Académique Documents
Professionnel Documents
Culture Documents
NORA BENDJEDDOU
1
Contrat de travail …
• Horaire: 09h00 à 15h00
• Téléphone mobile:
2
OBJECTIFS DE LA FORMATION
Acquérir
le savoir-faire et les qualifications professionnelles indispensables pour le
management des risques,
3
Qu'est-ce que la gestion du risque?
• Le risque :
Selon le référentiel ISO Guide 73 – le risque est défini comme « l’effet
de l’incertitude sur l’atteinte des objectifs» par
référence à des événements et des conséquences
potentiels ou à une combinaison des deux.
BREVE HISTOIRE DU RISQUE
• Au IVème siècle avant J.-C., existaient déjà des pratiques d’assurances visant à
lutter contre les désastres naturels en Chine
• Il faut néanmoins attendre la fin du Moyen Age pour que le risque se calcule
et s’affranchisse de la notion de destin.
• Le guide 73 - Objet: fournir le vocabulaire de base ayant pour but la compréhension des concepts et termes
du management du risque
• Liste des termes définis dans ce Guide regroupés en 11 rubriques , savoir :
NOTE 1 Un effet est un écart, positif et/ou négatif, par rapport à une attente.
NOTE 2 Les objectifs peuvent avoir différents aspects (par exemple buts financiers, de santé et de sécurité,
ou environnementaux) et peuvent concerner différents niveaux (niveau stratégique, niveau d'un projet, d'un
produit, d'un processus ou d'un organisme tout entier).
NOTE 3 Un risque est souvent caractérisé en référence à des événements et des conséquences potentiels
ou à une combinaison des deux.
NOTE 4 Un risque est souvent exprimé en termes de combinaison des conséquences d'un événement
(incluant des changements de circonstances) et de sa vraisemblance.
NOTE 5 L'incertitude est l'état, même partiel, de défaut d'information concernant la compréhension ou la
connaissance d'un événement, de ses conséquences ou de sa vraisemblance.
Risque (selon ISO 9000-2015) : Effet de l’incertitude
Note 1 à l’article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l’article: L’incertitude est l’état, même partiel, de manque d’information (3.8.2)
qui entrave la compréhension ou la connaissance d’un événement, de ses
conséquences ou de sa vraisemblance.
Note 3 à l’article: Un risque est souvent caractérisé par référence à des événements
potentiels (tels que définis dans le Guide ISO 73:2009, 3.5.1.3) et à des conséquences
également potentielles (telles que définies dans le Guide ISO 73:2009, 3.6.1.3), ou par
référence à une combinaison des deux.
Note 4 à l’article: Un risque est souvent exprimé en termes de combinaison des
conséquences d’un événement (y compris des changements de circonstances) et de la
vraisemblance de son occurrence (telle que définie dans le Guide ISO 73:2009, 3.6.1.1).
Note 5 à l’article: Le terme «risque» est parfois utilisé lorsqu’il n’existe qu’une
possibilité de conséquences négatives.
Note 6 Il s’agit de l’un des termes communs et définitions de base pour les normes de
systèmes de management de l’ISO
16
Risque (Selon ISO 14001 -2015): Effet de l’incertitude
Note 1: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2: L’incertitude est l’état, même partiel, de manque d’information qui entrave la compréhension ou
la connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note 3: Un risque est souvent caractérisé par référence à des « événements » potentiels (tels que définis
dans le Guide ISO 73:2009, 3.5.1.3) et à des « conséquences » également potentielles (telles que définies
dans le Guide ISO 73:2009, 3.6.1.3), ou par référence à une combinaison des deux.
Note 4: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement (y
compris des changements de circonstances) et de la « vraisemblance » de son occurrence (telle que
définie dans le Guide ISO 73:2009, 3.6.1.1).
risques et opportunités
effets négatifs potentiels (menaces) et effets bénéfiques potentiels (opportunités)
17
Processus de management du risque (selon ISO 31000)
NOTE 2 L'identification des risques peut faire appel à des données historiques, des
analyses théoriques, des avis d'experts et autres personnes compétentes et tenir
compte des besoins des parties prenantes (2.13).
20
ANALYSE DU RISQUE (Selon ISO 31000)
Processus mis en œuvre pour comprendre la nature d'un risque et pour déterminer le niveau de risque
NOTE 1 L'analyse du risque fournit la base de l'évaluation du risque et les décisions relatives au
traitement du risque.
``
EVALUATION DU RISQUE (Selon ISO 31000)
24
L’International Organization for Standardization (ISO) a publié en février 2018 une
nouvelle version de l’ISO 31000.
Cette version, elle aussi simplifiée, propose des grandes lignes directrices pour orienter
la gestion de risques, telles que :
• L’importance d’un lien renforcé avec la stratégie de l’organisation, via une implication
marquée de la Direction.
• L’utilité d’une vision dynamique de la gestion de risques, qui intègre l’analyse des
dispositifs de maîtrise
Architecture de la norme ISO 31000 version 2018
• Introduction de trois nouveaux concepts clés: « risques processus », « risques organisationnels » et « risques
systémiques »
• Renforcement de l'importance de la prise en compte de la culture organisationnelle et de la communication
dans la gestion des risques
• Meilleure intégration de la gestion des risques dans le contexte de la gouvernance et de la stratégie de
l'organisation
• Mise en avant de l'importance de l'analyse des risques, y compris l'identification des causes sous-jacentes et des
interdépendances entre les différents risques
• Amélioration des lignes directrices sur la surveillance et l'examen de la gestion des risques afin d'assurer sa
pertinence continue pour l'organisation
• Élargissement de la portée pour inclure la gestion des risques dans les partenariats, les alliances et les
coopérations entre organisations.
Ces changements visent à améliorer la pertinence et l'efficacité de la norme ISO 31000 dans le contexte actuel de
l'environnement des affaires et à faciliter une approche de gestion des risques plus intégrée et plus holistique.
Exercice :
Une entreprise souhaite mettre en place une formation professionnelle pour ses employés sur la gestion
des risques.
Quelles étapes doivent être suivies pour assurer l'efficacité de cette formation ?
Solution :
1- Évaluation des besoins en formation - Cette étape est cruciale pour déterminer les compétences
actuelles des employés en matière de gestion des risques et les compétences dont ils ont besoin
2) Le risque processus concerne les risques liés aux processus opérationnels de l'entreprise,
tels que les erreurs de production, les problèmes de qualité, les pertes de données, les temps
d'arrêt, les retards de livraison, etc.
3) Le risque systématique, quant à lui, se rapporte aux risques qui affectent l'ensemble du
marché ou du secteur économique dans lequel l'entreprise opère, tels que les variations
macroéconomiques, les crises financières, les changements de réglementation, les
bouleversements du marché, etc. Ces risques ne peuvent être évités par une entreprise isolée,
mais peuvent être mitigés par des stratégies de diversification et de couverture.
chapitre 4 : Principes
de l’ISO 31000:2018
4. Principes
la création et la préservation de la
La finalité du management du risque est
valeur. Il améliore la performance, favorise l’innovation et
contribue à l’atteinte des objectifs.
• INTÉGRATION
Le Management des Risques doit impérativement être
global et diffusé à l’ensemble des processus de
l’organisation, y compris ceux en lien avec le management
ou la stratégie.
En d’autres termes, une identification des risques pour
chaque processus de l’organisation est encouragée, et
devrait être au cœur de leur gestion.
• DÉMARCHE STRUCTURÉE ET GLOBALE
L’implication appropriée et au
moment opportun des parties
prenantes permet de prendre
en
compte leurs connaissances,
leurs opinions et leur
perception. Ceci conduit à un
management du risque mieux
éclairé et plus pertinent.
les principes ISO 31000 version 2018
• L'approche systématique : Il s'agit de gérer les risques de manière cohérente et intégrée dans l'ensemble de
l'entreprise, en intégrant les processus, les politiques et les pratiques dans les différents domaines de l'activité.
• L’inclusion : L'identification et la gestion des risques doivent être incluses dans l'ensemble de l'entreprise, de la
gouvernance et de la gestion du risque, à la planification et à la mise en œuvre des processus opérationnels.
• La prise en compte des contextes : Il est important de prendre en compte l'environnement externe et interne
dans lequel l'entreprise opère, ainsi que les besoins, les attentes et les capacités de toutes les parties prenantes.
• La planification : La gestion du risque doit être abordée de manière proactive, en mettant en place un processus
de planification qui identifie et évalue les risques de manière continue.
• Les processus: Il est important d’adopter une approche robuste et cohérente des processus de gestion de risque
pour identifier, évaluer et traiter les risques sur une base continue.
• L'amélioration continue : Il s'agit d'un processus itératif qui implique une évaluation continue et une
amélioration des processus de gestion de risques pour aider une entreprise à s’adapter aux évolutions dans son
environnement.
• L’implication de toutes les parties prenantes : Les parties prenantes doivent être impliquées tout au long du
processus de gestion du risque afin de garantir que les risques sont identifiés et traités avec précision et
efficacité.
•
Les huit principes sont décrits ci-dessous
• LES ORGANES DE SURVEILLANCE sont en charge de s’assurer que les risques sont intégrés
dans les objectifs, compris, adaptés et communiqués aux différentes parties prenantes de
façon adéquate.
La Direction, comme les organes de surveillance, doivent démontrer leur
engagement dans la démarche de gestion de risques de sa conception à la
diffusion au sein de l’organisation, voir auprès des parties prenantes externes.
Véritable chef d’orchestre, le GESTIONNAIRE DES RISQUES OU RISK MANAGER doit être
rattaché à la Direction.
Ceci est un pré requis à l’alignement de la gestion de risques avec la stratégie de
l’organisation.
Le cadre organisationnel dans ISO 31000 version 2018 décrit les éléments clés qui doivent être mis
en place au sein d'une organisation pour gérer les risques de manière efficace.
Ce cadre comprend les éléments suivants :
• La politique de gestion des risques : il s'agit de la déclaration de l'organisation concernant son engagement envers la
gestion des risques, fixant les objectifs, les responsabilités et les rôles des parties prenantes concernées.
• La planification de la gestion des risques : cette étape implique l'identification des risques potentiels et la mise en place
de stratégies pour les évaluer, les surveiller et les contrôler.
• Les processus de gestion des risques : ces processus impliquent la mise en place d'une structure organisationnelle pour
assurer que les risques sont gérés de manière appropriée, y compris l'identification des responsabilités et des activités
clés à effectuer dans ce domaine.
• Les ressources pour la gestion des risques : l'organisation doit prévoir des ressources suffisantes pour évaluer et
contrôler les risques associés à leurs activités.
• La communication et la consultation : L'organisation doit développer des procédures pour communiquer et consulter les
parties prenantes sur les risques identifiés.
• La surveillance et l'examen : Il est important de surveiller et d'examiner régulièrement les activités en cours de gestion
des risques pour s'assurer qu'elles sont efficaces et qu'il n'y a pas de nouvelles menaces à prendre en compte.
En suivant ce cadre organisationnel, les organisations peuvent mettre en place un processus de gestion des risques complet
et robuste qui les aidera à gérer les risques de manière proactive et à les préparer pour les imprévus.
Cadre de management des risques
Processus
Le processus de gestion des risques en sept étapes clés, qui sont :
1- Contexte de l'organisation : Cette étape consiste à comprendre les objectifs et les enjeux de l'organisation, ainsi que les
facteurs qui peuvent avoir une influence sur la gestion des risques.
2- Identification des risques : Cette étape permet d'identifier les événements potentiels qui pourraient affecter la réalisation
des objectifs de l'organisation. Cette étape peut être réalisée en utilisant différentes techniques d'identification des risques.
3- Analyse des risques : Cette étape consiste à évaluer la nature et la gravité de chaque risque identifié, ainsi que leur
probabilité d'occurrence.
4- Évaluation des risques : Cette étape permet de classer les risques en fonction de leur gravité et de leur probabilité
d'occurrence, afin de déterminer ceux qui doivent être traités en priorité.
5- Traitement des risques : Cette étape consiste à élaborer et mettre en œuvre des actions pour réduire ou éliminer les
risques identifiés.
6- Communication et consultation : Cette étape est importante pour informer les parties prenantes de l'organisation sur les
risques qui ont été identifiés, les mesures prises pour les traiter et les résultats obtenus.
7- Surveillance et examen : Cette étape consiste à surveiller en permanence les risques résiduels et à réviser périodiquement
les processus de gestion des risques pour s'assurer de leur efficacité.
En suivant ces étapes, l'organisation peut mettre en place une approche systématique et cohérente de la gestion des
risques, qui permettra de prendre des décisions éclairées et de mieux se prémunir contre les enjeux potentiels.
PÉRIMÈTRE D’APPLICATION, CONTEXTE ET CRITÈRE
La norme ISO 31000:2018 précise que l’initialisation d’une démarche de gestion des risques nécessite
d’être abordée et gérée comme un projet.
Cela commence par la définition du champ d’action de la démarche, qui doit être global puisqu’elle
traite l’ensemble des évènements susceptibles de remettre en cause la stratégie, les objectifs, les
opérations ou les projets. Pour faire face à un champ d’action aussi vaste, la Direction devra statuer sur
un plan de déploiement de la démarche adapté aux ressources et aux enjeux de l’organisation.
La notion de “critères” abordée dans le chapitre 6 apporte quant à elle des réponses vis-à-vis des
informations à collecter pour pouvoir traiter efficacement un risque et garantir un reporting efficace.
Parmi ces critères figurent la définition des natures de risques, la mesure et le niveau de criticité. A
noter que la version 2018 de l’ISO 31000 propose un nouveau critère méthodologique, à savoir la «
cohérence dans l’utilisation des mesures ». Ce critère renforce le fait que l’évaluation des risques doit
reposer sur une échelle à la fois unique et adaptée à l’organisation.
Communication et consultation
La communication et la consultation ont pour but d’aider les parties prenantes pertinentes à
comprendre le risque, les principes de prise de décisions et les raisons pour lesquelles
certaines actions sont nécessaires.
La communication vise à accroître la sensibilisation et la compréhension du risque, alors que
la consultation implique l’obtention d’un retour et d’informations pour étayer la prise de
décisions. Une étroite coordination entre les deux facilite des échanges d’informations
factuels, opportuns,
La communication et la consultation visent à:
réunir différents domaines d’expertise pour chaque étape du processus de management
du risque;
s’assurer que les différents points de vue sont pris en compte de manière appropriée dans
la définition des critères de risque et lors de l’évaluation des risques;
fournir suffisamment d’informations pour faciliter la surveillance du risque et la prise de
décisions;
faire naître un sentiment d’inclusion et de propriété parmi ceux affectés par le risque.
Périmètre d’application, contexte et critères
Le contexte interne et externe est l’environnement dans lequel l’organisme cherche à définir et atteindre ses objectifs,
Lors de la planification de l’approche, les éléments à prendre en compte comprennent:
les objectifs et les décisions à prendre;
les résultats attendus des étapes du processus;
le temps, l’emplacement, les inclusions et exclusions spécifiques;
les outils et techniques appropriés d’appréciation du risque;
les ressources nécessaires, les responsabilités et la documentation à établir;
les relations avec d’autres projets, processus et activités.
Pour fixer les critères de risque, il convient de prendre en compte les éléments suivants:
— la nature et le type d’incertitudes pouvant avoir une incidence sur les résultats et les objectifs (tangibles et intangibles);
— la façon dont les conséquences (positives et négatives) et la vraisemblance seront définies et mesurées;
— les facteurs liés au temps;
— la cohérence dans l’utilisation des mesures;
— la méthode de détermination du niveau de risque;
— la façon dont les combinaisons et séquences de plusieurs risques seront prises en compte;
— la capacité de l’organisme.
TRAITEMENT DU RISQUE
Le traitement du risque implique que son propriétaire se positionne sur celui-ci et établisse
une option de traitement ou stratégie de réponse.
Tout comme l’ISO 9001: 2015, la norme 31000:2018 définit différents types de réponses
possibles.
L’ISO 31000:2018 va plus loin et insiste sur l’importance d’une surveillance dynamique et
permanente du risque. Elle aborde ainsi:
• la nécessité «de suivre le traitement et de juger de son efficacité»,
• la mesure du « risque résiduel », soit la criticité après traitement, qui devra être
communiquée et revue périodiquement
Suivi et revue
Le suivi et la revue ont pour but de s’assurer et d’améliorer la qualité et l’efficacité de la
conception, de la mise en œuvre et des résultats du processus. Il convient que le suivi
continu et la revue périodique, du processus de management du risque et de ses résultats
soient planifiés dans le processus de management du risque, en définissant clairement les
responsabilités.
Il convient que le suivi et la revue aient lieu à toutes les étapes du processus. Le suivi et la
revue comprennent la planification, le recueil et l’analyse d’informations, l’enregistrement
des résultats et le retour d’information.
Il convient d’intégrer les résultats du suivi et de la revue aux activités de management des
performances de l’organisme, de suivi des résultats et d’élaboration de rapports.
Rapport management des risques
l'élaboration de rapports est l'une des étapes clés du processus de gestion des risques.
Dans l'ISO 31000:2018, l'élaboration de rapports vise à informer les parties prenantes de l'état du processus de
gestion des risques et des résultats obtenus. Les rapports doivent être clairs, concis et pertinents pour le public
cible. Ils doivent également être précis et contenir des informations fiables.
• L'élaboration de rapports doit être intégrée tout au long du processus de gestion des risques. Les rapports
peuvent être générés à différents niveaux de l'organisation, du niveau opérationnel au niveau stratégique.
• Les rapports doivent être adaptés au public cible pour garantir leur efficacité.
• Les rapports doivent également être réguliers. Cela signifie que les rapports doivent être produits à des
moments spécifiques pendant le processus de gestion des risques, pour informer les parties prenantes des
progrès réalisés. Les rapports réguliers peuvent également aider à identifier les tendances et les problèmes
potentiels dans le processus de gestion des risques.
• Enfin, les rapports doivent être utilisés pour améliorer le processus de gestion des risques. Les résultats des
rapports doivent être examinés et analysés de manière à permettre l'amélioration continue du processus de
gestion des risques.
L’enregistrement et l’élaboration de rapports a pour but de:
- communiquer sur les activités de management du risque et leurs résultats au sein de
l’organisme;
- fournir des informations en vue de la prise de décisions;
- améliorer les activités de management du risque;
- faciliter l’interaction avec les parties prenantes, y compris celles ayant la responsabilité
des activités de management du risque.
Direction et collaborateurs Malversation Très rare Menace d’existence VX Vérification signature s Novembre
comportement et autorisations 20XX
Direction et collaborateurs Non respect des impossible Menace d’existence NN Audit, sondage clientèle, 2 fois/an
pratiques commerciales pratiques formation
déloyales commerciales
Menaces opérationnelles Inondations Très rare Menace d’existence AA S’assurer du bon Aout et
Dangers pour installations de fonctionnement Décembre
production installations