Gestion des

risques et QHSE
CHARGÉ DU COURS : IBRAHIMA SANOH
CONTACT : ALGHINI@YAHOO.COM
Compétences générales visées
-Pouvoir identifier les différents risques d’une structure en fonction de
son secteur d’activité et de son environnement
-Savoir élaborer un tableau des risques et les conséquences liées à un
dysfonctionnement
-Pouvoir élaborer la cartographie des risques et savoir les étapes de la
gestion du risque ( selon l’ISO 31 000)

-Pouvoir établir les indicateurs de qualité ( selon l’ISO 9001 ) et gérer le

processus de qualité,
-Etablir le lien entre la qualité , l’hygiène et la sécurité au travail
Partie I : Généralités sur les
risques
I- Définition du risque
-Selon la norme ISO 31000 qui fait référence au Guide 73 :
2009 « Management du risque- Vocabulaire » : « le risque est l’effet de
l’incertitude sur l’atteinte des objectifs ».

Selon l’AMF , « le risque représente la possibilité qu’un évènement

survienne et dont les conséquences seraient susceptibles d’affecter
les personnes, les actifs l’environnement , les objectifs de la société ou
sa réputation . »
Risque ≠ Danger

Danger est un potentiel de nuisance en termes de dommage ou de

préjudice pour l’activité considérée qui y est exposée volontairement
ou involontairement.
Or , le risque peut aussi conduire à une opportunité. Une opportunité
est définie comme un potentiel de gain en termes de bénéfice associé
à un enjeu dans une conjonction favorable.
Risque ≠ Facteur de risque
Facteur de risque est un élément qui est susceptible de causer
l’apparition d’un risque . Plusieurs risques peuvent être issus d’un
même facteur de risque.
Risque brut Vs risque net

Le risque brut ou inhérent qui mesure le risque sans aucun élément

de maîtrise : absence de procédures , absence d’activités de
contrôle , absence de système informatique , etc.
Le risque résiduel ou le risque net qui mesure le risque après mise
en place des éléments de maîtrise : contrôle interne, couverture
financière , partage de risque, etc.
II- Exemples
-Exemples de risques majeurs en environnement industriel et
commercial
-Défaut de conception d’un produit
menant au décès d’un utilisateur ou à
un accident
Risque de perte d’image - Empoisonnement par la vente de
produits alimentaires contaminés
impropres à la consommation
-Mauvaise gestion des rappels de
produits et de la communication
l’entourant
-Atteinte à l’environnement
 -Dysfonctionnement de la chaîne
Risque de rupture des d’approvisionnement entraînant un
approvisionnements arrêt de production, des retards de
livraison et ruptures en rayon
-Liquidation ou difficultés d’un
fournisseur qui est la seule source
d’approvisionnement d’une matière
première ou de prestation de
services pour l’entreprise dans un
marché très concentré
 -Dysfonctionnement majeur du
Risques liés au Système système d’information ( panne …)
d’information -Perte de fiabilité du système
d’information ( non
exhaustivité ,perte d’intégrité des
données …)
-Inexistence ou défaillance de plans
de reprise d’activité pour les
applications informatiques majeures
( gestion des commandes provenant
des clients , facturation …)
- Mauvaise protection des
informations.
 -Usure sur le long terme liée à un
positionnement ( offre produit,
politique de prix …) incohérent et
Risque de positionnement peu lisible par le client
-Portefeuille de produits qui ne
répond pas à la demande des
clients ( par exemple, du fait d’une
mauvaise évaluation des besoins
des clients , d’une mise sur le
marché du produit trop prolongée ,
d’efforts de recherche insuffisants …)
-Monoproduit
 -Ouverture de surfaces de vente
Risque d’expansion dans des zones à potentiel
insuffisant ou dans des pays à
risques

Risque légal -Risque fiscale et interventions des

autorités en chargé du contrôle de
qualité ou de la concurrence
-Evolution de la législation
concernant la distribution
Risque de fraude -Organisation par certains employés
de systèmes de « pots-de-vin » ,
corruption , ententes , vols de
produits
 -Perte de la culture d’entreprise et /
ou de l’expérience en raison d’un
taux de turnover élevé
Risque social - Conflits sociaux entraînant des
perturbations durables de l’activité
( fermeture des surfaces de ventes ,
arrêts des activités …)
- Personnellement insuffisamment
formé
-Difficultés de recrutement
 -Accident grave ( incendie ,
destruction du site …) sur la surface
de vente lors de la présence des
clients
Risque sécuritaire -Manque de protection de la santé
ou de la sécurité des employés et
des riverains ( utilisation de produits
chimiques dangereux pour la santé
ou hautement explosifs …)
Risque concurrentiel
Risque d’arrêt de la production
Risque organisationnel
-Politique commerciale agressive de
la concurrence
-Perte d’informations confidentielles
( notamment ce qui touche le secret
industriel )
-Destruction totale ou partielle
d’une usine ( explosion , incendie …)
conduisant à un arrêt de la
production ( risque aggravé si la
production est mono-source)
-Destruction totale ou partielle
d’une usine ( explosion , incendie …)
conduisant à un arrêt de la
production ( risque aggravé si la
production est mono-source)
 -Exemples de risques humains

En France Dans les pays Anglo-

saxonnes

Risques humains -Accidents de travail -Maladie

-Incapacités -Chômage
-Décès consécutif à un -Maternité
accident de travail -Retraite
-Maladies professionnelles
 -Exemples de risques politique
Risque politique
-Ne pas récupérer des flux à
l’international du fait d’un blocage
de rétrocession de devises par la
banque centrale d’un pays en
développement
- Destruction d’un actif par une
guerre civile , militaire ou par la
nationalisation de l’outil de protection
 -Exemples de risques financiers
Dépréciation
(Write-down)
Dédommagements
( Compensation )
Pertes de recours
( Loss of Recourse )
Responsabilités juridiques
( Legal Liability )
Actions réglementaires
( Regulatory Action )
Dépenses fiscales
(Tax Expenses )
Perte ou dommage sur des
actifs
(Loss/ Damage to
Physical Asset)
Autres coûts ou pertes
Dépréciation d’actifs dans les comptes suite à un
risque opérationnel.
Paiement à un tiers suite à un évènement dont la
société est légalement responsable.
Pertes résultant de l’incapacité de la société à
mettre en œuvre des réclamations / recours
auprès d’un tiers.
Frais encourus dans le cadre de litiges , de procès ( y
compris frais d’avocat , règlements judiciaires ,
condamnations).
Amendes ou règlements imposés par les autorités /
organismes réglementaires à la suite d’actions non
conformes faites par la société.
Pertes encourues en raison du paiement d’impôt
supplémentaires à la suite d’une sanction.
Dépréciation des actifs corporels en raison de la
survenance d’un évènement opérationnel
( négligence , accident , incendie , tremblement de
terre …)
Pertes et/ ou coûts non concernés par les natures
III- Caractéristiques
Un risque est caractérisé par la fréquence et l’impact.
La fréquence ou la probabilité d’occurrence représente le nombre de
fois qu’un évènement est susceptible de se manifester.
Un impact est une mesure sur un effet produit. Dans la gestion des
risques, l’impact serait les conséquences du risque qui se produirait.
IV-Mesure
minima , deux critères sont appréciés pour coter le risque brut : la
fréquence et l’impact

Le risque résiduel mesure le risque après mise en place des éléments de

maîtrise :
.

Les échelles d’évaluation facilitent la hiérarchisation des risques et in

fine les arbitrages sur les actions à mener. Les échelles paires à quatre
niveaux sont à privilégier.
 Fréquence
Illustration 1 : Echelle de la mesure de la fréquence
Cotation Fréquence Elément de mesure
1 Exceptionnel Occurrence quasi nulle ( < 1% ) sur 2 ans
2 Rare Occurrence possible mais peu probable ( 1 à 10 % ) sur 2ans
3 Probable Occurrence plausible ( 10 à 50 % ) sur 2 ans
4 Très probable Occurrence très probable ( > 50 %) sur 2 ans
Illustration 2: Echelle de la mesure de la fréquence ( Selon IFACI)

Cotation Fréquence Elément de mesure

1 Rare Fréquence de l’ordre de 1 à 2 fois en 3 ans
2 Modéré Fréquence de l’ordre de 1 fois par an
3 Occasionnelle Fréquence pluriannuelle ( quelques fois par an, de l’ordre du
trimestre , du mois)

4 Fréquent Fréquence quotidienne ou hebdomadaire

 Impact
Illustration 1 : Echelle de mesure de l’impact

Cotation Impact Impact Impact image Impact légal réglementaire

financier
1 Faible < 10 000 euros Impact local Observation des autorités de tutelle
2 Modéré Entre 10 000 Impact régional Avertissement des autorités de
et 100 0000 tutelle
euros Mise en cause juridique devant
une juridiction autre que pénale
3 Significatif Entre 100 000 Impact national Blâme des autorités de tutelle
et 500 000 Mise en cause devant une
euros juridiction pénale
4 Elevé >500 000 Impact national Sanction des autorités de tutelle
euros Condamnation pénale
 Illustration 2: Echelle de mesure de l’impact
Cotation Impact Impact financier (résultat) Image/ Réputation ou encore
réglementaire
1 Limité < 10 % du résultat annuel Attention de tiers ( presse, groupes
de pression , etc.) sur des sujets
jugés sensibles

2 Significatif 10 % et 50 % du résultat annuel Communication défavorable dans

des médias sur une partie de
l’entreprise et à un niveau local

3 Majeur 50 % à 100 % Couverture médiatique plus large,

mais n'entraînant pas d’effet majeur

4 Critique >au résultat annuel Attention médiatique ayant des

conséquences significatives sur
l’image et la réputation du groupe
V-Identification
a-Audit documentaire

En amont , l’auditeur va confronter ses sources documentaires

avec les informations collectées via les interviews et la visite de sites:
Programme d’assurance, Programme d’assurance , Etats analytiques et
tableaux de bord, Etats financiers certifiés, Procédures de sécurité et
de gestion des crises ( si existantes), Schéma directeur des systèmes
d’information, Plan de protection des informations.
V-Identification
1- Audit documentaire

En amont : demander des documents à exploiter partiellement ( phase de

travail à plat ) : Programme d’assurance , Transmission des clauses des
différents contrats, Etats analytiques et tableaux de bord, Etats financiers
certifiés, Procédures de sécurité et de gestion des crises ( si existantes) ,
Schéma directeur des systèmes d’information, Plan de protection des
informations.
-S’assurer de la fiabilité des informations transmises par la circularisassions .
Pendant la phase de déroulement de l’audit : confronter ses sources
documentaires avec les informations collectées via les interviews et la visite
de sites.
Etape 1 : Analyse du passé
« Avez-vous été amené à vivre dans le passé une situation de crise ? Si
oui, quels sont , de votre point de vue , les dispositifs mis
effectivement en œuvre par le groupe pour gérer cette situation ? »

L’objectif de cette question est de savoir si les dispositifs mis en

œuvre par le groupe sont connus et effectivement communiqués aux
opérationnels
Etape 2 : Projection sur le futur
« Avez-vous identifié ou pensé à des risques qui pourraient se
manifester ? Etes-vous déjà passé sur le ‘’fil du rasoir’’ ? De votre
point de vue , si le risque se matérialisait, le groupe saurait-il mettre
en œuvre les dispositifs adéquats ? »
L’objectif de cette question est d’aller vérifier sur le terrain si le
ressenti de l’opérationnel est confirmé ou non. Cette logique de
questionnement peut permettre une priorisation de mesures
correctrices à mettre en œuvre.
« Vous arrivez sur votre lieu de travail à 7 h 45 . Sur place votre siège
social est détruit à 100 %. Le préfet , les média , les salariés , la
protection civile , les pompiers sont présents . Les camions arrivent
avec les composantes. Que faites-vous ? »
L’objectif de cette simulation est de décrire les moyens logistiques qui
devront être mis en œuvre ne cas de situation de crise en vue
d’assurer la continuité de l’exploitation des processus critiques.
Etape 3 : Simulation d’une situation de crise
« Vous arrivez sur votre lieu de travail à 7 h 45 . Sur place votre siège
social est détruit à 100 %. Le préfet , les média , les salariés , la
protection civile , les pompiers sont présents . Les camions arrivent
avec les composantes. Que faites-vous ? »
L’exercice a pour objectif de décrire et d’identifier :
-Les processus critiques qui devront être redéployés en cas de
situation de crise,
-Les actifs stratégiques qui devront être protégés en cas de sinistre,
-Les hommes clés qui devront être déplacés sur le site du secours ,
-Les ressources non utilisées avec sinistre ,
-Les contrats de back-up avec les sous-traitants , fournisseurs,
constructeurs informatiques.
b-Entretien
La technique d’entretien s’avère être une technique essentielle à
l’identification objective et rationnelle des risques, et ce, tout
particulièrement en culture d’entreprise latine

c-Visites des sites

Elle permet par exemple d’observer les attitudes et les comportements
des salariés en matière de respect des consignes de sécurité . Elle
permet , d’autre part, à l’auditeur d’observer les dysfonctionnements ou
des anomalies concernant l’organisation de l’entreprise pouvant généré
de dommages potentiels. Elle permet aussi de réactualiser des
éléments liés à l’audit documentaire.
d-Questionnaire

L’identification des risques à partir des questionnaires est très utilisée

dans les organisations anglo-saxonnes et présuppose l’existence d’un
dispositif de risk management mûr et efficace.
Illustration du questionnaire
  Critère Poids Note Note globale

1 Avez-vous réalisé un mapping systématique des risques par macro et micro processus ?      
4
2 L’analyse des faits générateurs a-t-elle fait l’objet d’une validation par le comité d’audit      
et les commissaires aux comptes ( C&C) 1

3 L’analyse des conséquences des dysfonctionnements affectant les processus a-t-elle      

fait l’objet d’une validation par les C&C et le comité d’audit ? 2

4 La cartographie des risques a-t-elle fait l’objet d’un dispositif spécifique pour les 1    
processus ayant un niveau de matérialité élevé ?

5 La quantification des pertes humaines par sinistre maximum possible a-t-elle été 4    
réalisée ?
6 La quantification des pertes matérielles a-t-elle été faite ? 4    

7 La quantification des pertes d’exploitation a-t-elle été faite ? 3    

8 La quantification ou l’impact financier du coût de la responsabilité civile ont-ils été 3    

chiffrés ?
9 La quantification des pertes maximum possibles a-t-elle été mise en relation avec la 4    
capacité d’acceptation des risques ?

10 La valeur résiduelle a-t-elle été déterminée comme étant la différence ente le coût du 4    
risque et la valeur indemnisable ?

  Total 30    
e-Diagramme des causes et effets
Développé par Karou Ishikawa , le diagramme de causes et effets est une
représentation graphique des causes aboutissant à un effet. Il peut être
nommé diagramme d’ Ishikawa , diagrammes des arêtes de poisson ou
5M.
Les 5 M suivants :
Matière : concerne les matières utilisées (entrées de processus)
Matériel : concerne les matériaux utilisés ( machines , logiciels,
technologies)
Méthode : concerne le mode des opérations , la logique du processus
Main-d’œuvre : concerne l’intervention humaine
Milieu : concerne le contexte.
f-Méthode HEEPO (Homme Equipement Environnement Produit
Organisation)
 
Cette méthode considère la situation de travail comme un système
composé de différents facteurs en interaction qui doivent être pris
en compte dans le travail d’identification des risques. L’utilisation
de la méthode HEEPO se fait en posant systématiquement des
questions calquées sur le même moule. Cette s’avère utile pour
détecter et inventorier les risques et assure une réflexion plus
approfondie puisqu’elle structure les éléments de manière
systématique.
Check-List
Il s’agit d’un questionnaire portant sur les différentes situations
énumérant point par point des facteurs ou des situations à contrôler
pour un certain poste ou équipement de travail. Une check-list peut
être générale ou spécifique. Elle permet de passer en revue de
manière systématique les différents points d’attention , mais elle doit
être adaptée en fonction du groupe l’utilisant ou de la situation à
analyser.
g-Check-List
Il s’agit d’un questionnaire portant sur les différentes situations
énumérant point par point des facteurs ou des situations à contrôler
pour un certain poste ou équipement de travail. Une check-list peut
être générale ou spécifique. Elle permet de passer en revue de
manière systématique les différents points d’attention , mais elle doit
être adaptée en fonction du groupe l’utilisant ou de la situation à
analyser.
h-Méthode FMEA ( Failure Made And Effect Analysis)

Cette méthode s’avère particulièrement appropriée pour la

détection des risques dans les installations commandées
automatiquement. Le fonctionnement potentiellement incorrect ou
dangereux du système est analysé sur base du comportement
potentiellement incorrect des différents composants de ce système.
Ensuite , les différents composants sont analysés séparément .
VI- Description
1. Nom du risque  
2. Portée du risque Description qualitative des éléments , taille , type , nombre d’interdépendances

3. Nature du risque En général stratégique, opérationnelle, financière , liée aux connaissances ou à la conformité

4. Parties prenantes Parties prenantes et leurs attentes

5. Qualification du risque Importance et probabilité

6. Tolérance/ appétence pour le risque Perte potentielle et impact financier du risque

Valeur à risque
Probabilité et amplitude des gains /pertes potentielles
Objectif(s) de la maîtrise des risques et niveau désiré de performance

7. Traitement du risque et mécanismes de Principaux moyens par quoi le risque est actuellement géré
maîtrise Degré de confiance dans les moyens de maîtrise en place
Identification des protocoles pour la surveillance des risques et leur examen

8. Actions d’amélioration possibles Recommandations pour réduire le risque

9. Développement de la stratégie et de la Identification de la fonction responsable de développer la stratégie et la politique face au risque.
politique face au risque
 -Classification des risques selon le niveau de stratégie
Niveau de stratégie
Corporte ( d’ensemble)
Busines ( Domaine d’Activité
Stratégique )
Types de risques
 
Risque corporate ( Corporate
Risk)
Risques génériques
( Busines Risk)
Exemples
-Risque de produit
-Risque informatique
-Risque client
-Risque fournisseur
-Risque politique
-Risque humain
-Risque social
-Risque atteinte à
l’environnement
-Risques financiers
-Risques stratégiques
 VII- Typologie
-Classification des risques selon les secteurs d’activités
Secteur d’activité Types de risque Exemple
Commerce Risque commercial -
Industrie Risque industriel -
-Risque bancaires -Risque de marché
Banque -Risque de taux
-Risque de contrepartie
-Risques opérationnels
Assurance Risque assurantiels -Risque d’irrégularité relative
aux contrats
-Risque de non-conformité
réglementaire
-Risques liés aux système
d’information
-Risque de dommages aux
biens et aux personnes
-Risque social et humain
-Selon l’entité affectée

Selon l’entité Nom du risque

  -Risque systématique
Le marché

Le secteur -Risque systémique

L’entreprise elle-même et / son activité -Risque spécifique

Partie II : Gestion des risques

I-Définition

-Selon Teyssier ( 2007), c’est le «  Processus mis en œuvre par le

management des risques afin d’identifier , mesurer et traiter les risques
susceptibles d’affecter l’atteinte des objectifs. Elle doit être
analysée comme un processus global qui exige aux dirigeants de
définir le niveau de risque acceptable que leur entreprise est en
mesure de supporter , d’identifier les risques encourus et de les
évaluer en matière de criticité afin de les hiérarchiser , de mettre
les mesures de gestion des risques appropriés et de communiquer
cette approche aux parties prenantes interne et externe de
l’organisation . »
-Selon la FERMA, la gestion des risques est « un processus continu
d’amélioration commençant par la définition de la stratégie et veille
à son exécution. Elle devrait traiter systématiquement la globalité
des risques qui affectent les activités de l’organisation, que celles-ci
soient passées, présentes et surtout futures. »
-La norme ISO 31 000 : 2018 porte sur les principes et les lignes
directrices générales à l’égard du management des risques. Le terme « 
management » des risques se réfère à la structure de l’entreprise : au
principe, au cadre organisationnel et au processus de l’entreprise. La
norme est applicable pour tout public, pour toute entreprise et à tout
type de risque.
II-Processus ( ISO 31000)
III-Management de la qualité ( ISO 9001)

Principes
Orientation client
Leadership
Implication du personnel
Approche processus
Amélioration
Prise de décision fondée sur des preuves
Management des relations avec les parties intéressées
IV-Enjeux de management QHSE
Il y a deux façons d’appréhender des différents risques :
- En agissant sur leur probabilité d’occurrence ( avec des mesures de
prévention)
- En agissant sur leur gravité ( mise en place de systèmes de
protection).
Objectifs
-L’évolution de la qualité de la production
- La conservation du niveau de production et de performance
- Le respect de l’intégrité physique et mentale des salariés
- Le respect des normes fixées par l’Etat et par les différentes
organisations
- La prise en compte des différents types de handicaps , notamment
pour les procédures d’évacuation
- L’amélioration de la sécurité et de la santé ( bien-être , qualité au
travail) …
IV- Santé et sécurité au travail
La santé et la sécurité au travail sont arrivés à une époque charnière
où les innovations améliorent en contenu les conditions de sécurité au
travail.
Les catégories de sinistres professionnels:
- Les accidents de travail,
- Les maladies professionnelles,
- Les accidents de trajet.