 2021

1. Home 
> 
2. Blog 
> 
3. Gestion des Risques 
> 
4. Processus de Management des Risques
Dans les articles Gestion des Risques Projet  et 5 Éléments indispensables à la Mise en Place d’un Management
des Risques, nous avons examiné ce qu’est le management des risques et les éléments indispensables à la mise en
place dans votre organisation. Nous allons maintenant expliquer le processus de management des risques et
comment identifier, évaluer et répondre aux risques projet.

Le processus de management des risques est une méthode clairement défini pour comprendre : quels risques et
opportunités sont présents, comment ils peuvent impacter un projet ou une organisation et comment y répondre.

Table des matières

Les 4 étapes du management des risques sont :
1. L’identification des risques.
2. L’évaluation des risques.
3. Le traitement des risques.
4. Le monitoring et reporting des risques.
 Les Quatre
Étapes du Processus de Management des Risques

Étape 1 : l’identification des risques

La première étape du processus de management des risques consiste à répertorier les événements pouvant affecter
négativement (risque) ou positivement (opportunité) les objectifs du projet :

 Les jalons du projet

 La trajectoire financière du projet
 Le périmètre du projet
Ces évènements peuvent être listés dans la grille de cotation des risques et ultérieurement dans le registre des
risques.

Pour qu’un risque (ou une opportunité) soit valide, il doit avoir son descriptif, ses causes et ses conséquences, son
pilote, son évaluation qualitative, son évaluation quantitative et son plan de traitement.

Afin de pouvoir être pilotés efficacement, les Risques et Opportunités (R&O) identifiés doivent être le plus précis et le
plus spécifique possible. L’intitulé du risque ou de l’opportunité doit être à la fois succinct, autoportant, et clairement
compréhensible de tous.

Tous les membres du projet peuvent identifier des R&O et les piloter, et le contenu de ces R&O est de la
responsabilité des pilotes de ces risques ou opportunités. La formalisation des R&O et de leurs plans de traitement,
qui est réalisée en questionnant et en échangeant avec les pilotes, est quant à elle de la responsabilité des
Managers de Risques. Nous expliquerons chacun de ces rôles dans notre prochain article sur Les Responsables de
la Gestion des Risques.

Ci-dessous des exemples d’outils d’aide à l’identification des R&O :

 L’analyse de la documentation existante

 L’interview d’experts
 La réalisation de réunions de brainstorming
 L’utilisation d’approches méthodologiques – comme l’Analyse des Modes de Défaillance, de leurs
Effets et de leur Criticité (AMDEC), les arbres de causes, etc.
 La prise en compte du REX des R&O rencontrés lors de projets antérieurs
 L’utilisation de check-lists ou de questionnaires préétablis et couvrant les différents domaines du
projet (Risk Breakdown Structure)
Étape 2 : l’évaluation des risques
Il existe deux types d’évaluation des risques et opportunités : qualitative et quantitative. Une évaluation qualitative
analyse le niveau de gravité basé sur la probabilité et l’impact de l’évènement. Une évaluation quantitative analyse
l’impact financière ou le bénéfice de l’évènement. Les deux types sont nécessaires pour une évaluation complète des
risques et des opportunités.

L’évaluation qualitative
Le Pilote et le Manager de risques vont hiérarchiser et prioriser les risques et opportunités identifiés à l’aide des
critères de probabilité d’occurrence et de gravité des impacts, et selon les échelles de criticité du projet.

Evaluation de la probabilité d’occurrence (P) : 

Elle s’élabore préférentiellement à partir de l’expérience, de l’avancement du projet, ou à défaut à dire d’expert, et se
situe sur une échelle de 1 à 99%.

Par exemple, la probabilité du risque de d’“Incapacité du fournisseur X à réaliser les études de la modification Y pour
fin 2025” est de 50%, et est estimée grâce à un retour d’expérience et une analyse de la charge du fournisseur.

Evaluation de la gravité des impacts (I) :

Pour évaluer l’impact global, il est nécessaire d’estimer la gravité de chacun des impacts définis au niveau du projet.
Une échelle permettant de classer les différents impacts et leurs gravités est définie sur chaque projet afin
d’homogénéiser et fiabiliser l’évaluation qualitative des risques et opportunités.

Le niveau de criticité du risque ou de l’opportunité est obtenu par le produit : Criticité = P x I

La finalité de cette évaluation qualitative est de pouvoir adapter les modalités de suivi et de traitement d’un risque ou
opportunité à son niveau d’importance pour le projet.

L’évaluation quantitative
Dans la majorité des projets sur lesquels MI-GSO|PCUBED intervient, l’objectif de l’évaluation quantitative est
d’établir une évaluation financière de l’impact du risque ou du bénéfice de l’opportunité s’ils venaient à se réaliser.
Cette étape est réalisée par le Pilote de risques, le Manager de risques et avec l’appui des éventuels responsables
des estimations et chiffrages, ou du contrôleur de gestion selon l’organisation mise en place dans l’entreprise. Ces
montants représentent un surcoût potentiel (ou un gain potentiel si on parle d’une opportunité) non anticipé dans le
budget du projet.

Pour cela, il est donc nécessaire :

  D’évaluer le coût supplémentaire généré par l’évènement redouté en valorisant financièrement
les :
o Heures d’ingénierie en interne
o Heures de sous-traitance
o Travaux supplémentaires à réaliser
o Avenants et/ou réclamations aux contrats
o Etc.
 De calculer le coût des conséquences de l’évènement redouté en sommant ces valeurs.
Cette étape va permettre d’estimer le besoin en provision pour risques et opportunités du projet.

Étape 3 : le traitement des risques

Les risques et opportunités peuvent faire l’objet d’un plan de traitement et, avant tout cela permet à une organisation
d’identifier leur stratégie de réponse. L’objectif du plan de traitement d’un risque est de diminuer la probabilité
d’occurrence du risque (action de prévention) et/ou de diminuer l’impact du risque (action de mitigation). L’objectif du
plan de traitement d’une opportunité est d’augmenter la probabilité d’occurrence de l’opportunité et/ou d’en accroître
les bénéfices. En fonction de la nature du risque ou de l’opportunité, une stratégie de traitement est définie par le
projet. Les 7 stratégies ci-dessous sont possibles :

Les 7 Stratégies de Réponse des

Risques
7 stratégies de réponse
 Accepter : ne lancer aucune action mais continuer à superviser.
 Réduire/Améliorer : réduire (pour un risque) ou accroître (pour une opportunité) la probabilité
d’occurrence et/ou la sévérité des impacts.
 Transférer/Partager : transférer la responsabilité d’un risque à une tierce partie qui supporterait
les conséquences du problème (partager les bénéfices d’une opportunité réalisée).
 Eviter/Exploiter : élimination totale de l’incertitude / Exploitation de l’opportunité.
Le suivi de l’avancement du plan de traitement est à la charge du pilote du risque. Il devra régulièrement en rendre
compte au Risk Manager, qui doit quant à lui tenir à jour le registre des risques.

N.B : Le coût du plan de traitement d’un risque doit être intégré dans la trajectoire financière du projet.

Pour définir un plan de traitement :

 Chaque action commence par un verbe d’action et a un objectif clair.

 Chaque action a un pilote unique et une échéance.
 Les actions peuvent générer des coûts qui devront être tracés et pris en compte dans le projet.
  Exemple : pour réduire le risque que ma voiture tombe en panne, un plan de traitement pourrait
être : je prévois des révisions tous les ans.
Quand le risque devient-il un problème ?
Il est possible que, malgré les actions de traitement mises en place pour le mitiger ou le prévenir, un risque voie sa
probabilité augmenter et atteindre 100%. Le risque est alors avéré, et on ne peut plus parler de risque mais de
problème. Le Risk Manager se doit d’informer les parties prenantes du projet qui transmettront l’information qu’un
risque identifié est devenu problème et qu’il sera ajouté à la liste des actions.

Étape 4 : le monitoring et reporting des risques

Outre les instances de révision des fiches de R&O dont la fréquence dépend de la criticité des R&O, une
organisation doit se mettre en place afin d’assurer un reporting régulier à tous les niveaux du projet.

Les différentes instances de pilotage du projet sont des occasions d’assurer la remontée des risques et opportunités
et de suivre leurs plans de traitement.  Le format de la présentation du sujet « Risques » et l’organisation sont à
définir par le Manager de risques et diffèrent d’un projet à l’autre.

Dans l’article précédent, nous avons identifié que le Plan de Management des Risques et Opportunités (PMRO) est
une des cinq éléments indispensables à la gestion des risques d’un projet. Il doit comprendre des parties prenants et
membres de pilotage ainsi qu’une gouvernance régulière pour le monitoring et reporting des risques et opportunités.
C’est le Risk Manager, conjointement avec le chef de projet, qui détermine la façon d’organiser et contrôler ce
processus de monitoring et reporting.

Dans notre prochain article, nous regarderons en plus de détail ces deux rôles ainsi que les autres dans l’équipe de
la gestion des risques.