Présentation
En anglaisRÉSUMÉ
Dans la mise en œuvre d’un système de management du risque, la norme ISO 31000 préconise l’établissement d’une cartographie globale des risques, c'est-à-dire une identification la plus exhaustive possible des risques encourus par l’organisme. Mais comment initier la démarche ? Auprès de quels acteurs ? Comment définir cette notion de risques sur la base d’éléments rationnels non entachés de subjectivité ? Un référentiel de risques doit traduire le partage d’une même vision des risques. Cet outil pourra alors mettre en évidence des évolutions, avec des risques qui augmentent et d’autres qui diminuent. Un des grands enjeux du management du risque est ainsi de passer d’une gestion individuelle et intuitive des risques à une maîtrise collective et coordonnée du risque.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
Within the framework of a risk management system, the ISO 31000 standard recommends drafting an overall risk mapping i.e. identifying in the most comprehensive way the dangers faced by organizations. However, how is this process to be initiated ? With what partners? How can this notion regarding risks be defined from a rational perspective and not from a subjective one? A frame of reference regarding risks has to illustrate a shared vision of risks. This tool then has the ability to highlight changes, whether it be certain risks increase and others diminish. One of the major challenges of risk management consists in evolving from an individual and intuitive risk management to a collective and coordinated risk mastery.
Auteur(s)
-
Jean LE RAY : Cofondateur et directeur associé de la société AD’APTUS, conseil et formation en management intégré des organisations, Nantes. - Intervenant à l’Institut international du management, institut du Conservatoire national des arts et métiers ainsi que dans diverses universités françaises ou étrangères. - Coordinateur du classeur à feuillets mobiles « Maîtrise des risques » de l'Afnor
INTRODUCTION
La mise en œuvre d’un système de management du risque commence bien souvent par l’établissement d’une première cartographie globale des risques, c'est-à-dire par une identification la plus exhaustive possible des risques encourus par l’organisme puis une évaluation des risques ainsi identifiés. C’est du moins ce que préconise la norme ISO 31000, consacrée au sujet et parue début 2010 qui, pour mémoire, demande « de dresser une liste exhaustive des risques basée sur les événements susceptibles de provoquer, de stimuler, d'empêcher, de gêner, d'accélérer ou de retarder l'atteinte des objectifs [...] que leur source soit ou non sous le contrôle de l'organisme [...] ».
Nous allons dans cet article tenter de décrire comment organiser un projet de cartographie, mais surtout quels sont les préalables nécessaires à la mise en œuvre d’un tel projet.
Comment initier la démarche ? Quels acteurs devons-nous réunir ? Pouvons-nous arriver en réunion avec une page blanche et demander sans ambages aux participants de nous dire les risques et ce qu’ils pensent de leur gravité ? Ne risquons-nous pas un résultat très partiel, basé sur des évènements récents, sur des craintes, voire des « dada » individuels ? Comment ensuite s’assurer que le mot « grave » à la même signification pour tous autour de la table ? Certes, il existe des évènements référence, effectivement inscrits dans la mémoire collective de l’organisme. Mais le contexte est-il le même que celui qui a prévalu à la survenance de ces évènements ? La gravité qu’ont alors eue ces évènements serait-elle la même aujourd’hui ?
Avant de répondre à toutes ces questions, il nous faut d’abord affirmer que l’appréhension du risque est toujours subjective, que l’appétence au risque diffère d’un individu à l’autre : ce qui est perçu comme majeur par l’un d’entre nous peut être considéré comme parfaitement dérisoire par un autre, et vice versa. Appréhension et appétence sont l’agrégation d’une foultitude de critères. Certains de ces critères fondent ce que nous sommes : notre éducation, nos études, nos valeurs, nos expériences, nos convictions, etc. D’autres sont beaucoup plus contextuels ou conjoncturels, intra ou extraprofessionnels : nos motivations professionnelles, notre situation personnelle, notre état de santé, etc.
Il devient donc évident que, pour établir une cartographie, il va falloir organiser l’évaluation des risques de façon à composer avec cette réalité. Il va falloir trouver des éléments rationnels qui permettent à chacun de comprendre et de partager les résultats d’une évaluation produite par d’autres. Certaines de nos entreprises manquent certes d’analyses des risques. Mais beaucoup d’autres, et particulièrement les plus importantes, souffrent au contraire d’en avoir beaucoup, sans toutefois avoir la clé de lecture permettant de rapprocher l’évaluation faite par Mr X de celle réalisée par Mr Y. Pourtant c’est « cette clé » qui fait de l’évaluation des risques un véritable outil d’aide à la décision. C’est « cette clé » qui conférera à la gestion des risques le titre de système de management. Elle permettra à tous de partager une même vision des risques auxquels l’organisme est exposé, qu’ils soient stratégiques ou opérationnels, financiers ou techniques, et d’agir ensemble, de manière cohérente, à réduire ces risques. En effet, un des grands enjeux du management du risque est sans aucun doute de passer d’une gestion individuelle et intuitive des risques à une maîtrise collective et coordonnée du risque.
Repositionnons maintenant cet article comme le second d’une série de trois, tous consacrés à la problématique du risque. Le premier de ces articles [G 9 000] nous a permis de poser les concepts liés à la notion de risque, de donner quelques définitions clés, puis de résumer les recommandations et attendus de la norme EN NF ISO 31000. Naturellement, nous y ferons fréquemment référence ici. Une fois le référentiel de gestion des risques construit et la première cartographie établie, objets du présent document, le troisième article [G 9 200] s’attachera à décrire comment organiser le management du risque de façon à ce qu’il imprègne le quotidien de l’entreprise, le fonctionnement des processus, le déroulement des projets, les choix de ressources, etc.
Rappelons pour finir cette introduction que notre sujet est ici d’aborder le management du risque, de tous les risques. Il ne se limite donc pas aux risques SST (santé et sécurité au travail) ou aux risques environnementaux.
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Environnement
(511 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
2. Rapide rappel relatif au risque et à la mesure d’un risque
2.1 Risque et vulnérabilité
-
Rappelons tout d’abord l’indissociabilité entre risque et objectif.
Dans son acception négative, la plus couramment appréhendée, un risque est la menace qu’un évènement, une action ou une inaction, dont la vraisemblance est incertaine, affecte la capacité d’une entreprise à atteindre ses objectifs.
C’est « l’effet de l’incertitude sur l’atteinte des objectifs » nous dit la norme ISO 31000, précisant que l’effet peut être positif ou négatif. Car le risque peut aussi être positif, représentant l’opportunité que, lors d’une action, un événement dont la vraisemblance est incertaine améliore la capacité d’une entreprise à atteindre ses objectifs. Le management du risque, le mot « risque » n’ayant pas d’antonyme, est donc bien celui des opportunités et des menaces. Ce qui ne sera pas sans rappeler aux connaisseurs l’outil SWOT (Strengths, Weaknesses, Opportunities, Threats ou, en français, Forces, Faiblesses, Opportunités, Menaces), largement utilisé en analyse stratégique. Remarquons toutefois que les matrices SWOT énoncent souvent opportunités et menaces sans vraiment les mesurer (figure 1).
Un organisme est constamment confronté à des menaces potentielles qui, en cas de concrétisation, pourraient l’empêcher d’atteindre ses objectifs ; ou à des opportunités qui pourraient l’aider à atteindre ses mêmes objectifs. La gestion du risque consiste à anticiper ces évènements incertains pour en réduire (ou en augmenter) la vraisemblance et les conséquences.
-
Rappelons ensuite ce qui se passe (figure 2) lorsqu’un évènement redouté (menace) ou souhaité (opportunité) survient. Lorsque l’évènement potentiel devient réalité, il provoque un ensemble de conséquences qui peuvent s’associer et/ou s’enchaîner. De ces conséquences résulte toujours un impact financier, addition des différentes pertes constatées.
Pour faire face à cet impact financier, l’entreprise a d’abord recours aux provisions qu’elle a préalablement passées...
Cet article fait partie de l’offre
Environnement
(511 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Rapide rappel relatif au risque et à la mesure d’un risque
BIBLIOGRAPHIE
-
(1) - LE RAY (J.) - Gérer les risques. Pourquoi ? Comment ? - Afnor Editions – 2006 (republié en 2010) – Mention spéciale au prix du livre Qualité/Performance (2006).
-
(2) - DESROCHES (A.), LEROY (A.), VALLEE (F.) - La gestion des risques - Hermes (2003).
-
(3) - BARTHELEMY (B.) - Gestion des risques - Éditions d’organisation (2002).
-
(4) - MOREAU (F.) - Comprendre et gérer les risques - Éditions d’organisation (2002).
-
(5) - BECK (U.) - La société du risque - Alto Aubier (2001).
-
(6) - LAGADEC (P.) - Apprendre à gérer les crises - Éditions d’organisation (1993).
DANS NOS BASES DOCUMENTAIRES
NORMES
-
Management du risque, principes et lignes directrices. - ISO 31000 - 2010
-
Lignes directrices relatives à la responsabilité sociétale. - ISO 26000 - 2010
ANNEXES
(liste non exhaustive)
Formations de l'Afnor :
Intégration de systèmes et management du risque – Management du risque. Le management des risques selon l'ISO 31000 : mettez en œuvre un système de management des risques (code 1008).
Intégration de systèmes et management du risque – Management du risque. Cycle de formation Risk Manager : maîtrisez les outils de votre fonction pour réussir dans vos missions (code 1800).
Intégration de systèmes et management du risque – Management du risque. Gérer un projet de cartographie global des risques : évaluez l'ensemble des risques pesant sur l'organisme (code 1801).
Intégration de systèmes et management du risque – Management du risque. Déployer un système de management global des risques : mettez en œuvre une démarche cohérente de gestion des risques (code 1802).
Séminaires de l'Afnor :
Intégration de systèmes et management du risque – Management du risque. La maîtrise des risques avec l'ISO 31000 (code D0850).
Intégration de systèmes et management du risque – Management du risque. Apprécier les risques financiers (code D0855).
Intégration de systèmes et management du risque – Management du risque. Anticiper et gérer les risques sociaux (code D0857).
HAUT DE PAGECet article fait partie de l’offre
Environnement
(511 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive